Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

在裸机 Linux 服务器上安装 cSRX 容器防火墙

本节概述了在运行 Ubuntu、Red Hat Enterprise Linux (RHEL) 或 CentOS 的 Linux 裸机服务器环境中安装 cSRX 容器防火墙容器的步骤。cSRX 容器防火墙容器打包在 Docker 映像中,并在 Linux 主机上的 Docker 引擎中运行。

本节包含以下主题:

部署之前

在 Linux 容器环境中将 cSRX 容器防火墙部署为高级安全服务之前,确保您:

确认 Docker 安装

加载 cSRX 容器防火墙映像之前,请确认 Linux 主机上的 Docker 已安装正确,并且 Docker 引擎正在运行。

要确认 Docker 安装:

  1. 使用 service docker status 命令确认 Docker 已安装并在 Linux 服务器上运行。

    root@csrx-ubuntu3:~# service docker status

    docker start/running, process 701

    您还应能够运行 docker run hello-world 并看到类似的响应。

    root@csrx-ubuntu3:~# docker run hello-world

  2. 使用命令验证已安装的 docker version Docker 引擎版本。
    注意:

    请确保 Linux 主机上已安装 Docker 1.9.0 或更高版本。

    root@csrx-ubuntu3:~# docker version

    Client:

    Docker version 17.05.0-ce-rc1, build 2878a85

    API Version: 1.30

    Go version: go1.8.3

    Git commit: 02cid87

    Built: Fri June 23 21:17:13 2017

    OS/Arch: linux/amd64

    Server:

    Docker version 17.05.0-ce-rc1, build 2878a85

    API Version: 1.30 (minimum version 1.12)

    Go version: go1.8.3

    Git commit: 02cid87

    Built: Fri June 23 21:17:13 2017

    OS/Arch: linux/amd64

    Experimental: False

加载 cSRX 容器防火墙映像

在主机上安装 Docker 引擎后,请执行以下操作,以下载并开始使用 cSRX 容器防火墙映像:

  1. 瞻博网络网站下载 cSRX 容器防火墙软件映像。为了继续安装,不得更改下载的 cSRX 容器防火墙软件映像的文件名。
  2. 您可以正常使用浏览器下载 cSRX 容器防火墙映像文件,或使用 URL 直接在设备上下载图像,如以下示例所示:

    运行以下命令,使用 curl 命令或任何其他 http 实用程序将映像下载到本地注册表。命令的 curl 语法为:

    root@csrx-ubuntu3:~csrx# curl -o <file destination path> <Download link url>

    root@csrx-ubuntu3:/var/tmp# curl -o /var/tmp/images/junos-csrx-docker-20.2R1.10.img “https://cdn.juniper.net/software/csrx/20.2R1.10/junos-csrx-docker-20.2R1.10.img?SM_USER=user =1595350694_5dbf6e62442de6bf14079d05a72464d4”

  3. 找到 cSRX 容器防火墙映像,使用lsLinux shell 命令。

    root@csrx-ubuntu3:/var/tmp/images# ls

  4. 将下载的 cSRX 容器防火墙映像加载到本地注册表。

    root@csrx-ubuntu3:/var/tmp/images# docker image load -i /var/tmp/images/junos-csrx-docker-20.2R1.10.img

  5. 加载 cSRX 容器防火墙映像后,确认它是否在 Docker 映像的存储库中列出。

    root@csrx-ubuntu3:/var/tmp/images# docker images

为 cSRX 容器防火墙创建 Linux 网桥网络

Linux 网桥是作为内核模块实现的虚拟交换机。此 Linux 网桥在 Linux 主机中用于模拟硬件网桥。Docker 允许您创建 Linux 网桥网络,并将 cSRX 容器防火墙容器连接到此网络,以实施管理和数据处理会话。这些接口是使用 Linux VETH 驱动程序创建的,用于与 Linux 内核通信。

此过程介绍如何为 cSRX 容器创建三桥网络,其中包括:mgt_bridge (eth0)、left_bridge (eth1) 和 right_bridge (eth2)。cSRX 容器防火墙使用mgt_bridge进行带外管理,以接受管理会话和流量,left_bridge和right_bridge均由 cSRX 容器防火墙用作收入端口,以处理带内数据流量。

注意:

Docker 会自动将管理接口 (eth0) 连接到 Linux 网桥,并分配一个 IP 地址。接口 eth1 和 eth2 用于带内流量。cSRX 容器防火墙必须与 Linux 网桥绑定才能传递流量。

要为 Linux 主机中的 cSRX 容器防火墙创建三桥网络:

  1. 在网络中创建管理网桥。

    root@csrx-ubuntu3::~/csrx# docker network create --driver bridge mgt_bridge

    3228844986eae1d1a8d367b34b54b31b130842be072b9dcdf7da3601c95b7130

  2. 在网络中创建左网桥(不受信任的接口 (eth1))。

    root@csrx-ubuntu3::~/csrx# docker network create --driver bridge left_bridge

    f1324b0a9072c55ababbcc51d83c83658084b67513811e13829172cccbc08e5d

  3. 在网络中创建正确的网桥(可信接口 (eth2))。

    root@csrx-ubuntu3::~/csrx# docker network create --driver bridge right_bridge

    196bd039f7c2401df4c117ea684114548a3df0b9d406cf3cf8f17338fab96774

相关文档