Utiliser Cloud-Init pour automatiser l’initialisation des instances de pare-feu virtuel vSRX dans AWS
À partir de la version 17.4R1 de Junos OS, le package cloud-init (version 0.7x) est préinstallé dans l’image du pare-feu virtuel vSRX pour AWS afin de simplifier la configuration des nouvelles instances de pare-feu virtuel vSRX fonctionnant sur AWS en fonction d’un fichier de données utilisateur spécifié. Cloud-init est effectué lors du premier démarrage d’une instance de pare-feu virtuel vSRX.
Cloud-init est une application open source permettant d’automatiser l’initialisation d’une instance cloud au démarrage. Cloud-init est conçu pour prendre en charge plusieurs environnements cloud différents, tels qu’Amazon EC2, de sorte que la même image de machine virtuelle (VM) peut être directement utilisée dans plusieurs instances de cloud sans aucune modification. La prise en charge du cloud-init dans une instance de VM s’exécute au moment du démarrage (premier démarrage) et initialise l’instance de vm en fonction du fichier de données utilisateur spécifié.
Un fichier de données utilisateur est une clé spéciale du service de métadonnées qui contient un fichier accessible aux applications cloud de l’instance vm lors d’un premier démarrage. Dans ce cas, c’est le fichier de configuration Junos OS validé que vous avez l’intention de télécharger sur une instance de pare-feu virtuel vSRX en tant que configuration active. Ce fichier utilise la syntaxe de commande Junos OS standard pour définir les détails de configuration, tels que le mot de passe racine, l’adresse IP de gestion, la passerelle par défaut et d’autres déclarations de configuration.
Lorsque vous créez une instance de pare-feu virtuel vSRX, vous pouvez utiliser cloud-init les services sur AWS pour transmettre un fichier de configuration Junos OS valide en tant que données utilisateur afin d’initialiser de nouvelles instances de pare-feu virtuel vSRX. Le fichier de données utilisateur utilise la syntaxe Junos OS standard pour définir tous les détails de configuration de votre instance de pare-feu virtuel vSRX. La configuration Junos OS par défaut est remplacée lors du lancement de l’instance de pare-feu virtuel vSRX par une configuration Junos OS validée que vous fournissez sous la forme d’un fichier de données utilisateur.
Le fichier de données utilisateur ne peut pas dépasser 16 Ko. Si votre fichier de données utilisateur dépasse cette limite, vous devez compresser le fichier à l’aide de gzip et utiliser le fichier compressé. Par exemple, la commande gzip junos.conf génère le fichier junos.conf.gz.
La configuration doit être validée et inclure des détails sur l’interface fxp0, la connexion et l’authentification. Il doit également avoir un routage par défaut pour le trafic sur fxp0. Ces informations doivent correspondre aux détails du VPC aws et du sous-réseau dans lequel l’instance est lancée. Si l’une de ces informations est manquante ou incorrecte, l’instance est inaccessible et vous devez en lancer une nouvelle.
Assurez-vous que le fichier de configuration des données utilisateur n’est pas configuré pour effectuer une installation automatique sur les interfaces à l’aide du protocole DHCP (Dynamic Host Configuration Protocol) pour attribuer une adresse IP au pare-feu virtuel vSRX. L’installation automatique avec DHCP entraînera un « échec de validation » pour le fichier de configuration des données utilisateur.
Pour lancer la configuration automatique d’une instance de pare-feu virtuel vSRX à partir d’AWS :