Amazon 仮想プライベートクラウドでの vSRX 仮想ファイアウォールインスタンスの起動
以下の手順では、Amazon 仮想プライベートクラウド(Amazon VPC)で vSRX 仮想ファイアウォールインスタンスを起動して設定する方法について説明します。
ステップ 1: SSH キーペアを作成する
AWS上のvSRX仮想ファイアウォールインスタンスにリモートアクセスするには、SSHキーペアが必要です。Amazon EC2 ダッシュボードで新しいキーペアを作成したり、別のツールで作成されたキーペアをインポートしたりできます。
SSHキーペアを作成するには:
または、[ キーペアのインポート(Import Key Pair)] を使用して、サードパーティ製ツールで生成した別のキーペアをインポートします。
キーのローテーションの詳細については、「 https://docs.aws.amazon.com/kms/latest/developerguide/rotate-keys.html」を参照してください。
ステップ2:vSRX仮想ファイアウォールインスタンスを起動する
vSRX仮想ファイアウォールでサポートされているAWSインスタンスタイプを 表1に示します。
vSRX仮想ファイアウォールは、MおよびC3インスタンスタイプをサポートしていません。これらのインスタンスタイプのいずれかを使用してvSRX仮想ファイアウォールをスピンした場合は、インスタンスタイプをC4またはC5インスタンスタイプに変更する必要があります。
インスタンスタイプ |
vSRX仮想ファイアウォールタイプ |
Vcpu |
メモリ(GB) |
RSSタイプ |
---|---|---|---|---|
c5.大 |
vSRX仮想ファイアウォール-2CPU-3Gメモリ |
2 |
4 |
ハードウェアRSS |
c5.xlarge |
vSRX仮想ファイアウォール-4CPU-3Gメモリ |
4 |
8 |
ハードウェアRSS |
c5.2x大 |
vSRX仮想ファイアウォール-8CPU-15Gメモリ |
8 |
16 |
ハードウェアRSS |
c5.4倍拡大 |
vSRX仮想ファイアウォール-16CPU-31Gメモリ |
16 |
32 |
ソフトウェアRSS |
c5.9x大 |
vSRX仮想ファイアウォール-36CPU-93Gメモリ |
36 |
96 |
ソフトウェアRSS |
c5n.2xlarge |
vSRX仮想ファイアウォール-8CPU-20Gメモリ |
8 |
21 |
ハードウェアRSS |
c5n.4xlarge |
vSRX仮想ファイアウォール-16CPU-41Gメモリ |
16 |
42 |
ハードウェアRSS |
c5n.9xlarge |
vSRX仮想ファイアウォール-36CPU-93Gメモリ |
36 |
96 |
ハードウェアRSS |
AWS上のvSRX仮想ファイアウォールは最大8つのネットワークインターフェイスをサポートしますが、vSRX仮想ファイアウォールインスタンスに接続できるインターフェイスの実際の最大数は、インスタンスが起動されるAWSインスタンスタイプによって決まります。8つを超えるインターフェイスを許可するAWSインスタンスの場合、vSRX仮想ファイアウォールは最大8つのインターフェイスのみをサポートします。
サポートされている C5 インスタンスタイプは次のとおりです。
-
c5.大
-
c5.xlarge
-
c5.2x大
-
c5.4倍拡大
-
c5.9x大
-
c5n.2xlarge
-
c5n.4xlarge
-
c5n.9xlarge
サポートされている AMD ベースの AWS インスタンスは次のとおりです。
-
C5a.16x大
-
C5a.8x大
-
C5a.4倍大
-
C5a.2x大
-
C5a.xlarge
vCPU、メモリなどのインスタンスの詳細については、「価格情報」を参照してください
インスタンスタイプ別の最大ネットワークインターフェイス数の詳細については、「 https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html 」を参照してください。
Instance Type Selection- ネットワークに必要な変更に基づいて、インスタンスが過剰に使用されている (インスタンスタイプが小さすぎるなど) または十分に活用されていない (インスタンスタイプが大きすぎるなど) 場合があります。この場合は、インスタンスのサイズを変更できます。たとえば、インスタンスがワークロードに対して小さすぎる場合は、ワークロードに適した別のインスタンスタイプに変更できます。また、一部の機能を利用するために、前世代のインスタンスタイプから現世代のインスタンスタイプに移行することもできます。たとえば、IPv6 のサポートなどです。パフォーマンスとスループットを向上させるために、インスタンスの変更を検討してください。
Junos OSリリース18.4R1以降、c5.large vSRX仮想ファイアウォールインスタンスがサポートされています。これらは費用対効果が高く、より優れたパフォーマンスとスループットを提供します。
Amazon VPC で vSRX 仮想ファイアウォールインスタンスを起動するには、以下を行います。
ステップ 3: AWS システムログを表示する
起動時間エラーをデバッグするには、次のように AWS システムログを表示します。
- Amazon EC2 ダッシュボードで、[ インスタンス] を選択します。
- vSRX仮想ファイアウォールインスタンスを選択し、[インスタンス設定]>[アクション]>[システムログの取得]を選択します。
ステップ4:vSRX仮想ファイアウォール用のネットワークインターフェイスを追加する
AWS は、選択した AWS インスタンスタイプに応じて、インスタンスに対して最大 8 つのインターフェイスをサポートします。vSRX仮想ファイアウォールに追加する収益インターフェイスごとに、次の手順を使用します(最大7つ)。最初の収益インターフェイスはge-0/0/0、2番目の収益インターフェイスはge-0/0/1、という具合です(「 AWS での vSRX の要件」を参照)。
vSRX仮想ファイアウォール収益インターフェイスを追加するには:
プライベート収益インターフェイス (ge-0/0/1 から ge-0/0/7) の場合は、作成したネットワーク名またはネットワーク インターフェイス ID をメモします。名前またはインターフェイス ID は、後でプライベートサブネット用に作成したルートテーブルに追加します。
ステップ 5: Elastic IP アドレスを割り当てる
パブリックインターフェイスの場合、AWS はパブリック IP アドレスからプライベート IP アドレスへの NAT 変換を行います。パブリック IP アドレスは Elastic IP アドレスと呼ばれます。パブリックvSRX仮想ファイアウォールインターフェイス(fxp0およびge-0/0/0)にElastic IPアドレスを割り当てることをお勧めします。vSRX仮想ファイアウォールインスタンスを再起動すると、Elastic IPは保持されますが、パブリックサブネットIPは解放されます。
Elastic IP を作成して割り当てるには:
ステップ6:vSRX仮想ファイアウォールのプライベートインターフェイスをルートテーブルに追加する
vSRX仮想ファイアウォール用に作成したプライベート収益インターフェイスごとに、関連付けられたプライベートサブネット用に作成したルートテーブルにインターフェイスIDを追加する必要があります。
プライベートインターフェイス ID をルートテーブルに追加するには:
プライベート ネットワーク インターフェイスごとにこの手順を繰り返します。この設定を完了するには、vSRX仮想ファイアウォールインスタンスを再起動する必要があります。
ステップ7:vSRX仮想ファイアウォールインスタンスを再起動する
インターフェイスの変更を組み込み、Amazon EC2の設定を完了するには、vSRX仮想ファイアウォールインスタンスを再起動する必要があります。vSRX仮想ファイアウォールインスタンスの実行中にアタッチされたインターフェイスは、インスタンスが再起動されるまで有効になりません。
vSRX仮想ファイアウォールインスタンスを再起動するには、必ずAWSを使用してください。再起動にvSRX仮想ファイアウォールCLIを使用しないでください。
vSRX仮想ファイアウォールインスタンスを再起動するには:
- Amazon EC2 ダッシュボードで、左ペインの [ インスタンス] を選択します。
- vSRX仮想ファイアウォールインスタンスを選択し、[アクション]>[インスタンスの状態]>再起動を選択します。
vSRX仮想ファイアウォールインスタンスの再起動には数分かかる場合があります。
ステップ8:vSRX仮想ファイアウォールインスタンスにログインする
AWS展開では、vSRX仮想ファイアウォールインスタンスは、セキュリティを強化するためにデフォルトで以下の機能を提供します。
SSH経由でのみログインできます。
cloud-initは、SSHキーログインを設定するために使用されます。
rootアカウントのSSHパスワードログインが無効になっています。
AmazonのAWSクラウドインフラストラクチャで起動されるvSRX仮想ファイアウォールインスタンスは、Amazonが提供するcloud-initサービスを使用して、インスタンスの起動に使用するアカウントに関連付けられたSSHパブリックキーをコピーします。その後、対応するプライベートキーを使用してインスタンスにログインできるようになります。
SSH パスワードを使用した Root ログインは、デフォルトで無効になっています。
SSHクライアントを使用して、vSRX仮想ファイアウォールインスタンスに初めてログインします。ログインするには、ユーザーアカウントのSSHキーペア の.pem ファイルを保存した場所と、vSRX仮想ファイアウォール管理インターフェイス(fxp0)に割り当てられたElastic IPアドレスを指定します。
Junos OS リリース 17.4R1 以降、デフォルトのユーザー名が から root@
ec2-user@
に変更されました。
ssh -i <path>/<ssh-key-pair-name>.pem ec2-user@<fxpo-elastic-IP-address>
Junos OS パスワードを使用した root ログインは、デフォルトでは無効になっています。他のユーザーは、Junos OS の初期セットアップ フェーズの後に設定できます。
キーペアのファイル名と Elastic IP アドレスがわからない場合は、次の手順を使用して、vSRX 仮想ファイアウォールインスタンスのキーペア名と Elastic IP を表示します。
- Amazon EC2 ダッシュボードで、[ インスタンス] を選択します。
- vSRX 仮想ファイアウォールインスタンスを選択し、[説明] タブで eth0 を選択して、fxp0 管理インターフェイスの Elastic IP アドレスを表示します。
- インスタンスのリストの上にある [ 接続 ] をクリックして、SSH キーペアのファイル名を表示します。
vSRX仮想ファイアウォールインスタンスの基本設定を行うには、 CLIを使用したvSRXの設定を参照してください。
vSRX仮想ファイアウォールの従量課金制イメージには、個別のライセンスは必要ありません。
変更履歴テーブル
機能のサポートは、使用しているプラットフォームとリリースによって決まります。 機能エクスプローラー を使用して、機能がプラットフォームでサポートされているかどうかを判断します。