Copy for LLM ▼

Copy Page Content Open in ChatGPT Open in Claude Open in VS Code View Markdown

PDF

Erstellen einer Google Cloud Services-Verbindung für ein MVE mit Palo Alto VM-Series

Sie können über Partner Interconnect eine Netzwerkverbindung von einem MVE (einer Palo Alto VM-Series) zu Google Cloud herstellen.

Bei der Verbindung mit Google Cloud Platform (GCP) über Partner Interconnect mit Megaport bildet das Virtual Cross Connect (VXC) die Layer-2-Komponente der Verbindung und Layer-3-BGP wird direkt zwischen dem Kunden und GCP aufgebaut.

Wichtig

Bevor Sie beginnen, erstellen Sie ein MVE (VM-Series-Firewall). Weitere Informationen finden Sie unter Erstellen eines MVE. Das MVE muss den aktiven Status haben.

Es gibt drei Teile, um eine Google-Cloud-Verbindung zu Ihrem MVE und der VM-Series hinzuzufügen.

1. Erstellen Sie ein Partner Interconnect Attachment in der Google Cloud Console oder der gcloud CLI. Kopieren Sie den Pairing-Key, der im Rahmen der Attachment-Erstellung bereitgestellt wird. Weitere Details finden Sie in der Google-Dokumentation zu Google Partner Interconnects.

2. Im Megaport Portal, erstellen Sie ein VXC von Ihrem MVE zur Verbindung mit Ihrem Google-Cloud-Attachment.

3. Erstellen Sie in der VM-Series ein neues Interface und fügen Sie die Details der Google-Cloud-Verbindung hinzu.

Diese Anleitung führt durch Teil zwei und drei.

Hinweis

MVE für Palo Alto VM-Series erfordert Konfigurationsschritte sowohl in der VM-Series als auch im Megaport Portal für alle Cloud-Verbindungen.

Hinzufügen der Google-Cloud-Verbindung im Megaport Portal

Um die GCP-Verbindung einzurichten, müssen Sie die Verbindung im Megaport Portal erstellen.

So stellen Sie ein VXC zur Google Cloud Platform aus dem Megaport Portal bereit

1. Im Megaport Portal gehen Sie zur Seite Services und wählen das MVE für die Verbindung aus.

2. Klicken Sie auf +Connection (+Verbindung) und klicken Sie auf die Cloud-Kachel.

3. Wählen Sie Google als Anbieter.
   

4. Kopieren Sie den Pairing-Key aus der Google Cloud Console und fügen Sie ihn in das Feld im rechten Bereich ein.
   Die relevanten Google-Ziele erscheinen basierend auf der Region Ihrer GCI-Partnerverbindung.

5. Wählen Sie den Zielstandort für Ihre Verbindung aus und klicken Sie auf Next (Weiter).

6. Geben Sie die Verbindungsdetails an:

   • Connection Name (Verbindungsname) – Der Name Ihres VXC, der im Megaport Portal angezeigt wird.

   • Service Level Reference (Service-Level-Referenz) (optional) – Geben Sie eine eindeutige Kennnummer für Ihren Megaport Service an, die für Abrechnungszwecke verwendet wird, z. B. eine Kostenstellennummer, eine eindeutige Kunden-ID oder eine Bestellnummer. Die Service-Level-Referenznummer erscheint für jeden Service im Abschnitt Produkt der Rechnung. Sie können dieses Feld auch für einen bestehenden Service bearbeiten.

   • Rate Limit (Übertragungsratenlimit) – Die Geschwindigkeit Ihrer Verbindung in Mbps. Geben Sie denselben Wert ein, den Sie für Ihre Google-Portgeschwindigkeit ausgewählt haben.

   • VXC State (VXC-Status) – Wählen Sie Enabled (Aktiviert) oder Shut Down (Herunterfahren), um den Anfangszustand der Verbindung festzulegen. Weitere Informationen finden Sie unter Herunterfahren eines VXC für Failover-Tests.

     Hinweis

     Wenn Sie Shut Down (Herunterfahren) auswählen, fließt kein Traffic über diesen Service und er verhält sich so, als wäre er im Megaport Netzwerk ausgefallen. Die Abrechnung für diesen Service bleibt aktiv und Ihnen werden weiterhin Kosten für diese Verbindung berechnet.

   • A-End vNIC (A-End-vNIC) – Wählen Sie eine A-End-vNIC aus der Dropdown-Liste. Weitere Informationen zu vNICs finden Sie unter Erstellen eines MVE im Megaport Portal.

   • Preferred A-End VLAN (Bevorzugtes A-Ende-VLAN) – Das VLAN für diese Verbindung, das Sie über das MVE erhalten. Dies muss eine eindeutige VLAN-ID auf diesem MVE sein und kann von 2 bis 4093 reichen. Wenn Sie eine bereits verwendete VLAN-ID angeben, zeigt das System die nächste verfügbare VLAN-Nummer an. Die VLAN-ID muss eindeutig sein, um mit der Bestellung fortzufahren. Wenn Sie keinen Wert angeben, weist Megaport einen zu.

   • Minimum Term (Mindestlaufzeit) – Wählen Sie Keine Mindestlaufzeit, 12 Monate, 24 Monate oder 36 Monate. Längere Laufzeiten führen zu einer geringeren monatlichen Gebühr. 12 Monate ist standardmäßig ausgewählt. Beachten Sie die Informationen auf dem Bildschirm, um vorzeitige Kündigungsgebühren (ETF) zu vermeiden.

     Aktivieren Sie die Option Automatische Verlängerung der Mindestlaufzeit für Services mit einer Laufzeit von 12, 24 oder 36 Monaten, um den Vertrag am Ende des Vertrags automatisch zum gleichen rabattierten Preis und mit derselben Laufzeit zu verlängern. Wenn Sie den Vertrag nicht verlängern, am Ende der Laufzeit, geht der Vertrag automatisch für den folgenden Abrechnungszeitraum in einen Monat-zu-Monat-Vertrag zum gleichen Preis, ohne Laufzeitrabatte über.

     Weitere Informationen finden Sie unter Preise und Vertragsbedingungen für VXC und Abrechnung für VXC, Megaport Internet und IX.

   • Resource Tags (Ressourcen-Tags) – Sie können Ressourcen-Tags verwenden, um eigene Referenzmetadaten zu einem Megaport Dienst hinzuzufügen.
     So fügen Sie einen Tag hinzu:

     1. Klicken Sie auf Tags hinzufügen.
     2. Klicken Sie auf Neuen Tag hinzufügen.
     3. Geben Sie Details in die Felder ein:
        • Schlüssel – String, maximale Länge 128. Zulässige Werte sind a-z 0-9 _ : . / \ -
        • Wert – String, maximale Länge 256. Zulässige Werte sind a-z A-Z 0-9 _ : . @ / + \ - (Leerzeichen)
     4. Klicken Sie auf Speichern.

     Wenn für diesen Dienst bereits Ressourcen-Tags vorhanden sind, können Sie sie verwalten, indem Sie auf Tags verwalten klicken.

     Warnung

     Fügen Sie niemals sensible Informationen in einem Ressourcen-Tag ein. Zu sensiblen Informationen gehören Befehle, die vorhandene Tag-Definitionen zurückgeben, und Informationen, die eine Person oder ein Unternehmen identifizieren.

   

7. Fügen Sie das VXC Ihrer Bestellung hinzu und schließen Sie den Checkout-Vorgang ab.

8. Sobald Sie das VXC bereitgestellt haben, kehren Sie zu Ihrem Attachment in der Google Cloud Console zurück und akzeptieren Sie das Attachment.
   Sie erhalten Ihre private IP-Adresse von Google zur BGP-Konfiguration.
   Stellen Sie sicher, dass Sie das Attachment vorab aktivieren oder es nach der Konfiguration des VXC als aktiv markieren. Andernfalls können Sie BGP mit Ihrer SD-WAN-Instanz nicht einrichten.

Hinweis

Die Google-ASN ist immer 16550.

Hinzufügen der Google-Cloud-Verbindung zur VM-Series

Nachdem Sie die Verbindung von Ihrem MVE zu Google Cloud erstellt und die Verbindung in der Google Console eingerichtet haben, müssen Sie sie in der VM-Series konfigurieren. Dies umfasst die Konfiguration von BGP-Einstellungen, ASNs und VLANs.

So fügen Sie die Google-Cloud-Verbindung in der VM-Series hinzu

1. Sammeln Sie die Verbindungsdetails aus der Google Console.
   Zeigen Sie die Details der Verbindung an, die Sie in Google Cloud für diese Verbindung erstellt haben. Notieren Sie die Werte für Peer ASN (Peer-ASN), Cloud Router BGP IP und BGP Peer ID.
   

2. Sammeln Sie die Verbindungsdetails aus dem Megaport Portal.
   Klicken Sie auf das Zahnradsymbol für die Google-Verbindung Ihres MVE und klicken Sie auf die Ansicht Details. Notieren Sie den Wert für A-End VLAN.

3. Melden Sie sich bei der VM-Series an.

4. Wählen Sie Network > Interfaces.

5. Wählen Sie das A-End MVE (ethernet1/1).

6. Klicken Sie auf Add Subinterface.

7. Geben Sie folgende Details an:

   • Interface Name – Geben Sie einen Namen für das Subinterface ein. Geben Sie im angrenzenden Feld eine Nummer ein, um das Subinterface zu identifizieren.

   • Comment – Geben Sie einen alternativen Namen ein.

   • Tag – Geben Sie das A-End-VLAN an, das in Megaport Portal mit dieser Google-Verbindung verknüpft ist.

   • Virtual Router – Wählen Sie einen Virtual Router für das Interface, wie es Ihr Netzwerk erfordert.

8. Wählen Sie die Registerkarte IPv4.

9. Wählen Sie Static als Typ.
10. Klicken Sie auf +Add (+Hinzufügen), um eine neue IP-Adresse hinzuzufügen.
11. Geben Sie die IPv4-Adresse und die Netzmaske ein.
    Diese Werte sind in den VLAN-Attachment-Details in der Google Cloud Console verfügbar. Die IP-Adresse erscheint im Feld BGP Peer IP.
12. Klicken Sie auf OK.
13. Klicken Sie oben rechts auf Commit.
    
14. Prüfen Sie die Änderungen und klicken Sie auf Commit.
    

Das neue VLAN-Interface erscheint zusammen mit Ihrer physischen Schnittstelle ethernet1/1.

Als Nächstes erstellen Sie eine Sicherheitszone, damit das Interface Traffic weiterleiten kann.

So erstellen Sie eine Sicherheitszone

1. Wählen Sie das Subinterface ethernet1/1.1010.
2. Wählen Sie New Zone in der Dropdown-Liste Security Zone.
3. Geben Sie einen Namen für die Sicherheitszone an.
   
4. Klicken Sie unter Interfaces auf +Add (+Hinzufügen) und fügen Sie ethernet1/1.1010 zur Sicherheitszone hinzu.
5. Geben Sie alle weiteren Details ein, die für Ihre Netzwerksicherheit erforderlich sind.
6. Wählen Sie New Zone Protection Profile in der Dropdown-Liste Zone Protection Profile.
7. Geben Sie alle Details ein, die für Ihre Netzwerksicherheit erforderlich sind. In diesem Beispiel werden alle Standardwerte verwendet.
   
8. Klicken Sie auf OK.
9. Klicken Sie im Bildschirm Layer3 Subinterface auf OK.
10. Klicken Sie oben rechts auf Commit.
    
11. Prüfen Sie die Änderungen und klicken Sie auf Commit.
    

An diesem Punkt haben Sie das Interface erstellt. Als Nächstes erstellen Sie die BGP-Session.

So erstellen Sie die BGP-Session

1. Wählen Sie in der VM-Series Network > Virtual Routers.
2. Wählen Sie den Virtual Router aus.
   
3. Wählen Sie im linken Bereich BGP.

4. Geben Sie die folgenden BGP-Details an:

   • Aktivieren – Aktivieren Sie dieses Kontrollkästchen, um die BGP-Session nach dem Commit dieser Änderungen zu starten.
   • Router ID – Geben Sie die Cloud Router BGP IP aus den VLAN-Attachment-Details in der Google Cloud Console an.
   • AS Number – Geben Sie die ASN für die MVE-Verbindung an. Geben Sie die Peer ASN (Peer-ASN) an, die Sie in der BGP-Konfiguration für das VLAN-Attachment in der Google Cloud Console definiert haben.
     

5. Klicken Sie unter Auth Profiles auf +Add (+Hinzufügen).

6. Geben Sie einen Profilnamen an.
   
7. Geben Sie das Auth-Passwort ein und bestätigen Sie es.
8. Klicken Sie auf OK.
9. Wählen Sie die Registerkarte Peer Group.
   
10. Klicken Sie auf +Add (+Hinzufügen), um eine Peer-Gruppe hinzuzufügen.
11. Geben Sie einen Namen für die Peer-Gruppe an. Zum Beispiel AWS-xxxx.
12. Geben Sie eBGP als Sitzungstyp an.
13. Geben Sie alle weiteren Details ein, die für Ihr Netzwerk erforderlich sind.
14. Klicken Sie auf +Add (+Hinzufügen), um einen neuen Peer hinzuzufügen.
15. Geben Sie die Details für den Peer an:
    • Name – Geben Sie einen Namen für den Peer an.
    • Peer AS – Geben Sie die ASN auf der Google-Seite 16550 an. Dies ist ein fester Wert und erscheint in den Verbindungsdetails in der Google-Konsole.
    • Local Address – Wählen Sie das passende Subinterface und die IP-Adresse aus der Dropdown-Liste aus.
    • Peer Address – Geben Sie die Cloud Router BGP IP aus den VLAN-Attachment-Details in der Google Cloud Console ein.
      

Google Cloud erfordert BGP-Multihop-Unterstützung. Sie können die Multihop-Unterstützung in der VM-Series auf der Registerkarte Connection Options des BGP-Peers konfigurieren:

Überprüfen Ihrer Google-Cloud-Verbindung

So prüfen Sie den Status des BGP-Peers

1. Wählen Sie Network > Virtual Routers.
2. Suchen Sie Ihren Virtual Router (default).
3. Klicken Sie in der Spalte Runtime Stats rechts auf More Runtime Stats.
   
4. Wählen Sie die Registerkarte BGP und anschließend die Registerkarte Peer.
5. Vergewissern Sie sich, dass der Peer-Status Established ist.