Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
在此页面上
 

从 Azure CLI 部署 vSRX 虚拟防火墙

从 Junos OS 15.1X49-D80 版和 Junos OS 17.3R1 版开始,您可以从 Azure CLI 部署 vSRX 虚拟防火墙,并根据 Microsoft Azure 云中的网络要求自定义 vSRX 虚拟防火墙虚拟机部署设置和依赖关系。

使用以下过程从 Azure CLI 将 vSRX 虚拟防火墙部署并配置为 Microsoft Azure 虚拟网络中的虚拟安全设备。在此过程中,你将使用在 Azure 资源管理器 (ARM) 模式下运行的 Azure CLI。

注意:

在将 vSRX 虚拟防火墙部署到 Azure 之前,请确保您拥有 Microsoft Azure 的帐户和订阅(请参阅 Microsoft Azure)。

如果没有 Azure 订阅,则可以在开始之前创建一个免费帐户。有关更多详细信息,请参阅 Microsoft Azure 网站
注意:

在 Azure 门户中,必须先使用 vSRX 新一代防火墙 (BYOL)vSRX 新一代防火墙 (PAYG) SKU 手动部署 vSRX 虚拟防火墙映像(仅一次),才能接受 EULA 条款。这是从 Azure CLI 部署 vSRX 虚拟防火墙映像之前的一项要求。默认情况下,Azure 门户部署工具使用 vSRX 新一代防火墙 (BYOL) SKU 作为源映像。使用您的 Microsoft 帐户用户名和密码登录 Microsoft Azure 门户

如果在尝试从 Azure CLI 部署 vSRX 虚拟防火墙映像之前,未先在 Azure 门户中接受 vSRX 虚拟防火墙映像的 EULA 条款,则会遇到 “市场购买资格失败” 错误。

安装 Microsoft Azure CLI

要安装并登录到 Microsoft Azure CLI,请执行以下操作:

  1. 按照 安装 Azure CLI 中所述安装 Microsoft Azure CLI 1.0。有多个选项可以为 Linux 或 Mac OS 安装 Azure CLI 包;请务必选择正确的安装包。
    注意:

    适用于 Azure 部署外壳的 vSRX 虚拟防火墙脚本 deploy-azure-vsrx.sh 用外壳和 Azure CLI 版本 1.0 命令编写,不支持 Azure CLI 版本 2.0。
    注意:

    将 vSRX 虚拟防火墙部署到 Microsoft Azure 不支持从 Microsoft Windows 使用 Azure CLI。这是因为用作部署过程一部分的 deploy-azure-vsrx.sh shell 脚本只能从 Linux 或 Mac OS CLI 运行。

  2. 登录到 Azure CLI。

    > azure login

  3. 出现提示时。复制命令输出中显示的代码。
  4. 打开 Web 浏览器进行 http://aka.ms/devicelogin,输入代码,然后单击“ 继续”。输入您的 Microsoft Azure 用户名和密码凭据。该过程完成后,命令外壳将完成登录过程。
    注意:

    如果你有多个 Azure 订阅,则连接到 Azure 将授予对与凭据关联的所有订阅的访问权限。选择一个订阅作为默认订阅,并由 Azure CLI 在执行操作时使用。您可以使用命令 azure account list 查看订阅,包括当前默认订阅。
  5. 确保 Azure CLI 处于 Azure 资源管理器 (ARM) 模式。

    > azure config mode arm

    注意:

    最初安装 Azure CLI 时,CLI 处于 ARM 模式。

下载 vSRX 虚拟防火墙部署工具

瞻博网络在瞻博网络的 GitHub 存储库中提供了一组脚本、模板、参数文件和配置文件。这些工具旨在帮助简化在使用 Azure CLI 时将 vSRX 虚拟防火墙部署到 Azure 的过程。

注意:

有关脚本、模板、参数文件和配置文件的背景信息,请参见 使用 Azure CLI 部署 vSRX 之前

要下载 vSRX 虚拟防火墙部署工具,请执行以下操作:

  1. 使用以下链接访问 GitHub: https://github.com/Juniper/vSRX-Azure
  2. 单击克隆或下载以将包含 中vSRX-Azure所有文件和目录的文件从 Github 下载到您的计算机vSRX-Azure-master.zip。该vSRX-Azure-master目录包括以下目录和文件:
  3. 将压缩 vSRX-Azure-master.zip 文件解压缩到计算机上的某个位置。

更改 vSRX 虚拟Firewall.parameter.json文件中的参数值

vsrx.parameters.json 文件中,您需要修改特定于 Microsoft Azure 中 vSRX 虚拟防火墙部署的参数值。这些参数用作 deploy-azure-vsrx.sh 脚本执行的自动部署的一部分。

请记住,默认情况下,vSRX 虚拟防火墙使用 fxp0 作为互联网的出口接口。对于需要使用收入端口的 Internet 连接的功能(例如 VPN、内容安全等),需要路由实例来隔离管理网络和收入网络之间的流量。

要更改 vsrx.parameters.json 文件中的参数值,请执行以下操作:

  1. 使用文本编辑器打开 vsrx.parameters.json 文件。
  2. 根据 vSRX 虚拟防火墙部署的细节修改 vsrx.parameters.json 文件中的值。例如,下表概述了在 中找到sample-templates\arm-templates-tool\templates\vsrx-gatewayvsrx.parameters.json 文件中可能需要修改的参数。
    谨慎:

    在启动 vSRX 虚拟防火墙实例并首次登录之前,请务必更改 vsrx.parameters.json 文件中列出的 vSRX 虚拟防火墙用户名和 vSRX 虚拟防火墙密码登录凭据。请注意,您无法使用 Microsoft Azure 门户或 Azure CLI 重置 vSRX 虚拟防火墙的登录凭据。

    参数

    默认值

    评论

    storageAccountName

    瞻博网络商店01

    对于每个部署必须是唯一的。

    storageContainerName

    VHDS

    Microsoft Azure 存储容器 (VHD) 的名称。

    vSRX Virtual Firewall-name

    vSRX 虚拟防火墙-gw

    指定 vSRX 虚拟防火墙主机名。

    vSRX Virtual Firewall-addr-ge-0-0-0

    192.168.10.20

    vSRX 虚拟防火墙接口 ge-0/0/0.0 的 IP 地址。

    vSRX Virtual Firewall-addr-ge-0-0-1

    192.168.20.20

    vSRX 虚拟防火墙接口 ge-0/0/1.0 的 IP 地址。

    vSRX Virtual Firewall-username

    演示

    更改为用于访问 vSRX 虚拟防火墙的登录凭据的相应用户名。

    vSRX Virtual Firewall-password

    演示123456

    更改为用于访问 vSRX 虚拟防火墙的登录凭据的适当密码。

    vSRX Virtual Firewall-sshkey

    SSH-RSA 占位符

    通过输入 SSH 公钥字符串(RSA 或 DSA),指定 vSRX 虚拟防火墙虚拟机的根身份验证密码。默认情况下, deploy-azure-vsrx.sh 部署脚本选择密码身份验证方法,除非 –p指定了 ,后跟 SSH RSA 公钥文件(默认为 id_rsa.pub)。

    注意:

    从适用于 vSRX 虚拟防火墙的 Junos OS 15.1X49-D100 版开始,支持密码和 SSH 公钥认证,并且默认选择密码认证。

    vSRX Virtual Firewall-disk

    占 位 符

    用于创建 vSRX 虚拟防火墙实例的源映像。默认情况下, deploy-azure-vsrx.sh 脚本使用 Azure 市场中的 vSRX 下一代防火墙 (BYOL) SKU 作为部署 vSRX 虚拟防火墙实例的源映像,除非 –i 用于显式指定 vSRX 虚拟防火墙实例映像位置。

    vnet-prefix

    192.168.0.0/16

    虚拟网络的 IP 地址前缀。

    vnet-mgt-subnet-basename

    mgt 子网

    连接到 fxp0 的管理网络的名称。

    vnet-mgt-subnet-prefix

    192.168.0.0/24

    连接到 fxp0 的管理网络的 IP 地址前缀。

    vnet-trust-subnet-basename

    信任子网

    连接到信任安全区域的网络名称:vSRX 虚拟防火墙上的 ge-0/0/1.0。

    vnet-trust-subnet-prefix

    192.168.20.0/24

    连接到信任安全区域的网络的 IP 地址前缀:vSRX 虚拟防火墙上的 ge-0/0/1.0。

    vnet-untrust-subnet-basename

    不信任子网

    连接到不信任安全区域的网络名称:vSRX 虚拟防火墙上的 ge-0/0/0.0。

    vnet-untrust-subnet-prefix

    192.168.10.0/24

    连接到不信任安全区域的网络的 IP 地址前缀:vSRX 虚拟防火墙上的 ge-0/0/0.0。
  3. 将更改保存到 vsrx.parameters.json 文件中。

使用 Shell 脚本部署 vSRX 虚拟防火墙

deploy-azure-vsrx.sh shell 脚本将 vSRX 虚拟防火墙虚拟机部署到基于 Azure 云地理位置的资源组中。该脚本使用vsrx.parameters.json文件中定义的存储帐户和网络值。

要将 vSRX 虚拟防火墙部署到 Azure 虚拟网络,请执行以下操作:

  1. 在 Azure CLI 中的 bash 提示符下,运行 deploy-azure-vsrx.sh 脚本。默认情况下,该脚本使用 vSRX 新一代防火墙 (BYOL) SKU 作为 Azure 市场中的源映像来部署 vSRX 虚拟防火墙虚拟机。作为部署的一部分,将从 vSRX 虚拟Firewall.json文件中读取以下信息:

    • VM 大小:Standard_D3_v2

    • 发行商: 瞻博网络

    • SKU: vSRX 虚拟防火墙-byol-azure-image

    • 产品/服务:vSRX 虚拟防火墙新一代防火墙

    以下是命令语法的示例。在此示例中,脚本使用 vSRX 虚拟防火墙映像在 Azure 位置“westus”的资源组“example_rg”中部署 vSRX 虚拟防火墙虚拟机。存储帐户和网络值在 vsrx.parameters.json 文件中定义。

    > ./deploy-azure-vsrx.sh -g example_rg -l westus -f vSRX-Azure/sample-templates/arm-templates-tool/templates/vsrx-gateway/vsrx.json -e vSRX-Azure/sample-templates/arm-templates-tool/templates/vsrx-gateway/vsrx.parameters.json

    注意:

    使用选项 -i指定 vSRX 虚拟防火墙源映像 URL 时,脚本将复制 vSRX 虚拟防火墙源映像以创建虚拟硬件磁盘文件,并将 vsrx.parameters.json 中的参数设置vsrx-disk为此值。

    命令语法中的默认参数值包括:

    • example_rg 是资源组名称 (-g)。

    • westus 是 Azure 位置 (-l)。

    • vSRX Virtual Firewall.json 在文件夹中, vSRX-Azure/sample-templates/arm-templates-tool/templates/vsrx-gateway 是默认的 Azure 模板文件 (-f)。

    • vSRX Virtual Firewall.parameters.json 文件夹中的 vSRX-Azure/sample-templates/arm-templates-tool/templates/vsrx-gateway 是默认参数文件 (-e)。

  2. 监控屏幕上发生的将 vSRX 虚拟防火墙部署到 Microsoft Azure 的各个阶段。部署包括创建资源组、存储帐户、模板组(包括配置参数)等操作。
    注意:

    创建存储帐户平均可能需要大约 3 到 5 分钟。但是,在某些情况下,可能需要长达 15 到 20 分钟的时间。

    部署过程完成后,您将看到消息 “info: group deployment create command Ok

验证将 vSRX 虚拟防火墙部署到 Microsoft Azure

要验证是否已将 vSRX 虚拟防火墙实例部署到 Microsoft Azure,请执行以下操作:

  1. 打开 Web 浏览器以 https://portal.azure.com/ 并使用您的登录凭据登录到 Microsoft Azure 门户。“仪表板”视图将显示在 Azure 门户中。你将看到 Azure 中所有资产的统一仪表板。验证仪表板是否包括当前有权访问的所有订阅,以及所有资源组和关联的资源。
  2. 要在部署完成后查看 vSRX 虚拟防火墙资源组及其资源,请从右侧菜单中单击 资源组 以访问资源组页面。

    图 1 显示了 Microsoft Azure 门户中“资源”组页的示例。

    图 1:Microsoft Azure 资源组页面示例 Microsoft Azure Resource Groups Page Example
  3. 要查看与资源组关联的 vSRX 虚拟防火墙虚拟机的详细信息,请单击 vSRX 虚拟防火墙的名称。

    图 2 显示了 Microsoft Azure 门户中的资源组 VM 示例。

    图 2:Microsoft Azure 资源组虚拟机示例 Microsoft Azure Resource Groups VM Example
  4. 要查看订阅中虚拟机(包括新部署的 vSRX 虚拟防火墙)的摘要视图,请单击左窗格中的虚拟机图标。部署完成后,在虚拟机页面上检查 vSRX 虚拟防火墙虚拟机状态。观察状态 Running为 。
    注意:

    可以从 Microsoft Azure 门户的“虚拟机”页停止、启动、重启和删除 VM。

    图 3 显示了 Microsoft Azure 虚拟机页面的示例。

    图 3:Microsoft Azure 虚拟机页面示例 Microsoft Azure Virtual Machines Page Example

登录到 vSRX 虚拟防火墙实例

vSRX 虚拟防火墙部署完成后,vSRX 虚拟防火墙实例将自动打开电源并启动。此时,您可以使用 SSH 客户端登录到 vSRX 虚拟防火墙实例。

注意:

在 Microsoft Azure 中,个人和企业可以将服务器和服务作为即用即付 (PAYG) 或自带许可证 (BYOL) 服务托管在云上。对于 Microsoft Azure 部署上的 vSRX 虚拟防火墙,仅支持 BYOL 模型。

要登录到 vSRX 虚拟防火墙虚拟机,请执行以下操作:

  1. 在 Azure 门户中,单击仪表板上服务菜单中的 资源组 ,然后选择 vSRX 虚拟防火墙虚拟机。从“设置”边栏选项卡中找到 vSRX 虚拟防火墙虚拟机的公共 IP 地址。
  2. 使用 SSH 客户端登录到 vSRX 虚拟防火墙实例。
  3. 出现提示时,输入以下登录凭据:
    注意:

    从 Junos OS 15.1X49-D80 版和 Junos OS 17.3R1 版开始,仅支持密码身份验证。从适用于 vSRX 虚拟防火墙的 Junos OS 15.1X49-D100 版开始,支持密码和 SSH 公钥认证,并且默认选择密码认证。

    vSRX 虚拟防火墙实例会自动配置为用户名和密码身份验证。要登录,请使用 vsrx.parameters.json 文件中定义的登录凭据(请参见 更改 vSRX 虚拟Firewall.parameter.json文件中的参数值)。最初登录到 vSRX 虚拟防火墙后,您可以配置 SSH 公钥和私钥身份验证。

    # ssh <username@vsrx_vm_ipaddress>

  4. 配置 vSRX 虚拟防火墙虚拟机的基本设置(请参见 使用 CLI 配置 vSRX)。

相关文档

更改历史记录表

功能支持由您使用的平台和版本决定。使用 功能资源管理器 确定您的平台是否支持某个功能。

释放
描述
15.1X49-D80
从 Junos OS 15.1X49-D80 版和 Junos OS 17.3R1 版开始,您可以从 Azure CLI 部署 vSRX 虚拟防火墙,并根据 Microsoft Azure 云中的网络要求自定义 vSRX 虚拟防火墙虚拟机部署设置和依赖关系。
15.1X49-D80
从 Junos OS 15.1X49-D80 版和 Junos OS 17.3R1 版开始,仅支持密码身份验证。
15.1X49-D100
从适用于 vSRX 虚拟防火墙的 Junos OS 15.1X49-D100 版开始,支持密码和 SSH 公钥认证,并且默认选择密码认证。
15.1X49-D100
从适用于 vSRX 虚拟防火墙的 Junos OS 15.1X49-D100 版开始,支持密码和 SSH 公钥认证,并且默认选择密码认证。