action.skip
Megaport Documentation
Planification de votre déploiement
Copy for LLM ▼
Copy Page Content Open in ChatGPT Open in Claude Open in VS Code View Markdown
PDF

Planification du Déploiement de Votre Palo Alto Networks VM-Series MVE

Ce sujet fournit un aperçu du processus de provisionnement et décrit les considérations de déploiement pour le Megaport Virtual Edge (MVE).

Pare-feu Palo Alto Networks VM-Series

Vous aurez besoin d’une licence VM-Series de Palo Alto Networks pour l’utiliser sur le réseau défini par logiciel (SDN) de Megaport. Pour plus d’informations, voir Licences.

Megaport vous fournit:

  • Une machine virtuelle pour héberger l’image du Next Generation Firewall (NGFW)
  • Une connexion Megaport Internet pour terminer le tunnel entre MVE et le CPE de la succursale via Internet
  • L’accès à l’écosystème Megaport.

Fonctionnalités de la VM-Series

La VM-Series fournit des services NGFW sur une machine virtuelle. L’hébergement de la VM-Series sur MVE optimise non seulement la connectivité réseau du périmètre vers le cloud, mais applique également des services et politiques de sécurité avancés sur les segments du backbone Megaport.

L’offre Secure Access Service Edge (SASE) de Palo Alto Networks s’adresse aux clients adoptant l’architecture SASE et nécessitant une sécurité supplémentaire pour leur réseau en périphérie.

L’intégration de la VM-Series dans la plateforme NaaS de Megaport étend les éléments clés SASE suivants entre le réseau périphérique et le cloud:

  • Pare-feu de nouvelle génération, incluant des politiques d’entreprise stateful, la traduction d’adresses réseau (NAT), les services de protection contre les intrusions, l’inspection SSL et l’intelligence sur les menaces.

  • Services de passerelle web sécurisée (SWG) protégeant les appareils contre les destinations Internet malveillantes via le filtrage du contenu web et l’analyse des malwares.

  • Accès réseau Zero Trust (ZTNA), contrôlant l’accès aux applications en vérifiant les utilisateurs et les appareils avant chaque session et confirmant qu’ils respectent les politiques de l’organisation pour accéder à l’application.

  • Segmentation et listes blanches contrôlant les applications communiquant entre différents sous-réseaux, bloquant le déplacement latéral des menaces et contribuant à la conformité réglementaire.

  • Services Threat Prevention, DNS Security et WildFire appliquant des politiques spécifiques aux applications qui empêchent les malwares et stoppent les menaces inconnues avant qu’elles n’infectent le cloud.

La VM-Series prend également en charge l’intégration des utilisateurs distants avec les solutions SASE de Palo Alto Networks via Prisma Access. Prisma Access propose deux méthodes de connexion pour les utilisateurs distants:

  • GlobalProtect – Étend la visibilité et le contrôle de Prisma Access sur tout le trafic réseau, les applications, ports et protocoles pour un accès sécurisé aux applications Internet ou basées dans le centre de données.
  • Proxy explicite – Permet l’accès SWG aux applications SaaSLe Software as a Service (SaaS) est une forme d’informatique en nuage dans laquelle le fournisseur offre l’utilisation de logiciels applicatifs à un client et gère toutes les ressources physiques et logicielles utilisées par l’application. Le SaaS est parfois appelé « logiciel à la demande » et est généralement tarifé sur une base de paiement à l’utilisation ou avec des frais d’abonnement.
     basées sur Internet via HTTP et HTTPS.

Pour plus d’informations sur ces fonctionnalités, voir la documentation technique VM-Series.

Remarque

Si vous avez déjà déployé un pare-feu VM-Series, vous pouvez le connecter à un MVE afin que votre siège ou vos succursales puissent accéder aux services cloud via des interconnexions privées.

Considérations de déploiement

Cette section fournit un aperçu des options de déploiement et des fonctionnalités du MVE.

Palo Alto Networks utilise des appliances virtuelles ou physiques comme beaucoup d’autres plateformes. Cependant, avec Palo Alto Networks, vous pouvez configurer les appliances pour plusieurs usages différents. Par exemple, vous pouvez configurer une appliance Palo Alto Networks pour:

  • Être strictement un pare-feu de nouvelle génération (NGFW) pour bureaux distants avec configuration et journalisation locales uniquement.

  • Comme gestion centralisée avec journalisation centrale, ou comme gestion centralisée sans journalisation centrale.

Fournisseurs SD-WAN

MVE est intégré avec Palo Alto Networks, qui utilise l’orchestrateur réseau Panorama (VM-Series) pour créer le réseau overlay privé.

Pour des informations sur tous les NFVsLe MVE est une plateforme de virtualisation des fonctions réseau (NFV) à la demande et neutre vis-à-vis des fournisseurs, qui offre une infrastructure virtuelle pour les services réseau à la périphérie du réseau global défini par logiciel (SDN) de Megaport. Les technologies réseau telles que SD-WAN et NGFW sont hébergées directement sur le réseau global de Megaport via le Megaport Virtual Edge.
 pris en charge sur la plateforme MVE, voir la page produit Megaport Virtual Edge (MVE).

Emplacements MVE

Pour une liste des emplacements mondiaux où vous pouvez vous connecter à un MVE, voir Emplacements Megaport Virtual Edge.

Dimensionnement de votre instance MVE

La taille de l’instance détermine les capacités du MVE, comme le nombre de connexions simultanées qu’il peut prendre en charge.

Lors du choix de la taille d’une instance MVE, gardez à l’esprit ces éléments:

  • Toute augmentation de la charge du flux de données réseau peut dégrader les performances. Par exemple, l’établissement de tunnels sécurisés avec IPsec, l’ajout d’une orientation du chemin du trafic ou l’utilisation de l’inspection approfondie des paquets (DPI) peuvent affecter la vitesse maximale de débit.

  • Les projets futurs pour faire évoluer le réseau.

Pour vérifier quelles tailles d’instances MVE sont disponibles pour votre déploiement, utilisez le Megaport Portal pendant le processus de configuration du MVE. La disponibilité de la taille d’instance dépend à la fois du fournisseur sélectionné et de l’emplacement de déploiement, et peut varier en conséquence. Le Megaport Portal affiche les tailles disponibles pour votre fournisseur et emplacement sélectionnés.

Pour vérifier les tailles d’instance MVE dans le Megaport Portal

  1. Dans le Megaport Portal, allez à la page Services.

  2. Cliquez sur Créer un MVE.
    Bouton Créer un MVE

  3. Sélectionnez Palo Alto VM-Series.

  4. Sélectionnez la version du logiciel.

  5. Cliquez sur Suivant.

  6. Sélectionnez un emplacement MVE.

    Sélectionnez un emplacement géographiquement proche de votre succursale cible et/ou de vos emplacements sur site.

    Vous pouvez utiliser le champ Rechercher pour trouver le nom du Port, le pays, la ville métro ou l’adresse de votre Port de destination. Vous pouvez également filtrer par zone de diversité.

  7. Une liste des tailles d’instance disponibles apparaît en fonction de l’emplacement sélectionné. Les tailles disponibles sont mises en évidence en vert et étiquetées Available. Les tailles prennent en charge des nombres variables de connexions simultanées, et les indicateurs de performance du produit du partenaire varient légèrement.

    Remarque

    Si la taille de MVE que vous souhaitez ne figure pas dans la liste, cela signifie qu’il n’y a pas suffisamment de capacité à l’emplacement sélectionné. Vous pouvez soit sélectionner un autre emplacement avec suffisamment de capacité, soit contacter votre responsable de compte pour discuter des exigences.

Que faire si j’ai besoin de plus de capacité MVE à l’avenir?

Pour augmenter votre capacité MVE, vous avez ces options:

  • Vous pouvez provisionner une autre instance MVE, l’ajouter à votre réseau overlay , et répartir la charge de travail entre les deux MVEs.

  • Vous pouvez provisionner une instance MVE plus grande, l’ajouter à votre réseau overlay , migrer les connexions de l’ancien MVE vers le nouveau MVE plus grand, puis retirer l’ancien MVE.

Si vous avez besoin de plus de cœurs (vCPUs), vous pouvez:

  • Créer un nouveau MVE avec plus de cœurs et terminer l’ancien (cette option nécessitera de reconfigurer votre pare-feu).
  • Créer un nouveau MVE comme second pare-feu pour décharger la capacité du premier pare-feu.

Vous pouvez ajuster la bande passante de Megaport Internet à tout moment sans avoir à démanteler la machine virtuelle.

Sécurité

MVE fournit une capacité sécurisée vers et depuis vos sites distants connectés à Internet, vers toute destination ou fournisseur de services sur le SDN Megaport. Les instances SD-WAN partenaires hébergées par le CSP acheminent le trafic critique sur le SDN Megaport, réduisant la dépendance à Internet. Le trafic reste chiffré et sous contrôle de vos politiques lorsqu’il traverse le SDN Megaport, depuis ou vers MVE.

Licence

Vous apportez votre propre licence VM-Series pour l’utiliser avec MVE. Il est de votre responsabilité de disposer des licences appropriées pour les points de terminaison créés sur le réseau Megaport.

Pour acquérir une licence VM-Series, nous recommandons de commencer avec l’outil d’estimation de crédits de Palo Alto Networks.

Recommandations:

  • Assurez-vous que le nombre de vCPUs sélectionné correspond à vos besoins.
  • Choisissez Kernel-based Virtual Machine (KVM) comme environnement.
  • Pour des performances optimales, nous recommandons de faire correspondre le nombre de vCPUs de votre licence VM-Series avec le nombre de vCPUs sur votre MVE.

Étiquetage VLAN

Megaport utilise Q-in-QLe tunneling 802.1Q (également connu sous le nom de Q-in-Q ou 802.1ad) est une technique utilisée par les fournisseurs de niveau 2 OSI pour les clients. 802.1ad permet d’avoir à la fois une étiquette interne et une étiquette externe, l’étiquette externe (parfois appelée S-tag pour fournisseur de services) pouvant être retirée pour exposer les étiquettes internes (C-tag ou client) qui segmentent les données.
 pour différencier les VXCs et les MVEs sur un système matériel hôte. Le locataire MVE reçoit un trafic non tagué pour le lien orienté internet, et un trafic 802.1Q à simple balisage pour les VXCs vers d’autres destinations sur le réseau Megaport (comme les rampes de lancement CSP ou d’autres MVEs). Pour plus d’informations, voir Configuration de Q-in-Q.

vNICs

Chaque MVE peut avoir jusqu’à cinq vNICs. Une VM-Series MVE est créée avec deux vNICs par défaut. Vous pouvez en ajouter jusqu’à trois de plus, pour un total de cinq.

Avant de spécifier le nombre de vNIC sur votre MVE:

  • Sachez que le nombre de vNIC ne peut pas être modifié après la commande d’un MVE. Décidez à l’avance combien de vNIC vous souhaitez spécifier lors de la création du MVE.

  • Consultez votre fournisseur de services pour vous assurer que les fonctionnalités ne seront pas affectées si vous ajoutez une vNIC.

Remarque

Si vous devez modifier le nombre de vNIC après la commande d’un MVE, vous devrez annuler et recommander le MVE.

Pour plus d’informations, voir Types de connexions vNIC.