tocdepth

2

Развертывание UserGate в Advanced

В инструкции описаны предварительные настройки и подключение к консоли UserGate. IP-адреса и параметры ВМ даны в качестве примера. Если вы настраиваете UserGate для уже имеющихся ресурсов, используйте их IP-адреса.

В случае выявления значительного негативного влияния на сетевые соединения при прохождении East-West-трафика через NGFW UserGate, воспользуйтесь встроенными средствами платформы Advanced для фильтрации трафика — группами безопасности или Network ACL.

Целевая схема, которая может быть реализована в ходе развертывания:

Предварительные настройки подключения к UserGate

Создание VPC

Для начала работы создайте виртуальные сети VPC-A, VPC-B и VPC-X и соответствующие подсети:

1. Войдите в консоль управления Advanced:

   • через личный кабинет Cloud.ru;

   • как IAM-пользователь.

2. В списке сервисов выберите Virtual Private Cloud.

3. В правом верхнем углу нажмите Create VPC.

4. В разделе Basic Information, в поле Name, введите название облачной сети VPC «VPC-A».

5. В поле IPv4 CIDR Block введите диапазон IP-адресов: «10.1.0.0/16».

6. В поле Enterprise Project выберите ранее созданный проект usergate.

7. В разделе Default Subnet создайте подсеть subnet-vpc-a, указав в поле IPv4 CIDR Block диапазон IP-адресов «10.1.0.0/24».

   После создания подсети диапазон IP-адресов изменить нельзя.

   

8. Нажмите Create Now.

9. Повторите шаги 3–8 для создания сетей VPC-B и VPC-X.

   Диапазон IP-адресов в IPv4 CIDR Block для сети VPC-B:

   • IPv4 CIDR Block — «10.2.0.0/16»;

   • Default Subnet Name — «subnet-vpc-b»;

   • Default Subnet IPv4 CIDR Block — «10.2.0.0/24».

   Диапазон IP-адресов в IPv4 CIDR Block для сети VPC-Х:

   • IPv4 CIDR Block — «10.255.0.0/16»;

   • Default Subnet Name — «subnet-vpc-x»;

   • Default SubnetIPv4 CIDR Block — «10.255.0.0/24».

Создание подсети

В VPC-X создайте дополнительную подсеть для дальнейшего подключения UserGate к интернету:

1. Перейдите в Network → Virtual Private Cloud.

2. В левой части экрана нажмите Subnets.

3. В правом верхнем углу нажмите Create Subnet.

4. В поле VPC выберите VPC-X.

5. В поле Name введите «subnet-vpc-x-outside».

6. В поле IPv4 CIDR Block укажите «10.255.10.0/24».

7. Нажмите OK.

Создание бакета OBS

В сервисе Object Storage Service создайте бакет для загрузки образа ВМ на основе образа формата qcow2:

1. Перейдите в Storage → Object Storage Service.

2. В правом верхнем углу нажмите Create Bucket.

3. Введите название бакета.

   Например, «bucket-ngfw».

4. В разделе Default Storage Class выберите класс хранения Standard.

5. Чтобы просмотр и редактирование объектов были доступны только владельцу бакета, в разделе Bucket Policy выберите Private.

6. В разделе Server-Side Encryption выберите Disable.

7. В разделе WORM выберите Disable.

8. В разделе Enterprise Project выберите предварительно созданный проект usergate.

9. Нажмите Create Now.

Загрузка образа

После приобретения UserGate предоставляется ссылка для скачивания актуального образа. После создания бакета загрузите образ:

1. Нажмите на название бакета.

2. Нажмите Upload Object.

3. Выберите политику Private и класс хранения Standard.

4. Нажмите add files и выберите предварительно сохраненный образ ВМ.

5. Нажмите Upload.

Создание образа из файла

В сервисе Image Management Service создайте образ из предварительно загруженного файла:

1. Перейдите в Computing → Image Management Service.

2. Нажмите Create Image.

3. В поле Type выберите Import image.

4. В поле Image Type выберите System disk image.

5. В разделе Select Image File выберите из списка бакет c файлом образа, затем выберите файл образа.

   Например, ngfw-x86-64-7.1.2.33025R-release-public.qcow2.

   

6. В разделе Image Information убедитесь, что опция Enable automatic configuration включена.

7. В поле Function выберите ECS system disk image.

8. В поле Boot mode выберите BIOS.

9. В поле OS выберите Other — Linux(64bit).

10. В поле System Disk (GB) укажите значение в соответствии с параметрами ВМ UserGate.

    Подробнее о выборе конфигурации.

11. В поле Name введите название образа.

    Например, «UserGate_7.1.2».

12. Выберите предварительно созданный проект Enterprise Project.

    Например, usergate.

13. Нажмите Next.

    

Подготовка группы безопасности для интерфейсов UserGate

Для интерфейсов UserGate используйте группу безопасности, разрешающую доступ с любых адресов на любые порты. Подробнее о группах безопасности.

1. Перейдите в Network → Virtual Private Cloud.

2. В левой части экрана нажмите Access Control → Security Groups.

3. В правом верхнем углу нажмите Create Security Group.

4. В поле Name введите название группы безопасности.

   Например, «sg-UserGate».

5. В поле Enterprise Project выберите предварительно созданный проект usergate.

6. В поле Template выберите All ports open.

7. (Опционально) В поле Description введите описание группы безопасности.

8. Нажмите Ok.

   

9. Откройте созданную группу безопасности и удалите правила с Type IPv6 для Inbound Rules и Outbound Rules.

   

Создание виртуального сервера на базе образа UserGate

1. В панели управления Advanced перейдите в Computing → Elastic Cloud Server.

2. Нажмите Create ECS.

3. В разделе AZ выберите зону доступности AZ1 или Random.

   При выборе Random система автоматически выберет одну из зон доступности.

4. Выберите спецификацию, наиболее подходящую по параметрам ВМ UserGate.

   Подробнее о параметрах.

5. Выберите образ ОС Private Image.

6. В выпадающем списке выберите ранее созданный образ.

   Например, UserGate_7.1.2 (100GB).

7. Выберите системный диск типа SAS High I/O и укажите размер, подходящий по параметрам ВМ UserGate.

8. Нажмите Next: Configure Network.

9. Выберите ранее созданную сеть VPC VPC-X.

10. Выберите subnet-vpc-x.

11. Вручную создайте IP-адрес с окончанием .10.

12. Нажмите Add NIC.

13. Выберите subnet-vpc-x-outside.

14. Вручную создайте IP-адрес с окончанием .10.

15. Выберите ранее созданную группу безопасности sg-UserGate.

16. Для EIP выберите Do not use.

    EIP подключается позже.

17. Нажмите Next: Configure Advanced Settings.

18. В поле ECS Name введите название ВМ «ecs-UserGate».

19. Выберите способ авторизации в ВМ Password.

20. Подтвердите создание ВМ.

21. Проверьте спецификацию, выберите ранее созданный Enterprise Project и повторно подтвердите создание ВМ.

22. Чтобы увидеть созданную ВМ, обновите список ВМ.

23. Нажмите на название созданной ВМ ecs-UserGate.

24. Перейдите на вкладку Network Interfaces и для NIC-адресов отключите проверку Source/Destination Check.

См.также

Быстрый старт по использованию EIP.

Настройка VPC Peering и таблиц маршрутизации

Для создания Custom-таблиц маршрутизации:

1. В главном меню перейдите в Network → Virtual Private Cloud.

2. В левой части экрана перейдите в Virtual Private Cloud → Route tables.

3. В правом верхнем углу нажмите Create Route Table.

4. В поле Name введите «rtb-NGFW-inside».

5. В поле VPC выберите VPC-X.

6. (Опциально) В поле Description введите описание таблицы маршрутизации.

7. Нажмите ОК.

8. Перейдите на вкладку Associated Subnets.

9. Нажмите Associate Subnet и выберите subnet-vpc-x.

   

10. Нажмите ОК.

11. Повторите шаги 1–10 для создания rtb-NGFW-outside, в поле Associate Subnet выберите subnet-vpc-x-outside.

12. Перейдите в Virtual Private Cloud → Route tables и выберите таблицу по умолчанию для VPC-X — rtb-VPC-X.

13. Нажмите Add Route.

14. Добавьте маршрут по умолчанию через внутренний интерфейс UserGate:

    1. В поле Destination Type выберите IP address.

    2. В поле Destination введите «0.0.0.0/0».

    3. В поле Next Hop Type выберите Server.

    4. В поле Next Hop выберите ecs-UserGate(10.255.0.10).

    5. (Опционально) В поле Description введите описание маршрута.

    

15. Перейдите в Network → Virtual Private Cloud.

16. В левой части экрана перейдите в Virtual Private Cloud → VPC Peering Connections.

17. В правом верхнем углу нажмите Create VPC Peering Connection.

18. В поле VPC Peering Connection Name введите «peering-VPC-A-to-X».

19. В поле Local VPC выберите VPC-A.

20. В поле Account выберите My account.

21. В поле Peer project выберите название вашего текущего IAM-project.

22. В поле Peer VPC выберите VPC-X.

23. (Опционально) В поле Description введите описание подключения VPC peering.

    

24. Нажмите ОК.

25. В открывшемся окне выберите Add Now.

26. Нажмите Add Route.

27. В поле VPC выберите VPC-A.

28. В поле Route Table выберите rtb-VPC-A(Default).

29. В поле Destination введите «0.0.0.0/0».

30. Выберите Add a route for the other VPC.

31. В поле Route Table выберите rtb-NGFW-inside.

32. В поле Destination введите «10.1.0.0/24».

    

33. Повторите шаги 16–32 для создания VPC peering peering-VPC-B-to-X со следующими параметрами:

    1. VPC Peering Connection Name — «peering-VPC-B-to-X».

    2. Local VPC — VPC-B.

    3. Account — My account.

    4. Peer project — название текущего IAM-project.

    5. Peer VPC — VPC-X.

    6. (Опционально) Description — описание подключения VPC peering.

34. При настройке маршрутов задайте значение параметров:

    1. В поле VPC выберите VPC-B.

    2. В поле Route Table выберите rtb-VPC-B(Default).

    3. В поле Destination введите «0.0.0.0/0».

    4. Выберите Add a route for the other VPC — выберите опцию.

    5. В поле Route Table выберите rtb-NGFW-inside.

    6. В поле Destination введите «10.2.0.0/24».

Чтобы избежать сетевого доступа в обход NGFW, не создавайте прямой VPC Peering между VPC-A и VPC-B. При некорректной настройке маршрутов, таблиц маршрутизации и VPC Peering сетевой доступ в обход NGFW может быть создан.

Для дальнейшей настройки UserGate следуйте инструкции по первичной инициализации UserGate в Advanced.

Была ли статья полезной?

Да Нет

Предыдущая статья

Развертывание UserGate

Следующая статья

Развертывание UserGate на платформе Облако VMware

Запустили Evolution free tier
для Dev & Test

Получить