Google Cloud Platform での vSRX 仮想ファイアウォールの要件
Google コンピューティング エンジン インスタンス タイプ
vSRX 仮想ファイアウォール インスタンスを作成するには、マシン タイプを選択する必要があります。マシン タイプは、メモリ サイズ、vCPU カウント、最大ディスク容量など、VM インスタンスで使用可能な仮想化ハードウェア リソースの特定のコレクションを指定します。
Google Compute Engine を使用すると、ニーズに応じて、事前定義されたマシンやインスタンスのタイプ、またはカスタマイズされたマシンやインスタンスのタイプを使用できます。 表 1 は、Google コンピューティング エンジンで使用可能な事前定義されたマシン タイプを示しています。
マシン名 |
説明 |
Vcpu |
メモリ(GB) |
vSRX 仮想ファイアウォール 3.0 インスタンス |
永続的ディスクの最大数 |
最大永続ディスク・サイズ(TB) |
RSS タイプ |
---|---|---|---|---|---|---|---|
n1-standard-4 |
4個のvCPUと15 GBのメモリを備えた標準マシンタイプ |
4 |
15 |
vSRX仮想ファイアウォール-4CPU-15Gメモリ |
16 |
64 |
SWRSS |
n1-standard-8 |
8個のvCPUと30 GBのメモリを備えた標準マシンタイプ |
8 |
30 |
vSRX仮想ファイアウォール-8CPU-30Gメモリ |
16 |
64 |
SWRSS |
n1-standard-16 |
16個のvCPUと60 GBのメモリを備えた標準マシンタイプ |
16 |
60 |
vSRX仮想ファイアウォール-16CPU-60Gメモリ |
16 |
64 |
SWRSS |
1 つの Google Compute Engine インスタンスで、最大 8 個のネットワーク インターフェイスをサポートします。8つのインターフェイスを設定する場合は、n1-standard-8またはより大きなマシンタイプを選択します。マシンタイプを選択した後、VMのネットワーク属性とSSHキーを定義します。ネットワークインターフェイスの詳細については、 複数のネットワーク インターフェイスを持つインスタンスの作成を参照してください。
Google Cloud向けvSRX仮想ファイアウォールのサポート
Junos OSリリース19.2R1以降、1つのJunosコントロールプレーン(JCP)vCPU、1つのデータプレーンvCPU、4 GBのvRAMを備えたvSRX仮想ファイアウォールがサポートされています。
GCP 向け vSRX 仮想ファイアウォールの仕様
このトピックでは、Google で vSRX 仮想ファイアウォールを導入するためのハードウェアとソフトウェアの要件について詳しく説明します。
- Google Cloud Platform の最小システム要件
- Google Cloud での vSRX 仮想ファイアウォールのインターフェイス マッピング
- GCP の vSRX 仮想ファイアウォールのデフォルト設定
Google Cloud Platform の最小システム要件
表 2 は、GCP に導入する vSRX 仮想ファイアウォール インスタンスに対して特定のソフトウェア仕様が導入された最小システム要件と Junos OS リリースを示しています。
コンポーネント |
仕様 |
リリースを導入 |
---|---|---|
メモリ |
4 GB |
Junos OS リリース 19.2R1 |
ディスク容量 |
19 GB IDEドライブ |
Junos OS リリース 19.2R1 |
Vcpu |
1 Junos コントロール プレーン(JCP)vCPU および 1 つのデータ プレーン vCPU |
Junos OS リリース 19.2R1 |
vNIC |
2~8 個の vNIC
|
Junos OS リリース 19.2R1 |
ソフトウェア機能ライセンス |
詳細については、ジュニパー製品の フレックスソフトウェアサブスクリプションモデル と ジュニパーフレックスプログラムサポートを参照してください。 |
Na |
ソフトウェアパッケージ |
Googleコンピューティングエンジンには、Googleクラウドスペースにインポートされたブート可能なイメージに固有の要件があります。詳細については、 https://cloud.google.com/compute/docs/ イメージ/import-existing-image#create_ image_fileを参照してください。 初期導入では.imgファイルが使用され、ソフトウェアアップグレードには.tgzイメージが使用されます。 |
Na |
Google Cloud での vSRX 仮想ファイアウォールのインターフェイス マッピング
vSRX 仮想ファイアウォール用に定義された各ネットワーク アダプターは、vSRX 仮想ファイアウォール インスタンスがスタンドアロン VM であるか、高可用性のクラスター ペアの 1 つであるかに応じて、特定のインターフェイスにマッピングされます。vSRX仮想ファイアウォールのインターフェイス名とマッピングを 表3に示します。
以下の点に注意してください。
スタンドアロンモードの場合:
fxp0 は、アウトオブバンド管理インターフェイスです。
ge-0/0/0 は、最初のトラフィック(収益)インターフェイスです。
表 3 は、Google クラウド上のスタンドアロン vSRX 仮想ファイアウォールのインターフェイス名とマッピングを示しています。
ネットワーク アダプター |
vSRX仮想ファイアウォール向けJunos OSのインターフェイス名 |
---|---|
1 |
fxp0 |
2 |
ge-0/0/0 |
3 |
ge-0/0/1 |
4 |
ge-0/0/2 |
5 |
ge-0/0/3 |
6 |
ge-0/0/4 |
7 |
ge-0/0/5 |
8 |
ge-0/0/6 |
GCP の vSRX 仮想ファイアウォールのデフォルト設定
vSRX 仮想ファイアウォールには、以下の基本設定が必要です。
インターフェイスにはIPアドレスを割り当てる必要があります。
インターフェイスはゾーンにバインドされている必要があります。
トラフィックを許可または拒否するには、ゾーン間でポリシーを設定する必要があります。
表 4 は、vSRX 仮想ファイアウォール インスタンスにおけるセキュリティ ポリシーの工場出荷時のデフォルト設定を示しています。
ソース ゾーン |
宛先ゾーン |
ポリシーアクション |
---|---|---|
信頼 |
untrust |
許可 |
信頼 |
信頼 |
許可 |
untrust |
信頼 |
拒否 |