action.skip
Megaport Documentation
Planen der Bereitstellung
Copy for LLM ▼
Copy Page Content Open in ChatGPT Open in Claude Open in VS Code View Markdown
PDF

Planung Ihrer Palo Alto Networks VM-Series MVE Bereitstellung

Dieses Thema bietet einen Überblick über den Provisioning-Prozess und beschreibt Überlegungen zur Bereitstellung für die Megaport Virtual Edge (MVE).

Palo Alto Networks VM-Series Firewall

Sie benötigen eine VM-Series-Lizenz von Palo Alto Networks zur Nutzung im Megaport Software-Defined Network (SDN). Weitere Informationen finden Sie unter Lizenzierung.

Megaport stellt Ihnen Folgendes bereit:

  • Eine virtuelle Maschine zum Hosten des Next-Generation-Firewall-(NGFW)-Images
  • Eine Megaport Internet Verbindung, um den Tunnel zwischen MVE und CPE in der Niederlassung über das Internet zu terminieren
  • Zugriff auf das Megaport Ökosystem.

VM-Series-Funktionen

VM-Series liefert NGFW-Dienste auf einer virtuellen Maschine. Das Hosten von VM-Series auf MVE optimiert nicht nur die Edge-to-Cloud-Netzwerkkonnektivität, sondern erzwingt auch erweiterte Sicherheitsdienste und -richtlinien über die Megaport Backbone-Segmente.

Das Secure Access Service Edge (SASE)-Angebot von Palo Alto Networks richtet sich an Kunden, die die SASE-Architektur einführen und zusätzliche Sicherheit für ihr Netzwerk am Edge benötigen.

Die Einbettung von VM-Series in die NaaS-Plattform von Megaport erweitert die folgenden Kern-SASE-Elemente zwischen dem Edge und dem Cloud-Netzwerk-Fabric:

  • Next-Generation-Firewall, einschließlich zustandsbehafteter Unternehmens-Firewall-Richtlinien, Network Address Translation (NAT), Intrusion Protection Services, Secure Sockets Layer (SSL)-Inspektion und Threat Intelligence.

  • Secure Web Gateway (SWG)-Dienste schützen Geräte vor bösartigen Internetzielen durch Webinhaltsfilterung und Malware-Scanning.

  • Zero Trust Network Access (ZTNA), das den Zugriff auf Anwendungen steuert, indem Benutzer und Geräte vor jeder Anwendungssitzung verifiziert werden und bestätigt wird, dass sie den Richtlinien der Organisation für den Zugriff auf diese Anwendung entsprechen.

  • Segmentierung und Whitelisting steuern Anwendungen, die über verschiedene Subnetze kommunizieren, blockieren laterale Bewegung von Bedrohungen und unterstützen die Einhaltung regulatorischer Vorgaben.

  • Threat Prevention, DNS Security und WildFire-Dienste wenden anwendungsspezifische Richtlinien an, die Malware verhindern und bisher unbekannte Bedrohungen daran hindern, die Cloud zu infizieren.

VM-Series unterstützt auch die Integration von Remote-Benutzern mit SASE-Lösungen von Palo Alto Networks mit Prisma Access. Prisma Access bietet zwei Methoden für den Remote-Benutzerzugriff:

  • GlobalProtect – Erweitert die Sichtbarkeit und Kontrolle von Prisma Access über den gesamten Netzwerkverkehr, Anwendungen, Ports und Protokolle auf den Benutzer, für sicheren Zugriff auf internet- oder rechenzentrumsbasierte Anwendungen.
  • Explicit Proxy – Ermöglicht SWG-Zugriff auf internetbasierte SaaSSoftware as a Service (SaaS) ist eine Form des Cloud Computing, bei der der Anbieter einem Kunden die Nutzung von Anwendungssoftware anbietet und alle physischen und Software-Ressourcen verwaltet, die von der Anwendung genutzt werden. SaaS wird manchmal als “On-Demand-Software” bezeichnet und üblicherweise auf Pay-per-Use-Basis oder mittels einer Abonnementgebühr abgerechnet.
    -Anwendungen über HTTP und HTTPS.

Weitere Informationen zu diesen Funktionen finden Sie in den VM-Series Tech Docs.

Hinweis

Wenn Sie bereits eine VM-Series-Firewall bereitgestellt haben, können Sie diese mit einem MVE verbinden, sodass Ihre Zentrale oder Niederlassungen über private Interconnects auf Cloud-Dienste zugreifen können.

Überlegungen zur Bereitstellung

Dieser Abschnitt bietet einen Überblick über die MVE-Bereitstellungsoptionen und -Funktionen.

Palo Alto Networks verwendet virtuelle oder physische Appliances wie viele andere Plattformen. Bei Palo Alto Networks können Sie die Appliances jedoch für mehrere verschiedene Verwendungszwecke konfigurieren. Beispielsweise können Sie eine Palo Alto Networks-Appliance konfigurieren für:

  • ausschließlich als Next-Generation-Firewall (NGFW) für Außenstellen mit lokaler Konfiguration und nur lokaler Protokollierung.

  • zentrale Verwaltung mit zentraler Protokollierung oder zentrale Verwaltung ohne zentrale Protokollierung.

SD-WAN-Anbieter

MVE ist in Palo Alto Networks integriert, das den Netzwerk-Orchestrator von Palo Alto Networks, Panorama (VM-Series), verwendet, um das private Overlay-Netzwerk zu erstellen.

Informationen zu allen unterstützten NFVsMVE ist eine On-Demand- und herstellerneutrale Network Function Virtualization (NFV)-Plattform, die virtuelle Infrastruktur für Netzwerkdienste am Edge des globalen softwaredefinierten Netzwerks (SDN) von Megaport bereitstellt. Netzwerktechnologien wie SD-WAN und NGFW werden direkt über Megaport Virtual Edge im globalen Netzwerk von Megaport gehostet.
 auf der MVE Plattform finden Sie auf der Megaport Virtual Edge (MVE) product page.

MVE-Standorte

Eine Liste der globalen Standorte, an denen Sie eine Verbindung zu einem MVE herstellen können, finden Sie unter Megaport Virtual Edge-Standorte.

Größenwahl Ihrer MVE-Instanz

Die Instanzgröße bestimmt die Fähigkeiten der MVE, etwa wie viele gleichzeitige Verbindungen sie unterstützen kann.

Bei der Auswahl der Größe einer MVE-Instanz beachten Sie Folgendes:

  • Jede Erhöhung der Last im Netzwerk-Datenstrom kann die Performance beeinträchtigen. Beispielsweise können das Einrichten sicherer Tunnel mit IPsec, das Hinzufügen von Traffic Path Steering oder der Einsatz von Deep Packet Inspection (DPI) die maximale Durchsatzrate beeinflussen.

  • Zukünftige Pläne zur Skalierung des Netzwerks.

Um zu prüfen, welche MVE-Instanzgrößen für Ihre Bereitstellung verfügbar sind, verwenden Sie das Megaport Portal während des MVE-Einrichtungsprozesses. Die Verfügbarkeit der Instanzgrößen hängt sowohl vom ausgewählten Hersteller als auch vom Bereitstellungsstandort ab und kann entsprechend variieren. Das Megaport Portal zeigt die Größen an, die für Ihren ausgewählten Hersteller und Standort verfügbar sind.

So prüfen Sie die MVE-Instanzgrößen im Megaport Portal

  1. Gehen Sie im Megaport Portal zur Seite Services.

  2. Klicken Sie auf MVE erstellen.
    Schaltfläche MVE erstellen

  3. Wählen Sie Palo Alto VM-Series aus.

  4. Wählen Sie die Softwareversion aus.

  5. Klicken Sie auf Next (Weiter).

  6. Wählen Sie einen MVE-Standort aus.

    Wählen Sie einen Standort, der geografisch in der Nähe Ihrer Zielniederlassung und/oder Ihrer On-Premises-Standorte liegt.

    Sie können das Feld Suchen verwenden, um den Port-Namen, das Land, die Metro City oder die Adresse Ihres Ziel-Ports zu finden. Sie können auch nach der Diversität-Zone filtern.

  7. Basierend auf dem ausgewählten Standort wird eine Liste verfügbarer Instanzgrößen angezeigt. Verfügbare Größen sind grün hervorgehoben und mit Available (Verfügbar) gekennzeichnet. Die Größen unterstützen unterschiedliche Anzahlen gleichzeitiger Verbindungen, und die einzelnen Partnermetriken weichen leicht voneinander ab.

    Hinweis

    Wenn die gewünschte MVE-Größe nicht in der Liste enthalten ist, steht am ausgewählten Standort nicht genügend Kapazität zur Verfügung. Sie können entweder einen anderen Standort mit ausreichender Kapazität auswählen oder Ihren Account Manager kontaktieren, um Anforderungen zu besprechen.

Was ist, wenn ich in Zukunft mehr MVE-Kapazität benötige?

Um Ihre MVE-Kapazität zu erhöhen, haben Sie folgende Optionen:

  • Sie können eine weitere MVE-Instanz bereitstellen, sie Ihrem -Overlay-Netzwerk hinzufügen und die Arbeitslast zwischen den beiden MVEs aufteilen.

  • Sie können eine größere MVE-Instanz bereitstellen, sie Ihrem -Overlay-Netzwerk hinzufügen, Verbindungen von der alten MVE auf die neue, größere MVE migrieren und anschließend die alte MVE außer Betrieb nehmen.

Wenn Sie mehr Kerne (vCPUs) benötigen, können Sie entweder:

  • Ein neues MVE mit mehr Kernen erstellen und das alte beenden (bei dieser Option müssen Sie Ihre Firewall neu konfigurieren).
  • Ein neues MVE als zweite Firewall erstellen, um Kapazität von der ersten Firewall auszulagern.

Sie können die Bandbreite des Megaport Internet jederzeit anpassen, ohne die virtuelle Maschine herunterfahren zu müssen.

Sicherheit

MVE bietet sichere Kapazität zu und von Ihren internetfähigen Niederlassungen, zu jedem Endpunkt oder Dienstanbieter im Megaport SDN. Von CSP gehostete Instanzen von Partner-SD-WAN-Produkten leiten kritischen Datenverkehr über das Megaport SDN und reduzieren so die Abhängigkeit vom Internet. Der Datenverkehr bleibt verschlüsselt und unter Ihrer Richtlinienkontrolle, während er über das Megaport SDN, zum oder vom MVE, transportiert wird.

Lizenzierung

Sie bringen Ihre eigene VM-Series-Lizenz für die Nutzung mit MVE mit. Es liegt in Ihrer Verantwortung, die entsprechenden Lizenzen für die im Megaport Netzwerk erstellten Endpunkte zu besitzen.

Um eine VM-Series-Lizenz zu erwerben, empfehlen wir, mit dem credit estimator tool von Palo Alto Networks zu beginnen.

Empfehlungen:

  • Stellen Sie sicher, dass die von Ihnen gewählte Anzahl an vCPUs Ihren Anforderungen entspricht.
  • Wählen Sie Kernel-based Virtual Machine (KVM) als Umgebung.
  • Für die beste Leistung empfehlen wir, die Anzahl der vCPUs Ihrer VM-Series-Lizenz an die Anzahl der vCPUs Ihres MVE anzupassen.

VLAN-Tagging

Megaport verwendet Q-in-Q802.1Q Tunneling (auch bekannt als Q-in-Q oder 802.1ad) ist eine von OSI-Layer-2-Providern für Kunden eingesetzte Technik. 802.1ad sieht sowohl ein inneres als auch ein äußeres Tag vor, wobei das äußere (manchmal als S-Tag für Service Provider bezeichnet) entfernt werden kann, um die inneren (C-Tag oder Kunden-Tag) Tags freizulegen, die die Daten segmentieren.
, um VXCs und MVEs auf einem Host-Hardwaresystem zu unterscheiden. Die Mandanten-MVE empfängt ungetaggten Traffic für die internetseitige Verbindung sowie einfach getaggten 802.1Q-Traffic für VXCs zu anderen Zielen im Megaport-Netzwerk (z. B. CSP On-Ramps oder andere MVEs). Weitere Informationen finden Sie unter Konfigurieren von Q-in-Q.

vNICs

Jedes MVE kann bis zu fünf vNICs haben. Ein VM-Series MVE wird standardmäßig mit zwei vNICs erstellt. Sie können bis zu drei weitere hinzufügen, insgesamt also fünf.

Bevor Sie die Anzahl der vNICs auf Ihrem MVE festlegen:

  • Beachten Sie, dass die Anzahl der vNICs nach der Bestellung eines MVE nicht mehr geändert werden kann. Legen Sie im Voraus fest, wie viele vNICs Sie beim Erstellen des MVE angeben.

  • Konsultieren Sie Ihren Service Provider, um sicherzustellen, dass die Funktionalität nicht beeinträchtigt wird, wenn Sie eine vNIC hinzufügen.

Hinweis

Wenn Sie die Anzahl der vNICs nach der Bestellung eines MVE ändern müssen, müssen Sie den MVE stornieren und neu bestellen.

Weitere Informationen finden Sie unter Arten von vNIC-Verbindungen.