【2022争霸赛*干货满满】深信服青云平台部署云化CSSP配置与租户、vAF基本配置方案分享

大家好，我是大白，正所谓男儿何不带吴钩，收取关山五十州。优质的帖子也在尽力中提供，也希望各位道友多多支持，让我引劫渡劫成功哈哈哈。

大白队口号就是：砸锅卖铁我最行，拼死拼活就要赢！！！！！！！！！！！！

我今天要分享的就是深信服青云平台部署云化CSSP配置与租户、vAF基本配置方案分享，我们在步入设备配置之前也会简单的介绍一下青云平台的一些专有名词的释义，整个的实施配置里可以作为其他项目在用到青云平台的使用时的配置手册作为参考。

青云QingCloud是作为友商的一家企业级云服务商和云计算整体解决方案提供商，也是一个基于云模式的综合企业服务平台。

名词释义：

区域资源

      青云平台的VPC、VPC专属私有网络(VxNet)、公网负载均衡器 (Load Balancer) 和弹性公网EIP (Elastic IP) 均为区域资源，即能多可用区使用/部署， 在页面左侧导航处相应资源均带有“MZ” (Multiple Zone)标记。

VPC

      VPC可以连接位于不同可用区的私有网络， 私有网络之间网络互通，VPC和以前一样能为其下所有私网内的主机和服务提供管理路由器的功能。

VPC专属私有网络

      私有网络支持多可用区部署模式，可通过选择不同的部署方式来创建不同类型的私有网络：选择“多可用区部署”时，不同可用区内的主机/服务均能加入到此网络，该网络支持广播和组播，可以通过漂移虚IP(VIP)来部署同城多活业务。 选择“单可用区部署”时， 只有同可用区内的主机/服务才能加入此网络，主机之间的网络延迟最低。

负载均衡器

（公网和私网）负载均衡器支持多可用区部署，和上节的私有网络类似，选择“多可用区部署”创建的负载均衡器， 其集群节点(节点个数不小于2)在不同可用区内均衡分布，从而达到同城多活高可用目的。 选择“单可用区部署”创建的负载均衡器， 其集群节点分布在指定的可用区内， 网络延时最低。

弹性公网EIP

公网EIP为区域内资源，能将其绑定到位于同一区域内所有的主机、负载均衡器、VPC路由器。

可用区资源

青云平台的 主机，设备，硬盘，网络镜像流量，私网负载均衡器 均为单可用区内的资源。 当用户创建这些资源的时候，需要首先选择目标可用区， 比如北京3区-B 。如果用户没指定, 青云会自动选择用户在区域内的默认可用区。 选定某一可用区之后， 资源就只能和位于同一可用区的其他资源相关联。以创建主机为例，在选择了主机镜像之后需选择目标可用区：

选择好目标可用区之后， 可选硬盘以及私有网络均只会显示位于同一可用区相关资源列表。

说明：

      安置策略组为可用区内的关系， 不同可用区的主机不能加入到同一个安置策略组。

      网卡由其私有网络所在可用区决定， 如果其私有网络为多可用区私有网络， 则该网卡能分配到区域内所有虚机， 否则就只能分配给位于同一可用区内的主机。

      内网域名别名在区域范围内能解析。

私有网络升级：

在私有网络页面，点击右键菜单中的“升级为多可用区部署”就能将可用区内私有网络升级为多可用区私有网络， 升级之后，位于不同可用区的虚机/服务均能加入该私有网络。

说明：物理主机网络是可用区内资源，只能服务于某个可用区内的物理主机。

公网负载均衡器升级“

公网负载均衡器升级为多可用区负载均衡器步骤如下：

1.在负载均衡器页面，选择右键菜单中的“升级为多可用区部署”， 之后负载均衡器详情页面会提示需要“应用修改”。

2.点击应用修改更新负载均衡器，更新后负载均衡器集群节点会在区域内的不同可用区间重新均衡分布，达到同城多活高可用效果。 升级期间业务会有闪断，建议升级时间避开业务高峰。

运维与监控

自动伸缩、定时器、监控告警、资源协作、标签、回收站、操作日志、通知列表这些服务能管理整个区域内的资源。

说明：资源编排模板内的所有资源只能部署在同一可用区， 暂不支持多可用区资源的部署。 如有需求可以在成功应用模板之后升级具体的资源。

AppCenter

青云支持部署多可用区的APP，前提是该APP集群能支持多可用区部署模式，并且创建APP集群时需要加入多可用区的私有网络， 具体配置方法见AppCenter网络配置

好的了解完青云平台的一些名词以后我们开始我们的部署展示：

1配置云安全管理CSSP平台

1.1导入镜像

1、导入云安全管理CSSP和vAF镜像，qcow2格式

1.2配置云安全管理CSSP平台

1.2.1云服务器-创建云服务器

1.2.2选择镜像

1.2.3选择基本配置，根据需求，系统盘可以保持默认

1.2.4选择网路配置

1.2.5填写服务器名称即可

1.2.6设置安全策略，或者取消安全策略

1.3配置安全管理平台

1.3.1根据配置的ip地址范围平台，安全策略放通平台管理4430端口

https://ip:4430 默认账号/密码admin/admin

1.3.2授权资源池

1.4安全管理平台升级

1.4.1在系统—平台管理—平台升级处升级平台

1.4.2选择上传升级包

1.4.3开始升级

1.4.4升级后会自动重启，完了正常登陆就可以。

2配置vAF

2.1创建vAF

2.1.1选择镜像

2.1.2选择基本配置，根据需求，系统盘可以保持默认

2.1.3选择网路配置

2.1.4填写服务器名称即可

2.1.5设置安全策略，或者取消安全策略

2.1.6网卡可以自行添加，重启设备生效

2.1.7登录（vAF没有授权，无法登录，需要通过CSSP先授权）

根据配置的ip地址范围平台，安全策略方通管理443端口

https://ip:443 默认账号/密码admin/admin

2.2vAF授权

2.2.1登录CSSP云安全管理平台，创建租户

2.2.2分配应用

选择应用类型-下一代防火墙

选择应用版本

vAF-IP地址+管理端口（刚才创建的vAF地址，需要保证CSSP和vAF联通）

选择授权规格，vAF根据流量来授权

使用时间根据需要选择时长

选择授权池，根据点数。

2.2.3授权后可以在租户详情-应用看到添加的vAF

资源池可以看到应用

2.2.4登录vAF查看授权状态，即可正常使用

2.3vAF基础配置

2.3.1配置网络接口地址、划分区域、添加路由等

接口是物理接口，可以去配置IP；区域是对接口的划分，方便管理；可以在路由中对流量进行规划（包含静态、动态等）

2.3.2配置应用防护策略，新建一条全放通策略。

2.3.3配置安全防护策略

2.3.4开启应用控制日志和安全防护日志

记录好相关的配置信息以及设备业务测试情况，满足业务要求完成

以上就是本次的深信服青云平台部署云化CSSP配置与租户、vAF基本配置方案分享，感谢大佬们的参阅，此贴先到这里后续会带上更加实用的帖子，感谢大家！

励志分享超清壁纸语句~~：

古之成大事者，不惟有超世之才，亦有坚韧不拔之志。——苏轼

好的今天就到这里，老样子，感谢各位大神的参阅，孩子为了挣豆子不容易，孩子家里穷没豆子吃饭了！！！

感谢楼主分享！文章介绍了青云平台部署云内资源池和vAF的案例，整体介绍清晰，图文并茂，期待楼主带来更多有价值的案例分享

学到了学到了学到了，果然不愧是大佬

楼主的文章图文并茂，清晰易懂，看完这波操作可以轻松上手了，如遇到问题再向楼主请教~

学到了学到了学到了

点赞投币加收藏
！！！！！！！

学到了,点赞投币加收藏
！！！！！！！

楼主的文章图文并茂，清晰易懂，看完这波操作可以轻松上手了，如遇到问题再向楼主请教~

感谢分享，有助于工作，学习了！！！

学习到了学习到了，大哥厉害