Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Microsoft Azure Cloudを使用したvSRX仮想ファイアウォールの理解

このセクションでは、Microsoft Azureクラウドに導入されたvSRX仮想ファイアウォールの概要を説明します。

Microsoft Azureを使用したvSRX仮想ファイアウォール

Junos OS リリース 15.1X49-D80 および Junos OS リリース 17.3R1 以降では、vSRX 仮想ファイアウォールを Microsoft Azure Cloud に導入できます。Microsoft Azureは、パブリッククラウド向けのMicrosoftのアプリケーションプラットフォームです。Microsoft が管理するデータ センターのグローバル ネットワークを介してアプリケーションとサービスを構築、導入、管理するための、オープンで柔軟なエンタープライズグレードのクラウド コンピューティング プラットフォームです。SaaS(Software as a Service)、PaaS(Platform as a Service)、IaaS(Infrastructure as a Service)サービスを提供します。仮想マシン(VM)を Azure 仮想ネットワークに配置すると、Azure 内の分散ネットワークと仮想ネットワークによって、プライベート ネットワーク トラフィックが他の Azure 仮想ネットワーク上のトラフィックから論理的に分離されます。

Azure WANLinuxAgentは、vSRX仮想ファイアウォールインスタンスのプロビジョニングジョブを実行します。新しいvSRX仮想ファイアウォールインスタンスを展開すると、waagentログファイルのサイズが増え続けると、vSRX仮想ファイアウォールが停止する可能性があります。vSRX 仮想ファイアウォールがまだ動作している場合は、 /var/log/waagent.log を直接削除するか、 コマンドを clear log waagent.log all 実行してログ ファイルを消去します。

または、 および set groups azure-provision system syslog file waagent.log archive files 10 コマンドをset groups azure-provision system syslog file waagent.log archive size 1m実行して、waagentログの増加を防ぐことができます。これらの設定により、1MBを超えるサイズでwaagentのログがローテーションされ、最大10個のバックアップを設定します。

vSRX仮想ファイアウォール仮想セキュリティアプライアンスを追加して、Azure仮想ネットワーク内のアプリケーションインスタンスとしてネットワークセキュリティ機能を提供できます。vSRX 仮想ファイアウォールは、Microsoft Azure Cloud 上の仮想ネットワーク内で実行されるワークロードを保護します。

以下の導入方法を使用して、AzureにvSRX仮想ファイアウォールVMを導入できます。

  • Azure Marketplace — Azure Marketplace から vSRX 仮想ファイアウォール VM を導入します。Azure Marketplace には、仮想ネットワークに vSRX 仮想ファイアウォール VM を導入するためのさまざまな方法があります。ジュニパーネットワークスが提供するカスタマイズされたソリューション テンプレートを選択して、特定の使用事例(セキュリティ ゲートウェイなど)に基づいて vSRX 仮想ファイアウォール VM の導入を自動化できます。ソリューション テンプレートは、VM 設定、仮想ネットワーク設定(管理インターフェイス(fxp0)の複数のサブセットや 2 つの収益(データ)インターフェイスなど、特定の導入事例に関連する依存関係を自動化します。または、vSRX 仮想ファイアウォール VM イメージを選択し、特定のネットワーク要件に基づいて導入設定と依存関係を定義できます。Junos OS リリース 15.1X49-D91 for vSRX 仮想ファイアウォール以降、Azure Marketplace から Microsoft Azure Cloud に vSRX 仮想ファイアウォールを導入できるようになりました。

    また、Azure Marketplace では、Azure Government Cloud 向け Azure Marketplace for Azure Government Cloud(米国)を通じて、規制対象のワークロードをサポートするソフトウェアを検出し、サブスクリプションすることもできます。

  • Azure CLI — Azure CLI から vSRX 仮想ファイアウォール VM を導入します。Microsoft Azure Cloud のネットワーク要件に基づいて、vSRX 仮想ファイアウォール VM の導入設定と依存関係をカスタマイズできます。Microsoft Azure 仮想ネットワークにおける vSRX 仮想ファイアウォール VM の導入を自動化および簡素化するために、ジュニパーネットワークスは一連のスクリプト、Azure Resource Manager(ARM)テンプレート、パラメーター ファイル、構成ファイルを GitHub リポジトリに用意しています。

    メモ:

    Junos OS リリース 15.1X49-D80 および Junos OS リリース 17.3R1 以降、Azure CLI から Microsoft Azure Cloud に vSRX 仮想ファイアウォールを導入できるようになりました。

Microsoft Azure では、従量制(PAYG)または個人所有ライセンス(BYOL)サービスとして、サーバーとサービスをクラウド上でホストできます。

メモ:

vSRX仮想ファイアウォールPAYGイメージには、ジュニパーネットワークスのライセンスは必要ありません。

Junos OSリリース15.1X49-D120以降、Microsoft Azure Cloud上のvSRX仮想ファイアウォールは、PAYG向けのvSRX仮想ファイアウォールプレミアム次世代ファイアウォールとアンチウィルス防御バンドルをサポートし、1時間または1年間のサブスクリプションとして利用できます。このバンドルには以下が含まれます。

  • コアファイアウォール、IPsec VPN、NAT、CoS、ルーティングサービスを含むコアセキュリティの標準(STD)機能。

  • AppID、AppFW、AppQoS、AppTrack の AppSecure 機能、IPS などの高度なレイヤー 4~7 セキュリティ サービスと、コンテンツ セキュリティ アンチウィルス機能を含む豊富なルーティング機能。

図 1 は、Microsoft Azure での vSRX 仮想ファイアウォールの導入を示しています。

Microsoft Azureでは、パブリックサブネットはインターネットゲートウェイにアクセスできますが、プライベートサブネットではアクセスできません。vSRX仮想ファイアウォールには、個々のインスタンスグループごとに2つのパブリックサブネットと1つ以上のプライベートサブネットが必要です。パブリックサブネットは、管理インターフェイス(fxp0)用と収益(データ)インターフェイス用の1つで構成されています。他のvSRX仮想ファイアウォールインターフェイスに接続されたプライベートサブネットは、プライベートサブネットとインターネット上のアプリケーション間のすべてのトラフィックがvSRX仮想ファイアウォールインスタンスを通過する必要があります。

図 1:Microsoft Azure に導入された vSRX 仮想ファイアウォール vSRX Virtual Firewall Deployed to Microsoft Azure

Microsoft Azureの用語集については、 Microsoft Azureの用語集を参照してください。

Junos OS リリース 21.4R1 以降、vSRX 仮想ファイアウォール 3.0 は、高速ネットワークに Mellanox SR-IOV 仮想機能を利用する Azure Accelerated Networking(AAN)オプションをサポートしています。

Microsoft Azureには、接続された各ネットワークインターフェイスに対してAzure Accelerated Networking(AAN)オプションがあります。AAN は、Mellanox SR-IOV 仮想機能を高速ネットワークに利用しています。vSRX 仮想ファイアウォール 3.0 で AAN がサポートされるようになりました。AANを搭載したvSRX仮想ファイアウォール3.0は、Azureクラウドで優れたネットワークパフォーマンスを提供します。

現在サポートされているのは、Azure AANのvSRX仮想ファイアウォール3.0インスタンスのみです。

表 1:AAN でサポートされる vSRX 仮想ファイアウォール 3.0 インスタンス
サイズ vCPU メモリ(GiB) 最大NIC
Standard_D8ds_v4 8 32 4
Standard_D16ds_v4 16 64 8
Standard_D32ds_v4 32 128 8

  • コマンドを az network nic update --name <interface-name> --resource-group <resource-group> --accelerated-networking true 使用してAANを有効にします。

  • Web GUI の使用:Microsoft Azure ポータルにログインすると、次の手順に従います。

    • [ 仮想ネットワーク ] をクリックし、正しい仮想ネットワークを選択します。ネットワーキング」

      [ 接続されたデバイス] をクリックし、必要な NIC インターフェイスを選択し、 [ 高速化されたネットワークを有効にする] をクリックします。

    • [ 仮想マシン ] をクリックし、必要な VM を選択し、 [ ネットワーク] をクリックします。最後に、正しい NIC インターフェイスのウィンドウをクリックし、[ 高速ネットワークを有効にする] をクリックします。

詳細については、「 複製された VM の高速化ネットワークの有効化」を参照してください。

関連ドキュメント

リリース履歴テーブル
リリース
説明
15.1X49-D91
Junos OS リリース 15.1X49-D91 for vSRX 仮想ファイアウォール以降、Azure Marketplace から Microsoft Azure Cloud に vSRX 仮想ファイアウォールを導入できるようになりました。
15.1X49-D80
Junos OS リリース 15.1X49-D80 および Junos OS リリース 17.3R1 以降では、vSRX 仮想ファイアウォールを Microsoft Azure Cloud に導入できます。
15.1X49-D80
Junos OS リリース 15.1X49-D80 および Junos OS リリース 17.3R1 以降、Azure CLI から Microsoft Azure Cloud に vSRX 仮想ファイアウォールを導入できるようになりました。
15.1X49-D120
Junos OSリリース15.1X49-D120以降、Microsoft Azure Cloud上のvSRX仮想ファイアウォールは、PAYG向けのvSRX仮想ファイアウォールプレミアム次世代ファイアウォールとアンチウィルス防御バンドルをサポートし、1時間または1年間のサブスクリプションとして利用できます。