Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

准备在 GCP 上设置 vSRX 虚拟防火墙部署

开始之前,您需要有一个 Google 帐户以及一个身份和访问管理 (IAM) 角色,以及访问、创建、修改和删除计算引擎实例和存储服务以及 Google VPC 对象所需的全部权限。您还应创建访问密钥和相应的密钥访问密钥、证书和帐户标识符。

图 1 显示了如何部署 vSRX 虚拟防火墙的示例,为在 Google VPC 私有子网中运行的应用程序提供安全性。

图 1:Google VPC Example of a Google VPC 示例

您需要在 Google Cloud 平台上设置 vSRX 虚拟防火墙 3.0 防火墙,才能在 Google Cloud Platform (GCP) 上的 Google Cloud Computer Engine 实例上部署 vSRX 虚拟防火墙 3.0 防火墙。

在部署 vSRX 虚拟防火墙 3.0 之前,必须创建项目网络和子网,并规划 vSRX 虚拟防火墙接口的网络和 IP 地址分配。部署期间,您必须从现有网络和子网中进行选择。

Subnetworks—您必须在计划部署 vSRX 虚拟防火墙的特定区域的每个 VPC 网络中创建子网。VPC 网络可以在不同地区添加子网。这些子网都是 GCP 中的内部网络。

  • IP Address-在创建接口子网时,您需要分配 IP 地址范围。

  • Range— 网络子网的范围不能与其他子网重叠。

  • External IP Address—在 vSRX 虚拟防火墙部署期间,当您为 vSRX 虚拟防火墙创建网络接口时,您可以选择启用或禁用外部 IP 地址,默认情况下,系统会自动分配临时 IP 地址。您还可以在创建网络接口时指定静态地址。

  • Management Interface— 添加到 vSRX 虚拟防火墙中的第一个网络接口将映射到 vSRX 虚拟防火墙上的 fxp0。

    • 启用 IP 转发

    • 此接口有一个外部 IP 地址。

    • 在 vSRX 虚拟防火墙上,DHCP 默认为 fxp0。

    • 完成部署后,您可以将部署期间提供的临时 IP 地址更改为静态 IP 地址。

  • Interface Order—第一个网络接口映射到 fxp0,第二个网络接口映射到 ge-0/0/0,第三个网络接口映射到 ge-0/0/1。

  • Number of vSRX Interfaces

    • 每个 vSRX 虚拟防火墙实例允许的最大虚拟接口数为 8。

    • 要创建 vSRX 虚拟防火墙实例,必须指定机器类型。机器类型指定虚拟机实例可用的特定虚拟化硬件资源集合,包括内存大小、虚拟 CPU 计数和最大磁盘容量。

    • Default VPC Network-GCP 项目中存在默认网络,如果未使用,可以删除默认网络。默认情况下,项目中需要 5 个网络。您可以为您的项目申请其他网络。

    • Firewall Rules— 您必须创建一个 GCP 防火墙规则,以允许访问管理连接。

开始之前,请确保做好以下准备:

  • Google Cloud Platform 帐户规划

  • SSH 密钥对

  • 虚拟私有云 (VPC) 网络规划

步骤 1:Google Cloud Platform 帐户规划

开始部署 vSRX 虚拟防火墙虚拟机之前,请查看许可信息并收集配置过程所需的信息。

  1. 了解您的 vSRX 虚拟防火墙许可证要求。
  2. 确定管理接口和其他接口的专用 IP 地址。
  3. 获取 GCP 帐户所需的权限。

    • 带链接电子邮件地址的 GCP 用户帐户

    • 作为计算查看器、存储对象查看器和监控指标编写器的身份和访问管理 (IAM) 角色。

    Accounts and Permissions- 在 Google 计算机引擎实例上部署 vSRX 虚拟防火墙 3.0 之前,确保您拥有适当的帐户和权限。图 2 显示了示例帐户角色和 IAM 权限

    图 2:示例帐户角色和 IAM 权限 Sample Account Roles and IAM Permissions

步骤 2:定义网络属性并生成用于认证的 SSH 密钥对

下面的过程为您提供了定义网络属性并生成您自己的 SSH 密钥对以允许首次登录的步骤:

  1. 选择机器类型后,必须在虚拟机的高级选项中定义网络属性。

    单击主页上的 VM 实例 选项卡,然后单击 网络选项卡, 如图 3 所示。更新网络属性并添加所需的接口。

    图 3:定义网络属性 Define Network Attributes

    您可以为每个 vSRX 虚拟防火墙实例添加多达 8 个接口。

    注意:

    您不能选择虚拟接口类型。GCP 仅支持 VirtIO 接口类型。GCP 不支持 SR-IOV。
  2. vSRX 虚拟防火墙仅通过 RSA SSH 密钥身份验证管理首次登录的身份验证。不允许使用密码,因此您无法通过 GCP Web 上的控制台登录 vSRX 虚拟防火墙。不允许不带密码的 Root 登录。因此,在 Google Compute Engine 中部署 vSRX 虚拟防火墙实例之前,您必须生成自己的 SSH 密钥。

    生成公钥和私有密钥。创建 SSH 密钥对并将 SSH 密钥存储在操作系统的默认位置。

    • 如果您正在使用 Linux 或 MacOS:使用 ssh-keygen 在 .ssh 目录中创建密钥对。运行 ssh-keygen -t rsa -f ~/.ssh/gcp-user-1 -C gcp-user 命令。这里 gcp-user-1 是密钥文件的名称, gcp-user 是用户名。

      注意:

      首次登录 vSRX 虚拟防火墙时,必须使用“gcp-user”作为用户名。

    • 如果您使用 Windows:使用 PuTTYgen 创建密钥对。

  3. 在文本编辑器中复制您的公钥。稍后在 GCP 市场中部署 vSRX 虚拟防火墙时,您需要粘贴它。
  4. 阻止项目范围的 SSH 密钥,并为每个 vSRX 虚拟防火墙实例指定一个 SSH 密钥。

    单击虚拟机实例页面上的 SSH 密钥选项卡,如图 4 所示。

    注意:

    SSH 密钥由公共密钥身份验证用于首次登录。作为安全度量,您必须阻止项目范围的 SSH 密钥,并为每个 vSRX 虚拟防火墙实例指定一个 SSH 密钥。
    图 4:阻止项目范围 SSH 密钥 Block Project-Wide SSH Keys
  5. 将私有密钥保存为 .ppk 格式。稍后,您需要此密钥来验证 vSRX 虚拟防火墙实例。

步骤 3:规划 Google 虚拟私有云 (VPC) 网络

在 Google Cloud Platform 中准备虚拟私有云 (VPC) 网络。在开始在 GCP 上部署 vSRX 虚拟防火墙之前,您必须创建虚拟专用网络、规则和子网并配置接口,其中包括:

  1. 登录 Google Cloud 控制台。
  2. VPC Networks-您必须为每个 vSRX 虚拟防火墙网络接口创建一个专门自定义网络。

    在左侧导航区域,单击 NETWORKING 下的 VPC 网络

  3. 在顶部窗格上,单击 创建 VPC 网络
  4. 输入网络的名称。
  5. 使用以下详细信息创建子网,然后单击 Create

    • 名称 — 子网的名称。

    • IP 地址 — 分配用于创建接口子网的 IP 地址范围。此范围用于内部网络,因此请确保地址范围不与其他子网重叠。

    • 区域 — 选择要启动 vSRX 虚拟防火墙虚拟机的区域。

    • 专用 Google 访问 — 保留默认值 Off

    • 流日志 — 保留默认值 Off