action.skip

Planen Ihrer Palo Alto-MVE-Implementierung

Unter diesem Thema finden Sie einen Überblick zum Bereitstellungsprozess und Überlegungen zur Bereitstellung der Megaport Virtual Edge (MVE).

Sie benötigen eine VM-Series-Lizenz für die Verwendung im Megaport-SDN (Software-defined Network). Megaport stellt Folgendes für Sie bereit:

  • Eine virtuelle Maschine als Host für das Next Generation Firewall (NGFW)-Image
  • Eine Megaport Internet-Verbindung mit Distributed Denial of Service (DDoS), um den Tunnel zwischen MVE und CPE in der Zweigstelle über das Internet abzuschließen
  • Zugang zum Megaport-Partnernetzwerk

Hinweise zur Bereitstellung

Palo Alto Networks verwendet virtuelle oder physische Appliances, ähnlich wie viele andere Plattformen. Bei Palo Alto Networks können Sie die Appliances jedoch für mehrere verschiedene Zwecke konfigurieren. Sie können zum Beispiel eine Palo Alto Networks-Appliance für Folgendes konfigurieren:

  • Streng als Next-Generation-Firewall (NGFW) für Außenstellen mit lokaler Konfiguration und nur lokaler Protokollierung.

  • Als zentrale Verwaltung mit zentraler Protokollierung oder als zentrale Verwaltung ohne zentrale Protokollierung.

Merkmale der VM-Series

VM-Series stellt NGFW-Dienste auf einer virtuellen Maschine bereit. Das Hosting der VM-Series auf MVE optimiert nicht nur die Edge-to-Cloud-Netzwerkkonnektivität, sondern setzt auch fortschrittliche Sicherheitsdienste und -richtlinien in den Segmenten des Megaport-Backbone durch.

Das SASE-Angebot von Palo Alto Networks richtet sich an Kunden, die die SASE-Architektur einführen und zusätzliche Sicherheit für ihr Netzwerk in der Edge benötigen.

Das Embedding der VM-Series in die NaaS-Plattform von Megaport erweitert die folgenden Secure Access Service Edge (SASE)-Kernelemente zwischen der Edge- und der Cloud-Netzwerkstruktur:

  • Next-Generation Firewall (NGFW), einschließlich Stateful-Firewall-Unternehmensrichtlinien, Network Address Translation (NAT), Intrusion Protection Services, Secure Sockets Layer (SSL)-Inspektion und Threat Intelligence.

  • Secure Web Gateway (SWG)-Dienste schützen Geräte mithilfe von Webinhaltsfilterung und Malware-Scanning vor schädlichen Internetzielen.

  • Zero Trust Network Access (ZTNA) steuert den Zugriff auf Anwendungen, indem Benutzer und Geräte vor jeder Anwendungssitzung verifiziert werden, und stellt sicher, dass diese die Richtlinien der Organisation für den Zugriff auf diese Anwendung erfüllen.

  • Segmentierung und Zulassungslisten steuern Anwendungen, die über verschiedene Subnetze hinweg kommunizieren, blockieren laterale Bedrohungen und helfen bei der Einhaltung gesetzlicher Vorschriften.

  • Threat Prevention-, DNS-Sicherheits- und WildFire-Dienste wenden anwendungsspezifische Richtlinien an, die Malware verhindern und bisher unbekannte Bedrohungen daran hindern, die Cloud zu infizieren.

VM-Series unterstützt auch die Integration von Remotebenutzern in Palo Alto SASE-Lösungen mit Prisma Access. Prisma Access bietet zwei Verbindungsmethoden für den Fernzugriff:

  • GlobalProtect – Erweitert die Sichtbarkeit und Kontrolle von Prisma Access über den gesamten Datenverkehr, die Anwendungen, Ports und Protokolle zu dem Benutzer, um so einen sicheren Zugriff auf Internet- oder Rechenzentrumsanwendungen bereitzustellen.
  • Expliziter Proxy – Ermöglicht SWG-Zugriff auf internetbasierte SaaS-Anwendungen über HTTP und HTTPS.

Weitere Informationen zu diesen Features finden Sie in der Technischen Dokumentation zu VM-Series.

Hinweis

Wenn Sie bereits eine VM-Series-Firewall implementiert haben, können Sie diese mit einer MVE verbinden, sodass Ihr Hauptsitz oder Ihre Zweigstellen über private Verbindungen auf Clouddienste zugreifen können.

MVE-Standorte

Eine Liste der Standorte, an denen Sie eine Verbindung zu einer MVE herstellen können, finden Sie unter Megaport Virtual Edge-Standorte.

Dimensionierung der MVE-Instanz

Die Instanzengröße bestimmt die Leistungsfähigkeit der MVE, z. B. wie viele gleichzeitige Verbindungen sie unterstützen kann. Die MVE-Instanzen wurden zu folgenden Größen zusammengefasst:

Paketgröße vCPUs DRAM Speicher Megaport Internet-Geschwindigkeit *
MVE 2/8 2 8 GB 60 GB Einstellbar von 20 Mbit/s bis 10 Gbit/s
MVE 4/16 4 16 GB 60 GB Einstellbar von 20 Mbit/s bis 10 Gbit/s
MVE 8/32 8 32 GB 60 GB Einstellbar von 20 Mbit/s bis 10 Gbit/s
MVE 12/48 12 48 GB 60 GB Einstellbar von 20 Mbit/s bis 10 Gbit/s

* Der Megaport Internet-Zugang ist symmetrisch, redundant, diversifiziert und umfasst DDoS-Scrubbing-Schutz. Der Megaport Internet-Zugang ist über die Megaport Internet-Verbindung, zum MVE anpassbar.

Beachten Sie bei der Auswahl einer MVE-Instanzengröße die folgenden Punkte:

  • Jeder Anstieg der Datenlast im Netzwerk kann die Leistung beeinträchtigen. Beispielsweise kann das Einrichten von sicheren Tunneln mit IPsec, das Hinzufügen von Traffic Path Steering (Lenken des Datenverkehrs) oder die Verwendung von Deep Packet Inspection (DPI) die maximale Durchsatzgeschwindigkeit beeinflussen.

  • Zukünftige Pläne zur Skalierung des Netzwerks.

Was ist, wenn ich in Zukunft mehr MVE-Kapazität benötige?

Sie haben mehrere Möglichkeiten:

  • Sie können eine weitere MVE-Instanz bereitstellen, sie zu Ihrem SD-WAN-Overlay-Netzwerk hinzufügen und die Arbeitslast auf die beiden MVEs aufteilen.

  • Sie können eine größere MVE-Instanz bereitstellen, sie zu Ihrem SD-WAN-Overlay-Netzwerk hinzufügen, Verbindungen von der alten MVE zur neuen größeren MVE migrieren und dann die alte MVE abschalten.

Wenn Sie mehr Kerne (vCPUs) benötigen, haben Sie zwei Optionen:

  • Bestellen Sie einen neuen MVE mit mehr Kernen, und beenden Sie die alten MVE (bei dieser Option müssen Sie Ihre Firewall neu konfigurieren).
  • Bestellen Sie eine neue MVE als zweite Firewall, um die Kapazität der ersten Firewall zu entlasten.

Sie können die Megaport Internet-Bandbreite jederzeit anpassen, ohne die virtuelle Maschine herunterfahren zu müssen.

Lizenzierung

Sie bringen Ihre eigene VM-Series-Lizenz zur Verwendung mit MVE mit. Es liegt in Ihrer Verantwortung, die erforderlichen Lizenzen für die im Megaport-Netzwerk erstellten Endpunkte zur Verfügung zu haben.

Um eine VM-Series-Lizenz zu erwerben, empfehlen wir Ihnen, mit dem Credit-Estimator-Tool von Palo Alto Networks zu beginnen.

Empfehlungen:

  • Stellen Sie sicher, dass die Anzahl der vCPUs, die Sie auswählen, Ihren Anforderungen entspricht.
  • Wählen Sie eine Kernel-basierte virtuelle Maschine (KVM) als Umgebung aus.
  • Um die beste Leistung zu erzielen, empfehlen wir Ihnen, die Anzahl der vCPUs Ihrer VM-Series-Lizenz mit der Anzahl der vCPUs Ihrer MVE abzustimmen.

VLAN-Tagging

Megaport verwendet Q-in-Q zur Unterscheidung von VXCs und MVEs auf einem Host-Hardware-System. Die Mandanten-MVE empfängt nicht getaggten Datenverkehr auf dem Internet-seitigen Link sowie einfach getaggten 802.1Q-Datenverkehr für VXCs zu anderen Zielen im Megaport-Netzwerk (z. B. CSP-Anbindungsstellen (Onramps) oder andere MVEs).

vNICs

Jede MVE kann bis zu fünf vNICs haben. Eine MVE wird standardmäßig mit zwei vNICs erstellt. Sie können also bis zu drei weitere vNICs hinzufügen.

Bevor Sie die Anzahl der vNICs auf Ihrer MVE angeben, beachten Sie Folgendes:

  • Beachten Sie, dass die Anzahl der vNICs nicht mehr geändert werden kann, nachdem eine MVE bestellt wurde. Entscheiden Sie im Voraus, wie viele vNICs Sie bei der Erstellung der MVE angeben möchten.

  • Wenden Sie sich an Ihren Dienstanbieter, um sicherzustellen, dass die Funktionalität nicht beeinträchtigt wird, wenn Sie einen vNIC hinzufügen.

Hinweis

Wenn Sie die Anzahl der vNICs ändern müssen, nachdem eine MVE bestellt wurde, müssen Sie die MVE stornieren und neu bestellen.