項目一覧

ステップ1: SSHキーペアを作成する
ステップ2:vSRX仮想ファイアウォールインスタンスを起動する
ステップ 3: AWS システムログを表示する
ステップ4:vSRX仮想ファイアウォール用のネットワークインターフェイスを追加する
ステップ 5: Elastic IP アドレスを割り当てる
ステップ6:vSRX仮想ファイアウォールプライベートインターフェイスをルートテーブルに追加する
ステップ7:vSRX仮想ファイアウォールインスタンスを再起動する
ステップ8:vSRX仮想ファイアウォールインスタンスにログインする

Amazon Virtual Private CloudでvSRX仮想ファイアウォールインスタンスを起動する

次の手順では、Amazon Virtual Private Cloud(Amazon VPC)で vSRX仮想ファイアウォールインスタンスを起動して設定する方法について説明します。

ステップ1: SSHキーペアを作成する

AWS上のvSRX仮想ファイアウォールインスタンスにリモートアクセスするには、SSHキーペアが必要です。Amazon EC2 ダッシュボードで新しいキーペアを作成するか、別のツールで作成したキーペアをインポートできます。

SSHキーペアを作成するには、次の手順を実行します。

AWS マネジメントコンソールにログインし、[ Services > Compute > EC2] を選択します。
Amazon EC2 ダッシュボードで、左ペインの [ Key Pairs ] を選択します。ツールバーに表示されるリージョン名が、Amazon Virtual Private Cloud (Amazon VPC) を作成したリージョンと同じであることを確認します。

図1:リージョンの確認
「キー・ペアの作成」をクリックし、キー・ペア名を指定して、「作成」をクリックします。
秘密キーファイル (.pem) がコンピューターに自動的にダウンロードされます。ダウンロードした秘密キーファイルを安全な場所に移動します。
MacまたはLinuxコンピュータでSSHクライアントを使用してvSRX仮想ファイアウォールインスタンスに接続するには、次のコマンドを使用して、自分だけが読み取れるように秘密キーファイルの権限を設定します。
シェルプロンプトから vSRX仮想ファイアウォールインスタンスにアクセスするには、ssh -i <full path to your keyfile.pem>/<ssh-key-pair-name>.pem ec2-user@<public-ip-of-vsrx> コマンドを使用します。キーファイルが現在のディレクトリにある場合は、ssh -i <keyfile.pem>/<ssh-key-pair-name>.pem ec2-user@<public-ip-of-vsrx>としてフルパスの代わりにファイル名を使用できます。

手記：

または、[ キーペアのインポート] を使用して、サードパーティのツールで生成した別のキーペアをインポートします。

キーのローテーションの詳細については、「 https://docs.aws.amazon.com/kms/latest/developerguide/rotate-keys.html」を参照してください。

ステップ2:vSRX仮想ファイアウォールインスタンスを起動する

vSRX仮想ファイアウォールでサポートされているAWSインスタンスタイプを表1に示します。

vSRX仮想ファイアウォールは、MおよびC3インスタンスタイプをサポートしていません。これらのインスタンスタイプのいずれかを使用して vSRX仮想ファイアウォールをスピンした場合、インスタンスタイプをC4またはC5インスタンスタイプに変更する必要があります。

表1:vSRX仮想ファイアウォールでサポートされているAWSインスタンスタイプ
インスタンスタイプ	vSRX仮想ファイアウォールのタイプ	vCPU	メモリ(GB)	RSSタイプ
c5.largeです	vSRX仮想ファイアウォール-2CPU-3Gメモリ	2	4	ハードウェアのRSS
c5.xlarge	vSRX仮想ファイアウォール-4CPU-3Gメモリ	4	8	ハードウェアのRSS
c5.2xlarge	vSRX仮想ファイアウォール-8CPU-15Gメモリ	8	16	ハードウェアのRSS
c5.4xlarge	vSRX仮想ファイアウォール-16CPU-31Gメモリ	16	32	SWのRSS
c5.9xlarge	vSRX仮想ファイアウォール-36CPU-93Gメモリ	36	96	SWのRSS
c5n.2xlarge	vSRX仮想ファイアウォール-8CPU-20Gメモリ	8	21	ハードウェアのRSS
c5n.4xlarge	vSRX仮想ファイアウォール-16CPU-41Gメモリ	16	42	ハードウェアのRSS
c5n.9xlarge	vSRX仮想ファイアウォール-36CPU-93Gメモリ	36	96	ハードウェアのRSS

AWS上のvSRX仮想ファイアウォールは、最大8つのネットワークインターフェイスをサポートしますが、vSRX仮想ファイアウォールインスタンスに接続できるインターフェイスの実際の最大数は、起動されたAWSインスタンスタイプによって決まります。8個以上のインターフェイスを許可するAWSインスタンスの場合、vSRX仮想ファイアウォールは最大8個のインターフェイスのみをサポートします。

サポートされている C5 インスタンスタイプは次のとおりです。

c5.largeです
c5.xlarge
c5.2xlarge
c5.4xlarge
c5.9xlarge
c5n.2xlarge
c5n.4xlarge
c5n.9xlarge

サポートされている AMD ベースの AWS インスタンスは次のとおりです。

C5a.16x大
C5a.8x大
C5a.4xlarge
C5a.2x大
C5a.xlarge

vCPU、メモリなどのインスタンスの詳細については、「料金情報」を参照してください

インスタンスタイプ別の最大ネットワークインターフェイスの詳細については、「 https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html 」を参照してください。

ベストプラクティス:

Instance Type Selection—ネットワークに必要な変更に基づいて、インスタンスが過剰に使用されている (インスタンスタイプが小さすぎるなど) か、十分に活用されていない (インスタンスタイプが大きすぎるなど) ことが判明する場合があります。その場合は、インスタンスのサイズを変更できます。たとえば、インスタンスがワークロードに対して小さすぎる場合は、ワークロードに適した別のインスタンスタイプに変更できます。また、一部の機能を利用するために、前世代のインスタンスタイプから現在の世代のインスタンスタイプに移行することもできます。たとえば、IPv6 のサポートなどです。パフォーマンスとスループットを向上させるために、インスタンスの変更を検討してください。

Junos OS リリース 18.4R1 以降では、c5.large vSRX仮想ファイアウォールインスタンスがサポートされています。これらは費用対効果が高く、パフォーマンスとスループットが向上します。

Amazon VPCでvSRX仮想ファイアウォールインスタンスを起動するには:

AWS アカウントにログインします。
Amazon Market Place > Manage subscriptionsに移動し、vSRX仮想ファイアウォールを検索します。
[vSRX次世代ファイアウォール]を選択します。
[vSRX仮想ファイアウォール次世代ファイアウォールAmazonマシンイメージ]ページが表示されます。
「新規インスタンスの起動」をクリックします。
導入する配信方法、ソフトウェアバージョン、地域を選択します。[続行] をクリックして、EC2 から起動します。
サポートされているインスタンスタイプを選択します。詳細については、表 1 を参照してください。

[Next: Configure Instance Details] をクリックし、表 2 のフィールドを指定します。[詳細] を展開して、すべての設定を表示します。

表2:AWSインスタンスの詳細
畑	設定
ネットワーク	vSRX仮想ファイアウォール用に設定されたAmazon VPCを選択します。
サブネット	vSRX仮想ファイアウォール管理インターフェイス(fxp0)のパブリックサブネットを選択します。
パブリック IP の自動割り当て	[ 無効 ] を選択します (後で Elastic IP アドレスを割り当てます)。
プレイスメントグループ	デフォルトを使用します。
シャットダウン動作	[停止] (デフォルト) を選択します。
端末保護を有効にするモニタリング	ITポリシーを使用します。
ネットワークインターフェイス	[ プライマリ IP] フィールドに既定値を使用するか、パブリック IP アドレスを割り当てます。
ユーザーデータ	Junos OS リリース 17.4R1 以降、cloud-init パッケージ(バージョン 0.7x)が AWS 用 vSRX仮想ファイアウォールイメージにプリインストールされています。これにより、指定されたユーザーデータファイルに従って、AWS 上で動作する新しい vSRX仮想ファイアウォールインスタンスの設定を簡素化できます。「インスタンスの詳細の構成」ページの「ユーザー・データ」セクションで、「ファイルとして」を選択し、ユーザー・データ・ファイルを添付します。選択したファイルは、インスタンスの初期起動に使用されます。最初の起動シーケンス中に、vSRX仮想ファイアウォールインスタンスはcloud-initリクエストを処理します。ユーザーデータファイルの作成方法については、「 Cloud-Initを使用してAWSでvSRXインスタンスの初期化を自動化する」をご参照ください。手記：ユーザーデータとして渡される Junos OS 設定は、初回起動時にのみインポートされます。インスタンスを停止して再起動した場合、ユーザーデータファイルは再度インポートされません。

[Next: Add Storage] をクリックし、デフォルト設定を使用するか、必要に応じて [ボリュームの種類] と [IOPS] を変更します。
[Next: Tag Instance]をクリックし、vSRX仮想ファイアウォールインスタンスの名前を指定します。
[Next: Configure Security Group]をクリックし、[Select an existing security group]を選択して、vSRX仮想ファイアウォール管理インターフェイス(fxp0)用に作成したセキュリティグループを選択します。
[確認して起動]をクリックし、vSRX仮想ファイアウォールインスタンスの設定を確認して、[起動]をクリックします。
作成したSSHキー・ペアを選択し、確認応答のチェック・ボックスを選択して、「インスタンスの起動」をクリックします。
[View Instances] をクリックして、Amazon EC2 ダッシュボードに [Instances] リストを表示します。vSRX仮想ファイアウォールインスタンスの起動には数分かかる場合があります。
インスタンス名と Amazon マシンイメージ (AMI) を選択します (Junos の場合は、利用可能なマーケットプレイスの Junos AMI を選択します)。
インスタンスタイプ(c5/c6..など)をドキュメントで説明したように実行し、ステップ1で作成したキーペアを追加します。
[ネットワーク設定] で、前の手順で作成した VPC を選択します。作成するパブリック・サブネット(またはインスタンスの管理インタフェースを起動するサブネット)を選択します。インスタンスの起動後に、必要に応じて IP (パブリック) を割り当てるか、ステップ 5 の説明に従って Elastic IP をインターフェイスにアタッチできます。セキュリティグループを作成するか、前の手順で作成済みのセキュリティグループをアタッチします。適切な受信規則と送信規則を選択します。
要件に応じてストレージとボリュームを構成します。
[詳細] を構成します。作成したIAMプロファイルを選択し、要件に応じて表示されたオプションを設定します。

[CPU オプション] では、既定値を使用するか、#number of core(s) で CPU コアあたりの特定のスレッド数を選択できます。
ユーザーデータを構成します。これは、インスタンスがメタデータサーバーから起動されるとすぐにアクセスできる初期設定にすることができます。

ステップ 3: AWS システムログを表示する

起動時間のエラーをデバッグするには、次のように AWS システムログを表示します。

Amazon EC2 ダッシュボードで、[ インスタンス] を選択します。
vSRX仮想ファイアウォールインスタンスを選択し、「アクション」>「インスタンス設定」>「システム・ログの取得」を選択します。

ステップ4:vSRX仮想ファイアウォール用のネットワークインターフェイスを追加する

AWS は、選択した AWS インスタンスタイプに応じて、インスタンスに対して最大 8 つのインターフェイスをサポートします。vSRX仮想ファイアウォールに追加する収益インターフェイス(最大7つ)ごとに、以下の手順に従います。最初の収益インターフェイスはge-0/0/0、2番目のインターフェイスはge-0/0/1などです( AWSでのvSRXの要件を参照)。

vSRX仮想ファイアウォール収益インターフェイスを追加するには:

Amazon EC2 ダッシュボードで、左ペインの [Network Interfaces ] を選択し、[ Create Network Interface] をクリックします。

表 3 に示すようにインターフェイス設定を指定し、[Yes, Create] をクリックします。

表 3: ネットワークインターフェイス設定
畑	設定
形容	各収益インターフェイスのインターフェイスの説明を入力します。
サブネット	最初の収益インターフェイス(ge-0/0/0)用に作成されたパブリックサブネット、または他のすべての収益インターフェイス用に作成されたプライベートサブネットを選択します。
プライベートIP	選択したサブネットのIPアドレスを入力するか、アドレスを自動的に割り当てます。
セキュリティグループ	vSRX仮想ファイアウォール収益インターフェイス用に作成したセキュリティグループを選択します。

新しいインターフェイスを選択し、[Actions] > [Change Source/Dest] を選択します。チェックを入れ、[ Disabled] を選択して、[ Save] をクリックします。

図2:ソース/宛先を無効にします。を確認する
新しいインターフェイスを選択して[接続]を選択し、vSRX仮想ファイアウォールインスタンスを選択して、[接続]をクリックします。
新しいインターフェイスの [Name] 列の鉛筆アイコンをクリックし、インターフェイスに名前を付けます(例:ix-fxp0.0)。

手記：

民間収益インターフェイス(ge-0/0/1からge-0/0/7)の場合は、作成したネットワーク名またはネットワークインターフェイスIDをメモします。名前またはインターフェイスIDは、後でプライベート・サブネット用に作成されたルート表に追加します。

ステップ 5: Elastic IP アドレスを割り当てる

パブリックインターフェイスの場合、AWS はパブリック IP アドレスからプライベート IP アドレスへの NAT 変換を行います。パブリック IP アドレスは、 Elastic IP アドレスと呼ばれます。パブリックvSRX仮想ファイアウォールインターフェイス(fxp0およびge-0/0/0)にElastic IPアドレスを割り当てることをお勧めします。vSRX仮想ファイアウォールインスタンスが再起動されると、Elastic IPは保持されますが、パブリックサブネットIPは解放されることに注意してください。

Elastic IP を作成して割り当てるには、次のようにします。

Amazon EC2 ダッシュボードで、左ペインの [Elastic IPS ] を選択し、[ Allocate New Address] をクリックして、[ Yes, Allocate] をクリックします。(アカウントが EC2-Classic をサポートしている場合は、まず [Network platform (ネットワークプラットフォーム)] リストから [EC2-VPC (EC2-VPC )] を選択する必要があります。
新しい Elastic IP アドレスを選択し、 [ Actions > Associate Address](アドレスの関連付けアクション) を選択します。

表 4 で設定を指定し、「割り振り」をクリックします。

表 4: Elastic IP 設定
畑	設定
ネットワークインターフェイス	vSRX仮想ファイアウォール管理インターフェイス(fxp0)または最初の収益インターフェイス(ge-0/0/0)を選択します。
プライベートIP アドレス	Elastic IPアドレスに関連付けるプライベートIPアドレスを入力します。

ステップ6:vSRX仮想ファイアウォールプライベートインターフェイスをルートテーブルに追加する

vSRX仮想ファイアウォール用に作成したプライベート収益インターフェイスごとに、関連するプライベートサブネット用に作成したルートテーブルにインターフェイスIDを追加する必要があります。

プライベート・インタフェースIDをルート表に追加するには、次のようにします。

VPC ダッシュボードで、左側のペインの [Route Tables ] を選択します。
プライベート・サブネット用に作成したルート表を選択します。
ルートテーブルの一覧の下にある [ルート ] タブを選択します。
[ 編集 ] をクリックし、[ 別のルートを追加] をクリックします。

表 5 の設定を指定し、「保存」をクリックします。

表 5: プライベートルート設定
畑	設定
行き先	インターネットトラフィックに「0.0.0.0/0」と入力します。
ターゲット	関連付けられたプライベート・サブネットのネットワーク名またはネットワーク・インタフェースIDを入力します。ネットワーク・インタフェースは、「サブネットの関連付け」タブに表示されるプライベート・サブネットに存在する必要があります。手記：インターネットゲートウェイ(igw-nnnn)は選択しないでください。

各プライベート・ネットワーク・インターフェースについて、この手順を繰り返します。この設定を完了するには、vSRX仮想ファイアウォールインスタンスを再起動する必要があります。

ステップ7:vSRX仮想ファイアウォールインスタンスを再起動する

インターフェイスの変更を組み込み、Amazon EC2の設定を完了するには、vSRX仮想ファイアウォールインスタンスを再起動する必要があります。vSRX仮想ファイアウォールインスタンスの実行中に接続されたインターフェイスは、インスタンスが再起動されるまで有効になりません。

手記：

vSRX仮想ファイアウォールインスタンスの再起動は必ずAWSを使用してください。再起動にvSRX仮想ファイアウォールCLIを使用しないでください。

vSRX仮想ファイアウォールインスタンスを再起動するには、次の手順に従います。

Amazon EC2 ダッシュボードで、左ペインの [インスタンス ] を選択します。
vSRX仮想ファイアウォールインスタンスを選択し、[Actions] > [Instance State > Reboot] を選択します。

vSRX仮想ファイアウォールインスタンスの再起動には数分かかる場合があります。

ステップ8:vSRX仮想ファイアウォールインスタンスにログインする

AWS導入環境では、vSRX仮想ファイアウォールインスタンスはデフォルトで以下の機能を提供し、セキュリティを強化します。

SSH経由でのみログインできます。
cloud-init は、SSH キーログインを設定するために使用されます。
rootアカウントのSSHパスワードログインは無効です。

AmazonのAWSクラウドインフラストラクチャで起動されたvSRX仮想ファイアウォールインスタンスは、Amazonが提供するcloud-initサービスを使用して、インスタンスの起動に使用されるアカウントに関連付けられたSSHパブリックキーをコピーします。その後、対応する秘密鍵を使用してインスタンスにログインできるようになります。

手記：

SSHパスワードを使用したrootログインは、デフォルトで無効になっています。

SSHクライアントを使用して、vSRX仮想ファイアウォールインスタンスに初めてログインします。ログインするには、ユーザーアカウントのSSHキーペア. pem ファイルを保存した場所と、vSRX仮想ファイアウォール管理インターフェイス(fxp0)に割り当てられたElastic IPアドレスを指定します。

手記：

Junos OS リリース 17.4R1より、デフォルトのユーザー名が root@ から ec2-user@に変更されました。

手記：

Junos OSパスワードを使用したRootログインは、デフォルトで無効になっています。Junos OS の初期設定フェーズの後に、他のユーザーを設定できます。

キーペアファイル名とElastic IPアドレスがない場合は、次の手順に従って、vSRX仮想ファイアウォールインスタンスのキーペア名とElastic IPを表示します。

Amazon EC2 ダッシュボードで、[ インスタンス] を選択します。
vSRX仮想ファイアウォールインスタンスを選択し、[説明]タブでeth0を選択して、fxp0管理インターフェイスのElastic IPアドレスを表示します。
インスタンスのリストの上にある「接続」をクリックして、SSHキー・ペアのファイル名を表示します。

vSRX仮想ファイアウォールインスタンスの基本設定を構成するには、 CLIを使用したvSRXの構成を参照してください。

手記：

vSRX仮想ファイアウォールの従量課金制イメージに別途ライセンスは必要ありません。

変更履歴

サポートされる機能は、使用しているプラットフォームとリリースによって決まります。特定の機能がお使いのプラットフォームでサポートされているかどうかを確認するには、 Feature Explorer を使用します。

解放

形容

17.4R1

Junos OS リリース 17.4R1 以降、cloud-init パッケージ(バージョン 0.7x)が AWS 用 vSRX仮想ファイアウォールイメージにプリインストールされています。これにより、指定されたユーザーデータファイルに従って、AWS 上で動作する新しい vSRX仮想ファイアウォールインスタンスの設定を簡素化できます。