このページで

Microsoft Azure CLIのインストール
vSRX 仮想ファイアウォール導入ツールをダウンロードする
vSRX 仮想ファイアウォール.parameter.json ファイルのパラメーター値を変更する
シェルスクリプトを使用した vSRX 仮想ファイアウォールの導入
Microsoft AzureへのvSRX仮想ファイアウォールの導入を検証
vSRX 仮想ファイアウォールインスタンスにログインする

Azure CLIからvSRX仮想ファイアウォールを導入

Junos OS リリース 15.1X49-D80 および Junos OS リリース 17.3R1 以降、Azure CLI から vSRX 仮想ファイアウォールを導入し、Microsoft Azure Cloud のネットワーク要件に基づいて vSRX 仮想ファイアウォール VM の導入設定と依存関係をカスタマイズできます。

Azure CLI から Microsoft Azure 仮想ネットワークの仮想セキュリティアプライアンスとして vSRX 仮想ファイアウォールを導入および構成するには、次の手順に従います。この手順では、Azure リソースマネージャー (ARM) モードで実行されている Azure CLI を使用します。

メモ：

AzureにvSRX仮想ファイアウォールを展開する前に、Microsoft Azureのアカウントとサブスクリプションがあることを確認してください( Microsoft Azureを参照)。

Azure サブスクリプションをお持ちでない場合は、開始する前に無料アカウントを作成できます。詳細については、 Microsoft Azure の Web サイトを参照してください。

メモ：

Azure ポータルから、EULA 条件に同意するには、まず vSRX 次世代ファイアウォール(BYOL)または vSRX 次世代ファイアウォール( PAYG)SKU のいずれかを使用して、vSRX 仮想ファイアウォールイメージを手動で( 1 回だけ)導入する必要があります。これは、Azure CLIからvSRX仮想ファイアウォールイメージを展開する前に要件です。デフォルトでは、Azureポータルの導入ツールは、ソースイメージとして vSRX次世代ファイアウォール(BYOL) SKUを使用します。Microsoft アカウントのユーザー名とパスワードを使用して、Microsoft Azure ポータルにログインします。

Azure CLI から vSRX 仮想ファイアウォールイメージを展開する前に、Azure ポータルで vSRX 仮想ファイアウォールイメージの EULA 条件に最初に同意しない場合、 MarketplacePurchaseEligibility失敗エラーが発生します。

Microsoft Azure CLIのインストール

Microsoft Azure CLI をインストールしてログインするには、次の手順に従います。

Azure CLIのインストールに関する説明に従って、Microsoft Azure CLI 1.0 をインストールします。LinuxまたはMac OSに対してAzure CLIパッケージをインストールするには、いくつかのオプションがあります。正しいインストールパッケージを選択してください。

メモ：
Azure導入シェルスクリプト deploy-azure-vsrx.sh vSRX仮想ファイアウォールは、シェルおよびAzure CLIバージョン1.0コマンドで作成され、Azure CLIバージョン2.0をサポートしていません。

メモ：
Microsoft AzureへのvSRX仮想ファイアウォールの導入は、Microsoft WindowsからのAzure CLIの使用をサポートしていません。これは、導入手順の一部として使用される deploy-azure-vsrx.sh シェルスクリプトを Linux または Mac OS CLI からしか実行できないためです。
Azure CLI にログインします。

> azure login

プロンプトで、コマンド出力に表示されるコードをコピーします。

Web ブラウザーを開いて http://aka.ms/devicelogin し、コードを入力し、[ 続行] をクリックします。Microsoft Azure のユーザー名とパスワードの資格情報を入力します。プロセスが完了すると、コマンドシェルはログインプロセスを完了します。
メモ：
複数の Azure サブスクリプションがある場合、Azure に接続すると、自分の資格情報に関連付けられているすべてのサブスクリプションへのアクセスが許可されます。1 つのサブスクリプションがデフォルトとして選択され、操作の実行時に Azure CLI によって使用されます。コマンドを使用して、現在のデフォルトサブスクリプションを含むサブスクリプションを azure account list 表示できます。
Azure CLI が Azure リソースマネージャー(ARM)モードであることを確認します。

> azure config mode arm

メモ：
Azure CLI が最初にインストールされると、CLI は ARM モードになります。

vSRX 仮想ファイアウォール導入ツールをダウンロードする

ジュニパーネットワークスは、ジュニパーの GitHub リポジトリにスクリプト、テンプレート、パラメーターファイル、設定ファイルのセットを提供しています。これらのツールは、Azure CLI を使用する場合に、Azure への vSRX 仮想ファイアウォールの導入を簡素化するためのものです。

メモ：

スクリプト、テンプレート、パラメーターファイル、構成ファイルの追加情報については、「 Azure CLI を使用して vSRX を導入する前に」を参照してください。

vSRX 仮想ファイアウォールの導入ツールをダウンロードするには、以下の手順にしたがっています。

[https://github.com/Juniper/vSRX-Azure] というリンクから GitHub にアクセスします。

[ クローン] または [ダウンロード ] をクリックして、Github からすべてのファイルとディレクトリが含まれているファイルをコンピューター vSRX-Azure-master.zip に vSRX-Azureダウンロードします。ディレクトリには vSRX-Azure-master 、以下のディレクトリとファイルが含まれています。

圧縮 vSRX-Azure-master.zip ファイルをコンピューター上の場所に抽出します。

vSRX 仮想ファイアウォール.parameter.json ファイルのパラメーター値を変更する

vsrx.parameters.jsonファイルでは、Microsoft AzureでのvSRX仮想ファイアウォールの導入に固有のパラメーター値を変更する必要があります。これらのパラメーターは、deploy-azure-vsrx.sh スクリプトで実行される自動導入の一部として使用されます。

デフォルトでは、vSRX 仮想ファイアウォールはインターネットへのエグレスインターフェイスとして fxp0 を使用します。収益ポート(VPN、Content Security など)を使用するインターネット接続を必要とする機能の場合、ルーティングインスタンスは、管理ネットワークと収益ネットワーク間のトラフィックを分離するために必要です。

vsrx.parameters.json ファイル内のパラメーター値を変更するには、以下の手順にしたがってください。

テキストエディターで vsrx.parameters.json ファイルを開きます。

vSRX仮想ファイアウォールの導入の詳細に基づいて、 vsrx.parameters.json ファイルの値を変更します。次の表の例では、 vsrx.parameters.json ファイル内のパラメーターの概要を示しています。このファイルでは sample-templates\arm-templates-tool\templates\vsrx-gateway 、変更が必要になる可能性があります。

注意：

vSRX仮想ファイアウォールインスタンスを起動して初めてログインする前に、 vsrx.parameters.json ファイルに記載されているvSRX仮想ファイアウォールパスワードログイン認証情報を変更することが重要です。Microsoft Azure ポータルまたは Azure CLI を使用して、vSRX 仮想ファイアウォールのログイン認証情報をリセットすることはできません。

パラメーター	デフォルト値	コメント
`storageAccountName`	ジュニパーストア01	導入ごとに一意にする必要があります。
`storageContainerName`	Vhd	Microsoft Azureストレージコンテナ(VHD)の名前。
`vSRX Virtual Firewall-name`	vSRX 仮想ファイアウォール- gw	vSRX 仮想ファイアウォールホスト名を指定します。
`vSRX Virtual Firewall-addr-ge-0-0-0`	192.168.10.20	vSRX 仮想ファイアウォールインターフェイス ge-0/0/0.0 の IP アドレス。
`vSRX Virtual Firewall-addr-ge-0-0-1`	192.168.20.20	vSRX 仮想ファイアウォールインターフェイス ge-0/0/1.0 の IP アドレス。
`vSRX Virtual Firewall-username`	デモ	vSRX 仮想ファイアウォールへのアクセスに使用するログイン認証情報に適したユーザー名に変更します。
`vSRX Virtual Firewall-password`	デモ123456	vSRX 仮想ファイアウォールへのアクセスに使用するログイン資格情報に適したパスワードに変更します。
`vSRX Virtual Firewall-sshkey`	ssh-rsa プレースホルダ	SSH公開キー文字列(RSAまたはDSA)を入力して、vSRX仮想ファイアウォールVMのroot認証パスワードを指定します。デフォルトでは、 deploy-azure-vsrx.sh 導入スクリプトは、の後に SSH RSA 公開鍵ファイル(デフォルトでは id_rsa.pub)が指定されていない限り `–p`、パスワード認証方法を選択します。メモ： vSRX仮想ファイアウォールのJunos OSリリース15.1X49-D100以降、パスワードとSSHパブリックキー認証の両方がサポートされており、デフォルトでパスワード認証が選択されています。
`vSRX Virtual Firewall-disk`	プレースホルダー	vSRX 仮想ファイアウォールインスタンスを作成するためのソースイメージ。デフォルトでは、 deploy-azure-vsrx.sh スクリプトは、vSRX仮想ファイアウォールインスタンスのイメージの場所を明示的に指定する場合を除き `–i` 、Azure MarketplaceのvSRX次世代ファイアウォール(BYOL)SKUをソースイメージとして使用してvSRX仮想ファイアウォールインスタンスを展開します。
`vnet-prefix`	192.168.0.0/16	仮想ネットワークの IP アドレスプレフィックス。
`vnet-mgt-subnet-basename`	mgt-サブネット	fxp0 に接続された管理ネットワークの名前。
`vnet-mgt-subnet-prefix`	192.168.0.0/24	fxp0に接続された管理ネットワークのIPアドレスプレフィックス。
`vnet-trust-subnet-basename`	trust-subnet	trust セキュリティゾーンに接続されたネットワークの名前:vSRX 仮想ファイアウォール上の ge-0/0/1.0。
`vnet-trust-subnet-prefix`	192.168.20.0/24	trust セキュリティゾーンに接続されたネットワークの IP アドレスプレフィックス:vSRX 仮想ファイアウォール上の ge-0/0/1.0。
`vnet-untrust-subnet-basename`	untrust-subnet	untrust セキュリティゾーンに接続されたネットワークの名前:vSRX 仮想ファイアウォール上の ge-0/0/0.0。
`vnet-untrust-subnet-prefix`	192.168.10.0/24	untrust セキュリティゾーンに接続されたネットワークの IP アドレスプレフィックス:vSRX 仮想ファイアウォール上の ge-0/0/0.0。

vsrx.parameters.json ファイルに変更を保存します。

シェルスクリプトを使用した vSRX 仮想ファイアウォールの導入

deploy-azure-vsrx.sh シェルスクリプトは、Azure Cloud の地理的な場所に基づくリソースグループに vSRX 仮想ファイアウォール仮想マシンを導入します。このスクリプトでは、ストレージアカウントと vsrx.parameters.json ファイルで定義されたネットワーク値を使用します。

vSRX 仮想ファイアウォールを Azure 仮想ネットワークに導入するには、次の手順にしたがっています。

Azure CLIのbashプロンプトで、deploy-azure-vsrx.sh スクリプトを実行します。デフォルトでは、このスクリプトでは、Azure Marketplace のソースイメージとして vSRX 次世代ファイアウォール(BYOL)SKU を使用して、vSRX 仮想ファイアウォール VM を導入します。以下の情報は、導入の一環として vSRX 仮想ファイアウォール.json ファイルから読み取られます。
- VM サイズ:Standard_D3_v2
- 発行者:ジュニパーネットワークス
- SKU:vSRX 仮想ファイアウォール-byol-azure-image
- 製品:vSRX仮想ファイアウォール-次世代ファイアウォール
以下に、コマンド構文の例を示します。この例では、vSRX 仮想ファイアウォールイメージを使用して、vSRX 仮想ファイアウォール VM をリソースグループ「example_rg」の Azure ロケーションの「westus」に導入します。ストレージアカウントとネットワーク値は vsrx.parameters.json ファイルで定義されています。

> ./deploy-azure-vsrx.sh -g example_rg -l westus -f vSRX-Azure/sample-templates/arm-templates-tool/templates/vsrx-gateway/vsrx.json -e vSRX-Azure/sample-templates/arm-templates-tool/templates/vsrx-gateway/vsrx.parameters.json

メモ：
オプション-iを使用してvSRX仮想ファイアウォールソースイメージURLを指定すると、スクリプトはvSRX仮想ファイアウォールソースイメージをコピーして仮想ハードウェアディスクファイルを作成し、vsrx.parameters.jsonのパラメータをこの値に設定vsrx-diskします。

コマンド構文のデフォルトパラメーター値は以下のとおりです。
- example_rg はリソースグループ名(-g)です。
- westus Azureの場所です(-l)。
- vSRX Virtual Firewall.json フォルダ内の vSRX-Azure/sample-templates/arm-templates-tool/templates/vsrx-gateway は、デフォルトのAzureテンプレートファイル(-f)です。
- vSRX Virtual Firewall.parameters.json フォルダ内の vSRX-Azure/sample-templates/arm-templates-tool/templates/vsrx-gateway はデフォルトパラメータファイル(-e)です。

画面で発生するvSRX仮想ファイアウォールのMicrosoft Azureへの導入段階を監視します。デプロイには、リソースグループ、ストレージアカウント、テンプレートグループ(構成パラメーターを含む)の作成などの操作が含まれます。

メモ：

ストレージアカウントの作成には、平均で約 3~5 分かかります。ただし、場合によっては 15~20 分かかる場合があります。

展開プロセスが完了すると、メッセージ “info: group deployment create command Okが表示されます。

Microsoft AzureへのvSRX仮想ファイアウォールの導入を検証

Microsoft AzureへのvSRX仮想ファイアウォールインスタンスの導入を検証するには、次の手順にしたがっています。

Web ブラウザーを開いて https://portal.azure.com/ し、ログイン認証情報を使用して Microsoft Azure ポータルにログインします。[ダッシュボード] ビューが Azure ポータルに表示されます。Azure 内のすべてのアセットの統合ダッシュボードが表示されます。ダッシュボードに、現在アクセスしているすべてのサブスクリプションと、すべてのリソースグループと関連リソースが含まれています。
導入完了後に vSRX 仮想ファイアウォールリソースグループとそのリソースを表示するには、右側のメニューで [ リソースグループ ] をクリックして [リソースグループ] ページにアクセスします。

図 1 は、Microsoft Azure ポータルのリソースグループページの例を示しています。

図 1:Microsoft Azure リソースグループページの例
リソースグループに関連付けられた vSRX 仮想ファイアウォール VM の詳細を表示するには、vSRX 仮想ファイアウォールの名前をクリックします。

図 2 は、Microsoft Azure ポータル内のリソースグループ VM の例を示しています。

図 2:Microsoft Azure リソースグループ VM の例
サブスクリプション内の VM(新しく導入した vSRX 仮想ファイアウォールなど)の概要ビューを表示するには、左ウィンドウの [仮想マシン] アイコンをクリックします。[仮想マシン] ページで、導入完了後に vSRX 仮想ファイアウォール VM のステータスを確認します。ステータス Runningが .

メモ：
Microsoft Azure ポータルの [仮想マシン] ページから VM を停止、開始、再起動、および削除できます。

図 3 は、Microsoft Azure 仮想マシンページの例を示しています。

図 3:Microsoft Azure 仮想マシンページの例

vSRX 仮想ファイアウォールインスタンスにログインする

vSRX 仮想ファイアウォールの導入が完了すると、vSRX 仮想ファイアウォールインスタンスの電源が自動的にオンになり、起動されます。この時点で、SSHクライアントを使用してvSRX仮想ファイアウォールインスタンスにログインできます。

メモ：

Microsoft Azureでは、個人および企業は、従量制(PAYG)または個人所有ライセンス(BYOL)サービスとして、クラウド上でサーバーとサービスをホストできます。Microsoft Azure導入環境のvSRX仮想ファイアウォールでは、BYOLモデルのみがサポートされています。

vSRX 仮想ファイアウォール VM にログインするには、以下の手順にしたがっています。

Azure ポータルで、ダッシュボード上のサービスのメニューから [ リソースグループ ] をクリックし、vSRX 仮想ファイアウォール VM を選択します。[設定] ブレードから、vSRX 仮想ファイアウォール VM のパブリック IP アドレスを確認します。
SSHクライアントを使用してvSRX仮想ファイアウォールインスタンスにログインします。
プロンプトで、以下のログイン認証情報を入力します。
メモ：
Junos OS リリース 15.1X49-D80 および Junos OS リリース 17.3R1 以降では、パスワード認証のみがサポートされています。vSRX仮想ファイアウォールのJunos OSリリース15.1X49-D100以降、パスワードとSSHパブリックキー認証の両方がサポートされており、デフォルトでパスワード認証が選択されています。

vSRX 仮想ファイアウォールインスタンスは、ユーザー名とパスワードの認証用に自動的に構成されます。ログインするには、 vsrx.parameters.json ファイルで定義されているログイン認証情報を使用します( vSRX 仮想ファイアウォールのパラメーター値の変更.parameter.json ファイルを参照してください)。vSRX仮想ファイアウォールに最初にログインした後、SSHパブリックおよびプライベートキー認証を設定できます。

# ssh <username@vsrx_vm_ipaddress>
vSRX 仮想ファイアウォール VM の基本設定を構成します(「 CLI を使用した vSRX の構成」を参照してください)。

リリース履歴テーブル

リリース

説明

15.1X49-D80

Junos OS リリース 15.1X49-D80 および Junos OS リリース 17.3R1 以降では、パスワード認証のみがサポートされています。

49-D100 x 15.1

vSRX仮想ファイアウォールのJunos OSリリース15.1X49-D100以降、パスワードとSSHパブリックキー認証の両方がサポートされており、デフォルトでパスワード認証が選択されています。