tocdepth

2

Развертывание UserGate в Advanced

В инструкции описаны предварительные настройки и подключение к консоли UserGate.

Внимание

При использовании UserGate для фильтрации трафика East-West между виртуальными машинами внутри сети Advanced возможно снижение пропускной способности. Производитель NGFW UserGate занимается устранением неполадки.

В случае сниженной пропускной способности воспользуйтесь встроенными средствами платформы для фильтрации трафика — группами безопасности или Network ACL.

Целевая схема, которая должна быть реализована в ходе развертывания:

../../_images/sch__deploy_01.png

Примечание

Перед выполнением этой инструкции рекомендуется изучить сценарий использования стороннего межсетевого экрана для очистки трафика сетей VPC.

Предварительные настройки подключения к UserGate

Для подключения к интернету предполагается использование выделенного интерфейса на UserGate.

Создание VPC

Для начала работы создайте виртуальные сети VPC-A, VPC-B и VPC-X и соответствующие подсети:

  1. Войдите в консоль управления Advanced:

  2. В списке сервисов выберите Virtual Private Cloud.

  3. В правом верхнем углу нажмите Create VPC.

  4. Укажите значения параметров в блоке Basic Information:

    • Name — название облачной сети VPC: VPC-A

    • IPv4 CIDR Block — диапазон IP-адресов: 10.1.0.0/16

    • Enterprise Project — ранее созданный проект: usergate

  5. Создайте подсеть subnet-vpc-a в блоке Default Subnet и укажите диапазон IP-адресов в CIDR Block.

    Внимание

    После создания подсети диапазон IP-адресов изменить нельзя.

    ../../_images/s__deploy_01.png

  6. Нажмите Create Now.

  7. Повторите шаги 3–6 для создания VPC-B и VPC-X. Диапазон IP-адресов в IPv4 CIDR Block:

    • VPC-B: 10.2.0.0/16

    • VPC-X: 10.255.0.0/16

В VPC-X создайте дополнительную подсеть, которая будет использоваться для подключения UserGate к интернету:

  1. Перейдите в Network → Virtual Private Cloud.

  2. В левой части экрана нажмите Subnets.

  3. В правом верхнем углу нажмите Create Subnet.

  4. Укажите значения параметров:

    • VPC: VPC-X

    • Name: subnet-vpc-x-outside

    • IPv4 CIDR Block: 10.255.10.0/24

  5. Нажмите OK.

    ../../_images/s__deploy_02.png

Создание бакета OBS

В сервисе Object Storage Service создайте бакет для загрузки образа ВМ на основе образа формата qcow2:

  1. Перейдите в Storage → Object Storage Service.

  2. В правом верхнем углу нажмите Create Bucket.

  3. Укажите название бакета. Например, «bucket-ngfw».

  4. В разделе Storage Class выберите класс хранения «Standard».

  5. Чтобы просмотр и редактирование объектов были доступны только владельцу бакета, в разделе Bucket Policy выберите «Private».

  6. В разделе Enterprise Project выберите предварительно созданный проект usergate.

  7. Нажмите Create Now.

    ../../_images/s__deploy_03.png

Загрузка образа

После создания бакета загрузите образ:

  1. Нажмите на название бакета.

  2. Нажмите Upload Object.

  3. Выберите политику «Private» и класс хранения «Standard».

  4. Нажмите add files и выберите предварительно сохраненный образ ВМ.

  5. Для подтверждения загрузки нажмите Upload.

Создание образа из файла

В сервисе Image Management Service создайте образ из предварительно загруженного файла:

  1. Перейдите в Computing → Image Management Service.

  2. Нажмите Create Image и выберите значения параметров:

    • Type: Import image

    • Image Type: System disk image

  3. В разделе Select Image File выберите из списка бакет, в котором хранится файл образа, а затем выберите файл образа.

  4. В поле Image Information задайте значения параметров:

    • Enable automatic configuration: оставьте опцию включенной

    • Function: ECS system disk image

    • Boot mode: BIOS

    • OS Type: Other — Linux(64bit)

    • System Disk: задайте значение в соответствии с параметрами планируемой к развертыванию ВМ UserGate. Подробнее о выборе конфигурации.

      Внимание

      На платформе Advanced не поддерживается конфигурация с 6 ядрами vCPU.

    • Name: укажите название образа. Например, «UserGate_6.1.9».

    • Выберите предварительно созданный проект «Enterprise Project».

    • Нажмите Apply Now.

      ../../_images/s__deploy_04.png

Подготовка группы безопасности для интерфейсов UserGate

Для интерфейсов UserGate используйте группу безопасности, разрешающую доступ с любых адресов на любые порты. Подробнее о группах безопасности.

  1. Перейдите в Network → Virtual Private Cloud.

  2. В левой части экрана перейдите в Access Control → Security Groups.

  3. В правом верхнем углу нажмите Create Security Group.

  4. Укажите значения параметров создаваемой группы безопасности:

    • Name: название создаваемой группы безопасности. Например, «sg-UserGate».

    • Enterprise Project: выберите предварительно созданный проект «usergate».

    • Template: выберите «All ports open».

    • Description: (опционально) добавьте пояснение для создаваемой группы безопасности.

  5. Нажмите Ok.

    ../../_images/s__deploy_05.png

  6. Откройте созданную группу безопасности и удалите правила с Type IPv6 для «Inbound Rules» и «Outbound Rules».

    ../../_images/s__deploy_06.png

Создание виртуального сервера на базе образа UserGate

  1. В панели управления Advanced перейдите в Computing → Elastic Cloud Server.

  2. Нажмите Create ECS.

  3. В разделе AZ выберите зону доступности AZ1 или Random (в этом случае система автоматически выберет одну из зон доступности).

  4. Выберите спецификацию, наиболее подходящую по параметрам ВМ UserGate, которую планируется развернуть. Подробнее о параметрах.

  5. Выберите образ операционной системы «Private Image».

  6. В выпадающем списке выберите ранее созданный «UserGate_6.1.9 (100GB)».

  7. Выберите системный диск «High I/O» (диск типа SAS). Установите размер, наиболее подходящий по параметрам ВМ UserGate, которую планируется развернуть.

  8. Нажмите Next: Configure Network.

  9. Выберите ранее созданную сеть VPC VPC-X.

  10. Выберите subnet-vpc-x.

  11. Вручную создайте IP-адрес с окончанием .10.

  12. Нажмите Add NIC.

  13. Выберите subnet-vpc-x-outside.

  14. Вручную создайте IP-адрес с окончанием .10.

  15. Выберите ранее созданную группу безопасности «sg-UserGate».

  16. Для EIP установите значение «Do not use». Он будет подключен позже.

  17. Нажмите Next: Configure Advanced Settings.

  18. В поле ECS Name укажите название ВМ «ecs-UserGate».

  19. Выберите способ авторизации в ВМ «Password».

  20. Подтвердите создание ВМ.

  21. Проверьте спецификацию, выберите ранее созданный «Enterprise Project» и повторно подтвердите создание ВМ. Она будет создана в течение нескольких секунд.

  22. Обновите список ВМ, чтобы увидеть созданную ВМ.

    См.также

    Быстрый старт по использованию EIP.

  23. Нажмите на название созданной ВМ «ecs-UserGate».

  24. Перейдите на вкладку Network Interfaces и для NIC-адресов отключите проверку Source/Destination Check.

    ../../_images/s__deploy_13.png

Настройка VPC Peering и таблиц маршрутизации

Для создания Custom-таблиц маршрутизации:

  1. В главном меню перейдите в Network → Virtual Private Cloud.

  2. В левой части экрана перейдите в Virtual Private Cloud → Route tables.

  3. В правом верхнем углу нажмите Create Route Table и задайте значения параметров:

    • Name: rtb-NGFW-inside

    • VPC: VPC-X

    • Description (опциально): описание для новой таблицы маршрутизации

  4. Нажмите ОК.

  5. Перейдите на вкладку Associated Subnets.

  6. Нажмите Associate Subnet и выберите subnet-vpc-x.

    ../../_images/s__deploy_09.png

  7. Нажмите ОК.

  8. Повторите шаги 1–7 для создания rtb-NGFW-outside. В пункте 6 выберите subnet-vpc-x-outside.

  9. Перейдите в Virtual Private Cloud → Route tables и выберите таблицу по умолчанию для VPC-X — rtb-VPC-X.

  10. Нажмите Add Route.

  11. Добавьте маршрут «по умолчанию» через внутренний интерфейс UserGate:

    • Destination Type: IP address

    • Destination: 0.0.0.0/0

    • Next Hop Type: Server

    • Next Hop: выберите ecs-UserGate(10.255.0.10)

    • Description (опциально): укажите описание для маршрута

    ../../_images/s__deploy_10.png

  12. Перейдите в Network → Virtual Private Cloud.

  13. В левой части экрана перейдите в Virtual Private Cloud → VPC Peering Connections.

  14. В правом верхнем углу нажмите Create VPC Peering Connection.

  15. Задайте значение параметров:

    • VPC Peering Connection Name: peering-VPC-A-to-X

    • Local VPC: VPC-A

    • Account: My account

    • Peer project: укажите название вашего текущего IAM-project

    • Peer VPC: VPC-X

    • Description (опциально): укажите описание подключения VPC peering

    ../../_images/s__deploy_11.png

  16. Нажмите ОК.

  17. В появившемся окне выберите Add Now.

  18. Нажмите Add Route.

  19. Задайте значение параметров:

    • VPC: VPC-A

    • Route Table: rtb-VPC-A(Default)

    • Destination: 0.0.0.0/0

    • Add a route for the other VPC: активируйте опцию

    • Route Table: rtb-NGFW-inside

    • Destination: 10.1.0.0/24

    ../../_images/s__deploy_12.png

  20. Повторите шаги 13–17 для создания VPC peering «peering-VPC-B-to-X». При создании VPC peering задайте значение параметров:

    • VPC Peering Connection Name: peering-VPC-B-to-X

    • Local VPC: VPC-B

    • Account: My account

    • Peer project: название текущего IAM-project

    • Peer VPC: VPC-X

    • Description (опциально): укажите описание подключения VPC peering

  21. При настройке маршрутов задайте значение параметров:

    • VPC: VPC-B

    • Route Table: rtb-VPC-B(Default)

    • Destination: 0.0.0.0/0

    • Add a route for the other VPC: активируйте опцию

    • Route Table: rtb-NGFW-inside

    • Destination: 10.2.0.0/24

Рекомендуется в точности следовать инструкции. При некорректной настройке маршрутов, таблиц маршрутизации и VPC Peering может быть создан сетевой доступ между VPC-A и VPC-B в обход NGFW.

Внимание

Чтобы избежать сетевого доступа в обход NGFW, не создавайте прямой VPC Peering между VPC-A и VPC-B.

Для дальнейшей настройки UserGate следуйте инструкции по первичной инициализации UserGate в Advanced.

Запустили Evolution free tier
для Dev & Test
Получить