Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
AUF DIESER SEITE
 

Bereitstellen der virtuellen vSRX-Firewall über die Azure CLI

Ab Junos OS Version 15.1X49-D80 und Junos OS Version 17.3R1 können Sie die virtuelle vSRX-Firewall über die Azure CLI bereitstellen und die VM-Bereitstellungseinstellungen und -abhängigkeiten der virtuellen vSRX-Firewall basierend auf Ihren Netzwerkanforderungen in der Microsoft Azure-Cloud anpassen.

Gehen Sie wie folgt vor, um die virtuelle vSRX-Firewall über die Azure CLI als virtuelle Sicherheitsappliance in einem virtuellen Microsoft Azure-Netzwerk bereitzustellen und zu konfigurieren. In diesem Verfahren verwenden Sie die Azure CLI, die im Azure Resource Manager-Modus (ARM) ausgeführt wird.

Hinweis:

Stellen Sie sicher, dass Sie über ein Konto für Microsoft Azure und ein Abonnement für Microsoft Azure verfügen, bevor Sie die virtuelle vSRX-Firewall in Azure bereitstellen (siehe Microsoft Azure).

Wenn Sie nicht über ein Azure-Abonnement verfügen, können Sie ein kostenloses Konto erstellen, bevor Sie beginnen. Weitere Informationen finden Sie auf der Microsoft Azure-Website .
Hinweis:

Im Azure-Portal müssen Sie zunächst das vSRX Virtual Firewall-Image (nur einmal) manuell bereitstellen, indem Sie entweder die vSRX Next Generation Firewall (BYOL) oder die vSRX Next Generation Firewall (PAYG)-SKU verwenden, um die EULA-Bedingungen zu akzeptieren. Dies ist eine Voraussetzung, bevor Sie das Image der virtuellen vSRX-Firewall über die Azure CLI bereitstellen können. Standardmäßig verwendet das Bereitstellungstool des Azure-Portals die vSRX Next Generation Firewall (BYOL)-SKU als Quellimage. Verwenden Sie den Benutzernamen und das Kennwort Ihres Microsoft-Kontos, um sich beim Microsoft Azure-Portal anzumelden.

Der Fehler " MarketplacePurchaseEligibilityFailed" tritt auf, wenn Sie nicht zuerst die EULA-Bedingungen für das vSRX Virtual Firewall-Image im Azure-Portal akzeptieren, bevor Sie versuchen, das vSRX Virtual Firewall-Image über die Azure CLI bereitzustellen.

Installieren der Microsoft Azure CLI

So installieren Sie die Microsoft Azure CLI und melden sich bei ihr an:

  1. Installieren Sie die Microsoft Azure CLI 1.0 wie unter Installieren der Azure CLI beschrieben. Sie haben mehrere Möglichkeiten, das Azure CLI-Paket entweder für Linux oder Mac OS zu installieren. Stellen Sie sicher, dass Sie das richtige Installationspaket auswählen.
    Hinweis:

    Das Shellskript für die virtuelle vSRX-Firewall für die Azure-Bereitstellung deploy-azure-vsrx.sh ist in Shell- und Azure CLI-Version 1.0-Befehlen geschrieben und unterstützt Azure CLI-Version 2.0 nicht.
    Hinweis:

    Die Bereitstellung der virtuellen vSRX-Firewall in Microsoft Azure unterstützt nicht die Verwendung der Azure CLI von Microsoft Windows. Dies liegt daran, dass das deploy-azure-vsrx.sh Shell-Skript, das als Teil des Bereitstellungsvorgangs verwendet wird, nur über die Linux- oder Mac OS-CLI ausgeführt werden kann.

  2. Melden Sie sich bei der Azure CLI an.

    > azure login

  3. Kopieren Sie an der Eingabeaufforderung den Code, der in der Befehlsausgabe angezeigt wird.
  4. Öffnen Sie einen Webbrowser, um http://aka.ms/devicelogin, geben Sie den Code ein, und klicken Sie dann auf Weiter. Geben Sie Ihren Microsoft Azure-Benutzernamen und Ihr Kennwort ein. Wenn der Vorgang abgeschlossen ist, schließt die Befehlsshell den Anmeldevorgang ab.
    Hinweis:

    Wenn Sie über mehrere Azure-Abonnements verfügen, erhalten Sie durch das Herstellen einer Verbindung mit Azure Zugriff auf alle Abonnements, die Ihren Anmeldeinformationen zugeordnet sind. Ein Abonnement wird als Standard ausgewählt und von der Azure CLI beim Ausführen von Vorgängen verwendet. Sie können die Abonnements, einschließlich des aktuellen Standardabonnements, mit dem azure account list Befehl anzeigen.
  5. Stellen Sie sicher, dass sich die Azure CLI im Azure Resource Manager-Modus (ARM) befindet.

    > azure config mode arm

    Hinweis:

    Wenn die Azure CLI zum ersten Mal installiert wird, befindet sich die CLI im ARM-Modus.

Bereitstellungstools für die virtuelle Firewall vSRX herunterladen

Juniper Networks stellt eine Reihe von Skripten, Vorlagen, Parameterdateien und Konfigurationsdateien im GitHub-Repository von Juniper bereit. Diese Tools sollen dazu beitragen, die Bereitstellung der virtuellen vSRX-Firewall in Azure bei Verwendung der Azure CLI zu vereinfachen.

Hinweis:

Hintergrundinformationen zu den Skripts, Vorlagen, Parameterdateien und Konfigurationsdateien finden Sie unter Vor dem Bereitstellen von vSRX mithilfe der Azure CLI.

So laden Sie die Bereitstellungstools für die virtuelle vSRX-Firewall herunter:

  1. Greifen Sie über den folgenden Link auf GitHub zu: https://github.com/Juniper/vSRX-Azure.
  2. Klicken Sie auf Klonen oder herunterladen , um die vSRX-Azure-master.zip Datei von Github mit allen Dateien und Verzeichnissen von vSRX-Azureauf Ihren Computer herunterzuladen. Das vSRX-Azure-master Verzeichnis enthält die folgenden Verzeichnisse und Dateien:
  3. Extrahieren Sie die komprimierte vSRX-Azure-master.zip Datei an einen Speicherort auf Ihrem Computer.

Ändern von Parameterwerten in der virtuellen vSRX-Firewall.parameter.json Datei

In der vsrx.parameters.json Datei müssen Sie Parameterwerte ändern, die für Ihre vSRX Virtual Firewall-Bereitstellung in Microsoft Azure spezifisch sind. Diese Parameter werden im Rahmen der automatischen Bereitstellung durch das deploy-azure-vsrx.sh Skript verwendet.

Beachten Sie, dass die virtuelle vSRX-Firewall standardmäßig fxp0 als Ausgangsschnittstelle zum Internet verwendet. Für Funktionen, die Internetverbindungen erfordern, die einen Umsatzport verwenden (z. B. VPN, Content Security usw.), sind Routinginstanzen erforderlich, um den Datenverkehr zwischen dem Verwaltungsnetzwerk und dem Umsatznetzwerk zu isolieren.

So ändern Sie Parameterwerte in der vsrx.parameters.json Datei:

  1. Öffnen Sie die vsrx.parameters.json Datei mit einem Texteditor.
  2. Ändern Sie die Werte in der vsrx.parameters.json Datei basierend auf den Besonderheiten Ihrer vSRX Virtual Firewall-Bereitstellung. In der folgenden Tabelle sind beispielsweise die Parameter in der vsrx.parameters.json Datei aufgeführt, die möglicherweise sample-templates\arm-templates-tool\templates\vsrx-gateway geändert werden muss.
    VORSICHT:

    Es ist wichtig, dass Sie die Anmeldeinformationen für die virtuelle vSRX-Firewall (Benutzername) und das vSRX Virtual Firewall-Kennwort, die in der vsrx.parameters.json-Datei aufgeführt sind, ändern, bevor Sie die vSRX Virtual Firewall-Instanz starten und sich zum ersten Mal anmelden. Beachten Sie, dass Sie Anmeldeinformationen für die virtuelle vSRX-Firewall nicht über das Microsoft Azure-Portal oder die Azure CLI zurücksetzen können.

    Parameter

    Standardwert

    Kommentar

    storageAccountName

    JuniperStore01

    Muss für jede Bereitstellung eindeutig sein.

    storageContainerName

    Vhds

    Name des Microsoft Azure-Speichercontainers (VHDs).

    vSRX Virtual Firewall-name

    Virtuelle vSRX-Firewall-gw

    Gibt den Hostnamen der virtuellen vSRX-Firewall an.

    vSRX Virtual Firewall-addr-ge-0-0-0

    192.168.10.20

    IP-Adresse der vSRX Virtual Firewall-Schnittstelle ge-0/0/0.0.

    vSRX Virtual Firewall-addr-ge-0-0-1

    192.168.20.20

    IP-Adresse der vSRX Virtual Firewall-Schnittstelle ge-0/0/1.0.

    vSRX Virtual Firewall-username

    Demo

    Ändern Sie einen geeigneten Benutzernamen für die Anmeldeinformationen, die für den Zugriff auf die virtuelle vSRX-Firewall verwendet werden.

    vSRX Virtual Firewall-password

    Demo123456

    Ändern Sie ein geeignetes Kennwort für die Anmeldeinformationen, die für den Zugriff auf die virtuelle vSRX-Firewall verwendet werden.

    vSRX Virtual Firewall-sshkey

    ssh-rsa-Platzhalter

    Gibt das Root-Authentifizierungskennwort für die virtuelle vSRX-Firewall-VM durch Eingabe einer SSH-Zeichenfolge für den öffentlichen Schlüssel (RSA oder DSA) an. Standardmäßig wählt das deploy-azure-vsrx.sh Bereitstellungsskript die Kennwortauthentifizierungsmethode aus, es sei denn –p, gefolgt von der öffentlichen SSH-RSA-Schlüsseldatei (standardmäßig id_rsa.pub) ist angegeben.

    Hinweis:

    Ab Junos OS Version 15.1X49-D100 für vSRX Virtual Firewall werden sowohl die Kennwort- als auch die SSH-Authentifizierung mit öffentlichem Schlüssel unterstützt, wobei die Kennwortauthentifizierung standardmäßig ausgewählt ist.

    vSRX Virtual Firewall-disk

    Platzhalter

    Das Quell-Image zum Erstellen der virtuellen vSRX-Firewall-Instanz. Standardmäßig verwendet das deploy-azure-vsrx.sh Skript die vSRX Next Generation Firewall (BYOL)- SKU im Azure Marketplace als Quellimage zum Bereitstellen der vSRX Virtual Firewall-Instanz, es sei denn, es –i wird verwendet, um explizit den Speicherort des vSRX Virtual Firewall-Instanzimages anzugeben.

    vnet-prefix

    192.168.0.0/16

    IP-Adresspräfix des virtuellen Netzwerks.

    vnet-mgt-subnet-basename

    mgt-subnet

    Name des Verwaltungsnetzwerks, das mit fxp0 verbunden ist.

    vnet-mgt-subnet-prefix

    192.168.0.0/24

    IP-Adresspräfix des Verwaltungsnetzwerks, das mit fxp0 verbunden ist.

    vnet-trust-subnet-basename

    trust-subnet

    Name des Netzwerks, das mit der vertrauenswürdigen Sicherheitszone verbunden ist: ge-0/0/1.0 auf der virtuellen vSRX-Firewall.

    vnet-trust-subnet-prefix

    192.168.20.0/24

    IP-Adresspräfix des Netzwerks, das mit der vertrauenswürdigen Sicherheitszone verbunden ist: ge-0/0/1.0 auf der virtuellen vSRX-Firewall.

    vnet-untrust-subnet-basename

    Nicht vertrauenswürdiges Subnetz

    Name des Netzwerks, das mit der nicht vertrauenswürdigen Sicherheitszone verbunden ist: ge-0/0/0.0 auf der virtuellen vSRX-Firewall.

    vnet-untrust-subnet-prefix

    192.168.10.0/24

    IP-Adresspräfix des Netzwerks, das mit der nicht vertrauenswürdigen Sicherheitszone verbunden ist: ge-0/0/0.0 auf der virtuellen vSRX-Firewall.
  3. Speichern Sie Ihre Änderungen in der vsrx.parameters.json Datei.

Bereitstellen der virtuellen vSRX-Firewall mithilfe des Shell-Skripts

Das deploy-azure-vsrx.sh Shell-Skript stellt den virtuellen Computer der virtuellen vSRX-Firewall in einer Ressourcengruppe bereit, die auf Ihrem geografischen Standort in der Azure-Cloud basiert. Das Skript verwendet die Speicherkonto- und Netzwerkwerte, die in der vsrx.parameters.json Datei definiert sind.

So stellen Sie die virtuelle vSRX-Firewall im virtuellen Azure-Netzwerk bereit:

  1. Führen Sie an der Bash-Eingabeaufforderung in der Azure CLI das deploy-azure-vsrx.sh Skript aus. Standardmäßig stellt das Skript die virtuelle vSRX-Firewall-VM mithilfe der vSRX Next Generation Firewall (BYOL)- SKU als Quellimage aus dem Azure Marketplace bereit. Die folgenden Informationen werden im Rahmen der Bereitstellung aus der vSRX Virtual Firewall.json-Datei gelesen:

    • VM-Größe: Standard_D3_v2

    • Herausgeber: Juniper Networks

    • Artikelnummer: vSRX Virtual Firewall-byol-azure-image

    • Angebot: virtuelle vSRX-Firewall der nächsten Generation

    Im Folgenden finden Sie ein Beispiel für die Befehlssyntax. In diesem Beispiel verwendet das Skript das Image der virtuellen vSRX-Firewall, um die virtuelle vSRX-Firewall-VM in der Ressourcengruppe "example_rg" am Azure-Standort "westus" bereitzustellen. Das Speicherkonto und die Netzwerkwerte werden in der vsrx.parameters.json Datei definiert.

    > ./deploy-azure-vsrx.sh -g example_rg -l westus -f vSRX-Azure/sample-templates/arm-templates-tool/templates/vsrx-gateway/vsrx.json -e vSRX-Azure/sample-templates/arm-templates-tool/templates/vsrx-gateway/vsrx.parameters.json

    Hinweis:

    Wenn Sie die URL des vSRX Virtual Firewall-Quellimages mit der Option -iangeben, kopiert das Skript das vSRX Virtual Firewall-Quellimage, um die Festplattendatei für virtuelle Hardware zu erstellen und den vsrx-disk Parameter in vsrx.parameters.json auf diesen Wert festzulegen.

    Zu den Standardparameterwerten in der Befehlssyntax gehören:

    • example_rg ist der Name der Ressourcengruppe (-g).

    • westus ist der Azure-Standort (-l).

    • vSRX Virtual Firewall.json im Ordner vSRX-Azure/sample-templates/arm-templates-tool/templates/vsrx-gateway ist die standardmäßige Azure-Vorlagendatei (-f).

    • vSRX Virtual Firewall.parameters.json Im Ordner vSRX-Azure/sample-templates/arm-templates-tool/templates/vsrx-gateway befindet sich der Standardparameter file (-e).

  2. Überwachen Sie die Phasen der Bereitstellung der virtuellen vSRX-Firewall in Microsoft Azure, während sie auf dem Bildschirm ausgeführt werden. Die Bereitstellung umfasst Vorgänge wie das Erstellen einer Ressourcengruppe, eines Speicherkontos oder einer Vorlagengruppe (einschließlich Konfigurationsparametern).
    Hinweis:

    Die Erstellung des Speicherkontos kann im Durchschnitt etwa 3 bis 5 Minuten dauern. In einigen Fällen kann es jedoch bis zu 15 bis 20 Minuten dauern.

    Wenn der Bereitstellungsvorgang abgeschlossen ist, wird die Meldung “info: group deployment create command Okangezeigt.

Überprüfen der Bereitstellung der virtuellen vSRX-Firewall in Microsoft Azure

So überprüfen Sie die Bereitstellung der vSRX Virtual Firewall-Instanz in Microsoft Azure:

  1. Öffnen Sie einen Webbrowser, um zu https://portal.azure.com/ , und melden Sie sich mit Ihren Anmeldeinformationen beim Microsoft Azure-Portal an. Die Dashboardansicht wird im Azure-Portal angezeigt. Es wird ein einheitliches Dashboard für alle Ihre Ressourcen in Azure angezeigt. Stellen Sie sicher, dass das Dashboard alle Abonnements enthält, auf die Sie derzeit Zugriff haben, sowie alle Ressourcengruppen und zugeordneten Ressourcen.
  2. Um die Ressourcengruppe der virtuellen vSRX-Firewall und ihre Ressourcen nach Abschluss der Bereitstellung anzuzeigen, klicken Sie im Menü auf der rechten Seite auf Ressourcengruppen, um auf die Seite Ressourcengruppen zuzugreifen.

    Abbildung 1 zeigt ein Beispiel für die Seite "Ressourcengruppe" im Microsoft Azure-Portal.

    Abbildung 1: Beispiel für die Seite "Microsoft Azure-Ressourcengruppen" Microsoft Azure Resource Groups Page Example
  3. Klicken Sie auf den Namen der virtuellen vSRX-Firewall, um Details der virtuellen vSRX-Firewall-VM anzuzeigen, die der Ressourcengruppe zugeordnet ist.

    Abbildung 2 zeigt ein Beispiel für die VM "Ressourcengruppen" im Microsoft Azure-Portal.

    Abbildung 2: Beispiel für eine Microsoft Azure-Ressourcengruppen-VM Microsoft Azure Resource Groups VM Example
  4. Klicken Sie im linken Bereich auf das Symbol Virtuelle Maschinen, um eine Zusammenfassung der VMs in Ihrem Abonnement anzuzeigen, einschließlich der neu bereitgestellten virtuellen vSRX-Firewall. Überprüfen Sie auf der Seite Virtuelle Maschinen den VM-Status der virtuellen vSRX-Firewall, nachdem die Bereitstellung abgeschlossen ist. Beachten Sie, dass der Status . Running
    Hinweis:

    Sie können eine VM auf der Seite Virtuelle Computer im Microsoft Azure-Portal beenden, starten, neu starten und löschen.

    Abbildung 3 zeigt ein Beispiel für die Seite "Microsoft Azure Virtual Machines".

    Abbildung 3: Beispiel für die Seite "Microsoft Azure Virtual Machines" Microsoft Azure Virtual Machines Page Example

Anmelden bei einer virtuellen vSRX-Firewall-Instanz

Nach Abschluss der Bereitstellung der virtuellen vSRX-Firewall wird die virtuelle vSRX-Firewall-Instanz automatisch eingeschaltet und gestartet. An dieser Stelle können Sie einen SSH-Client verwenden, um sich bei der vSRX Virtual Firewall-Instanz anzumelden.

Hinweis:

In Microsoft Azure können Einzelpersonen und Unternehmen Server und Dienste in der Cloud als Pay-as-you-go-Service (PAYG) oder Bring-your-own-license (BYOL) hosten. Für die Bereitstellung der virtuellen vSRX-Firewall auf Microsoft Azure wird nur das BYOL-Modell unterstützt.

So melden Sie sich bei der virtuellen vSRX-Firewall-VM an:

  1. Klicken Sie im Azure-Portal im Menü der Dienste auf dem Dashboard auf Ressourcengruppen , und wählen Sie dann die virtuelle vSRX-Firewall-VM aus. Suchen Sie die öffentliche IP-Adresse der virtuellen vSRX-Firewall-VM auf dem Blatt Einstellungen.
  2. Verwenden Sie einen SSH-Client, um sich bei einer virtuellen vSRX-Firewall-Instanz anzumelden.
  3. Geben Sie an der Eingabeaufforderung die folgenden Anmeldeinformationen ein:
    Hinweis:

    Ab Junos OS Version 15.1X49-D80 und Junos OS Version 17.3R1 wird nur noch die Kennwortauthentifizierung unterstützt. Ab Junos OS Version 15.1X49-D100 für vSRX Virtual Firewall werden sowohl die Kennwort- als auch die SSH-Authentifizierung mit öffentlichem Schlüssel unterstützt, wobei die Kennwortauthentifizierung standardmäßig ausgewählt ist.

    Die virtuelle vSRX-Firewall-Instanz wird automatisch für die Authentifizierung mit Benutzername und Kennwort konfiguriert. Verwenden Sie für die Anmeldung die Anmeldeinformationen, die in der vsrx.parameters.json Datei definiert wurden (siehe Ändern von Parameterwerten in der virtuellen Firewall.parameter.json Datei vSRX). Nach der ersten Anmeldung bei der virtuellen vSRX-Firewall können Sie die SSH-Authentifizierung mit öffentlichem und privatem Schlüssel konfigurieren.

    # ssh <username@vsrx_vm_ipaddress>

  4. Konfigurieren Sie die Grundeinstellungen für die virtuelle vSRX-Firewall-VM (siehe Konfigurieren von vSRX mithilfe der CLI).

Zugehörige Dokumentation

Tabelle der Versionshistorie
Release
Beschreibung
15.1X49-D80
Ab Junos OS Version 15.1X49-D80 und Junos OS Version 17.3R1 können Sie die virtuelle vSRX-Firewall über die Azure CLI bereitstellen und die VM-Bereitstellungseinstellungen und -abhängigkeiten der virtuellen vSRX-Firewall basierend auf Ihren Netzwerkanforderungen in der Microsoft Azure-Cloud anpassen.
15.1X49-D80
Ab Junos OS Version 15.1X49-D80 und Junos OS Version 17.3R1 wird nur noch die Kennwortauthentifizierung unterstützt.
15.1X49-D100
Ab Junos OS Version 15.1X49-D100 für vSRX Virtual Firewall werden sowohl die Kennwort- als auch die SSH-Authentifizierung mit öffentlichem Schlüssel unterstützt, wobei die Kennwortauthentifizierung standardmäßig ausgewählt ist.
15.1X49-D100
Ab Junos OS Version 15.1X49-D100 für vSRX Virtual Firewall werden sowohl die Kennwort- als auch die SSH-Authentifizierung mit öffentlichem Schlüssel unterstützt, wobei die Kennwortauthentifizierung standardmäßig ausgewählt ist.