Ya está listo para lanzar el contenedor de firewall de contenedor cSRX que se ejecuta en Docker en el servidor sin sistema operativo de Linux. Cuando inicia la imagen del firewall de contenedor cSRX, tiene un contenedor en ejecución de la imagen. Puede detener y reiniciar el contenedor del firewall de contenedor cSRX (consulte Administración de contenedores de firewall de cSRX), y el contenedor conservará todas las configuraciones y los cambios del sistema de archivos, a menos que esos cambios se eliminen explícitamente. Sin embargo, el firewall de contenedor cSRX perderá cualquier cosa en la memoria y todos los procesos se reiniciarán.
Tiene una serie de variables de entorno de firewall de contenedor cSRX que le permiten modificar las características operativas del contenedor de firewall de contenedor cSRX cuando se inicia. Puede modificar lo siguiente:
-
Cuando implemente el firewall de contenedor cSRX, debe habilitar el servicio SSH y la opción SSH para el inicio de sesión de raíz. El servicio SSH no está habilitado de forma predeterminada.
Para habilitar el servicio SSH, ejecute el set system services ssh comando y, para el inicio de sesión del usuario raíz, ejecute el set system services ssh root-login allow comando.
Modo de reenvío de tráfico (ruta estática o secure-wire)
Tamaño de contenedor del firewall cSRX (pequeño, mediano o grande)
Controlador de E/S de paquete (encuestado o interrumpido)
Afinidad de CPU para el control de firewall de contenedor cSRX y demonios de datos
Valores de tiempo de espera de entrada del Protocolo de resolución de direcciones (ARP) y del Protocolo de descubrimiento de vecinos (NDP)
Número de interfaces que debe agregar al contenedor. El valor predeterminado es 3 y el máximo es 17 (lo que significa 1 interfaces de administración y 16 interfaces de datos).
Nota:
La especificación de una variable de entorno no es obligatoria cuando se inicia el contenedor de firewall de contenedor cSRX; la mayoría de las variables de entorno tienen un valor predeterminado como se muestra en descripción general de variables de entorno de firewall de contenedor cSRX. Puede iniciar el firewall de contenedor cSRX mediante la configuración predeterminada de la variable de entorno.
Para lanzar el contenedor de firewall de contenedor cSRX:
- Utilice el
docker run comando para lanzar el contenedor del firewall de contenedor cSRX. Incluye el puente de mgt_bridge administración para conectar el firewall de contenedor cSRX a una red.
root@csrx-ubuntu3:~/csrx# docker run -d --privileged --network=mgt_bridge -e --name=<csrx-container-name> hub.juniper.net/security/<csrx-image-name>
Por ejemplo, para iniciar csrx2 con el firewall de contenedor cSRX escriba la imagen csrx:18.21R1.9 del software:
root@csrx-ubuntu3:~/csrx# docker run -d --privileged --network=mgt_bridge -e --name=csrx2 hub.juniper.net/security/csrx:18.2R1.9
Nota:
Debe incluir la marca en el --privileged docker run comando para permitir que el contenedor del firewall de contenedor cSRX se ejecute en modo privilegiado.
- Conecte los puentes izquierdo y derecho a la red de Docker.
root@csrx-ubuntu3:~/csrx# docker network connect left_bridge csrx2
root@csrx-ubuntu3:~/csrx#
root@csrx-ubuntu3:~/csrx# docker network connect right_bridge csrx2
root@csrx-ubuntu3:~/csrx#
- Confirme que la red de tres puentes se ha creado para el contenedor de firewall de contenedor cSRX.
root@csrx-ubuntu3:~/csrx# docker network ls
NETWORK ID NAME DRIVER SCOPE
80bea9207560 bridge bridge local
619da6736359 host host local
112ab00aab1a left_bridge bridge local
1484998f41bb mgt_bridge bridge local
daf7a5a477bd none null local
e409a4f54237 right_bridge bridge local
- Confirme que el contenedor de firewall de contenedor cSRX está listado como un contenedor docker en ejecución.
root@csrx-ubuntu3:~/csrx# docker ps
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES
35e33e8aa4af csrx "/etc/rc.local init" 7 minutes ago Up 7 minutes 22/tcp, 830/tcp csrx2
- Confirme que el contenedor del firewall de contenedor cSRX está funcionando. Debería ver los procesos esperados de Junos OS, como nsd, srxpfe y mgd.
root@csrx-ubuntu3:~/csrx# docker top csrx2
UID PID PPID C STIME TTY TIME CMD
root 318 305 0 09:13 pts/1 00:00:00 bash
root 27423 27407 0 Mar30 pts/0 00:00:00 /bin/bash -e /etc/rc.local init
root 27867 27423 0 Mar30 ? 00:08:16 /usr/sbin/rsyslogd -M/usr/lib/rsyslog
root 27880 27423 0 Mar30 ? 00:00:00 /usr/sbin/sshd
root 27882 27423 0 Mar30 ? 00:00:00 /usr/sbin/nstraced
root 27907 27423 0 Mar30 ? 00:00:08 /usr/sbin/mgd
root 27963 27423 0 Mar30 pts/0 00:34:50 /usr/bin/monit -I
root 27979 27423 0 Mar30 ? 00:01:10 /usr/sbin/nsd
root 27989 27423 0 Mar30 ? 00:00:02 /usr/sbin/appidd -N
root 28023 27423 0 Mar30 ? 00:00:21 /usr/sbin/idpd -N
root 28040 27423 0 Mar30 ? 00:09:21 /usr/sbin/wmic -N
root 28048 27423 0 Mar30 ? 00:52:50 /usr/sbin/useridd -N
root 28126 27423 2 Mar30 ? 1-05:21:47 /usr/sbin/srxpfe -a -d
root 28186 27423 0 Mar30 ? 00:01:37 /usr/sbin/utmd -N
root 28348 27423 0 Mar30 ? 00:02:44 /usr/sbin/kmd
- Confirme la dirección IP de la interfaz de administración del contenedor de firewall cSRX.
root@csrx-ubuntu3:~/csrx# docker inspect csrx2 | grep IPAddress
"SecondaryIPAddresses": null,
"IPAddress": "",
"IPAddress": "172.19.0.2",
"IPAddress": "172.18.0.2",
"IPAddress": "172.20.0.2",
