Microsoft Azure Cloud를 통한 vSRX 가상 방화벽 이해
이 섹션에서는 Microsoft Azure 클라우드에 구축된 vSRX 가상 방화벽 대한 개요를 제공합니다.
Microsoft Azure를 통한 vSRX 가상 방화벽
릴리스 15.1X49-D80 및 Junos OS 릴리스 17.3R1 Junos OS Microsoft Azure Cloud에 vSRX 가상 방화벽 구축할 수 있습니다. Microsoft Azure는 퍼블릭 클라우드를 위한 Microsoft의 애플리케이션 플랫폼입니다. Microsoft 매니지드 데이터센터의 글로벌 네트워크를 통해 애플리케이션과 서비스를 구축, 구축 및 관리하기 위한 유연한 엔터프라이즈급 개방형 클라우드 컴퓨팅 플랫폼입니다. SaaS(Software as a Service), PaaS(Platform as a Service) 및 IaaS(Infrastructure as a Service) 서비스를 제공합니다. 가상 머신(VM)을 Azure 가상 네트워크에 배치하면 Azure의 분산 및 가상 네트워크가 다른 Azure 가상 네트워크의 트래픽으로부터 논리적으로 격리되도록 보장합니다.
Azure WALinuxAgent는 vSRX 가상 방화벽 인스턴스에 대한 프로비저닝 작업을 수행합니다. 새 vSRX 가상 방화벽 인스턴스가 구축되면 waagent 로그 파일의 크기가 계속 증가하면 vSRX 가상 방화벽 중단될 수 있습니다. vSRX 가상 방화벽 여전히 작동 중인 경우 /var/log/waagent.log 를 직접 삭제하거나 명령을 실행 clear log waagent.log all
하여 로그 파일을 지울 수 있습니다.
또는 및 set groups azure-provision system syslog file waagent.log archive files 10
명령을 실행 set groups azure-provision system syslog file waagent.log archive size 1m
하여 와이전트 로그가 증가하는 것을 방지할 수 있습니다. 이러한 구성으로 인해 1MB보다 큰 크기의 와겐트 로그 회전을 유발하고 최대 10개의 백업을 설정합니다.
vSRX 가상 방화벽 가상 보안 어플라이언스 를 추가하여 Azure 가상 네트워크 내에서 네트워킹 보안 기능을 애플리케이션 인스턴스로 제공할 수 있습니다. 이 vSRX 가상 방화벽 Microsoft Azure Cloud의 가상 네트워크 내에서 실행되는 워크로드를 보호합니다.
Azure에서 vSRX 가상 방화벽 VM을 다음과 같은 구축 방법을 사용하여 구축할 수 있습니다.
-
Azure Marketplace — Azure Marketplace에서 vSRX 가상 방화벽 VM을 구축합니다. Azure Marketplace는 가상 네트워크에 vSRX 가상 방화벽 VM을 구축하는 다양한 방법을 제공합니다. 주니퍼 네트웍스 제공하는 맞춤형 솔루션 템플릿을 선택하여 특정 사용 사례(예: 보안 게이트웨이)를 기반으로 vSRX 가상 방화벽 VM 구축을 자동화할 수 있습니다. 솔루션 템플릿은 VM 설정, 가상 네트워크 설정(예: 관리 인터페이스(fxp0)을 위한 여러 하위 세트 및 두 개의 수익(데이터) 인터페이스 등)과 같은 특정 구축 사용 사례와 관련된 종속성을 자동화합니다. 또는 vSRX 가상 방화벽 VM 이미지를 선택하고 특정 네트워킹 요구 사항에 따라 구축 설정 및 종속성을 정의할 수 있습니다. vSRX 가상 방화벽 Junos OS 릴리스 15.1X49-D91부터 Azure Marketplace에서 Microsoft Azure Cloud에 vSRX 가상 방화벽 구축할 수 있습니다.
Azure Marketplace는 또한 Azure Marketplace for Azure Government Cloud(미국)를 통해 규제된 워크로드를 지원하는 소프트웨어를 발견하고 구독할 수 있습니다.
-
Azure CLI — Azure CLI에서 vSRX 가상 방화벽 VM을 구축합니다. Microsoft Azure Cloud의 네트워크 요구 사항에 따라 vSRX 가상 방화벽 VM 구축 설정 및 종속성을 사용자 지정할 수 있습니다. Microsoft Azure 가상 네트워크에서 vSRX 가상 방화벽 VM의 구축을 자동화하고 단순화할 수 있도록 주니퍼 네트웍스 일련의 스크립트, ARM(Azure Resource Manager) 템플릿 및 매개 변수 파일, GitHub 리포지토리의 구성 파일을 제공합니다.
참고:Junos OS 릴리스 15.1X49-D80 및 Junos OS 릴리스 17.3R1부터 Azure CLI에서 Microsoft Azure Cloud에 vSRX 가상 방화벽 구축할 수 있습니다.
Microsoft Azure에서는 클라우드에서 서버 및 서비스를 PAYG(pay-as-you-go) 또는 BYOL(bring-your-own-license) 서비스로 호스팅할 수 있습니다.
VSRX 가상 방화벽 PAYG 이미지에는 주니퍼 네트웍스 라이선스가 필요하지 않습니다.
Junos OS 릴리스 15.1X49-D120부터 Microsoft Azure Cloud의 vSRX 가상 방화벽 1시간 또는 1년 구독으로 제공되는 PAYG용 바이러스 차단 방지 번들이 있는 vSRX 가상 방화벽 프리미엄 차세대 방화벽을 지원합니다. 이 번들에는 다음이 포함됩니다.
-
코어 방화벽, IPsec VPN, NAT, CoS 및 라우팅 서비스를 포함한 코어 보안의 표준(STD) 기능.
-
AppID, AppFW, AppQoS, AppTrack, IPS 및 컨텐츠 보안 바이러스 차단 기능을 포함한 풍부한 라우팅 기능의 AppSecure 기능과 같은 고급 레이어 4~7 보안 서비스.
그림 1 은 Microsoft Azure에 vSRX 가상 방화벽 구축하는 방법을 보여줍니다.
Microsoft Azure에서 퍼블릭 서브넷은 인터넷 게이트웨이에 액세스할 수 있지만 프라이빗 서브넷은 사용할 수 없습니다. vSRX 가상 방화벽 각 개별 인스턴스 그룹에 대해 2개의 퍼블릭 서브넷과 하나 이상의 프라이빗 서브넷이 필요합니다. 공용 서브넷은 관리 인터페이스(fxp0) 및 수익(데이터) 인터페이스용으로 구성됩니다. 다른 vSRX 가상 방화벽 인터페이스에 연결된 프라이빗 서브넷은 프라이빗 서브넷과 인터넷의 애플리케이션 간의 모든 트래픽이 vSRX 가상 방화벽 인스턴스를 통과해야 합니다.
Microsoft Azure 용어의 경우 Microsoft Azure 용어집을 참조하십시오.
Junos OS 릴리스 21.4R1부터 vSRX 가상 방화벽 3.0은 고속 네트워킹을 위해 Mellanox SR-IOV 가상 기능을 활용하는 Azure Accelerated Networking(AAN) 옵션을 지원합니다.
Microsoft Azure에는 연결된 각 네트워크 인터페이스에 대한 AAN(Azure Accelerated Networking) 옵션이 있습니다. AAN은 고속 네트워킹을 위해 Mellanox SR-IOV 가상 기능을 사용합니다. vSRX 가상 방화벽 3.0은 이제 AAN을 지원합니다. AAN을 통해 vSRX 가상 방화벽 3.0은 Azure 클라우드에서 더 나은 네트워크 성능을 제공합니다.
현재 Azure AAN의 경우 아래 나열된 vSRX 가상 방화벽 3.0 인스턴스만 지원합니다.
크기 | vCPU | 메모리(GiB) | MAX NIC |
---|---|---|---|
Standard_D8ds_v4 | 8 | 32 | 4 |
Standard_D16ds_v4 | 16 | 64 | 8 |
Standard_D32ds_v4 | 32 | 128 | 8 |
-
az network nic update --name <interface-name> --resource-group <resource-group> --accelerated-networking true
명령을 사용하여 AAN을 활성화합니다. - 웹 GUI 사용: Microsoft Azure 포털에 로그인한 후:
-
가상 네트워크를 클릭하고 올바른 가상 네트워크를 선택합니다. 네트워킹"
연결된 디바이스를 클릭하고 필요한 NIC 인터페이스를 선택한 다음 가속 네트워킹 활성화를 클릭합니다.
-
가상 머신을 클릭하고 필요한 VM을 선택한 다음 네트워킹을 클릭합니다. 마지막으로 올바른 NIC 인터페이스 창을 클릭하고 가속화된 네트워킹 활성화를 클릭합니다.
-
자세한 내용은 복제된 VM에 대한 가속 네트워킹 활성화를 참조하십시오.