Use o Cloud-Init em um ambiente OpenStack para automatizar a inicialização de instâncias de firewall virtual vSRX
A partir do Junos OS Release 15.1X49-D100 e junos OS Release 17.4R1, o pacote de init na nuvem (versão 0,7x) vem pré-instalado na imagem do firewall virtual vSRX para ajudar a simplificar a configuração de novas instâncias de firewall virtual vSRX operando em um ambiente OpenStack de acordo com um arquivo de dados do usuário especificado. A init na nuvem é realizada durante o inicial inicial inicial de uma instância de firewall virtual vSRX.
A init na nuvem é um pacote de software OpenStack para automatizar a inicialização de uma instância de nuvem no boot-up. Ele está disponível no Ubuntu e na maioria dos principais sistemas operacionais Linux e FreeBSD. A init na nuvem foi projetada para oferecer suporte a vários provedores de nuvem diferentes para que a mesma imagem de máquina virtual (VM) possa ser usada diretamente em vários hipervisores e instâncias de nuvem sem qualquer modificação. O suporte de init na nuvem em uma instância de VM é executado no momento do inicialização (inicialização da primeira vez) e inicializa a instância VM de acordo com o arquivo de dados do usuário especificado.
Um arquivo de dados do usuário é uma chave especial no serviço de metadados que contém um arquivo que aplicativos conscientes da nuvem na instância de VM podem acessar em um boot de primeira linha. Neste caso, é o arquivo de configuração validado do Junos OS que você pretende enviar para uma instância de firewall virtual vSRX como a configuração ativa. Este arquivo usa a sintaxe de comando padrão do Junos OS para definir detalhes da configuração, como senha raiz, endereço IP de gerenciamento, gateway padrão e outras declarações de configuração.
Ao criar uma instância de firewall virtual vSRX, você pode usar a init na nuvem com um arquivo de configuração do Junos OS validado (juniper.conf) para automatizar a inicialização de novas instâncias de firewall virtual vSRX. O arquivo de dados do usuário usa a sintaxe padrão do Junos OS para definir todos os detalhes de configuração para sua instância de firewall virtual vSRX. A configuração padrão do Junos OS é substituída durante o lançamento da instância de firewall virtual vSRX com uma configuração validada do Junos OS que você fornece na forma de um arquivo de dados do usuário.
Se usar uma versão antes do Junos OS Release 15.1X49-D130 e Junos OS Release 18.4R1, o arquivo de configuração de dados do usuário não pode exceder 16 KB. Se o seu arquivo de dados de usuário exceder esse limite, você deve comprimir o arquivo usando gzip e usar o arquivo comprimido. Por exemplo, o comando gzip junos.conf resulta no arquivo junos.conf.gz.
A partir do Junos OS Release 15.1X49-D130 e Junos OS Release 18.4R1, se estiver usando uma fonte de dados de unidade de configuração em um ambiente OpenStack, o tamanho do arquivo de configuração de dados do usuário pode ser de até 64 MB.
A configuração deve ser validada e incluir detalhes para a interface, login e autenticação do switch. Ele também deve ter uma rota padrão para tráfego no fxp0. Se alguma dessas informações estiver ausente ou incorreta, a instância é inacessível e você deve lançar uma nova.
Certifique-se de que o arquivo de configuração de dados do usuário não esteja configurado para realizar a autoinstalação em interfaces usando o Protocolo de configuração dinâmica de host (DHCP) para atribuir um endereço IP ao firewall virtual vSRX. A autoinstalação com DHCP resultará em uma "falha de confirmação" para o arquivo de configuração de dados do usuário.
Começando pelo Junos OS Release 15.1X49-D130 e Junos OS Release 18.4R1, a funcionalidade de init na nuvem no firewall virtual vSRX foi estendida para oferecer suporte ao uso de uma fonte de dados de unidade de configuração em um ambiente OpenStack. A unidade de configuração usa o atributo de dados do usuário para passar um arquivo de configuração validado do Junos OS para a instância de firewall virtual vSRX. Os dados do usuário podem ser simples texto ou texto do tipo de arquivo MIME/simples. A unidade de configuração é normalmente usada em conjunto com o serviço compute, e está presente na instância como uma partição de disco rotulada config-2
. A unidade de configuração tem um tamanho máximo de 64 MB e deve ser formatada com o sistema de arquivos vfat ou ISO 9660.
A fonte de dados da unidade de configuração também oferece flexibilidade para adicionar mais de um arquivo que pode ser usado para configuração. Um caso de uso típico seria adicionar um arquivo de configuração day0 e um arquivo de licença. Neste caso, existem dois métodos que podem ser empregados para usar uma fonte de dados de unidade de configuração com uma instância de firewall virtual vSRX:
Dados do usuário (arquivo de configuração do Junos OS) sozinho — essa abordagem usa o atributo de dados do usuário para passar o arquivo de configuração do Junos OS para cada instância de firewall virtual vSRX. Os dados do usuário podem ser simples texto ou texto do tipo de arquivo MIME/simples.
Arquivo de configuração e arquivo de licença do Junos OS — Essa abordagem usa a fonte de dados de unidade de configuração para enviar a configuração do Junos OS e o(s) arquivo(s) de licença para cada instância de firewall virtual vSRX.
Nota:Se um arquivo de licença deve ser configurado no firewall virtual vSRX, é recomendável usar a opção
–file
em vez da opçãouser-data
de fornecer flexibilidade para configurar arquivos maiores que o limite de 16 KB de dados do usuário.
Para usar uma fonte de dados de unidade de configuração para enviar a configuração do Junos OS e o(s) arquivo(s) de licença para uma instância de firewall virtual vSRX, os arquivos precisam ser enviados em uma estrutura de pasta específica. Neste aplicativo, a estrutura da pasta da configuração impulsiona a fonte de dados no firewall virtual vSRX é a seguinte:
- OpenStack - latest - junos-config - configuration.txt - junos-license - License_file_name.lic - License_file_name.lic
//OpenStack//latest/junos-config/configuration.txt
//OpenStack//latest/junos-license/license.lic
Antes de começar:
Crie um arquivo de configuração com a sintaxe de comando do Junos OS e salve-o. O arquivo de configuração pode ser texto simples ou texto/simples do tipo de arquivo MIME. A string
#junos-config
deve ser a primeira linha do arquivo de configuração de dados do usuário antes da configuração do Junos OS.Nota:A
#junos-config
string é obrigatória no arquivo de configuração de dados do usuário; se não estiver incluído, a configuração não será aplicada à instância de firewall virtual vSRX como configuração ativa.Determine o nome da instância de firewall virtual vSRX que você deseja inicializar com um arquivo de configuração validado do Junos OS.
Determine o sabor para sua instância de firewall virtual vSRX, que define a capacidade de computação, memória e armazenamento da instância de firewall virtual vSRX.
A partir do Junos OS Release 15.1X49-D130 e Junos OS Release 18.4R1, se estiver usando uma unidade de configuração, garanta que os seguintes critérios sejam atendidos para permitir o suporte de init na nuvem para uma unidade de configuração no OpenStack:
A unidade de configuração deve ser formatada com o sistema ou
iso9660
ovfat
sistema de arquivos.Nota:O formato padrão de uma unidade de configuração é um sistema de arquivos ISO 9660. Para especificar explicitamente o formato ISO 9660/vfat, adicione a
config_drive_format=iso9660/vfat
linha aonova.conf
arquivo.A unidade de configuração deve ter um rótulo de sistema de arquivos de
config-2
.O tamanho da pasta não deve ser superior a 64 MB.
Dependendo do seu ambiente OpenStack, você pode usar uma interface de linha de comando OpenStack (como nova boot
ou openstack server create
) ou o Painel OpenStack ("Horizon") para lançar e inicializar uma instância de firewall virtual vSRX.
Realize a configuração automática de uma instância de firewall virtual vSRX usando uma interface de linha de comando OpenStack
Você pode lançar e gerenciar uma instância de firewall virtual vSRX usando os comandos ou openstack server create
comandos, o nova boot
que inclui o uso de um arquivo de dados de usuário de configuração do Junos OS validado do seu diretório local para inicializar a configuração ativa da instância de firewall virtual vSRX.
Para iniciar a configuração automática de uma instância de firewall virtual vSRX a partir de um cliente da linha de comando OpenStack:
Veja também
Realize a configuração automática de uma instância de firewall virtual vSRX a partir do painel do OpenStack (Horizon)
Horizon é a implementação canônica do painel do OpenStack. Ele oferece uma interface de usuário baseada na Web para serviços OpenStack, incluindo Nova, Swift, Keystone e assim por diante. Você pode lançar e gerenciar uma instância de firewall virtual vSRX a partir do Painel OpenStack, que inclui o uso de um arquivo de dados de usuário de configuração do Junos OS validado do seu diretório local para inicializar a configuração ativa da instância de firewall virtual vSRX.
Para iniciar a configuração automática de uma instância de firewall virtual vSRX a partir do painel do OpenStack: