このページで

マーケットプレイスランチャーからvSRX仮想ファイアウォールファイアウォールを導入する
カスタムプライベートイメージを使用して、GCPポータルからvSRX仮想ファイアウォールインスタンスを導入する
Cloud-init を使用した vSRX 仮想ファイアウォールファイアウォールの導入

Google Cloud PlatformにvSRX仮想ファイアウォールを導入

以下の手順では、Google Virtual Private Cloud(VPC)にvSRX仮想ファイアウォールを導入する方法を説明します。

Google Cloud Platform Marketplace から vSRX 仮想ファイアウォールファイアウォールを導入します。
カスタムプライベートイメージを使用して、GCP ポータルから vSRX 仮想ファイアウォールファイアウォールを導入します。
クラウド init を使用して、CLI を使用して gcloud 経由で vSRX 仮想ファイアウォールファイアウォールを導入します。

マーケットプレイスランチャーからvSRX仮想ファイアウォールファイアウォールを導入する

Google Cloud Platform Marketplace を使用すると、Google Compute Engine インスタンスで実行されている仮想マシン(VM)としてライセンスを使用して vSRX3.0 を導入できます。

vSRX 仮想ファイアウォールを導入する前に、組織内でプロジェクトを作成または選択し、ファイアウォールに接続するネットワークとサブネットを作成する必要があります。同じ VPC ネットワークに複数のネットワークインターフェイスをアタッチすることはできません。作成するすべてのインターフェイスには、少なくとも1つのサブネットを持つ専用ネットワークが必要です。

このトピックでは、Google Cloud Platform Marketplace Launcher から vSRX 仮想ファイアウォールファイアウォールを導入する手順を説明します。

Google Cloud Platform コンソールにログインします。
左側のナビゲーション領域で、Marketplace を選択します。
マーケットプレイスで vSRX 仮想ファイアウォールの一覧を見つける。
[検索] ボックスに「Juniper」または「vSRX 仮想ファイアウォール」と入力し、ライセンス要件に基づいて以下のオプションのいずれかをクリックします( 図 1 を参照)。

画像はクラウドから入手できます。
- vSRX仮想ファイアウォール次世代ファイアウォール
- vSRX 仮想ファイアウォール次世代ファイアウォール-BYOL
- vSRX仮想ファイアウォールアンチウイルス保護を備えた次世代ファイアウォール
図 1:GCP Marketplace での vSRX 仮想ファイアウォールリストの検索
コンピュートエンジンの [Launch](起動 )をクリックします。展開ページは、図 2 に示すように表示されます。

図 2: Marketplace から GCP で vSRX 仮想ファイアウォールインスタンスを起動する
インスタンスに名前を付け、リソースを選択します。
vSRX 仮想ファイアウォール VM の詳細を入力します。
- Deployment Name—vSRX 仮想ファイアウォール VM の一意の名前を入力します。
- Machine typeライセンスのシステム要件に基づいてマシンタイプを選択します。
- SSH key前に作成した公開 SSH キーを貼り付けます。
  - テキスト gcp-user の後にキーを貼り付けます。
    
    メモ：
    vSRX 仮想ファイアウォールに初めて vSRX 仮想ファイアウォールにログインする場合は、ユーザー名として「gcp-user」を使用する必要があります。
  - [プロジェクト全体の SSH キーをブロック]オプションを選択します。
- Network interfacesVPCネットワークとサブネットを選択します。この vSRX 仮想ファイアウォール VM に対して選択したゾーン用に作成したサブネットのみを追加できます。
- IP Forwarding—デフォルト値をOnに維持します。これは、vSRX 仮想ファイアウォール VM の必須要件です。
- Enable External IP一時的なオプションを選択します。この設定により、GCP は外部 IP アドレスとして機能する一時的な IP アドレスを提供できます。
- Allow HTTP traffic from the Internet—既定値は選択したとおりに維持します。絶対に必要でない限り、HTTPアクセスを提供しないことをお勧めします。
- Allow TCP port 22 traffic from the Internet—既定値は選択したとおりに維持します。F またはセキュリティ上の理由から、vSRX 仮想ファイアウォールにアクセスするには、特定の IP アドレスにのみ SSH アクセスを制限することをお勧めします。
インスタンスに名前を付け、リソースを選択します( 図 3 参照)。

図 3: GCP Marketplace で vSRX 仮想ファイアウォールインスタンスに名前を付け、リソースを選択する
1. 導入名を選択します。名前は一意である必要があり、プロジェクト内の他のデプロイと競合することはできません。
2. ゾーンを選択します。
3. マシンタイプを選択します。
4. 図 4 に示すように、SSH キーを設定します。
  
  図 4: SSH キー
5. ネットワークとサブネットを設定します。
6. 図 5 に示すように、IP 転送を「オン(vSRX 仮想ファイアウォールの導入では必須)」のままにします。
  
  図 5:IP 転送設定
GCP Marketplace サービス利用規約に同意します。
[ 導入] をクリックします。

vSRX 仮想ファイアウォールの導入状況がシステムに表示されます。展開が正常に完了したことを示すメッセージが表示され、そのメッセージに対して電子メール通知が送信されます。
VM をクリックして詳細を表示します。VM の詳細を表示するには、左側のナビゲーション領域の [COMPUTE] の下にあるコンピュートエンジンに移動します。

ネットワークインターフェイスの下に表示される外部 IP アドレスをメモします。このアドレスは、後で CLI を使用して vSRX 仮想ファイアウォールインスタンスにログオンする必要があります。
vSRX 仮想ファイアウォールインスタンスにログインします。
GCP 導入では、vSRX 仮想ファイアウォールインスタンスはデフォルトで以下の機能を提供し、セキュリティを強化します。
- SSH 経由でのみログインすることを許可します。
- cloud-initはSSHキーログインの設定に使用されます。
- rootアカウントでは、SSHパスワードログインは無効になっています。
メモ：
SSHパスワードを使用したルートログインは、デフォルトで無効になっています。

SSHクライアントを使用して、初めてvSRX仮想ファイアウォールインスタンスにログインします。ログインするには、ユーザーアカウントのSSHキーペアファイルを保存した場所と、vSRX仮想ファイアウォール管理インターフェイス(fxp0)に割り当てられたIPアドレスを指定します。

メモ：
Junos OSパスワードを使用したルートログインは、デフォルトで無効になっています。Junos OS の最初のセットアップフェーズの後に、他のユーザーを設定できます。

キーペアファイル名とIPアドレスがない場合は、次の手順に従ってvSRX仮想ファイアウォールインスタンスのキーペア名とIPを表示します。
1. GCP ポータルで、[インスタンス] を選択します。
2. vSRX 仮想ファイアウォールインスタンスを選択し、[Description] タブで eth0 を選択して fxp0 管理インターフェイスの IP アドレスを表示します。
3. インスタンスリストの上にある[ 接続 ]をクリックして、SSHキーペアファイル名を表示します。
vSRX仮想ファイアウォールインスタンスの基本設定を構成するには、 CLIを使用したvSRXの設定を参照してください。

メモ：
gcloud と vSRX 仮想ファイアウォールの接続はサポートされていません。インスタンスが起動した後は、必ずユーザー提供のキーでsshを使用してvSRX仮想ファイアウォールに接続します。

カスタムプライベートイメージを使用して、GCPポータルからvSRX仮想ファイアウォールインスタンスを導入する

また、カスタムプライベートイメージを使用して、GCP マーケットプレイスからイメージを導入する代わりに、vSRX 仮想ファイアウォールを導入することもできます。まず、プライベートイメージを Google Cloud ストレージにアップロードし、GCP でコンピュートイメージを作成してから、Google Compute Engine に vSRX 仮想ファイアウォールを導入する必要があります。

ビデオを見る Google Cloud Platform に vSRX 仮想ファイアウォールを導入して、GCP から vSRX 仮想ファイアウォールインスタンスを導入する方法についてご確認ください。

vSRX仮想ファイアウォールイメージをGoogle Cloudストレージにアップロードする
vSRX仮想ファイアウォールの画像を作成する
GCP ポータルから vSRX 仮想ファイアウォールファイアウォールを導入する

vSRX仮想ファイアウォールイメージをGoogle Cloudストレージにアップロードする

vSRX 仮想ファイアウォールイメージを Google Cloud Storage にアップロードするには、次の手順に示します。

プライベートvSRX仮想ファイアウォールイメージファイルを準備します。
カスタムイメージは、プライベートなブートディスクイメージです。ディスクイメージを Google Compute Engine にインポートするには、イメージファイルが次の要件を満たす必要があります。
- ディスクイメージファイル名は disk.raw である必要があります。
- RAW イメージファイルのサイズは 1 GB 単位で指定する必要があります。例えば、ファイルは 10 GB または 11 GB である必要がありますが、10.5 GB ではありません。
- 圧縮ファイルは、gzip 圧縮と GNU tar 形式を使用する .tar.gz ファイルでなければなりません。
qcow2 vSRX 仮想ファイアウォールイメージを使用して .tar.gz ファイルを生成するには、以下の手順に従ってアップロードを処理します。
1. qcow2 を "disk.raw" に変換します(disk.raw は google クラウド導入の指定名です)。
  
  qemu-img convert -f qcow2 -O raw junos-vsrx3-x86-64-19.2I-20190115_dev_common.0.1057.qcow2 disk.raw
2. tgz ファイルに圧縮します。
  
  tar -czf vsrx-0115.tar.gz disk.raw
画像を Google Cloud Storage にアップロードします。カスタムプライベートイメージは、2つの方法でアップロードできます。
- SDKシェルで画像をアップロード
- Google Cloud Platform ポータルから画像をアップロード

SDKシェルから画像をアップロード:

UbuntuにGoogleクラウドSDKをインストールします。

運用システムに Google Cloud SDK をインストールする必要があります。Ubuntuにインストールするためのサンプルを以下に示します。

UbuntuへのGoogle Cloud SDKのインストールの詳細については、「 https://cloud.google.com/sdk/docs/quickstart-debian-ubuntu とGcloudコマンドラインツールの概要」を参照してください https://cloud.google.com/sdk/gcloud/。

SDKシェルから画像をアップロードするには:

Googleクラウドストレージを作成します。

gs://vsrx-image
ディスクを raw からクラウドストレージにコピーします。

gsutil cp vsrx-0115.tar.gz gs://vsrx-image

Google クラウドプラットフォームポータルから画像をアップロードするには、

[ ストレージ->バケット>アップロードファイルを作成します( 図 6 参照)。

図 6:GCP ポータルからの vSRX 仮想ファイアウォールイメージのアップロード
プライベートイメージがGoogleクラウドストレージで利用可能であることを確認する。図7に示すように、Googleクラウドプラットフォームウェブでストレージ - >バケットの詳細を選択します。

図 7: GCP ポータルのプライベートイメージの表示

vSRX仮想ファイアウォールの画像を作成する

vSRX仮想ファイアウォールイメージファイルをGCPストレージにアップロードした後、vSRX仮想ファイアウォールを導入するためのGCPコンピューティングイメージを作成する必要があります。

クラウドでイメージを作成します。

GCP プロジェクトストレージで準備済みパッケージを使用して vSRX 仮想ファイアウォールイメージを作成するサンプルを以下に示します。「multi_ip_subnet」のオプションは必須です。

gcloud compute images create vsrx-0115 '--guest-os-features=multi_ip_subnet' --source-uri=gs://vsrx-image/vsrx-0115.tar.gz
プライベートイメージがGoogle Cloud Compute Engineで利用可能であることを確認してください。

root@cnrd-ubuntu173:~# gcloud compute images list | grep vsrx3-194* vsrx-0115. vsrx3-218606 READY

Using Google Console

Google コンソールを使用してイメージファイルの名前を変更することもできます。

Google アカウントにログインし、 Google Cloud Platform ホームページを開きます。
Google クラウドプラットフォームページの[画像] オプションをクリックします。図 8 に示すように、[イメージの作成] ページが開きます。

図 8: Google Cloud Platform の画像作成ページ
[イメージの作成] ページで必要な詳細を入力し、[作成] をクリックします。

メモ：
vSRX 仮想ファイアウォールに初めて vSRX 仮想ファイアウォールにログインする場合は、ユーザー名として「gcp-user」を使用する必要があります。
Google Cloud Compute Engine で利用できるプライベートイメージを確認します。Google Cloud Platform Web で、図 9 に示すように[コンピューティングエンジン->画像]をクリックします。

図 9: Google Cloud Compute Engine でプライベートイメージを確認する

GCP ポータルから vSRX 仮想ファイアウォールファイアウォールを導入する

vSRX 仮想ファイアウォールインスタンスを導入するには、以下の手順に従います。

Google Cloud Platform ポータルにログインし、コンピュートエンジン -> VM インスタンスにアクセスし、[ インスタンスの作成] をクリックします。

vSRX仮想ファイアウォールインスタンスを設定します。

Name— インスタンスに一意の名前を指定します。
RegionvSRX仮想ファイアウォールを導入する適切なリージョンを選択し、同じリージョンにサブネットを適切なVPCネットワークにすでに作成する必要があります。
Machine configuration -適切なマシンタイプを選択します。
Container -オフにする
Boot Disk—図 10 に示すように、[カスタムイメージ] タブでプライベートイメージを選択します。プライベートイメージを Google Cloud ストレージにアップロードしておく必要があります。

図 10:カスタムイメージからのブートディスク
Identity and API accessデフォルトを設定
Firewall / Management デフォルトを設定
Firewall / Security-SSHキーペアをここに貼り付けます。詳細については、「GCP で vSRX 仮想ファイアウォールをセットアップする – SSH キー」を参照してください。
Firewall / Disksデフォルトを設定

Firewall / Networking:

表 1:ファイアウォールネットワーク
ファイアウォール/ネットワーク	詳細
ホスト	オプションで、ルート設定に使用するインスタンスのタグを指定できます。
ネットワークインターフェイス	既定
	同じリージョン内の既存の VPC ネットワークとサブネットにインターフェイスを設定できます。インターフェイス番号、インターフェイスの順序と管理インターフェイスの設定。

[作成] をクリックします。
vSRX 仮想ファイアウォールインスタンスにログインします。
GCP 導入では、vSRX 仮想ファイアウォールインスタンスはデフォルトで以下の機能を提供し、セキュリティを強化します。
- SSH 経由でのみログインすることを許可します。
- rootアカウントでは、SSHパスワードログインは無効になっています。
メモ：
Junos OSパスワードまたはSSHパスワードを使用したRootログインは、デフォルトで無効になっています。Junos OS の最初のセットアップフェーズの後に、他のユーザーを設定できます。

SSHクライアントを使用して、初めてvSRX仮想ファイアウォールインスタンスにログインします。ログインするには、ユーザーアカウントのSSHキーペアファイルを保存した場所と、vSRX仮想ファイアウォール管理インターフェイス(fxp0)に割り当てられたIPアドレスを指定します。

メモ：
vSRX 仮想ファイアウォールに初めて vSRX 仮想ファイアウォールにログインする場合は、ユーザー名として「gcp-user」を使用する必要があります。

キーペアファイル名とIPアドレスがない場合は、次の手順に従ってvSRX仮想ファイアウォールインスタンスのキーペア名とIPを表示します。
1. GCP ポータルで、[インスタンス] を選択します。
2. vSRX 仮想ファイアウォールインスタンスを選択し、[Description] タブで eth0 を選択して fxp0 管理インターフェイスの IP アドレスを表示します。
3. インスタンスリストの上にある[ 接続 ]をクリックして、SSHキーペアファイル名を表示します。
vSRX仮想ファイアウォールインスタンスの基本設定を構成するには、 CLIを使用したvSRXの設定を参照してください。

メモ：
gcloud と vSRX 仮想ファイアウォールの接続はサポートされていません。インスタンスが起動した後は、必ずユーザー提供のキーでsshを使用してvSRX仮想ファイアウォールに接続します。

Cloud-init を使用した vSRX 仮想ファイアウォールファイアウォールの導入

vSRX 仮想ファイアウォールはクラウド init をサポートします。Cloud-initは、クラウドインスタンスの初期初期化を処理するオープンソースのマルチディストリビューションパッケージです。これにより、最初の起動時にホスト名やデフォルトIPなどの属性を使用してVMインスタンスをカスタマイズできます。Cloud-init は、ユーザーが自動化ツールを使用してデータセンターに多数の VM インスタンスを導入したい場合に特に便利です。

最初のブートの最初のプロビジョニングパラメーターの一部は次のとおりです。

ホスト
root パスワード
SSHパブリックキー

メモ：
sshキーファイルの場合は、google cloudで必要に応じて、「< ユーザー名>:<キー値>」の形式にする必要があります。このようなもの:
管理インターフェイス(fxp0)IP
デフォルトゲートウェイIP

クラウド init を使用して vSRX 仮想ファイアウォールファイアウォールを導入できるのは、次の 2 つの方法です。

Google SDK から
Google ポータルからクラウド init を使用して vSRX 仮想ファイアウォールを導入するには、 GCP ポータルから vSRX 仮想ファイアウォールを導入するをご覧ください。クラウドを有効にしてユーザーデータを追加するには、メタデータを指定します。

GCE は、クラウド init タイプのインスタンス構成をサポートします。ユーザーデータを含むインスタンスを起動するには、以下のコマンドを例として使用します。

図 11: Cloud-Init の設定 Sample Cloud-Init Configuration

例

以下の点にご注意ください。

junos.conf は、コンテンツに「#junos-config」を含む設定ファイルです。
gcp-user.pubはsshパブリックキーです
vSRX仮想ファイアウォール3.0はRSAキーペアのみをサポート

SSHキーファイルの場合は、Googleクラウドの必要に応じて形式 <username>:<key value> にする必要があります。以下のサンプルSSHキーファイルを参照してください。

junos.confでは、ユーザーデータの「gcp-default」ブロックを削除してください。vSRX 仮想ファイアウォール init スクリプトによって作成されたシャドウが作成されます。junos構成のサンプルを参照してください

メモ：

gcloud と vSRX 仮想ファイアウォールの接続はサポートされていません。インスタンスが起動した後は、必ずユーザー提供のキーでsshを使用してvSRX仮想ファイアウォールに接続します。