Linux ベアメタル サーバーの Docker で実行されている cSRX コンテナ ファイアウォール コンテナを起動する準備ができました。cSRXコンテナファイアウォールイメージを起動すると、イメージの実行中のコンテナがあります。cSRXコンテナファイアウォールコンテナを停止して再起動できます( cSRXコンテナファイアウォールコンテナの管理を参照)。変更が明示的に削除されない限り、コンテナはすべての設定とファイルシステムの変更を保持します。ただし、cSRX コンテナ ファイアウォールはメモリ内で何も失われるので、すべてのプロセスが再起動されます。
cSRXコンテナファイアウォールの起動時に、cSRXコンテナファイアウォールコンテナの動作特性を変更できる一連のcSRXコンテナファイアウォール環境変数があります。以下を変更できます。
-
cSRXコンテナファイアウォールを導入する場合、rootログインにSSHサービスとSSHオプションを有効にする必要があります。SSHサービスはデフォルトでは有効になっていません。
SSHサービスを有効にするには、 コマンドを set system services ssh
実行し、rootユーザーログインには コマンドを set system services ssh root-login allow
実行します。
トラフィック転送モード(スタティック ルートまたはセキュア ワイヤ)
cSRXコンテナファイアウォールコンテナサイズ(小規模、中規模、大規模)
パケット I/O ドライバー(ポーリングまたは割り込み)
cSRX コンテナ ファイアウォール制御とデータ デーモンに対する CPU アフィニティ
ARP(Address Resolution Protocol)と NDP(Neighbor Discovery Protocol)エントリーのタイムアウト値
コンテナに追加する必要があるインターフェイスの数。デフォルトは 3 で、最大は 17(管理インターフェイス 1 個とデータ インターフェイス 16 個)です。
メモ:
cSRXコンテナファイアウォールコンテナを起動する際、環境変数の指定は必須ではありません。ほとんどの環境変数には、 cSRXコンテナファイアウォール環境変数の概要に示すようにデフォルト値があります。デフォルトの環境変数設定を使用して、cSRXコンテナファイアウォールを起動できます。
cSRXコンテナファイアウォールコンテナを起動するには、次の手順にしたがっています。
- コマンドを
docker run
使用して、cSRXコンテナファイアウォールコンテナを起動します。cSRXコンテナファイアウォールをネットワークに接続するための管理ブリッジが含まれますmgt_bridge
。
root@csrx-ubuntu3:~/csrx# docker run -d --privileged --network=mgt_bridge -e --name=<csrx-container-name> hub.juniper.net/security/<csrx-image-name>
たとえば、cSRXコンテナファイアウォールソフトウェアイメージcsrx:18.21R1.9
を使用して起動csrx2
するには、次を入力します。
root@csrx-ubuntu3:~/csrx# docker run -d --privileged --network=mgt_bridge -e --name=csrx2 hub.juniper.net/security/csrx:18.2R1.9
メモ:
cSRXコンテナファイアウォールコンテナを --privileged
特権モードで docker run
実行できるようにするには、 コマンドに フラグを含める必要があります。
- 左右のブリッジをDockerネットワークに接続します。
root@csrx-ubuntu3:~/csrx# docker network connect left_bridge csrx2
root@csrx-ubuntu3:~/csrx#
root@csrx-ubuntu3:~/csrx# docker network connect right_bridge csrx2
root@csrx-ubuntu3:~/csrx#
- cSRXコンテナファイアウォールコンテナに対して3ブリッジネットワークが作成されていることを確認します。
root@csrx-ubuntu3:~/csrx# docker network ls
NETWORK ID NAME DRIVER SCOPE
80bea9207560 bridge bridge local
619da6736359 host host local
112ab00aab1a left_bridge bridge local
1484998f41bb mgt_bridge bridge local
daf7a5a477bd none null local
e409a4f54237 right_bridge bridge local
- cSRXコンテナファイアウォールコンテナが実行中のDockerコンテナとして表示されていることを確認します。
root@csrx-ubuntu3:~/csrx# docker ps
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES
35e33e8aa4af csrx "/etc/rc.local init" 7 minutes ago Up 7 minutes 22/tcp, 830/tcp csrx2
- cSRXコンテナファイアウォールコンテナが稼働していることを確認します。nsd、srxpfe、mgdなどの期待されるJunos OSプロセスが表示されます。
root@csrx-ubuntu3:~/csrx# docker top csrx2
UID PID PPID C STIME TTY TIME CMD
root 318 305 0 09:13 pts/1 00:00:00 bash
root 27423 27407 0 Mar30 pts/0 00:00:00 /bin/bash -e /etc/rc.local init
root 27867 27423 0 Mar30 ? 00:08:16 /usr/sbin/rsyslogd -M/usr/lib/rsyslog
root 27880 27423 0 Mar30 ? 00:00:00 /usr/sbin/sshd
root 27882 27423 0 Mar30 ? 00:00:00 /usr/sbin/nstraced
root 27907 27423 0 Mar30 ? 00:00:08 /usr/sbin/mgd
root 27963 27423 0 Mar30 pts/0 00:34:50 /usr/bin/monit -I
root 27979 27423 0 Mar30 ? 00:01:10 /usr/sbin/nsd
root 27989 27423 0 Mar30 ? 00:00:02 /usr/sbin/appidd -N
root 28023 27423 0 Mar30 ? 00:00:21 /usr/sbin/idpd -N
root 28040 27423 0 Mar30 ? 00:09:21 /usr/sbin/wmic -N
root 28048 27423 0 Mar30 ? 00:52:50 /usr/sbin/useridd -N
root 28126 27423 2 Mar30 ? 1-05:21:47 /usr/sbin/srxpfe -a -d
root 28186 27423 0 Mar30 ? 00:01:37 /usr/sbin/utmd -N
root 28348 27423 0 Mar30 ? 00:02:44 /usr/sbin/kmd
- cSRXコンテナファイアウォールコンテナの管理インターフェイスのIPアドレスを確認します。
root@csrx-ubuntu3:~/csrx# docker inspect csrx2 | grep IPAddress
"SecondaryIPAddresses": null,
"IPAddress": "",
"IPAddress": "172.19.0.2",
"IPAddress": "172.18.0.2",
"IPAddress": "172.20.0.2",