了解借助 Google Cloud 部署 vSRX 虚拟防火墙

Google Cloud Platform （GCP） 是 Google 提供的公共云服务。与 Amazon Web Service （AWS） 和 Microsoft Azure 一样，GCP 提供了一套产品和服务，允许您在 Google 可扩展基础架构上构建和托管应用程序和网站、存储数据以及分析数据。提供即用即付模式，让您不必使用专用硬件构建自己的私有云。

借助 Google 的虚拟私有云 （VPC），您可以灵活地扩展和控制工作负载在区域和全球的连接方式。将本地或远程资源连接到 GCP 时，即可对 VPC 进行全局访问，而无需在每个区域复制连接或管理策略。

公共云中的 vSRX 虚拟防火墙可用于保护服务虚拟机不受公共互联网攻击，或保护不同子网中的虚拟机，或用作 VPN 网关。

与 AWS 一样，GCP 允许您在 Google 公共基础架构之上构建自己的 VPC。与 AWS 不同，GCP 使用 KVM 而不是修改的 Xen 作为虚拟机管理虚拟机管理程序。

在 Google 云中，vSRX 虚拟防火墙实例在 Google VPC 上运行。Google VPC 具有以下属性：

• 提供全球专用通信空间。

• 支持组织中的多租户。

• 在 Google Cloud Platform （GCP） 资源（如计算引擎和云存储）之间提供专用通信。

• 使用识别和访问管理 （IAM） 为配置访问提供安全性。

• 跨混合环境可扩展。

在 GCP 中创建资源时，您可以选择网络和子网。对于实例模板以外的资源，您还可以选择一个区域或一个地区。选择区域将隐式选择其父区域。由于子网是区域对象，因此您为资源选择的区域决定了它可以使用的子网。

创建实例的过程涉及选择区域、网络和子网。可供选择的子网仅限于所选区域内的子网。GCP 将从子网中的可用地址范围为实例分配一个 IP 地址。

创建托管实例组的过程涉及根据组类型选择区域或区域，以及实例模板。可供选择的实例模板仅限于为托管实例组选择的相同区域所定义的子网的实例模板。实例模板是一种全局资源。创建实例模板的过程涉及选择网络和子网。如果您选择自动模式网络，则可以选择“自动子网”，将子网选择推迟到使用该模板的任何托管实例组的选定区域中可用的子网，因为自动模式网络按定义在每个区域都有一个子网。

图 1 显示了典型 Google VPC 的示例。

vSRX 虚拟防火墙实例在 VPC 子网中具有多个虚拟接口。第一个接口 （fxp0） 将是管理接口。它连接到互联网网关，以便公共访问。您可以使用 SSH 访问接口并使用 Junos CLI 管理虚拟设备，就像使用 SRX 系列防火墙一样。后续接口是收入端口。它们由在 Linux 上运行的流式进程管理，并处理所有流量。在 GCP 上，每个 vSRX 虚拟防火墙实例最多允许 8 个网络接口。

首次启动所需的一些初始配置参数包括主机名、root 密码、SSH 公钥、管理接口 （fxp0） IP 地址和默认网关 IP 地址。

从 Junos OS 19.2R1 版开始，GCP 支持具有 2 个 vCPU、4-GB 内存和 19 GB 磁盘空间的 vSRX 虚拟防火墙实例。

• 管理对实例的访问
• 访问实例