本帖最后由 任晓66970 于 2022-2-15 16:27 编辑
在我们产品实施的过程中,不乏有在移动大云平台上进行NFV安全组件的部署案例,以下我来分享一下部署的大致思路。
一般部署的NFV组件主要包括:vAF、vSSL、vEDR、vDAS、SIP-logger等,其中 vAF部署在VPC边界,绑定弹性公网IP,所有云主机和安全组件的网关需要改为vAF地址,通过vAF进行地址转换出去上互联网,并在vAF上做目的地址转换对外提供业务服务; vSSL如果只用来走ssl接入,则和其他云主机和安全组件一样,网关需要改为vAF地址,通过vAF进行地址转换出去上互联网,并在vAF上做目的地址转换对外提供业务服务;如果需要和外网进行IPsec对接,推荐使用vAF上的VPN模块进行对接。 vEDR、vDAS、SIP-logger等同vSSL部署方式。
注意: 在进行防火墙NAT转换的过程中,需要注意,在大云平台上关闭所有云主机网卡的“源目的地址检查”,否则无法通过vAF进行NAT上网。
部署大致步骤: 1、提供私有镜像给移动平台运维人员创建自定义镜像; 1)云平台找到“对象存储 EOS”模块,新建桶,使用S3工具连接桶,并上传镜像文件; 2)在上一步上传成功的镜像文件上,生成URL; 3)找到“镜像服务 IMS”模块,导入自定义镜像; 4)成功导入后为以下效果。
2、使用自定义镜像生成实例,完成云主机创建。
3、创建完成后,可在“云主机 ECS”模块查看已创建完成的云主机。
至此,剩余步骤就是网关地址更改和AF映射联网授权和具体策略配置。
|