Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Amazon vSRX 프라이빗 클라우드에서 새로운 인스턴스 실행

다음 절차는 Amazon VPC(Amazon Virtual Private Cloud)에서 vSRX 인스턴스를 실행하고 구성하는 방법을 설명합니다.

1단계: SSH 키 쌍 생성

AWS의 모든 인스턴스에 원격으로 액세스하려면 SSH vSRX 키 쌍이 필요합니다. Amazon EC2 Dashboard에서 새 키 쌍을 만들거나 다른 도구에 의해 생성된 키 쌍을 가져올 수 있습니다.

SSH 키 쌍을 생성하는 경우:

  1. AWS 관리 콘솔에 로그인하고 EC2의컴퓨팅 > 서비스를 >.
  2. Amazon EC2 Dashboard 좌측 창에서 쌍을 선택합니다. 툴바에 표시된 지역 이름이 Amazon VPC(Virtual Private Cloud)를 생성한 지역과 동일한지 확인
    그림 1: 지역 검증 Verify Region
  3. Create Key Pair를 클릭하고키 쌍 이름을 지정하고 Create을 클릭합니다.
  4. 개인 키 파일(.pem)은 자동으로 컴퓨터로 다운로드됩니다. 다운로드한 프라이빗 키 파일을 안전한 위치로 이동

  5. Mac 또는 Linux 컴퓨터의 SSH 클라이언트를 사용하여 vSRX 인스턴스에 연결하려면 다음 명령을 사용하여 사설 키 파일의 권한을 설정하여 읽기만 할 수 있습니다.

  6. 쉘 프롬프트에서 vSRX 인스턴스에 액세스하기 위해 해당 명령을 ssh -i <full path to your keyfile.pem>/<ssh-key-pair-name>.pem ec2-user@<public-ip-of-vsrx> 사용하여 키 파일이 현재 디렉토리에 있는 경우 전체 경로 대신 으로 파일 이름을 사용할 수 ssh -i <keyfile.pem>/<ssh-key-pair-name>.pem ec2-user@<public-ip-of-vsrx> 있습니다.
참고:

또는 Import Key Pair를 사용하여 타사 툴을 사용하여 생성한 다른 키 쌍을 가져오는 방법을 사용할 수 있습니다.

키 로테이션에 대한 자세한 내용은 을 참조하십시오. https://docs.aws.amazon.com/kms/latest/developerguide/rotate-keys.html.

2단계: 인스턴스 vSRX 실행

지원되는 AWS 인스턴스 유형은 vSRX 표 1에 나열되어 있습니다.

vSRX M 및 C3 인스턴스 유형을 지원하지 않습니다. 이러한 유형의 인스턴스를 vSRX 스폰된 경우 인스턴스 유형을 C4 또는 C5 인스턴스 유형으로 변경해야 합니다.

표 1: 지원되는 AWS 인스턴스 vSRX

인스턴스 유형

vSRX 유형

vCPUS

메모리(GB)

c4.xlarge

VSRX-4CPU-7G 메모리

4

7.5

c4.2xlarge

VSRX-8CPU-15G 메모리

8

15

c4.4xlarge

VSRX-16CPU-30G 메모리

16

30

c4.8xlarge

VSRX-36CPU-60G 메모리

36

60

c5.large

VSRX-2CPU-3G 메모리

2

4

c5.2xlarge

VSRX-8CPU-15G 메모리

8

16

c5.4xlarge

VSRX-16CPU-31G 메모리

16

32

c5n.2xlarge

VSRX-8CPU-20G 메모리

8

21

c5n.4xlarge

VSRX-16CPU-41G 메모리

16

42

c5n.9xlarge

VSRX-36CPU-93G 메모리

36

96

모범 사례:

Instance Type Selection—네트워크에 필요한 변화에 따라 인스턴스가 과도하게 사용되거나(예: 인스턴스 유형이 너무 작음) 또는 사용이 과도하게 사용 중일 수 있습니다. 이 경우 인스턴스 크기를 변경할 수 있습니다. 예를 들어, 인스턴스가 워크로드에 너무 작아도 워크로드에 적합한 다른 인스턴스 유형으로 변경할 수 있습니다. 또한 이전 세대 인스턴스 유형에서 일부 기능을 활용하기 위해 현재 세대 인스턴스 유형으로 마이그레이션해야 할 수도 있습니다. 예를 들어 IPv6 지원과 같은 것입니다. 더 나은 성능과 성능을 위해 인스턴스의 변경을 고려합니다.

릴리스 Junos OS 시작 18.4R1 c5.large vSRX 인스턴스가 지원됩니다. 이는 비용 효율적이고 더 나은 성능과 성능을 제공합니다.

Amazon VPC에서 vSRX 인스턴스를 실행하기 위해 다음을 실행합니다.

  1. Amazon EC2 Dashboard에서 왼쪽 창에서 인스턴스를 선택합니다.
  2. Launch Instance를 클릭하고AWS Marketplace에서 vSRX 검색하고 AMI 옆에 있는 Select를 vSRX.
  3. 지원되는 인스턴스 유형을 선택합니다. 자세한 내용은 표 1을 참조하십시오.
  4. 다음: 인스턴스 세부 사항을 구성하고2의 필드를 지정합니다. 고급 세부 정보를 확장하여 모든 설정을 확인합니다.
    표 2: AWS 인스턴스 세부 정보

    필드

    설정

    네트워크

    네트워크 구성에 맞게 구성된 Amazon VPC를 vSRX.

    서브넷

    vSRX 인터페이스(fxp0)를 위한 공용 서브넷을 선택합니다.

    공용 IP 자동 할당

    비활성화를 선택합니다(나중에 Elastic IP 주소를 할당합니다).

    배치 그룹

    기본 설정(default)을 사용

    종료 동작

    Stop(기본)을 선택합니다.

    • 터미널 보호 지원

    • 모니터링

    IT 정책을 활용합니다.

    네트워크 인터페이스

    기본 설정을 사용하거나 기본 IP 필드에 공용 IP 주소를 할당합니다.

    사용자 데이터

    릴리스 Junos OS 릴리스 17.4R1 클라우드 인티트 패키지(버전 0.7x)는 AWS 이미지를 위해 vSRX 미리 설치되어 지정된 사용자 데이터 파일에 따라 AWS에서 운영되는 새로운 vSRX 인스턴스를 쉽게 구성할 수 있도록 합니다.

    Instance Details 구성 페이지의 사용자 데이터 섹션에서 File로 선택하고 사용자 데이터 파일을 첨부합니다. 선택한 파일이 인스턴스의 최초 실행에 사용됩니다. 초기 부팅 시퀀스가 진행되는 동안 vSRX 인스턴스가 클라우드 인티트 요청을 처리합니다. 사용자 데이터 파일을 만드는 방법에 대한 자세한 내용은 AWS에서 vSRX 인스턴스의 초기화를 자동화하기 위해 Cloud-Init를 참조하십시오.

    참고:

    사용자 Junos OS 전달되는 스위칭 구성은 초기 시작 시에만 가져오기만 합니다. 인스턴스가 중지 및 재시작되는 경우 사용자 데이터 파일을 다시 가져오지 않습니다.

  5. 다음 클릭: Storage 추가및 기본 설정을 사용하거나 필요할 때 Volume Type 및 IOPS를 변경합니다.
  6. Next: Tag Instance를 클릭하고vSRX 이름을 지정합니다.
  7. 다음: Security Group 구성을클릭하고 기존 보안 그룹을 선택하고 vSRX 관리 인터페이스(fxp0)를 위해 생성된 보안 그룹을 선택합니다.
  8. Review and Launch를 클릭하고기본 인스턴스의 vSRX 검토한 다음 Launch을 클릭합니다.
  9. 작성한 SSH 키 쌍을 선택하고 Acknowledgment 체크박스를 선택하고 Launch Instance를 클릭합니다.
  10. 인스턴스 보기를 클릭하여 Amazon EC2 Dashboard에 인스턴스 목록을 표시합니다. 인스턴스를 실행하는 데 몇 분이 소요될 vSRX 있습니다.

3단계: AWS 시스템 로그 보기

시작 시간 오류를 디버그하려면 AWS 시스템 로그를 다음과 같이 볼 수 있습니다.

  1. Amazon EC2 Dashboard에서 인스턴스를 선택합니다.
  2. vSRX를 선택하고 Get System Logs에대한 > Actions > 선택합니다.

4단계: 데이터 유무를 위한 AddNetwork vSRX

AWS는 선택한 AWS 인스턴스 유형에 따라 인스턴스에 대해 최대 8개의 인터페이스를 지원합니다. 에 추가하려는 각 매출 인터페이스에 대해 다음 절차를 vSRX(최대 vSRX). 첫 번째 매출 인터페이스는 ge-0/0/0, 두 번째는 ge-0/0/1 등입니다(AWS의vSRX 참조).

새로운 매출 vSRX 인터페이스 추가:

  1. Amazon EC2 Dashboard에서 왼쪽 창에서 네트워크 인터페이스를 선택하고 네트워크 인터페이스 생성을 클릭합니다.
  2. 3에표시된 인터페이스 설정을 지정하고 Yes, Create을 클릭합니다.
    표 3: 네트워크 인터페이스 설정

    필드

    설정

    설명

    각 매출 인터페이스에 대한 인터페이스 설명을 입력합니다.

    서브넷

    첫 번째 수익 인터페이스(ge-0/0/0)를 위해 생성된 공용 서브넷이나 다른 모든 수익 인터페이스를 위해 생성된 프라이빗 서브넷을 선택합니다.

    프라이빗 IP

    선택한 서브넷에서 IP 주소를 입력하거나 주소를 자동으로 할당하도록 허용합니다.

    보안 그룹

    수익 창출 인터페이스를 위해 생성된 보안 vSRX 선택합니다.

  3. 새 인터페이스를 선택하고 Actions > Change Source/Dest를 선택합니다. Check, Disabled 선택 및 Save 클릭
    그림 2: 소스/dest 비활성화. 체크 Disable Source/Dest. Check
  4. 새 인터페이스를 선택하고 Attach를선택하고 vSRX 인스턴스를 선택하고 Attach를 클릭합니다.
  5. 새 인터페이스 Name 열의 연필 아이콘을 클릭하고 인터페이스에 이름을 지정합니다(예: ix-fxp0.0).
참고:

개인 매출 인터페이스(ge-0/0/1 ~ ge-0/7)의 경우, 작성한 네트워크 이름이나 네트워크 인터페이스 ID에 주목하십시오. 나중에 프라이빗 서브넷을 위해 생성된 Route 테이블에 이름 또는 인터페이스 ID를 추가합니다.

5단계: 탄력적 IP 주소 할당

공용 인터페이스의 경우 AWS는 공용 IP 네트워크 주소 변환(NAT) 프라이빗 IP 주소로 변환합니다. 공용 IP 주소를 Elastic IP address라고 합니다. Elastic IP 주소를 공용 인터페이스(fxp0 및 ge-0/0/vSRX)에 할당하는 것이 좋습니다. 1차 vSRX 재시작될 때 Elastic IP는 유지되지만 공용 서브넷 IP는 릴리스됩니다.

Elastic IP를 생성 및 할당하는 경우:

  1. Amazon EC2 Dashboard에서 왼쪽 창에서 Elastic IP를 선택하고 새 주소 할당을클릭하고 Yes, Allocate를 클릭합니다. (계정에서 EC2-Classic를 지원하는 경우 네트워크 플랫폼 목록에서 EC2-VPC를 먼저 선택해야 합니다.)
  2. 새 Elastic IP 주소를 선택하고 Associate Address에서 Actions > 선택합니다.
  3. 4의설정을 지정하고 Allocate을 클릭합니다.
    표 4: 탄력적 IP 설정

    필드

    설정

    네트워크 인터페이스

    vSRX 관리 인터페이스(fxp0) 또는 첫 번째 매출 인터페이스(ge-0/0/0)를 선택합니다.

    프라이빗 IP 주소

    Elastic IP 주소와 연관될 프라이빗 IP 주소를 입력합니다.

6단계: vSRX 전용 인터페이스를 경로 테이블에 추가

각 전용 매출 인터페이스에 대해 생성한 vSRX 전용 서브넷에 대해 작성한 경로 테이블에 인터페이스 ID를 추가해야 합니다.

전용 인터페이스 ID를 경로 테이블에 추가하는 경우:

  1. VPC Dashboard 좌측 창에서 Route 표를 선택합니다.
  2. 프라이빗 서브넷을 위해 작성한 라우트 테이블을 선택합니다.
  3. 라우팅 테이블 목록 아래의 Routes 탭을 선택합니다.
  4. Edit을 클릭하고 또 다른 경로 추가 를 클릭합니다.
  5. 5의설정을 지정하고 Save를 클릭합니다.
    표 5: 사설 경로 설정

    필드

    설정

    대상

    인터넷 트래픽에 대해 0.0.0.0/0을 입력합니다.

    대상

    네트워크 이름 또는 관련 프라이빗 서브넷의 네트워크 인터페이스 ID를 입력합니다. 네트워크 인터페이스는 Subnet Associations 탭에 표시된 개인 서브넷에 있어야 합니다.

    참고:

    인터넷 게이트웨이(igw-nnnnnn)를 선택하지 않습니다.

각 프라이빗 네트워크 인터페이스에 대해 이 절차를 반복합니다. 이 구성을 완료하려면 vSRX 인스턴스를 재부팅해야 합니다.

7단계: 인스턴스 vSRX 재부팅

인터페이스 변경을 통합하고 Amazon EC2 구성을 완료하려면 인스턴스를 재부팅해야 vSRX 합니다. vSRX 인스턴스가 실행되는 동안 연결된 인터페이스는 인스턴스가 재부팅될 때까지 영향을 미치지 않습니다.

참고:

항상 AWS를 사용하여 인스턴스의 vSRX. 재부팅을 위해 이 vSRX CLI 사용하지 말 것.

인스턴스를 재부팅하기 vSRX:

  1. Amazon EC2 Dashboard에서 왼쪽 창에서 인스턴스를 선택합니다.
  2. vSRX 선택하고 Actions > State > 재부팅합니다.

인스턴스 재부팅에는 몇 vSRX 수 있습니다.

8단계: vSRX 인스턴스에 로그인

AWS 구축에서 vSRX 보안 강화를 위해 기본적으로 다음과 같은 기능을 제공합니다.

  • SSH를 통해서만 로그인할 수 있습니다.

  • 클라우드 인티트는 SSH 키 로그인을 설정하는 데 사용됩니다.

  • 루트 계정에 대해 SSH 암호 로그인이 비활성화됩니다.

vSRX AWS 클라우드 인프라에서 시작된 인스턴스는 Amazon에서 제공하는 클라우드 인티트 서비스를 사용하여 인스턴스 실행에 사용되는 계정과 연관된 SSH 공용 키를 복사합니다. 그런 다음 해당 프라이빗 키를 사용하여 인스턴스에 로그인할 수 있습니다.

참고:

SSH 암호를 사용한 루트 로그인은 기본적으로 비활성화됩니다.

SSH 클라이언트를 사용하여 처음으로 vSRX 인스턴스에 로그인합니다. 로그인하려면 사용자 계정에 대한 SSH 키 쌍 .pem 파일을 저장한 위치와 vSRX 관리 인터페이스(fxp0)에 할당된 Elastic IP 주소를 지정합니다.

참고:

릴리스 Junos OS 릴리스 17.4R1 이름이 root@ ec2-user@ 에서 으로 변경되었습니다.

참고:

Junos OS 루트 로그인은 기본적으로 비활성화됩니다. 최초 설정 단계 이후 다른 사용자를 Junos OS 수 있습니다.

키 쌍의 파일명과 Elastic IP 주소가 없는 경우 다음 단계를 사용하여 키 페어 이름 및 새 인스턴스에 대해 Elastic IP를 vSRX 있습니다.

  1. Amazon EC2 Dashboard에서 인스턴스를 선택합니다.
  2. vSRX 인스턴스를 선택하고 Description 탭에서 eth0을 선택하여 fxp0 관리 인터페이스에 대한 Elastic IP address를 볼 수 있습니다.
  3. 인스턴스 목록 위에 있는 Connect를 클릭하여 SSH 키 페어 파일 이름을 볼 수 있습니다.

vSRX 기본 설정을 구성하려면 vSRX 를 CLI.

참고:

vSRX 지불 이미지는 별도의 라이선스를 요구하지 않습니다.

릴리스 내역 표
릴리스
설명
17.4R1
릴리스 Junos OS 릴리스 17.4R1 클라우드 인티트 패키지(버전 0.7x)는 AWS 이미지를 위해 vSRX 미리 설치되어 지정된 사용자 데이터 파일에 따라 AWS에서 운영되는 새로운 vSRX 인스턴스를 쉽게 구성할 수 있도록 합니다.