Lanzar una instancia de firewall virtual vSRX en una nube privada virtual de Amazon
Los siguientes procedimientos describen cómo lanzar y configurar una instancia de firewall virtual vSRX en Amazon Virtual Private Cloud (Amazon VPC):
Paso 1: Crear un par de claves SSH
Se requiere un par de claves SSH para acceder de forma remota a una instancia de firewall virtual vSRX en AWS. Puede crear un nuevo par de claves en el panel de control de Amazon EC2 o importar un par de claves creado por otra herramienta.
Para crear un par de claves SSH:
- En el panel de control de Amazon EC2, seleccione Key Pairs (pares de claves ) en el panel izquierdo. Compruebe que el nombre de la región que se muestra en la barra de herramientas es el mismo que el de la región en la que creó Amazon Virtual Private Cloud (Amazon VPC).
Figura 1: Verificar región
- Haga clic en Crear par de claves, especifique un nombre de par de claves y haga clic en Crear.
Alternativamente, use Importar par de claves para importar un par de claves diferente que generó con una herramienta de terceros.
Para obtener más información sobre la rotación de claves, consulte https://docs.aws.amazon.com/kms/latest/developerguide/rotate-keys.html.
Paso 2: Iniciar una instancia de firewall virtual vSRX
Los tipos de instancia de AWS compatibles con el firewall virtual vSRX se enumeran en la tabla 1.
El firewall virtual vSRX no admite los tipos de instancias M y C3. Si ha centrifugado el firewall virtual vSRX con alguno de estos tipos de instancias, debe cambiar el tipo de instancia a un tipo de instancias C4 o C5.
| Tipo de instancia |
Tipo de firewall virtual vSRX |
vCPU |
Memoria (GB) |
Tipo de RSS |
|---|---|---|---|---|
| c5.grande |
Memoria Firewall virtual vSRX-2CPU-3G |
2 |
4 |
RSS de hardware |
| c5.xgrande |
Memoria Firewall virtual vSRX-4CPU-7G |
4 |
8 |
RSS de hardware |
| c5.2xgrande |
Memoria Firewall virtual vSRX-8CPU-15G |
8 |
16 |
RSS de hardware |
| c5.4xgrande |
Memoria Firewall virtual vSRX-16CPU-31G |
16 |
32 |
SW RSS |
| c5.9xgrande |
Memoria Firewall virtual vSRX-36CPU-69G |
36 |
72 |
SW RSS |
| c5n.2xgrande |
Memoria Firewall virtual vSRX-8CPU-20G |
8 |
21 |
RSS de hardware |
| c5n.4xlarge |
Memoria Firewall virtual vSRX-16CPU-41G |
16 |
42 |
RSS de hardware |
| c5n.9xlarge |
Memoria Firewall virtual vSRX-36CPU-93G |
36 |
96 |
RSS de hardware |
El firewall virtual vSRX en AWS admite hasta un máximo de ocho interfaces de red, pero el número máximo real de interfaces que se pueden adjuntar a una instancia de firewall virtual vSRX viene dictado por el tipo de instancia de AWS en la que se lanza. Para las instancias de AWS que permiten más de ocho interfaces, el firewall virtual vSRX solo admitirá hasta un máximo de ocho interfaces.
Los siguientes son los tipos de instancias C5 admitidos:
-
c5.grande
-
c5.xgrande
-
c5.2xgrande
-
c5.4xgrande
-
c5.9xgrande
-
c5n.2xgrande
-
c5n.4xlarge
-
c5n.9xlarge
A continuación, se muestran las instancias de AWS basadas en AMD compatibles:
-
C5a.16xgrande
-
C5a.8xgrande
-
C5a.4xgrande
-
C5a.2xgrande
-
C5a.xlarge
Para obtener más información sobre los detalles de la instancia, como vCPU, memoria, etc., consulte Información de precios
Para obtener más información sobre el número máximo de interfaces de red por tipo de instancia, consulte https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html .
Instance Type Selection: en función de los cambios que necesite para la red, es posible que la instancia esté sobreutilizada (por ejemplo, el tipo de instancia es demasiado pequeño) o infrautilizada (por ejemplo, el tipo de instancia es demasiado grande). Si este es el caso, puede cambiar el tamaño de la instancia. Por ejemplo, si la instancia es demasiado pequeña para su carga de trabajo, puede cambiarla por otro tipo de instancia que sea adecuado para la carga de trabajo. También es posible que desee migrar de un tipo de instancia de generación anterior a un tipo de instancia de generación actual para aprovechar algunas características; por ejemplo, compatibilidad con IPv6. Considerar el cambio de instancias para un mejor rendimiento y rendimiento.
A partir de Junos OS versión 18.4R1, se admiten instancias de firewall virtual vSRX c5.large. Estos son rentables y ofrecen un mejor rendimiento y transferencia de datos.
Para lanzar una instancia de firewall virtual vSRX en Amazon VPC:
- Seleccione un tipo de instancia compatible. Consulte la Tabla 1 para obtener más detalles.
- Haga clic en Revisar e iniciar, revise la configuración de la instancia de firewall virtual vSRX y haga clic en Iniciar.
- Seleccione el nombre de la instancia y la imagen de máquina de Amazon (AMI) (para Junos: seleccione la AMI de Junos de mercado disponible).
- Seleccione el tipo de instancia (c5/c6.. y así sucesivamente) como ya se describió en el documento y agregue el par de claves que se cretó en el paso 1.
- En la configuración de red, seleccione la VPC creada en el paso anterior. Seleccione la subred pública creada (o la subred en la que desea que aparezca la interfaz de administración de la instancia). Asigne una dirección IP (pública) si es necesario o se puede adjuntar una dirección IP elástica como se describe en el paso 5 a la interfaz, después de lanzar la instancia. Cree un grupo de seguridad o adjunte un grupo de seguridad ya creado en el paso anterior. Seleccione las reglas de entrada y salida adecuadas.
- Configure el almacenamiento y el volumen según sus necesidades.
- Configure los detalles avanzados. Seleccione el perfil de IAM creado, configure las opciones mostradas según sus requisitos.
En las opciones de CPU: puede usar el valor predeterminado o puede seleccionar un número específico de subprocesos por núcleo de CPU en #number of core(s).
- Configure los datos de usuario. Esta puede ser la configuración inicial a la que la instancia puede acceder tan pronto como se lanza desde el servidor de metadatos.
Paso 3: Ver los registros del sistema de AWS
Para depurar errores de tiempo de lanzamiento, puede ver los registros del sistema de AWS, como se indica a continuación:
- En el panel de control de Amazon EC2, seleccione Instancias.
- Seleccione la instancia Firewall virtual vSRX y seleccione Acciones > Configuración de instancia > Obtener registros del sistema.
Paso 4: Agregar interfaces de red para el firewall virtual vSRX
AWS admite hasta ocho interfaces para una instancia, según el tipo de instancia de AWS seleccionado. Utilice el siguiente procedimiento para cada una de las interfaces de ingresos que desee agregar al firewall virtual vSRX (hasta siete). La primera interfaz de ingresos es ge-0/0/0, la segunda es ge-0/0/1, y así sucesivamente (consulte Requisitos para vSRX en AWS).
Para agregar una interfaz de ingresos de firewall virtual vSRX:
- Especifique la configuración de la interfaz como se muestra en la tabla 3 y haga clic en Sí, crear.
Tabla 3: Configuración de interfaz de red Campo
Entorno
Descripción
Escriba una descripción de interfaz para cada una de las interfaces de ingresos.
Subred
Seleccione la subred pública creada para la primera interfaz de ingresos (ge-0/0/0) o la subred privada creada para todas las demás interfaces de ingresos.
IP privada
Introduzca una dirección IP de la subred seleccionada o permita que la dirección se asigne automáticamente.
Grupos de seguridad
Seleccione el grupo de seguridad creado para las interfaces de ingresos del firewall virtual vSRX.
- Seleccione la nueva interfaz, seleccione Acciones > Cambiar origen/destino. Marque, seleccione Deshabilitado y haga clic en Guardar.
Figura 2: Desactivar la comprobación
de origen/destino
Para una interfaz de ingresos privada (ge-0/0/1 a ge-0/0/7), anote el nombre de red que creó o el ID de interfaz de red. Agregará el nombre o el ID de interfaz más adelante a la tabla de rutas creada para la subred privada.
Paso 5: Asignar direcciones IP elásticas
Para las interfaces públicas, AWS realiza una traducción TDR de la dirección IP pública a una dirección IP privada. La dirección IP pública se denomina dirección IP elástica. Le recomendamos que asigne una dirección IP elástica a las interfaces públicas de firewall virtual vSRX (fxp0 y ge-0/0/0). Tenga en cuenta que cuando se reinicia una instancia de firewall virtual vSRX, se conservan las IP elásticas, pero se liberan las IP de subred públicas.
Para crear y asignar IP elásticas:
Paso 6: Agregue las interfaces privadas del firewall virtual vSRX a las tablas de rutas
Para cada interfaz de ingresos privados que haya creado para el firewall virtual vSRX, debe agregar el ID de interfaz a la tabla de rutas que creó para la subred privada asociada.
Para agregar un ID de interfaz privada a una tabla de rutas:
Repita este procedimiento para cada interfaz de red privada. Debe reiniciar la instancia de firewall virtual vSRX para completar esta configuración.
Paso 7: Reinicie la instancia del firewall virtual vSRX
Para incorporar los cambios de interfaz y completar la configuración de Amazon EC2, debe reiniciar la instancia de firewall virtual vSRX. Las interfaces conectadas mientras se ejecuta la instancia de firewall virtual vSRX no surtirán efecto hasta que se reinicie la instancia.
Utilice siempre AWS para reiniciar la instancia de firewall virtual vSRX. No utilice la CLI del firewall virtual vSRX para reiniciar.
Para reiniciar una instancia de firewall virtual vSRX:
- En el panel de control de Amazon EC2, seleccione Instancias en el panel izquierdo.
- Seleccione la instancia Firewall virtual vSRX y seleccione Acciones > Estado de la instancia > Reiniciar.
El reinicio de una instancia de firewall virtual vSRX puede tardar varios minutos.
Paso 8: Inicie sesión en una instancia de firewall virtual vSRX
En los despliegues de AWS, las instancias de firewall virtual vSRX proporcionan las siguientes capacidades de forma predeterminada para mejorar la seguridad:
Le permite iniciar sesión solo a través de SSH.
nube-init se utiliza para configurar el inicio de sesión con clave SSH.
El inicio de sesión con contraseña SSH está deshabilitado para la cuenta raíz.
Las instancias de firewall virtual vSRX lanzadas en la infraestructura en la nube de AWS de Amazon utilizan los servicios de nube-init proporcionados por Amazon para copiar la clave pública SSH asociada con su cuenta que se utiliza para lanzar la instancia. A continuación, podrá iniciar sesión en la instancia utilizando la clave privada correspondiente.
El inicio de sesión raíz con contraseña SSH está deshabilitado de forma predeterminada.
Utilice un cliente SSH para iniciar sesión en una instancia de firewall virtual vSRX por primera vez. Para iniciar sesión, especifique la ubicación en la que guardó el archivo .pem del par de claves SSH para la cuenta de usuario y la dirección IP elástica asignada a la interfaz de administración del firewall virtual vSRX (fxp0).
A partir de la versión 17.4R1 de Junos OS, el nombre de usuario predeterminado cambió de root@ a ec2-user@.
ssh -i <path>/<ssh-key-pair-name>.pem ec2-user@<fxpo-elastic-IP-address>
El inicio de sesión raíz con una contraseña de Junos OS está deshabilitado de forma predeterminada. Puede configurar otros usuarios después de la fase de instalación inicial de Junos OS.
Si no tiene el nombre de archivo del par de claves y la dirección IP elástica, siga estos pasos para ver el nombre del par de claves y la IP elástica de una instancia de firewall virtual vSRX:
- En el panel de control de Amazon EC2, seleccione Instancias.
- Seleccione la instancia de firewall virtual vSRX y seleccione eth0 en la pestaña Descripción para ver la dirección IP elástica de la interfaz de administración fxp0.
- Haga clic en Conectar encima de la lista de instancias para ver el nombre de archivo del par de claves SSH.
Para configurar las opciones básicas para la instancia de firewall virtual vSRX, consulte Configurar vSRX mediante la CLI.
Las imágenes de pago inmediato del firewall virtual vSRX no requieren ninguna licencia independiente.
Tabla de historial de cambios
La compatibilidad de la función depende de la plataforma y la versión que utilice. Utilice el Explorador de características para determinar si una característica es compatible con su plataforma.