Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

使用 VMware vSphere 部署 Juniper Security Director

本主题将指导您完成使用 VMware vSphere 部署瞻博网络 Security Director 虚拟机的过程。

准备工作

  • 如果您不熟悉 VMware vSphere 的使用,请参阅 VMware 文档 并选择相应的 VMware vSphere 版本。

  • 选择 VM 的大小,请参阅 硬件要求

    表 1:ESXi Server 的硬件要求
    虚拟机配置 、设备管理功能 、日志分析和存储功能

    虚拟机配置 1

    • 16 个 vCPU

    • 80 GB RAM

    • 2.1 TB 存储空间

    • 最多 1000 台设备

    • 每个设备最多 10000 个策略规则

    • 每台设备最多 6000 个 NAT 规则

    • 每个设备/系统最多 1000 个 VPN

    • 每秒最多 17000 根日志

    • 在 2.1 TB 的总存储中,有 1.5 TB 专门用于日志分析。

    虚拟机配置 2

    • 40 个 vCPU

    • 208 GB RAM

    • 4.2 TB 存储空间

    • 最多 3000 台设备

    • 每台设备最多 20000 个策略规则

    • 每个设备最多 10000 个 NAT 规则

    • 每个设备/系统最多 1500 个 VPN

    • 每秒最多 40000 根日志

    • 在 4.2 TB 的总存储中,有 3.5 TB 专用于日志分析。
    注意:

    • 不建议在 VMware 虚拟机管理程序 (ESXi) 服务器上使用超线程。您必须为 CPU、RAM 和存储使用专用资源。

    • 我们不建议共享资源。

    • 如有必要,可以从 VM 配置 1 切换到 VM 配置 2。但是,切换到 VM 配置 2 后,将无法还原到 VM 配置 1。有关在 VMware vSphere 中修改虚拟机配置的说明,请参见 修改虚拟机配置

  • 您必须有 4 个专用 IP 地址,并确保您有权访问 SMTP、NTP 和 DNS 服务器,请参阅 软件要求

    注意:

    如果部署是受管制/气隙环境,请确保 VM 也有权访问 IDP/应用程序签名下载 signatures.juniper.net。
要使用 VMware vSphere 部署 Juniper Security Director VM,请执行以下步骤:

第 1 步:下载 OVA 和软件包

  1. Juniper Security Director OVA (.ova 文件)从 https://support.juniper.net/support/downloads/?p=security-director-on-prem 下载到 Web 服务器或本地计算机。为避免连接问题,请将 OVA 直接下载到本地计算机。

  2. https://support.juniper.net/support/downloads/?p=security-director-on-prem Juniper Security Director 软件包(.tgz 文件)下载到本地计算机,然后将该文件传输到登台服务器。

    暂存服务器是一种中间服务器,用于下载软件包,并可从 VM 访问。

    登台服务器必须支持通过安全复制协议 (SCP) 从瞻博网络 Security Director VM 下载软件包。在部署 VM 之前,必须具有暂存服务器的详细信息,包括 SCP 用户名和密码。

步骤 2:部署 VM

  1. 打开 vSphere Client。

  2. 右键单击作为虚拟机有效父对象的清单对象,然后选择 部署 OVF 模板

    图 1:部署 OVF 模板 Deploy OVF Template

  3. Select an OVF 模板 页面上:

    • 输入您已下载 OVA 的 Web 服务器 OVA URL。系统可能会就来源验证向您发出警告。单击 “是”。

      注意:

      确保防火墙规则不会阻止来自 vSphere 群集的映像访问。

    • 选择 “本地文件 ”选项,然后单击 “上传文件 ”以从本地计算机中选择 OVA 文件。

    图 2:选择或上传 OVF 文件 Select or Upload OVF File

  4. 在“ 选择名称和文件夹 ”页上,输入 VM 名称,然后选择 VM 的位置。

  5. 在“ 选择计算资源 ”页上,选择要在其上部署 VM 的主机的计算资源。

  6. “查看详细信息 ”页上,查看要预配的资源的详细信息。

  7. “许可协议 ”页上,选中复选框以接受许可协议。

  8. “选择存储 ”页上,选择配置的存储和虚拟磁盘格式。建议使用虚拟磁盘格式作为“厚预配”,并选择容量至少为 1.5 TB 的存储。

    注意:

    不建议进行精简配置。如果选择精简资源调配,并且实际可用磁盘空间不足,则一旦磁盘已满,系统可能会遇到问题。

  9. Select networks 页面上,选择要配置静态寻址 IP 分配的网络。

  10. 自定义模板 页面上,配置瞻博网络 Security Director 本地 OVA 参数。

    注意:提前为“自定义模板”页面准备所有详细信息。OVF 模板将在 6 到 7 分钟后超时。
    图 3:自定义 OVF 模板 Screenshot of the Juniper Security Director On-Premises OVA deployment wizard, step 7, Customize template, displaying input fields for configuration details such as Hostname, Management IP address, and DNS servers, with navigation buttons for Cancel, Back, and Next.
    注意:

    • cliadmin 用户密码字段不严格验证密码要求。但是,在安装过程中,系统会强制执行严格的验证,并拒绝不符合指定要求的密码,从而导致安装失败。为避免在安装过程中出现问题,请确保密码满足以下条件:

      • 长度必须至少为 8 个字符且不超过 32 个字符。

      • 不得是字典中的单词。

      • 必须至少包括以下三项:

        • 数字 (0-9)

        • 大写字母 (A-Z)

        • 小写字母 (a-z)

        • 特殊字符 (~!@#$%^&*()_-+={}[];:“'<,>.?/|\)

    • UI FQDN设备连接 FQDN日志收集器 FQDN 字段是可选的。但是,我们强烈建议您使用完全限定的域名 (FQDN)。确保 FQDN 为:

      • 有效并遵循域命名约定。

      • 完整,包括域和子域详细信息。

      • 可解析,即 DNS 可以将 FQDN 正确映射到 IP 地址。

      不正确的 FQDN 会导致需要重新安装 VM 的问题。

      如果 IP 地址不正确,则无法启动与 VM 的 SSH 连接。只能通过 Web 门户访问 VM。

    • 软件包 SCP 路径是指登台服务器上 Juniper Security Director 软件包(.tgz 文件)的位置。确保您已从“瞻博网络软件下载”页面将 Juniper Security Director 软件包(.tgz 文件)下载到本地计算机,并将其传输到登台服务器。暂存服务器充当中介,用于存储软件包并使 VM 可访问软件包。暂存服务器必须支持通过 SCP 从 Juniper Security Director VM 下载软件包。在部署 VM 之前,请确保您拥有暂存服务器的详细信息,包括 SCP 用户名和密码。

  11. “准备完成 ”页上,查看所有详细信息,如果需要,返回并编辑 VM 参数。安装成功后,无法从 VM 配置中更改这些网络参数。但是,可以从 CLI 更改网络参数。单击 “完成” 开始 OVA 部署。

    您可以在屏幕底部的“最近任务”窗口中监控 OVA 部署进度状态,直到它 100% 完成。“状态”列显示部署完成百分比。

    祝贺!现在 OVA 部署已完成。

  12. (选答)部署 OVA 后,创建 VM 的快照。如果需要在软件包自动安装后进行回滚,Snapshot 将会很有用。

    要创建快照,请执行以下作:

    1. 选择 VM。

    2. 在“作”菜单中,导航到“快照>拍摄快照”

      将显示“拍摄快照”窗口。

    3. 输入快照的名称和描述。

    4. 单击 创建

      将创建 VM 的快照。

  13. 单击虚拟机名称旁边的三角形图标 () 以打开虚拟机电源。

    注意:

    默认情况下,将使用 硬件要求中所述的最小资源配置部署 VM。使用 VMware 编辑虚拟机设置调整资源以匹配其他资源配置。

    若要成功安装,资源分配必须与 硬件要求匹配。

    有关在 VMware vSphere 中修改虚拟机配置的说明,请参见 修改虚拟机配置

虚拟机开机后,导航到 “摘要 ”选项卡,然后单击 “启动 WEB 控制台” 以监视软件包安装状态。

注意:

在安装完成之前,避免在控制台上执行任何作。

您可以在控制台查看安装进度。安装完成后,控制台 会在群集上显示已成功安装软件包 ,VM 将重新启动。

成功安装大约需要 30 分钟。如果安装持续时间较长,请检查 Web 控制台是否存在潜在错误。您可以使用在 OVA 部署期间配置的用户 cliadmin 和密码向 VM IP 发送 SSH。然后,使用 show bundle install status 命令检查安装状态。

要检查参数,请关闭虚拟机电源,然后导航到 配置 并单击 vApp 选项。如果参数不正确,请使用正确的参数再次部署 OVA。

祝贺!软件包安装现已完成。

修改虚拟机配置

默认情况下,VM 使用最小资源配置(VM 配置 1)进行部署。如有必要,可以从较低配置(VM 配置 1)切换到较高配置(VM 配置 2)。但是,切换到 VM 配置 2 后,将无法还原到 VM 配置 1。

要修改 VM 配置,请执行以下作:

  1. 在 vSphere Client 中选择并关闭虚拟机电源。

  2. 在“摘要”选项卡下,向下滚动到“VM 硬件”部分,然后单击 “编辑”

    将显示“编辑设置”窗口。

  3. 修改 CPU内存硬盘 1硬盘 2硬盘 3 字段,如 图 4 所示。

    您应该根据 表 1 中提到的配置修改所有字段。不允许扩展单个磁盘。

    图 4:虚拟机配置 2(40 vCPU、208 GB RAM、4.2 TB 存储) VM Configuration 2 (40 vCPU, 208 GB RAM, 4.2 TB Storage)

  4. 单击 “确定 ”以确认更改。

  5. 打开 VM 电源以使配置更改生效。

第 3 步:验证并排除故障

若要验证安装是否成功,必须通过 SSH 连接登录到 VM IP。VM IP 是步骤 9IP 地址字段中提供的值。使用以下默认凭据:

用户: cliadmin

密码: abc123

登录后,系统将提示您更改默认凭据。

使用新凭据登录并运行以下命令:

  • service healthmonitor status 命令查看安装状态。

  • list /var/log/cluster-manager 命令列出日志文件。

  • show file /var/log/cluster-manager/cluster-manager-service.log 命令查看日志文件的内容。

  • remotecopy /var/log/cluster-manager/cluster-manager-service.log <username>@<hostname>:<remote path to copy the log file> 命令将文件复制到远程位置进行故障排除。

    要检查磁盘分区和存储,请运行以下 CLI 命令:

    • show storage space—用于查看磁盘分区的命令

    • show storage partition- 用于检查可用空间和已用空间的命令

    有关详细信息,请参阅 显示存储

使用 UI 进行故障排除

您可以生成和下载与设备管理、策略管理和日志分析等功能组相关的问题的系统日志。功能组是相关微服务的逻辑分组,需要使用其日志来调试问题。

准备工作

请参阅登录瞻博网络 Security Director Web UI。

要生成系统日志,请执行以下作:

  1. 选择 “管理 ”> “系统管理 ”> “系统日志”

    此时将显示“系统日志”页面。

  2. 选择要素组。

  3. Timespan 下拉字段中,选择要为其生成日志的时间段。

  4. 单击 “生成日志包”

    将为日志生成过程创建作业。详细信息显示在页面顶部。选择 “管理 > 作业” 以查看作业。在“作业”页面上,您可以监控日志生成过程的状态。

    作业完成后,将在“系统日志”页面上创建一个链接以下载日志。系统日志将作为 tgz 文件下载并与瞻博网络支持团队共享,以分析问题的根本原因。

下一步

登录瞻博网络 Security Director Web UI