带ASG的AWS上的PFSense

Question

你们中有谁有在AWS中使用PFSense和自动缩放的经验吗？

PFSense是否支持用户数据字段？1

是否有一种在PFSense中运行启动自定义脚本的方法？

http://docs.aws.amazon.com/AWSEC2/latest/UserGuide/user-data.html

Answer 1

最近，我致力于用pfSense防火墙替换一堆索弗斯防火墙。我的第一印象是，pfSense还没有对云做好准备。作为一个云用户，您可以预期您可以自动化您的基础设施的每个方面，而pfSense对此没有帮助。

您不能使用userdata来编写实例启动脚本，而且它也缺乏ASG集成。而且，配置仅由其GUI生成。

我们使用ansible (实质上使用模板来生成XML )实现实例创建和config.xml生成的自动化，因此与SO磷相比，这是一个优势。

我相信扩展pfSense并在其中添加对自动标度组的支持是可能的(也可能很容易)--作为一个外部包或插件或者他们称之为它的任何东西(这实际上是一个宠物项目的好主意)。

Answer 2

你问了两个不同的问题。(三个问题，但任何回答的人都应该被认为是天生回答了第一个问题)。

1. 很少有用于自动标度防火墙的用例，其中自动标号本身不会破坏防火墙的功能，因此它严重依赖于用例本身(以及特定防火墙的功能)。诸如动态路由协议、隧道和防火墙供应商实现中的其他功能，并不期望设备自动定标到多个克隆设备中，所有这些都试图完成相同的任务。这并不是说在AWS中使用自动标号防火墙是不可能或不可取的，事实上，Juniper SRX有一个完整的自动标度KB指南(用于保护负载平衡通信量).但同样，用例是具体的和有限的。这与在高可用性配置中有两个独立的防火墙形成了鲜明的对比，每个防火墙供应商都设计了自己的设备来操作，防火墙的配置和操作可以预期到。
2. 您的第二个问题涉及启动脚本-是的，任何EC2实例都可以在提供时添加启动脚本信息，但是pfsense产品是否被设计为接受这样的脚本是不太可能的，除非它也是在传统的物理环境中设计的，然后它必须在AWS将其插入到其配置过程中时接受它.也就是说，不太可能。您可能被迫走这条路线，但如果不是这样的话，与其在AWS环境中试图找出实现这一目标的确切方法，不如使用脚本来定制新配置的防火墙，或者在存储的AMI中提前完成，如果这不是最后一次提供类似防火墙的话，就可以以模板的方式使用。