Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
在此页面上
 

准备在 GCP vSRX部署

开始之前,您需要一个 Google 帐户和身份和访问管理 (IAM) 角色,并拥有访问、创建、修改和删除计算引擎实例和存储服务以及 Google VPC 对象的所有所需权限。您还应创建访问密钥和相应的密钥、证书和帐户标识符。

图 1 显示了如何部署 vSRX,为在 Google VPC 的专用子网中运行的应用程序提供安全性的示例。

图 1:Google VPC 示例 Example of a Google VPC

您需要在 Google Cloud Platform 上设置 vSRX 3.0 防火墙,以在 Google Cloud Platform (GCP) 上的 Google 云计算机引擎实例上部署 vSRX 3.0 防火墙。

在部署 vSRX 3.0 版之前,您必须创建项目网络和子网,并针对该接口规划网络和 IP vSRX分配。部署期间,必须从现有网络和子网中选择。

Subnetworks—您必须在计划部署网络的特定区域的每个 VPC 网络中创建vSRX。VPC 网络可以在不同的区域添加子网。这些子网都是 GCP 中的内部网络。

  • IP Address—创建接口子网时,需要分配 IP 地址范围。

  • Range— 网络子网的范围不能与其他子网重叠。

  • External IP Address— 在vSRX期间,您可以在为 vSRX 创建网络接口时选择启用或禁用外部 IP 地址,默认情况下,临时 IP 地址自动分配。您还可以在创建网络接口时指定静态地址。

  • Management Interface— 添加到网络接口的第一个vSRX映射到网络接口上的 fxp0 vSRX。

    • 启用 IP 转发

    • 此接口具有外部 IP 地址。

    • 默认情况下vSRX,DHCP 将启用至 fxp0。

    • 完成部署后,可以将部署期间给定的临时 IP 地址更改为静态 IP 地址。

  • Interface Order—第一个网络接口映射到 fxp0,第二个网络接口映射到 ge-0/0/0,第三个网络接口映射到 ge-0/0/1。

  • Number of vSRX Interfaces

    • 每个实例允许的最大虚拟接口数vSRX为 8。

    • 要创建vSRX实例,必须指定机器类型。机器类型指定可用于 VM 实例的虚拟化硬件资源的特定集合,包括内存大小、虚拟 CPU 计数和最大磁盘容量。

    • Default VPC Network—GCP 项目中有默认网络,如果未用,可以删除默认网络。默认情况下,一个项目中有五个网络。您可以为项目请求附加网络。

    • Firewall Rules—您必须创建 GCP 防火墙规则以允许访问管理连接。

开始之前,请确保做好以下准备:

  • Google Cloud Platform Account 规划

  • SSH 密钥对

  • 虚拟私有云 (VPC) 网络规划

步骤 1:Google Cloud Platform Account 规划

开始在虚拟机vSRX之前,请查看许可信息并收集配置过程需要的信息。

  1. 了解您的vSRX许可证要求。
  2. 确定管理接口和其他接口的专用 IP 地址。
  3. 获得 GCP 帐户所需的权限。

    • 具有已链接电子邮件地址的 GCP 用户帐户

    • 身份和访问管理 (IAM) 角色,作为计算查看器、存储对象查看器和监控指标编写器。

    Accounts and Permissions—在 Google Computer Engine 实例上部署 vSRX 3.0 之前,请确保您拥有正确的帐户和权限。示例帐户角色和 IAM 权限如图 2 所示

    图 2:客户角色示例和 IAM 权限 Sample Account Roles and IAM Permissions

步骤 2:定义网络属性并生成 SSH 密钥对进行身份验证

以下步骤提供了定义网络属性的步骤,并生成自己的 SSH 密钥对以允许首次登录:

  1. 选择机器类型后,必须在 VM 的高级选项中定义网络属性。

    单击 主页上的 VM 实例选项卡,然后单击 3中所示的网络选项卡。更新网络属性并添加所需接口。

    图 3:定义网络属性 Define Network Attributes

    您每个实例最多可以添加 8 个vSRX接口。

    注意:

    您无法选择虚拟接口类型。GCP 仅支持 VirtIO 接口类型。GCP 中不支持 SR-IOV。
  2. vSRX仅通过 RSA SSH 密钥认证管理首次登录的身份验证。不允许密码,因此您不能通过 GCP vSRX登录服务器。不允许没有密码的 root 登录。因此,在 Google Compute Engine 中部署 vSRX实例之前,必须先生成自己的 SSH 密钥。

    生成公钥和私钥。创建 SSH 密钥对,然后存储为操作系统的默认位置中的 SSH 密钥。

    • 如果您使用 Linux 或 MacOS:使用 ssh-keygen 在 .ssh 目录中创建密钥对。运行 ssh-keygen -t rsa -f ~/.ssh/gcp-user-1 -C gcp-user 命令。这里的 gcp-user-1 是密钥文件的名称 ,gcp-user 是 用户名。

      注意:

      第一次登录 vSRX 时,必须使用"gcp-user"作为vSRX。

    • 如果您使用 Windows:使用 PuTTYgen 创建密钥对。

  3. 在文本编辑器中复制您的公钥。在 GCP 市场中vSRX粘贴粘贴。
  4. 阻止项目范围的 SSH 密钥,并为每个实例指定vSRX SSH 密钥。

    单击虚拟机实例页面上的 SSH 密钥 选项卡,如 图 4 所示

    注意:

    SSH 密钥由公钥认证用于第一次登录。作为安全度量,您必须阻止项目范围的 SSH 密钥,并为每个实例指定一个 SSH vSRX密钥。
    图 4:阻止项目范围的 SSH 密钥 Block Project-Wide SSH Keys
  5. 以 .ppk 格式保存私钥。稍后,您需要此密钥来vSRX实例。

步骤 3:规划 Google 虚拟私有云 (VPC) 网络

在 Google Cloud Platform 中准备虚拟私有云 (VPC) 网络。开始在 GCP 上部署网络之前,您必须创建虚拟专用网络、规则和子网并配置接口,vSRX包括:

  1. 登录 Google Cloud 控制台。
  2. VPC Networks —您必须为每个网络接口创建一个vSRX网络。

    在左侧导航区域,单击 网络下的 VPC 网络

  3. 在顶部窗格中,单击 CREATE VPC NETWORK
  4. 输入网络的名称。
  5. 创建具有以下详细信息的子网,然后单击 创建

    • 名称—子网的名称。

    • IP 地址—为创建接口子网分配 IP 地址范围。此范围用于内部网络,因此请确保地址范围不会与其他子网重叠。

    • 区域— 选择您希望启动虚拟机vSRX区域。

    • Private Google Access— 保留默认值 Off

    • 流日志— 保留默认值 Off