IBM Cloud Docs
IBM Cloud Juniper vSRX へのアクセス

IBM Cloud Juniper vSRX へのアクセス

Ubuntu ハイパーバイザーおよび vSRX のパブリック・インターフェースでは、SSH アクセスは許可されません。 また、 vSRX Web 管理コンソールはデフォルトで無効になっています。 これらのデバイスにアクセスするには、いくつかの異なる方法を使用できます。

プライベート・インターフェース

vSRX ゲートウェイの概要ページには、 Ubuntu ハイパーバイザー (ハードウェア・ペインの「プライベート IP」の下にあります) および vSRX ( vSRX ペインの「プライベート IP」の下にあります) のプライベート・インターフェースに関する詳細が表示されます。 デフォルトでは、これらのインターフェースで SSH、Ping (ICMP)、および vSRX Web 管理インターフェース (8443) が有効になっています。 これらのインターフェースにアクセスするには、プライベート・ネットワークへのネットワーク接続が必要です。

以下のセクションでは、アクセス権限を取得する方法について詳しく説明します。

VPN を使用したプライベート・インターフェースへのアクセス

IBM Cloud Classic は、プライベート・ネットワークへの仮想プライベート・ネットワーキング (VPN) アクセスをサポートします。 これは、ホストおよび vSRXのプライベート・インターフェースにアクセスするために使用できます。 詳しくは、 IBM Cloud Virtual Private Networking の概要 を参照してください。 この共有VPNソリューションのスループットは1Mbpsに制限されており、大きなファイルの転送にはお勧めできません。 これは、IBM Cloudクラシック・プライベート・ネットワークにアクセスするための、最も広く使用されている最も簡単な方法です。

顧客共有VPNソリューションが要件を満たさない場合は、vSRX 自体で Juniper Secure Connect を使用してリモートアクセスVPNを構築することもできます。 また、IBM Cloud アカウント内の他のゲートウェイ アプライアンスを使用した同様のソリューションもあります。ファイアウォールの主な機能の 1 つは、安全なアクセスのための VPN ソリューションを展開することです。 さらに、OpenVPN, WireGuard, またはその他の VPN ソフトウェアをインストールしたクラシックな Baremetal または VSI を構築および管理できます。 これは、IBM Cloud Classic プライベート・ネットワークへの暗号化されたパブリック・アクセス・ポイントを提供します。 これらのオプションは、アドレスプールとして プライベートセカンダリサブネット を必要とする。

標準サーバーを使ってVPNを構築するプロセスは、現在のところ文書化されていない。

要塞 (ジャンプ) ホストを使用したプライベート・インターフェースへのアクセス

IBM Cloud クラシック・アカウントは通常、VRF が有効になっています。 アカウントが有効になっていない場合は、VLANスパニングが有効になっていることを確認してください。 そうでない場合は、VRFとサービス・エンドポイントを有効にする を参照してください。 VLANスパニングとVRFは、プライベートVLANの相互通信を可能にするアカウント・レベル・ルーティングのための2つの特定のコンフィギュレーションである。

VLAN スパニングまたは VRF を有効にすると、IBM Cloud リソース (仮想サーバーなど) は、異なるプライベート サブネット、プライベート VLAN、ポッド間、および異なるデータセンター間のプライベート ネットワーク接続を介して互いに接続できます。 パブリック向けインターフェースを持つVSIまたはベアメタルサーバーは、ゲートウェイのプライベートインターフェースへのアクセスと同様に、プライベートネットワークへのブリッジを提供することができる。 これらのサーバーは、パブリック・インターフェース上のサーバーに接続するための直接のジャンポストとして使うことができる。 その後、SSHまたはHTTPSでゲートウェイにアクセスするか、SSHでSOCKSプロキシを設定してサーバーにアクセスすることができます。 これにより、ブラウザで SOCKS プロキシ接続を設定して、ブラウザがプロキシ接続を介して vSRX の Web GUI に接続できるようになります。

Ubuntu ホスト・ローカル・コンソールの使用

vSRX は、ベア・メタル Ubuntu ホスト上で仮想マシン (VM) として実行されます。 Ubuntu ホストのローカル・コンソールを使用して VM にアクセスできます。 これには、 Ubuntu ホストへのアクセスが必要です。このホストは、デフォルトでは、プライベート・ネットワーク上でのみ SSH が有効になっています。

Ubuntu ホストのローカル・コンソールを使用して VM にアクセスするには、以下のようにします。

  1. VM の名前または ID を見つけます。

    virsh list --all.

  2. ID を使用して XML 形式で構成をダンプし、コンソール・ポートを検索します。

    virsh dumpxml <id> | grep service

    以下に例を示します。

    :~# virsh dumpxml 2 | grep service
       <source mode='bind' host='127.0.0.1' service='8624' tls='no'/>
       <source mode='bind' host='127.0.0.1' service='8624' tls='no'/>
    

    ss -tulip | grep qemu を使ってシリアルポート番号を調べることもできます。

  3. VM にアクセスするには、以下のように telnet とポート番号 (例を参照) を使用します。

    telnet localhost 8624

パブリックおよびプライベート・インターフェイスでj-webを有効にする

パブリック・インターフェースを無効にするためにデフォルト設定を保持することをお勧めしますが、必要に応じて再度有効にすることもできます。 vSRX Web管理インターフェイスは、Web-managementを有効にすることで、パブリックおよびプライベート・インターフェイスで有効にできます。

Web-management は、Junos バージョン 23.2R2-S2: からデフォルトで無効になっています

configure
activate system services web-management
commit

J-webをアクティベートした後、J-webをロックするには、web-management HTTPSインターフェースをプライベートインターフェースのみに設定します。 また、ループバックのPROTECT-INフィルターをカスタマイズして、特定のソースIPアドレスからのアクセスのみを許可することもできます。 J-webを完全に停止したデフォルトの状態に戻すには、以下を実行すればよい:

deactivate system services web-management

クラスタの再構築" (vSRX のみ) や "強制再構築" (Ubuntu および vSRX) などの破壊的アクションを実行すると、システムがデフォルトにリセットされるため、デフォルトが再度有効になります。