Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
NESTA PÁGINA
 

Implante firewall virtual vSRX na plataforma Google Cloud

Os procedimentos a seguir descrevem como implantar o firewall virtual vSRX na Nuvem Privada Virtual do Google (VPC):

  • Implante o firewall virtual vSRX no mercado da plataforma Google Cloud.

  • Use uma imagem privada personalizada para implantar o firewall virtual vSRX a partir do portal GCP.

  • Use a init na nuvem para implantar o firewall virtual vSRX através do gcloud usando CLI.

Implante o firewall virtual vSRX do Marketplace Launcher

Você pode usar o Google Cloud Platform Marketplace para implantar seu vSRX3.0 com licenças como uma máquina virtual (VM) em execução em uma instância do Google Compute Engine.

Antes de implantar o firewall virtual vSRX, você deve criar ou escolher um projeto em sua organização e criar quaisquer redes e sub-redes que se conectem ao firewall. Você não pode anexar várias interfaces de rede à mesma rede VPC. Cada interface que você cria deve ter uma rede dedicada com pelo menos uma sub-rede.

Este tópico fornece o seu passo para implantar um firewall virtual de firewall vSRX a partir do Google Cloud Platform Marketplace Launcher.

  1. Faça login no console da Plataforma Google Cloud.
  2. Na área de navegação à esquerda, selecione Marketplace.
  3. Localize a lista de firewalls virtuais vSRX no Mercado.

    Na caixa de pesquisa, digite "Juniper" ou "firewall virtual vSRX" e clique em uma das seguintes opções com base em seus requisitos de licenciamento, conforme mostrado na Figura 1.

    As imagens estão disponíveis na nuvem:

    • Firewall virtual vSRX de próxima geração

    • Firewall virtual vSRX de próxima geração Firewall-BYOL

    • Firewall virtual vSRX de próxima geração com proteção antivírus

    Figura 1: Localize a lista de firewalls virtuais vSRX no mercado Locate vSRX Virtual Firewall Listing in the GCP Marketplace de GCP
  4. Clique em Lançar no Compute Engine. A página de implantação aparece como mostrado na Figura 2.
    Figura 2: Lançamento da instância de firewall virtual vSRX no GCP do marketplace Launch vSRX Virtual Firewall Instance in GCP from Marketplace
  5. Nomeie a instância e escolha recursos.

    Forneça os detalhes para o VM de firewall virtual vSRX:

    • Deployment Name— Insira um nome exclusivo para o seu VM de firewall virtual vSRX.

    • Machine type— Selecione um tipo de máquina com base nos requisitos do sistema para sua licença.

    • SSH key— Cole sua chave SSH pública que você criou anteriormente.

      • Cole a chave após o texto gcp-user:

        Nota:

        É obrigatório usar "gcp-user" como nome de usuário quando você faz login no firewall virtual vSRX pela primeira vez no firewall virtual vSRX.

      • Selecione a opção de chaves SSH em todo o projeto block.

    • Network interfaces— Selecione a rede VPC e as sub-redes. Observe que você pode adicionar apenas essas sub-redes que você criou para a zona selecionada para este VM de firewall virtual vSRX.

    • IP Forwarding— Mantenha o valor padrão. Esse é um requisito obrigatório para o VM de firewall virtual vSRX.

    • Enable External IP— Selecione a opção efêmera. Essa configuração permite que o GCP forneça um endereço IP efêmero para atuar como o endereço IP externo.

    • Allow HTTP traffic from the Internet— Mantenha o valor padrão como selecionado. Recomendamos não fornecer acesso HTTP a menos que seja absolutamente necessário.

    • Allow TCP port 22 traffic from the Internet— Mantenha o valor padrão como selecionado. F ou motivos de segurança, recomendamos que você limite o acesso SSH apenas ao endereço IP específico para acessar o firewall virtual vSRX

    Nomeie a instância e escolha os recursos conforme mostrado na Figura 3.

    Figura 3: Nomeie a instância do firewall virtual vSRX e escolha recursos no GCP Marketplace Name vSRX Virtual Firewall Instance and Choose Resources in GCP Marketplace

    1. Escolha um nome de implantação. O nome deve ser único e não pode entrar em conflito com nenhuma outra implantação do projeto.

    2. Selecione uma zona.

    3. Selecione um tipo de máquina.

    4. Defina a chave SSH conforme mostrado na Figura 4.

      Figura 4: chave SSH Key SSH

    5. Configure a rede e a sub-rede.

    6. Deixe o encaminhamento de IP 'ligado' (obrigatório para implantações de firewall virtual vSRX) conforme mostrado na Figura 5.

      Figura 5: Configuração IP Forwarding Configuration de encaminhamento IP
  6. Aceite os Termos de Serviço do GCP Marketplace.
  7. Clique em Implantar.

    O sistema mostra o progresso da implantação do firewall virtual vSRX. Ele exibe uma mensagem indicando a conclusão bem-sucedida da implantação e envia uma notificação de e-mail para o mesmo.

  8. Clique em sua VM para ver os detalhes. Você pode ver seus detalhes de VM navegando até o Compute Engine sob COMPUTE na área de navegação esquerda.

    Observe o endereço IP externo, mostrado nas interfaces de rede. Você precisará deste endereço mais tarde para fazer logon em sua instância de firewall virtual vSRX usando a CLI.

  9. Entrando em uma instância de firewall virtual vSRX.

    Em implantações de GCP, as instâncias do firewall virtual vSRX fornecem os seguintes recursos por padrão para melhorar a segurança:

    • Permite que você faça login apenas por meio de SSH.

    • a insumos na nuvem é usada para configurar o login de chave SSH.

    • O login de senha SSH é desativado para conta raiz.

    Nota:

    O login raiz usando a senha SSH é desativado por padrão.

    Use um cliente SSH para fazer login em uma instância de firewall virtual vSRX pela primeira vez. Para fazer login, especifique a localização onde você salvou o arquivo de par de chaves SSH para a conta do usuário e o endereço IP atribuído à interface de gerenciamento do firewall virtual vSRX (fxp0).

    Nota:

    O login raiz usando uma senha do Junos OS é desativado por padrão. Você pode configurar outros usuários após a fase inicial de configuração do Junos OS.

    Se você não tiver o nome de arquivo do par chave e o endereço IP, use essas etapas para visualizar o nome do par-chave e o IP para uma instância de firewall virtual vSRX:

    1. No portal GCP, selecione Instâncias.
    2. Selecione a instância do firewall virtual vSRX e selecione o eth0 na guia Descrição para visualizar o endereço IP para a interface de gerenciamento fxp0.
    3. Clique em Conecte-se acima da lista de instâncias para visualizar o nome de arquivo do par de chaves SSH.

    Para configurar as configurações básicas para a instância do firewall virtual vSRX, consulte Configure o vSRX usando a CLI.

    Nota:

    a conexão gcloud ao firewall virtual vSRX não é suportada. Use sempre ssh com o usuário fornecido chave para se conectar ao firewall virtual vSRX após instância está ativada.

Implante a instância de firewall virtual vSRX no portal GCP usando uma imagem privada personalizada

Você também pode usar sua imagem privada personalizada para implantar o firewall virtual vSRX em vez de implantar uma imagem do mercado GCP. Primeiro, você precisa enviar a imagem privada para o armazenamento do Google Cloud, depois criar uma imagem de computação no GCP e, em seguida, implantar o firewall virtual vSRX no Google Compute Engine.

Assista ao vídeo implantando firewalls virtuais vSRX na Plataforma Google Cloud para entender como você pode implantar instâncias de firewall virtual vSRX a partir do GCP.

Faça o upload da imagem do firewall virtual vSRX para o armazenamento na nuvem do Google

Para enviar a imagem do firewall virtual vSRX para o armazenamento do Google Cloud:

  1. Prepare o arquivo de imagem do firewall virtual vSRX privado.

    Uma imagem personalizada é uma imagem de disco de inicialização que é privada para você. Para importar uma imagem de disco para o Google Compute Engine, o arquivo de imagem deve atender aos seguintes requisitos.

    • O nome de arquivo de imagem de disco deve ser em disco.raw.

    • O arquivo de imagem RAW deve ter um tamanho em um incremento de 1 GB. Por exemplo, o arquivo deve ter 10 GB ou 11 GB, mas não 10,5 GB.

    • O arquivo comprimido deve ser um arquivo .tar.gz que usa compressão de gzip e o formato de piche GNU.

    Para usar a imagem do firewall virtual vSRX .qcow2 para gerar arquivo .tar.gz, siga as etapas abaixo para processar o upload.

    1. Converta .qcow2 em "disk.raw" (disk.raw é o nome dedicado para implantação do Google Cloud).

      qemu-img convert -f qcow2 -O raw junos-vsrx3-x86-64-19.2I-20190115_dev_common.0.1057.qcow2 disk.raw

    2. Compress para arquivo .tgz.

      tar -czf vsrx-0115.tar.gz disk.raw

  2. Enviar imagem para o Google Cloud Storage. Você pode carregar sua imagem privada personalizada de duas maneiras:

    • Imagem de upload por meio de shell SDK

    • Imagem de upload do portal Google Cloud Platform

Imagem de upload por meio de shell SDK:

Instale o Google Cloud SDK no Ubuntu.

Você deve instalar o Google Cloud SDK em seu sistema de operação. abaixo está a amostra para instalá-la no Ubuntu.

Para obter mais informações sobre a instalação do Google Cloud SDK no Ubuntu, consulte https://cloud.google.com/sdk/docs/quickstart-debian-ubuntu e para a visão geral da ferramenta de linha de comando do Gcloud, consulte https://cloud.google.com/sdk/gcloud/.

Para carregar a imagem por meio da shell SDK:

  1. Crie o armazenamento na nuvem do Google.

    gs://vsrx-image

  2. Copie o disco.cru para o armazenamento na nuvem.

    gsutil cp vsrx-0115.tar.gz gs://vsrx-image

Para enviar uma imagem do portal Google Cloud Platform.

  1. Clique em arquivos bucket->Upload > de armazenamento , conforme mostrado na Figura 6.

    Figura 6: Imagem do firewall virtual vSRX Upload do portal vSRX Virtual Firewall Image Upload from GCP Portal GCP

  2. Verifique se a imagem privada está disponível no Google Cloud Storage selecionando detalhes de armazenamento > Balde na web da Plataforma Google Cloud, conforme mostrado na Figura 7.

    Figura 7: Veja imagens privadas no portal View Private Images in GCP Portal GCP

Crie uma imagem do firewall virtual vSRX

Depois de enviar o arquivo de imagem do firewall virtual vSRX para o armazenamento GCP, você precisa criar uma imagem de computação GCP para implantação do firewall virtual vSRX.

  1. Crie uma imagem na nuvem.

    Uma amostra para criar uma imagem do firewall virtual vSRX usando o pacote pronto no armazenamento do projeto GCP é mostrado abaixo. A opção de "multi_ip_subnet" é obrigatória.

    gcloud compute images create vsrx-0115 '--guest-os-features=multi_ip_subnet' --source-uri=gs://vsrx-image/vsrx-0115.tar.gz

  2. Verifique se a imagem privada está disponível no Google Cloud Compute Engine.

    root@cnrd-ubuntu173:~# gcloud compute images list | grep vsrx3-194* vsrx-0115. vsrx3-218606 READY

Using Google Console

Você pode renomear o arquivo de imagem usando o console do Google também.

  1. Faça login em sua conta do Google e abra a página inicial da Plataforma Google Cloud .

  2. Clique na opçãode imagens na página da Plataforma Google Cloud . A página Criar uma imagem é aberta conforme mostrado na Figura 8

    Figura 8: Página Google Cloud Platform Image Creation Page de criação de imagens da Plataforma Google Cloud

  3. Preencha os detalhes necessários na página Criar uma imagem e clique em Criar.

    Nota:

    É obrigatório usar "gcp-user" como nome de usuário quando você faz login no firewall virtual vSRX pela primeira vez no firewall virtual vSRX.

  4. Confira a imagem privada disponível no Google Cloud Compute Engine. Na web da Plataforma Google Cloud, clique em Compute Engine->Images , conforme mostrado na Figura 9.

    Figura 9: Confira imagem privada no Google Cloud Compute Engine Check Private Image in Google Cloud Compute Engine

Implante o firewall virtual vSRX no portal GCP

Você pode seguir etapas abaixo para implantar uma instância de firewall virtual vSRX:

  1. Faça login no portal da Google Cloud Platform, acesse as instâncias de VM do Compute Engine -> e clique em CRIAR INSTÂNCIA.
  2. Configure uma instância de firewall virtual vSRX.

    • Name— Especifique um nome exclusivo para a instância.

    • Region— Selecione a região adequada em que você deseja implantar o firewall virtual vSRX, você já deve criar sub-rede na mesma região em redes VPC adequadas.

    • Machine configuration — Escolha o tipo de máquina correto.

    • Container — Desmarque

    • Boot Disk— Escolha a imagem privada na guia Imagens Personalizadas conforme mostrado na Figura 10. Você já deve enviar a imagem privada para o Google Cloud Storage.

      Figura 10: boot disk de imagens personalizadas Boot Disk from Custom Images

    • Identity and API access— Definir padrão

    • Firewall / Management — Definir padrão

    • Firewall / Security— Cole seu par SSH Key aqui. Detalhes referem-se a "Prepare-se para configurar o firewall virtual vSRX no GCP – Chave SSH".

    • Firewall / Disks— Definir padrão

    • Firewall / Networking:

      Tabela 1: Redes de firewall

      Firewall/redes

      Detalhes

      Hostname

      Opcional, você pode especificar tags para a instância usada para configuração de rota.

      Interfaces de rede

      Padrão

      Você pode definir interfaces para redes VPC existentes e sub-rede na mesma região. Número de interface, ordem de interface e configuração de interface de gerenciamento.
  3. Clique em Criar
  4. Entrando em uma instância de firewall virtual vSRX.

    Em implantações de GCP, as instâncias do firewall virtual vSRX fornecem os seguintes recursos por padrão para melhorar a segurança:

    • Permite que você faça login apenas por meio de SSH.

    • O login de senha SSH é desativado para conta raiz.

    Nota:

    O login raiz usando uma senha do Junos OS ou senha SSH é desativado por padrão. Você pode configurar outros usuários após a fase inicial de configuração do Junos OS.

    Use um cliente SSH para fazer login em uma instância de firewall virtual vSRX pela primeira vez. Para fazer login, especifique a localização onde você salvou o arquivo de par de chaves SSH para a conta do usuário e o endereço IP atribuído à interface de gerenciamento do firewall virtual vSRX (fxp0).

    Nota:

    É obrigatório usar "gcp-user" como nome de usuário quando você faz login no firewall virtual vSRX pela primeira vez no firewall virtual vSRX.

    Se você não tiver o nome de arquivo do par chave e o endereço IP, use essas etapas para visualizar o nome do par-chave e o IP para uma instância de firewall virtual vSRX:

    1. No portal GCP, selecione Instâncias.
    2. Selecione a instância do firewall virtual vSRX e selecione o eth0 na guia Descrição para visualizar o endereço IP para a interface de gerenciamento fxp0.
    3. Clique em Conecte-se acima da lista de instâncias para visualizar o nome de arquivo do par de chaves SSH.

    Para configurar as configurações básicas para a instância do firewall virtual vSRX, consulte Configure o vSRX usando a CLI.

    Nota:

    a conexão gcloud ao firewall virtual vSRX não é suportada. Use sempre ssh com o usuário fornecido chave para se conectar ao firewall virtual vSRX após instância está ativada.

Implante o firewall virtual vSRX usando o cloud-init

O firewall virtual vSRX oferece suporte à nuvem. O cloud-init é um pacote de multi-distribuição de código aberto que lida com a inicialização antecipada de uma instância de nuvem. Ele permite que o usuário personalize a instância de VM com atributos como nome de host e IP padrão no primeiro boot. A inserção na nuvem é particularmente útil quando o usuário quer implantar um grande número de instâncias de VM no data center usando ferramentas de automação.

Alguns dos parâmetros iniciais de provisionamento para o primeiro boot são:

  • Hostname

  • Senha raiz

  • Chave pública SSH

    Nota:

    para o arquivo chave ssh, ele precisa estar no formato "<username>:<peribilização>" conforme exigido pelo google cloud. Algo assim:

  • INTERFACE de gerenciamento (fxp0) IP

  • IP de gateway padrão

Você pode implantar o firewall virtual vSRX usando a nuvem de duas maneiras:

  • Do Google SDK

  • Para implantar o firewall virtual vSRX com insumos na nuvem do portal do Google, consulte Implantar o firewall virtual vSRX no portal GCP. Para adicionar dados do usuário para ter a nuvem ativada especifique os metadados.

O GCE oferece suporte à configuração de instâncias do tipo na nuvem. Para iniciar uma instância com dados do usuário, use o comando abaixo como exemplo.

Figura 11: Amostra da configuração de init na nuvem Sample Cloud-Init Configuration

Observe os seguintes pontos:

  • junos.conf é um arquivo de configuração com '#junos-config' em conteúdo

  • gcp-user.pub é a chave pública da SSH

  • O firewall virtual vSRX 3.0 oferece suporte apenas ao par de chaves RSA

  • Para o arquivo-chave SSH, ele precisa estar no formato <username>:<key value> conforme exigido pelo Google Cloud. Consulte o arquivo de chave SSH da amostra abaixo.

  • No junos.conf, remova o bloco "gcp-default" nos dados do seu usuário. Eles seguirão o que foi criado pelo firewall virtual vSRX em seu script. Consulte a configuração do junos amostral

    Nota:

    a conexão gcloud ao firewall virtual vSRX não é suportada. Use sempre ssh com o usuário fornecido chave para se conectar ao firewall virtual vSRX após instância está ativada.

Documentação relacionada