action.skip

Planification du déploiement de votre MVE Palo Alto

Cette rubrique fournit une vue d’ensemble du processus de provisionnement et décrit les considérations de déploiement pour le Megaport Virtual Edge (MVE).

Vous aurez besoin d’une licence VM-Series à utiliser sur le réseau défini par logiciel (SDN) Megaport. Megaport vous propose :

  • Une machine virtuelle pour héberger l’image du pare-feu nouvelle génération (NGFW)
  • Une connexion Megaport Internet avec protection DDoS (Déni de service distribué) pour terminer le tunnel entre le MVE et l’équipement d’abonné (CPE) dans la succursale via Internet
  • Accès à l’écosystème Megaport

Considérations relatives au déploiement

Palo Alto Networks utilise des appareils virtuels ou physiques comme de nombreuses autres plates-formes. Cependant, avec Palo Alto Networks, vous pouvez configurer les appliances pour plusieurs utilisations différentes. Par exemple, vous pouvez configurer une appliance Palo Alto Networks pour l’utiliser :

  • Strictement comme un pare-feu de nouvelle génération (NGFW) pour les bureaux distants avec une configuration locale et une journalisation locale uniquement.

  • Comme gestion centrale avec journalisation centrale, ou comme gestion centrale sans journalisation centrale.

Fonctions de VM-Series

VM-Series fournit des services NGFW sur une machine virtuelle. L’hébergement de la série VM sur le MVE permet non seulement d’optimiser la connectivité réseau de périphérie-cloud, mais également de mettre en œuvre des services et des politiques de sécurité avancés sur les segments de dorsale Megaport.

L’offre SASE de Palo Alto Networks est destinée aux clients qui adoptent l’architecture SASE et ont besoin d’une sécurité supplémentaire pour leur réseau en périphérie.

L’intégration de VM-Series à la plateforme NaaS de Megaport permet d’étendre les éléments centraux suivants du service Secure Access Service Edge (SASE) entre la périphérie et la structure du réseau cloud :

  • Pare-feu de nouvelle génération (NGFW), comprenant des politiques de pare-feu dynamiques, la traduction d’adresses réseau (NAT), des services de protection contre les intrusions, l’inspection SSL (Secure Sockets Layer) et des renseignements sur les menaces.

  • Les services de passerelle Web sécurisée (SWG) protègent les périphériques contre les destinations Internet malveillantes en utilisant le filtrage du contenu Web et la recherche de logiciels malveillants.

  • L’accès réseau à confiance zéro (ZTNA), qui contrôle l’accès aux applications en vérifiant les utilisateurs et les appareils avant chaque session d’application et confirme qu’ils répondent à la politique de l’organisation pour accéder à cette application.

  • Les applications de contrôle de segmentation et de liste blanche communiquant sur différents sous-réseaux bloquent les mouvements latéraux des menaces et aident à assurer la conformité réglementaire.

  • Les services de prévention des menaces, de sécurité DNS et WildFire appliquent des politiques spécifiques aux applications qui empêchent les logiciels malveillants et empêchent les menaces jusqu’alors inconnues d’infecter le cloud.

La VM-Series prend également en charge l’intégration des utilisateurs distants avec les solutions Palo Alto SASE avec Prisma Access. Prisma Access propose deux méthodes de connexion d’accès utilisateur à distance :

  • GlobalProtect – Étend la visibilité et le contrôle de Prisma Access sur tout le trafic réseau, les applications, les ports et les protocoles pour l’utilisateur pour un accès sécurisé à Internet ou aux applications basées sur un centre de données.
  • Explicit proxy (Proxy explicite) – Autorise SWG à accéder aux applications SaaS basées sur Internet via HTTP et HTTPS.

Pour plus d’informations sur ces fonctionnalités, voir les documents techniques VM-Series.

Remarque

Si vous avez déjà déployé un pare-feu VM-Series, vous pouvez le connecter à un MVE afin que votre siège ou vos succursales puissent accéder aux services cloud via des interconnexions privées.

Emplacements du MVE

Pour obtenir la liste des emplacements mondiaux via lesquels vous pouvez vous connecter à un MVE, consultez la rubrique Emplacements MVE (Megaport Virtual Edge).

Dimensionnement de votre instance MVE

La taille de l’instance détermine les capacités du MVE, par exemple le nombre de connexions simultanées qu’il peut prendre en charge. Les instances MVE sont regroupées dans les tailles suivantes :

Taille de paquet vCPU DRAM Stockage Megaport Internet Vitesse *
MVE 2/8 2 8 Go 60 Go Réglable de 20 Mbit/s à 10 Gbit/s
MVE 4/16 4 16 Go 60 Go Réglable de 20 Mbit/s à 10 Gbit/s
MVE 8/32 8 32 Go 60 Go Réglable de 20 Mbit/s à 10 Gbit/s
MVE 12/48 12 48 Go 60 Go Réglable de 20 Mbit/s à 10 Gbit/s

* L’accès à Megaport Internet est symétrique, redondant, diversifié et comprend une protection contre les attaques DDoS. L’accès à Megaport Internet est réglable grâce à la connexion Megaport Internet que vous joignez au MVE.

Lorsque vous choisissez la taille d’une instance MVE, gardez à l’esprit les éléments suivants :

  • Toute augmentation de la charge du flux de données du réseau peut dégrader les performances. Par exemple, l’établissement de tunnels sécurisés avec IPsec, l’ajout d’une orientation du trafic ou l’utilisation d’une inspection approfondie des paquets (DPI) peuvent avoir un impact sur la vitesse de débit maximale.

  • Plans futurs pour étendre le réseau.

Que se passe-t-il si j’ai besoin de plus de capacité MVE à l’avenir ?

Vous avez plusieurs options :

  • Vous pouvez provisionner une autre instance MVE, l’ajouter à votre réseau superposé SD-WAN et répartir la charge de travail entre les deux MVE.

  • Vous pouvez provisionner une instance MVE plus grande, l’ajouter à votre réseau superposé SD-WAN, faire migrer les connexions de l’ancienne MVE vers la nouvelle MVE plus grande, puis retirer l’ancienne MVE.

Si vous avez besoin de plus de cœurs (vCPU), vous pouvez soit :

  • Commandez un nouveau MVE avec plus de cœurs et résiliez l’ancien (cette option vous obligera à reconfigurer votre pare-feu).
  • Commandez un nouveau MVE comme deuxième pare-feu pour décharger la capacité du premier pare-feu.

Vous pouvez ajuster la bande passante de Megaport Internet à tout moment sans avoir à démonter la machine virtuelle.

Licences

Vous apportez votre propre licence VM-Series à utiliser avec le MVE. Il est de votre responsabilité de disposer des licences appropriées pour les points de terminaison SD-WAN créés sur le réseau Megaport.

Pour acquérir une licence VM-Series, nous vous recommandons de commencer avec l’outil d’estimation de crédit de Palo Alto Networks.

Recommandations :

  • Assurez-vous que le nombre de vCPU que vous sélectionnez correspond à vos besoins.
  • Choisissez Kernel-based Virtual Machine (Machine virtuelle basée sur noyau, KVM) en tant qu’Environment (Environnement).
  • Pour des performances optimales, nous vous recommandons de faire correspondre le nombre de vCPU de votre licence VM-Series avec le nombre de vCPU sur votre MVE.

Balisage VLAN

Megaport utilise Q-in-Q pour différencier les MVE et les VXC sur un système matériel hôte. Le MVE du locataire reçoit un trafic non balisé pour la liaison Internet et du trafic 802.1Q à balisage unique vers d’autres destinations sur le réseau Megaport (comme les Rampes d’accès CSP ou d’autres MVE).

vNIC

Chaque MVE peut avoir jusqu’à 5 vNIC. Un MVE est créé avec 2 vNIC par défaut. Vous pouvez en ajouter jusqu’à 3 supplémentaires, ce qui fait un total de 5.

Avant de spécifier le nombre de vNIC sur votre MVE :

  • Sachez que le nombre de vNIC ne peut pas être modifié une fois qu’un MVE a été commandé. Décidez à l’avance du nombre de vNIC à spécifier lorsque vous créez le MVE.

  • Consultez votre fournisseur de services pour vous assurer que la fonctionnalité ne sera pas affectée si vous ajoutez une vNIC.

Remarque

Si vous devez modifier le nombre de vNIC après la commande d’un MVE, vous devrez annuler et commander de nouveau le MVE.