SSH 访问

IBM Cloud® Juniper vSRX 可通过公用和专用网络访问或仅专用网络访问进行部署。 缺省情况下，将在新供应和操作系统重装时禁用对主机操作系统的公共 IP 的基于密码的 SSH 访问。 可以通过专用 IP 地址来实现对主机的访问。 或者，可以使用基于密钥的认证来访问公共 IP。 要执行此操作，请在下新的 Gateway 订单时指定公用 SSH 密钥。

IBM Cloud® Juniper vSRX 的某些现有部署可能允许基于密码的 SSH 访问主机操作系统的公共 IP。 对于这些部署，您可以通过执行以下步骤来手动禁用基于密码的 SSH 访问操作系统的公共 IP:

1. 修改 /etc/ssh/sshd_config

   • 确保设置了以下值。

     ChallengeResponseAuthentication no
     PasswordAuthentication no
     

   • 将以下过滤规则添加到文件末尾。

     Match Address 10.0.0.0/8
         Password Authentication yes
     

2. 使用命令 /usr/sbin/service ssh restart重新启动 SSH 服务。

以上过程确保允许专用基础结构网络 10.0.0.0/8 子网中的地址进行 SSH 访问。 以下操作需要此访问权:

• 操作系统重装
• 集群重建
• 版本升级

防火墙

在没有必需规则的情况下实施 Ubuntu 防火墙 (UFW ， Iptables 等) 可能会导致禁用 vSRX HA 集群。 vSRX 解决方案依赖于主节点与辅助节点之间的脉动信号通信。 如果防火墙规则不允许节点之间进行通信，那么集群通信将丢失。

vSRX 体系结构会影响下面讨论的防火墙规则。 可在 vSRX 缺省配置中找到有关这两种体系结构的详细信息。

对于使用旧体系结构运行的 vSRX V18.4 HA 部署，需要以下规则来允许 UFW 的集群通信:

• 要在 /etc/ufw/before.rules中允许协议 47 (用于脉动信号通信) ，请执行以下操作:

  -A ufw-before-input -p 47 -j ACCEPT
  

• 要允许专用网络通信:

  ufw allow in from 10.0.0.0/8 to 10.0.0.0/8
  

• 要启用 UFW:

  ufw enable
  

对于使用较新的体系结构运行的 vSRX 版本，防火墙规则必须允许多点广播通信。

在某些情况下，故障诊断操作可能需要禁用防火墙以访问公共存储库。 在这些情况下，您应该与 IBM 支持人员协作以了解如何继续操作。

大多数网关操作都需要对主机操作系统和 vSRX的专用 10.0.0.0/8 子网进行 SSH 访问。 使用防火墙阻止此访问可能会导致以下操作失败:

• 操作系统重装
• 集群重建
• 版本升级

因此，如果对 10.0.0.0/8 子网禁用了 SSH 访问，那么必须在执行任何这些操作之前重新启用该子网。