Création d’un MVE VM-Series

Cette rubrique décrit comment créer et configurer un Megaport Virtual Edge (MVE) avec un pare-feu de nouvelle génération VM-Series (NGFW). Vous pouvez utiliser la VM-Series pour sécuriser le trafic d’applications qui transite par le MVE.

Avant de commencer, vous avez besoin de comptes d’utilisateur avec des autorisations de commande qui donnent accès au Portail Megaport et au pare-feu VM-Series.

Pour plus de détails sur la configuration d’un compte Megaport, voir Création d’un compte.

Palo Alto Networks fournit de la documentation pour la VM-Series dans les documents techniques VM-Series.

Les étapes de base

Cette section donne un aperçu des étapes de configuration du Portail Megaport et de la VM-Series. Des procédures détaillées suivent ce résumé des étapes de base.

Les étapes de base sont les suivantes :

• Obtenez une licence VM-Series auprès de Palo Alto Networks.
• Définissez un mot de passe administrateur temporaire pour la VM-Series.
• Générez une clé publique SSH pour l’authentification.
• Créez le MVE Palo Alto Networks VM-Series dans le Megaport Portal.
  Nous vous recommandons fortement de provisionner une connexion Megaport Internet sur l’interface virtuelle du plan de gestion.
• Visualisez l’attribution de l’adresse IP publique du MVE dans le Portail Megaport.
• Autorisez l’accès sécurisé à la console de la VM-Series.

Licences

Avant de créer un MVE dans le Portail Megaport, vous devez avoir une licence valide de Palo Alto Networks. Après avoir acheté un pare-feu VM-Series, vous recevez un code d’autorisation par e-mail. Vous utiliserez ce code d’authentification pour enregistrer le MVE auprès de Palo Alto Networks.

Pour obtenir un code d’autorisation de Palo Alto Networks pour la VM-Series

1. Connectez-vous au portail d’assistance client de Palo Alto Networks avec les identifiants de votre compte.

2. Choisissez Assets > VM-Series Auth-Codes > Add VM-Series Auth-Code (Actifs > Codes d’authentification VM-Series > Ajouter un code d’authentification VM-Series).

3. Entrez le code d’authentification que vous avez reçu par e-mail dans le champ Add VM-Series Auth-Code (Ajouter un code d’authentification VM-Series).

4. Cochez la case à l’extrême droite pour enregistrer.
   La page affiche la liste des codes d’authentification enregistrés sur votre compte d’assistance.

5. Pour afficher tous les actifs déployés, choisissez Assets > Devices (Actifs > Appareils).

Une fois le produit enregistré, il apparaît sur la page de fin d’enregistrement de Palo Alto Networks.

L’étape suivante consiste à générer une paire de clés SSH pour l’authentification.

Accès administratif au MVE

Vous établissez un accès de gestion et d’administration au MVE/à la VM-Series via une paire de clés SSH publique/privée pour des connexions sécurisées. La clé SSH publique vous permet de vous connecter en SSH au VM-Series, de définir le mot de passe administratif et d’activer l’accès HTTPS.

Megaport prend en charge le type de clé RSA 2048 bits.

Pour générer une paire de clés SSH (Linux/Mac OSX)

• Exécutez la commande SSH keygen :

   ssh-keygen -f ~/.ssh/megaport-mve-instance-1-2048 -t rsa -b 2048
  

La commande key generator crée une paire de clés SSH et ajoute deux fichiers à votre répertoire ~/.ssh :

• megaport-mve-instance-1-2048 – Contient la clé privée.
• megaport-mve-instance-1-2048.pub – Contient la clé publique qui est autorisée à se connecter au compte Palo Alto.

Pour générer une paire de clés SSH (Windows, avec PuTTYgen)

1. Ouvrez PuTTYGen.
2. Dans la section Clé, choisissez RSA 2048 bits et cliquez sur Générer.
3. Déplacez votre souris au hasard dans le petit écran pour générer les paires de clés.
4. Entrez un commentaire sur la clé, qui permettra d’identifier la clé.
   Ceci est pratique lorsque vous utilisez plusieurs clés SSH.
5. Saisissez un code secret pour la clé, puis entrez de nouveau la saisie pour la confirmer.
   Le code secret sert à protéger votre clé. Il vous sera demandé lorsque vous vous connecterez via SSH.
6. Cliquez sur Save private key (Enregistrer la clé privée), choisissez un emplacement et cliquez sur Save (Enregistrer).
7. Cliquez sur Save public key (Enregistrer la clé publique), choisissez un emplacement et cliquez sur Save (Enregistrer).

Vous copierez et collerez le contenu du fichier de clé publique dans le Portail Megaport plus tard pour distribuer la clé publique dans l’appareil Palo Alto VM-Series. Votre clé privée correspondra à la clé publique pour permettre l’accès. Seule une clé privée a accès à la VM-Series pour l’accès SSH.

Création d’un MVE dans le Portail Megaport

Avant de créer un MVE, vous devez déterminer le meilleur emplacement - un emplacement qui prend en charge le MVE et qui se trouve dans la zone métropolitaine la plus compatible. Vous pouvez connecter plusieurs sites à un MVE individuel. Pour plus de détails, voir Planifier votre déploiement de Palo Alto.

Vous pouvez déployer plusieurs MVE dans la même zone métropolitaine pour des raisons de redondance ou de capacité. Dans le cadre du processus de création de MVE, vous créerez également deux connexions Megaport Internet.

Pour créer le MVE VM Series (calcul)

1. Dans le Megaport Portal, allez à la page Services.

2. Cliquez sur Create MVE (Créer un MVE).
   

3. Sélectionnez l’emplacement du MVE.

   Sélectionnez un emplacement géographiquement proche de votre succursale cible et/ou de vos sites sur site.

   Le pays que vous choisissez doit être un marché dans lequel vous vous êtes déjà enregistré.

   Si vous n’avez pas enregistré de marché de facturation à l’emplacement où vous allez déployer le MVE, suivez la procédure décrite dans Activation de marchés de facturation.

   Pour rechercher votre marché local dans la liste, entrez un pays dans le Country Filter (filtre Pays) ou un détail de région Métro dans le filtre Search (Recherche).

   

4. Cliquez sur Next (Suivant).

5. Sélectionnez Palo Alto VM-Series et la version du logiciel.
   Le MVE sera configuré pour être compatible avec cette version du logiciel de Palo Alto Networks.

6. Précisez les détails du MVE :

   • MVE Name (Nom du MVE) – Précisez un nom pour le MVE qui soit facilement identifiable comme étant le vôtre, en particulier si vous prévoyez de provisionner plus d’un MVE. Ce nom apparaît dans le Portail Megaport.

     Remarque

     Les comptes gérés par les partenaires peuvent associer un accord partenaire à un service avec un abonnement minimum de 12 mois. Pour plus de détails, voir Association d’une transaction à un service.

   • Size (Taille) – Sélectionnez une taille dans la liste déroulante. La liste affiche toutes les tailles qui correspondent à la capacité du CPU à l’emplacement sélectionné. Les tailles prennent en charge des nombres variables de connexions simultanées et les métriques des produits de partenaires individuels varient légèrement. Pour plus de détails, voir Planifier votre déploiement de Palo Alto.

     Remarque

     Si la taille souhaitée pour le MVE ne figure pas dans la liste, cela signifie qu’il n’y a pas suffisamment de capacité à l’emplacement choisi. Vous pouvez soit choisir un autre emplacement avec une capacité suffisante, soit contacter votre responsable de compte pour discuter des exigences.

   • Durée minimale – Sélectionnez No Minimum Term (Aucune durée minimale) pour un mode de paiement à l’utilisation, ou sélectionnez une durée de 12, 24 ou 36 mois. Des durées plus longues se traduisent par un tarif mensuel plus bas pour la taille de MVE. Par défaut, une période de 12 mois est sélectionnée.

     Remarque

     Les partenaires et les comptes gérés par des partenaires choisissent des abonnements MVE au lieu des durées de contrat MVE.

     Pour plus d’informations sur les durées de contrat, consultez la rubrique Tarification et durée des contrats MVE.

   • Service Level Reference (Référence de niveau de service) (optionnelle) – Spécifiez un numéro d’identification unique pour le MVE à utiliser à des fins de facturation, tel qu’un numéro de centre de coûts ou un ID client unique. Le numéro de référence de niveau de service apparaît pour chaque service dans la section Produit de la facture. Vous pouvez également modifier ce champ pour un service existant.

   • License Data (Données de licence) (facultatif) – Spécifiez le code d’authentification VM-Series (la licence valide pour l’appliance virtuelle). Le code d’authentification est utilisé pour enregistrer l’instance MVE VM-Series auprès de Palo Alto Networks. Vous pouvez le trouver sur le portail d’assistance de Palo Alto Networks.

   • Mot de passe administrateur – Spécifiez un mot de passe administrateur temporaire. Le mot de passe doit comporter au minimum 8 caractères et inclure :
     - 1 caractère majuscule (A-Z)
     - 1 caractère minuscule (a-z)
     - 1 chiffre (0-9)
     - 1 symbole

     Remarque

     Megaport ne stocke pas les mots de passe des clients.

   • SSH Key (Clé SSH) – Copiez et collez le contenu de votre clé SSH publique ici. Vous pouvez trouver la clé publique dans le fichier megaport-mve-instance-1-2048.pub généré précédemment.

   • Interfaces virtuelles (vNIC) – Chaque MVE est configuré avec deux vNIC nommés Management Plane (Plan de gestion) et Data Plane (Plan de données) par défaut. Pour modifier le nom, tapez le texte du nom dans la zone.

     Vous pouvez ajouter un total de cinq vNIC au MVE, y compris les deux ajoutées par défaut.

     Pour ajouter une vNIC :

     • Cliquez sur + Add (+ Ajouter).

       

     • Saisissez un nom pour la vNIC.

       

     Remarque

     Si vous souhaitez augmenter ou diminuer le nombre de vNIC sur ce MVE après son déploiement, vous devrez supprimer l’intégralité du MVE et le recréer. Vous ne pouvez pas ajouter ou supprimer des vNIC sur un MVE déployé.

   

7. Cliquez sur Next (Suivant) pour afficher l’écran Summary (Résumé).
   Le tarif mensuel est basé sur l’emplacement, la taille et la durée du contrat.
   

8. Confirmez la configuration et le prix et cliquez sur Add MVE (Ajouter MVE).
   Vous êtes invité à créer une connexion Megaport Internet. Une connexion Megaport Internet fournit la connectivité et permet à MVE de s’inscrire et de communiquer avec les systèmes de licence de Palo Alto Networks et, éventuellement, Panorama.
   

Pour créer la connexion Megaport Internet

1. Cliquez sur Create Megaport Internet (Créer un Internet Megaport) pour continuer (recommandé), ou cliquez sur Not now (Pas maintenant) pour fournir votre propre accès Internet ultérieurement.
   Un port de destination dans la même zone de diversité que le MVE sera attribué automatiquement.

   Remarque

   MVE nécessite une connectivité à Internet sur l’interface virtuelle du plan de gestion. Vous pouvez soit fournir une connexion Megaport Internet, soit configurer une connexion Internet tierce à l’aide d’une VXC privée. Nous vous recommandons fortement de commander une connexion Megaport Internet pour le démarrage et le déploiement initial du MVE afin de garantir que le MVE est provisionné et fonctionne correctement.

2. Spécifiez les détails de connexion :

   • Connection Name (Nom de la connexion) – Spécifiez un nom unique pour la connexion Megaport Internet.
     À titre de bonne pratique, nous vous recommandons d’inclure « Management Plane » dans le nom pour référence ultérieure.

   • Service Level Reference (Référence de niveau de service) (optionnel) – Spécifiez un numéro d’identification unique pour la connexion Megaport Internet à utiliser à des fins de facturation, tel qu’un numéro de centre de coûts ou un ID client unique. Le numéro de référence de niveau de service apparaît pour chaque service dans la section Produit de la facture.

     Conseil

     Utilisez les mêmes numéros de référence de niveau de service pour la connexion Megaport Internet et MVE afin de vous aider à identifier la paire correspondante sur votre facture.

   • Rate Limit – (Limite de débit) Spécifiez la vitesse de la connexion Megaport Internet.
     Cette vitesse est réglable de 20 Mbit/s à 10 Gbit/s par incréments de 1 Mbit/s. Vous pouvez modifier la vitesse selon vos besoins après avoir créé la connexion Megaport Internet. Les détails de facturation mensuelle apparaissent en fonction de l’emplacement et du débit maximal.

   • vNIC – Sélectionnez vNIC-0 Management Plane dans la liste déroulante.

     Important

     La connexion Internet sur l’interface virtuelle de gestion sera utilisée uniquement à des fins de gestion telles que les licences, les mises à jour et la communication avec Panorama. Si vous avez besoin que le trafic Internet circule entre les filiales, les utilisateurs et/ou le cloud, vous créerez une deuxième connexion Megaport Internet sur l’interface virtuelle du plan de données. Voir Pour créer une deuxième connexion Megaport Internet sur le plan de données pour plus de détails.

   • Preferred A-End VLAN (VLAN A-End préféré) – Le cas échéant, spécifiez un ID VLAN inutilisé pour cette connexion.
     Il doit s’agir d’un ID VLAN unique sur ce MVE, qui peut être compris entre 2 et 4093. Si vous indiquez un ID VLAN déjà utilisé, le système affiche le prochain numéro VLAN disponible. L’ID VLAN doit être unique pour pouvoir procéder à la commande. Si vous ne spécifiez pas de valeur, Megaport vous en attribuera une. Vous pouvez également cliquer sur Untag (Supprimer le balisage). Cette sélection supprime le balisage VLAN pour cette connexion et elle sera configurée sans ID VLAN.

     

3. Cliquez sur Next (Suivant) pour passer au résumé des détails de la connexion, cliquez sur Add VXC (Ajouter VXC) et commandez la connexion.

4. Passez en revue l’accord du Service des commandes.
5. Cliquez sur Save (Enregistrer) pour enregistrer le MVE configuré avant de passer la commande.
6. Cliquez sur Order (Commander) dans le coin supérieur gauche de votre écran, sous Services configurés.
   
7. Si vous disposez d’un code promotionnel, cliquez sur Add Promo Code (Ajouter un code promotionnel), saisissez-le, puis cliquez sur Add Code (Ajouter un code).
8. Cliquez sur Order Now (Commander maintenant).
   

Remarque

Une deuxième connexion Megaport Internet est requise si le pare-feu échange du trafic Internet avec les filiales. Chaque connexion Megaport Internet du plan de données reçoit sa propre adresse IP publique unique.

Pour créer une deuxième connexion Megaport Internet sur l’interface virtuelle du plan de données

1. Dans le Megaport Portal, allez à la page Services.

2. Cliquez sur +Connection (+Connexion) sur le MVE de Palo Alto.

3. Sélectionnez Mégaport Internet (Internet Megaport).
   
   Un port de destination dans la même zone de diversité que le MVE sera attribué automatiquement.

4. Spécifiez les détails de connexion :

   • Connection Name – (Nom de la connexion) Spécifiez un nom unique pour la connexion Megaport Internet du plan de données. À titre de bonne pratique, nous vous recommandons d’inclure « Data Plane » dans le nom pour référence ultérieure.

   • Service Level Reference (Référence de niveau de service) (optionnel) – Spécifiez un numéro d’identification unique pour la connexion Megaport Internet à utiliser à des fins de facturation, tel qu’un numéro de centre de coûts ou un ID client unique. Le numéro de référence de niveau de service apparaît pour chaque service dans la section Produit de la facture.

   • Rate Limit – (Limite de débit) Spécifiez la vitesse de la connexion Megaport Internet.
     Cette vitesse est réglable de 20 Mbit/s à 10 Gbit/s par incréments de 1 Mbit/s. Vous pouvez modifier la vitesse selon vos besoins après avoir créé la connexion Megaport Internet. Les détails de facturation mensuelle apparaissent en fonction de l’emplacement et du débit maximal.

   • vNIC A-End – Sélectionnez vNIC-1 Data Plane dans la liste déroulante.

   • Preferred A-End VLAN (VLAN A-End préféré) – Le cas échéant, spécifiez un ID VLAN inutilisé pour cette connexion.
     Il doit s’agir d’un ID VLAN unique sur ce MVE, qui peut être compris entre 2 et 4093. Si vous indiquez un ID VLAN déjà utilisé, le système affiche le prochain numéro VLAN disponible. L’ID VLAN doit être unique pour pouvoir procéder à la commande. Si vous ne spécifiez pas de valeur, Megaport vous en attribuera une.

     

5. Cliquez sur Next (Suivant) pour passer au résumé des détails de la connexion, cliquez sur Add VXC (Ajouter VXC) et commandez la connexion.

6. Passez en revue l’accord du Service des commandes.
7. Cliquez sur Save (Enregistrer) pour enregistrer le MVE configuré avant de passer la commande.
8. Cliquez sur Order (Commander).
   
9. Si vous disposez d’un code promotionnel, cliquez sur Add Promo Code (Ajouter un code promotionnel), saisissez-le, puis cliquez sur Add Code (Ajouter un code).
10. Cliquez sur Order Now (Commander maintenant).
    

La commande d’un MVE provisionne l’instance et attribue des adresses IP à partir du SDN Megaport. Le temps de provisionnement de Palo Alto MVE varie selon les versions et dépend du fait que vous fournissiez ou non un code d’autorisation de licence. La mise en service du MVE peut prendre jusqu’à 15 minutes avant que vous puissiez vous connecter et continuer la configuration.

Après avoir commandé le MVE sur le portail Megaport, vous pouvez utiliser Palo Alto Panorama pour gérer le pare-feu.

Visualisation du MVE dans le Portail Megaport

Après avoir créé le MVE, vous pouvez le visualiser dans le Portail Megaport sur la page Services. Vous pouvez également afficher les adresses IP publiques attribuées.

Pour visualiser un MVE dans le Portail Megaport

• Allez à la page Services.

L’icône Megaport Internet diffère d’une icône VXC standard dans le Portail Megaport, comme le montre l’image.

Pour plus de détails sur la page Services, voir Comprendre la page Services.

Pour afficher les adresses IP publiques attribuées au MVE

1. Cliquez sur l’ à côté de la connexion Megaport Internet.
   L’écran Configuration de la connexion apparaît. À partir de là, vous pouvez modifier n’importe lequel des détails de la connexion Megaport Internet.
   
2. Cliquez sur l’onglet Details (Détails).
   
3. Localisez l’adresse IP publique (IPv4 ou IPv6).
   Ce sont les adresses IP publiques attribuées au MVE.

Mise à jour du mot de passe administrateur

Ensuite, vous remplacerez le mot de passe temporaire que vous avez défini dans le portail Megaport par un nouveau mot de passe sécurisé.

Pour mettre à jour le mot de passe administrateur

1. Connectez-vous au système Palo Alto en utilisant le mot de passe administrateur temporaire que vous avez défini dans le portail Megaport.
2. Choisissez Device > Administrators (Appareil > Administrateurs).
3. Sélectionnez l’utilisateur admin.
   
4. Saisissez l’ancien mot de passe temporaire, un nouveau mot de passe sécurisé et confirmez le nouveau mot de passe.
   
5. Cliquez sur OK.
6. Choisissez Config > Save Changes (Config > Enregistrer les modifications).

Configuration de l’interface du plan de données

Ensuite, vous allez configurer l’interface du plan de données et lui attribuer un type d’interface.

Pour configurer l’interface du plan de données

1. Choisissez Network > Interfaces (Réseau > Interfaces).
2. Sélectionnez ethernet1/1 dans la colonne Interface.
   
3. Sélectionnez Layer3 (Couche 3) dans la liste déroulante Type d’interface.
   
4. Cliquez sur OK.
5. Mettez en surbrillance la ligne ‘ethernet1/1’ et cliquez sur Ajouter une sous-interface en bas de l’écran.

6. Fournissez ces détails :

   • Interface Name – (Nom de l’interface) Entrez un nom pour la sous-interface. Dans le champ adjacent, entrez un numéro pour identifier la sous-interface.

   • Comment – (Commentaire) Entrez un autre nom.

   • Tag – (Balise) Spécifiez la valeur du VLAN A-End associé au port de destination Megaport Internet.

   • Virtual Router (Routeur virtuel) – Sélectionnez un routeur virtuel pour l’interface, selon les besoins de votre réseau.
     

7. Sélectionnez l’onglet IPv4.

8. Sélectionnez DHCP Client (Client DHCP) comme Type.
9. Cliquez sur OK.
10. Cliquez sur Commit (Valider) dans le coin supérieur droit.
    
11. Vérifiez les modifications et cliquez sur Commit (Valider).

Prochaines étapes

Maintenant que vous avez déployé un MVE, l’étape suivante consiste à connecter une connexion transversale virtuelle (VXC) à un CSP, un port local ou un réseau tiers. Vous pouvez éventuellement connecter un port physique au MVE via une VXC privée ou vous connecter à un fournisseur de services dans la Megaport Marketplace.

---

Dernière mise à jour: 2024-02-12