Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページの目次
 

Amazon 仮想プライベートクラウドでの vSRX 仮想ファイアウォールインスタンスの起動

以下の手順では、Amazon 仮想プライベートクラウド(Amazon VPC)で vSRX 仮想ファイアウォールインスタンスを起動して設定する方法について説明します。

ステップ 1: SSH キーペアを作成する

AWS上のvSRX仮想ファイアウォールインスタンスにリモートアクセスするには、SSHキーペアが必要です。Amazon EC2 ダッシュボードで新しいキーペアを作成したり、別のツールで作成されたキーペアをインポートしたりできます。

SSHキーペアを作成するには:

  1. AWS マネジメントコンソール にログインし 、[サービス] > [EC2 >コンピューティング] を選択します。
  2. Amazon EC2 ダッシュボードで、左ペインの [キーペア] を選択します。ツールバーに表示されるリージョン名が、Amazon 仮想プライベートクラウド (Amazon VPC) を作成したリージョンと同じであることを確認します。
    図 1: リージョン Verify Regionの確認
  3. キー・ペアの作成」をクリックし、キー・ペア名を指定して、「 作成」をクリックします。
  4. 秘密キー ファイル (.pem) がコンピューターに自動的にダウンロードされます。ダウンロードした秘密キー ファイルを安全な場所に移動します。

  5. MacまたはLinuxコンピュータでSSHクライアントを使用してvSRX仮想ファイアウォールインスタンスに接続するには、次のコマンドを使用して、自分だけが読み取ることができるようにプライベートキーファイルの権限を設定します。

  6. シェルプロンプトからvSRX仮想ファイアウォールインスタンスにアクセスするには、 コマンドを使用しますssh -i <full path to your keyfile.pem>/<ssh-key-pair-name>.pem ec2-user@<public-ip-of-vsrx>。キー ファイルが現在のディレクトリにある場合は、フル パスssh -i <keyfile.pem>/<ssh-key-pair-name>.pem ec2-user@<public-ip-of-vsrx>の代わりにファイル名を として使用できます。
メモ:

または、[ キーペアのインポート(Import Key Pair)] を使用して、サードパーティ製ツールで生成した別のキーペアをインポートします。

キーのローテーションの詳細については、「 https://docs.aws.amazon.com/kms/latest/developerguide/rotate-keys.html」を参照してください。

ステップ2:vSRX仮想ファイアウォールインスタンスを起動する

vSRX仮想ファイアウォールでサポートされているAWSインスタンスタイプを 表1に示します。

vSRX仮想ファイアウォールは、MおよびC3インスタンスタイプをサポートしていません。これらのインスタンスタイプのいずれかを使用してvSRX仮想ファイアウォールをスピンした場合は、インスタンスタイプをC4またはC5インスタンスタイプに変更する必要があります。

表1:vSRX仮想ファイアウォールでサポートされているAWSインスタンスタイプ

インスタンスタイプ

vSRX仮想ファイアウォールタイプ

Vcpu

メモリ(GB)

RSSタイプ

c5.大

vSRX仮想ファイアウォール-2CPU-3Gメモリ

2

4

ハードウェアRSS

c5.xlarge

vSRX仮想ファイアウォール-4CPU-3Gメモリ

4

8

ハードウェアRSS

c5.2x大

vSRX仮想ファイアウォール-8CPU-15Gメモリ

8

16

ハードウェアRSS

c5.4倍拡大

vSRX仮想ファイアウォール-16CPU-31Gメモリ

16

32

ソフトウェアRSS

c5.9x大

vSRX仮想ファイアウォール-36CPU-93Gメモリ

36

96

ソフトウェアRSS

c5n.2xlarge

vSRX仮想ファイアウォール-8CPU-20Gメモリ

8

21

ハードウェアRSS

c5n.4xlarge

vSRX仮想ファイアウォール-16CPU-41Gメモリ

16

42

ハードウェアRSS

c5n.9xlarge

vSRX仮想ファイアウォール-36CPU-93Gメモリ

36

96

ハードウェアRSS

AWS上のvSRX仮想ファイアウォールは最大8つのネットワークインターフェイスをサポートしますが、vSRX仮想ファイアウォールインスタンスに接続できるインターフェイスの実際の最大数は、インスタンスが起動されるAWSインスタンスタイプによって決まります。8つを超えるインターフェイスを許可するAWSインスタンスの場合、vSRX仮想ファイアウォールは最大8つのインターフェイスのみをサポートします。

サポートされている C5 インスタンスタイプは次のとおりです。

  • c5.大

  • c5.xlarge

  • c5.2x大

  • c5.4倍拡大

  • c5.9x大

  • c5n.2xlarge

  • c5n.4xlarge

  • c5n.9xlarge

サポートされている AMD ベースの AWS インスタンスは次のとおりです。

  • C5a.16x大

  • C5a.8x大

  • C5a.4倍大

  • C5a.2x大

  • C5a.xlarge

vCPU、メモリなどのインスタンスの詳細については、「価格情報」を参照してください

インスタンスタイプ別の最大ネットワークインターフェイス数の詳細については、「 https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html 」を参照してください。

ベスト プラクティス:

Instance Type Selection- ネットワークに必要な変更に基づいて、インスタンスが過剰に使用されている (インスタンスタイプが小さすぎるなど) または十分に活用されていない (インスタンスタイプが大きすぎるなど) 場合があります。この場合は、インスタンスのサイズを変更できます。たとえば、インスタンスがワークロードに対して小さすぎる場合は、ワークロードに適した別のインスタンスタイプに変更できます。また、一部の機能を利用するために、前世代のインスタンスタイプから現世代のインスタンスタイプに移行することもできます。たとえば、IPv6 のサポートなどです。パフォーマンスとスループットを向上させるために、インスタンスの変更を検討してください。

Junos OSリリース18.4R1以降、c5.large vSRX仮想ファイアウォールインスタンスがサポートされています。これらは費用対効果が高く、より優れたパフォーマンスとスループットを提供します。

Amazon VPC で vSRX 仮想ファイアウォールインスタンスを起動するには、以下を行います。

  1. AWS アカウントにログインします。
  2. Amazon マーケットプレイス> [サブスクリプションの管理] に移動し、vSRX 仮想ファイアウォールを検索します。
  3. [vSRX 次世代ファイアウォール] を選択します。
    vSRX 仮想ファイアウォール次世代ファイアウォール Amazon マシンイメージ ページが表示されます。
  4. 新規インスタンスの起動」をクリックします。
  5. 展開する配信方法、ソフトウェア バージョン、およびリージョンを選択します。[続行] をクリックして、EC2 経由で起動します
  6. サポートされているインスタンスタイプを選択します。詳細については、表 1 を参照してください。
  7. 次へ: インスタンスの詳細の構成」をクリックし、表 2 のフィールドを指定します。[詳細] を展開して、すべての設定を表示します。
    表 2: AWS インスタンスの詳細

    フィールド

    設定

    ネットワーク

    vSRX 仮想ファイアウォール用に設定された Amazon VPC を選択します。

    サブネット

    vSRX仮想ファイアウォール管理インターフェイス(fxp0)のパブリックサブネットを選択します。

    グローバルIPの自動割り当て

    [無効] を選択します (Elastic IP アドレスは後で割り当てます)。

    プレイスメントグループ

    デフォルトを使用します。

    シャットダウン動作

    [停止](デフォルト)を選択します。

    • 端末保護を有効にする

    • 監視

    IT ポリシーを使用します。

    ネットワーク インターフェイス

    [ プライマリ IP ] フィールドに既定値を使用するか、パブリック IP アドレスを割り当てます。

    ユーザーデータ

    Junos OSリリース17.4R1以降、指定されたユーザーデータファイルに従ってAWS上で動作する新しいvSRX仮想ファイアウォールインスタンスの設定を簡素化するために、cloud-initパッケージ(バージョン0.7x)がAWS向けvSRX仮想ファイアウォールイメージにプリインストールされています。

    「インスタンスの詳細の構成」ページの「ユーザー・データ」セクションで、「 ファイルとして 」を選択し、ユーザー・データ・ファイルを添付します。選択したファイルは、インスタンスの初期起動に使用されます。最初の起動シーケンス中に、vSRX仮想ファイアウォールインスタンスがcloud-initリクエストを処理します。ユーザーデータファイルの作成方法については、 Cloud-Initを使用してAWSでvSRXインスタンスの初期化を自動化 するを参照してください。

    メモ:

    ユーザーデータとして渡されるJunos OS設定は、初回起動時にのみインポートされます。インスタンスを停止して再起動した場合、ユーザーデータファイルは再度インポートされません。
  8. [次へ: ストレージの追加] をクリックし、デフォルト設定を使用するか、必要に応じてボリュームの種類と IOPS を変更します。
  9. [次へ: インスタンスのタグ付け] をクリックし、vSRX 仮想ファイアウォール インスタンスの名前を指定します。
  10. [次へ: セキュリティ グループの構成] をクリックし、[既存のセキュリティ グループを選択する] を選択して、vSRX 仮想ファイアウォール管理インターフェイス (fxp0) 用に作成したセキュリティ グループを選択します。
  11. [確認して起動] をクリックし、vSRX 仮想ファイアウォールインスタンスの設定を確認して、[起動] をクリックします。
  12. 作成したSSHキーペアを選択し、確認チェックボックスをオンにして、[インスタンスの起動]をクリックします。
  13. [インスタンスの表示] をクリックして、Amazon EC2 ダッシュボードに [インスタンス] リストを表示します。vSRX仮想ファイアウォールインスタンスの起動には数分かかる場合があります。

ステップ 3: AWS システムログを表示する

起動時間エラーをデバッグするには、次のように AWS システムログを表示します。

  1. Amazon EC2 ダッシュボードで、[ インスタンス] を選択します。
  2. vSRX仮想ファイアウォールインスタンスを選択し、[インスタンス設定]>[アクション]>[システムログの取得]を選択します。

ステップ4:vSRX仮想ファイアウォール用のネットワークインターフェイスを追加する

AWS は、選択した AWS インスタンスタイプに応じて、インスタンスに対して最大 8 つのインターフェイスをサポートします。vSRX仮想ファイアウォールに追加する収益インターフェイスごとに、次の手順を使用します(最大7つ)。最初の収益インターフェイスはge-0/0/0、2番目の収益インターフェイスはge-0/0/1、という具合です(「 AWS での vSRX の要件」を参照)。

vSRX仮想ファイアウォール収益インターフェイスを追加するには:

  1. Amazon EC2 ダッシュボードで、左側のペインで [ ネットワークインターフェイス ] を選択し、[ ネットワークインターフェイスの作成] をクリックします。
  2. 表 3 に示すようにインターフェース設定を指定し、「はい、作成」をクリックします。
    表 3: ネットワーク インターフェイスの設定

    フィールド

    設定

    説明

    各収益インターフェースのインターフェースの説明を入力します。

    サブネット

    最初の収益インターフェイス(ge-0/0/0)用に作成されたパブリックサブネット、または他のすべての収益インターフェイス用に作成されたプライベートサブネットを選択します。

    プライベートIP

    選択したサブネットの IP アドレスを入力するか、アドレスが自動的に割り当てられるようにします。

    セキュリティグループ

    vSRX仮想ファイアウォール収益インターフェイス用に作成したセキュリティグループを選択します。
  3. 新しいインターフェイスを選択し、[アクション] > [ソース/宛先チェックの変更] を選択し、[ 無効] を選択して、[ 保存] をクリックします。
    図2:ソース/宛先チェック Disable Source/Dest. Checkの無効化
  4. 新しいインターフェイスを選択して [アタッチ] を選択し、vSRX 仮想ファイアウォール インスタンスを選択して [アタッチ] をクリックします。
  5. 新しいインターフェイスの [Name] 列の鉛筆アイコンをクリックし、インターフェイスに名前を付けます(例:ix-fxp0.0)。
メモ:

プライベート収益インターフェイス (ge-0/0/1 から ge-0/0/7) の場合は、作成したネットワーク名またはネットワーク インターフェイス ID をメモします。名前またはインターフェイス ID は、後でプライベートサブネット用に作成したルートテーブルに追加します。

ステップ 5: Elastic IP アドレスを割り当てる

パブリックインターフェイスの場合、AWS はパブリック IP アドレスからプライベート IP アドレスへの NAT 変換を行います。パブリック IP アドレスは Elastic IP アドレスと呼ばれます。パブリックvSRX仮想ファイアウォールインターフェイス(fxp0およびge-0/0/0)にElastic IPアドレスを割り当てることをお勧めします。vSRX仮想ファイアウォールインスタンスを再起動すると、Elastic IPは保持されますが、パブリックサブネットIPは解放されます。

Elastic IP を作成して割り当てるには:

  1. Amazon EC2 ダッシュボードで、左ペインで [ Elastic IP ] を選択し、[ 新しいアドレスの割り当て] をクリックして、[ はい、割り当てます] をクリックします。(アカウントで EC2-Classic がサポートされている場合は、最初に [ネットワークプラットフォーム] リストから [EC2-VPC ] を選択する必要があります。
  2. 新しい Elastic IP アドレスを選択し、[ アドレスの関連付け] > [アクション] を選択します。
  3. 表 4 の設定を指定し、[割り当て] をクリックします。
    表 4: Elastic IP 設定

    フィールド

    設定

    ネットワーク インターフェイス

    vSRX仮想ファイアウォール管理インターフェイス(fxp0)または最初の収益インターフェイス(ge-0/0/0)を選択します。

    プライベート IP アドレス

    Elastic IP アドレスに関連付けるプライベート IP アドレスを入力します。

ステップ6:vSRX仮想ファイアウォールのプライベートインターフェイスをルートテーブルに追加する

vSRX仮想ファイアウォール用に作成したプライベート収益インターフェイスごとに、関連付けられたプライベートサブネット用に作成したルートテーブルにインターフェイスIDを追加する必要があります。

プライベートインターフェイス ID をルートテーブルに追加するには:

  1. VPC ダッシュボードで、左側のペインにある [ ルートテーブル] を選択します。
  2. プライベートサブネット用に作成したルートテーブルを選択します。
  3. ルート テーブルの一覧の下にある [ ルート ] タブを選択します。
  4. [ 編集 ] をクリックし、[ 別のルートを追加] をクリックします。
  5. 表 5 の設定を指定し、「保存」をクリックします。
    表 5: プライベート ルートの設定

    フィールド

    設定

    インターネットトラフィックに「0.0.0.0/0」と入力します。

    ターゲット

    関連付けられたプライベートサブネットのネットワーク名またはネットワークインターフェイス ID を入力します。ネットワーク・インターフェイスは、「 サブネットの関連付け」 タブに表示されるプライベート・サブネット内にある必要があります。

    メモ:

    インターネット ゲートウェイ (igw-nnnnnnnnnn) は選択しないでください。

プライベート ネットワーク インターフェイスごとにこの手順を繰り返します。この設定を完了するには、vSRX仮想ファイアウォールインスタンスを再起動する必要があります。

ステップ7:vSRX仮想ファイアウォールインスタンスを再起動する

インターフェイスの変更を組み込み、Amazon EC2の設定を完了するには、vSRX仮想ファイアウォールインスタンスを再起動する必要があります。vSRX仮想ファイアウォールインスタンスの実行中にアタッチされたインターフェイスは、インスタンスが再起動されるまで有効になりません。

メモ:

vSRX仮想ファイアウォールインスタンスを再起動するには、必ずAWSを使用してください。再起動にvSRX仮想ファイアウォールCLIを使用しないでください。

vSRX仮想ファイアウォールインスタンスを再起動するには:

  1. Amazon EC2 ダッシュボードで、左ペインの [ インスタンス] を選択します。
  2. vSRX仮想ファイアウォールインスタンスを選択し、[アクション]>[インスタンスの状態]>再起動を選択します。

vSRX仮想ファイアウォールインスタンスの再起動には数分かかる場合があります。

ステップ8:vSRX仮想ファイアウォールインスタンスにログインする

AWS展開では、vSRX仮想ファイアウォールインスタンスは、セキュリティを強化するためにデフォルトで以下の機能を提供します。

  • SSH経由でのみログインできます。

  • cloud-initは、SSHキーログインを設定するために使用されます。

  • rootアカウントのSSHパスワードログインが無効になっています。

AmazonのAWSクラウドインフラストラクチャで起動されるvSRX仮想ファイアウォールインスタンスは、Amazonが提供するcloud-initサービスを使用して、インスタンスの起動に使用するアカウントに関連付けられたSSHパブリックキーをコピーします。その後、対応するプライベートキーを使用してインスタンスにログインできるようになります。

メモ:

SSH パスワードを使用した Root ログインは、デフォルトで無効になっています。

SSHクライアントを使用して、vSRX仮想ファイアウォールインスタンスに初めてログインします。ログインするには、ユーザーアカウントのSSHキーペア の.pem ファイルを保存した場所と、vSRX仮想ファイアウォール管理インターフェイス(fxp0)に割り当てられたElastic IPアドレスを指定します。

メモ:

Junos OS リリース 17.4R1 以降、デフォルトのユーザー名が から root@ ec2-user@に変更されました。
メモ:

Junos OS パスワードを使用した root ログインは、デフォルトでは無効になっています。他のユーザーは、Junos OS の初期セットアップ フェーズの後に設定できます。

キーペアのファイル名と Elastic IP アドレスがわからない場合は、次の手順を使用して、vSRX 仮想ファイアウォールインスタンスのキーペア名と Elastic IP を表示します。

  1. Amazon EC2 ダッシュボードで、[ インスタンス] を選択します。
  2. vSRX 仮想ファイアウォールインスタンスを選択し、[説明] タブで eth0 を選択して、fxp0 管理インターフェイスの Elastic IP アドレスを表示します。
  3. インスタンスのリストの上にある [ 接続 ] をクリックして、SSH キーペアのファイル名を表示します。

vSRX仮想ファイアウォールインスタンスの基本設定を行うには、 CLIを使用したvSRXの設定を参照してください。

メモ:

vSRX仮想ファイアウォールの従量課金制イメージには、個別のライセンスは必要ありません。

関連ドキュメント

変更履歴テーブル

機能のサポートは、使用しているプラットフォームとリリースによって決まります。 機能エクスプローラー を使用して、機能がプラットフォームでサポートされているかどうかを判断します。

リリース
説明
17.4R1
Junos OSリリース17.4R1以降、指定されたユーザーデータファイルに従ってAWS上で動作する新しいvSRX仮想ファイアウォールインスタンスの設定を簡素化するために、cloud-initパッケージ(バージョン0.7x)がAWS向けvSRX仮想ファイアウォールイメージにプリインストールされています。