Création d’une connexion Google Cloud Services pour un MVE avec Palo Alto VM-Series
Vous pouvez créer une connexion réseau entre un MVE (un Palo Alto VM-Series) et Google Cloud via Partner Interconnect.
Lorsque vous vous connectez à Google Cloud Platform (GCP) via Partner Interconnect avec Megaport, la connexion transversale virtuelle (VXC) constitue la composante de couche 2 de la connexion et le BGP de couche 3 est établi directement entre le client et GCP.
Important
Avant de commencer, créez un MVE (Pare-feu VM-Series). Pour plus de détails, voir Création d’un MVE. Le MVE doit être à l’état actif.
L’ajout d’une connexion Google Cloud à votre MVE et à votre VM-Series se fait en trois parties.
-
Créez un rattachement pour l’interconnexion partenaire dans la console Google Cloud ou la CLI gcloud. Copiez la clé d’appariement fournie comme partie de la création du rattachement. Pour plus de détails, voir la documentation Google sur les Interconnexions partenaires Google.
-
Dans le Portail Megaport, créez une VXC à partir de votre MVE pour vous connecter à votre rattachement Google Cloud.
-
Dans VM-Series, créez une nouvelle interface et ajoutez les détails de la connexion Google Cloud.
Ces instructions passent en revue les deuxième et troisième parties.
Remarque
MVE pour Palo Alto VM-Series nécessite des étapes de configuration à la fois dans VM-Series et dans le portail Megaport pour toutes les connexions cloud.
Ajout de la connexion Google Cloud dans le Portail Megaport
Pour mettre en place la connexion GCP, vous devez créer la connexion dans le Portail Megaport.
Pour déployer une VXC vers Google Cloud Platform à partir du Portail Megaport
-
Dans le Megaport Portal, accédez à la page Services et sélectionnez le MVE pour la connexion.
-
Cliquez sur +Connection (+Connexion), puis sur la vignette Cloud.
-
Sélectionnez Google comme fournisseur.
-
Copiez et collez la clé d’appariement depuis la console Google Cloud dans le champ du volet de droite.
Les cibles Google pertinentes apparaissent en fonction de la région de votre connexion partenaire GCI. - Sélectionnez l’emplacement cible de votre connexion et cliquez sur Next (Suivant).
-
Fournissez ces détails de connexion :
-
Connection Name (Nom de la connexion) – Le nom de votre VXC qui doit apparaître sur le Portail Megaport.
Remarque
Les comptes gérés par les partenaires peuvent appliquer un accord partenaire à un service. Pour plus de détails, voir Association d’une transaction à un service.
-
Rate Limit (Débit maximal) – Saisissez le même débit que celui que vous avez sélectionné pour la vitesse de votre port Google.
-
Preferred A-End VLAN (VLAN A-End préféré) – Il s’agit du VLAN pour cette connexion que vous recevrez via le MVE. Il doit s’agir d’un ID VLAN unique sur ce MVE, qui peut être compris entre 2 et 4093. Si vous indiquez un ID VLAN déjà utilisé, le système affiche le prochain numéro VLAN disponible. L’ID VLAN doit être unique pour pouvoir procéder à la commande. Si vous ne spécifiez pas de valeur, Megaport vous en attribuera une.
-
-
Ajoutez la VXC à votre commande et terminez le processus de paiement.
-
Une fois que vous avez déployé la VXC, retournez à votre rattachement dans la console Google Cloud et acceptez le rattachement.
Google vous fournira votre adresse IP privée pour configurer le BGP.
Assurez-vous de pré-activer le rattachement ou de le marquer comme actif après avoir configuré la VXC. Sinon, vous ne pouvez pas configurer BGP avec votre instance SD-WAN.
Remarque
L’ASN de Google sera toujours 16550.
Ajout de la connexion Google Cloud à VM-Series
Après avoir créé la connexion de votre MVE à Google Cloud et configuré la connexion dans la console Google, vous devez la configurer dans VM-Series. Cela implique la configuration des paramètres BGP, des ASN et des VLAN.
Pour ajouter la connexion Google Cloud dans VM-Series
-
Récupérez les détails de la connexion à partir de la console Google.
Affichez les détails de la connexion que vous avez créée dans Google Cloud pour cette connexion. Notez les valeurs des champs Peer ASN (ASN de pair), Cloud Router BGP IP (IP du BGP du routeur Cloud), et BGP Peer ID (ID du pair BGP).
-
Récupérez les détails de la connexion depuis le Portail Megaport.
Cliquez sur l’icône d’engrenage de la connexion Google de votre MVE et cliquez sur la vue Details (Détails). Notez la valeur pour le VLAN A-End. -
Connectez-vous à la VM-Series.
-
Choisissez Network > Interfaces (Réseau > Interfaces).
-
Sélectionnez le MVE A-End (
ethernet1/1
). -
Cliquez sur Add Subinterface (Ajouter une sous-interface).
-
Fournissez ces détails :
-
Interface Name – (Nom de l’interface) Entrez un nom pour la sous-interface. Dans le champ adjacent, entrez un numéro pour identifier la sous-interface.
-
Comment – (Commentaire) Entrez un autre nom.
-
Tag (Balise) – Spécifiez le VLAN A-End associé à cette connexion Google dans le portail Megaport.
-
Virtual Router (Routeur virtuel) – Sélectionnez un routeur virtuel pour l’interface, selon les besoins de votre réseau.
-
-
Sélectionnez l’onglet IPv4.
- Sélectionnez Static (Statique) comme Type.
- Cliquez sur +Add (+Ajouter) pour ajouter une nouvelle adresse IP.
- Saisissez l’adresse IPv4 et le masque de réseau.
Ces valeurs sont disponibles dans les détails du rattachement VLAN dans la console Google Cloud. L’adresse IP apparaît dans le champ BGP Peer IP (IP pair du BGP). - Cliquez sur OK.
- Cliquez sur Commit (Valider) dans le coin supérieur droit.
- Vérifiez les modifications et cliquez sur Commit (Valider).
La nouvelle interface VLAN apparaît avec votre interface physique ethernet1/1
.
Ensuite, vous allez créer une zone de sécurité afin que l’interface puisse acheminer le trafic.
Pour créer une zone de sécurité
- Sélectionnez la sous-interface
ethernet1/1.1010
. - Sélectionnez New Zone (Nouvelle zone) dans la liste déroulante Security Zone (Zone de sécurité).
- Spécifiez un nom pour la zone de sécurité.
- Cliquez sur +Add (+Ajouter) sous Interfaces et ajoutez
ethernet1/1.1010
à la zone de sécurité. - Spécifiez tous les détails supplémentaires requis pour la sécurité de votre réseau.
- Sélectionnez New Zone Protection Profile (Nouveau profil de protection de zone) dans la liste déroulante Zone Protection Profile (Profil de protection de zone).
- Spécifiez tous les détails requis pour la sécurité de votre réseau. Cet exemple utilise toutes les valeurs par défaut.
- Cliquez sur OK.
- Cliquez sur OK (OK) dans l’écran Layer3 Subinterface (Sous-interface de la Couche 3).
- Cliquez sur Commit (Valider) dans le coin supérieur droit.
- Vérifiez les modifications et cliquez sur Commit (Valider).
À ce stade, vous avez créé l’interface. Ensuite, vous allez créer la session BGP.
Pour créer la session BGP
- Dans VM-Series, choisissez Network > Virtual Routers (Réseau > Routeurs virtuels).
- Sélectionnez le routeur virtuel.
- Dans le volet de gauche, sélectionnez BGP.
-
Fournissez les détails BGP suivants :
- Enable (Activer) – Cochez cette case pour démarrer la session BGP après avoir validé ces modifications.
- Router ID (ID routeur) – Spécifiez l’**IP du BGP du routeur Cloud ** à partir des détails du rattachement au VLAN dans la console Google Cloud.
- AS Number (Numéro AS) – Fournissez l’ASN pour la connexion MVE. Spécifiez le Peer ASN (ASN pair) que vous avez défini dans la configuration du BGP pour le rattachement VLAN dans la console Google Cloud.
-
Cliquez sur +Add (+Ajouter) sous Auth Profiles (Profils d’authentification).
- Spécifiez un Nom de Profil.
- Saisissez et confirmez le mot de passe d’authentification.
- Cliquez sur OK.
- Sélectionnez l’onglet Peer Group (Groupe de pairs).
- Cliquez sur +Add (+Ajouter) pour ajouter un groupe de pairs.
- Spécifiez un nom pour le groupe de pairs. Par exemple, AWS-xxxx.
- Spécifiez eBGP comme type de session.
- Spécifiez tous les détails supplémentaires requis pour votre réseau.
- Cliquez sur +Add (+Ajouter) pour ajouter un nouveau pair.
- Spécifiez les détails pour le pair :
- Name (Nom) – Spécifiez un nom pour le pair.
- Peer AS (AS du pair) – Spécifiez le numéro de système autonome (ASN) côté Google de 16550. Il s’agit d’une valeur fixe, qui apparaît dans les détails de la connexion sur la console Google.
- Local Address (Adresse locale) – Sélectionnez la sous-interface et l’adresse IP appropriées dans la liste déroulante.
- Peer Address (Adresse du pair) – Entrez l’IP du BGP du routeur Cloud à partir des détails du rattachement au VLAN dans la console Google Cloud.
Google Cloud nécessite la prise en charge de BGP à sauts multiples. Vous pouvez configurer la prise en charge multi-sauts à partir de VM-Series, dans l’onglet Connection Options (Options de connexion) du pair BGP :
Validation de votre connexion à Google Cloud
Pour vérifier le statut du pair BGP
- Choisissez Network > Virtual Routers (Réseau > Routeurs virtuels).
- Localisez votre routeur virtuel (par défaut).
- Cliquez sur More Runtime Stats (Plus de statistiques d’exécution) dans la colonne Runtime Stats (Statistiques d’exécution) sur la droite.
- Sélectionnez l’onglet BGP, puis sélectionnez l’onglet Peer (Pair).
- Vérifiez que le statut du pair est Established (Établi).