Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページでは
 

AWS vSRXの詳細を理解する

このセクションでは、Amazon Web Services(AWS vSRXサービスの概要について説明します。

vSRX AWS を使用する

AWS はクラウドでオンデマンド サービスを提供します。サービスの範囲Infrastructure as a Service IaaS(Platform as a Service)から Application and Database as a Service までです。AWS は、柔軟性、拡張性、信頼性に優れたクラウド プラットフォームです。AWS では、クラウド上のサーバーとサービスを PAYG(Pay as you-Go)サービスまたは私物ライセンス(BYOL)サービスとしてホストできます。

注:

vSRX PAYG イメージにライセンスはジュニパーネットワークス必要はありません。

vSRXは、Amazon Web Services(AWS)クラウドの仮想プライベート クラウド(VPC)に導入できます。特定のユーザー vSRX専用の Amazon VPC で、Amazon Elastic Compute Cloud(EC2)インスタンスとしてこのサービスを起動できます。AMI vSRX Amazon Machine Image(AMI)は、ハードウェア仮想マシン(HVM)仮想化を使用します。

図 1 は、Amazon VPC のプライベート サブネットvSRX実行するアプリケーションのセキュリティを提供する仮想インスタンスを導入する例を示しています。

Amazon VPC では、パブリック サブネットはインターネット ゲートウェイにアクセスできますが、プライベート サブネットはアクセスできません。vSRX には、インスタンス グループごとに 2 つのパブリック サブネットと 1 つ以上のプライベート サブネットが必要です。パブリック サブネットは、管理インターフェイス(fxp0)用と収益(データ)インターフェイス用の 1 つで構成されています。もう 1 つの vSRX インターフェイスに接続されたプライベート サブネットは、プライベート サブネット上のアプリケーションとインターネット間のすべてのトラフィックが vSRX インスタンスを通過vSRXします。

図 1:AWS vSRXの詳細 vSRX in AWS Deployment

AWS Marketplace では、AWS GovCloud(米国)向け AWS Marketplace を通じて、規制されたワークロードをサポートするソフトウェアを検出し、購読することができます。

Junos OS リリース 15.1X49-D70 および Junos OS リリース 17.3R1 から、vSRX 1 時間または 1 年間のサブスクリプションで利用できる PAYG 用の 2 つのバンドルがサポートされています。

  • vSRX次世代ファイアウォール:コア ファイアウォール、IPsec VPN、NAT、CoS、ルーティング サービスを含むコア セキュリティの標準(STD)機能に、AppID、AppFW、AppQoS、AppTrack、IPS の AppSecure 機能などの高度なレイヤー 4~7 セキュリティ サービス、豊富なルーティング機能が含まれています。

  • vSRX型プレミアム次世代ファイアウォール - vSRX次世代ファイアウォール パッケージの機能(アンチウィルス機能を含むUTM含まれます。

Amazon vSRX プライベート クラウド(Amazon VPC)のアプリケーション インスタンスとして Amazon Elastic Compute Cloud(Amazon EC2)を導入します。各 Amazon EC2 インスタンスは、AWS 管理コンソールを使用してインターネット上で導入、アクセス、設定が行え、必要に応じてインスタンス数を拡大/縮小できます。

注:

現在のリリースでは、AWS で選択したインスタンス タイプにより多くのリソースが提供されている場合でも、各 vSRX インスタンスは 2 つの vCPU と 4 GB のメモリを使用します。

vSRXハイパフォーマンス(拡張ネットワーキング)にハードウェア アシスト仮想マシン(HVM)を使用し、AWS クラウド環境での以下の導入をサポートします。

  • Amazon VPC とインターネット上の他の Amazon EC2 インスタンス間のファイアウォールとして

  • 企業ネットワークと Amazon VPC 間の VPN エンドポイントとして

  • 異なるサブネット上の Amazon EC2 インスタンス間のファイアウォールとして

AWS アカウントの AWS サービスにはデフォルトの制限があります。AWS サービス制限の詳細については、「 https://docs.aws.amazon.com/general/latest/gr/aws_service_limits.html https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html 」 を参照してください

AWS 用語集

このセクションでは、AWS 設定で使用される一般的な用語について説明します。 表 1 は Amazon 仮想プライベート クラウド(Amazon VPC)に使用される一般的な用語を定義し、表 2 は Amazon Elastic Compute Cloud(Amazon EC2)サービスの一般的な用語を定義しています。

表 1:Amazon VPC 関連用語

用語

説明

インターネット ゲートウェイ

Amazon VPC コンポーネントで、Amazon VPC とインターネット内のインスタンス間の通信を可能にしています。

IP アアドレス設定

AWS には 3 種類の IP アドレスがあります。

  • パブリック IP アドレス – パブリックにインターネットからアクセス可能なパブリック サブネットから取得したアドレス。パブリック IP アドレスは AWS プロトコルを使用してプライマリ プライベート IP アドレスにマッピングNAT。

  • RFC 1918 に指定されている Amazon VPC クラスレス インタードメイン ルーティング(CIDR)範囲のプライベート IP アドレス。一般に公開できません。

  • 柔軟な IP アドレス : 動的なクラウド コンピューティング用に設計された静的 IP アドレスです。エラスティック IP アドレスがパブリック IP ネットワーク インターフェイスに関連付けられている場合、Elastic IP アドレスがネットワーク インターフェイスから関連付け解除されるまで、関連付けられたパブリック IP アドレスが解放されます。

各ネットワーク インターフェイスは、複数のプライベートIPアドレスに関連付けできます。パブリック サブネットには、複数のプライベート IP アドレス、パブリック アドレス、エラスティック IP アドレスを、ネットワーク インターフェイスのプライベート IP アドレスに関連付けできます。プライベート サブネットとパブリック サブネットのインスタンスには、複数のプライベート IP アドレスを持つ場合があります。1 つの弾力的な IP アドレスを、パブリック サブネット内のインスタンスの各プライベート IP アドレスに関連付けできます。

サブネット内に静的なプライベート IP アドレスを割り当てできます。最初の 5 つの IP アドレスとサブネット内の最後の IP アドレスは、Amazon VPC ネットワークとルーティング用に予約されています。1 つ目の IP アドレスは、サブネットのゲートウェイです。

ネットワーク ACL

サブネット レベルで動作する AWS ステートレス仮想ファイアウォール。

ルート テーブル

ネットワーク トラフィックの転送先を決定するために使用されるルーティング ルールのセット。各サブネットは、ルート テーブルに関連付けられている必要があります。ルート テーブルに明示的に関連付けされていないサブネットは、メイン ルート テーブルに関連付けされます。

デフォルト テーブル以外にカスタム ルート テーブルを作成できます。

サブネット

Amazon VPC 内の仮想アアドレススペースはCIDRブロックされます。Amazon EC2 インスタンスの IP アドレスは、IP アドレスのサブネット プールから割り当てされます。

Amazon VPC では、以下の 2 種類のサブネットを作成できます。

  • パブリック サブネット – インターネット ゲートウェイへのトラフィックが接続されているサブネット。

  • プライベート サブネット – インターネット ゲートウェイへの接続を持つサブネット

注:

仮想vSRX ネットワーク アドレス変換(NAT)を使用して、プライベート サブネット内のすべての顧客インスタンスを起動し、vSRXインターフェイスをインターネットに接続できます。これにより、顧客インスタンスがインターネット トラフィックに直接さらされるのを保護します。

Vpc

仮想プライベート クラウド。
表 2:Amazon EC2 関連用語

用語

説明

Amazon Elastic Block Store(EBS)

Amazon EC2 インスタンスにアタッチできる永続ブロック ストレージ。ブロック ストレージ ボリュームは、インスタンス上でフォーマットおよびマウントできます。Amazon EBS に最適化されたインスタンスにより、Amazon EC2 と Amazon EBS の間で専用スループットが提供されます。

Amazon Elastic Compute Cloud(EC2)

Amazon インフラストラクチャ上で実行される柔軟な仮想サーバーやコンピューターの起動と管理を可能にする Amazon Web サービスです。

Amazon Machine Image(AMI)

Amazon EC2 インスタンスの起動に必要なルート ボリュームのテンプレート、起動権限、デバイス マッピングのブロックなどの情報を含む Amazon イメージ形式です。

弾力的な IP

動的なクラウド コンピューティングを目的として設計された静的 IP。パブリック IP は、パブリック IP を使用して privet サブネット IP にマッピングNAT。

ネットワークの拡張

1 秒あたりの高いパケット パフォーマンス、低遅延、I/O パフォーマンスの向上、従来の実装と比較した CPU 使用率の低下を実現します。vSRXハードウェア仮想マシン(HVM)Amazon Machine Images(AMIS)を使用して、このネットワークを活用します。

インスタンス

XENまたはXEN-HVMハイパーバイザータイプを使用するAmazon EC2上の仮想マシンまたはサーバー。Amazon EC2 は、さまざまな使用事例に合けに最適化された複数のインスタンスを選択できます。

鍵ペア

AWS がログイン情報の暗号化と暗号化解除に使用する公開鍵暗号化。AWS-EC2を使用してこれらの鍵ペアを作成するか、独自のキーペアをインポートします。

注:

AWS は DSA を受け入れてくれない。公開鍵のアクセス許可を400に制限します。

鍵の回転の詳細については、 を参照 https://docs.aws.amazon.com/kms/latest/developerguide/rotate-keys.htmlしてください。

ネットワーク インターフェイス

Amazon VPC内のインスタンスにアタッチできる仮想ネットワークインターフェイス。ENI(Elastic Network Interface)には、プライマリ プライベート IP アドレス、複数のセカンダリ IP アドレス、プライベート IP アドレスごとに 1 つの弾力性 IP アドレス、1 つのパブリック IP アドレス、1 つ以上のセキュリティ グループ、1 つの MAC アドレス、送信元/宛先チェック フラグを使用できます。

インスタンスvSRX、すべてのインターフェイスの送信元/宛先チェックを無効にします。

注:

ENISは、サブネット範囲内のIPアドレスを使用します。したがって、ENI IP アドレスを使い果たしません。

ネットワークMTU

すべての Amazon インスタンス タイプで 1,500 MTUサポートされます。一部のインスタンス タイプはジャンボ フレームをサポートしています(9001 MTU)。

注:

ジャンボ フレームを使用するインスタンスのインスタンスに、C3、C4、C5、CC2、M3、M4、M4、T2 AWS vSRX使用します。

配置グループ

共通のクラスタ配置グループで起動されたインスタンス。クラスタ内のインスタンスには、高帯域幅と低遅延のネットワークがあります。

セキュリティ グループ

1 つ以上のインスタンスのトラフィックを制御する AWS 提供の仮想ファイアウォール。セキュリティ グループは、インスタンスの起動時にのみ関連付けできます。

注:

ファイアウォールvSRXを管理するために、AWS セキュリティ グループのルール セットと、ポリシー設定内のルール セットとの間に矛盾vSRX推奨します。

関連ドキュメント

リリース履歴テーブル
リリース
説明
15.1X49-D70
Junos OS リリース 15.1X49-D70 および Junos OS リリース 17.3R1 から、vSRX 1 時間または 1 年間のサブスクリプションで利用できる PAYG 用の 2 つのバンドルがサポートされています。