action.skip
Megaport Documentation
Planen der Bereitstellung
Copy for LLM ▼
Copy Page Content Open in ChatGPT Open in Claude Open in VS Code View Markdown
PDF

Planung Ihrer Check Point-Bereitstellung

Dieses Thema bietet einen Überblick über den Provisioning-Prozess und beschreibt Überlegungen zur Bereitstellung für die Megaport Virtual Edge (MVE).

Sie stellen bereit Megaport stellt bereit
Internetverbindung aus der Niederlassung Plattform zum Hosten virtueller Sicherheitsinstanzen
Check Point CloudGuard in der Niederlassung bereitgestellt Vollständige Verbindung von einer Niederlassung zu jedem Ziel im Megaport Netzwerk und Interoperabilität mit anderen Megaport Produkten und Services
Customer Premises Equipment (CPE) in der Niederlassung installiert Megaport Internet Verbindung, um den Tunnel zwischen MVE und CPE in der Niederlassung über das Internet zu terminieren
Check Point CloudGuard-Softwarelizenz zur Nutzung im Megaport SDN Zugriff auf das Megaport Ökosystem

Überlegungen zur Bereitstellung

Dieser Abschnitt bietet einen Überblick über die MVE-Bereitstellungsoptionen und -Funktionen.

Hinweis

Die Architektur von Check Point unterscheidet sich von der vieler anderer Firewall-Hersteller.

Check Point verwendet einen zentralen Security Management Server (Policy Server), um seine Security Gateways, einschließlich MVEs, zu verwalten und zu konfigurieren. Der Security Management Server definiert Sicherheitsrichtlinien und verteilt sie an Gateways, die diese Richtlinien dann durchsetzen.

Erstzugriff und Verwaltung

  • Verwenden Sie vNIC 0 für die initiale Kommunikation mit dem Gerät.
  • Konfigurieren Sie vNIC 0 als untagged, um die erstmalige administrative Anmeldung zu ermöglichen.
  • Check Point-Firewalls deaktivieren das Internet Control Message Protocol (ICMP) standardmäßig. Sie können ping oder andere ICMP-basierte Tools unmittelbar nach der Bereitstellung nicht zur Überprüfung der Konnektivität verwenden.
  • Sobald der MVE aktiv ist, melden Sie sich über SSH oder HTTPS an.

Richtlinien und erweiterte Konfiguration

  • Verwenden Sie die Check Point Smart Console für erweiterte Konfiguration und Richtlinienverwaltung. Sie müssen die Smart Console vollständig konfigurieren, bevor Sie Firewall-Richtlinien erstellen oder veröffentlichen können.
  • Stellen Sie ein Management Gateway (Security Management Server) bereit, um Firewall-Richtlinien zu definieren und zu verteilen. Sie können das Management Gateway in jeder CSP-Umgebung bereitstellen.

Informationen zur Automatisierung von Check Point CloudGuard-Bereitstellungen finden Sie unter CloudGuard Network Security - How to configure cloud-init automation und How to provide user data in KVM with Configuration Drive.

Netzwerk- und Sicherheitsanbieter

MVE integriert sich mit Check Point CloudGuard, um fortschrittliche Bedrohungsprävention und sicheres, richtlinienbasiertes Traffic-Routing zwischen Ihrem Netzwerk und Cloud-Umgebungen bereitzustellen.

Weitere Informationen zu unterstützten NFVsMVE ist eine On-Demand- und herstellerneutrale Network Function Virtualization (NFV)-Plattform, die virtuelle Infrastruktur für Netzwerkdienste am Edge des globalen softwaredefinierten Netzwerks (SDN) von Megaport bereitstellt. Netzwerktechnologien wie SD-WAN und NGFW werden direkt über Megaport Virtual Edge im globalen Netzwerk von Megaport gehostet.
 auf der MVE Plattform finden Sie auf der Megaport Virtual Edge (MVE) product page.

MVE-Standorte

Eine Liste der globalen Standorte, an denen Sie eine Verbindung zu einem MVE herstellen können, finden Sie unter Megaport Virtual Edge-Standorte.

Größenwahl Ihrer MVE-Instanz

Die Instanzgröße bestimmt die Fähigkeiten der MVE, etwa wie viele gleichzeitige Verbindungen sie unterstützen kann.

Bei der Auswahl der Größe einer MVE-Instanz beachten Sie Folgendes:

  • Jede Erhöhung der Last im Netzwerk-Datenstrom kann die Performance beeinträchtigen. Beispielsweise können das Einrichten sicherer Tunnel mit IPsec, das Hinzufügen von Traffic Path Steering oder der Einsatz von Deep Packet Inspection (DPI) die maximale Durchsatzrate beeinflussen.

  • Zukünftige Pläne zur Skalierung des Netzwerks.

Um zu prüfen, welche MVE-Instanzgrößen für Ihre Bereitstellung verfügbar sind, verwenden Sie das Megaport Portal während des MVE-Einrichtungsprozesses. Die Verfügbarkeit der Instanzgrößen hängt sowohl vom ausgewählten Hersteller als auch vom Bereitstellungsstandort ab und kann entsprechend variieren. Das Megaport Portal zeigt die Größen an, die für Ihren ausgewählten Hersteller und Standort verfügbar sind.

So prüfen Sie die MVE-Instanzgrößen im Megaport Portal

  1. Gehen Sie im Megaport Portal zur Seite Services.

  2. Klicken Sie auf MVE erstellen.
    Schaltfläche MVE erstellen

  3. Wählen Sie Check Point CloudGuard Network aus.

  4. Wählen Sie die Softwareversion aus.

  5. Klicken Sie auf Next (Weiter).

  6. Wählen Sie einen MVE-Standort aus.

    Wählen Sie einen Standort, der geografisch in der Nähe Ihrer Zielniederlassung und/oder Ihrer On-Premises-Standorte liegt.

    Sie können das Feld Suchen verwenden, um den Port-Namen, das Land, die Metro City oder die Adresse Ihres Ziel-Ports zu finden. Sie können auch nach der Diversität-Zone filtern.

  7. Basierend auf dem ausgewählten Standort wird eine Liste verfügbarer Instanzgrößen angezeigt. Verfügbare Größen sind grün hervorgehoben und mit Available (Verfügbar) gekennzeichnet. Die Größen unterstützen unterschiedliche Anzahlen gleichzeitiger Verbindungen, und die einzelnen Partnermetriken weichen leicht voneinander ab.

    Hinweis

    Wenn die gewünschte MVE-Größe nicht in der Liste enthalten ist, steht am ausgewählten Standort nicht genügend Kapazität zur Verfügung. Sie können entweder einen anderen Standort mit ausreichender Kapazität auswählen oder Ihren Account Manager kontaktieren, um Anforderungen zu besprechen.

Was ist, wenn ich in Zukunft mehr MVE-Kapazität benötige?

Um Ihre MVE-Kapazität zu erhöhen, haben Sie folgende Optionen:

  • Sie können eine weitere MVE-Instanz bereitstellen, sie Ihrem -Overlay-Netzwerk hinzufügen und die Arbeitslast zwischen den beiden MVEs aufteilen.

  • Sie können eine größere MVE-Instanz bereitstellen, sie Ihrem -Overlay-Netzwerk hinzufügen, Verbindungen von der alten MVE auf die neue, größere MVE migrieren und anschließend die alte MVE außer Betrieb nehmen.

Sie können die Bandbreite des Megaport Internet jederzeit anpassen, ohne die virtuelle Maschine herunterfahren zu müssen.

Sicherheit

MVE bietet sichere Konnektivität zwischen Ihren Niederlassungen und Cloud- oder Rechenzentrumszielen über das Megaport SDN. Auf MVE gehostete Check Point CloudGuard-Instanzen inspizieren, sichern und steuern den Datenverkehr über das private Netzwerk-Backbone von Megaport. Der Datenverkehr bleibt vom Edge bis zum Ziel verschlüsselt und richtlinienbasiert.

Lizenzierung

Stellen Sie vor dem Erstellen eines MVE im Megaport Portal sicher, dass Ihr Benutzerkonto über Bestellberechtigungen verfügt. Weitere Informationen finden Sie unter Erstellen eines Kontos.

Sie benötigen außerdem eine gültige Check Point CloudGuard-Lizenz. Informationen zum Erwerben oder Verwalten einer Check Point CloudGuard-Lizenz finden Sie im Check Point User Center.

VLAN-Tagging

Megaport verwendet Q-in-Q802.1Q Tunneling (auch bekannt als Q-in-Q oder 802.1ad) ist eine von OSI-Layer-2-Providern für Kunden eingesetzte Technik. 802.1ad sieht sowohl ein inneres als auch ein äußeres Tag vor, wobei das äußere (manchmal als S-Tag für Service Provider bezeichnet) entfernt werden kann, um die inneren (C-Tag oder Kunden-Tag) Tags freizulegen, die die Daten segmentieren.
, um VXCs und MVEs auf einem Host-Hardwaresystem zu unterscheiden. Die Mandanten-MVE empfängt ungetaggten Traffic für die internetseitige Verbindung sowie einfach getaggten 802.1Q-Traffic für VXCs zu anderen Zielen im Megaport-Netzwerk (z. B. CSP On-Ramps oder andere MVEs). Weitere Informationen finden Sie unter Konfigurieren von Q-in-Q.

vNICs

Für die Integration von MVE mit Check Point wird eine vNIC unterstützt.