Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

cSRXコンテナファイアウォールコンテナの起動

Linux ベアメタル サーバーの Docker で実行されている cSRX コンテナ ファイアウォール コンテナを起動する準備ができました。cSRXコンテナファイアウォールイメージを起動すると、イメージの実行中のコンテナがあります。cSRXコンテナファイアウォールコンテナを停止して再起動できます( cSRXコンテナファイアウォールコンテナの管理を参照)。変更が明示的に削除されない限り、コンテナはすべての設定とファイルシステムの変更を保持します。ただし、cSRX コンテナ ファイアウォールはメモリ内で何も失われるので、すべてのプロセスが再起動されます。

cSRXコンテナファイアウォールの起動時に、cSRXコンテナファイアウォールコンテナの動作特性を変更できる一連のcSRXコンテナファイアウォール環境変数があります。以下を変更できます。

  • cSRXコンテナファイアウォールを導入する場合、rootログインにSSHサービスとSSHオプションを有効にする必要があります。SSHサービスはデフォルトでは有効になっていません。

    SSHサービスを有効にするには、 コマンドを set system services ssh 実行し、rootユーザーログインには コマンドを set system services ssh root-login allow 実行します。

  • トラフィック転送モード(スタティック ルートまたはセキュア ワイヤ)

  • cSRXコンテナファイアウォールコンテナサイズ(小規模、中規模、大規模)

  • パケット I/O ドライバー(ポーリングまたは割り込み)

  • cSRX コンテナ ファイアウォール制御とデータ デーモンに対する CPU アフィニティ

  • ARP(Address Resolution Protocol)と NDP(Neighbor Discovery Protocol)エントリーのタイムアウト値

  • コンテナに追加する必要があるインターフェイスの数。デフォルトは 3 で、最大は 17(管理インターフェイス 1 個とデータ インターフェイス 16 個)です。

メモ:

cSRXコンテナファイアウォールコンテナを起動する際、環境変数の指定は必須ではありません。ほとんどの環境変数には、 cSRXコンテナファイアウォール環境変数の概要に示すようにデフォルト値があります。デフォルトの環境変数設定を使用して、cSRXコンテナファイアウォールを起動できます。

cSRXコンテナファイアウォールコンテナを起動するには、次の手順にしたがっています。

  1. コマンドをdocker run使用して、cSRXコンテナファイアウォールコンテナを起動します。cSRXコンテナファイアウォールをネットワークに接続するための管理ブリッジが含まれますmgt_bridge

    root@csrx-ubuntu3:~/csrx# docker run -d --privileged --network=mgt_bridge -e --name=<csrx-container-name> hub.juniper.net/security/<csrx-image-name>

    たとえば、cSRXコンテナファイアウォールソフトウェアイメージcsrx:18.21R1.9を使用して起動csrx2するには、次を入力します。

    root@csrx-ubuntu3:~/csrx# docker run -d --privileged --network=mgt_bridge -e --name=csrx2 hub.juniper.net/security/csrx:18.2R1.9

    メモ:

    cSRXコンテナファイアウォールコンテナを --privileged 特権モードで docker run 実行できるようにするには、 コマンドに フラグを含める必要があります。

  2. 左右のブリッジをDockerネットワークに接続します。

    root@csrx-ubuntu3:~/csrx# docker network connect left_bridge csrx2

    root@csrx-ubuntu3:~/csrx#

    root@csrx-ubuntu3:~/csrx# docker network connect right_bridge csrx2

    root@csrx-ubuntu3:~/csrx#

  3. cSRXコンテナファイアウォールコンテナに対して3ブリッジネットワークが作成されていることを確認します。

    root@csrx-ubuntu3:~/csrx# docker network ls

    NETWORK ID NAME DRIVER SCOPE

    80bea9207560 bridge bridge local

    619da6736359 host host local

    112ab00aab1a left_bridge bridge local

    1484998f41bb mgt_bridge bridge local

    daf7a5a477bd none null local

    e409a4f54237 right_bridge bridge local

  4. cSRXコンテナファイアウォールコンテナが実行中のDockerコンテナとして表示されていることを確認します。

    root@csrx-ubuntu3:~/csrx# docker ps

    CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES

    35e33e8aa4af csrx "/etc/rc.local init" 7 minutes ago Up 7 minutes 22/tcp, 830/tcp csrx2

  5. cSRXコンテナファイアウォールコンテナが稼働していることを確認します。nsd、srxpfe、mgdなどの期待されるJunos OSプロセスが表示されます。

    root@csrx-ubuntu3:~/csrx# docker top csrx2

  6. cSRXコンテナファイアウォールコンテナの管理インターフェイスのIPアドレスを確認します。

    root@csrx-ubuntu3:~/csrx# docker inspect csrx2 | grep IPAddress