Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページで
 

vSRX仮想ファイアウォールを使用したサービスチェーンの概要

Contrail を使用して、 ファイアウォールNATIDP など、さまざまなレイヤー 2~レイヤー 7 サービスを 1 つ以上の vSRX 仮想ファイアウォール VM を介してチェーン設定できます。たとえば、他の 2 つの仮想マシン(VM)間に vSRX 仮想ファイアウォール ファイアウォール VM を挿入できます。vSRX仮想ファイアウォールとサービスチェーンを使用することで、ターゲットとする仮想ネットワークとVMセットに合わせてセキュリティニーズを調整できます。これにより、クラウド ネットワーク環境の流動性に応じて俊敏性と拡張性が実現します。

サービス チェーンについて

vSRX仮想ファイアウォールを介してサービスを作成するには、1つ以上のvSRX仮想ファイアウォールVMをインスタンス化して、単一または複数のサービスをネットワークトラフィックに動的に適用します。

図 1 は、単一の vSRX 仮想ファイアウォール VM を持つ基本的なサービス チェーンを示しています。vSRX 仮想ファイアウォール サービス VM は、ファイアウォールなどのサービスを生成します。左側のインターフェイス(左の IF)は、サービスを使用する内部エンド カスタマーを指します。そして、適切なインターフェイス(右のIF)が外部ネットワークまたはインターネットを指しています。また、複数のvSRX仮想ファイアウォールVMをインスタンス化して、複数のサービスを連鎖させることができます。たとえば、ファイアウォールの後に IDP サービスを追加できます。

図 1:vSRX 仮想ファイアウォール サービス チェイニング vSRX Virtual Firewall Service Chaining

サービス チェーンを作成すると、Contrail はチェーン内のすべてのサービスに及ぶアンダーレイ ネットワーク全体にトンネルを作成します。

サービス チェーン モード

以下のサービスモードを設定できます。

  • 透過モードまたはブリッジ モード — パケットを変更しないサービスに使用されます。bump-in-the-wire またはレイヤー 2 モードとも呼ばれます。たとえば、レイヤー 2 ファイアウォールと IDP です。

  • ネットワーク内モードまたはルーテッドモード-サービスインスタンスインターフェイス間でパケットをルーティングするゲートウェイサービスを提供します。たとえば、NAT、レイヤー 3 ファイアウォール、ロード バランシングなどです。

  • ネットワーク内 nat モード—ネットワーク内モードと似ています。ただし、左側(プライベート)ネットワークからのパケットは、右側(パブリック)ソースネットワークにルーティングされません。ネットワーク内 nat モードは、NAT サービスに特に役立ちます。

    メモ:

    左側のプライベートネットワークと右側のパブリックネットワークでサービスポリシーを定義し、左側のネットワークにアドバタイズされるパブリックルート(通常はデフォルト)を取得してください。

サービス チェーンのコンポーネント

サービスチェイニングでは、チェーンを構築するために以下の構成コンポーネントが必要です。

  • サービス テンプレート

  • 仮想ネットワーク

  • サービス インスタンス

  • ネットワーク ポリシー

サービス テンプレート

サービス テンプレートは、サービス インスタンス(VM)のインスタンス化に Contrail が使用する基本的な構成をマップします。Contrail では、ドメインのスコープ内でサービス テンプレートを構成し、ドメイン内のすべてのプロジェクトでテンプレートを使用できます。テンプレートを使用して、ドメイン内の異なるプロジェクトで同じタイプの複数のサービス インスタンスを起動できます。サービス テンプレート内で、サービス モード、サービスを提供する VM の vSRX 仮想ファイアウォール イメージ名、サービスのインターフェイスの順序指定済みリストを選択します。vSRX 仮想ファイアウォール サービス VM では、管理インターフェイスがその順序付きリストの最初のインターフェイスである必要があります。OpenStack の水平線または概要を使用して、vSRX 仮想ファイアウォール イメージを追加できます。また、OpenStack フレーバーを選択して、サービス テンプレートを使用するすべてのサービス インスタンスに関連付けます。OpenStack フレーバーは、VM に割り当てることができる vCPU、ストレージ、およびメモリの数を定義します。OpenStack にはデフォルトのフレーバーが含まれており、OpenStack ダッシュボードで新しいフレーバーを作成できます。

仮想ネットワーク

仮想ネットワークは、サービスインスタンスと仮想環境のネットワークトラフィック間のリンクを提供します。Contrail または OpenStack で仮想ネットワークを作成し、これらのネットワークを使用してサービス インスタンス間またはサービス インスタンスを経由するトラフィックを誘導できます。

サービス インスタンス

サービス インスタンスとは、選択したサービス テンプレートのインスタンス化であり、サービスを提供する 1 つ以上の VM(ファイアウォールなど)を作成します。サービス インスタンスを作成する場合は、インスタンスを定義するサービス テンプレートを選択します。また、サービステンプレート内のインターフェイスを、サービスインスタンスにトラフィックを誘導するために必要な仮想ネットワークに関連付けます。選択したサービス テンプレートでサービス拡張を有効にした場合、サービス インスタンスの作成時に複数の VM をインスタンス化できます。

ネットワーク ポリシー

デフォルトでは、仮想ネットワーク内のすべてのトラフィックは分離されたままになります。仮想ネットワーク間とサービスインスタンスを介したトラフィックを許可するネットワークポリシーを設定します。ネットワークポリシーは、設定したルールに基づいて、サービスVMとの間のトラフィックをフィルタリングします。ネットワーク ポリシーが適用される VM の左右のインターフェイスに対して、サービス インスタンス VM と仮想ネットワークを選択します。最後のステップとして。ネットワークポリシーを、ポリシーが適用される各仮想ネットワークに関連付けます。

関連ドキュメント