Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページで
 

GCP での vSRX 仮想ファイアウォール導入のセットアップの準備

開始する前に、Google アカウントと ID およびアクセス管理(IAM)ロールが必要です。このロールには、コンピュート エンジン インスタンスとストレージ サービス、および Google の VPC オブジェクトへのアクセス、作成、変更、削除に必要なすべてのアクセス許可が必要です。また、アクセス キーと、対応するシークレット アクセス キー、証明書、アカウント識別子も作成する必要があります。

図 1 は、vSRX 仮想ファイアウォールを導入して、Google VPC のプライベート サブネットで実行されるアプリケーションにセキュリティを提供する方法の例を示しています。

図 1:Google VPC Example of a Google VPC の例

Google Cloud Platform で vSRX 仮想ファイアウォール 3.0 ファイアウォールを設定し、Google Cloud Platform(GCP)上の Google Cloud Computer Engine インスタンスに vSRX 仮想ファイアウォール 3.0 ファイアウォールを導入する必要があります。

vSRX仮想ファイアウォール3.0を展開する前に、プロジェクトネットワークとサブネットワークを作成し、vSRX仮想ファイアウォールインターフェイスのネットワークとIPアドレスの割り当てを計画する必要があります。導入中は、既存のネットワークとサブネットワークから選択する必要があります。

SubnetworksvSRX 仮想ファイアウォールの導入を計画している特定のリージョンの各 VPC ネットワークにサブネットワークを作成する必要があります。VPCネットワークは、異なる地域にサブネットワークを追加できます。これらのサブネットワークはすべて GCP の内部ネットワークです。

  • IP Addressインターフェイスサブネットワークを作成する場合、IPアドレス範囲を割り当てる必要があります。

  • Range—ネットワークサブネットの範囲を他のサブネットと重複することはできません。

  • External IP AddressvSRX 仮想ファイアウォールの導入時に、vSRX 仮想ファイアウォールのネットワーク インターフェイスを作成する際に、外部 IP アドレスの有効化または無効化を選択できます。デフォルトでは、一時的な IP アドレスが自動割り当てられます。また、ネットワーク インターフェイスの作成時に静的アドレスを指定することもできます。

  • Management InterfacevSRX 仮想ファイアウォールに追加された最初のネットワーク インターフェイスは、vSRX 仮想ファイアウォール上の fxp0 にマッピングされます。

    • IP 転送を有効にする

    • このインターフェイスには外部IPアドレスがあります。

    • vSRX 仮想ファイアウォールでは、DHCP はデフォルトで fxp0 に対応しています。

    • 導入完了後に、導入時に指定した一時的な IP アドレスを静的 IP アドレスに変更できます。

  • Interface Order最初のネットワーク インターフェイスは fxp0 にマッピングされ、2 番目のネットワーク インターフェイスは ge-0/0/0 に、第 3 のネットワーク インターフェイスは ge-0/0/1 にマッピングされます。

  • Number of vSRX Interfaces

    • vSRX 仮想ファイアウォール インスタンスごとに許可される仮想インターフェイスの最大数は 8 です。

    • vSRX 仮想ファイアウォール インスタンスを作成するには、マシン タイプを指定する必要があります。マシン タイプは、メモリ サイズ、仮想 CPU カウント、最大ディスク容量など、VM インスタンスで使用可能な仮想ハードウェア リソースの特定のコレクションを指定します。

    • Default VPC Network—GCPプロジェクトにはデフォルトのネットワークがあり、使用されていない場合はデフォルトネットワークを削除できます。プロジェクトでは、デフォルトで 5 つのネットワークが使用されます。プロジェクトの追加ネットワークをリクエストできます。

    • Firewall Rules管理接続へのアクセスを許可するには、GCP ファイアウォール ルールを作成する必要があります。

開始する前に、以下の準備が整っていることを確認します。

  • Google Cloud Platform アカウントプランニング

  • SSHキーペア

  • 仮想プライベート クラウド(VPC)ネットワーク計画

ステップ 1:Google Cloud Platform アカウント計画

vSRX 仮想ファイアウォール VM の導入を開始する前に、ライセンス情報を確認し、構成プロセスに必要な情報を収集します。

  1. vSRX 仮想ファイアウォール ライセンス要件を理解する。
  2. 管理やその他のインターフェイスのプライベート IP アドレスを決定します。
  3. GCP アカウントに必要なアクセス許可を取得します。

    • リンクされた電子メール アドレスを持つ GCP ユーザー アカウント

    • コンピューティング ビューアー、ストレージ オブジェクト ビューアー、および監視メトリック ライターとしてのアイデンティティおよびアクセス管理(IAM) ロール。

    Accounts and Permissions—Google Computer Engine インスタンスに vSRX 仮想ファイアウォール 3.0 を導入する前に、適切なアカウントと権限があることを確認します。アカウントロールと IAM 権限の例を図 2 に示します。

    図 2: アカウントロールの例と IAM アクセス許可 Sample Account Roles and IAM Permissions

ステップ 2: ネットワーク属性を定義し、認証のための SSH キー ペアを生成する

以下の手順では、ネットワーク属性を定義し、独自のSSHキーペアを生成して、初めてログインできるようにする手順を示します。

  1. マシン タイプを選択した後、VM の高度なオプションでネットワーク属性を定義する必要があります。

    ホーム ページの [VM インスタンス] タブをクリックし、図 3 に示すように [ネットワーク] タブクリックします。ネットワーク属性を更新し、必要なインターフェイスを追加します。

    図 3:ネットワーク属性の Define Network Attributes定義

    各 vSRX 仮想ファイアウォール インスタンスに対して最大 8 個のインターフェイスを追加できます。

    メモ:

    仮想インターフェイス タイプを選択することはできません。GCP は、VirtIO インターフェイス タイプのみをサポートします。SR-IOV は GCP ではサポートされていません。
  2. vSRX仮想ファイアウォールは、RSA SSHキー認証を介してのみ、最初のログインの認証を管理します。パスワードは許可されないため、GCP Web 上のコンソールから vSRX 仮想ファイアウォールにログインすることはできません。パスワードなしの root ログインは許可されません。そのため、Google コンピューティング エンジンに vSRX 仮想ファイアウォール インスタンスを導入する前に、独自の SSH キーを生成する必要があります。

    公開鍵と秘密鍵を生成します。SSHキーペアを作成し、SSHキーをオペレーションシステムのデフォルトの場所に保存します。

    • LinuxまたはMacOSを使用している場合:ssh-keygenを使用して.sshディレクトリにキーペアを作成します。コマンドを ssh-keygen -t rsa -f ~/.ssh/gcp-user-1 -C gcp-user 実行します。 ここでgcp-user-1 はキーファイルの名前で 、gcp-user はユーザー名です。

      メモ:

      vSRX 仮想ファイアウォールに初めて vSRX 仮想ファイアウォールにログインする場合は、ユーザー名として「gcp-user」を使用する必要があります。

    • Windows を使用している場合: PuTTYgen を使用してキー ペアを作成します。

  3. テキストエディタで公開キーをコピーします。後で貼り付けて、GCP Marketplace に vSRX 仮想ファイアウォールを導入する必要があります。
  4. プロジェクト全体のSSHキーをブロックし、各vSRX仮想ファイアウォールインスタンスにSSHキーを指定します。

    図 4 に示すように、[VM インスタンス] ページの [SSH キー] タブをクリックします。

    メモ:

    SSHキーは、最初のログインの公開キー認証によって使用されます。セキュリティ測定として、プロジェクト全体のSSHキーをブロックし、各vSRX仮想ファイアウォールインスタンスにSSHキーを指定する必要があります。
    図 4:プロジェクト全体の SSH キー Block Project-Wide SSH Keysをブロックする
  5. プライベートキーを.ppk形式で保存します。vSRX仮想ファイアウォールインスタンスを認証するには、後でこのキーが必要です。

ステップ 3:Google Virtual Private Cloud(VPC)ネットワークを計画する

Google Cloud Platform で仮想プライベート クラウド(VPC)ネットワークを準備します。GCP で vSRX 仮想ファイアウォールの導入を開始する前に、仮想プライベート ネットワーク、ルール、サブネットワークを作成し、インターフェイスを設定する必要があります。

  1. Google Cloud コンソールにログインします。
  2. VPC Networks—各 vSRX 仮想ファイアウォール ネットワーク インターフェイス専用のカスタム ネットワークを作成する必要があります。

    左側のナビゲーション領域で、[NETWORKING] の下にある [VPC ネットワーク] をクリックします。

  3. 上部ウィンドウで、[ VPC ネットワークの作成] をクリックします。
  4. ネットワークの名前を入力します。
  5. 以下の詳細を含むサブネットワークを作成し、[ 作成] をクリックします。

    • 名前 — サブネットワークの名前。

    • IPアドレス —インターフェイスサブネットワークを作成するためのIPアドレス範囲を割り当てます。この範囲は内部ネットワークに使用されるため、アドレス範囲が他のサブネットと重複しないようにします。

    • リージョン — vSRX 仮想ファイアウォール VM を起動するリージョンを選択します。

    • プライベート Google アクセス - デフォルト値を [オフ] に維持します。

    • フロー ログ — デフォルト値を [オフ] に維持します。