Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
項目一覧
 

Microsoft AzureでのvSRX仮想ファイアウォールの要件

このセクションでは、Microsoft AzureクラウドにvSRX仮想ファイアウォールインスタンスを導入するための要件の概要を説明します。

Microsoft AzureクラウドでvSRX仮想ファイアウォールを使用するためのシステム要件

Junos OS リリース 15.1X49-D80 および Junos OS リリース 17.3R1 以降では、vSRX仮想ファイアウォールをMicrosoft Azureクラウドに導入できます。Microsoft Azure では、デプロイされた Azure 仮想マシン (VM) のさまざまなサイズとオプションがサポートされています。

Microsoft AzureにvSRX仮想ファイアウォールを展開する場合は、DSv2シリーズの仮想マシンをお勧めします。Microsoft Azure から提供される DSv2 シリーズの VM は Premium Storage (SSD) を使用しており、より高速な CPU とより優れたローカル ディスク パフォーマンスを必要とするアプリケーションや、より高いメモリ需要を持つアプリケーションに最適です。使用可能な DSv2 シリーズの VM のうち、Microsoft Azure での vSRX仮想ファイアウォール VM のデプロイには、Standard_DS3_v2、Standard_DS4_v2、または Standard_DS5_v2 を選択することをお勧めします。詳細については、「 DSv2 シリーズ」を参照してください。

表 1 は、Microsoft Azure で使用できるStandard_DS3_v2 VM のプロパティの一覧です。

表 1: Microsoft Azure の Standard_DS3_v2 VM のプロパティ

コンポーネント

仕様

大きさ

Standard_DS3_v2

CPU コア数

4

記憶

14 GiB

データ ディスクの最大数

16

キャッシュおよびローカル ディスク ストレージの最大スループット: IOPS/MBps (キャッシュ サイズ (GB)

16,000/128 (172)

キャッシュされていないディスクの最大スループット: IOPS/MBps

12,800/192

最大 NIC/予想されるネットワーク帯域幅 (Mbps)

4/3000

表 2 は、Microsoft Azure で使用できるStandard_DS4_v2 VM のプロパティの一覧です。

表 2: Microsoft Azure の Standard_DS4_v2 VM のプロパティ

コンポーネント

仕様

大きさ

標準DS4_v2

CPU コア数

8

記憶

28 GiB

データ ディスクの最大数

32

一時ストレージ (SSD) GiB

56

キャッシュと一時ストレージの最大スループット: IOPS/MBps (キャッシュ サイズ (GiB)

32000/256 (344)

キャッシュされていないディスクの最大スループット: IOPS/MBps

25600/384

最大 NIC/予想されるネットワーク帯域幅 (Mbps)

8/6000
手記:

vSRX仮想ファイアウォールは、Microsoft Azureでの高可用性設定をサポートしません。さらに、vSRX仮想ファイアウォールは、Microsoft Azureのレイヤー2透過モードをサポートしていません。Microsoft Azureクラウドに導入されたvSRX仮想ファイアウォールで、マルチノード高可用性を設定できます。詳細については、「 Azure Cloud でのマルチノードの高可用性」を参照してください。

表 3 は、Microsoft Azure で使用できるStandard_DS5_v2 VM のプロパティの一覧です。

表 3: Microsoft Azure の Standard_DS5_v2 VM のプロパティ

コンポーネント

仕様

大きさ

標準DS5_v2

CPU コア数

16

記憶

56 GiB

データ ディスクの最大数

64

一時ストレージ (SSD) GiB

112

キャッシュと一時ストレージの最大スループット: IOPS/MBps (キャッシュ サイズ (GiB)

64000/512 (688)

キャッシュされていないディスクの最大スループット: IOPS/MBps

51200/768

最大 NIC/予想されるネットワーク帯域幅 (Mbps)

8/12000

Microsoft Azureクラウド上のvSRX仮想ファイアウォールのネットワーク要件

Microsoft Azure仮想ネットワークにvSRX仮想ファイアウォールVMを展開する場合は、導入設定の以下の点に留意してください。

  • デュアルパブリックIPネットワーク構成は、vSRX仮想ファイアウォールVMネットワーク接続の要件です。vSRX仮想ファイアウォールVMには、インスタンスグループごとに2つのパブリックサブネットと1つ以上のプライベートサブネットが必要です。

  • vSRX仮想ファイアウォールVMに必要なパブリックサブネットは、管理アクセス用の帯域外管理インターフェイス(fxp0)用のサブネットと、2つの収益(データ)インターフェイス用のもう1つのサブネットで構成されています。デフォルトでは、1つのインターフェイスはvSRX仮想ファイアウォールVMのuntrustセキュリティ ゾーンに割り当てられ、もう1つはtrustセキュリティ ゾーンに割り当てられます。

  • vSRX仮想ファイアウォールVMのMicrosoft Azure導入では、vSRX仮想ファイアウォールは、管理インターフェイス(fxp0)と2つの収益(データ)インターフェイス(ポートge-0/0/0およびge-0/0/1)をサポートします。これには、パブリックIPアドレスのマッピングと、vSRX仮想ファイアウォールVMとの間のデータトラフィック転送が含まれます。

Microsoft AzureインスタンスとvSRX仮想ファイアウォールのインスタンスタイプ

vSRX仮想ファイアウォールでサポートされているMicrosoft Azureインスタンスタイプを 表4に示します。

表4:vSRX仮想ファイアウォールでサポートされているMicrosoft Azureインスタンスタイプ

インスタンスタイプ

vSRX仮想ファイアウォールのタイプ

vCPU

インスタンスタイプのメモリ(GB)

RSSタイプ

Standard_DS3_v2

vSRX仮想ファイアウォール-4CPU-14Gメモリ

4

14

HWRSSの

Standard_DS4_v2

vSRX仮想ファイアウォール-8CPU-28Gメモリ

8

28

HWRSSの

Standard_DS5_v2

vSRX仮想ファイアウォール-16CPU-56Gメモリ

16

56

HWRSSの

Microsoft Azure上のvSRX仮想ファイアウォールのインターフェイスマッピング

表 5 は、vSRX仮想ファイアウォールとMicrosoft Azureインターフェイス名を示しています。最初のネットワーク インターフェイスは、vSRX仮想ファイアウォールの帯域外管理(fxp0)に使用されます。

表5:vSRX仮想ファイアウォールとMicrosoft Azureインターフェイス名

インターフェイス番号

vSRX仮想ファイアウォールインターフェイス

Microsoft Azureインターフェイス

1

fxp0

eth0

2

ge-0/0/0

eth1の

3

ge-0/0/1

eth2の

4

ge-0/0/2

eth3の

5

ge-0/0/3

eth4の

6

ge-0/0/4

eth5の

7

ge-0/0/5

eth6の

8

ge-0/0/6

ETH7の
手記:

Azure インスタンスの種類ごとにサポートされる NIC の最大数については、 Dv2 および DSv2 シリーズ を参照してください。

fxp0はデフォルトでデフォルト(inet.0)テーブルの一部であるため、非対称トラフィック/ルーティングを回避するためのベストプラクティスとして、ルーティングインスタンスに収益インターフェイスを配置することをお勧めします。fxp0 がデフォルト ルーティングテーブルの一部である場合、外部管理アクセス用の fxp0 インターフェイス用と、トラフィック アクセス用の revenue インターフェイスの 2 つのデフォルト ルートが必要になる可能性があります。収益インターフェイスを個別のルーティング インスタンスに配置することで、1 つのルーティング インスタンス内に 2 つのデフォルト ルートが存在するという状況を回避できます。同じセキュリティ ゾーンに属するインターフェイスが、同じルーティング インスタンスに存在することを確認します。

Microsoft AzureでのvSRX仮想ファイアウォールのデフォルト設定

vSRX仮想ファイアウォールには、以下の基本構成設定が必要です。

  • インターフェイスにはIPアドレスを割り当てる必要があります。

  • インターフェイスはゾーンにバインドする必要があります。

  • トラフィックを許可または拒否するには、ゾーン間でポリシーを設定する必要があります。

表6 は、vSRX仮想ファイアウォールのセキュリティポリシーの工場出荷時のデフォルト設定を示しています

表6:セキュリティ ポリシーの工場出荷時のデフォルト設定

送信元ゾーン

ゾーンと宛先

ポリシー アクション

信託

信頼できない

許す

信託

信託

許す
注意:

Microsoft Azure の vSRX仮想ファイアウォール インスタンスでは load factory-default コマンドを使用しないでください。工場出荷時の既定の構成では、"azure provision" の事前構成が削除されます。このグループには、vSRX仮想ファイアウォールの重要なシステムレベルの設定とルート情報が含まれています。「azure-provision」グループの設定ミスにより、Microsoft AzureからvSRX仮想ファイアウォールへの接続が失われる可能性があります。工場出荷時のデフォルトに戻す必要がある場合は、設定をコミットする前に、まずMicrosoft Azureの事前設定ステートメントを手動で再設定してください。そうしないと、vSRX仮想ファイアウォールインスタンスにアクセスできなくなります。

設定をコミットする際には、vSRX仮想ファイアウォールへの接続が失われる可能性を避けるために、明示的な commit confirmed を実行することを強くお勧めします。変更が正しく機能することを確認したら、10 分以内に commit コマンドを入力することで、新しい設定をアクティブな状態に維持できます。タイムリーに 2 回目の確認を行わないと、設定変更はロールバックされます。事前設定の詳細については 、CLIを使用したvSRXの設定 を参照してください。

vSRX仮想ファイアウォールのパフォーマンス向上のためのベストプラクティス

vSRX仮想ファイアウォールのパフォーマンスを向上させるには、以下の導入方法をご確認ください。

  • すべてのvSRX仮想ファイアウォールインターフェイスの送信元/宛先チェックを無効にします。

  • キーペアの公開キーのアクセス許可を 400 に制限します。

  • Microsoft AzureセキュリティグループとvSRX仮想ファイアウォール設定の間に矛盾がないことを確認してください。

  • vSRX仮想ファイアウォールNATを使用して、インターネットトラフィックからの直接トラフィックからインスタンスを保護します。

関連資料

変更履歴

サポートされる機能は、使用しているプラットフォームとリリースによって決まります。特定の機能がお使いのプラットフォームでサポートされているかどうかを確認するには、 Feature Explorer を使用します。

解放
形容
15.1X49-D80
Junos OS リリース 15.1X49-D80 および Junos OS リリース 17.3R1 以降では、vSRX仮想ファイアウォールをMicrosoft Azureクラウドに導入できます。