Palo Alto VM シリーズを使用した MVE の Google Cloud Services 接続の作成
MVE (Palo Alto VM シリーズ) から Google Cloud へのネットワーク接続は、Partner Interconnect を通じて行うことができます。
Megaport により Partner Interconnect を介して Google Cloud Platform (GCP) に接続する場合、仮想クロス コネクト (VXC) は接続のレイヤー 2 コンポーネントを形成し、レイヤー 3 BGP は顧客と GCP 間で直接確立されます。
重要
始める前に、MVE (VM シリーズ ファイアウォール) を作成します。詳細については、MVEの作成を参照してください。MVEがアクティブな状態になっている必要があります。
MVE と VM シリーズに Google Cloud 接続を追加するには、3 つの部分があります。
-
Google Cloud Console または gcloud CLI で Partner Interconnect アタッチメントを作成します。アタッチメント作成の一部として提供されるペアリング キーをコピーします。 追加の詳細については、Google Partner Interconnects に関する Google のドキュメンテーションを参照してください。
-
Megaport Portalで、MVEからVXCを作成し、Google Cloudアタッチメントに接続します。
-
VM シリーズで、新しいインターフェイスを作成し、Google Cloud 接続の詳細を追加します。
ここでは、2番目と3番目の部分を順に説明します。
注意
Palo Alto VM シリーズの MVE では、すべてのクラウド接続について、VM シリーズと Megaport Portal の両方で構成手順が必要です。
Megaport Portal での Google Cloud 接続の追加
GCP接続を設定するには、Megaport Portalで接続を作成する必要があります。
Megaport Portal から Google Cloud Platform に VXC を展開するには
-
Megaport Portal で、「Services (サービス)」ページに移動し、接続する MVE を選択します。
-
「+Connection (+接続)」をクリックして、「Cloud (クラウド)」タイルをクリックします。
-
プロバイダーとして Google を選択します。
-
ペアリング キーを Google Cloud Console からコピーして、右側のパネルのフィールドに貼り付けます。
関連するGoogleターゲットは、GCIパートナー接続のリージョンに基づいて表示されます。 - 接続のターゲットの場所を選択し、「Next(次へ)」をクリックします。
-
以下の接続の詳細を提供します。
-
Connection Name (接続名) – Megaport Portal に表示される VXC の名前です。
注意
パートナー マネージド アカウントは、サービスにパートナー ディールを適用することができます。詳細については、「取引をサービスに関連付ける」をご覧ください。
-
Rate Limit (帯域制限) – Google ポート速度に選択したものと同じポート速度を入力します。
-
Preferred A-End VLAN (優先 A エンド VLAN) – MVE を介して受信するこの接続の VLAN です。これは、この MVE の一意の VLAN ID である必要があり、2 から 4093 の範囲で指定できます。既に使用されている VLAN ID を指定すると、次に使用可能な VLAN 番号が表示されます。注文を続行するには、VLAN ID が一意である必要があります。値を指定しない場合は、Megaport が値を割り当てます。
-
-
VXC を注文に追加し、チェックアウトプロセスを完了します。
-
VXC を構築したら、Google Cloud Console のアタッチメントに戻り、それを受け入れます。
BGPを設定するためにGoogleからプライベートIPアドレスが提供されます。
VXC を設定した後、アタッチメントを事前にアクティブにするか、アクティブにマークしていることを確認してください。これを行わないと、SD-WAN インスタンスで BGP を設定することができません。
注意
Google AS 番号は常に 16550 になります。
VM シリーズへの Google Cloud 接続の追加
MVE から Google Cloud への接続を作成し、Google コンソールで接続を設定した後、VM シリーズで設定を行う必要があります。これには、BGPの設定、ASN、VLANの設定が含まれます。
VM シリーズで Google Cloud の接続を追加するには
-
Googleコンソールから接続情報を収集します。
この接続用にGoogle Cloudで作成した接続の詳細を表示します。Peer ASN(ピアAS番号)、Cloud Router BGP IP、BGP Peer ID(BGPピアID)の値に注意してください。
-
Megaport Portalから接続情報を収集します。
MVEからのGoogle接続の歯車アイコンをクリックし、「Details(詳細)」をクリックします。AエンドVLANの値に注意してください。 -
VM シリーズにログインします。
-
「Network (ネットワーク)」>「Interfaces (インターフェイス)」の順に選択します。
-
A エンド MVE を選択します (「ethernet1/1」)。
-
「Add Subinterface (サブインターフェイスの追加)」をクリックします。
-
次の詳細を入力します。
-
Interface Name (インターフェイス名) – サブインターフェイスの名前を入力します。隣接するフィールドに、サブインターフェイスを識別する数値を入力します。
-
Comment (コメント) – 別名を入力します。
-
Tag (タグ) – Megaport Portal でこの Google 接続に関連付けられている A エンド VLAN を指定します。
-
Virtual Router (仮想ルーター) – ネットワークで必要に応じて、インターフェイスへの仮想ルーターを選択します。
-
-
「IPv4」タブを選択します。
- タイプとして「Static (静的)」を選択します。
- 「+Add (+追加)」をクリックして、新しい IP アドレスを追加します。
- IPv4 アドレスとネットマスクを入力します。
これらの値は、Google CloudコンソールのVLANアタッチメントの詳細で確認できます。BGP Peer IP(BGPピアIP)フィールドにIPアドレスが表示されます。 - 「OK」をクリックします。
- 右上の「Commit (コミット)」をクリックします。
- 変更内容を確認し、「Commit (コミット)」をクリックします。
新しい VLAN インターフェイスは「ethernet1/1」物理インターフェイスと一緒に表示されます。
次に、インターフェイスがトラフィックをルーティングできるように、セキュリティ ゾーンを作成します。
セキュリティ ゾーンを作成するには
- 「ethernet1/1.1010」サブインターフェイスを選択します。
- 「Security Zone (セキュリティ ゾーン)」のドロップダウン リストから「New Zone (新規ゾーン)」を選択します。
- セキュリティ ゾーンの名前を指定します。
- 「Interfaces (インターフェイス)」の下の「+Add (+追加)」をクリックし、セキュリティ ゾーンに「ethernet1/1.1010」を追加します。
- ネットワーク セキュリティに必要な追加情報を指定します。
- 「Zone Protection Profile (ゾーン保護プロファイル)」のドロップダウン リストから「New Zone Protection Profile (新規ゾーン保護プロファイル)」を選択します。
- ネットワーク セキュリティに必要な情報を指定します。この例では、すべてのデフォルトを使用しています。
- 「OK」をクリックします。
- 「Layer 3 Subinterface (レイヤー 3 サブインターフェイス)」画面で「OK」をクリックします。
- 右上の「Commit (コミット)」をクリックします。
- 変更内容を確認し、「Commit (コミット)」をクリックします。
この時点で、インターフェイスが作成されます。次に、BGP セッションを作成する必要があります。
BGP セッションを作成するには
- VM シリーズで、「Network (ネットワーク)」>「Virtual Routers (仮想ルーター)」を選択します。
- 仮想ルーターを選択します。
- 左側のパネルで BGP を選択します。
-
次の BGP の詳細を提供します。
- Enable (有効化) – これらの変更をコミットした後に BGP セッションを開始するには、このチェック ボックスを選択します。
- Router ID (ルーター ID) – Google Cloud コンソールの VLAN アタッチメントの詳細から Cloud Router BGP IP を指定します。
- AS Number (AS 番号) – MVE 接続用の ASN を入力します。Google CloudコンソールのVLANアタッチメントのBGP設定で定義したPeer ASN(ピアAS番号)を指定します。
-
「Auth Profiles (認証プロファイル)」の「+Add (+追加)」をクリックします。
- プロファイル名を指定します。
- 認証パスワードを入力して確認します。
- 「OK」をクリックします。
- 「Peer Group (ピア グループ)」タブを選択します。
- 「+Add (+追加)」をクリックして、ピア グループを追加します。
- ピア グループ名を指定します。例: AWS-xxxx。
- セッション タイプとして eBGP を指定します。
- ネットワークに必要な追加の詳細を指定します。
- 「+Add (+追加)」をクリックして、新規ピアを追加します。
- ピアの詳細を指定します。
- Name (名前) – ピア名を指定します。
- Peer AS (ピア AS) – Google 側の自律システム番号 (ASN) 16550 を指定します。これは固定値で、Googleコンソールの接続詳細に表示されます。
- Local Address (ローカル アドレス) – ドロップダウン リストから適切なサブインターフェイスと IP アドレスを選択します。
- Peer Address (ピア アドレス) – Google Cloud コンソールの VLAN アタッチメントの詳細から Cloud Router BGP IP を入力します。
Google Cloud では、BGP マルチホップのサポートが必要です。マルチホップ サポートは、BGP ピアの「Connection Options (接続オプション)」タブで VM シリーズから構成できます。
Google Cloud 接続の確認
BGP ピアのステータスを確認するには
- 「Network (ネットワーク)」>「Virtual Routers (仮想ルーター)」を選択します。
- 仮想ルーターを探します (デフォルト)。
- 右側の「Runtime Stats (ランタイム ステータス)」列で「More Runtime Stats (その他のランタイム ステータス)」をクリックします。
- BGP タブを選択して、「Peer (ピア)」タブを選択します。
- ピア ステータスが「Established (確立済み)」であることを確認します。