Cisco 提供 CloudFormation 模板和脚本，用于使用多个 AWS 服务部署 ASA virtual 防火墙的自动扩展组，包括 Lambda、自动扩展组、弹性负载均衡 (ELB)、Amazon S3 存储桶、SNS 和 CloudWatch。

AWS 中的 ASA virtual Auto Scale 是完整的无服务器实现（即此功能的自动化不涉及辅助虚拟机），它可以将水平自动扩展功能加入到 AWS 环境中的 ASA virtual 实例。从版本 6.4 开始，由 管理中心 管理的 支持 Auto Scale 解决方案。

ASA virtual Auto Scale 解决方案是基于 CloudFormation 模板的部署，可提供：

• 完全自动化配置会自动应用于横向扩展 ASA virtual实例。

• 对负载均衡器和多可用性区域的支持。

• 支持启用和禁用 Auto Scale 功能。

使用案例图中显示了此 ASA virtual AWS Auto Scale 解决方案的使用案例。由于 AWS 负载均衡器只允许入站发起的连接，因此只允许外部生成的流量通过 ASA virtual防火墙传入内部。

注	如前提条件 SSL 服务器证书 中所述，安全端口需要 SSL/TLS 证书。

面向互联网的负载均衡器可以是网络负载均衡器或应用程序负载均衡器。在两种情况下，所有 AWS 要求和条件均适用。如使用案例图中所示，虚线右侧是通过 ASA virtual模板部署的。左侧完全由用户定义。

注	应用程序发起的出站流量将不会经过 ASA virtual。

基于端口的流量分叉是可能的。这可通过 NAT 规则实现。例如，面向互联网的 LB DNS、端口：80 上的流量可以路由到应用程序 1；端口：88 流量可路由到应用程序 2。

使用案例图中显示了 ASA virtual AWS 网关负载均衡器 (GWLB) Auto Scale 解决方案的使用案例。 AWS GWLB 允许入站和出站连接，因此允许内部和外部生成的流量通过思科 ASA virtual 防火墙向内部传递。

面向互联网的负载均衡器可以是 AWS 网关负载均衡器终端 (GWLBe)。GWLBe 会将流量发送到 GWLB，然后发送到 ASA virtual 进行检测。在两种情况下，所有 AWS 要求和条件均适用。如使用案例图中所示，虚线右侧是通过 ASA virtual 模板部署的 ASA virtual GWLB Autoscale 解决方案。左侧完全由用户定义。

注	应用程序发起的出站流量将不会经过 ASA virtual。

为了内向扩展和外向扩展 ASA virtual 实例，一个称为 Auto Scale Manager 的外部实体会监控指标、命令自动扩展组添加或删除 ASA virtual 实例、并配置 ASA virtual 实例。

Auto Scale Manager 使用 AWS 无服务器架构进行实施，并且与 AWS 资源 和 ASA virtual通信。我们提供 CloudFormation 模板来自动执行 Auto Scale Manager 组件的部署。此模板还用于部署完整解决方案发挥作用所需的其他资源。

注	无服务器 Auto Scale 脚本只由 CloudWatch 事件调用，因此它们仅在启动实例时才会运行。

以下组件构成了 Auto Scale 解决方案。

CloudFormation 模板

CloudFormation 模板用于部署 AWS 中 Auto Scale 解决方案所需的资源。该模板包括以下各项：

• Auto Scale 组、负载均衡器、安全组和其他各种组件。

• 模板需要用户输入来自定义部署。

  注	模板在验证用户输入方面有限制，因此，用户应负责在部署期间验证输入。

Lambda 函数

Auto Scale 解决方案是在 Python 中开发的一组 Lambda 函数，可以通过生命周期钩子、SNS、CloudWatch 事件/警报事件触发。基本功能包括：

• 向实例添加/删除 Gig0/0 和 Gig 0/1 接口。

• 向负载均衡器的目标组注册 Gig0/1 接口。

• 使用 ASA 配置文件配置和部署新的 ASA virtual。

Lambda 函数以 Python 包的形式交付给客户。

生命周期钩子

• 生命周期钩子用于获取关于实例的生命周期更改通知。

• 在启动实例时，生命周期钩子用于触发 Lambda 函数，可将接口添加到 ASA virtual 实例，并将外部接口 IP 注册到目标组。

• 在终止实例时，生命周期钩子用于触发 Lambda 函数，以便从目标组取消注册 ASA virtual 实例。

Simple Notification Service (SNS)

• 来自 AWS 的 Simple Notification Service (SNS) 用于生成事件。

• 受限于 AWS 中的无服务器 Lambda 函数没有适合的编排器，因此该解决方案使用 SNS 作为一种函数链，以便基于事件来编排 Lambda 函数。

下载启动 ASA virtual AWS Auto Scale 解决方案所需的文件。您的 ASA 版本的部署脚本和模板可从 GitHub 存储库获取。

注意	请注意，Cisco 提供的自动扩展部署脚本和模板作为开源示例提供，不在常规 Cisco TAC 支持范围内。定期检查 GitHub 以了解更新和自述文件说明。

在克隆/下载的 GitHub 存储库中，可以在模板文件夹中找到 infrastructure.yaml 文件。此 CFT 可用于部署 VPC、子网、路由、ACL、安全组、VPC 终端和具有存储桶策略的 S3 存储桶。可以修改此 CFT 以符合您的要求。

以下各节提供有关这些资源及其在 Auto Scale 中的使用的更多信息。您可以手动部署这些资源，也可以在 Auto Scale 中使用它们。

注	Infrastructure.yaml 模板仅部署 VPC、子网、ACL、安全组、S3 存储桶和 VPC 终端。它不会创建 SSL 证书、Lambda 层或 KMS 密钥资源。

您应根据应用程序要求创建 VPC。预计 VPC 具有一个互联网网关，而且至少有一个通过到互联网的路由连接的子网。有关安全组、子网等的要求，请参阅相应的部分。

可以根据需要创建符合应用程序要求的子网。如使用案例中所示，ASA virtual机需要 3 个子网才能运行。

注	如果需要多个可用性区域支持，则每个区域都需要子网，因为子网是 AWS 云中的区域属性

外部子网

外部子网应该具有能够通过“0.0.0.0/0”连接互联网网关的默认路由。这将包含 ASA virtual 的外部接口，而面向互联网的 NLB 将位于此子网中。

内部子网

这可能与具有或没有 NAT/互联网网关的应用程序子网类似。请注意，对于 ASA virtual 运行状况探测，应该可以通过端口 80 到达 AWS 元数据服务器 (169.254.169.254）。

注	在此 AutoScale 解决方案中，负载均衡器运行状况探测器会通过 inside/ Gig0/0 接口重定向到 AWS 元数据服务器。但是，您可以使用自己的应用为从负载均衡器发送到 ASA virtual 的运行状况探测连接进行更改。在这种情况下，您需要将 AWS 元数据服务器对象替换为相应的应用 IP 地址，以提供运行状况探测响应。

管理子网

此子网包括 ASA virtual 管理接口。采用默认路由是可选的。

Lambda 子网

AWS Lambda 函数需要使用 NAT 网关作为默认网关的两个子网。这使得 Lambda 函数将专用于 VPC。Lambda 子网不需要像其他子网一样的带宽。有关 Lambda 子网的最佳实践，请参阅 AWS 文档。

应用程序子网

Auto Scale 解决方案对此子网不施加限制，但如果应用程序需要 VPC 外部的出站连接，则应在子网上配置各自的路由。这是因为出站发起的流量不会穿过负载均衡器。请参阅《AWS 弹性负载均衡用户指南》。

在提供的 Auto Scale 组模板中允许所有连接。只需以下连接即可使 Auto Scale 解决方案发挥作用。

Amazon Simple Storage Service (Amazon S3) 是一项可提供行业领先可扩展性、数据可用性、安全性和性能的对象存储服务。您可以将防火墙模板和应用程序模板的所有必需文件都放在 S3 存储桶中。

部署模板时，将引用 S3 存储桶中的 Zip 文件创建 Lambda 函数。因此，S3 存储桶应该能够供用户帐户访问。

如果面向互联网的负载均衡器必须支持 TLS/SSL，则需要证书 ARN。有关详细信息，请参阅以下链接：

• 使用服务器证书

• 创建私钥和自签名证书进行测试

• 使用自签名 SSL 证书创建 AWS ELB（第三方链接）

ARN 示例：arn:aws:iam::[AWS 帐户]:server-certificate/[证书名称]

可在 Linux 环境中创建 autoscale_layer.zip 文件，如安装了 Python 3.9 的 Ubuntu 18.04。

生成的 autoscale_layer.zip 文件应复制到 lambda-python-files 文件夹。

如果 ASA virtual 密码为加密格式，则需要此项。否则，不需要此组件。密码应只使用此处提供的 KMS 加密。如果在 CFT 上输入 KMS ARN，则必须对密码加密。否则，密码应为纯文本。

有关主密钥和加密的详细信息，请参阅 AWS 文档《创建密钥》和关于密码加密和 KMS 的 AWS CLI 命令参考。

示例：

$ aws kms encrypt --key-id <KMS-ARN> --plaintext 'MyC0mplIc@tedProtect1oN'
{
    "KeyId": "KMS-ARN", 
    "CiphertextBlob": 
"AQICAHgcQFAGtz/hvaxMtJvY/x/rfHnKI3clFPpSXUU7HQRnCAFwfXhXHJAHL8tcVmDqurALAAAAajBoBgkqhki
G9w0BBwagWzBZAgEAMFQGCSqGSIb3DQEHATAeBglghkgBZQMEAS4wEQQM45AIkTqjSekX2mniAgEQgCcOav6Hhol
+wxpWKtXY4y1Z1d0z1P4fx0jTdosfCbPnUExmNJ4zdx8="
}
$

CiphertextBlob 密钥的值应用作密码。

可以在克隆存储库顶级目录中找到 make.py 文件。这样会将 python 文件压缩为 Zip 文件并复制到目标文件夹。为了执行这些任务，Python 3 环境应该可用。

完成部署的所有前提条件后，您可以创建 AWS CloudFormation 堆栈。

使用目标目录中的 deploy_autoscale.yaml 文件。

使用 Geneve Autoscale 的目标目录中的 deploy_ngfw_autoscale_with_gwlb.yaml 文件。

注

在部署 deploy_ngfw_autoscale_with_gwlb.yaml 文件之前，您必须为 AWS GWLB 自动扩展解决方案部署 Infrastructure_gwlb.yaml 文件。 您必须通过选择在 deploy_autoscale_with_gwlb.yaml 模板部署期间创建的 GWLB 来创建网关负载均衡器终端 (GWLB-E)。在创建 GWLBe 后，您必须更新默认路由，以便将 GWLBe 用于应用子网和默认路由表。 有关详细信息，请参阅https://docs.amazonaws.cn/en_us/vpc/latest/privatelink/create-endpoint-service-gwlbe.html。

提供输入参数中收集的参数。

当成功部署模板后，应验证是否创建 Lambda 函数和 CloudWatch 事件。默认情况下，Auto Scale 组的最小和最大实例数为零。您应使用所需的实例数在 AWS EC2 控制台中编辑 Auto Scale 组。这将触发新的 ASA virtual 实例。

我们建议您仅启动一个实例并检查其工作流程，并验证其行为是否符合预期。发布可以部署 ASA virtual 的实际要求后，还可以验证其行为。最小数量的 ASA virtual 实例可以标记为受扩展保护，以避免被 AWS 扩展策略删除。

本主题说明如何挂起、然后恢复 Auto Scale 组的一个或多个扩展过程。

开始和停止扩展操作

要开始和停止外向/内向扩展操作，请执行以下步骤。

• 对于 AWS 动态扩展 - 参阅以下链接，了解关于启用或禁用外向扩展操作的信息：

  挂起和恢复扩展过程

每 60 分钟，CloudWatch Cron 作业会触发运行状况医生模块的 Auto Scale 管理器 Lambda：

• 如果有属于有效 ASA virtual VM 的不正常 IP，且 ASA virtual 超过了一小时，则该实例将被删除。

• 如果这些 IP 不是来自有效的 ASA virtual机，则仅从目标组中删除 IP。

禁用运行状况监控器

要禁用运行状况监控器，请在 constant.py 中将常量设为“True”。

启用运行状况监控器

要启用运行状况监控器，请在 constant.py 中将常量设为“False”。

在极少数需要禁用生命周期钩子的情况下，如果禁用，将不会向实例添加额外的接口。它还可能导致一系列 ASA virtual 实例部署失败。

要禁用 Auto Scale Manager，应禁用相应的 CloudWatch 事件“notify-instance-launch”和“notify-instance-terminate”。禁用这些不会对任何新事件触发 Lambda。但是，已在执行的 Lambda 操作将会继续。Auto Scale Manager 不会突然停止。通过删除堆栈或删除资源尝试突然停止可能会导致状态不确定。

由于 AWS 负载均衡器不允许对具有多个网络接口的实例使用实例类型目标，因此将 Gigabit0/1 接口 IP 配置为目标组上的目标。但是，截至目前，AWS Auto Scale 运行状况检查仅对实例类型目标（而不是 IP）有效。此外，这些 IP 不会自动添加到目标组或从目标组中删除。因此，我们的 Auto Scale 解决方案会以编程方式处理这两个任务。但在进行维护或故障排除时，可能会有需要手动完成此操作的情况。

将目标注册到目标组

要将 ASA virtual 实例注册到负载均衡器，其 Gigabit0/1 实例 IP（外部子网）应添加为目标组中的目标。请参阅按 IP 地址注册或取消注册目标。

从目标组取消注册目标

要从负载均衡器取消注册 ASA virtual 实例，其 Gigabit0/1 实例 IP（外部子网）应作为目标组中的目标删除。请参阅按 IP 地址注册或取消注册目标。

AWS 不允许在 Auto Scale 组中重新启动实例，但允许用户将实例置于备用状态并执行这类操作。但是，当负载均衡器目标为实例类型时，这将发挥最佳效果。但是，由于多个网络接口，ASA virtual机无法配置为实例类型目标。

将实例置于备用状态

如果实例被置于备用状态，则其目标组中的 IP 在运行状况探测失败之前仍将继续处于相同状态。因此，建议在将实例置于备用状态之前，从目标组取消注册各自的 IP；有关详细信息，请参阅从目标组取消注册目标。

删除 IP 后，请参阅暂时从 Auto Scaling 组中删除实例。

从备用状态删除实例

同样，您也可以将实例从备用状态移至运行状态。从备用状态删除后，实例的 IP 应注册到目标组目标。请参阅将目标注册到目标组。

有关如何将实例置于备用状态以进行故障排除或维护的详细信息，请参阅 AWS 新闻博客。

从 Auto Scale 组删除/分离实例

要从 Auto Scale 组中删除实例，应首先将其移到备用状态。请参阅“将实例置于备用状态”。当实例处于备用状态后，可以将其删除或分离。请参阅从 Auto Scaling 组分离 EC2 实例。

要终止实例，应将其置于备用状态；请参阅实例备用。当实例处于备用状态后，即可继续终止。

为避免从 Auto Scale 组中意外删除任何特定实例，可以对其进行内向扩展保护。如果实例受到内向扩展保护，则不会因内向扩展事件而终止。

请参阅以下链接，以便将实例置于内向扩展保护状态。

https://docs.aws.amazon.com/autoscaling/ec2/userguide/as-instance-termination.html

重要	建议将状况良好的最小数量的实例（目标 IP 应正常运行，而不仅是 EC2 实例）设为内向扩展保护。

配置中的任何更改都不会自动反映在运行中的实例上。更改将仅反映在未来的设备上。应手动将此类更改推送到现有设备。

如果您在现有实例上手动更新配置时遇到问题，我们建议从扩展组中删除这些实例并将其替换为新实例。

更改ASA 虚拟 管理员密码

对于运行中的实例，更改 ASA virtual 密码时要求用户在每个设备上手动更改。对于要载入的新 ASA virtual 设备，将从 Lambda 环境变量提取 ASA virtual 密码。请参阅使用 AWS Lambda 环境变量。

部署后可以在 AWS 中更改许多内容，如 Auto Scale 组、启动配置、CloudWatch 事件、扩展策略等。您可以将资源导入 CloudFormation 堆栈，或通过现有资源创建新的堆栈。

有关如何管理对 AWS 资源执行的更改的详细信息，请参阅将现有资源引入 CloudFormation 管理。

为了导出 CloudWatch 日志，请参阅使用 AWS CLI 将日志数据导出到 Amazon S3。