Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
在此页面上
 

Oracle 云基础设施中的 vSRX 虚拟防火墙部署

本节中的主题可帮助您在 Oracle 云基础设施中启动 vSRX 虚拟防火墙实例。

概述

本主题为您提供在 Oracle 云基础设施中部署 vSRX 虚拟防火墙虚拟防火墙的概述和先决条件。vSRX 虚拟防火墙为虚拟化私有或公有 Oracle 云环境提供安全和网络服务。

从 Junos OS 20.4R2 版开始,vSRX 虚拟防火墙 3.0 可用于 OCI 部署。

注意:

vSRX 虚拟防火墙 3.0 映像在 OCI 市场中不可用。您必须从 瞻博网络支持下载 下载 vSRX 虚拟防火墙 3.0 软件,并上传到 OCI 区间。

先决条件

  • 在尝试在 OCI 中部署 vSRX 虚拟防火墙之前,请确保您具有适当的帐户和权限。

  • 将 .oci 映像复制到 OCI 帐户中的对象存储区间。

    示例文件名为 junos-vsrx3-x86-64-xxxx.oci。购买 vSRX 虚拟防火墙 3.0 软件后,您可以从以下位置下载软件: 瞻博网络支持 页面。

    注意:

    .oci 映像扩展是为要在 OCI 中部署的 vSRX 虚拟防火墙映像而构建的。这是因为在 OCI 上,部署 qcow2 映像时,为 vNIC 选择的默认仿真为 e-1000。部署 vSRX 虚拟防火墙时,vSRX 虚拟防火墙的 .oci 映像将传递将仿真类型设置为 virtIO 所需的元数据,从而确保更好的吞吐量。

  • 为部署创建虚拟网络子网。

要更好地了解 Oracle 术语及其在 vSRX 虚拟防火墙 3.0 部署中的用法,请参见 了解 Oracle 云基础设施中的 vSRX 虚拟防火墙部署

示例拓扑

常见的云配置包括您希望授予对 Internet 的访问权限,但您不希望云外部的任何人访问您的主机的主机。您可以在 OCI 中使用 vSRX 虚拟防火墙,对来自公共互联网的 OCI 内的流量进行 NAT 处理。

下图显示了具有三个子网的示例 VCN:

  • 公共 (10.0.1.0/24),用于通过互联网网关访问互联网的管理接口

  • 公共 (10.0.2.0/24),用于通过互联网网关访问互联网的收入(数据)接口

  • 私有 (10.0.3.0/24),无法访问互联网的私有子网

以下拓扑用作此部署的示例。

图 1:OCI 中 vSRX 虚拟防火墙部署的 VCN 示例 Example VCN for vSRX Virtual Firewall Deployment in OCI

在 OCI 中启动 vSRX 虚拟防火墙实例

本主题提供有关如何在 OCI 中启动 vSRX 虚拟防火墙实例的详细信息。

  1. 登录 OCI 管理控制台。控制台是一个直观的图形界面,可让您创建和管理实例、云网络和存储卷,以及您的用户和权限。登录后,将显示控制台主页。
  2. 为您的资源选择一个区间。

    区间可帮助您组织和控制对资源的访问。区间是相关资源(如云网络、计算实例或块存储卷)的集合,只有组织中管理员授予权限的组才能访问这些资源。例如,一个区间可以包含构成公司人力资源系统生产版本的所有服务器和存储卷。只有有权访问该区间的用户才能管理这些服务器和卷。

    • 打开导航菜单。在 “核心基础架构”下,转到 “网络 ”,然后单击 “虚拟云网络”。

    • 从左侧列表中选择沙盒区间(或管理员指定的区间)。如果沙盒区间不存在,则可以创建。有关详细信息,请参阅 创建区间

  3. 将 .oci 加载到 OCI 平台上。

    1. 从主菜单中单击 对象存储

      图 2:对象存储 Object Storage

    2. 选择要在其中创建存储桶的区间。如果您已有存储桶,请单击“您的存储桶”的名称。或者创建一个存储桶。

      图 3:创建存储桶

    3. 然后单击 上传对象

      出现弹出窗口时提供所需信息。

      图 4:上传对象 Upload Objects

      查看对象详细信息:加载 .oci 图像后,选择对象右键单击对象,然后选择 查看对象详细信息

      图 5:查看对象详细信息
      注意:

      此对象将有一个 URL 路径作为 OCI ID,可在导入图像期间使用。

  4. 创建包含子网的虚拟云网络 (VCN)。单个 VCN 网络中可以有多个子网。

    然后,您将在 VCN 的其中一个子网中启动实例并连接到该子网。

    注意:

    确保在左侧的区间列表中选择了沙盒区间(或为您指定的区间)。

    1. 打开 导航 菜单。在 “核心基础架构”下,转到 “网络 ”,然后单击 “虚拟云网络”。

    2. 单击 创建 VCN ,然后输入 VCN 名称、区间的数据,选择 IPv4 VCN 网段块、公有子网网段。接受任何其他字段的默认值,然后单击 创建 VCN

    图 6:创建虚拟云网络 Create Virtual Cloud Network
    图 7:网段 CIDR Block

    创建的云网络将具有互联网和 NAT 网关、有权访问 Oracle 服务网络的服务网关、有权访问互联网网关的区域公有子网以及有权访问 NAT 网关和服务网关的区域私有子网等资源。

  5. 为创建的 vSRX 虚拟防火墙 VCN 创建子网。

    vSRX 虚拟防火墙要求为每个单独的实例组提供两个公有子网和一个或多个私有子网。一个公有子网用于管理接口 (fxp0),另一个用于收入(数据)接口。连接到其他 vSRX 虚拟防火墙接口的专用子网可确保专用子网上的应用程序和互联网之间的所有流量都必须通过 vSRX 虚拟防火墙实例。

    1. 配置公有子网(管理接口)

      要创建此公有子网,请单击 创建子网 并为路由表默认路由表定义路由规则,其中互联网网关配置为所有流量 (0.0.0.0/0) 的路由目标,如下所示。

      图 8:路由规则 Route Rules

      有关如何创建子网的详细信息,请参阅 VCN 和子网

      对于子网的安全列表默认安全列表,请创建出口规则以允许流向所有目标的流量。创建入口规则,允许从公共互联网访问 TCP 端口 22 和 TCP 端口 80/443 以从公共互联网访问 Web 应用程序,如下所示。

      图 9:有状态规则(默认安全列表) Stateful Rules (Default Security List)
    2. 配置公有子网(收入接口)

      创建此公有子网,并为路由表公共 RT 定义路由规则,其中互联网网关配置为所有流量 (0.0.0.0/0) 的路由目标。

      对于子网的安全列表公有子网 SL,请创建出口规则以允许流向所有目标的流量。创建入口规则,允许在 TCP 端口 80/443 上进行访问以从公共互联网访问 Web 应用程序,如果需要,还可以在 ICMP 上检查连接,如下所示。

      图 10:有状态规则(公有子网安全列表) Stateful Rules (Public Subnet Security List)
    3. 配置私有子网

      创建此专用子网,并为路由表专用 RT 定义路由规则,其中 vSRX 虚拟防火墙第二个 vNIC 的专用 IP 地址 (10.0.3.3) 配置为所有流量 0.0.0.0/0 的路由目标。

      注意:

      在创建并附加辅助 VNIC 后配置路由规则。
  6. 创建互联网网关。要创建互联网网关,请单击互联网网关,请为 vSRX 虚拟防火墙设置可从外部访问的互联网网关。
    图 11:互联网网关 Internet Gateway
  7. 用于启用 SSH 选项的安全列表信息。选择默认安全列表和入口规则(如 ICMP 规则),通过设置任意源 CIDR 来允许从流量执行 ping 操作。
    图 12:安全列表信息 Security List Information Security List Information
  8. 在创建的 VNC 中创建 vSRX 虚拟防火墙实例。

    1. 打开导航菜单。在 “核心基础结构”下,选择 “计算 ”并单击 “实例”,然后单击 “创建实例”。

    2. 图 13:创建计算实例 Create Compute Instance Create Compute Instance Create Compute Instance

    3. 创建实例 页面上,输入实例的名称。

    4. 选择操作系统或图像源:点按“ 更改图像 ”,然后单击“ 图像源 ”以选择要使用的映像。选择 自定义映像 ,然后从隔离间中选择映像。所需的 OCI vSRX 虚拟防火墙映像,然后单击 选择映像

      .

      实例类型 – 虚拟机。

    5. 选择实例形状:单击 “更改形状 ”以选择标准的预定义 OCI 形状。选择具有 4 个网卡和 4 个 OCPU 的虚拟机标准 2.4,然后单击 Selcect Shape

      注意:

      vSRX 虚拟防火墙至少需要 2 个 vCPU 才能启动。

    6. “网络 ”选项卡下,选择虚拟云网络区间、虚拟云网络、子网区间、子网。

    7. 要为实例创建公有 IP 地址,请选择 分配公有 IPv4 地址 选项。

      注意:

      接受可用性域、实例类型和实例形状的默认选项。

    8. 添加 SSH 密钥:在 添加 SSH 密钥 选项卡下,可以通过选择 粘贴公钥 选项粘贴公钥并粘贴生成的公共 SSH 密钥,也可以创建新的 SSH 密钥以访问 vSRX 虚拟防火墙,然后单击 创建

    几分钟后,我们可以使用为实例分配的公有 IP 对实例进行 ssh (这将显示在实例上)。添加接口后重启实例。

    实例以预置状态显示在控制台中。在状态更新为“正在运行”之前,预配预计需要几分钟时间。不要刷新页面。实例运行后,请再等待几分钟让操作系统启动,然后再尝试连接。当您准备好连接到实例时,请记下公有 IP 地址和初始密码。

    预置实例后,实例列表中会显示有关该实例的详细信息,如下所示。

    图 14:在 OCI 中启动的 vSRX 虚拟防火墙实例 vSRX Virtual Firewall Instance Launched in OCI
    注意:

    vSRX 虚拟防火墙实例的默认用户名为 oci-user。例如,要使用 SSH 登录到 vSRX 虚拟防火墙,请执行以下操作:
  9. 为流量添加接口。

    创建实例后需要添加网络接口。

    1. 单击 附加的 VNIC, 然后选择 创建 VNIC (ge000 - 公共和 ge001 - 专用)。选择已创建的子网,然后单击 保存更改 以将 VNIC 添加到实例。

      注意:

      连接网络接口的顺序非常重要。必须将第一个网络接口映射到 fxp0,然后将第二个接口映射到 ge-0/0/0,然后再映射到 ge-0/0/1,依此类推。
      图 15:连接的 VNIC Attached VNICs Attached VNICs
  10. 连接到已启动的 vSRX 虚拟防火墙实例。打开 SSH 客户端以访问启动的 vSRX 虚拟防火墙实例。首次引导时,您只能通过 SSH 连接 vSRX 虚拟防火墙。vSRX 虚拟防火墙使用默认 OCI 配置启动。使用私有密钥对 vSRX 虚拟防火墙实例进行 SSH 连接。