Развертывание UserGate в Advanced
В инструкции описаны предварительные настройки и подключение к консоли UserGate. IP-адреса и параметры ВМ даны в качестве примера. Если вы настраиваете UserGate для уже имеющихся ресурсов, используйте их IP-адреса.
В случае выявления значительного негативного влияния на сетевые соединения при прохождении East-West-трафика через NGFW UserGate, воспользуйтесь встроенными средствами платформы Advanced для фильтрации трафика — группами безопасности или Network ACL.
Целевая схема, которая может быть реализована в ходе развертывания:
Предварительные настройки подключения к UserGate
Создание VPC
Для начала работы создайте виртуальные сети VPC-A, VPC-B и VPC-X и соответствующие подсети:
Войдите в консоль управления Advanced:
В списке сервисов выберите Virtual Private Cloud.
В правом верхнем углу нажмите Create VPC.
В разделе Basic Information, в поле Name, введите название облачной сети VPC «VPC-A».
В поле IPv4 CIDR Block введите диапазон IP-адресов: «10.1.0.0/16».
В поле Enterprise Project выберите ранее созданный проект usergate.
В разделе Default Subnet создайте подсеть subnet-vpc-a, указав в поле IPv4 CIDR Block диапазон IP-адресов «10.1.0.0/24».
После создания подсети диапазон IP-адресов изменить нельзя.
Нажмите Create Now.
Повторите шаги 3–8 для создания сетей VPC-B и VPC-X.
Диапазон IP-адресов в IPv4 CIDR Block для сети VPC-B:
IPv4 CIDR Block — «10.2.0.0/16»;
Default Subnet Name — «subnet-vpc-b»;
Default Subnet IPv4 CIDR Block — «10.2.0.0/24».
Диапазон IP-адресов в IPv4 CIDR Block для сети VPC-Х:
IPv4 CIDR Block — «10.255.0.0/16»;
Default Subnet Name — «subnet-vpc-x»;
Default SubnetIPv4 CIDR Block — «10.255.0.0/24».
Создание подсети
В VPC-X создайте дополнительную подсеть для дальнейшего подключения UserGate к интернету:
Перейдите в Network → Virtual Private Cloud.
В левой части экрана нажмите Subnets.
В правом верхнем углу нажмите Create Subnet.
В поле VPC выберите VPC-X.
В поле Name введите «subnet-vpc-x-outside».
В поле IPv4 CIDR Block укажите «10.255.10.0/24».
Нажмите OK.
Создание бакета OBS
В сервисе Object Storage Service создайте бакет для загрузки образа ВМ на основе образа формата qcow2:
Перейдите в Storage → Object Storage Service.
В правом верхнем углу нажмите Create Bucket.
Введите название бакета.
Например, «bucket-ngfw».
В разделе Default Storage Class выберите класс хранения Standard.
Чтобы просмотр и редактирование объектов были доступны только владельцу бакета, в разделе Bucket Policy выберите Private.
В разделе Server-Side Encryption выберите Disable.
В разделе WORM выберите Disable.
В разделе Enterprise Project выберите предварительно созданный проект usergate.
Нажмите Create Now.
Загрузка образа
После приобретения UserGate предоставляется ссылка для скачивания актуального образа. После создания бакета загрузите образ:
Нажмите на название бакета.
Нажмите Upload Object.
Выберите политику Private и класс хранения Standard.
Нажмите add files и выберите предварительно сохраненный образ ВМ.
Нажмите Upload.
Создание образа из файла
В сервисе Image Management Service создайте образ из предварительно загруженного файла:
Перейдите в Computing → Image Management Service.
Нажмите Create Image.
В поле Type выберите Import image.
В поле Image Type выберите System disk image.
В разделе Select Image File выберите из списка бакет c файлом образа, затем выберите файл образа.
Например, ngfw-x86-64-7.1.2.33025R-release-public.qcow2.
В разделе Image Information убедитесь, что опция Enable automatic configuration включена.
В поле Function выберите ECS system disk image.
В поле Boot mode выберите BIOS.
В поле OS выберите Other — Linux(64bit).
В поле System Disk (GB) укажите значение в соответствии с параметрами ВМ UserGate.
В поле Name введите название образа.
Например, «UserGate_7.1.2».
Выберите предварительно созданный проект Enterprise Project.
Например, usergate.
Нажмите Next.
Подготовка группы безопасности для интерфейсов UserGate
Для интерфейсов UserGate используйте группу безопасности, разрешающую доступ с любых адресов на любые порты. Подробнее о группах безопасности.
Перейдите в Network → Virtual Private Cloud.
В левой части экрана нажмите Access Control → Security Groups.
В правом верхнем углу нажмите Create Security Group.
В поле Name введите название группы безопасности.
Например, «sg-UserGate».
В поле Enterprise Project выберите предварительно созданный проект usergate.
В поле Template выберите All ports open.
(Опционально) В поле Description введите описание группы безопасности.
Нажмите Ok.
Откройте созданную группу безопасности и удалите правила с Type IPv6 для Inbound Rules и Outbound Rules.
Создание виртуального сервера на базе образа UserGate
В панели управления Advanced перейдите в Computing → Elastic Cloud Server.
Нажмите Create ECS.
В разделе AZ выберите зону доступности AZ1 или Random.
При выборе Random система автоматически выберет одну из зон доступности.
Выберите спецификацию, наиболее подходящую по параметрам ВМ UserGate.
Выберите образ ОС Private Image.
В выпадающем списке выберите ранее созданный образ.
Например, UserGate_7.1.2 (100GB).
Выберите системный диск типа SAS High I/O и укажите размер, подходящий по параметрам ВМ UserGate.
Нажмите Next: Configure Network.
Выберите ранее созданную сеть VPC VPC-X.
Выберите subnet-vpc-x.
Вручную создайте IP-адрес с окончанием .10.
Нажмите Add NIC.
Выберите subnet-vpc-x-outside.
Вручную создайте IP-адрес с окончанием .10.
Выберите ранее созданную группу безопасности sg-UserGate.
Для EIP выберите Do not use.
EIP подключается позже.
Нажмите Next: Configure Advanced Settings.
В поле ECS Name введите название ВМ «ecs-UserGate».
Выберите способ авторизации в ВМ Password.
Подтвердите создание ВМ.
Проверьте спецификацию, выберите ранее созданный Enterprise Project и повторно подтвердите создание ВМ.
Чтобы увидеть созданную ВМ, обновите список ВМ.
Нажмите на название созданной ВМ ecs-UserGate.
Перейдите на вкладку Network Interfaces и для NIC-адресов отключите проверку Source/Destination Check.
Настройка VPC Peering и таблиц маршрутизации
Для создания Custom-таблиц маршрутизации:
В главном меню перейдите в Network → Virtual Private Cloud.
В левой части экрана перейдите в Virtual Private Cloud → Route tables.
В правом верхнем углу нажмите Create Route Table.
В поле Name введите «rtb-NGFW-inside».
В поле VPC выберите VPC-X.
(Опциально) В поле Description введите описание таблицы маршрутизации.
Нажмите ОК.
Перейдите на вкладку Associated Subnets.
Нажмите Associate Subnet и выберите subnet-vpc-x.
Нажмите ОК.
Повторите шаги 1–10 для создания rtb-NGFW-outside, в поле Associate Subnet выберите subnet-vpc-x-outside.
Перейдите в Virtual Private Cloud → Route tables и выберите таблицу по умолчанию для VPC-X — rtb-VPC-X.
Нажмите Add Route.
Добавьте маршрут по умолчанию через внутренний интерфейс UserGate:
В поле Destination Type выберите IP address.
В поле Destination введите «0.0.0.0/0».
В поле Next Hop Type выберите Server.
В поле Next Hop выберите ecs-UserGate(10.255.0.10).
(Опционально) В поле Description введите описание маршрута.
Перейдите в Network → Virtual Private Cloud.
В левой части экрана перейдите в Virtual Private Cloud → VPC Peering Connections.
В правом верхнем углу нажмите Create VPC Peering Connection.
В поле VPC Peering Connection Name введите «peering-VPC-A-to-X».
В поле Local VPC выберите VPC-A.
В поле Account выберите My account.
В поле Peer project выберите название вашего текущего IAM-project.
В поле Peer VPC выберите VPC-X.
(Опционально) В поле Description введите описание подключения VPC peering.
Нажмите ОК.
В открывшемся окне выберите Add Now.
Нажмите Add Route.
В поле VPC выберите VPC-A.
В поле Route Table выберите rtb-VPC-A(Default).
В поле Destination введите «0.0.0.0/0».
Выберите Add a route for the other VPC.
В поле Route Table выберите rtb-NGFW-inside.
В поле Destination введите «10.1.0.0/24».
Повторите шаги 16–32 для создания VPC peering peering-VPC-B-to-X со следующими параметрами:
VPC Peering Connection Name — «peering-VPC-B-to-X».
Local VPC — VPC-B.
Account — My account.
Peer project — название текущего IAM-project.
Peer VPC — VPC-X.
(Опционально) Description — описание подключения VPC peering.
При настройке маршрутов задайте значение параметров:
В поле VPC выберите VPC-B.
В поле Route Table выберите rtb-VPC-B(Default).
В поле Destination введите «0.0.0.0/0».
Выберите Add a route for the other VPC — выберите опцию.
В поле Route Table выберите rtb-NGFW-inside.
В поле Destination введите «10.2.0.0/24».
Чтобы избежать сетевого доступа в обход NGFW, не создавайте прямой VPC Peering между VPC-A и VPC-B. При некорректной настройке маршрутов, таблиц маршрутизации и VPC Peering сетевой доступ в обход NGFW может быть создан.
Для дальнейшей настройки UserGate следуйте инструкции по первичной инициализации UserGate в Advanced.
- Предварительные настройки подключения к UserGate
- Создание виртуального сервера на базе образа UserGate
- Настройка VPC Peering и таблиц маршрутизации