Multinode-Hochverfügbarkeit in der Azure-Cloud
Lesen Sie dieses Dokument, um zu verstehen, wie Sie Multinode-Hochverfügbarkeit auf vSRX-Instanzen konfigurieren, die in der Azure-Cloud bereitgestellt werden.
Überblick
Sie können Multinode-Hochverfügbarkeit für virtuelle vSRX-Firewalls konfigurieren, die in der Microsoft Azure-Cloud bereitgestellt werden. Microsoft Azure ist Microsofts Anwendungsplattform für die Public Cloud. Es handelt sich um eine offene, flexible Cloud-Computing-Plattform der Enterprise-Klasse zum Erstellen, Bereitstellen und Verwalten von Anwendungen und Diensten über ein globales Netzwerk von Microsoft-verwalteten Datencentern.
Sie können ein Paar virtueller vSRX-Firewalls in Azure so konfigurieren, dass es wie in einer Aktiv/Backup-Multinode-Hochverfügbarkeitskonfiguration funktioniert. Die teilnehmenden Knoten betreiben gleichzeitig aktive Steuerungs- und Datenebenen. Die Knoten sichern sich gegenseitig, um im Falle eines System- oder Hardwareausfalls ein schnelles synchronisiertes Failover zu gewährleisten. Die Interchassis-Verbindung (ICL) zwischen den beiden Geräten synchronisiert und verwaltet die Statusinformationen und verarbeitet Geräte-Failover-Szenarien.
Sie können Multinode-Hochverfügbarkeit auf VMs der Virtuelle Firewall vSRX konfigurieren, indem Sie die Einstellungen für die Firewall-Bereitstellung in Microsoft Azure Cloud anpassen.
IPsec VPN-Unterstützung
Ab Junos OS Version 24.4R1 unterstützen wir IPsec-VPN für aktive/Backup-Multinode-Hochverfügbarkeit in Azure-Cloudbereitstellungen.
Einschränkung
Multinode-Hochverfügbarkeit unterstützt nicht mehrere SRG-Konfigurationen (aktiv/aktiv) in öffentlichen Cloud-Bereitstellungen. Der Aktiv-/Backup-Modus unterstützt SRG0 oder SRG1. Der IPsec-VPN-Tunnel verankert sich am SRG1, der in einem Stateful Active/Backup-Modus arbeitet. Alle VPN-Tunnel enden auf dem Gerät, auf dem SRG1 aktiv ist.
Architektur
Abbildung 1 zeigt, dass zwei Virtuelle Firewall vSRX-Instanzen ein Multinode-Hochverfügbarkeitspaar in der Azure-Cloud bilden. Eine Instanz der Virtuelle Firewall vSRX fungiert als aktiver Knoten und die andere Instanz als Backup-Knoten. Beide Knoten verbinden sich über eine ICL miteinander, um Statusinformationen zu synchronisieren und zu verwalten und um Geräte-Failover-Szenarien zu handhaben.
Virtuelle Firewall vSRX erfordert zwei öffentliche IP-Adressen und eine oder mehrere private IP-Adressen für jede einzelne Instanzgruppe. Die öffentlichen Subnetze bestehen aus einem für die Managementschnittstelle (fxp0) und einem für eine Umsatzschnittstelle (Daten). Sie können vier beliebige Umsatzschnittstellen für die Subnetzkonfiguration verwenden. Die private Schnittstelle ist mit den geschützten Ressourcen verbunden. Es stellt sicher, dass der gesamte Datenverkehr zwischen Anwendungen im privaten Subnetz und dem Internet die Instanz der Virtuelle Firewall vSRX passieren muss.
Für Multinode-Hochverfügbarkeit in Azure müssen Sie beide Firewalls in derselben Azure-Ressourcengruppe bereitstellen. Eine Azure-Ressourcengruppe ist ein logischer Container, der verwandte Ressourcen für eine Azure-Lösung enthält. Sie kann alle Ressourcen für die Lösung oder nur die Ressourcen enthalten, die Sie als Gruppe verwalten möchten.
Sie müssen jedem Knoten eine knotenspezifische primäre Adresse und beiden Knoten eine gemeinsame sekundäre oder floating-IP-Adresse zuweisen. Die sekundäre IP-Adresse, die als Floating-IP-Adresse fungiert, ist immer mit dem aktiven Knoten verbunden. Im Falle eines Fehlers auf dem derzeit aktiven Knoten wechselt die sekundäre IP-Adresse vom ausgefallenen aktiven Knoten zum aktuellen aktiven Knoten. Der neue aktive Knoten stellt den kontinuierlichen Datenverkehrsfluss sicher.
Zunächst werden beide Knoten mit vordefinierten Tags gestartet, die angeben, wer beim Hochfahren der Besitzer der sekundären IP-Adresse ist. Dieser bestimmte Knoten wird als aktiver Knoten und der andere als Backup-Knoten betrieben.
Split-Brain-Schutz
Das Split-Brain-Szenario bezieht sich auf eine Situation, in der beide Knoten des Multinode-Hochverfügbarkeitssystems im selben Zustand stecken bleiben, entweder aktiv oder Backup, wenn die Inter-Chassis-Verbindung (Inter-Chassis Link, ICL) zwischen den Knoten ausgefallen ist. Um diesen Zustand zu verhindern, versuchen beide Knoten, die primäre IP-Adresse der Vertrauensstellung oder die nicht vertrauenswürdige Schnittstelle basierend auf der Konfiguration zu untersuchen.
Wenn bei einem Interchassis-Link (ICL) ein Fehler zusammen mit einem Sondenfehler auftritt, übernimmt der Knoten, der keine Antwort von seinem Peer erhält, die aktive Rolle. Wenn die Sondierung jedoch erfolgreich ist und bestätigt, dass der Peer-Knoten noch betriebsbereit ist, behält der Knoten seinen aktuellen Zustand bei. Dieser Sondierungsprozess dauert an, bis die ICL wiederhergestellt ist.
Beispiel: Konfigurieren der Multinode-Hochverfügbarkeit in der Azure-Cloudbereitstellung
Sie können Multinode-Hochverfügbarkeit für virtuelle vSRX-Firewalls konfigurieren, die in der Microsoft Azure-Cloud bereitgestellt werden. Microsoft Azure ist Microsofts Anwendungsplattform für die Public Cloud. Es handelt sich um eine offene, flexible Cloud-Computing-Plattform der Enterprise-Klasse zum Erstellen, Bereitstellen und Verwalten von Anwendungen und Diensten über ein globales Netzwerk von Microsoft-verwalteten Datencentern.
Sie können ein Paar virtueller vSRX-Firewalls in Azure so konfigurieren, dass es wie in einer Aktiv/Backup-Multinode-Hochverfügbarkeitskonfiguration funktioniert. Die teilnehmenden Knoten betreiben gleichzeitig aktive Steuerungs- und Datenebenen. Die Knoten sichern sich gegenseitig, um im Falle eines System- oder Hardwareausfalls ein schnelles synchronisiertes Failover zu gewährleisten. Die Interchassis-Verbindung (ICL) zwischen den beiden Geräten synchronisiert und verwaltet die Statusinformationen und verarbeitet Geräte-Failover-Szenarien.
| Lesezeit |
1 Stunde |
| Konfigurationszeit |
2 Stunden |
Beispiele für Voraussetzungen
Lesen Sie dieses Thema, um zu erfahren, wie Sie die Multinode-Lösung für hohe Verfügbarkeit auf Firewalls der SRX-Serie konfigurieren.
In diesem Beispiel zeigen wir Ihnen, wie Sie Multinode-Hochverfügbarkeit auf zwei Virtuelle Firewall vSRX-Instanzen konfigurieren, die in der Azure-Cloud bereitgestellt werden.
| Anforderungen an VMs |
Zwei virtuelle vSRX-Firewalls in der Azure-Cloud bereitgestellt |
| Anforderungen an die Software |
Junos OS Version 23.4R1 oder höher |
| Lizenzanforderungen |
Verwenden Sie die Lizenz für die Virtuelle Firewall vSRX oder fordern Sie eine Evaluierungslizenz an. Lizenzen können über das Lizenzmanagementsystem (LMS) von Juniper Networks bezogen werden. |
Bevor Sie beginnen
| Vorteile |
Erhöht die Verfügbarkeit der in Azure bereitgestellten Firewalls der vSRX-Serie, was zu einer verbesserten Zuverlässigkeit und geringeren Ausfallzeiten führt. |
| Mehr erfahren |
|
| Weitere Informationen |
Funktionsübersicht
| Eingesetzte Technologien |
|
| Primäre Verifizierungsaufgaben |
|
Überblick über die Topologie
Abbildung 2 zeigt die in diesem Beispiel verwendete Topologie.
bereitgestellten vSRX-VMs
Wie in der Topologie dargestellt, werden zwei Instanzen der Virtuelle Firewall vSRX (vSRX Knoten 0 und vSRX Knoten 1) in der Azure-Cloud bereitgestellt. Die nicht vertrauenswürdige Seite stellt eine Verbindung zu einem öffentlichen Netzwerk her, während die vertrauenswürdige Seite eine Verbindung zu den geschützten Ressourcen herstellt.
Zwei Instanzen der Virtuelle Firewall vSRX werden im öffentlichen Subnetz platziert, da diese Zugriff auf das Internet-Gateway haben.
In einem Multinode-Setup mit hoher Verfügbarkeit wird eine Floating-IP-Adresse zwischen zwei Firewalls der SRX-Serie verschoben, wenn eine Verbindung oder Firewall ausfällt. Da die IP-Adresse der primären Schnittstelle auf der Azure-Firewall nicht verschoben werden kann, weisen Sie eine sekundäre IP-Adresse als Floating-IP zu. Wenn der aktive Knoten ausfällt, verlagert sich die Floating-IP-Adresse auf den Backup-Knoten, sodass dieser den Datenverkehr nahtlos als neuer aktiver Peer verarbeiten kann.
Darüber hinaus müssen Sie eine Interchassis-Verbindung (ICL) für die Datensynchronisierung und die Verwaltung von Statusinformationen einrichten. Die Knoten kommunizieren miteinander über eine routingfähige IP-Adresse, die ICL zugewiesen ist.
Die folgende Tabelle enthält Details zu Schnittstellen und IP-Adressen, die in diesem Beispiel verwendet werden.
| Primärer | Knoten fürSchnittstellenfunktion | (vSRX-Knoten 0) | Backup-Knoten (vSRX-Knoten 1) |
|---|---|---|---|
| GE-0/0/0 | ICL zur Verbindung mit dem Peer-Knoten |
10.0.1.10/24 |
10.0.1.11/24 |
| GE-0/0/1 | Nicht vertrauenswürdige Schnittstelle |
|
|
| GE-0/0/2 | Schnittstelle für Vertrauen |
|
|
Sie müssen das Virtuelle Firewall vSRX Image aus dem Azure Marketplace auswählen und die Virtuelle Firewall vSRX VM Bereitstellung Einstellungen und Abhängigkeiten basierend auf Ihren Netzwerkanforderungen in Microsoft Azure Cloud anpassen. Dieser Bereitstellung-Ansatz kann für die Konfiguration der Multinode-Hochverfügbarkeit auf vSRX-VMs erforderlich sein. Beachten Sie, dass dieses Bereitstellung-Szenario außerhalb der Anwendungsszenarien liegt, die in den VM-Lösungsvorlagen für die virtuelle Firewall vSRX von Juniper Networks angeboten werden.
Sehen wir uns die Details der einzelnen Schritte zur Bereitstellung der Virtuelle Firewall vSRX auf Microsoft Azure an.
Konfiguration im Azure-Portal
| Name | Typ |
|---|---|
| azure-vsrx3.0 | Ressourcengruppe |
| azure-vsrx3.0-vnet | Virtuelles Netzwerk |
| vSRX3.0-node0 | Virtuelle Maschine für Knoten 0 |
| vSRX3.0-node1 | Virtuelle Maschine für Knoten 1 |
| vsrx3.0-node0-ip | Öffentliche IP-Adresse für Knoten 0 |
| vsrx3.0-node1-ip | Öffentliche IP-Adresse für Knoten 1 |
| vsrx3.0-node0-nsg | Netzwerksicherheitsgruppe für Knoten 0 |
| vsrx3.0-node1-nsg | Netzwerksicherheitsgruppe für Knoten 1 |
| vsrx3.0-node172 | Netzwerkschnittstelle für Knoten 0 |
| vsrx3.0-node719 | Netzwerkschnittstelle für Knoten 1 |
| Name | Primäre private IP |
|---|---|
| L3HA-ge-0 | 10.0.1.10 |
| L3HALink-node1 | 10.0.1.11 |
| node0-ge-1 | 10.0.2.110 |
| node0-ge-2 | 10.0.3.10 |
| node1-ge-1 | 10.0.2.20 |
| node1-ge-2 | 10.0.3.20 |
- Erstellen einer Ressourcengruppe
- IAM-Rolle (Identitäts- und Zugriffsmanagement) zuweisen
- Erstellen eines Speicherkontos
- Erstellen eines virtuellen Netzwerks
- IAM-Rolle zuweisen
Erstellen einer Ressourcengruppe
Eine Ressourcengruppe ist ein logischer Container für Ressourcen, die in Azure bereitgestellt werden. Es hilft Ihnen bei der Verwaltung und Organisation zugehöriger Ressourcen. Die vSRX-VM ist eine Ressource innerhalb einer Azure-Ressourcengruppe. Alle mit der vSRX verbundenen Komponenten (z. B. virtuelles Netzwerk, Speicherkonto, öffentliche IP-Adresse usw.) sind Teil derselben Ressourcengruppe.- Melden Sie sich beim Azure-Portal an.
- Klicken Sie auf Ressource erstellen.
- Suchen Sie nach Ressourcengruppe , und erstellen Sie eine neue.
- Wählen Sie einen Namen aus, geben Sie Abonnement ein, und wählen Sie die Region für die Ressourcengruppe aus.
- Klicken Sie auf Überprüfen + erstellen und dann auf Erstellen. Die folgende Abbildung zeigt ein Beispiel für Ressourcengruppen.
Weitere Informationen finden Sie unter Erstellen einer Ressourcengruppe .
IAM-Rolle (Identitäts- und Zugriffsmanagement) zuweisen
IAM-Rollen steuern den Zugriff auf Azure-Ressourcen. Durch die Zuweisung von Rollen wird sichergestellt, dass nur autorisierte Benutzer bestimmte Ressourcen verwalten können. Sie müssen dem Benutzer oder den Benutzergruppen die Rolle "Dienstprinzipal" zuweisen, um IAM zu verwalten.
- Navigieren Sie zu Ihrer Ressourcengruppe.
- Klicken Sie auf Zugriffskontrolle (IAM).
- Fügen Sie eine neue Rollenzuweisung hinzu.
- Wählen Sie die gewünschte Rolle aus (Beispiel: Mitwirkender an Dienstprinzipal, Eigentümer usw.).
- Wählen Sie den Benutzer oder die Benutzergruppe aus, denen die Rolle zugewiesen werden soll.
- Klicken Sie auf Speichern.
Erstellen eines Speicherkontos
Ein Speicherkonto bietet einen eindeutigen Namensraum zum Speichern und Zugreifen auf Datenobjekte in Azure.- Klicken Sie in Ihrer Ressourcengruppe auf Erstellen (+).
- Suchen Sie nach "Speicherkonto", und erstellen Sie ein neues.
- Geben Sie den Namen, das Bereitstellungsmodell, die Leistung und andere Einstellungen an.
- Klicken Sie auf Überprüfen + erstellen und dann auf Erstellen. Weitere Informationen finden Sie unter Erstellen eines Speicherkontos .
Erstellen eines virtuellen Netzwerks
Ein virtuelles Netzwerk (VNet) ist die Grundlage für Ihre Azure-Infrastruktur. Es ermöglicht Ihnen, Azure-Ressourcen sicher zu verbinden.
- Klicken Sie in Ihrer Ressourcengruppe auf Erstellen (+).
- Suchen Sie nach Virtuelles Netzwerk, und erstellen Sie ein neues.
- Definieren Sie den Namen, den Adressraum und die Subnetzkonfiguration.
- Klicken Sie auf Überprüfen + erstellen und dann auf Erstellen.
- Klicken Sie auf Einstellungen > Subnetze. Die Subnetze werden verwendet, um die beiden Knoten der Virtuelle Firewall vSRX über eine logische Verbindung zu verbinden (wie das physische Kabel, das die Ports verbindet).
Die folgende Tabelle zeigt eine Beispielkonfiguration, die in diesem Beispiel verwendet wird.
Tabelle 5: Subnetzkonfiguration im Azure-Portal Funktion CIDR-Rolle Management-Subnetz 10.0.3.0/24 Verwaltung des Datenverkehrs ICL-Subnetz 10.0.1.0/24 RTO-, Synchronisations- und Sonden-bezogener Datenverkehr Nicht vertrauenswürdiges Subnetz 10.0.2.0/24 Externer Datenverkehr Subnetz vertrauen 10.0.3.0/24 Interner Datenverkehr
IAM-Rolle zuweisen
- Aktivieren Sie Berechtigungen für die Verwendung der Azure-API, indem Sie unter Startseite > verwaltete Identitäten navigieren.
- Wählen Sie Ihre Ressourcengruppe und dann Azure-Rollenzuweisungen aus, und klicken Sie auf die Rolle, der Sie Berechtigungen zuweisen möchten.
Sie müssen die folgenden Berechtigungen aktivieren:
- Microsoft.Authorization/*/read
- Microsoft.Compute/virtualMachines/read
- Microsoft.Network/networkSecurityGroups/join/action
- Microsoft.Network/networkInterfaces/*
- Microsoft.Network/virtualNetworks/join/action
- Microsoft.Network/publicIPAddresses/read
- Microsoft.Network/publicIPAddresses/write
- Microsoft.Network/publicIPAddresses/join/action
- Microsoft.Authorization/*/read
- Microsoft.Compute/virtualMachines/read
- Microsoft.Network/routeTables/*
- Microsoft.Network/networkInterfaces/*
Jetzt können Sie vSRX-VMs bereitstellen.
Bereitstellen von vSRX-VMs
Führen Sie die folgenden Schritte aus, um zwei vSRX-VM-Instanzen bereitzustellen. Sie verwenden diese beiden Instanzen, um Multinode-Hochverfügbarkeit einzurichten. Weitere Informationen finden Sie unter Bereitstellen des Images der Virtuelle Firewall vSRX aus dem Azure Marketplace.
- Melden Sie sich mit Ihren Microsoft-Kontoanmeldeinformationen beim Azure-Portal an.
- Suchen Sie im Azure Marketplace nach vSRX, indem Sie auf Ressource erstellen klicken und nach Virtuelle Firewall vSRX suchen.
-
Wählen Sie das vSRX-VM-Image aus dem Azure Marketplace aus.
- Konfigurieren Sie die Bereitstellungeinstellungen, indem Sie die folgenden Details angeben:
- Name für Ihre vSRX-VM.
- Ressourcengruppe. (Sie können eine neue erstellen oder eine vorhandene Gruppe verwenden). Verwenden Sie in diesem Beispiel azure-vsrx3.0 , das Sie zuvor erstellt haben.
Hinweis:
Stellen Sie beide Instanzen der Virtuelle Firewall vSRX in derselben Ressourcengruppe bereit. Die Ressourcengruppe enthält alle Ressourcen, die den virtuellen vSRX-Firewalls für diese Bereitstellung zugeordnet sind.
- Abonnement
- VM-Datenträgertyp
- Region, in der Sie die VM bereitstellen möchten.
- Authentifizierungstyp
- Benutzername und Kennwort für den VM-Zugriff.
- Konfigurieren Sie die Speicher-, Netzwerk- und Überwachungseinstellungen für die VM der Virtuelle Firewall vSRX. Dazu gehören die Angabe des Speicherkontos, des virtuellen Netzwerks, des Subnetzes, der öffentlichen IP-Adresse, der Netzwerksicherheitsgruppe, der VM-Erweiterungen, der Verfügbarkeitsgruppe und der Überwachungsoptionen.
- Überprüfen Sie Ihre Einstellungen und klicken Sie auf Erstellen.
Azure beginnt mit der Bereitstellung der vSRX-VM basierend auf Ihrer Konfiguration. Nachdem die VMs der Virtuelle Firewall vSRX erstellt wurden, werden im Dashboard des Azure-Portals die neuen VMs der Virtuelle Firewall vSRX unter Ressourcengruppen aufgelistet.
Denken Sie daran, diese Schritte an Ihre spezifischen Anforderungen und Ihr Netzwerkdesign anzupassen.
Führen Sie die folgenden Konfigurationen für die Virtuelle Firewall vSRX Instances durch, die Sie gerade im Azure-Portal bereitgestellt haben:
- Tags erstellen
- Erstellen einer öffentlichen IP-Adresse
- Erstellen einer Netzwerkschnittstelle
- Erstellen einer Netzwerk-Sicherheits-Gruppe (NSG)
- Einrichten von Schnittstellen und IP-Adressen
Tags erstellen
Wählen Sie auf der Seite Ihrer vSRX-VM in der linken Navigationsleiste die Option Tags aus.
Erstellen Sie Tags in Azure für beide VMs, um die vertrauenswürdigen und nicht vertrauenswürdigen Schnittstellen auf zwei Virtuelle Firewall vSRX Instanzen zu identifizieren. In den folgenden Tabellen sind die in diesem Beispiel verwendeten Beispieltags aufgeführt.
| Tag-Name |
Wert |
|---|---|
| local_trust_interface |
node0-ge-002 |
| local_untrust_interface |
node0-ge-001 |
| Peer_Trust-Schnittstelle |
node1-ge-002 |
| Peer_UnTrust_Interface |
node1-ge-001 |
Beachten Sie, dass die in der Tabelle genannten Tag-Namen für die Standardkonfiguration gelten. Wir empfehlen, in der Konfiguration die gleichen Tag-Namen zu verwenden.
Erstellen einer öffentlichen IP-Adresse
Wechseln Sie im Azure-Portal zum Abschnitt Ressource erstellen . Suchen und wählen Sie Netzwerk aus, und wechseln Sie dann zu Öffentliche IP-Adresse.
- Klicken Sie auf Erstellen , um mit der Einrichtung einer neuen öffentlichen IP-Adresse zu beginnen.
- Konfigurieren Sie die IP-Adresseinstellungen mit den folgenden Details:
- Name: Geben Sie einen eindeutigen Namen für die öffentliche IP-Ressource ein.
- SKU: Wählen Sie zwischen Basis- und Standardangeboten.
- IP-Version: Wählen Sie IPv4 oder IPv6 basierend auf Ihren Anforderungen.
- IP-Adresszuweisung: Wählen Sie Statisch oder Dynamisch aus.
- Wählen Sie eine Ressourcengruppe aus, in der sich diese IP-Adresse befindet, oder erstellen Sie sie.
- Standort: Wählen Sie die Azure-Region aus, die Ihren Benutzern am nächsten liegt.
- Überprüfen Sie nach der Konfiguration die Einstellungen, und klicken Sie dann auf Erstellen , um die öffentliche IP-Adresse zuzuweisen.
Erstellen einer Netzwerkschnittstelle
Planen Sie die Netzwerkschnittstellenkonfiguration auf den Firewalls der vSRX-Serie in Azure.
- Navigieren Sie im Azure-Portal im Abschnitt Netzwerk zu Netzwerkschnittstellen.
- Klicken Sie auf Netzwerkschnittstelle erstellen.
- Geben Sie die folgenden Details für die neue Netzwerkschnittstelle ein:
- Name: Geben Sie einen eindeutigen Namen für Ihre NIC an.
- Region: Wählen Sie dieselbe Region wie Ihr VNet, Ihre VMs und IP-Adressen aus.
- Virtuelles Netzwerk: Wählen Sie das virtuelle Netzwerk aus, dem Ihre NIC zugeordnet werden soll.
- Subnetz: Wählen Sie das entsprechende Subnetz aus.
- Fügen Sie bei Bedarf die zuvor erstellte öffentliche IP-Adresse an.
- Wählen Sie aus, ob Sie eine neue Netzwerksicherheitsgruppe erstellen oder einer vorhandenen verknüpfen möchten.
- Überprüfen Sie die Einstellungen und klicken Sie auf Erstellen , um die neue NIC zu Bereitstellung.
Erstellen einer Netzwerk-Sicherheits-Gruppe (NSG)
- Wählen Sie im Azure-Portal in der Kategorie Netzwerk die Option Netzwerksicherheitsgruppen aus.
- Wählen Sie Netzwerksicherheitsgruppe erstellen aus.
- Richten Sie Ihre NSG mit den folgenden Details ein:
- Name: Erstellen Sie einen Namen für Ihre NSG.
- Abonnement: Stellen Sie sicher, dass Sie innerhalb des richtigen Abonnements arbeiten.
- Ressourcengruppe: Wählen Sie eine vorhandene aus, oder erstellen Sie eine neue.
- Speicherort: Ordnen Sie ihn dem Speicherort der zu schützenden Ressourcen zu.
- Regeln hinzufügen: Definieren Sie nach der Erstellung eingehende und ausgehende Sicherheitsregeln, um den Datenverkehr zu und von Ihrer NIC und Ihren VMs zu steuern.
- Kehren Sie zu Ihrer NIC oder Ihrem Subnetz zurück, und ordnen Sie sie der neuen NSG zu.
- Überprüfen Sie die Konfigurationen, und erstellen Sie dann die NSG.
Denken Sie daran, geeignete Sicherheitsregeln für Ihre NSG zu definieren, um den Datenverkehrsfluss gemäß Ihren Anforderungen zu verwalten.
Nachdem Sie eine Netzwerkschnittstelle, eine öffentliche IP-Adresse und eine Netzwerksicherheitsgruppe erstellt haben, können Sie die NIC an einen virtuellen Computer und die NSG an die NIC oder ein Subnetz anfügen. Dies vervollständigt die für die Netzwerkkonnektivität und Sicherheit für Ihre Azure-Umgebung erforderliche Einrichtung.
Einrichten von Schnittstellen und IP-Adressen
- Navigieren Sie zu Ihrer bereitgestellten vSRX-VM, und klicken Sie auf Einstellungen > Netzwerk.
- Suchen Sie die angeschlossene Netzwerkschnittstelle.
- Klicken Sie auf den Namen der Netzwerkschnittstelle, um die Details zu öffnen. Im Abschnitt IP-Konfigurationen finden Sie die zugewiesene IP-Adresse (falls vorhanden) und können auch die IP-Adresse konfigurieren. Verwenden Sie für dieses Beispiel die IP-Adresskonfiguration, wie in der folgenden Tabelle erwähnt:
| VMs |
vSRX VM-Knoten 0 (vsrx3.0-node0) (aktiver Knoten) |
vSRX VM Knoten 1 (vsrx3.0-node1) (Backup-Knoten) |
||||
|---|---|---|---|---|---|---|
| Nicht vertrauenswürdige Schnittstelle | Trust-Schnittstelle |
ICL |
Nicht vertrauenswürdige Schnittstelle |
Trust-Schnittstelle |
ICL |
|
| Schnittstellen | GE-0/0/1 | GE-0/0/2 | GE-0/0/0 |
GE-0/0/1 | GE-0/0/2 | GE-0/0/0 |
| Primäre IP-Adresse | 10.0.2.110 |
10.0.3.10 |
10.0.1.10/24 |
10.0.2.20 |
10.0.3.20 |
10.0.1.11/24 |
| Sekundäre IP-Adresse (statische IP-Adresse aus dem Subnetz) | 10.0.2.11 |
10.0.3.12 |
- |
Der Knoten, der als Backup-Knoten fungiert, erhält dieselbe IP-Adresse, wenn er in die aktive Rolle übergeht. | Der Knoten, der als Backup-Knoten fungiert, erhält dieselbe IP-Adresse, wenn er in die aktive Rolle übergeht. | - |
| Ordnen Sie eine öffentliche IP-Adresse einer sekundären zu, um das Internet zu erreichen | 172.16.0.0 |
(In diesem Beispiel nicht zutreffend) |
- |
Hinweis: Der Knoten, der als Backup-Knoten fungiert, erhält dieselbe IP-Adresse, wenn er in die aktive Rolle übergeht. |
(In diesem Beispiel nicht zutreffend) |
- |
Stellen Sie sicher, dass Sie die IP-Weiterleitung auf der Control Link Interface aktivieren und Standardrouten sowohl auf der vertrauenswürdigen als auch auf der nicht vertrauenswürdigen Seite konfigurieren.
Klicken Sie auf Einstellungen > Netzwerk, um Schnittstellen, Subnetz- und IP-Konfigurationen Ihrer VM anzuzeigen.
Nach Abschluss der Bereitstellung der Virtuelle Firewall vSRX wird die VM der Virtuelle Firewall vSRX automatisch eingeschaltet und gestartet. Ab sofort können Sie sich mit einem SSH-Client bei der VM der Virtuelle Firewall vSRX anmelden.
Nachdem nun alle im Azure-Portal erforderlichen Konfigurationen abgeschlossen sind, beginnen wir mit der Konfiguration der Virtuelle Firewall vSRX mithilfe der CLI.
Stellen Sie sicher, dass Sie die neueste Version des vSRX-Software-Images (23.4R1 oder höher) verwenden. Sie können die Software von Junos OS für die Virtuelle Firewall vSRX direkt über die CLI aktualisieren. Das Upgrade oder Downgrade von Junos OS kann je nach Größe und Konfiguration des Netzwerks mehrere Stunden dauern. Sie können die gewünschte Datei Junos OS Release for Virtuelle Firewall vSRX.tgz von der Website von Juniper Networks herunterladen. Weitere Informationen finden Sie unter Anweisungen zu Migration, Upgrade und Downgrade.
Konfiguration der virtuellen Firewalls von vSRX
Vollständige Beispielkonfigurationen auf dem Prüfling finden Sie unter:
Das Junos IKE-Paket wird für Ihre Firewalls der SRX-Serie für eine Multinode-Hochverfügbarkeitskonfiguration empfohlen. Dieses Paket ist als Standardpaket oder als optionales Paket für Firewalls der SRX-Serie erhältlich. Weitere Informationen finden Sie unter Unterstützung für das Junos IKE-Paket .
Wenn das Paket nicht standardmäßig auf Ihrer Firewall der SRX-Serie installiert ist, verwenden Sie den folgenden Befehl, um es zu installieren. Sie benötigen diesen Schritt für die ICL-Verschlüsselung.
user@host> request system software add optional://junos-ike.tgz Verified junos-ike signed by PackageProductionECP256_2022 method ECDSA256+SHA256 Rebuilding schema and Activating configuration... mgd: commit complete Restarting MGD ... ...... Restart cli using the new version ? [yes,no] (yes)
Verifizierung
Verwenden Sie die show-Befehle, um zu bestätigen, dass die Konfiguration ordnungsgemäß funktioniert.
| Aufgabe zur Befehlsüberprüfung | |
|---|---|
|
|
Zeigen Sie Details zum Multinode-Hochverfügbarkeitsstatus auf Ihrem Sicherheitsgerät an, einschließlich des Integritätsstatus des Peer-Knotens. |
show security cloud high- availability information |
Zeigen Sie den Status der Multinode-Hochverfügbarkeits-Bereitstellung in einer öffentlichen Cloud (AWS oder Azure) an. |
- Überprüfen Sie die Details zur Multinode-Hochverfügbarkeit
- Überprüfen der Multinode-Hochverfügbarkeitsinformationen in Azure
Überprüfen Sie die Details zur Multinode-Hochverfügbarkeit
Zweck
Zeigen Sie die Details des auf Ihrer Virtuelle Firewall vSRX Instance konfigurierten Multinode-Hochverfügbarkeits-Setups an und überprüfen Sie es.
Aktion
Führen Sie im Betriebsmodus den folgenden Befehl auf beiden Geräten aus.
Auf Knoten 0 (aktiver Knoten)
user@srx-00> show chassis high-availability information
Node failure codes:
HW Hardware monitoring LB Loopback monitoring
MB Mbuf monitoring SP SPU monitoring
CS Cold Sync monitoring SU Software Upgrade
Node Status: ONLINE
Local-id: 1
Local-IP: 10.0.1.10
HA Peer Information:
Peer Id: 2 IP address: 10.0.1.11 Interface: ge-0/0/0.0
Routing Instance: default
Encrypted: NO Conn State: UP
Configured BFD Detection Time: 5 * 400ms
Cold Sync Status: COMPLETE
SRG failure event codes:
BF BFD monitoring
IP IP monitoring
IF Interface monitoring
CP Control Plane monitoring
Services Redundancy Group: 1
Deployment Type: CLOUD
Status: ACTIVE
Activeness Priority: 200
Preemption: DISABLED
Process Packet In Backup State: NO
Control Plane State: READY
System Integrity Check: N/A
Failure Events: NONE
Peer Information:
Peer Id: 2
Status : BACKUP
Health Status: HEALTHY
Failover Readiness: NOT READY
Auf Knoten 1 (Backup-Knoten)
user@srx-01# show chassis high-availability information
Node failure codes:
HW Hardware monitoring LB Loopback monitoring
MB Mbuf monitoring SP SPU monitoring
CS Cold Sync monitoring SU Software Upgrade
Node Status: ONLINE
Local-id: 2
Local-IP: 10.0.1.11
HA Peer Information:
Peer Id: 1 IP address: 10.0.1.10 Interface: ge-0/0/0.0
Routing Instance: default
Encrypted: NO Conn State: UP
Configured BFD Detection Time: 5 * 400ms
Cold Sync Status: COMPLETE
Services Redundancy Group: 0
Current State: ONLINE
Peer Information:
Peer Id: 1
SRG failure event codes:
BF BFD monitoring
IP IP monitoring
IF Interface monitoring
CP Control Plane monitoring
Services Redundancy Group: 1
Deployment Type: CLOUD
Status: BACKUP
Activeness Priority: 100
Preemption: DISABLED
Process Packet In Backup State: NO
Control Plane State: NOT READY
System Integrity Check: COMPLETE
Failure Events: NONE
Peer Information:
Peer Id: 1
Status : ACTIVE
Health Status: HEALTHY
Failover Readiness: N/A
Bedeutung
Überprüfen Sie diese Details in der Befehlsausgabe:
- Details zum lokalen Knoten und Peer-Knoten wie IP-Adresse und ID.
- Das Feld Bereitstellungstyp: CLOUD gibt an, dass die Konfiguration für die Cloud-Bereitstellung gilt.
- Das Feld Services Redundancy Group:1 gibt den Status der SRG1 (ACTIVE oder BACKUP) auf diesem Knoten an.
Überprüfen der Multinode-Hochverfügbarkeitsinformationen in Azure
Zweck
Überprüfen Sie den Status der Multinode-Hochverfügbarkeits-Bereitstellung in der Azure-Cloud.
Aktion
Führen Sie im Betriebsmodus den folgenden Befehl aus:
user@srx-00> show security cloud high-availability information
Cloud HA Information:
Cloud Type Cloud Service Type Cloud Service Status
AZURE Secondary IP Bind to Peer Node
Bedeutung
Überprüfen Sie diese Details in der Befehlsausgabe:
- Das Feld Cloudtyp: Azure gibt an, dass die Bereitstellung für Azure erfolgt.
- Das Feld Clouddiensttyp: Sekundäre IP-Adresse gibt an, dass die Azure-Bereitstellung die sekundäre IP-Adresse verwendet, um den Datenverkehr zu steuern.
- Das Feld Cloud-Service-Status: Bindung an Peerknoten gibt die Bindung der sekundären IP-Adresse an den Peer-Knoten an, was bedeutet, dass der aktuelle Knoten ein Backup-Knoten ist.
Grundlegende Checkliste zur Fehlerbehebung
- Überprüfen Sie die sekundäre IP-Adresse auf nicht vertrauenswürdige Schnittstelle und vertrauenswürdige Schnittstelle auf derselben vsrx3.0-VM-Instanz.
- Prüfen Sie, ob die vier Tag-Werte mit den Schnittstellennamen übereinstimmen.
- Überprüfen Sie, ob die eingehende Regel korrekt ist, um den Datenverkehr zuzulassen.
- Überprüfen Sie, ob die IP-Weiterleitung im Azure-Portal aktiviert ist.
- Überprüfen Sie die Route des Azure-Portals, und vSRX CLI Route synchronisiert sind.
- Überprüfen Sie die nicht vertrauenswürdige Schnittstelle des aktiven Knotens, um festzustellen, ob die schwebenden IP-Adressen im Azure-Portal daran angefügt sind.
Befehle auf allen Geräten festlegen
Virtuelle Firewall vSRX (Knoten 0)
set chassis high-availability local-id 1 set chassis high-availability local-id local-ip 10.0.1.10 set chassis high-availability peer-id 2 peer-ip 10.0.1.11 set chassis high-availability peer-id 2 interface ge-0/0/0.0 set chassis high-availability peer-id 2 liveness-detection minimum-interval 400 set chassis high-availability peer-id 2 liveness-detection multiplier 5 set chassis high-availability services-redundancy-group 1 mode active-backup set chassis high-availability services-redundancy-group 1 deployment-type cloud set chassis high-availability services-redundancy-group 1 peer-id 2 set chassis high-availability services-redundancy-group 1 prefix-list pref1 routing-instance s1-router set chassis high-availability services-redundancy-group 1 managed-services ipsec set chassis high-availability services-redundancy-group 1 activeness-priority 200 set security policies default-policy permit-all set security zones security-zone icl host-inbound-traffic system-services all set security zones security-zone icl host-inbound-traffic protocols all set security zones security-zone icl interfaces ge-0/0/0.0 set security zones security-zone untrust host-inbound-traffic system-services ike set security zones security-zone untrust host-inbound-traffic system-services ping set security zones security-zone untrust host-inbound-traffic protocols bfd set security zones security-zone untrust host-inbound-traffic protocols bgp set security zones security-zone untrust interfaces ge-0/0/1.0 set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols all set security zones security-zone trust interfaces ge-0/0/2.0 set security cloud high-availability azure peer-liveliness probe-ip 10.0.2.20 set security cloud high-availability azure peer-liveliness probe-ip source-ip 10.0.2.110 set security cloud high-availability azure peer-liveliness probe-ip routing-instance s1-router set interfaces ge-0/0/0 unit 0 family inet address 10.0.1.10/24 set interfaces ge-0/0/1 unit 0 family inet address 10.0.2.110/24 primary set interfaces ge-0/0/1 unit 0 family inet address 10.0.2.11/24 set interfaces ge-0/0/2 unit 0 family inet address 10.0.3.10/24 primary set interfaces ge-0/0/2 unit 0 family inet address 10.0.3.12/24 set interfaces lo0 description HA_LOOPBACK set interfaces lo0 unit 0 family inet address 10.11.1.10/32 primary set policy-options prefix-list pref1 10.0.2.0/24 set routing-instances s1-router instance-type virtual-router set routing-instances s1-router routing-options static route 0.0.0.0/0 next-hop 10.0.2.1 set routing-instances s1-router interface ge-0/0/1.0 set routing-instances s1-router interface ge-0/0/2.0
Virtuelle Firewall vSRX (Knoten 1)
set chassis high-availability local-id 2 set chassis high-availability local-id local-ip 10.0.1.11 set chassis high-availability peer-id 1 peer-ip 10.0.1.10 set chassis high-availability peer-id 1 interface ge-0/0/0.0 set chassis high-availability peer-id 1 liveness-detection minimum-interval 400 set chassis high-availability peer-id 1 liveness-detection multiplier 5 set chassis high-availability services-redundancy-group 1 mode active-backup set chassis high-availability services-redundancy-group 1 deployment-type cloud set chassis high-availability services-redundancy-group 1 peer-id 1 set chassis high-availability services-redundancy-group 1 prefix-list pref1 routing-instance s1-router set chassis high-availability services-redundancy-group 1 managed-services ipsec set chassis high-availability services-redundancy-group 1 activeness-priority 100 set security policies default-policy permit-all set security zones security-zone icl host-inbound-traffic system-services all set security zones security-zone icl host-inbound-traffic protocols all set security zones security-zone icl interfaces ge-0/0/0.0 set security zones security-zone untrust host-inbound-traffic system-services ike set security zones security-zone untrust host-inbound-traffic system-services ping set security zones security-zone untrust host-inbound-traffic protocols bfd set security zones security-zone untrust host-inbound-traffic protocols bgp set security zones security-zone untrust interfaces ge-0/0/1.0 set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols all set security zones security-zone trust interfaces ge-0/0/2.0 set security cloud high-availability azure peer-liveliness probe-ip 10.0.2.110 set security cloud high-availability azure peer-liveliness probe-ip source-ip 10.0.2.20 set security cloud high-availability azure peer-liveliness probe-ip routing-instance s1-router set interfaces ge-0/0/0 unit 0 family inet address 10.0.1.11/24 set interfaces ge-0/0/1 unit 0 family inet address 10.0.2.20/24 primary set interfaces ge-0/0/1 unit 0 family inet address 10.0.2.11/24 set interfaces ge-0/0/2 unit 0 family inet address 10.0.3.20/24 primary set interfaces ge-0/0/2 unit 0 family inet address 10.0.3.12/24 set interfaces lo0 description HA_LOOPBACK set interfaces lo0 unit 0 family inet address 10.11.1.11/32 primary set policy-options prefix-list pref1 10.0.2.0/24 set routing-instances s1-router instance-type virtual-router set routing-instances s1-router routing-options static route 0.0.0.0/0 next-hop 10.0.2.1 set routing-instances s1-router interface ge-0/0/1.0 set routing-instances s1-router interface ge-0/0/2.0
Konfigurationsausgabe anzeigen
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration durch Eingabe der show high availabilityBefehle , show security zonesund show interfaces . Wenn die Ausgabe nicht die beabsichtigte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
Virtuelle Firewall vSRX (Knoten 0)
user@srx-00# show chassis high-availability
local-id {
1;
local-ip 10.0.1.10;
}
peer-id 2 {
peer-ip 10.0.1.11;
interface ge-0/0/0.0;
liveness-detection {
minimum-interval 400;
multiplier 5;
}
}
services-redundancy-group 1 {
mode active-backup;
deployment-type cloud;
peer-id {
2;
}
prefix-list pref1 {
routing-instance s1-router;
}
managed-services ipsec;
activeness-priority 200;
}
user@srx-00# show security zones
security-zone icl {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
ge-0/0/0.0;
}
}
security-zone untrust {
host-inbound-traffic {
system-services {
ike;
ping;
}
protocols {
bfd;
bgp;
}
}
interfaces {
ge-0/0/1.0;
}
}
security-zone trust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
ge-0/0/2.0;
}
}
user@srx-00# show security cloud
high-availability {
azure {
peer-liveliness {
probe-ip 10.0.2.20 source-ip 10.0.2.110 routing-instance s1-router;
}
}
}
user@srx-00# show interfaces
ge-0/0/0 {
unit 0 {
family inet {
address 10.0.1.10/24;
}
}
}
ge-0/0/1 {
unit 0 {
family inet {
address 10.0.2.110/24 {
primary;
}
address 10.0.2.11/24;
}
}
}
ge-0/0/2 {
unit 0 {
family inet {
address 10.0.3.10/24 {
primary;
}
address 10.0.3.12/24;
}
}
}
lo0 {
description HA_LOOPBACK;
unit 0 {
family inet {
address 10.11.1.10/32 {
primary;
}
}
}
}
user@srx-00# show routing-instances
s1-router {
instance-type virtual-router;
routing-options {
static {
route 0.0.0.0/0 next-hop 10.0.2.1;
}
interface ge-0/0/1.0;
interface ge-0/0/2.0;
}
Virtuelle Firewall vSRX (Knoten 1)
user@srx-01# show chassis high-availability
local-id {
2;
local-ip 10.0.1.11;
}
peer-id 1 {
peer-ip 10.0.1.10;
interface ge-0/0/0.0;
liveness-detection {
minimum-interval 400;
multiplier 5;
}
}
services-redundancy-group 1 {
mode active-backup;
deployment-type cloud;
peer-id {
1;
}
prefix-list pref1 {
routing-instance s1-router;
}
managed-services ipsec;
activeness-priority 100;
}
user@srx-01# show security zones
security-zone icl {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
ge-0/0/0.0;
}
}
security-zone untrust {
host-inbound-traffic {
system-services {
ike;
ping;
}
protocols {
bfd;
bgp;
}
}
interfaces {
ge-0/0/1.0;
}
}
security-zone trust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
ge-0/0/2.0;
}
}
user@srx-01# show security cloud
high-availability {
azure {
peer-liveliness {
probe-ip 10.0.2.110 source-ip 10.0.2.20 routing-instance s1-router;
}
}
}
user@srx-01# show interfacesge-0/0/0 {
unit 0 {
family inet {
address 10.0.1.11/24;
}
}
}
ge-0/0/1 {
unit 0 {
family inet {
address 10.0.2.20/24 {
primary;
}
address 10.0.2.11/24;
}
}
}
ge-0/0/2 {
unit 0 {
family inet {
address 10.0.3.20/24 {
primary;
}
address 10.0.3.12/24;
}
}
}
lo0 {
description HA_LOOPBACK;
unit 0 {
family inet {
address 10.11.1.11/32 {
primary;
}
}
}
}
user@srx-01# show routing-instances
s1-router {
instance-type virtual-router;
routing-options {
static {
route 0.0.0.0/0 next-hop 10.0.2.1;
}
interface ge-0/0/1.0;
interface ge-0/0/2.0;
}
Tabellarischer Änderungsverlauf
Die Unterstützung der Funktion hängt von der Plattform und der Version ab, die Sie benutzen. Verwenden Sie den Feature-Explorer , um festzustellen, ob eine Funktion auf Ihrer Plattform unterstützt wird.