Microsoft Azure 上的 vSRX 虚拟防火墙要求
本部分概述了在 Microsoft Azure Cloud 上部署 vSRX 虚拟防火墙实例的要求。
Microsoft Azure Cloud 上 vSRX 虚拟防火墙的系统要求
从 Junos OS 15.1X49-D80 版和 Junos OS 17.3R1 版开始,可以将 vSRX 虚拟防火墙部署到 Microsoft Azure 云。Microsoft Azure 为已部署的 Azure 虚拟机 (VM) 支持各种大小和选项。
对于 Microsoft Azure 中的 vSRX 虚拟防火墙部署,建议使用 DSv2 系列虚拟机。Microsoft Azure 提供的 DSv2 系列 VM 使用高级存储 (SSD),非常适合需要更快 CPU 和更好本地磁盘性能或具有更高内存需求的应用程序。在可用的 DSv2 系列 VM 中,建议选择 Standard_DS3_v2、Standard_DS4_v2 或 Standard_DS5_v2,以便在 Microsoft Azure 中部署vSRX 虚拟防火墙 VM。有关详细信息,请参阅 DSv2 系列。
表 1 列出了 Azure 中可用的Standard_DS3_v2 VM Microsoft属性。
元件 |
规范 |
|---|---|
大小 |
Standard_DS3_v2 |
CPU 核心 |
4 |
记忆 |
14 GiB |
最大数据磁盘数 |
16 |
最大缓存和本地磁盘存储吞吐量:IOPS/MBps(缓存大小,以 GB 为单位) |
16,000/128 (172) |
最大未缓存磁盘吞吐量:IOPS/MBps |
12,800/192 |
最大 NIC/预期网络带宽 (Mbps) |
4/3000 |
表 2 列出了 Azure 中可用的Standard_DS4_v2 VM Microsoft属性。
元件 |
规范 |
|---|---|
大小 |
标准DS4_v2 |
CPU 核心 |
8 |
记忆 |
28 GiB |
最大数据磁盘数 |
32 |
临时存储 (SSD) GiB |
56 |
最大缓存和临时存储吞吐量:IOPS/MBps(缓存大小,单位:GiB) |
32000/256 (344) |
最大未缓存磁盘吞吐量:IOPS/MBps |
25600/384 |
最大 NIC/预期网络带宽 (Mbps) |
8/6000 |
vSRX 虚拟防火墙不支持 Microsoft Azure 中的高可用性配置。此外,vSRX 虚拟防火墙不支持 Microsoft Azure 中的第 2 层透明模式。您可以在 Microsoft Azure 云中部署的 vSRX 虚拟防火墙上配置多节点高可用性。有关详细信息,请参阅 Azure 云中的多节点高可用性。
表 3 列出了 Azure 中可用的Standard_DS5_v2 VM Microsoft属性。
元件 |
规范 |
|---|---|
大小 |
标准DS5_v2 |
CPU 核心 |
16 |
记忆 |
56 千兆字节 |
最大数据磁盘数 |
64 |
临时存储 (SSD) GiB |
112 |
最大缓存和临时存储吞吐量:IOPS/MBps(缓存大小,单位:GiB) |
64000/512 (688) |
最大未缓存磁盘吞吐量:IOPS/MBps |
51200/768 |
最大 NIC/预期网络带宽 (Mbps) |
8/12000 |
Microsoft Azure 云上 vSRX 虚拟防火墙的网络要求
在 Microsoft Azure 虚拟网络中部署 vSRX 虚拟防火墙 VM 时,请注意部署配置的以下细节:
双公共 IP 网络配置是 vSRX 虚拟防火墙 VM 网络连接的要求;vSRX 虚拟防火墙 VM 要求每个实例组有两个公共子网以及一个或多个专用子网。
vSRX 虚拟防火墙 VM 所需的公共子网包括:一个子网用于带外管理接口 (fxp0) 用于管理访问,另一个子网用于两个收入(数据)接口。默认情况下,一个接口被分配给 vSRX 虚拟防火墙 VM 上的不信任安全区域,另一个接口被分配到信任安全区域。
在 vSRX 虚拟防火墙 VM 的 Microsoft Azure 部署中,vSRX 虚拟防火墙支持管理接口 (fxp0) 和两个收入(数据)接口(端口 ge-0/0/0 和 ge-0/0/1),其中包括与 vSRX 虚拟防火墙 VM 之间的公共 IP 地址映射和转发数据流量。
Microsoft Azure 实例和 vSRX 虚拟防火墙实例类型
表 4 列出了 vSRX 虚拟防火墙支持的 Microsoft Azure 实例类型。
实例类型 |
vSRX 虚拟防火墙类型 |
vCPU |
实例类型内存 (GB) |
RSS 类型 |
|---|---|---|---|---|
Standard_DS3_v2 |
vSRX 虚拟防火墙-4CPU-14G 内存 |
4 |
14 |
HWRSS |
Standard_DS4_v2 |
vSRX 虚拟防火墙-8CPU-28G 内存 |
8 |
28 |
HWRSS |
Standard_DS5_v2 |
vSRX 虚拟防火墙-16CPU-56G 内存 |
16 |
56 |
HWRSS |
Microsoft Azure 上 vSRX 虚拟防火墙的接口映射
表 5 列出了 vSRX 虚拟防火墙和 Microsoft Azure 接口名称。第一个网络接口用于 vSRX 虚拟防火墙的带外管理 (fxp0)。
| 接口编号 |
vSRX 虚拟防火墙接口 |
Microsoft Azure 接口 |
|---|---|---|
| 1 |
fxp0 |
eth0 |
| 2 |
ge-0/0/0 |
以太币1 |
| 3 |
ge-0/0/1 |
以太币2 |
| 4 |
ge-0/0/2 |
以太子3 |
| 5 |
ge-0/0/3 |
以太坊4 |
| 6 |
ge-0/0/4 |
以太币5 |
| 7 |
ge-0/0/5 |
以太坊6 |
| 8 |
ge-0/0/6 |
以太网7 |
有关每种 Azure 实例类型支持的最大 NIC 数的信息,请参阅 Dv2 和 DSv2 系列 。
我们建议将收入接口放在路由实例中,以避免非对称流量/路由,因为默认情况下 fxp0 是默认 (inet.0) 表的一部分。将 fxp0 作为默认路由表的一部分时,可能需要两条默认路由:一条用于外部管理访问的 fxp0 接口,另一条用于流量访问的收入接口。将收入接口放在单独的路由实例中可避免在单个路由实例中出现两个默认路由的情况。确保属于同一安全区域的接口位于同一路由实例中。
Microsoft Azure 上的 vSRX 虚拟防火墙默认设置
vSRX 虚拟防火墙需要以下基本配置设置:
必须为接口分配 IP 地址。
接口必须绑定到区域。
必须在区域之间配置策略以允许或拒绝流量。
表 6 列出了 vSRX 虚拟防火墙安全策略的出厂默认设置
源区 |
目标区域 |
策略作 |
|---|---|---|
信任 |
不信任 |
许可证 |
信任 |
信任 |
许可证 |
请勿对 Microsoft Azure 中的 vSRX 虚拟防火墙实例使用命令 load factory-default 。出厂默认配置会删除“azure 预配”预配置。此组包含 vSRX 虚拟防火墙的关键系统级设置和路由信息。组“azure-provision”中的配置错误可能会导致无法连接到 Microsoft Azure 的 vSRX 虚拟防火墙。如果必须恢复为出厂默认设置,请确保在提交配置之前先手动重新配置 Microsoft Azure 预配置语句;否则,您将失去对 vSRX 虚拟防火墙实例的访问权限。
强烈建议在提交配置时,执行显式 commit confirmed 作,以避免断开与 vSRX 虚拟防火墙的连接。验证更改是否正常工作后,可以在 10 分钟内输入 commit 命令,使新配置保持活动状态。如果没有及时的秒确认,配置更改将被回滚。有关预配置的详细信息,请参阅 使用 CLI 配置 vSRX 。
提高 vSRX 虚拟防火墙性能的最佳实践
查看以下部署做法,以提高 vSRX 虚拟防火墙性能:
禁用所有 vSRX 虚拟防火墙接口的源/目标检查。
将密钥对的公钥访问权限限制为 400。
确保 Microsoft Azure 安全组与 vSRX 虚拟防火墙配置之间没有矛盾。
使用 vSRX 虚拟防火墙 NAT 保护您的实例免受直接 Internet 流量的影响。
变更历史表
是否支持某项功能取决于您使用的平台和版本。使用 功能浏览器 查看您使用的平台是否支持某项功能。