Comprendre le pare-feu virtuel vSRX avec Microsoft Azure Cloud
Cette section présente le pare-feu virtuel vSRX déployé dans le cloud Microsoft Azure.
Pare-feu virtuel vSRX avec Microsoft Azure
À partir des versions 15.1X49-D80 et 17.3R1 de Junos OS, vous pouvez déployer le pare-feu virtuel vSRX sur le cloud Microsoft Azure. Microsoft Azure est la plate-forme d'application de Microsoft pour le cloud public. Il s’agit d’une plate-forme de cloud computing ouverte, flexible et de niveau professionnel permettant de créer, de déployer et de gérer des applications et des services via un réseau mondial de centres de données gérés par Microsoft. Il fournit des services Software as a Service (SaaS), Platform as a Service (PaaS) et Infrastructure as a Service (IaaS). Vous placez vos machines virtuelles (VM) sur les réseaux virtuels Azure, où les réseaux distribués et virtuels dans Azure permettent de s’assurer que votre trafic réseau privé est logiquement isolé du trafic sur les autres réseaux virtuels Azure.
Azure WALinuxAgent effectue le provisionnement des instances de pare-feu virtuel vSRX. Lorsqu’une nouvelle instance de pare-feu virtuel vSRX est déployée, la taille croissante du fichier journal waagent peut entraîner l’arrêt du pare-feu virtuel vSRX. Si le pare-feu virtuel vSRX fonctionne toujours, supprimez directement /var/log/waagent.log ou exécutez la clear log waagent.log all commande pour effacer le fichier journal.
Vous pouvez également exécuter les set groups azure-provision system syslog file waagent.log archive size 1m commandes et set groups azure-provision system syslog file waagent.log archive files 10 pour empêcher la croissance des journaux waagent. Ces configurations entraînent la rotation du journal de waagent d’une taille supérieure à 1 Mo et définissent un maximum de 10 sauvegardes.
Vous pouvez ajouter une appliance de sécurité virtuelle vSRX Virtual Firewall pour fournir des fonctionnalités de sécurité réseau en tant qu’instance d’application au sein d’un réseau virtuel Azure. Le pare-feu virtuel vSRX protège les charges de travail exécutées au sein du réseau virtuel sur le cloud Microsoft Azure.
Vous pouvez déployer la vm du pare-feu virtuel vSRX dans Azure à l’aide des méthodes de déploiement suivantes :
-
Marché Azure : déployez la VM de pare-feu virtuel vSRX à partir du marché Azure. Le marché Azure vous fournit différentes méthodes pour déployer une VM de pare-feu virtuel vSRX sur votre réseau virtuel. Vous pouvez choisir un modèle de solution personnalisé proposé par Juniper Networks pour automatiser le déploiement de vms de pare-feu virtuel vSRX en fonction de cas d’utilisation spécifiques (par exemple, une passerelle de sécurité). Un modèle de solution automatise les dépendances associées à des cas d’utilisation spécifiques de déploiement, tels que les paramètres de VM, les paramètres de réseau virtuel (tels que plusieurs sous-ensembles pour l’interface de gestion (fxp0) et deux interfaces de revenus (données), etc. Vous pouvez également sélectionner l’image de la vm du pare-feu virtuel vSRX et définir les paramètres de déploiement et les dépendances en fonction de vos besoins réseau spécifiques. À partir de la version 15.1X49-D91 de Junos OS pour le pare-feu virtuel vSRX, vous pouvez déployer le pare-feu virtuel vSRX sur Microsoft Azure Cloud à partir du marché Azure.
Azure Marketplace vous permet également de découvrir et de vous abonner aux logiciels qui prennent en charge les charges de travail réglementées via Azure Marketplace pour Azure Government Cloud (États-Unis).
-
CLI Azure : déployez la VM de pare-feu virtuel vSRX à partir de l’interface CLI Azure. Vous pouvez personnaliser les paramètres et les dépendances de déploiement des VM du pare-feu virtuel vSRX en fonction de vos besoins réseau dans Microsoft Azure Cloud. Pour automatiser et simplifier le déploiement de la vm de pare-feu virtuel vSRX dans le réseau virtuel Microsoft Azure, Juniper Networks fournit une série de scripts, de modèles et de fichiers de paramètres Azure Resource Manager (ARM), ainsi que des fichiers de configuration dans un référentiel GitHub.
Note:À partir des versions 15.1X49-D80 et 17.3R1 de Junos OS, vous pouvez déployer le pare-feu virtuel vSRX sur Microsoft Azure Cloud à partir de la CLI Azure.
Dans Microsoft Azure, vous pouvez héberger des serveurs et des services sur le cloud sous la forme d’un service pay-as-you-go (PAYG) ou de bring-your-own-license (BYOL).
Les images PAYG du pare-feu virtuel vSRX ne nécessitent aucune licence Juniper Networks.
À partir de la version 15.1X49-D120 de Junos OS, le pare-feu virtuel vSRX sur Microsoft Azure Cloud prend en charge le pare-feu virtuel vSRX Premium-Next Generation avec offre de protection antivirus pour PAYG, disponible sous forme d’abonnements d’une heure ou d’un an. Cette offre comprend :
-
Fonctionnalités standard (STD) de la sécurité centrale, notamment le pare-feu central, le VPN IPsec, le NAT, le CoS et les services de routage.
-
Services de sécurité avancés de couche 4 à 7, tels que les fonctionnalités AppSecure d’AppID, AppFW, AppQoS et AppTrack, IPS et des fonctionnalités de routage enrichies, y compris la fonctionnalité antivirus Content Security.
La figure 1 illustre le déploiement d’un pare-feu virtuel vSRX dans Microsoft Azure.
Dans Microsoft Azure, les sous-réseaux publics ont accès à la passerelle Internet, mais pas les sous-réseaux privés. Le pare-feu virtuel vSRX nécessite deux sous-réseaux publics et un ou plusieurs sous-réseaux privés pour chaque groupe d’instances individuel. Les sous-réseaux publics se composent d’un pour l’interface de gestion (fxp0) et d’un pour une interface de revenus (données). Les sous-réseaux privés connectés aux autres interfaces de pare-feu virtuel vSRX garantissent que tout le trafic entre les applications des sous-réseaux privés et Internet doit passer par l’instance de pare-feu virtuel vSRX.
Pour obtenir un glossaire des termes Microsoft Azure, consultez le glossaire Microsoft Azure.
À partir de la version 21.4R1 de Junos OS, le pare-feu virtuel vSRX 3.0 prend en charge l’option Azure Accelerated Networking (AAN) qui utilise la fonction virtuelle Mellanox SR-IOV pour la mise en réseau haut débit.
Microsoft Azure dispose de l’option Azure Accelerated Networking (AAN) pour chaque interface réseau jointe. L’AAN utilise la fonction virtuelle Mellanox SR-IOV pour la mise en réseau haut débit. Le pare-feu virtuel vSRX 3.0 prend désormais en charge AAN. Le pare-feu virtuel vSRX 3.0 avec AAN offre de meilleures performances réseau sur le cloud Azure.
Nous prenons actuellement en charge uniquement les instances vSRX Virtual Firewall 3.0 répertoriées ci-dessous pour Azure AAN.
| Taille | de la mémoirevCPU | (GiB) | NIC MAX |
|---|---|---|---|
| Standard_D8ds_v4 | 8 | 32 | 4 |
| Standard_D16ds_v4 | 16 | 64 | 8 |
| Standard_D32ds_v4 | 32 | 128 | 8 |
-
Utilisez la
az network nic update --name <interface-name> --resource-group <resource-group> --accelerated-networking truecommande pour activer AAN. - Utilisation de l’interface graphique Web : après vous être connecté au portail Microsoft Azure :
-
Cliquez sur Réseaux virtuels et sélectionnez le réseau virtuel approprié. réseau »
Cliquez sur Équipements connectés, sélectionnez l’interface NIC requise, puis cliquez sur Activer la mise en réseau accélérée.
-
Cliquez sur Machines virtuelles et sélectionnez la VM requise, puis cliquez sur Mise en réseau. Enfin, cliquez sur le volet de l’interface NIC appropriée et cliquez sur Activer la mise en réseau accélérée.
-
Pour plus d’informations, voir Activation d’un réseau accéléré pour les VM répliquées.