Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Verwendung von Cloud-Init zur Automatisierung der Initialisierung virtueller vSRX-Firewall-Instanzen in AWS

Ab Junos OS Version 17.4R1 ist das Paket Cloud-init (Version 0.7x) im Image der virtuellen vSRX-Firewall für AWS vorinstalliert, um die Konfiguration neuer virtueller vSRX-Firewall-Instanzen zu vereinfachen, die auf AWS gemäß einer angegebenen Benutzerdatendatei ausgeführt werden. Cloud-init wird beim ersten Booten einer virtuellen vSRX-Firewall-Instanz durchgeführt.

Cloud-init ist eine Open-Source-Anwendung zur Automatisierung der Initialisierung einer Cloud-Instanz beim Hochfahren. Cloud-init wurde entwickelt, um mehrere verschiedene Cloud-Umgebungen wie Amazon EC2 zu unterstützen, sodass dasselbe VM-Image (VM) ohne Änderungen direkt in mehreren Cloud-Instanzen verwendet werden kann. Cloud-init-Unterstützung in einer VM-Instanz wird beim Starten (beim ersten Booten) ausgeführt und initialisiert die VM-Instanz entsprechend der angegebenen Benutzerdatendatei.

Eine Benutzerdatendatei ist ein besonderer Schlüssel im Metadatendienst, der eine Datei enthält, auf die Cloud-fähige Anwendungen in der VM-Instanz beim ersten Start zugreifen können. In diesem Fall handelt es sich um die validierte Junos OS-Konfigurationsdatei, die Sie als aktive Konfiguration in eine virtuelle vSRX-Firewall-Instanz hochladen möchten. Diese Datei verwendet die Standardmäßige Junos OS-Befehlssyntax, um Konfigurationsdetails zu definieren, z. B. Root-Kennwort, Verwaltungs-IP-Adresse, Standard-Gateway und andere Konfigurationsanweisungen.

Wenn Sie eine virtuelle vSRX-Firewall-Instanz erstellen, können Sie Services auf AWS verwenden cloud-init , um eine gültige Junos OS-Konfigurationsdatei als Benutzerdaten zu übergeben, um neue virtuelle vSRX-Firewall-Instanzen zu initialisieren. Die Benutzerdatendatei verwendet die Standardmäßige Junos OS-Syntax, um alle Konfigurationsdetails für Ihre virtuelle vSRX-Firewall-Instanz zu definieren. Die Standardmäßige Junos OS-Konfiguration wird beim Start der virtuellen vSRX-Firewall-Instanz durch eine validierte Junos OS-Konfiguration ersetzt, die Sie in Form einer Benutzerdatendatei bereitstellen.

Hinweis:

Die Benutzerdatendatei darf 16 KB nicht überschreiten. Wenn Ihre Benutzerdatendatei diese Grenze überschreitet, müssen Sie die Datei mit gzip komprimieren und die komprimierte Datei verwenden. Zum Beispiel führt der Befehl gzip junos.conf in die Datei junos.conf.gz.

Die Konfiguration muss validiert werden und Details für fxp0-Schnittstelle, Anmeldung und Authentifizierung enthalten. Es muss auch eine Standardroute für Den Datenverkehr auf fxp0 haben. Diese Informationen müssen mit den Details der AWS VPC und des Subnetzes übereinstimmen, in denen die Instanz gestartet wird. Wenn diese Informationen fehlen oder nicht korrekt sind, ist die Instanz nicht zugänglich und Sie müssen eine neue starten.

Warnung:

Stellen Sie sicher, dass die Benutzerdatenkonfigurationsdatei nicht so konfiguriert ist, dass sie die automatische Installation an Schnittstellen unter Verwendung des Dynamic Host Configuration Protocol (DHCP) ausführt, um der virtuellen vSRX-Firewall eine IP-Adresse zuzuweisen. Die automatische Installation mit DHCP führt zu einem "Commit-Fehler" für die Benutzerdatenkonfigurationsdatei.

So initiieren Sie die automatische Einrichtung einer virtuellen vSRX-Firewall-Instanz von AWS aus:

  1. Wenn Sie dies noch nicht getan haben, erstellen Sie eine Konfigurationsdatei mit der Junos OS-Befehlssyntax und speichern Sie die Datei. Die Konfigurationsdatei kann Nur-Text oder MIME-Dateityp text/plain sein.

    Die Konfigurationsdatei für Benutzerdaten muss die vollständige virtuelle Firewall-Konfiguration der vSRX enthalten, die als aktive Konfiguration auf jeder virtuellen vSRX-Firewall-Instanz verwendet werden soll, und der String #junos-config muss die erste Zeile der Konfigurationsdatei für Benutzerdaten vor der Junos OS-Konfiguration sein.

    Hinweis:

    Die #junos-config Zeichenfolge ist in der Konfigurationsdatei für Benutzerdaten obligatorisch. Wenn sie nicht enthalten ist, wird die Konfiguration nicht als aktive Konfiguration auf die virtuelle Firewall-Instanz der vSRX angewendet.
  2. Kopieren Sie die Junos OS-Konfigurationsdatei in einen zugänglichen Speicherort, von dem aus sie abgerufen werden kann, um die virtuelle vSRX-Firewall-Instanz zu starten.
  3. Um die Benutzerdatendatei für die Konfiguration der virtuellen vSRX-Firewall-Instanz anzugeben, wählen Sie im Abschnitt Benutzerdaten auf der Seite Instanzdetails konfigurieren die Option Als Datei aus, und fügen Sie die Datei an (wie unter Starten einer vSRX-Instanz in einer Amazon Virtual Private Cloud beschrieben). Die ausgewählte Konfigurationsdatei wird für den ersten Start der virtuellen vSRX-Firewall-Instanz verwendet. Während der ersten Startsequenz verarbeitet die virtuelle vSRX-Firewall-Instanz die Cloud-init-Anfrage.
    Hinweis:

    Die Boot-Zeit für die virtuelle vSRX-Firewall-Instanz kann sich durch die Verwendung des Cloud-init-Pakets erhöhen. Diese zusätzliche Zeit in der ersten Boot-Sequenz ist auf die Vorgänge zurückzuführen, die vom Cloud-init-Paket durchgeführt werden. Während dieses Vorgangs stoppt das Cloud-init-Paket die Boot-Sequenz und sucht nach den Konfigurationsdaten in jeder Datenquelle, die in der Cloud.cfg identifiziert wurde. Die Zeit, die zum Suchen und Ausfüllen der Cloud-Daten benötigt wird, ist direkt proportional zur Anzahl der definierten Datenquellen. Wenn keine Datenquelle vorhanden ist, wird der Nachschlagevorgang fortgesetzt, bis ein vordefiniertes Timeout von 30 Sekunden für jede Datenquelle erreicht wird.

  4. Wenn die erste Startsequenz fortgesetzt wird, ersetzt die Benutzerdatendatei die ursprüngliche, werkseitig standardmäßige Junos OS-Konfiguration, die auf der virtuellen vSRX-Firewall-Instanz geladen wurde. Wenn der Commit erfolgreich ist, wird die factorybasierte Standardkonfiguration dauerhaft ersetzt. Wenn die Konfiguration nicht unterstützt wird oder nicht auf die virtuelle Firewall-Instanz der vSRX angewendet werden kann, startet die virtuelle vSRX-Firewall mithilfe der Junos OS-Standardkonfiguration.

Ähnliche Dokumentation

Tabelle "Versionshistorie"
Release
Beschreibung
17,4R1
Ab Junos OS Version 17.4R1 ist das Paket Cloud-init (Version 0.7x) im Image der virtuellen vSRX-Firewall für AWS vorinstalliert, um die Konfiguration neuer virtueller vSRX-Firewall-Instanzen zu vereinfachen, die auf AWS gemäß einer angegebenen Benutzerdatendatei ausgeführt werden. Cloud-init wird beim ersten Booten einer virtuellen vSRX-Firewall-Instanz durchgeführt.