Google Cloud Platform에 vSRX 가상 방화벽 구축
다음 절차는 Google VPC(Virtual Private Cloud)에 vSRX 가상 방화벽 구축하는 방법을 설명합니다.
Google Cloud Platform Marketplace에서 vSRX 가상 방화벽 방화벽을 구축하십시오.
사용자 지정 프라이빗 이미지를 사용하여 GCP 포털에서 vSRX 가상 방화벽 방화벽을 구축합니다.
cloud-init을 사용하여 CLI를 사용하여 gcloud를 통해 vSRX 가상 방화벽 방화벽을 구축합니다.
Marketplace Launcher에서 vSRX 가상 방화벽 방화벽 구축
Google Cloud Platform Marketplace를 사용하여 Google Compute Engine 인스턴스에서 실행되는 가상 머신(VM)으로 라이선스를 사용하여 vSRX3.0을 구축할 수 있습니다.
vSRX 가상 방화벽 구축하기 전에 조직에서 프로젝트를 만들거나 선택해야 하며 방화벽에 연결할 네트워크와 서브넷을 만들어야 합니다. 여러 네트워크 인터페이스를 동일한 VPC 네트워크에 연결할 수 없습니다. 생성하는 모든 인터페이스에는 하나 이상의 서브넷이 있는 전용 네트워크가 있어야 합니다.
이 주제는 Google Cloud Platform Marketplace Launcher에서 vSRX 가상 방화벽 방화벽을 구축하는 단계를 제공합니다.
- Marketplace에서 vSRX 가상 방화벽 목록을 찾습니다.
검색 상자에 그림 1과 같이 'Juniper' 또는 'vSRX 가상 방화벽'를 입력하고 라이선스 요구 사항에 따라 다음 옵션 중 하나를 클릭합니다.
이미지는 클라우드에서 사용할 수 있습니다:
vSRX 가상 방화벽 차세대 방화벽
vSRX 가상 방화벽 차세대 방화벽-BYOL
vSRX 가상 방화벽 바이러스 차단 기능을 갖춘 차세대 방화벽
그림 1: GCP Marketplace
에서 vSRX 가상 방화벽 목록 찾기
- 컴퓨팅 엔진에서 시작을 클릭합니다. 구축 페이지가 그림 2와 같이 표시됩니다.
그림 2: Marketplace
에서 GCP 인스턴스 vSRX 가상 방화벽 시작
- 인스턴스 이름을 지정하고 리소스를 선택합니다.
vSRX 가상 방화벽 VM에 대한 세부 정보를 제공합니다.
Deployment Name—vSRX 가상 방화벽 VM에 고유한 이름을 입력합니다.
Machine type—라이선스의 시스템 요구 사항에 따라 기계 유형을 선택합니다.
SSH key-이전에 생성한 공용 SSH 키를 붙여넣습니다.
텍스트를 gcp-user 다음으로 키를 붙여 넣습니다.
참고:vSRX 가상 방화벽 처음으로 vSRX 가상 방화벽 로그인할 때는 'gcp-user'를 사용자 이름으로 사용해야 합니다.
프로젝트 전체 SSH 키 차단 옵션을 선택합니다.
Network interfaces-VPC 네트워크와 서브넷을 선택합니다. 이 vSRX 가상 방화벽 VM의 선택한 영역에 대해 생성한 서브넷만 추가할 수 있습니다.
IP Forwarding- 에서 기본값을 유지합니다. 이는 vSRX 가상 방화벽 VM에 대한 필수 요구 사항입니다.
Enable External IP- 임시 옵션을 선택합니다. 이 설정을 사용하면 GCP가 외부 IP 주소로 동작하는 임시 IP 주소를 제공할 수 있습니다.
Allow HTTP traffic from the Internet- 선택한 대로 기본값을 유지합니다. 절대적으로 필요 없는 한 HTTP 액세스를 제공하지 않는 것이 좋습니다.
Allow TCP port 22 traffic from the Internet- 선택한 대로 기본값을 유지합니다. F 또는 보안상의 이유로 SSH 액세스를 특정 IP 주소로만 제한하여 vSRX 가상 방화벽
그림 3과 같이 인스턴스 이름을 지정하고 리소스를 선택합니다.
그림 3: GCP Marketplace에서 vSRX 가상 방화벽 인스턴스 이름 지정 및 리소스 선택
맞춤형 프라이빗 이미지를 사용하여 GCP 포털에서 vSRX 가상 방화벽 인스턴스 구축
또한 사용자 지정 프라이빗 이미지를 사용하여 GCP 시장에서 이미지를 구축하는 대신 vSRX 가상 방화벽 구축할 수 있습니다. 먼저 개인 이미지를 Google Cloud 스토리지에 업로드한 다음 GCP에서 컴퓨팅 이미지를 생성한 다음 Google Compute Engine에 vSRX 가상 방화벽 구축해야 합니다.
GCP에서 vSRX 가상 방화벽 인스턴스를 구축하는 방법을 알아보려면 Google Cloud Platform에 vSRX 가상 방화벽을 구축하는 비디오를 시청하세요.
Google Cloud Storage에 vSRX 가상 방화벽 이미지 업로드
Google Cloud Storage에 vSRX 가상 방화벽 이미지 업로드 방법:
SDK 셸을 통해 이미지 업로드:
Ubuntu에 Google Cloud SDK를 설치합니다.
운영 시스템에 Google Cloud SDK를 설치해야 합니다. 아래는 Ubuntu에 설치하는 샘플입니다.
Ubuntu의 Google Cloud SDK 설치에 대한 자세한 내용은 https://cloud.google.com/sdk/docs/quickstart-debian-ubuntu 및 Gcloud 명령줄 도구 개요를 참조 하세요 https://cloud.google.com/sdk/gcloud/.
SDK 셸을 통해 이미지 업로드 방법:
Google 클라우드 스토리지를 생성합니다.
gs://vsrx-imagedisk.raw를 클라우드 스토리지로 복사합니다.
gsutil cp vsrx-0115.tar.gz gs://vsrx-image
Google Cloud Platform 포털에서 이미지 업로드
vSRX 가상 방화벽 이미지 만들기
vSRX 가상 방화벽 이미지 파일을 GCP 스토리지에 업로드한 후 vSRX 가상 방화벽 구축을 위해 GCP 컴퓨팅 이미지를 생성해야 합니다.
Using Google Console
Google 콘솔을 사용하여 이미지 파일의 이름을 바꿀 수도 있습니다.
Google 계정에 로그인하고 Google Cloud Platform 홈 페이지를 엽니다.
Google 클라우드 플랫폼 페이지에서이미지 옵션을 클릭합니다. 그림 8과 같이 이미지 생성 페이지가 열립니다.
그림 8: Google Cloud Platform 이미지 생성 페이지
이미지 생성 페이지에서 필요한 세부 정보를 작성하고 만들기를 클릭합니다.
참고:vSRX 가상 방화벽 처음으로 vSRX 가상 방화벽 로그인할 때는 'gcp-user'를 사용자 이름으로 사용해야 합니다.
Google Cloud Compute Engine에서 사용할 수 있는 프라이빗 이미지를 확인합니다. Google Cloud Platform 웹에서 그림 9와 같이 컴퓨팅 엔진 >이미지를 클릭합니다.
그림 9: Google Cloud Compute Engine
의 프라이빗 이미지 확인
GCP 포털에서 vSRX 가상 방화벽 방화벽 구축
아래 단계에 따라 vSRX 가상 방화벽 인스턴스를 구축할 수 있습니다.
- vSRX 가상 방화벽 인스턴스를 구성합니다.
Name- 인스턴스에 고유한 이름을 지정합니다.
Region—에 vSRX 가상 방화벽 구축하려는 적절한 지역을 선택하면 적절한 VPC 네트워크에서 동일한 지역에서 이미 서브넷을 생성해야 합니다.
Machine configuration —올바른 시스템 유형을 선택합니다.
Container —선택 취소
Boot Disk-그림 10과 같이 사용자 지정 이미지 탭에서 프라이빗 이미지를 선택합니다. 이미 개인 이미지를 Google Cloud Storage에 업로드해야 합니다.
그림 10: 사용자 지정 이미지
의 부팅 디스크
Identity and API access-기본 설정
Firewall / Management -기본 설정
Firewall / Security- 여기에 SSH 키 쌍을 붙여넣습니다. 자세한 내용은 "GCP – SSH 키에 vSRX 가상 방화벽 설정"을 참조하십시오.
Firewall / Disks-기본 설정
Firewall / Networking:
표 1: 방화벽 네트워킹 방화벽 /네트워킹
세부 정보
호스트
선택 사항으로 경로 구성에 사용되는 인스턴스에 대한 태그를 지정할 수 있습니다.
네트워크 인터페이스
기본
동일한 지역의 기존 VPC 네트워크 및 서브넷에 인터페이스를 설정할 수 있습니다. 인터페이스 번호, 인터페이스 순서 및 인터페이스 설정을 관리합니다.
Cloud-init을 사용하여 vSRX 가상 방화벽 방화벽 구축
vSRX 가상 방화벽 cloud-init을 지원합니다. Cloud-init은 클라우드 인스턴스의 초기 초기화를 처리하는 오픈 소스 다중 배포 패키지입니다. 이를 통해 사용자는 첫 번째 부팅에서 호스트 이름과 기본 IP와 같은 속성을 사용하여 VM 인스턴스를 사용자 지정할 수 있습니다. Cloud-init은 특히 사용자가 자동화 도구를 사용하여 데이터센터에 다수의 VM 인스턴스를 구축하려는 경우에 유용합니다.
첫 번째 부팅에 대한 초기 프로비저닝 매개 변수 중 일부는 다음과 같습니다.
호스트
루트 암호
SSH 공개 키
참고:ssh 키 파일의 경우, google cloud에서 요구하는 대로 "<username>:<key value>" 형식이어야 합니다. 다음과 같은 것이 있습니다.
관리 인터페이스(fxp0) IP
기본 게이트웨이 IP
cloud-init을 사용하여 vSRX 가상 방화벽 방화벽을 다음과 같은 두 가지 방법으로 구축할 수 있습니다.
Google SDK 출신
Google 포털에서 cloud-init으로 vSRX 가상 방화벽 구축하려면 GCP 포털에서 vSRX 가상 방화벽 방화벽 구축을 참조하십시오. 클라우드 init를 사용하도록 사용자 데이터를 추가하려면 메타데이터를 지정합니다.
GCE는 cloud-init 유형 인스턴스 구성을 지원합니다. 사용자 데이터로 인스턴스를 실행하려면 아래 명령을 예로 들어 보겠습니다.
다음 사항을 유의하십시오.
junos.conf는 컨텐트에서 '#junos-구성'이 있는 구성 파일입니다.
gcp-user.pub은 ssh 공개 키입니다.
vSRX 가상 방화벽 3.0은 RSA 키 페어만 지원
SSH 키 파일의 경우, Google Cloud에서 요구하는 형식 <username>:<key value> 이어야 합니다. 아래 샘플 SSH 키 파일을 참조하십시오.
root@cnrd-kvmsrv37:~# cat gcp-user.pub ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDeR2jhMLzSfgee/5cnduTa+13yVLKbTa/ OFnZSHQsZoA5LKHIXs/TbyooZTX5PnfNr6hx2Iyxjaodu01kT0UJ87wps8n9BH74DP6x0YK07OaZZl5T/ 5Iso9fXRCzl9+go9vKzNKhqXmqKUc3Fl6hTX2QzQbtrwN2twLzCxz+OSliCoobJr+/ 8wPcvI6fUbL6FRTgE1zC1HBlDKspK7x47YDYPJlUcyMhRtGvxd319jrx5i96mZq850+ dCfZkHSipT09hFRtk8C4MsOaKsw3RWUCY5LCPekrutrLLfhMKh88onv4ud7gXOklSwgVVod49aY2FfiaACMAVoaomfYXweP gcp-user ssh -i <private-key> gcp-user@<vSRX management public ip>
junos.conf에서 사용자 데이터에서 "gcp-default" 블록을 제거하십시오. vSRX 가상 방화벽 init 스크립트에 의해 생성된 것을 쉐이도우합니다. 샘플 junos 구성을 참조하십시오.
#junos-config security { policies { default-policy { permit-all; } } zones { security-zone trust { interfaces { ge-0/0/0.0; } } security-zone untrust { interfaces { ge-0/0/1.0; } } } } interfaces { ge-0/0/0 { unit 0 { family inet { 10.0.0.10/24; } } } ge-0/0/1 { unit 0 { family inet { 10.0.1.10/24; } } } }참고:vSRX 가상 방화벽 대한 gcloud 연결은 지원되지 않습니다. 인스턴스가 작동된 후 항상 사용자 제공 키를 사용하여 vSRX 가상 방화벽 연결합니다.