IBM Cloud Docs
访问您的 IBM Cloud Juniper vSRX

访问您的 IBM Cloud Juniper vSRX

Ubuntu 管理程序和 vSRX 的公共接口不允许 SSH 访问。 此外,缺省情况下会禁用 vSRX Web 管理控制台。 您可以使用多种不同的方法来访问这些设备。

专用接口

“vSRX 网关概述”页面提供有关 Ubuntu 管理程序 (在 "硬件" 窗格中的 "专用 IP" 下) 和 vSRX (在 vSRX 窗格中的 "专用 IP" 下) 的专用接口的详细信息。 缺省情况下,在这些接口上启用了 SSH,Ping (ICMP) 和 vSRX Web 管理接口 (8443)。 要访问这些接口,必须具有与专用网络的网络连接。

以下部分详细描述了您可以获取访问权的方式。

使用 VPN 访问专用接口

IBM Cloud Classic 支持对专用网络的虚拟专用网 (VPN) 访问。 这可用于访问主机和 vSRX的专用接口。 有关更多信息,请参阅 IBM Cloud Virtual Private Networking 入门。 此共享 VPN 解决方案的吞吐量仅限于 1Mbps,不建议用于大文件传输。 这是访问 IBM Cloud 经典专用网络最广泛使用和最简单的方法。

如果共享客户 VPN 解决方案不能满足您的要求,您还可以在 vSRX 上使用 Juniper Secure Connect 构建远程访问 VPN。 IBM Cloud帐户中的其他网关设备也有类似的解决方案,因为防火墙的主要功能之一就是部署 VPN 解决方案以实现安全访问。 此外,还可以构建和管理安装有 OpenVPN, WireGuard, 或其他 VPN 软件的经典 Baremetal 或 VSI。 这为进入 IBM Cloud经典专用网络提供了一个加密的公共接入点。 这些选项需要 专用二级子网 作为地址池。

使用标准服务器建立 VPN 的过程目前还没有记录。

使用防御 (跳跃) 主机访问专用接口

IBM Cloud 经典帐户通常支持 VRF。 如果账户未启用,请确保已启用 VLAN 跨域。 如果没有,请参阅 启用 VRF 和服务端点 进行操作。 VLAN spanning 和 VRF 是账户级路由的两种特定配置,可实现专用 VLAN 的互通。

启用 VLAN 跨域或 VRF 后,IBM Cloud资源(如虚拟服务器)可以通过不同的私有子网、私有 VLAN、跨 pod 和跨不同数据中心的私有网络连接相互连接。 具有公共接口的 VSI 或裸机服务器可提供通往专用网络的桥接器,并可访问网关的专用接口。 您可以使用这些服务器作为直接跳转主机,在公共接口上连接服务器。 然后,您可以通过 SSH 或 HTTPS 访问网关,或在 SSH 中配置 SOCKS 代理访问服务器。 这样,您就可以在浏览器中配置 SOCKS 代理连接,使浏览器可以通过代理连接连接到 vSRX 的 Web GUI。

使用 Ubuntu 主机本地控制台

vSRX 作为虚拟机 (VM) 在裸机 Ubuntu 主机上运行。 您可以使用 Ubuntu 主机的本地控制台来访问 VM。 这需要访问 Ubuntu 主机,缺省情况下,该主机仅在专用网络上启用了 SSH。

要使用 Ubuntu 主机的本地控制台访问 VM,请执行以下操作:

  1. 查找 VM 名称或标识:

    virsh list --all.

  2. 使用标识以 XML 格式转储配置并搜索控制台端口:

    virsh dumpxml <id> | grep service

    例如:

    :~# virsh dumpxml 2 | grep service
   <source mode='bind' host='127.0.0.1' service='8624' tls='no'/>
   <source mode='bind' host='127.0.0.1' service='8624' tls='no'/>

    您还可以使用 ss -tulip | grep qemu 查找串行端口号。

  3. 使用 telnet 和端口号 (来自示例) 来访问 VM:

    telnet localhost 8624

在公共和专用接口上启用 j-web

虽然建议保留缺省设置以禁用公共接口,但如果需要,可以重新启用这些设置。 通过激活网络管理,可在公用和专用接口上启用 vSRX 网络管理接口。

从 Junos 版本 23.2R2-S2: 开始,Web-management 默认为停用

configure
activate system services web-management
commit

要在激活 J-web 后锁定它,请将网络管理 HTTPS 接口设置为专用接口。 您还可以自定义环回上的 PROTECT-IN 过滤器,只允许来自特定源 IP 地址的访问。 要恢复到完全停用 J-web 的默认设置,可以运行

deactivate system services web-management

在执行“重建群集”(vSRX)和“强制重建”(Ubuntu 和 vSRX)等破坏性操作时,系统将重置为默认设置,从而重新启用默认设置。