FWaaS(Firewall-as-a-Service)プラグインの設定
ジュニパーネットワークスのFWaaS(Firewall-as-a-Service)プラグインは、ジュニパーML2およびL3プラグインの上に構築されています。Neutronは、SRXおよびvSRXデバイスでファイアウォールのルールとポリシーを設定できます。OpenStack では、テナントがファイアウォールを作成してセキュリティ ポリシーを割り当てることができます。セキュリティ ポリシーは、ファイアウォール ルールの集まりです。 図 1 は、ファイアウォール ルール、ファイアウォール ポリシー、ファイアウォールの関係を示しています。
ファイアウォール ルール - 送信元アドレスとポート、宛先アドレスとポート、プロトコル、および一致するトラフィックに対して実行するアクションを定義します。
ファイアウォール ポリシー - ファイアウォール ルールの収集
ファイアウォール - ファイアウォール デバイスを表します。
FwaaS プラグインを有効にした場合、SRX または vSRX はルーターおよびファイアウォールとして機能する必要があります。管理者は、トポロジの設定時にこれを確認する必要があります。
サポート対象デバイス
SRX および vSRX シリーズ デバイス
プラグイン構成
さらに進む前に、以下の前提条件を満たしていることを確認します。
トポロジーの設定
デバイスをjnpr_devicesテーブルに追加
物理ネットワークエイリアスマッピング→コンピューティングnicがjnpr_nic_mappingテーブルに追加されます。
コンピューティング→スイッチ接続がjnpr_switchport_mappingテーブルにキャプチャされる(L2 VLAN オーケストレーションに必要)
L2 プラグインが設定されています。サードパーティーのML2プラグインを使用している場合は、これはオプションです。
L3 プラグインは、SRX/vSRX をルーターとして使用するように設定されています。
ジュニパーの FwaaS サービス プラグインを使用するように Neutron を設定するには、次の手順に応えます。
Neutron 設定ファイルファイル
/etc/neutron/neutron.confを更新し、service_plugインを次の内容で追加します。service_plug-ins = neutron.services.juniper_l3_router.dmi.l3.JuniperL3Plugin, neutron_fwaas.services.juniper_fwaas.dmi.fwaas.JuniperFwaaS
ファイアウォールをトポロジーに追加します。
admin@controller:~$ jnpr_device add -d dns-name-or-device-ip-address -c firewall -u root-user -p root_password
プラグインによって RVI が作成される SRX デバイス上のダウンリンク トランク ポートを定義します。
アグリゲーション スイッチが接続されている SRX デバイスのポートでプラグイン データベースを更新します。
admin@controller:~$ jnpr_device_port -d srx-device-name-or-switch-ip-address -p port-on-the-srx -t port-type
例えば:
admin@controller:~$ jnpr_device_port add -d srx1 –p ge-0/0/1 –t Downlink
ファイアウォールをテナントに割り当てるか、すべてのテナントのデフォルトとして割り当てます。
admin@controller:~$ jnpr_allocate_device add -t project_id -d SRX/vSRX ip
ファイアウォールがデフォルトとして割り当てられているすべてのテナントにファイアウォールを割り当てるには、以下のコマンドを使用します。
admin@controller:~$ jnpr_allocate_device add -t default -d SRX/vSRX ip
ファイアウォール パネルを表示するには、Horizon を有効にします。
Horizonユーザーインターフェイスのネットワークグループの下にファイアウォールパネルを表示するには、次の設定を開
/usr/share/openstack-dashboard/openstack_dashboard/local/local_settings.pyき、更新します。enable_firewall: TrueFWaaS プラグイン構成が完了したら、以下を再起動します。
Neutron-Server
Ubuntu – サービス neutron サーバーの再起動
CentOS – systemctl リスタート neutron-server
Apache(再起動ホライズン)
Ubuntu – サービスApache2の再起動
CentOS – systemctl 再起動 httpd
Horizon GUI から、ファイアウォール ルールを作成し、ポリシーに関連付けます。ファイアウォールを作成し、ルーターとファイアウォール ポリシーを割り当てます。
SRX では、各ルーティング インスタンスのファイアウォール ゾーンと、ゾーン内にプッシュされる対応するポリシーを検証できます。
専用境界ファイアウォールの設定
各テナントの要件は、ファイアウォールのパフォーマンスとコストによって異なります。たとえば、パフォーマンスとコンプライアンスを向上させる専用ファイアウォール、ネットワーク リソースを共有して実現する低コストのファイアウォール、デバイスが提供する高度なサービスを活用するようにネットワーク デバイスへの完全な管理アクセスを備えたファイアウォールなどです。各テナントのさまざまな要件を満たすために、クラウド プロバイダはテナントに専用または共有ネットワーク リソースを割り当てるプロビジョニングを必要とします。
ジュニパーネットワークスのFwaaSプラグインを使用することで、サービスプロバイダは専用または共有リソース(物理または仮想)をテナントに割り当てることができます。
たとえば、サービス プロバイダは、テナントの要件に応じて以下のようにファイアウォールを作成および設定できます。
エコノミー - テナントのグループに共有 SRX または vSRX を割り当てます。
シルバー - テナントごとに専用の SRX または vSRX をデフォルト仕様で割り当てます。
ゴールド - ハイエンド SRX または vSRX を割り当てる
図 2 に示すように、SRX/vSRX をテナントまたはテナントのグループに専念できます。この手順はテナントに対して透過的で、提供される CLI ツールと Juniper OpenStack Neutron プラグインを使用して行われます。
テナントに専用の SRX クラスターを割り当てる方法は次のとおりです。
高可用性および仮想ルーター冗長プロトコルの設定
FwaaS プラグインは、仮想ルーター冗長プロトコル(HA と VRRP)による高可用性をサポートします。この機能を使用するには、VRRP プールを作成し、コマンドを使用してプール内のデバイスの 1 つをテナントに jnpr_allocate_device 割り当てる必要があります。
VRRP プールを作成し、デバイスをテナントに割り当てるには、以下の手順に従います。