IBM Cloud で Juniper vSRX を始める
IBM Cloud™ Juniper vSRX では、フルルーティング スタック、QoS とトラフィック共有、ポリシーベースのルーティング、VPN など、Junos OS ソフトウェア機能を搭載したフル機能を備えたエンタープライズレベルのファイアウォールを介して、プライベート およびパブリック ネットワーク トラフィックを選択的にルーティングできます。
IBM Cloud™ Juniper vSRX Gateway の既知の制限事項のリストについては、「 既知の制限」を参照してください。
IBM Cloud の vSRX の概要
vSRXは、ベアメタルサーバーでの実行を簡素化することで、パフォーマンス、設定の容易さ、保守のメリットを提供します。ハードウェアは、複数の VLAN に関連付けられたルーティングとセキュリティの負荷を処理するようにサイズ設定されており、冗長ネットワーク リンクと冗長 RAID アレイを使用して注文できます。すべての vSRX 機能は顧客管理です。
IBM Cloud™ Juniper vSRX には、スタンドアロン モードまたは HA(高可用性)クラスターという 2 つのモードがあります。
IBM Cloud™ Juniper vSRX のその他の資料については、 補足資料を参照してください。
vSRXは、プライベートおよびパブリックに接続するトラフィックをフィルタリングすることで、外部および内部の脅威から環境を保護するために導入します。お客様は、インバウンドまたはアウトバウンドのネットワークトラフィックを許可または拒否するポリシーとルールを定義することで、vSRX自体を管理できるため、内部および外部のアプローチからアプリケーションを保護できます。IPv4 スタックと IPv6 スタックの両方がステートフルな方法でサポートされます。
vSRX をネットワーク ゲートウェイ デバイスとしてプロビジョニングすることで、VPN トンネリングを使用して、オンサイトのデータ センターまたはオフィスを IBM Cloud に接続します。リモート アクセス IPsec VPN もサポートされています。
VPN の詳細な設定については、「 VPN」を参照してください。
vSRX ゲートウェイ アプライアンスを使用すると、パブリック ネットワーク インターフェイスを使用せずにアプリケーション サーバーとデータベース サーバーをプロビジョニングでき、サーバーはソース NAT を使用してインターネットにアクセスできます。セキュリティを強化するために、宛先 NAT を使用してゲートウェイ デバイスの背後にあるサーバーを保護できます。
BGP を使用して動的ルーティングを設定すると、独自のパブリック IP スペースを IBM Cloud ルーターにアナウンスできます。
VLAN(仮想ローカル エリア ネットワーク)は、物理ネットワークを多数の仮想セグメントに分離するメカニズムです。便宜上、一般的に「トランキング」と呼ばれるプロセスを使用して、複数の選択した VLAN からのトラフィックを単一のネットワーク ケーブルを介して配信できます。
vSRX は、vSRX サーバーとゲートウェイ アプライアンスフィクスチャという 2 つの異なるインターフェイスで管理されます。関連付けられたVLAN内のサーバーは、vSRXを介してのみ他のVLANからアクセスできます。VLAN をバイパスまたはアソシエーション解除しない限り、vSRX を回避することはできません。
デフォルトでは、新しいゲートウェイ アプライアンスは、パブリック ネットワークとプライベート ネットワーク用にそれぞれ 1 つずつ、リムーバブルではない 2 つの「トランジット」VLAN に関連付けられています。これらのネットワークは通常、管理に使用され、vSRX コマンドで個別に保護できます。vSRX は、ゲートウェイ アプライアンスを介して関連付けられた VLAN を管理できます(のみ)。
「ゲートウェイ アプライアンスの詳細」画面から VLAN を管理する方法については、「VLAN の管理」を参照してください。
IBM© Cloud には複数のファイアウォールが用意されています。「 Exploring Firewalls」 セクションでは、サポートされているファイアウォール ソリューションを比較して、最適なソリューションを選択できます。
IBM Cloud の vSRX のメリット
IBM Cloud で vSRX をサポートすると、以下のメリットが得られます。
IPsec サイトツーサイト VPN トンネルを使用して、エンタープライズ データ センターやオフィスから IBM Cloud ネットワークへのセキュアな通信を行うことができます。
さまざまな独立したネットワーク上で実行される複数階層アプリケーション間の接続を柔軟に構築できます。
トンネルとダイレクトリンクソリューションを組み合わせて使用する場合、BGPはカスタムプライベートネットワーク設定に柔軟性を提供します。
ゲートウェイ アプライアンスは、vSRX に関連付ける VLAN を選択するためのインターフェイス(GUI および API)を提供します。VLAN とゲートウェイ アプライアンスの再ルート(または「トランク」)を関連付けることで、VLAN とそのサブネットすべてを vSRX に関連付けることで、フィルタリング、転送、保護を制御できます。
vSRX ライセンスの選択
IBM Cloud™ Juniper vSRX には、2 種類のライセンスが用意されています。
標準
コンテンツ セキュリティ バンドル(CSB)
各ライセンスには異なる機能とオプションのセットが含まれています。次の表に、違いの概要を示します。
vSRX の注文時にライセンス タイプを指定したり、ライセンスを変更したりするには、「 ゲートウェイ アプライアンスの詳細」を参照してください。
ライセンス タイプ |
機能 |
---|---|
標準 |
|
コンテンツ セキュリティ バンドル(CSB):次の列に示す追加機能とともに、すべての標準機能が含まれます。 |
|
vSRX の注文
IBM Cloud™ Juniper vSRX は、次の手順に従って注文できます。
ブラウザーから、 IBM Cloud カタログ の「ゲートウェイ・アプライアンス」ページを開き、アカウントにログインします。
このページにアクセスするには、 IBM Cloud UI コンソール にログインし、 クラシック・インフラストラクチャ > ネットワーク ・> ・ゲートウェイ・アプライアンスを選択します。または、 IBM Cloud カタログから 「ネットワーク」カテゴリー を選択し、「 ゲートウェイ・アプライアンス」 タイルを選択します。
ゲートウェイ ベンダーの下で、Juniper vSRX(最大 1 Gbps)または Juniper vSRX(最大 10 Gbps)を選択します。
標準またはCSBの ライセンスアドオンからライセンスタイプを選択します。各ライセンスで提供される機能の詳細については、「 vSRX ライセンスの選択 」セクションを参照してください。
[ ゲートウェイ アプライアンス ] セクションで、 ホスト名 と ドメイン 名を入力します。これらのフィールドにはデフォルト情報がすでに入力されているため、値が正しいことを確認します。
必要に応じて [高可用性 ] オプションをオンにし、データ センターの 場所、およびメニューから必要な特定の ポッド を選択します。
メモ:ここに表示されるのは、すでにVLANが関連付けられているポッドのみです。表示されないポッドでゲートウェイアプライアンスをプロビジョニングする場合は、まずそこにVLANを作成します。
[ 構成] セクションで、プロセッサの RAM を選択します。SSH キーを使用して新しいゲートウェイへのアクセスを認証する場合は、SSH キーを定義することもできます。
ステップ 2 で選択したライセンス バージョンに基づいて、適切なプロセッサが選択されます。ただし、異なる RAM 設定を選択することはできます。
[ ストレージ ディスク ] セクションで、ストレージ要件を満たすオプションを選択します。詳細なログを生成するネットワーク診断の実行を計画している場合は、デフォルトのディスク設定よりも多くを予約します。
RAID0およびRAID1オプションは、ホットスペア(プライマリコンポーネントに障害が発生した場合にすぐにサービスに配置できるバックアップコンポーネント)と同様に、データ損失に対する保護を追加できます。vSRX あたり最大 4 つのディスクを使用できます。RAID 構成を使用した「ディスク サイズ」は、RAID 設定がミラーリングされる際に使用可能なディスク サイズです。
[ ネットワーク インターフェイス ] セクションで、 アップリンク ポート速度を選択します。デフォルトの選択は単一のインターフェイスですが、冗長なオプションとプライベートのみのオプションもあります。お客様のニーズに最適なソリューションをお選びください。
[ネットワーク インターフェイス のアドオン] セクションでは、必要に応じて IPv6 アドレスを選択でき、追加のデフォルト オプションが表示されます。
選択内容を確認し、サードパーティーサービス契約を読み終えているか確認して、[ 作成] をクリックします。注文は自動的に検証されます。
注文が承認されると、IBM Cloud™ Juniper vSRX ゲートウェイのプロビジョニングが自動的に開始されます。プロビジョニング プロセスが完了すると、新しい vSRX が ゲートウェイ アプライアンス リスト ページに表示されます。ゲートウェイ名をクリックして[ゲートウェイの詳細]ページを開きます。デバイスの IP アドレス、ログイン ユーザー名、パスワードが表示されます。IBM Cloud カタログからゲートウェイを注文および構成した後、同じ設定でデバイス自体も構成する必要があります。