Verstehen der virtuellen Firewall vSRX mit Microsoft Azure Cloud
In diesem Abschnitt erhalten Sie einen Überblick über die virtuelle vSRX-Firewall, die in der Microsoft Azure Cloud bereitgestellt wird.
Virtuelle Firewall vSRX mit Microsoft Azure
Ab Junos OS Version 15.1X49-D80 und Junos OS Version 17.3R1 können Sie die virtuelle Firewall vSRX in der Microsoft Azure Cloud bereitstellen. Microsoft Azure ist Microsofts Anwendungsplattform für die öffentliche Cloud. Es ist eine offene, flexible Cloud-Computing-Plattform der Enterprise-Klasse für den Aufbau, die Bereitstellung und die Verwaltung von Anwendungen und Services über ein globales Netzwerk von Von Microsoft verwalteten Datencentern. Sie bietet Software-as-a-Service (SaaS), Platform-as-a-Service (PaaS) und IaaS-Services (Infrastructure as a Service). Sie platzieren Ihre virtuellen Maschinen (VMs) in virtuellen Azure-Netzwerken, in denen die verteilten und virtuellen Netzwerke in Azure sicherstellen, dass Ihr privater Netzwerkverkehr logisch vom Datenverkehr in anderen virtuellen Azure-Netzwerken isoliert wird.
Azure WALinuxAgent führt den Bereitstellungsauftrag für die virtuellen vSRX-Firewall-Instanzen aus. Wenn eine neue virtuelle vSRX-Firewall-Instanz bereitgestellt wird, kann die kontinuierliche Größe der waagent-Protokolldatei dazu führen, dass die virtuelle vSRX-Firewall beendet wird. Wenn die virtuelle Firewall vSRX noch in Betrieb ist, löschen Sie / var/log/waagent.log direkt, oder führen Sie den clear log waagent.log all Befehl aus, um die Protokolldatei zu löschen.
Alternativ können Sie die set groups azure-provision system syslog file waagent.log archive size 1m Befehle und set groups azure-provision system syslog file waagent.log archive files 10 Befehle ausführen, um das Anwachsen der Waagent-Protokolle zu verhindern. Diese Konfigurationen führen zur Rotation des Protokolls von waagent mit einer Größe größer als 1 MB und richten maximal 10 Backups ein.
Sie können eine virtuelle vSRX-Firewall virtuelle Sicherheitsanwendung hinzufügen, um Netzwerksicherheitsfunktionen als Anwendungsinstanz in einem virtuellen Azure-Netzwerk bereitzustellen. Die virtuelle Firewall vSRX schützt die Workloads, die im virtuellen Netzwerk in der Microsoft Azure Cloud ausgeführt werden.
Sie können die virtuelle vSRX-Firewall-VM in Azure mit den folgenden Bereitstellungsmethoden bereitstellen:
-
Azure Marketplace: Stellen Sie die virtuelle vSRX-Firewall-VM aus dem Azure Marketplace bereit. Azure Marketplace bietet Ihnen verschiedene Methoden zur Bereitstellung einer virtuellen vSRX-Firewall-VM in Ihrem virtuellen Netzwerk. Sie können eine benutzerdefinierte Lösungsvorlage auswählen, die von Juniper Networks angeboten wird, um die VM-Bereitstellung der virtuellen vSRX-Firewall basierend auf bestimmten Anwendungsfällen (z. B. einem Sicherheits-Gateway) zu automatisieren. Eine Lösungsvorlage automatisiert die Abhängigkeiten, die mit bestimmten Bereitstellungsszenarien verknüpft sind, z. B. VM-Einstellungen, virtuelle Netzwerkeinstellungen (z. B. mehrere Teilmengen für die Verwaltungsschnittstelle (fxp0) und zwei Umsatzschnittstellen (Daten) usw. Alternativ können Sie das VM-Image der virtuellen vSRX-Firewall auswählen und die Bereitstellungseinstellungen und -abhängigkeiten basierend auf Ihren spezifischen Netzwerkanforderungen definieren. Ab Junos OS Version 15.1X49-D91 für die virtuelle Firewall vSRX können Sie die virtuelle Firewall vSRX über den Azure Marketplace in der Microsoft Azure Cloud bereitstellen.
Azure Marketplace ermöglicht Es Ihnen auch, Software zu entdecken und zu abonnieren, die regulierte Workloads über Azure Marketplace für Azure Government Cloud (US) unterstützt.
-
Azure CLI: Stellen Sie die virtuelle Firewall-VM vSRX über die Azure CLI bereit. Sie können die Vm-Bereitstellungseinstellungen und -abhängigkeiten der virtuellen vSRX-Firewall basierend auf Ihren Netzwerkanforderungen in Microsoft Azure Cloud anpassen. Um die Bereitstellung der virtuellen vSRX-Firewall-VM im virtuellen Netzwerk von Microsoft Azure zu automatisieren und zu vereinfachen, stellt Juniper Networks eine Reihe von Skripten, Azure Resource Manager (ARM)-Vorlagen und Parameterdateien sowie Konfigurationsdateien in einem GitHub-Repository bereit.
Hinweis:Ab Junos OS Version 15.1X49-D80 und Junos OS Version 17.3R1 können Sie die virtuelle Firewall vSRX über die Azure CLI in der Microsoft Azure Cloud bereitstellen.
In Microsoft Azure können Sie Server und Services in der Cloud als Pay-as-you-go (PAYG) oder Bring-your-own-License (BYOL)-Service hosten.
PAYG-Bilder der virtuellen Firewall vSRX erfordern keine Lizenzen von Juniper Networks.
Ab Junos OS Version 15.1X49-D120 unterstützt die virtuelle vSRX-Firewall auf Microsoft Azure Cloud die virtuelle Firewall Premium-Next Generation Firewall mit Anti-Virus-Schutzpaket für PAYG, die als einstündiges oder einjähriges Abonnement erhältlich ist. Dieses Paket umfasst:
-
Standardfunktionen (STD) der Core-Sicherheit, einschließlich Core-Firewall, IPsec VPN, NAT, CoS und Routing-Services.
-
Erweiterte Layer 4 bis 7-Sicherheitsservices wie AppSecure-Funktionen von AppID, AppFW, AppQoS und AppTrack, IPS und umfangreiche Routing-Funktionen, einschließlich der Inhaltssicherheits-Antivirus-Funktion.
Abbildung 1 veranschaulicht die Bereitstellung einer virtuellen vSRX-Firewall in Microsoft Azure.
In Microsoft Azure haben öffentliche Subnetze Zugriff auf das Internet-Gateway, private subnets jedoch nicht. Die virtuelle Firewall vSRX erfordert zwei öffentliche Subnetzen und ein oder mehrere private Subnetzen für jede einzelne Instanzgruppe. Die öffentlichen Subnetzen bestehen aus einem für die Verwaltungsschnittstelle (fxp0) und einem für eine Umsatzschnittstelle (Daten). Die privaten Subnetze, die mit den anderen virtuellen vSRX-Firewall-Schnittstellen verbunden sind, stellen sicher, dass der gesamte Datenverkehr zwischen Anwendungen in den privaten Subnetzen und dem Internet die virtuelle Firewall-Instanz der vSRX passieren muss.
bereitgestellt
Ein Glossar der Microsoft Azure-Begriffe finden Sie im Microsoft Azure-Glossar.
Ab Junos OS Version 21.4R1 unterstützt die virtuelle Firewall vSRX 3.0 die Option Azure Accelerated Networking (AAN), die die virtuelle Funktion Mellanox SR-IOV für Hochgeschwindigkeitsnetzwerke nutzt.
Microsoft Azure verfügt über die Option Azure Accelerated Networking (AAN) für jede angeschlossene Netzwerkschnittstelle. Die AAN nutzt die virtuelle Funktion Mellanox SR-IOV für Hochgeschwindigkeitsnetzwerke. Die virtuelle Firewall vSRX 3.0 unterstützt jetzt AAN. Die virtuelle Firewall vSRX 3.0 mit AAN bietet eine bessere Netzwerkleistung in der Azure Cloud.
Wir unterstützen derzeit nur die unten aufgeführten vSRX Virtual Firewall 3.0-Instanzen für Azure AAN.
| Größe | vCPU | Memory (GiB) | MAX NICs |
|---|---|---|---|
| Standard_D8ds_v4 | 8 | 32 | 4 |
| Standard_D16ds_v4 | 16 | 64 | 8 |
| Standard_D32ds_v4 | 32 | 128 | 8 |
-
Verwenden Sie den
az network nic update --name <interface-name> --resource-group <resource-group> --accelerated-networking trueBefehl, um AAN zu aktivieren. - Verwenden der Web-GUI: Nach der Anmeldung beim Microsoft Azure-Portal:
-
Klicken Sie auf Virtuelle Netzwerke , und wählen Sie das richtige virtuelle Netzwerk aus. Networking"
Klicken Sie auf Verbundene Geräte, wählen Sie die erforderliche Netzwerkschnittstelle aus, und klicken Sie dann auf Beschleunigtes Netzwerk aktivieren.
-
Klicken Sie auf Virtuelle Maschinen , wählen Sie die erforderliche VM aus, und klicken Sie dann auf Netzwerk. Klicken Sie schließlich auf den Bereich der korrekten NIC-Schnittstelle und klicken Sie auf Beschleunigtes Netzwerk aktivieren.
-
Weitere Informationen finden Sie unter Ermöglichen von beschleunigten Netzwerken für replizierte VMs.