Hochverfügbarkeit mit mehreren Knoten in der Azure-Cloud
In diesem Dokument erfahren Sie, wie Sie Multinode-Hochverfügbarkeit auf vSRX-Instanzen konfigurieren, die in der Azure-Cloud bereitgestellt werden.
Überblick
Sie können die Hochverfügbarkeit mit mehreren Knoten auf virtuellen vSRX-Firewalls konfigurieren, die in der Microsoft Azure-Cloud bereitgestellt werden. Microsoft Azure ist Microsofts Anwendungsplattform für die Public Cloud. Es handelt sich um eine offene, flexible Cloud-Computing-Plattform der Enterprise-Klasse zum Erstellen, Bereitstellen und Verwalten von Anwendungen und Diensten über ein globales Netzwerk von von Microsoft verwalteten Datencentern.
Sie können ein Paar virtueller vSRX-Firewalls in Azure so konfigurieren, dass es wie in einer Aktiv/Backup-Hochverfügbarkeitskonfiguration mit mehreren Knoten funktioniert. Auf den beteiligten Knoten werden die aktive Steuerungs- und die Datenebene gleichzeitig ausgeführt. Die Knoten sichern sich gegenseitig, um im Falle eines System- oder Hardwareausfalls ein schnelles synchronisiertes Failover zu gewährleisten. Die Interchassis-Verbindung (ICL) zwischen den beiden Geräten synchronisiert und verwaltet die Zustandsinformationen und verarbeitet Geräte-Failover-Szenarien.
Sie können die Hochverfügbarkeit mit mehreren Knoten auf Virtuelle Firewall vSRX VMs konfigurieren, indem Sie die Einstellungen für die Firewallbereitstellung in der Microsoft Azure-Cloud anpassen.
IPsec-VPN-Unterstützung
Ab Junos OS Version 24.4R1 unterstützen wir IPsec-VPN für aktive/Backup-Multinode-Hochverfügbarkeit in Azure-Cloud-Bereitstellungen.
Einschränkung
Die Hochverfügbarkeit mit mehreren Knoten unterstützt in öffentlichen Clouds keine mehrfachen SRG-Konfigurationen (aktiv/aktiv). Der Aktiv-/Backup-Modus unterstützt SRG0 oder SRG1. Der IPsec-VPN-Tunnel ist an der SRG1 verankert, die in einem zustandsbehafteten Aktiv/Backup-Modus arbeitet. Alle VPN-Tunnel enden auf dem Gerät, auf dem das SRG1 aktiv ist.
Architektur
Abbildung 1 zeigt zwei Instanzen der virtuellen Firewall vSRX mit mehreren Knoten, die ein Hochverfügbarkeitspaar mit mehreren Knoten in der Azure-Cloud bilden. Eine Instanz der virtuellen Firewall vSRX fungiert als aktiver Knoten und die andere Instanz als Sicherungsknoten. Beide Knoten stellen über eine ICL eine Verbindung zueinander her, um Zustandsinformationen zu synchronisieren und zu verwalten und Geräte-Failover-Szenarien zu bewältigen.
Die virtuelle Firewall vSRX benötigt zwei öffentliche IP-Adressen und eine oder mehrere private IP-Adressen für jede einzelne Instanzgruppe. Die öffentlichen Subnetze bestehen aus einem für die Verwaltungsschnittstelle (fxp0) und einem für eine Umsatzschnittstelle (Datenschnittstelle). Sie können vier beliebige Umsatzschnittstellen für die Subnetzkonfiguration verwenden. Die private Schnittstelle ist mit den geschützten Ressourcen verbunden. Sie stellt sicher, dass der gesamte Datenverkehr zwischen Anwendungen im privaten Subnetz und dem Internet die virtuelle Firewall vSRX-Instanz passieren muss.
Für die Hochverfügbarkeit mit mehreren Knoten in Azure müssen Sie beide Firewalls in derselben Azure-Ressourcengruppe bereitstellen. Eine Azure-Ressourcengruppe ist ein logischer Container, der verwandte Ressourcen für eine Azure-Lösung enthält. Sie kann alle Ressourcen für die Lösung oder nur die Ressourcen enthalten, die Sie als Gruppe verwalten möchten.
Sie müssen jedem Knoten eine knotenspezifische primäre Adresse und beiden Knoten eine gemeinsame sekundäre oder Floating-IP-Adresse zuweisen. Die sekundäre IP-Adresse, die als Floating-IP-Adresse fungiert, ist immer mit dem aktiven Knoten verbunden. Im Falle eines Ausfalls auf dem aktuell aktiven Knoten geht die sekundäre IP-Adresse vom ausgefallenen aktiven Knoten auf den aktuell aktiven Knoten über. Der neue aktive Knoten stellt den kontinuierlichen Datenfluss sicher.
Zunächst werden beide Knoten mit vordefinierten Tags gestartet, die angeben, welcher der Besitzer der sekundären IP-Adresse ist. Dieser bestimmte Knoten wird als aktiver Knoten und der andere als Backup-Knoten ausgeführt.
Split-Brain-Schutz
Das Split-Brain-Szenario bezieht sich auf eine Situation, in der beide Knoten des Multinode-Hochverfügbarkeitssystems im selben Zustand stecken bleiben, entweder aktiv oder Backup, wenn die Inter-Chassis-Verbindung (ICL) zwischen den Knoten ausgefallen ist. Um diesen Status zu verhindern, versuchen beide Knoten, die primäre IP-Adresse der vertrauenswürdigen oder nicht vertrauenswürdigen Schnittstelle basierend auf der Konfiguration zu testen.
Wenn bei einem Interchassis-Link (ICL) zusammen mit einem Probe-Ausfall ein Fehler auftritt, übernimmt der Knoten, der keine Antwort von seinem Peer erhält, die aktive Rolle. Wenn der Test jedoch erfolgreich ist und bestätigt, dass der Peerknoten noch betriebsbereit ist, behält der Knoten seinen aktuellen Zustand bei. Dieser Sondierungsvorgang wird fortgesetzt, bis die ICL wiederhergestellt ist.
Beispiel: Konfigurieren der Hochverfügbarkeit mit mehreren Knoten in der Azure-Cloudbereitstellung
Sie können die Hochverfügbarkeit mit mehreren Knoten auf virtuellen vSRX-Firewalls konfigurieren, die in der Microsoft Azure-Cloud bereitgestellt werden. Microsoft Azure ist Microsofts Anwendungsplattform für die Public Cloud. Es handelt sich um eine offene, flexible Cloud-Computing-Plattform der Enterprise-Klasse zum Erstellen, Bereitstellen und Verwalten von Anwendungen und Diensten über ein globales Netzwerk von von Microsoft verwalteten Datencentern.
Sie können ein Paar virtueller vSRX-Firewalls in Azure so konfigurieren, dass es wie in einer Aktiv/Backup-Hochverfügbarkeitskonfiguration mit mehreren Knoten funktioniert. Auf den beteiligten Knoten werden die aktive Steuerungs- und die Datenebene gleichzeitig ausgeführt. Die Knoten sichern sich gegenseitig, um im Falle eines System- oder Hardwareausfalls ein schnelles synchronisiertes Failover zu gewährleisten. Die Interchassis-Verbindung (ICL) zwischen den beiden Geräten synchronisiert und verwaltet die Zustandsinformationen und verarbeitet Geräte-Failover-Szenarien.
| Lesezeit |
1 Stunde |
| Konfigurationszeit |
2 Stunden |
Beispiel für Voraussetzungen
Lesen Sie dieses Thema, um zu verstehen, wie Sie die Multinode-Hochverfügbarkeitslösung auf Firewalls der SRX-Serie konfigurieren.
In diesem Beispiel zeigen wir Ihnen, wie Sie die Hochverfügbarkeit mit mehreren Knoten auf zwei virtuelle Firewall vSRX-Instanzen konfigurieren, die in der Azure-Cloud bereitgestellt werden.
| Anforderungen an VMs |
Zwei virtuelle vSRX-Firewalls in der Azure-Cloud bereitgestellt |
| Software-Anforderungen |
Junos OS Version 23.4R1 oder höher |
| Lizenzierungsanforderungen |
Verwenden Sie eine Virtuelle Firewall vSRX-Lizenz oder fordern Sie eine Evaluierungslizenz an. Lizenzen können über das Juniper Networks License Management System (LMS) erworben werden. |
Vorbereitungen
| Nützt |
Erhöht die Verfügbarkeit von Firewalls der vSRX-Serie, die in Azure bereitgestellt werden, was zu einer verbesserten Zuverlässigkeit und geringeren Ausfallzeiten führt. |
| Mehr erfahren |
|
| Weitere Informationen |
Funktionsübersicht
| Eingesetzte Technologien |
|
| Primäre Überprüfungsaufgaben |
|
Topologieübersicht
Abbildung 2 zeigt die in diesem Beispiel verwendete Topologie.
bereitgestellt werden
Wie in der Topologie dargestellt, werden zwei Instanzen der virtuellen Firewall vSRX (vSRX-Knoten 0 und vSRX-Knoten 1) in der Azure-Cloud bereitgestellt. Die nicht vertrauenswürdige Seite stellt eine Verbindung mit einem öffentlichen Netzwerk her, während die vertrauenswürdige Seite eine Verbindung mit den geschützten Ressourcen herstellt.
Zwei Instanzen der virtuellen Firewall vSRX werden im öffentlichen Subnetz platziert, sobald öffentliche Subnetze Zugriff auf das Internet-Gateway haben.
In einer Hochverfügbarkeitskonfiguration mit mehreren Knoten wird eine Floating-IP-Adresse zwischen zwei Firewalls der SRX-Serie verschoben, wenn eine Verbindung oder Firewall ausfällt. Da die IP-Adresse der primären Schnittstelle in der Azure-Firewall nicht verschoben werden kann, weisen Sie eine sekundäre IP-Adresse als Floating-IP zu. Wenn der aktive Knoten ausfällt, verlagert sich die Floating-IP-Adresse auf den Backup-Knoten, sodass dieser den Datenverkehr nahtlos wie der neue aktive Peer bewältigen kann.
Darüber hinaus müssen Sie eine Interchassis-Verbindung (ICL) für die Datensynchronisierung und die Verwaltung von Statusinformationen einrichten. Die Knoten kommunizieren miteinander über eine routingfähige IP-Adresse, die ICL zugewiesen ist.
Die folgende Tabelle enthält die in diesem Beispiel verwendeten Schnittstellen- und IP-Adressdetails.
| Schnittstellenfunktion | Primärer Knoten (vSRX-Knoten 0), | Backup-Knoten (vSRX-Knoten 1) | |
|---|---|---|---|
| GE-0/0/0 | ICL zur Verbindung mit Peer-Knoten |
10.0.1.10/24 |
10.0.1.11/24 |
| GE-0/0/1 | Nicht vertrauenswürdige Schnittstelle |
|
|
| GE-0/0/2 | Trust-Schnittstelle |
|
|
Sie müssen das Virtuelle Firewall vSRX Image aus dem Azure Marketplace auswählen und die Virtuelle Firewall vSRX VM-Bereitstellungseinstellungen und -abhängigkeiten basierend auf Ihren Netzwerkanforderungen in Microsoft Azure Cloud anpassen. Dieser Bereitstellungsansatz ist möglicherweise für die Konfiguration von Multinode-Hochverfügbarkeit auf vSRX-VMs erforderlich. Beachten Sie, dass dieses Bereitstellungsszenario außerhalb der Anwendungsszenarien liegt, die in den VM-Lösungsvorlagen für die virtuelle Firewall vSRX von Juniper Networks angeboten werden.
Sehen wir uns die Details der einzelnen Schritte für die Bereitstellung der virtuellen Firewall vSRX auf Microsoft Azure an.
Konfiguration im Azure-Portal
| Name | Typ |
|---|---|
| azure-vsrx3.0 | Ressourcengruppe |
| azure-vsrx3.0-vnet | Virtuelles Netzwerk |
| vSRX3.0-Knoten0 | Virtuelle Maschine für Knoten 0 |
| vSRX3.0-node1 | Virtuelle Maschine für Knoten 1 |
| vSRX3.0-Knoten0-IP | Öffentliche IP-Adresse für Knoten 0 |
| vSRX3.0-Node1-IP | Öffentliche IP-Adresse für Knoten 1 |
| vsrx3.0-node0-nsg | Netzwerksicherheitsgruppe für Knoten 0 |
| vSRX3.0-Node1-NSG | Netzwerksicherheitsgruppe für Knoten 1 |
| vSRX3.0-node172 | Netzwerkschnittstelle für Knoten 0 |
| vSRX3.0-node719 | Netzwerkschnittstelle für Knoten 1 |
| Name | der primären privaten IP-Adresse |
|---|---|
| L3HA-ge-0-KARTON | 10.0.1.10 |
| L3HALink-Knoten1 | 10.0.1.11 |
| node0-ge-1 | 10.0.2.110 |
| node0-ge-2 | 10.0.3.10 |
| node1-ge-1 | 10.0.2.20 |
| node1-ge-2 | 10.0.3.20 |
- Erstellen einer Ressourcengruppe
- IAM-Rolle (Identity and Access Management) zuweisen
- Erstellen eines Speicherkontos
- Erstellen eines virtuellen Netzwerks
- IAM-Rolle zuweisen
Erstellen einer Ressourcengruppe
Eine Ressourcengruppe ist ein logischer Container für Ressourcen, die in Azure bereitgestellt werden. Es hilft Ihnen bei der Verwaltung und Organisation zugehöriger Ressourcen. Die vSRX-VM ist eine Ressource innerhalb einer Azure-Ressourcengruppe. Alle mit der vSRX verbundenen Komponenten (z. B. virtuelles Netzwerk, Speicherkonto, öffentliche IP-Adresse usw.) sind Teil derselben Ressourcengruppe.- Melden Sie sich beim Azure-Portal an.
- Klicken Sie auf Ressource erstellen.
- Suchen Sie nach Ressourcengruppe , und erstellen Sie eine neue.
- Wählen Sie einen Namen aus, geben Sie das Abonnement ein, und wählen Sie die Region für die Ressourcengruppe aus.
- Klicken Sie auf Überprüfen + erstellen und dann auf Erstellen. Die folgende Abbildung zeigt ein Beispiel für eine Ressourcengruppe.
Weitere Informationen finden Sie unter Erstellen einer Ressourcengruppe .
IAM-Rolle (Identity and Access Management) zuweisen
IAM-Rollen steuern den Zugriff auf Azure-Ressourcen. Durch das Zuweisen von Rollen wird sichergestellt, dass bestimmte Ressourcen nur von autorisierten Benutzern verwaltet werden können. Sie müssen dem Benutzer oder den Benutzergruppen die Rolle "Dienstprinzipal" zuweisen, um IAM zu verwalten.
- Navigieren Sie zu Ihrer Ressourcengruppe.
- Klicken Sie auf Zugriffssteuerung (IAM).
- Fügen Sie eine neue Rollenzuweisung hinzu.
- Wählen Sie die gewünschte Rolle aus (Beispiel: Dienstprinzipalmitwirkender, -besitzer usw.).
- Wählen Sie den Benutzer oder die Benutzergruppe aus, dem bzw. der die die Rolle zugewiesen werden soll.
- Klicken Sie auf Speichern.
Erstellen eines Speicherkontos
Ein Speicherkonto stellt einen eindeutigen Namespace zum Speichern von und Zugreifen auf Datenobjekte in Azure bereit.- Klicken Sie in Ihrer Ressourcengruppe auf Erstellen (+).
- Suchen Sie nach "Speicherkonto", und erstellen Sie ein neues.
- Geben Sie den Namen, das Bereitstellungsmodell, die Leistung und andere Einstellungen an.
- Klicken Sie auf Überprüfen + erstellen und dann auf Erstellen. Weitere Informationen finden Sie unter Erstellen eines Speicherkontos .
Erstellen eines virtuellen Netzwerks
Ein virtuelles Netzwerk (VNet) ist die Grundlage für Ihre Azure-Infrastruktur. Es ermöglicht Ihnen, Azure-Ressourcen sicher zu verbinden.
- Klicken Sie in Ihrer Ressourcengruppe auf Erstellen (+).
- Suchen Sie nach Virtuelles Netzwerk , und erstellen Sie ein neues.
- Definieren Sie den Namen, den Adressraum und die Subnetzkonfiguration.
- Klicken Sie auf Überprüfen + erstellen und dann auf Erstellen.
- Klicken Sie auf Einstellungen > Subnetze. Die Subnetze werden verwendet, um die beiden Knoten der virtuellen Firewall vSRX über eine logische Verbindung (wie das physische Kabel, das die Ports verbindet) zu verbinden.
Die folgende Tabelle zeigt eine Beispielkonfiguration, die in diesem Beispiel verwendet wird.
Tabelle 5: Subnetzkonfiguration im Azure-Portal Funktion CIDR-Rolle Subnetz "Verwaltung" 10.0.3.0/24 Verwaltung des Datenverkehrs ICL-Subnetz 10.0.1.0/24 RTO-, Synchronisations- und Sondierungsdatenverkehr Subnetz nicht vertrauenswürdig 10.0.2.0/24 Externer Datenverkehr Subnetz vertrauen 10.0.3.0/24 Interner Datenverkehr
IAM-Rolle zuweisen
- Aktivieren Sie Berechtigungen für die Verwendung der Azure-API, indem Sie zu Startseite > verwalteten Identitäten navigieren.
- Wählen Sie Ihre Ressourcengruppe und Azure-Rollenzuweisungen aus, und klicken Sie auf die Rolle, der Sie Berechtigungen zuweisen möchten.
Sie müssen die folgenden Berechtigungen aktivieren:
- Microsoft.Authorization/*/read
- Microsoft.Compute/virtualMachines/read
- Microsoft.Network/networkSecurityGroups/join/action
- Microsoft.Network/networkInterfaces/*
- Microsoft.Network/virtualNetworks/join/action
- Microsoft.Network/publicIPAddresses/read
- Microsoft.Network/publicIPAddresses/write
- Microsoft.Network/publicIPAddresses/join/action
- Microsoft.Authorization/*/read
- Microsoft.Compute/virtualMachines/read
- Microsoft.Network/routeTables/*
- Microsoft.Network/networkInterfaces/*
Jetzt können Sie vSRX-VMs bereitstellen.
Bereitstellen von vSRX-VMs
Führen Sie die folgenden Schritte aus, um zwei vSRX-VM-Instanzen bereitzustellen. Sie verwenden diese beiden Instanzen, um Multinode-Hochverfügbarkeit einzurichten. Weitere Informationen finden Sie unter Bereitstellen des Images der virtuellen Firewall vSRX über den Azure Marketplace.
- Melden Sie sich mit den Anmeldeinformationen Ihres Microsoft-Kontos beim Azure-Portal an.
- Suchen Sie im Azure Marketplace nach vSRX, indem Sie auf Ressource erstellen und dann nach Virtuelle Firewall vSRX suchen.
Wählen Sie das vSRX-VM-Image aus dem Azure Marketplace aus.
- Konfigurieren Sie die Bereitstellungseinstellungen, indem Sie die folgenden Details angeben:
- Name für Ihre vSRX-VM.
- Ressourcengruppe. (Sie können eine neue Gruppe erstellen oder eine vorhandene Gruppe verwenden.) Verwenden Sie in diesem Beispiel azure-vsrx3.0 , das Sie zuvor erstellt haben.
Anmerkung:
Stellen Sie beide Instanzen der virtuellen Firewall vSRX in derselben Ressourcengruppe bereit. Die Ressourcengruppe enthält alle Ressourcen, die den virtuellen vSRX-Firewalls für diese Bereitstellung zugeordnet sind.
- Abonnement
- VM-Datenträgertyp
- Region, in der Sie die VM bereitstellen möchten.
- Authentifizierungstyp
- Benutzername und Kennwort für den VM-Zugriff.
- Konfigurieren Sie die Speicher-, Netzwerk- und Überwachungseinstellungen für die virtuelle Firewall vSRX-VM. Dazu gehören die Angabe des Speicherkontos, des virtuellen Netzwerks, des Subnetzes, der öffentlichen IP-Adresse, der Netzwerksicherheitsgruppe, der VM-Erweiterungen, der Verfügbarkeitsgruppe und der Überwachungsoptionen.
- Überprüfen Sie Ihre Einstellungen und klicken Sie auf Erstellen.
Azure beginnt mit der Bereitstellung der vSRX-VM basierend auf Ihrer Konfiguration. Nachdem die VMs der virtuellen Firewall vSRX erstellt wurden, werden die neuen VMs der virtuellen Firewall vSRX im Azure-Portal unter Ressourcengruppen aufgeführt.
Denken Sie daran, diese Schritte an Ihre spezifischen Anforderungen und Ihr Netzwerkdesign anzupassen.
Führen Sie die folgenden Konfigurationen für die virtuelle Firewall vSRX-Instanzen durch, die Sie gerade im Azure-Portal bereitgestellt haben:
- Tags erstellen
- Erstellen einer öffentlichen IP-Adresse
- Erstellen einer Netzwerkschnittstelle
- Erstellen einer Netzwerksicherheitsgruppe (NSG)
- Schnittstellen und IP-Adressen einrichten
Tags erstellen
Wählen Sie auf der Seite Ihrer vSRX-VM in der linken Navigationsleiste Tags aus.
Erstellen Sie Tags in Azure für beide VMs, um die vertrauenswürdigen und nicht vertrauenswürdigen Schnittstellen auf zwei Instanzen der virtuellen Firewall vSRX zu identifizieren. Die folgende Tabelle zeigt Beispiel-Tags, die in diesem Beispiel verwendet werden.
| Tag-Name |
Wert |
|---|---|
| local_trust_interface |
knoten0-ge-002 |
| local_untrust_interface |
node0-ge-001 |
| peer_trust_interface |
Knoten 1-GE-002 |
| peer_untrust_interface |
Knoten 1-GE-001 |
Beachten Sie, dass die in der Tabelle genannten Tag-Namen für die Standardkonfiguration gelten. Wir empfehlen, die gleichen Tag-Namen in der Konfiguration zu verwenden.
Erstellen einer öffentlichen IP-Adresse
Wechseln Sie im Azure-Portal zum Abschnitt Ressource erstellen . Suchen Sie Netzwerk, wählen Sie es aus, und wechseln Sie dann zu Öffentliche IP-Adresse.
- Klicken Sie auf Erstellen , um mit der Einrichtung einer neuen öffentlichen IP-Adresse zu beginnen.
- Konfigurieren Sie die IP-Adresseinstellungen mit den folgenden Details:
- Name: Geben Sie einen eindeutigen Namen für die öffentliche IP-Ressource ein.
- SKU: Wählen Sie zwischen Basic- und Standard-Angeboten.
- IP-Version: Wählen Sie je nach Anforderung IPv4 oder IPv6 aus.
- IP-Adresszuweisung: Wählen Sie "Statisch" oder "Dynamisch" aus.
- Wählen Sie eine Ressourcengruppe aus, in der sich diese IP-Adresse befinden soll, oder erstellen Sie sie.
- Standort: Wählen Sie die Azure-Region aus, die Ihren Benutzern am nächsten liegt.
- Überprüfen Sie nach der Konfiguration die Einstellungen, und klicken Sie dann auf Erstellen , um die öffentliche IP-Adresse zuzuweisen.
Erstellen einer Netzwerkschnittstelle
Planen Sie die Konfiguration der Netzwerkschnittstelle auf den Firewalls der vSRX-Serie in Azure.
- Navigieren Sie im Azure-Portal im Abschnitt Netzwerk zu Netzwerkschnittstellen.
- Klicken Sie auf Netzwerkschnittstelle erstellen.
- Geben Sie die folgenden Details für die neue Netzwerkschnittstelle ein:
- Name: Geben Sie einen eindeutigen Namen für Ihre Netzwerkkarte an.
- Region: Wählen Sie dieselbe Region wie Ihr VNet, Ihre VMs und Ihre IP-Adressen aus.
- Virtuelles Netzwerk: Wählen Sie das virtuelle Netzwerk aus, dem Ihre Netzwerkkarte zugeordnet werden soll.
- Subnetz: Wählen Sie das entsprechende Subnetz aus.
- Fügen Sie bei Bedarf die öffentliche IP-Adresse an, die Sie zuvor erstellt haben.
- Wählen Sie aus, ob Sie eine neue Netzwerksicherheitsgruppe erstellen oder einer vorhandenen Gruppe zuordnen möchten.
- Überprüfen Sie die Einstellungen und klicken Sie auf Erstellen , um die neue Netzwerkkarte bereitzustellen.
Erstellen einer Netzwerksicherheitsgruppe (NSG)
- Wählen Sie im Azure-Portal in der Kategorie Netzwerk die Option Netzwerksicherheitsgruppen aus.
- Wählen Sie Netzwerksicherheitsgruppe erstellen aus.
- Richten Sie Ihre NSG mit den folgenden Details ein:
- Name: Erstellen Sie einen Namen für Ihre NSG.
- Abonnement: Vergewissern Sie sich, dass Sie innerhalb des richtigen Abonnements arbeiten.
- Ressourcengruppe: Wählen Sie eine vorhandene Gruppe aus, oder erstellen Sie eine neue.
- Speicherort: Passen Sie ihn an den Speicherort der Ressourcen an, die Sie schützen.
- Regeln hinzufügen: Definieren Sie nach der Erstellung eingehende und ausgehende Sicherheitsregeln, um den Datenverkehr zu und von Ihren Netzwerkkarten und VMs zu steuern.
- Kehren Sie zu Ihrer Netzwerkkarte oder Ihrem Subnetz zurück, und ordnen Sie sie der neuen NSG zu.
- Überprüfen Sie die Konfigurationen, und erstellen Sie dann die NSG.
Denken Sie daran, geeignete Sicherheitsregeln für Ihre NSG zu definieren, um den Datenverkehrsfluss gemäß Ihren Anforderungen zu verwalten.
Nachdem Sie eine Netzwerkschnittstelle, eine öffentliche IP-Adresse und eine Netzwerksicherheitsgruppe erstellt haben, können Sie die Netzwerkkarte an einen virtuellen Computer und die NSG an die Netzwerkkarte oder ein Subnetz anfügen. Damit ist das Setup abgeschlossen, das für die Netzwerkkonnektivität und Sicherheit für Ihre Azure-Umgebung erforderlich ist.
Schnittstellen und IP-Adressen einrichten
- Navigieren Sie zu Ihrer bereitgestellten vSRX-VM und klicken Sie auf Einstellungen > Netzwerk.
- Suchen Sie die angeschlossene Netzwerkschnittstelle.
- Klicken Sie auf den Namen der Netzwerkschnittstelle, um die Details zu öffnen. Im Abschnitt IP-Konfigurationen finden Sie die zugewiesene IP-Adresse (falls vorhanden) und Sie können auch die IP-Adresse konfigurieren. Verwenden Sie für dieses Beispiel die IP-Adresskonfiguration, wie in der folgenden Tabelle angegeben:
| Vms |
vSRX-VM-Knoten 0 (vsrx3.0-Knoten0) (aktiver Knoten) |
vSRX-VM-Knoten 1 (vsrx3.0-node1) (Backup-Knoten) |
||||
|---|---|---|---|---|---|---|
| Nicht vertrauenswürdige Schnittstelle | Trust-Schnittstelle |
ICL |
Nicht vertrauenswürdige Schnittstelle |
Trust-Schnittstelle |
ICL |
|
| Schnittstellen | GE-0/0/1 | GE-0/0/2 | GE-0/0/0 |
GE-0/0/1 | GE-0/0/2 | GE-0/0/0 |
| Primäre IP-Adresse | 10.0.2.110 |
10.0.3.10 |
10.0.1.10/24 |
10.0.2.20 |
10.0.3.20 |
10.0.1.11/24 |
| Sekundäre IP-Adresse (statische IP-Adresse aus dem Subnetz) | 10.0.2.11 |
10.0.3.12 |
- |
Der Knoten, der als Backup-Knoten fungiert, erhält dieselbe IP-Adresse, wenn er in die aktive Rolle übergeht.- | Der Knoten, der als Backup-Knoten fungiert, erhält dieselbe IP-Adresse, wenn er in die aktive Rolle übergeht.- | - |
| Ordnen Sie eine öffentliche IP-Adresse der sekundären Adresse zu, um das Internet zu erreichen | 172.16.0.0 |
(In diesem Beispiel nicht zutreffend) |
- |
Hinweis: Der Knoten, der als Backup-Knoten fungiert, erhält dieselbe IP-Adresse, wenn er in die aktive Rolle übergeht. |
(In diesem Beispiel nicht zutreffend) |
- |
Stellen Sie sicher, dass Sie die IP-Weiterleitung auf der Steuerlinkschnittstelle aktivieren und Standardrouten sowohl auf der Vertrauens- als auch auf der nicht vertrauenswürdigen Seite konfigurieren.
Klicken Sie auf Einstellungen > Netzwerk , um Schnittstellen, Subnetz und IP-Konfigurationen Ihrer VM anzuzeigen.
Nach Abschluss der Bereitstellung der virtuellen Firewall vSRX wird die VM der virtuellen Firewall vSRX automatisch eingeschaltet und gestartet. Zu diesem Zeitpunkt können Sie einen SSH-Client verwenden, um sich bei der virtuellen Virtuelle Firewall vSRX-VM anzumelden.
Nachdem nun alle erforderlichen Konfigurationen im Azure-Portal abgeschlossen sind, beginnen wir mit der Konfiguration auf der Virtuelle Firewall vSRX mithilfe der CLI.
Stellen Sie sicher, dass Sie die neueste Version des vSRX-Software-Images (23.4R1 oder höher) verwenden. Sie können die Software Junos OS für Virtuelle Firewall vSRX direkt über die CLI aktualisieren. Das Upgrade oder Downgrade von Junos OS kann je nach Größe und Konfiguration des Netzwerks mehrere Stunden dauern. Sie laden die gewünschte Junos OS-Version für Virtuelle Firewall vSRX.tgz von der Juniper Networks-Website herunter. Weitere Informationen finden Sie in den Anweisungen zu Migration, Upgrade und Downgrade.
Konfigurieren der virtuellen vSRX-Firewalls
Vollständige Beispielkonfigurationen für den Prüfling finden Sie unter:
Das Junos IKE-Paket wird für Ihre Firewalls der SRX-Serie für die Konfiguration mit hoher Verfügbarkeit mit mehreren Knoten empfohlen. Dieses Paket ist als Standardpaket oder als optionales Paket für Firewalls der SRX-Serie verfügbar. Weitere Informationen finden Sie unter Support für das Junos IKE-Paket .
Wenn das Paket nicht standardmäßig auf Ihrer Firewall der SRX-Serie installiert ist, verwenden Sie den folgenden Befehl, um es zu installieren. Sie benötigen diesen Schritt für die ICL-Verschlüsselung.
user@host> request system software add optional://junos-ike.tgz Verified junos-ike signed by PackageProductionECP256_2022 method ECDSA256+SHA256 Rebuilding schema and Activating configuration... mgd: commit complete Restarting MGD ... ...... Restart cli using the new version ? [yes,no] (yes)
Verifizierung
Verwenden Sie die show-Befehle, um zu bestätigen, dass die Konfiguration ordnungsgemäß funktioniert.
| Aufgabe | zur Befehlsüberprüfung |
|---|---|
|
|
Zeigen Sie Details zum Hochverfügbarkeitsstatus für Multiknoten auf Ihrem Sicherheitsgerät an, einschließlich des Integritätsstatus des Peerknotens. |
show security cloud high- availability information |
Zeigen Sie den Status zur Bereitstellung von Hochverfügbarkeit mit mehreren Knoten in der öffentlichen Cloud (AWS oder Azure) an. |
- Details zur Hochverfügbarkeit mit mehreren Knoten überprüfen
- Informationen zur Hochverfügbarkeit mit mehreren Knoten in Azure überprüfen
Details zur Hochverfügbarkeit mit mehreren Knoten überprüfen
Zweck
Zeigen Sie die Details der Einrichtung für Hochverfügbarkeit mit mehreren Knoten an, die auf Ihrer Virtuelle Firewall vSRX-Instanz konfiguriert ist, und überprüfen Sie sie.
Aktion
Führen Sie im Betriebsmodus den folgenden Befehl auf beiden Geräten aus.
Auf Knoten 0 (aktiver Knoten)
user@srx-00> show chassis high-availability information
Node failure codes:
HW Hardware monitoring LB Loopback monitoring
MB Mbuf monitoring SP SPU monitoring
CS Cold Sync monitoring SU Software Upgrade
Node Status: ONLINE
Local-id: 1
Local-IP: 10.0.1.10
HA Peer Information:
Peer Id: 2 IP address: 10.0.1.11 Interface: ge-0/0/0.0
Routing Instance: default
Encrypted: NO Conn State: UP
Configured BFD Detection Time: 5 * 400ms
Cold Sync Status: COMPLETE
SRG failure event codes:
BF BFD monitoring
IP IP monitoring
IF Interface monitoring
CP Control Plane monitoring
Services Redundancy Group: 1
Deployment Type: CLOUD
Status: ACTIVE
Activeness Priority: 200
Preemption: DISABLED
Process Packet In Backup State: NO
Control Plane State: READY
System Integrity Check: N/A
Failure Events: NONE
Peer Information:
Peer Id: 2
Status : BACKUP
Health Status: HEALTHY
Failover Readiness: NOT READY
Auf Knoten 1 (Backup-Knoten)
user@srx-01# show chassis high-availability information
Node failure codes:
HW Hardware monitoring LB Loopback monitoring
MB Mbuf monitoring SP SPU monitoring
CS Cold Sync monitoring SU Software Upgrade
Node Status: ONLINE
Local-id: 2
Local-IP: 10.0.1.11
HA Peer Information:
Peer Id: 1 IP address: 10.0.1.10 Interface: ge-0/0/0.0
Routing Instance: default
Encrypted: NO Conn State: UP
Configured BFD Detection Time: 5 * 400ms
Cold Sync Status: COMPLETE
Services Redundancy Group: 0
Current State: ONLINE
Peer Information:
Peer Id: 1
SRG failure event codes:
BF BFD monitoring
IP IP monitoring
IF Interface monitoring
CP Control Plane monitoring
Services Redundancy Group: 1
Deployment Type: CLOUD
Status: BACKUP
Activeness Priority: 100
Preemption: DISABLED
Process Packet In Backup State: NO
Control Plane State: NOT READY
System Integrity Check: COMPLETE
Failure Events: NONE
Peer Information:
Peer Id: 1
Status : ACTIVE
Health Status: HEALTHY
Failover Readiness: N/A
Bedeutung
Überprüfen Sie diese Details in der Befehlsausgabe:
- Details zum lokalen Knoten und Peerknoten, z. B. IP-Adresse und ID.
- Das Feld Bereitstellungstyp: CLOUD gibt an, dass die Konfiguration für die Cloud-Bereitstellung erfolgt.
- Das Feld Services Redundancy Group:1 gibt den Status von SRG1 (ACTIVE oder BACKUP) auf diesem Knoten an.
Informationen zur Hochverfügbarkeit mit mehreren Knoten in Azure überprüfen
Zweck
Überprüfen Sie den Status der Bereitstellung von Hochverfügbarkeit mit mehreren Knoten in der Azure-Cloud.
Aktion
Führen Sie im Betriebsmodus den folgenden Befehl aus:
user@srx-00> show security cloud high-availability information
Cloud HA Information:
Cloud Type Cloud Service Type Cloud Service Status
AZURE Secondary IP Bind to Peer Node
Bedeutung
Überprüfen Sie diese Details in der Befehlsausgabe:
- Das Feld Cloudtyp: Azure gibt an, dass die Bereitstellung für Azure erfolgt.
- Das Feld Clouddiensttyp: Sekundäre IP-Adresse gibt an, dass die Azure-Bereitstellung die sekundäre IP-Adresse zur Steuerung des Datenverkehrs verwendet.
- Das Feld Cloud Service Status: Bind to Peer Node gibt die Bindung der sekundären IP-Adresse an den Peer-Knoten an, was bedeutet, dass es sich bei dem aktuellen Knoten um einen Backup-Knoten handelt.
Grundlegende Checkliste zur Fehlerbehebung
- Überprüfen Sie, ob sich die sekundäre IP-Adresse auf nicht vertrauenswürdige Schnittstelle und vertrauenswürdige Schnittstelle auf derselben vsrx3.0-VM-Instanz befinden.
- Überprüfen Sie, ob die vier Tag-Werte mit den Schnittstellennamen übereinstimmen.
- Überprüfen Sie, ob die eingehende Regel korrekt ist, um den Datenverkehr zuzulassen.
- Überprüfen Sie, ob die IP-Weiterleitung im Azure-Portal aktiviert ist.
- Überprüfen Sie, ob die Route des Azure-Portals und die vSRX-CLI-Route synchronisiert sind.
- Überprüfen Sie die nicht vertrauenswürdige Schnittstelle des aktiven Knotens, um festzustellen, ob die Floating-IP-Adressen im Azure-Portal angefügt sind.
Festlegen von Befehlen auf allen Geräten
Virtuelle Firewall vSRX (Knoten 0)
set chassis high-availability local-id 1 set chassis high-availability local-id local-ip 10.0.1.10 set chassis high-availability peer-id 2 peer-ip 10.0.1.11 set chassis high-availability peer-id 2 interface ge-0/0/0.0 set chassis high-availability peer-id 2 liveness-detection minimum-interval 400 set chassis high-availability peer-id 2 liveness-detection multiplier 5 set chassis high-availability services-redundancy-group 1 mode active-backup set chassis high-availability services-redundancy-group 1 deployment-type cloud set chassis high-availability services-redundancy-group 1 peer-id 2 set chassis high-availability services-redundancy-group 1 prefix-list pref1 routing-instance s1-router set chassis high-availability services-redundancy-group 1 managed-services ipsec set chassis high-availability services-redundancy-group 1 activeness-priority 200 set security policies default-policy permit-all set security zones security-zone icl host-inbound-traffic system-services all set security zones security-zone icl host-inbound-traffic protocols all set security zones security-zone icl interfaces ge-0/0/0.0 set security zones security-zone untrust host-inbound-traffic system-services ike set security zones security-zone untrust host-inbound-traffic system-services ping set security zones security-zone untrust host-inbound-traffic protocols bfd set security zones security-zone untrust host-inbound-traffic protocols bgp set security zones security-zone untrust interfaces ge-0/0/1.0 set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols all set security zones security-zone trust interfaces ge-0/0/2.0 set security cloud high-availability azure peer-liveliness probe-ip 10.0.2.20 set security cloud high-availability azure peer-liveliness probe-ip source-ip 10.0.2.110 set security cloud high-availability azure peer-liveliness probe-ip routing-instance s1-router set interfaces ge-0/0/0 unit 0 family inet address 10.0.1.10/24 set interfaces ge-0/0/1 unit 0 family inet address 10.0.2.110/24 primary set interfaces ge-0/0/1 unit 0 family inet address 10.0.2.11/24 set interfaces ge-0/0/2 unit 0 family inet address 10.0.3.10/24 primary set interfaces ge-0/0/2 unit 0 family inet address 10.0.3.12/24 set interfaces lo0 description HA_LOOPBACK set interfaces lo0 unit 0 family inet address 10.11.1.10/32 primary set policy-options prefix-list pref1 10.0.2.0/24 set routing-instances s1-router instance-type virtual-router set routing-instances s1-router routing-options static route 0.0.0.0/0 next-hop 10.0.2.1 set routing-instances s1-router interface ge-0/0/1.0 set routing-instances s1-router interface ge-0/0/2.0
Virtuelle Firewall vSRX (Knoten 1)
set chassis high-availability local-id 2 set chassis high-availability local-id local-ip 10.0.1.11 set chassis high-availability peer-id 1 peer-ip 10.0.1.10 set chassis high-availability peer-id 1 interface ge-0/0/0.0 set chassis high-availability peer-id 1 liveness-detection minimum-interval 400 set chassis high-availability peer-id 1 liveness-detection multiplier 5 set chassis high-availability services-redundancy-group 1 mode active-backup set chassis high-availability services-redundancy-group 1 deployment-type cloud set chassis high-availability services-redundancy-group 1 peer-id 1 set chassis high-availability services-redundancy-group 1 prefix-list pref1 routing-instance s1-router set chassis high-availability services-redundancy-group 1 managed-services ipsec set chassis high-availability services-redundancy-group 1 activeness-priority 100 set security policies default-policy permit-all set security zones security-zone icl host-inbound-traffic system-services all set security zones security-zone icl host-inbound-traffic protocols all set security zones security-zone icl interfaces ge-0/0/0.0 set security zones security-zone untrust host-inbound-traffic system-services ike set security zones security-zone untrust host-inbound-traffic system-services ping set security zones security-zone untrust host-inbound-traffic protocols bfd set security zones security-zone untrust host-inbound-traffic protocols bgp set security zones security-zone untrust interfaces ge-0/0/1.0 set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols all set security zones security-zone trust interfaces ge-0/0/2.0 set security cloud high-availability azure peer-liveliness probe-ip 10.0.2.110 set security cloud high-availability azure peer-liveliness probe-ip source-ip 10.0.2.20 set security cloud high-availability azure peer-liveliness probe-ip routing-instance s1-router set interfaces ge-0/0/0 unit 0 family inet address 10.0.1.11/24 set interfaces ge-0/0/1 unit 0 family inet address 10.0.2.20/24 primary set interfaces ge-0/0/1 unit 0 family inet address 10.0.2.11/24 set interfaces ge-0/0/2 unit 0 family inet address 10.0.3.20/24 primary set interfaces ge-0/0/2 unit 0 family inet address 10.0.3.12/24 set interfaces lo0 description HA_LOOPBACK set interfaces lo0 unit 0 family inet address 10.11.1.11/32 primary set policy-options prefix-list pref1 10.0.2.0/24 set routing-instances s1-router instance-type virtual-router set routing-instances s1-router routing-options static route 0.0.0.0/0 next-hop 10.0.2.1 set routing-instances s1-router interface ge-0/0/1.0 set routing-instances s1-router interface ge-0/0/2.0
Konfigurationsausgabe anzeigen
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie die show high availabilityBefehle , show security zonesund show interfaces eingeben. Wenn in der Ausgabe nicht die beabsichtigte Konfiguration angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
Virtuelle Firewall vSRX (Knoten 0)
user@srx-00# show chassis high-availability
local-id {
1;
local-ip 10.0.1.10;
}
peer-id 2 {
peer-ip 10.0.1.11;
interface ge-0/0/0.0;
liveness-detection {
minimum-interval 400;
multiplier 5;
}
}
services-redundancy-group 1 {
mode active-backup;
deployment-type cloud;
peer-id {
2;
}
prefix-list pref1 {
routing-instance s1-router;
}
managed-services ipsec;
activeness-priority 200;
}
user@srx-00# show security zones
security-zone icl {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
ge-0/0/0.0;
}
}
security-zone untrust {
host-inbound-traffic {
system-services {
ike;
ping;
}
protocols {
bfd;
bgp;
}
}
interfaces {
ge-0/0/1.0;
}
}
security-zone trust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
ge-0/0/2.0;
}
}
user@srx-00# show security cloud
high-availability {
azure {
peer-liveliness {
probe-ip 10.0.2.20 source-ip 10.0.2.110 routing-instance s1-router;
}
}
}
user@srx-00# show interfaces
ge-0/0/0 {
unit 0 {
family inet {
address 10.0.1.10/24;
}
}
}
ge-0/0/1 {
unit 0 {
family inet {
address 10.0.2.110/24 {
primary;
}
address 10.0.2.11/24;
}
}
}
ge-0/0/2 {
unit 0 {
family inet {
address 10.0.3.10/24 {
primary;
}
address 10.0.3.12/24;
}
}
}
lo0 {
description HA_LOOPBACK;
unit 0 {
family inet {
address 10.11.1.10/32 {
primary;
}
}
}
}
user@srx-00# show routing-instances
s1-router {
instance-type virtual-router;
routing-options {
static {
route 0.0.0.0/0 next-hop 10.0.2.1;
}
interface ge-0/0/1.0;
interface ge-0/0/2.0;
}
Virtuelle Firewall vSRX (Knoten 1)
user@srx-01# show chassis high-availability
local-id {
2;
local-ip 10.0.1.11;
}
peer-id 1 {
peer-ip 10.0.1.10;
interface ge-0/0/0.0;
liveness-detection {
minimum-interval 400;
multiplier 5;
}
}
services-redundancy-group 1 {
mode active-backup;
deployment-type cloud;
peer-id {
1;
}
prefix-list pref1 {
routing-instance s1-router;
}
managed-services ipsec;
activeness-priority 100;
}
user@srx-01# show security zones
security-zone icl {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
ge-0/0/0.0;
}
}
security-zone untrust {
host-inbound-traffic {
system-services {
ike;
ping;
}
protocols {
bfd;
bgp;
}
}
interfaces {
ge-0/0/1.0;
}
}
security-zone trust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
ge-0/0/2.0;
}
}
user@srx-01# show security cloud
high-availability {
azure {
peer-liveliness {
probe-ip 10.0.2.110 source-ip 10.0.2.20 routing-instance s1-router;
}
}
}
user@srx-01# show interfacesge-0/0/0 {
unit 0 {
family inet {
address 10.0.1.11/24;
}
}
}
ge-0/0/1 {
unit 0 {
family inet {
address 10.0.2.20/24 {
primary;
}
address 10.0.2.11/24;
}
}
}
ge-0/0/2 {
unit 0 {
family inet {
address 10.0.3.20/24 {
primary;
}
address 10.0.3.12/24;
}
}
}
lo0 {
description HA_LOOPBACK;
unit 0 {
family inet {
address 10.11.1.11/32 {
primary;
}
}
}
}
user@srx-01# show routing-instances
s1-router {
instance-type virtual-router;
routing-options {
static {
route 0.0.0.0/0 next-hop 10.0.2.1;
}
interface ge-0/0/1.0;
interface ge-0/0/2.0;
}