Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Oracleクラウド・インフラストラクチャにおけるvSRX仮想ファイアウォールのデプロイメント

このセクションのトピックは、Oracle Cloud InfrastructureでvSRX仮想ファイアウォール・インスタンスを起動するのに役立ちます。

概要

このトピックでは、Oracle Cloud InfrastructureにvSRX仮想ファイアウォール仮想ファイアウォールをデプロイするための概要および前提条件について説明します。vSRX仮想ファイアウォールは、仮想化されたプライベートまたはパブリックのOracle Cloud環境にセキュリティおよびネットワーキング・サービスを提供します。

Junos OSリリース20.4R2以降、OCI導入でvSRX仮想ファイアウォール3.0を使用できるようになりました。

手記:

vSRX仮想ファイアウォール3.0イメージは、OCIマーケットプレイスでは利用できません。 ジュニパーサポート ダウンロードからvSRX仮想ファイアウォール3.0ソフトウェアをダウンロードし、OCIコンパートメントにアップロードする必要があります。

前提条件

  • OCIにvSRX仮想ファイアウォールをデプロイする前に、適切なアカウントおよび権限があることを確認してください。

  • .ociイメージをOCIアカウントのオブジェクト・ストレージ・コンパートメントにコピーします。

    ファイル名の例は、junos-vsrx3-x86-64-xxxx.oci です。vSRX仮想ファイアウォール3.0ソフトウェアの購入後、 ジュニパーサポート ページからソフトウェアをダウンロードできます。

    手記:

    .ociイメージ拡張機能は、OCIにデプロイされるvSRX仮想ファイアウォール・イメージ用に構築されています。これは、OCIでは、qcow2イメージがデプロイされるときに、vNICに対して選択されるデフォルト・エミュレーションがe-1000であるためです。vSRX仮想ファイアウォールの.ociイメージは、vSRX仮想ファイアウォールの導入時に、エミュレーションタイプをvirtIOに設定するために必要なメタデータを渡して、スループットを向上させます。

  • デプロイ用の仮想ネットワーク サブネットを作成します。

Oracleの用語およびvSRX仮想ファイアウォール3.0の展開におけるそれらの使用についての理解を深めるには、 Oracle Cloud InfrastructureにおけるvSRX仮想ファイアウォールの導入についてを参照してください。

トポロジーの例

一般的なクラウド構成には、インターネットへのアクセスを許可するホストが含まれていますが、クラウドの外部からホストにアクセスできないようにする必要があります。OCIでvSRX仮想ファイアウォールを使用して、パブリック・インターネットからOCI内のトラフィックをNATできます。

この図は、3つのサブネットを持つVCNの例を示しています:

  • パブリック(10.0.1.0/24):インターネットゲートウェイ経由でインターネットにアクセスできる管理インターフェイス用

  • パブリック(10.0.2.0/24):インターネットゲートウェイ経由でインターネットにアクセスする収益(データ)インターフェイス用

  • プライベート(10.0.3.0/24)、インターネットにアクセスできないプライベートサブネット

次のトポロジは、この展開の例として使用されます。

図1: OCIExample VCN for vSRX Virtual Firewall Deployment in OCIでのvSRX仮想ファイアウォール展開用のVCNの例

OCIでのvSRX仮想ファイアウォール・インスタンスの起動

このトピックでは、OCIでvSRX仮想ファイアウォール・インスタンスを起動する方法について詳しく説明します。

  1. OCI管理コンソールにログインします。コンソールは、直感的なグラフィカル・インターフェイスであり、インスタンス、クラウド・ネットワークおよびストレージ・ボリューム、およびユーザーと権限を作成および管理できます。サインインすると、コンソールのホームページが表示されます。
  2. リソースのコンパートメントを選択します。

    コンパートメントは、リソースへのアクセスを編成および制御するのに役立ちます。コンパートメントは、組織内の管理者によって権限を付与されたグループのみがアクセスできる関連リソース(クラウド・ネットワーク、コンピュート・インスタンスまたはブロック・ボリュームなど)のコレクションです。たとえば、1つのコンパートメントに、会社の人事システムの本番バージョンを構成するすべてのサーバーおよびストレージ・ボリュームを含めることができます。そのコンパートメントに対する権限を持つユーザーのみが、これらのサーバーおよびボリュームを管理できます。

    • ナビゲーション・メニューを開きます。「 コア・インフラストラクチャ」で、「 ネットワーキング 」に移動し、「 仮想クラウド・ネットワーク」をクリックします。

    • 左側のリストからサンドボックス・コンパートメント(または管理者が指定したコンパートメント)を選択します。サンドボックス・コンパートメントが存在しない場合は、作成できます。詳細は、 コンパートメントの作成を参照してください。

  3. .ociをOCIプラットフォームにロードします。
    1. メイン・メニューから 「オブジェクト・ストレージ」をクリックします。

      図2: オブジェクト・ストレージ Object Storage
    2. バケットを作成するコンパートメントを選択します。すでにバケットがある場合は、「バケット」の名前をクリックします。または、バケットを作成します。

      図 3: バケットの作成
    3. 次に、[ オブジェクトのアップロード] をクリックします。

      ポップアップ ウィンドウが表示されたら、必要な情報を入力します。

      図 4: オブジェクトのアップロード Upload Objects

      オブジェクトの詳細の表示: .ociイメージがロードされたら、オブジェクトを選択し、オブジェクトを右クリックして、「 オブジェクトの詳細の表示」を選択します。

      図 5: オブジェクトの詳細の表示
      手記:

      このオブジェクトのURLパスはOCI IDとして存在し、イメージのインポート中に使用できます。

  4. サブネットを持つ仮想クラウド・ネットワーク(VCN)を作成します。1つのVCNネットワーク内に複数のサブネットを使用できます。

    次に、VCNのサブネットの1つにインスタンスを起動し、それに接続します。

    手記:

    左側の「コンパートメント」リストで「サンドボックス・コンパートメント」(または指定したコンパートメント)が選択されていることを確認します。

    1. ナビゲーション・メニューを開きます。「コア・インフラストラクチャ」で、「ネットワーキング」に移動し、「仮想クラウド・ネットワーク」をクリックします。

    2. VCNの作成 」をクリックし、「VCN名」および「コンパートメント」にデータを入力し、「IPv4 VCN CIDRブロック」、「パブリック・サブネットCIDRブロック」を選択します。他のフィールドのデフォルトをそのまま使用し、「 VCNの作成」をクリックします。

    図6: 仮想クラウド・ネットワーク・Create Virtual Cloud Networkの作成
    図7: CIDRブロック CIDR Block

    作成されるクラウド・ネットワークには、インターネットおよびNATゲートウェイ、Oracle Services Networkへのアクセス権を持つサービス・ゲートウェイ、インターネット・ゲートウェイへのアクセス権を持つリージョナル・パブリック・サブネット、NATゲートウェイおよびサービス・ゲートウェイへのアクセス権を持つリージョナル・プライベート・サブネットなどのリソースが含まれます。

  5. 作成したvSRX仮想ファイアウォールVCNのサブネットを作成します。

    vSRX仮想ファイアウォールでは、個々のインスタンスグループごとに2つのパブリックサブネットと1つ以上のプライベートサブネットが必要です。1 つのパブリックサブネットは管理インターフェイス(fxp0)用で、もう 1 つは収益(データ)インターフェイス用です。プライベートサブネットは、他のvSRX仮想ファイアウォールインターフェイスに接続されており、プライベートサブネット上のアプリケーションとインターネット間のすべてのトラフィックがvSRX仮想ファイアウォールインスタンスを通過する必要があります。

    1. パブリックサブネット(管理インターフェイス)の設定

      このパブリック・サブネットを作成するには、「 サブネットの作成」 をクリックし、以下に示すように、インターネット・ゲートウェイがすべてのトラフィック(0.0.0.0/0)のルート・ターゲットとして構成されているルート表デフォルト・ルート表のルート・ルールを定義します。

      図 8: ルート ルール Route Rules

      サブネットの作成方法の詳細は、 VCNおよびサブネットを参照してください。

      サブネットのセキュリティ・リストのデフォルト・セキュリティ・リストに対して、すべての宛先へのトラフィックを許可するエグレス・ルールを作成します。次に示すように、パブリックインターネットからTCPポート22にアクセスし、パブリックインターネットからWebアプリケーションにアクセスするためのTCPポート80/443でのアクセスを許可するイングレスルールを作成します。

      図9: ステートフル・ルール(デフォルト・セキュリティ・リスト) Stateful Rules (Default Security List)
    2. パブリックサブネットを設定する(収益インターフェイス)

      このパブリック・サブネットを作成し、インターネット・ゲートウェイがすべてのトラフィック(0.0.0.0/0)のルート・ターゲットとして構成されているルート表パブリックRTのルート・ルールを定義します。

      サブネットのセキュリティ・リストのパブリック・サブネットSLに対して、すべての宛先へのトラフィックを許可するエグレス・ルールを作成します。以下に示すように、パブリック インターネットから Web アプリケーションにアクセスするための TCP ポート 80/443 と、必要に応じて ICMP でのアクセスを許可するイングレス ルールを作成します。

      図10: ステートフル・ルール(パブリック・サブネット・セキュリティ・リスト) Stateful Rules (Public Subnet Security List)
    3. プライベートサブネットの設定

      このプライベートサブネットを作成し、vSRX仮想ファイアウォールの2番目のvNICのプライベートIPアドレス(10.0.3.3)がすべてのトラフィック0.0.0.0/0のルートターゲットとして設定されているルートテーブルプライベートRTのルートルールを定義します。

      手記:

      セカンダリVNICを作成およびアタッチした後にルート・ルールを構成します。

  6. インターネットゲートウェイを作成します。インターネットゲートウェイを作成するには、[インターネットゲートウェイ]をクリックし、vSRX仮想ファイアウォールのインターネットゲートウェイが外部から到達可能になるように設定します。
    図 11: インターネットゲートウェイ Internet Gateway
  7. SSHオプションを有効にするためのセキュリティ・リスト情報。デフォルト・セキュリティ・リストおよびICMPルールなどのイングレス・ルールを選択して、任意のソースCIDRを設定してトラフィックからのpingを許可します。
    図12: セキュリティ・リスト情報の Security List Information Security List Information
  8. 作成したVNCにvSRX仮想ファイアウォールインスタンスを作成します。
    1. ナビゲーション・メニューを開きます。 「コア・インフラストラクチャ」で、「 コンピュート 」を選択して 「インスタンス」をクリックし、「 インスタンスの作成」をクリックします。

    2. 図13: コンピュート・インスタンス・Create Compute Instanceの作成 Create Compute Instance Create Compute Instance
    3. [ インスタンスの作成] ページで、インスタンスの名前を入力します。

    4. オペレーティングシステムまたはイメージソースを選択する:「 イメージを変更 」をクリックし、「 イメージソース 」をクリックして、使用したいイメージを選択します。 「カスタム・イメージ」 を選択し、コンパートメントからイメージを選択します。目的のOCI vSRX仮想ファイアウォール・イメージを選択し、「 イメージの選択」をクリックします。

      .

      インスタンスタイプ – 仮想マシン。

    5. インスタンス・シェイプの選択: 「 シェイプの変更 」をクリックして、標準の事前定義済みOCIシェイプを選択します。4個のNICと4個のOCPUを持つVM標準2.4を選択し、「 セルセクト・シェイプ」をクリックします。

      手記:

      vSRX仮想ファイアウォールを起動するには、最低2つのvCPUが必要です。

    6. 「ネットワーキング」タブで、仮想クラウド・ネットワーク・コンパートメント、仮想クラウド・ネットワーク、サブネット・コンパートメント、サブネットを選択します。

    7. インスタンスのパブリック IP アドレスを作成するには、[ パブリック IPv4 アドレスの割り当て] オプションを選択します。

      手記:

      可用性ドメイン、インスタンス・タイプおよびインスタンス・シェイプのデフォルト・オプションをそのまま使用します。

    8. SSHキーの追加:[ SSHキーの追加 ]タブで、[ 公開キーの貼り付け] オプションを選択して公開キーを貼り付け、生成された公開SSHキーを貼り付けるか、新しいSSHキーを作成してvSRX仮想ファイアウォールにアクセスし、[ 作成]をクリックできます。

    数分後、インスタンスに割り当てられたパブリックIPを使用してインスタンスをsshできます(これはインスタンスに表示されます)。インターフェイスを追加した後、インスタンスを再起動します。

    インスタンスは、プロビジョニング状態でコンソールに表示されます。プロビジョニングでは、状態が [実行中] に更新されるまでに数分かかることが予想されます。ページを更新しないでください。インスタンスの実行後、オペレーティングシステムが起動するまでさらに数分待ってから接続を試みます。インスタンスに接続する準備ができたら、パブリック IP アドレスと初期パスワードの両方を書き留めます。

    インスタンスがプロビジョニングされると、その詳細が次に示すようにインスタンスリストに表示されます。

    図14: OCI vSRX Virtual Firewall Instance Launched in OCIで起動されたvSRX仮想ファイアウォール・インスタンス
    手記:

    vSRX仮想ファイアウォールインスタンスのデフォルトのユーザー名は oci-userです。たとえば、SSHを使用してvSRX仮想ファイアウォールにログインするには、次のようにします。

  9. トラフィック用のインターフェイスの追加

    ネットワークインターフェイスは、インスタンスの作成後に追加する必要があります。

    1. 「アタッチされたVNIC」をクリックし、「VNIC(ge000 - パブリックおよびge001-プライベート)の作成」を選択します。作成されたサブネットを選択し、「変更の保存」をクリックしてインスタンスにVNICを追加します。

      手記:

      ネットワーク インターフェイスを接続する順序は重要です。最初のネットワーク インターフェイスを fxp0 にマップし、次に 2 番目のインターフェイスを ge-0/0/0、次に ge-0/0/1 というようにマップする必要があります。

      図 15: アタッチされたVNIC Attached VNICs Attached VNICs
  10. 起動されたvSRX仮想ファイアウォールインスタンスに接続します。SSHクライアントを開き、起動されたvSRX仮想ファイアウォールインスタンスにアクセスします。初回起動時には、vSRX仮想ファイアウォールのみをSSHで接続できます。vSRX仮想ファイアウォールは、デフォルトのOCI構成で起動します。プライベートキーを使用して、vSRX仮想ファイアウォールインスタンスをSSHで接続します。