了解使用 Microsoft Azure Cloud 的 vSRX 虚拟防火墙
本节概述在 Microsoft Azure 云中部署的 vSRX 虚拟防火墙。
使用 Microsoft Azure 的 vSRX 虚拟防火墙
从 Junos OS 15.1X49-D80 版和 Junos OS 17.3R1 版开始,您可以将 vSRX 虚拟防火墙部署到 Microsoft Azure 云。Microsoft Azure 是 Microsoft 用于公共云的应用程序平台。这是一个开放、灵活、企业级云计算平台,可通过 Microsoft 托管数据中心的全球网络来构建、部署和管理应用和服务。它提供软件即服务 (SaaS)、平台即服务 (PaaS) 和基础架构即服务 (IaaS) 服务。将虚拟机 (VM) 放置在 Azure 虚拟网络上,Azure 中的分布式和虚拟网络可以帮助确保您的专用网络流量在逻辑上与其他 Azure 虚拟网络上的流量隔离。
Azure WA Linux 代理执行 vSRX 虚拟防火墙实例的调配工作。部署新的 vSRX 虚拟防火墙实例时,不断增加的 waagent 日志文件大小可能会导致 vSRX 虚拟防火墙停止。如果 vSRX 虚拟防火墙仍在运行,则直接删除 /var/log/waagent.log ,或运行 clear log waagent.log all
命令以清除日志文件。
或者, set groups azure-provision system syslog file waagent.log archive size 1m
您可以运行 and set groups azure-provision system syslog file waagent.log archive files 10
命令来防止无代理日志增长。这些配置将导致大小大于 1MB 的 waagent 日志轮换,并设置最多 10 次备份。
您可以添加 vSRX 虚拟防火墙虚拟安全设备,将网络安全功能作为 Azure 虚拟网络中的应用程序实例提供。vSRX 虚拟防火墙可保护 Microsoft Azure 云上虚拟网络内运行的工作负载。
您可以使用以下部署方法在 Azure 中部署 vSRX 虚拟防火墙虚拟机:
-
Azure 市场 — 从 Azure 市场部署 vSRX 虚拟防火墙虚拟机。Azure 市场为您提供了在虚拟网络中部署 vSRX 虚拟防火墙虚拟机的不同方法。您可以选择瞻博网络提供的自定义解决方案模板,基于特定用例(例如,安全网关)自动部署 vSRX 虚拟防火墙虚拟机。解决方案模板可自动处理与特定部署用例相关的依赖项,例如虚拟机设置、虚拟网络设置(例如管理接口 (fxp0) 的多个子集和两个收入(数据)接口)等。或者,您可以选择 vSRX 虚拟防火墙虚拟机映像,并根据您的特定网络要求定义部署设置和依赖项。从适用于 vSRX 虚拟防火墙的 Junos OS 15.1X49-D91 版开始,您可以从 Azure 市场将 vSRX 虚拟防火墙部署到 Microsoft Azure 云。
借助 Azure 市场,您还可以通过 Azure Marketplace for Azure Government Cloud(美国)发现和订阅支持受管制工作负载的软件。
-
Azure CLI — 通过 Azure CLI 部署 vSRX 虚拟防火墙虚拟机。您可以根据 Microsoft Azure 云中的网络要求自定义 vSRX 虚拟防火墙虚拟机部署设置和依赖项。为了帮助自动执行和简化在 Microsoft Azure 虚拟网络中部署 vSRX 虚拟防火墙虚拟机的过程,瞻博网络在 GitHub 存储库中提供了一系列脚本、Azure 资源管理器 (ARM) 模板和参数文件以及配置文件。
注意:从 Junos OS 15.1X49-D80 版和 Junos OS 17.3R1 版开始,您可以从 Azure CLI 将 vSRX 虚拟防火墙部署到 Microsoft Azure 云。
在 Microsoft Azure 中,您可以通过即用即付 (PAYG) 或自带许可证 (BYOL) 服务托管在云端。
vSRX 虚拟防火墙 PAYG 映像不需要任何瞻博网络许可证。
从 Junos OS 15.1X49-D120 版开始,Microsoft Azure 云上的 vSRX 虚拟防火墙支持 vSRX 虚拟防火墙,具有用于 PAYG 的防病毒保护捆绑包,提供 1 小时或 1 年订阅。此套装包含:
-
核心安全的标准 (STD) 功能,包括核心防火墙、IPsec VPN、NAT、CoS 和路由服务。
-
高级第 4 层到第 7 层安全服务,例如 AppID、AppFW、AppQoS 和 AppTrack 的 AppSecure 功能以及丰富的路由功能,包括内容安全防病毒功能。
图 1 展示了在 Microsoft Azure 中部署 vSRX 虚拟防火墙的方式。
在 Microsoft Azure 中,公有子网有权访问互联网网关,但私有子网则无法访问。vSRX 虚拟防火墙需要两个公有子网,每个实例组需要一个或多个私有子网。公共子网由一个用于管理接口 (fxp0) 和一个用于收入(数据)接口组成。私有子网连接到其他 vSRX 虚拟防火墙接口,可确保私有子网上应用程序与互联网之间的所有流量都必须通过 vSRX 虚拟防火墙实例。
有关 Microsoft Azure 术语的术语,请参阅 Microsoft Azure 术语表。
从 Junos OS 21.4R1 版开始,vSRX 虚拟防火墙 3.0 支持使用 Mellanox SR-IOV 虚拟功能实现高速网络的 Azure 加速网络 (AAN) 选项。
Microsoft Azure 为每个连接的网络接口提供 Azure 加速网络 (AAN) 选项。AAN 利用 Mellanox SR-IOV 虚拟功能实现高速网络。vSRX 虚拟防火墙 3.0 现在支持 AAN。vSRX 虚拟防火墙 3.0 和 AAN 在 Azure 云上提供更好的网络性能。
我们目前仅支持下面列出的适用于 Azure AAN 的 vSRX 虚拟防火墙 3.0 实例。
大小 | vCPU | 内存 (GiB) | 最大 NIC |
---|---|---|---|
Standard_D8ds_v4 | 8 | 32 | 4 |
Standard_D16ds_v4 | 16 | 64 | 8 |
Standard_D32ds_v4 | 32 | 128 | 8 |
-
使用
az network nic update --name <interface-name> --resource-group <resource-group> --accelerated-networking true
命令启用 AAN。 - 使用 Web GUI:登录 Microsoft Azure 门户后:
-
单击 虚拟网络 并选择正确的虚拟网络。网络”
单击 “连接的设备”,选择所需的 NIC 接口,然后单击“ 启用加速网络”。
-
单击 虚拟机 并选择所需的虚拟机,然后单击 网络。最后,单击正确的 NIC 接口窗格,然后单击 启用加速网络。
-
有关更多信息,请参阅 为复制的虚拟机启用加速网络。