Cisco 提供 CloudFormation 模板和脚本，用于使用多个 AWS 服务部署 FTDv 防火墙的自动扩展组，包括 Lambda、自动扩展组、弹性负载均衡 (ELB)、Amazon S3 存储桶、SNS 和 CloudWatch。

AWS 中的 FTDv Auto Scale 是完整的无服务器实现（即此功能的自动化不涉及辅助虚拟机），它可以将水平自动扩展功能加入到 AWS 环境中的 FTDv 实例。

FTDv Auto Scale 解决方案是基于 CloudFormation 模板的部署，可提供：

• FMC 中完全自动化的 FTDv 实例注册和取消注册。

• 自动应用到外向扩展 FTDv 实例的 NAT 策略、访问策略和路由。

• 对负载均衡器和多可用性区域的支持。

• 对启用和禁用自动扩展功能的支持。

• 仅适用于 FMC；不支持 Firepower Device Manager。

• （FP 6.7 新增）AWS Auto Scale 增强功能：

  • 自定义指标发布方 ― 新的 Lambda 函数每 2 分钟轮询一次 FMC 以获取 Auto Scale 组中所有 FTDv 实例的内存消耗情况，然后将值发布到 CloudWatch 指标；有关说明，请参阅输入参数。

  • 用于连接 FMC 的 FTDv 专用 SSH 和安全隧道 IP 连接。

  • FMC 配置验证。

  • 支持在 ELB 上打开更多侦听端口。

  • 修改为单堆栈部署。所有 Lambda 函数和 AWS 资源都从单堆栈进行部署，以便简化部署。

  • 使用发布的指标，可以实现基于内存的新扩展策略。

支持的软件平台

FTDv Auto Scale 解决方案适用于 FMC 管理的 FTDv，与软件版本无关。《Cisco Firepower 兼容性指南》提供 Cisco Firepower 软件和硬件兼容性，包括操作系统和托管环境要求。

• Firepower Management Center：虚拟表列出 AWS 上 FMCv 的 Firepower 兼容性和虚拟托管环境要求。

• Firepower Threat Defense Virtual 兼容性表列出了 AWS 上 FTDv 的 Firepower 兼容性和虚拟托管环境要求。

注	为了部署 AWS Auto Scale 解决方案，AWS 上 FTDv 的最低支持 Firepower 版本是版本 6.4。FMC 必须至少运行版本 6.6+，才能使用基于内存的扩展。

FTDv Auto Scale 用例图 显示了此 FTDv AWS Auto Scale 解决方案的使用案例。由于 AWS 负载均衡器只允许入站发起的连接，因此只允许外部生成的流量通过 Cisco FTDv 防火墙传入内部。面向互联网的负载均衡器将有一个 DNS 名称，还可能保持开启 0 到 4 个端口。在这些端口中，0 到 2 个可以是不安全的端口，如 HTTP/80，0 到 2 个可以是安全端口，如 HTTPS/443。

注	如前提条件 SSL 服务器证书中所述，安全端口需要 SSL/TLS 证书。

面向互联网的负载均衡器可以是网络负载均衡器或应用程序负载均衡器。在两种情况下，所有 AWS 要求和条件均适用。如用例图中所示，虚线右侧是通过 FTDv 模板部署的。左侧完全由用户定义。

注	应用程序发起的出站流量将不会经过 FTDv。

基于端口的流量分叉是可能的。这可通过 NAT 规则实现；请参阅在 FMC 中配置对象、设备组、NAT 规则和访问策略。例如，面向互联网的 LB DNS、端口：80 上的流量可以路由到应用程序 1；端口：88 流量可路由到应用程序 2。

为了内向扩展和外向扩展 FTDv 实例，一个称为 Auto Scale Manager 的外部实体会监控指标、命令自动扩展组添加或删除 FTDv 实例、向管理 FMC 注册和取消注册 FTDv 设备，并配置 FTDv 实例。

Auto Scale Manager 使用 AWS 无服务器架构进行实施，并且与 AWS 资源、FTDv 和 FMC 通信。我们提供 CloudFormation 模板来自动执行 Auto Scale Manager 组件的部署。此模板还用于部署完整解决方案发挥作用所需的其他资源。

注	无服务器 Auto Scale 脚本只由 CloudWatch 事件调用，因此它们仅在启动实例时才会运行。

以下组件构成了 Auto Scale 解决方案。

CloudFormation 模板

CloudFormation 模板用于部署 AWS 中 Auto Scale 解决方案所需的资源。该模板包括以下各项：

• Auto Scale 组、负载均衡器、安全组和其他各种组件。

• 模板需要用户输入来自定义部署。

  注	模板在验证用户输入方面有限制，因此，用户应负责在部署期间验证输入。

Lambda 函数

Auto Scale 解决方案是在 Python 中开发的一组 Lambda 函数，可以通过生命周期钩子、SNS、CloudWatch 事件/警报事件触发。基本功能包括：

• 触发内向扩展/外向扩展操作。

• 向 FMC 注册新的 FTDv。

• 通过 FMC 配置新的 FTDv。

• 从 FMC 取消注册（删除）内向扩展的 FTDv。

Lambda 函数以 Python 包的形式交付给客户。

内向扩展/外向扩展插件

• 内向扩展/外向扩展插件可确保有正确数量的 Amazon EC2 实例可用，以便处理应用程序的负载。

• 扩展插件可通过用于自动扩展的内置 AWS 框架进行配置，或使用自定义 Lambda 函数进行配置。

生命周期 Hook

• 生命周期钩子用于获取关于实例的生命周期更改通知。

• 在启动实例时，生命周期钩子用于触发 Lambda 函数，可将接口添加到 FTDv 实例，并将外部接口 IP 注册到目标组。

• 在终止实例时，生命周期钩子用于触发 Lambda 函数，以便从目标组取消注册 FTDv 实例。

Simple Notification Service (SNS)

• 来自 AWS 的 Simple Notification Service (SNS) 用于生成事件。

• 受限于 AWS 中的无服务器 Lambda 函数没有适合的编排器，因此该解决方案使用 SNS 作为一种函数链，以便基于事件来编排 Lambda 函数。

下载 Beta 版部署

下载启动 FTDv AWS Auto Scale 解决方案所需的文件。部署脚本和模板可从您的 Beta 版经理获得：

代码在 Zip 存档的 Box 文件夹中：ftdv_aws_autoscale_v2.zip。

注意	请注意，Cisco 提供的自动扩展部署脚本和模板作为开源示例提供，不在常规 Cisco TAC 支持范围内。

您应根据应用程序要求创建 VPC。预计 VPC 具有一个互联网网关，而且至少有一个通过到互联网的路由连接的子网。有关安全组、子网等的要求，请参阅相应的部分。

可以根据需要创建符合应用程序要求的子网。如用例中所示，FTDv VM 需要 3 个子网才能运行。请注意，如果需要多个可用性区域支持，则每个区域都需要子网，因为子网是 AWS 云中的区域属性。

注	如果需要多个可用性区域支持，则每个区域都需要子网，因为子网是 AWS 云中的区域属性

外部子网

外部子网应该具有能够通过“0.0.0.0/0”连接互联网网关的路由。这将包含 FTDv 的外部接口，而面向互联网的 NLB 将位于此子网中。

内部子网

这可能与具有或没有 NAT/互联网网关的应用程序子网类似。请注意，对于 FTDv 运行状况探测，应该可以通过端口 80 到达 AWS 元数据服务器 (169.254.169.254）。

管理子网

此子网是 FTDv 管理接口，会被分配一个弹性 IP 地址 (EIP)，并且需要它才能具有到互联网的默认路由。

注	要在管理接口上避免 EIP，请参阅附录 - 用于访问 VPC 专用 IP 的 Lambda 函数。

应用程序子网

Auto Scale 解决方案对此子网不施加限制，但如果应用程序需要 VPC 外部的出站连接，则应在子网上配置各自的路由。这是因为出站发起的流量不会穿过负载均衡器。请参阅《AWS 弹性负载均衡用户指南》。

在提供的 Auto Scale 组模板中允许所有连接。只需以下连接即可使 Auto Scale 解决方案发挥作用。

FMC 实例的安全组或 ACl

要允许 Lambda 函数与 FMC 之间的 HTTPS 连接，应该将一组 IP 地址范围列入白名单。如果不可能允许一组 IP 地址范围，则应手动将 Lambda 函数放在 VPC 中。请参阅附录 - 用于访问 VPC 专用 IP 的 Lambda 函数。

之后，FTDv 和 FMC 安全组或 ACL 只能通过 NAT 网关 IP 地址进行更新。

Amazon Simple Storage Service (Amazon S3) 是一项可提供行业领先可扩展性、数据可用性、安全性和性能的对象存储服务。您可以将防火墙模板和应用程序模板的所有必需文件都放在 S3 存储桶中。

部署模板时，将引用 S3 存储桶中的 Zip 文件创建 Lambda 函数。因此，S3 存储桶应该能够供用户帐户访问。

如果面向互联网的负载平衡器必须支持 TLS/SSL，则需要证书 ARN。有关详细信息，请参阅以下链接：

• 使用服务器证书

• 创建私钥和自签名证书进行测试

• 使用自签名 SSL 证书创建 AWS ELB（第三方链接）

ARN 示例：arn:aws:iam::[AWS 帐户]:server-certificate/[证书名称]

必须创建一个 Lambda 层，以便为 Lambda 函数提供少数 Python 库。

pycrypto==2.6.1 paramiko==2.7.1 requests==2.23.0 scp==0.13.2 jsonschema==3.2.0 

可在 Linux 环境中创建 autoscale_layer.zip 文件，如安装了 Python 3.6 的 Ubuntu 18.04。

使用 S3 存储桶中的 autoscale_layer.zip 文件创建 Lambda 层。记录 ARN 供进一步使用。

ARN 的示例：

有关详细信息，请参阅 AWS Lambda 层。

如果 FMC 和 FTDv 密码为加密格式，则需要此项。否则，不需要此组件。密码应只使用此处提供的 KMS 加密。如果在 CFT 上输入 KMS ARN，则必须对密码加密。否则，密码应为纯文本。

有关主密钥和加密的详细信息，请参阅 AWS 文档《创建密钥》和关于密码加密和 KMS 的 AWS CLI 命令参考。

示例：

 $ aws kms encrypt --key-id <KMS-ARN> --plaintext 'MyC0mplIc@tedProtect1oN' { "KeyId": "KMS-ARN",  "CiphertextBlob": "AQICAHgcQFAGtz/hvaxMtJvY/x/rfHnKI3clFPpSXUU7HQRnCAFwfXhXHJAHL8tcVmDqurALAAAAajBoBgkqhki G9w0BBwagWzBZAgEAMFQGCSqGSIb3DQEHATAeBglghkgBZQMEAS4wEQQM45AIkTqjSekX2mniAgEQgCcOav6Hhol +wxpWKtXY4y1Z1d0z1P4fx0jTdosfCbPnUExmNJ4zdx8=" } $ 

CiphertextBlob 密钥的值应用作密码。

可以在克隆存储库顶级目录中找到 utility.py 文件。它应在修改 Configuration.json 后用来压缩文件并上传至所需的 S3 存储桶。为了运行 utility.py 文件，应该具有已设置 AWS CLI 的 Python 3 环境。

https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-configure.html

完成部署的所有前提条件后，您可以创建 AWS CloudFormation 堆栈。

使用克隆存储库顶层目录中的 deploy.yaml 文件。

提供输入参数中收集的参数。

当成功部署模板后，应验证是否根据 asm.yaml 和 asg.yaml CloudFormation 模板创建 Lambda 函数和 CloudWatch 事件。系统会发送订用确认电子邮件，提供电子邮件通知。

本主题说明如何挂起、然后恢复 Auto Scale 组的一个或多个扩展过程。

开始和停止外向扩展操作

要开始和停止外向扩展操作，请执行以下步骤。

• 对于 AWS 动态扩展 - 参阅以下链接，了解关于启用或禁用外向扩展操作的信息：

  挂起和恢复扩展过程

• 对于 AWS 自定义 Lambda - 导航到 CloudWatch CPU 上限阈值警报，然后编辑警报以添加或删除“外向扩展 SNS”主题。

开始和停止内向扩展操作

要开始和停止内向扩展操作，请执行以下步骤。

• 对于 AWS 动态扩展 - 参阅以下链接以启用或禁用内向扩展操作：

  挂起和恢复扩展过程

• 对于 AWS 自定义 Lambda - 导航到 CloudWatch CPU 上限阈值警报，然后编辑警报以添加或删除“内向扩展 SNS”主题。

运行状况监控器配置如下：如果不正常的 IP 目标增加大于或等于 1，则保持 60 分钟，然后发布 SNS 事件。

• 如果有属于有效 FTDv VM 的不正常 IP，该实例将被删除。

• 如果这些 IP 不是来自有效的 FTDv VM，则仅从目标组中删除 IP。

禁用运行状况监控器

要禁用运行状况监控器，请导航到 SNS 订用。在 ASG 组主题的 AWS Lambda 订用中，删除该订用。或者，您也可以删除电子邮件预订。

启用运行状况监控器

要启用运行状况监控器，请导航到 SNS 订用。创建订用并选择正确的主题 ARN（Auto Scale 组主题 ARN）、AWS Lambda 作为协议。此外，选择 Auto Scale 生命周期钩子 lambda 作为 Lambda ARN。

在极少数需要禁用生命周期钩子的情况下，如果禁用，将不会向实例添加额外的接口。它还可能导致一系列 FTDv 实例部署失败。

要禁用 Auto Scale Manager，应禁用相应的 CloudWatch 事件“notify-instance-launch”和“notify-instance-terminate”。禁用这些不会对任何新事件触发 Lambda。但是，已在执行的 Lambda 操作将会继续。Auto Scale Manager 不会突然停止。通过删除堆栈或删除资源尝试突然停止可能会导致状态不确定。

由于 AWS 负载均衡器不允许对具有多个网络接口的实例使用实例类型目标，因此将 Gigabit0/1 接口 IP 配置为目标组上的目标。但是，截至目前，AWS Auto Scale 运行状况检查仅对实例类型目标（而不是 IP）有效。此外，这些 IP 不会自动添加到目标组或从目标组中删除。因此，我们的 Auto Scale 解决方案会以编程方式处理这两个任务。但在进行维护或故障排除时，可能会有需要手动完成此操作的情况。

将目标注册到目标组

要将 FTDv 实例注册到负载均衡器，其 Gigabit0/1 实例 IP（外部子网）应添加为目标组中的目标。请参阅按 IP 地址注册或取消注册目标。

从目标组取消注册目标

要从负载均衡器取消注册 FTDv 实例，其 Gigabit0/1 实例 IP（外部子网）应作为目标组中的目标删除。请参阅按 IP 地址注册或取消注册目标。

AWS 不允许在 Auto Scale 组中重新启动实例，但允许用户将实例置于备用状态并执行这类操作。但是，当负载均衡器目标为实例类型时，这将发挥最佳效果。但是，由于多个网络接口，FTDv VM 无法配置为实例类型目标。

将实例置于备用状态

如果实例被置于备用状态，则其目标组中的 IP 在运行状况探测失败之前仍将继续处于相同状态。因此，建议在将实例置于备用状态之前，从目标组取消注册各自的 IP；有关详细信息，请参阅从目标组取消注册目标。

删除 IP 后，请参阅暂时从 Auto Scaling 组中删除实例。

从备用状态删除实例

同样，您也可以将实例从备用状态移至运行状态。从备用状态删除后，实例的 IP 应注册到目标组目标。请参阅将目标注册到目标组。

有关如何将实例置于备用状态以进行故障排除或维护的详细信息，请参阅 AWS 新闻博客。

从 Auto Scale 组删除/分离实例

要从 Auto Scale 组中删除实例，应首先将其移到备用状态。请参阅“将实例置于备用状态”。当实例处于备用状态后，可以将其删除或分离。请参阅从 Auto Scaling 组分离 EC2 实例。

FMC 端不会有任何更改。需要手动执行任何必要的更改。

要终止实例，应将其置于备用状态；请参阅实例备用。当实例处于备用状态后，即可继续终止。

为避免从 Auto Scale 组中意外删除任何特定实例，可以对其进行内向扩展保护。如果实例受到内向扩展保护，则不会因内向扩展事件而终止。

请参阅以下链接，以便将实例置于内向扩展保护状态。

https://docs.aws.amazon.com/autoscaling/ec2/userguide/as-instance-termination.html

重要	建议将状况良好的最小数量的实例（目标 IP 应正常运行，而不仅是 EC2 实例）设为内向扩展保护。

配置中的任何更改都不会自动反映在运行中的实例上。更改将仅反映在未来的设备上。应手动将此类更改推送到现有设备。

更改 FMC 用户名和密码

在更改 FMC IP、用户名或密码的情况下，应对 Auto Scale Manager Lambda 函数环境变量执行相应的更改。请参阅使用 AWS Lambda 环境变量。

当 Lambda 下次运行时，将引用更改后的环境变量。

注	环境变量直接送入 Lambda 函数。此处不检查密码复杂性。

更改 FTDv Admin 密码

对于运行中的实例，更改 FTDv 密码时要求用户在每个设备上手动更改。对于要载入的新 FTDv 设备，将从 Lambda 环境变量提取 FTDv 密码。请参阅使用 AWS Lambda 环境变量。

更改注册和 NAT ID

对于要使用不同的注册和 NAT ID 载入的新 FTDv 设备，在进行 FMC 注册时，应在 Configuration.json 文件中更改这些信息。可以在 Lambda 资源页中找到 Configuration.json 文件。

通过设备组分配的帮助，访问策略或 NAT 策略的任何更改都将自动应用到未来的实例。不过，要更新现有的 FTDv 实例，您需要手动推送配置更改，然后从 FMC 部署这些更改。

部署后可以在 AWS 中更改许多内容，如 Auto Scale 组、启动配置、CloudWatch 事件、扩展策略等。您可以将资源导入 CloudFormation 堆栈，或通过现有资源创建新的堆栈。

有关如何管理对 AWS 资源执行的更改的详细信息，请参阅将现有资源引入 CloudFormation 管理。

为了导出 CloudWatch 日志，请参阅使用 AWS CLI 将日志数据导出到 Amazon S3。