VM シリーズ MVE の作成
このトピックでは、VM シリーズ次世代ファイアウォール (NGFW) を使用して Megaport Virtual Edge (MVE) を作成および設定する方法について説明します。VM シリーズを使用して、MVE を流れるアプリケーション トラフィックを保護できます。
始める前に、Megaport Portal および VM シリーズ ファイアウォールへのアクセスを提供する注文権限を持つユーザー アカウントが必要です。
Megaport アカウントの設定については、「アカウントの作成」を参照してください。
Palo Alto Networks は、「VM シリーズの技術文書」で VM シリーズのドキュメンテーションを提供しています。
基本ステップ
ここでは、Megaport Portal と VM シリーズの設定手順の概要を説明します。詳細な手順は、この基本ステップの概要に続きます。
基本的な手順は、次のとおりです。
- Palo Alto Networks から VM シリーズ ライセンスを取得する。
- VM シリーズの一時的な管理者パスワードを設定する。
- 認証用の SSH 公開鍵を生成する。
- Megaport Portalで Palo Alto Networks VM シリーズ MVE を作成する。
「Management Plane (管理プレーン)」仮想インターフェイスに Megaport Internet 接続をプロビジョニングすることが強く推奨される。 - MVE のパブリック IP アドレスの割り当てを Megaport Portal で確認する。
- VM シリーズへの安全なコンソール アクセスを許可する。
ライセンス
Megaport Portal で MVE を作成する前に、Palo Alto Networks から有効なライセンスを取得する必要があります。VM シリーズのファイアウォールを購入すると、認証コードがメールで届きます。この認証コードを使用して、MVE を Palo Alto Networks に登録します。
Palo Alto Networks からVM シリーズの認証コードを取得するには
-
アカウント認証情報を使用して、Palo Alto Networks カスタマー サポート ポータルにログインします。
-
「Assets (アセット)」>「VM-Series Auth-Code (VM シリーズ認証コード)」>「Add VM-Series Auth-Code (VM シリーズ認証コードの追加)」を選択します。
-
「Add VM-Series Auth-Code (VM シリーズ認証コードの追加)」フィールドに、E メールで受け取った認証コードを入力します。
-
右端のチェック ボックスを選択して保存します。
このページには、サポート アカウントに登録されている認証コードのリストが表示されます。 -
展開されているすべてのアセットを表示するには、「Assets (アセット)」>「Devices (デバイス)」を選択します。
製品が登録されると、Palo Alto Networks の登録完了ページに表示されます。
次のステップは、認証用のSSHキーペアを生成することです。
MVE への管理者アクセス
安全な接続のために、公開/秘密の SSH キーペアを介して、MVE/VM シリーズへの管理および管理アクセスを確立します。公開 SSH キーを使用すると、VM シリーズに SSH 接続し、管理用パスワードを設定して HTTPS アクセスを有効にすることができます。
Megaportは2048ビットのRSA鍵タイプをサポートしています。
SSH鍵ペアを生成するには(Linux/Mac OSX)
- SSH keygenコマンドを実行します。
ssh-keygen -f ~/.ssh/megaport-mve-instance-1-2048 -t rsa -b 2048
鍵生成コマンドでSSHキーペアを作成し、~/.sshディレクトリに2つのファイルを追加します。
- megaport-mve-instance-1-2048 – 秘密鍵が含まれています。
- megaport-mve-instance-1-2048.pub – Palo Alto のアカウントへのログインを認証された公開鍵が含まれています。
SSH 鍵ペアを生成するには (Windows、PuTTYgenを使用)
- PuTTYGenを開きます。
- 「Key(キー)」セクションでRSA 2048 bitを選択し、「Generate(生成)」をクリックします。
- 小さな画面の中でマウスをランダムに動かして、キーペアを生成します。
- キーを識別するキーコメントを入力します。
これは、複数のSSHキーを使用する場合に便利です。 - Key passphrase(キーパスフレーズ)を入力し、再入力して確定します。
パスフレーズは、キーを保護するために使用されます。SSHで接続する際に求められます。 - 「Save private key(プライベートキーの保存)」をクリックし、保存場所を選択して、「Save(保存)」をクリックします。
- 「Save public key(公開鍵の保存)」をクリックし、保存場所を選択して「Save(保存)」をクリックします。
公開鍵ファイルの内容を後で Megaport Portal にコピー&ペーストして、Palo Alto VM シリーズ アプライアンスに公開鍵を配布します。秘密鍵が公開鍵と一致することで、アクセスが許可されます。VM シリーズへの SSH アクセスは、1 つの秘密鍵のみが可能です。
Megaport Portal での MVE の作成
MVEを作成する前に、最適なロケーションを決定する必要があります。- MVE をサポートし、最も相性の良いメトロエリアにします。個々のMVEに複数のロケーションを接続することができます。ロケーションの詳細については、「Palo Alto 展開の計画」を参照してください。
冗長性や容量の観点から、同じ都市圏に複数のMVEを配置することができます。MVE 作成プロセスの一環として、2 つの Megaport Internet 接続も作成します。
VM シリーズ MVE を作成するには (コンピューティング)
- Megaport Portal で、「Services(サービス)」ページに移動します。
-
「Create MVE (MVE の作成)」 をクリックします。
-
MVEのロケーションを選択します。
対象となるブランチやオンプレミスの拠点に地理的に近いロケーションを選びます。
選択する国は、すでに登録済みのマーケットである必要があります。
MVEを展開する場所に請求マーケットが登録されていない場合は、請求マーケットの有効化の手順に従ってください。
リストでローカル マーケットを検索するには、国フィルターに国を入力するか、検索フィルターにメトロリージョンの詳細を入力します。
-
「Next (次へ)」をクリックします。
-
「Palo Alto VM-Series (Palo Alto VM シリーズ)」を選択し、ソフトウェアのバージョンを選択します。
MVE を、Palo Alto Networks のこのソフトウェア バージョンと互換性があるように構成します。 -
MVE の詳細を指定します。
-
MVE Name (MVE 名) – 特に複数の MVE をプロビジョニングする予定の場合は、簡単に識別できる MVE の名前を指定します。この名前はMegaport Portalに表示されます。
注意
パートナー マネージド アカウントは、最低 12 か月間のサブスクリプションがあるサービスにパートナー ディールを関連付けることができます。詳細については、「取引をサービスに関連付ける」をご覧ください。
-
Size (サイズ) – ドロップダウン リストからサイズを選択します。リストには、選択した場所の CPU 容量に一致するすべてのサイズが表示されます。サイズはさまざまな数の同時接続をサポートし、個々のパートナー製品の指標はわずかに異なります。詳細については、「Palo Alto 展開の計画」を参照してください。
注意
必要な MVE サイズがリストにない場合は、選択した場所に十分な容量がありません。容量が十分な別のロケーションを選択するか、要件については担当のアカウント マネージャーにお問い合わせください。
-
Minimum Term (最低利用期間) – 最低利用期間なしを選択して従量課金制にするか、12、24、36 か月の中から利用期間を選択します。期間が長くなると、MVE サイズの月額料金が下がります。デフォルトでは、12 か月の期間が選択されています。
注意
パートナーおよびパートナー マネージド アカウントは、MVE の契約期間の代わりに MVE のサブスクリプションを選択します。
契約期間の詳細については、「MVE の価格設定と契約期間」を参照してください。
-
Service Level Reference (サービス レベル参照) (オプション) – コスト センター番号や一意の顧客 ID など、請求目的で使用する MVE の識別番号を指定します。サービス レベル参照番号は、請求書の「Product (プロダクト)」セクションの各サービスに表示されます。また、既存のサービスのこのフィールドを編集することもできます。
-
License Data (ライセンス データ) (オプション) – VM シリーズ認証コード (仮想アプライアンスの有効なライセンス) を指定します。認証コードは、VM シリーズ MVE インスタンスを Palo Alto Networks に登録するために使用されます。Palo Alto Networks サポート ポータルで確認できます。
-
Admin Password (管理者パスワード) – 一時的な管理者パスワードを指定します。パスワードは 8 文字以上で、以下を含むものとします。
- 大文字 (A-Z) 1 文字
- 小文字 (a-z) 1 文字
- 数字 (0-9) 1 文字
- 記号 1 文字注意
Megaport では、顧客のパスワードの保管は行いません。
-
SSH Key (SSH キー) – 公開 SSH キーの内容をここにコピーして貼り付けます。公開鍵は、先に生成したmegaport-mve-instance-1-2048.pubファイルに記載されています。
-
Virtual Interfaces (vNICs) (仮想インターフェイス (vNIC)) – 各 MVE は、デフォルトで「Management Plane (管理プレーン)」と「Data Plane (データ プレーン)」という名前の 2 つの vNIC で構成されます。名前を変更するには、ボックスの名前テキストの上に入力します。
MVE には、デフォルトで追加された 2 つの vNIC を含めて、合計 5 つの vNIC を追加できます。
vNIC を追加するには:
-
「+ Add (+ 追加)」をクリックします。
-
vNIC の名前を入力します。
注意
展開後にこの MVE 上の vNIC の数を増減したい場合は、MVE 全体を削除して再作成する必要があります。展開された MVE に vNIC を追加したり、削除したりすることはできません。
-
-
-
「Next (次へ)」をクリックして、「Summary (概要)」画面を表示します。
月額料金は、ロケーション、サイズ、契約期間に基づいています。
-
設定内容と価格設定を確認し、「Add MVE (MVE を追加)」をクリックします。
Megaport Internet 接続を作成するよう促されます。Megaport Internet 接続は接続性を提供し、MVE が Palo Alto Networks のライセンス システム、およびオプションで Panorama に登録して通信することを可能にします。
Megaport Internet 接続を作成するには
-
「Create Megaport Internet (Megaport インターネットの作成)」をクリックして続行する (推奨) か、「Not now (今は行わない)」をクリックして後で独自のインターネット アクセスをプロビジョニングします。
MVE と同じ多様性ゾーンにある宛先ポートが自動的に割り当てられます。注意
MVE は、管理プレーン仮想インターフェイス上のインターネットへの接続を必要とします。Megaport Internet 接続をプロビジョニングするか、プライベートVXC を使用してサードパーティのインターネット接続を構成できます。MVE がプロビジョニングされ、正しく機能するようにするために、最初の MVE の起動と展開用に Megaport Internet 接続を注文することを強くお勧めします。
-
接続の詳細を指定します。
- Connection Name (接続名) – Megaport Internet 接続の一意の名前を指定します。
ベスト プラクティスとして、後で参照するために名前に「管理プレーン」を含めることをお勧めします。 -
Service Level Reference (サービス レベル参照) (オプション) – コスト センター番号や一意の顧客 ID など、請求目的で使用する Megaport Internet 接続の識別番号を指定します。サービス レベル参照番号は、請求書の「Product (プロダクト)」セクションの各サービスに表示されます。
ヒント
Megaport Internet 接続と MVE に同じサービス レベル参照番号を使用して、請求書の一致するペアを識別します。
-
Rate Limit (帯域制限) – Megaport Internet 接続の速度を指定します。
この速度は、1 Mbps 刻みで 20 Mbps から 10 Gbps まで調整可能です。Megaport Internet 接続を作成した後、必要に応じて速度を変更できます。ロケーションと帯域制限に基づいて月額請求の詳細が表示されます。 -
vNIC – ドロップダウン リストから「vNIC-0 Management Plane」を選択します。
重要
管理仮想インターフェイス上のインターネット接続は、ライセンス、アップデート、Panorama との通信などの管理目的にのみ使用されます。ブランチ、ユーザー、クラウド間でインターネット トラフィックの流れを必要とする場合は、データ プレーン仮想インターフェイスに 2 つ目の Megaport Internet 接続を作成します。詳細については、「データ プレーンで 2 つ目の Megaport Internet 接続を作成するには」を参照してください。
-
Preferred A-End VLAN (優先 A エンド VLAN) (オプション) – この接続で未使用の VLAN ID を指定します。
これは、この MVE の一意の VLAN ID である必要があり、2 から 4093 の範囲で指定できます。既に使用されている VLAN ID を指定すると、次に使用可能な VLAN 番号が表示されます。注文を続行するには、VLAN ID が一意である必要があります。値を指定しない場合は、Megaport が値を割り当てます。または、「Untag (タグなし)」をクリックすることもできます。この選択により、この接続の VLAN タグが削除され、VLAN ID なしで設定されます。
- Connection Name (接続名) – Megaport Internet 接続の一意の名前を指定します。
-
「Next (次へ)」をクリックして接続の詳細の概要に進み、「Add VXC (VXC の追加)」をクリックして接続を注文します。
- Order Services (注文サービス) 契約を確認します。
- 注文する前に、「Save(保存)」をクリックし、設定済みの MVE を保存します。
- 画面左上の「Configured Services (設定済みサービス)」の下にある「Order (注文)」をクリックします。
- 「Add Promo Code (プロモーション コードの追加)」をクリックして入力し、「Add Code (コードの追加)」をクリックします。
- 「Order Now (今すぐ注文)」をクリックします。
注意
ファイアウォールがブランチとインターネット トラフィックを交換する場合は、2 つ目の Megaport Internet 接続が必要です。各データ プレーンの Megaport Internet 接続は、それぞれ一意のパブリック IP アドレスを受信します。
データ プレーン仮想インターフェイスで 2 つ目のMegaport Internet接続を作成するには
-
Megaport Portal で、「Services(サービス)」ページに移動します。
-
Palo Alto MVE の「+Connection (+接続)」をクリックします。
-
「Megaport Internet (Megaport インターネット)」を選択します。
MVE と同じ多様性ゾーンにある宛先ポートが自動的に割り当てられます。 -
接続の詳細を指定します。
- Connection Name (接続名) – データ プレーン Megaport Internet 接続の一意の名前を指定します。ベスト プラクティスとして、後で参照するために名前に「データ プレーン」を含めることをお勧めします。
-
Service Level Reference (サービス レベル参照) (オプション) – コスト センター番号や一意の顧客 ID など、請求目的で使用する Megaport Internet 接続の識別番号を指定します。サービス レベル参照番号は、請求書の「Product (プロダクト)」セクションの各サービスに表示されます。
-
Rate Limit (帯域制限) – Megaport Internet 接続の速度を指定します。
この速度は、1 Mbps 刻みで 20 Mbps から 10 Gbps まで調整可能です。Megaport Internet 接続を作成した後、必要に応じて速度を変更できます。ロケーションと帯域制限に基づいて月額請求の詳細が表示されます。 -
A-END vNIC (A エンド vNIC) – ドロップダウン リストから「vNIC-1 Data Plane」を選択します。
-
Preferred A-End VLAN (優先 A エンド VLAN) (オプション) – この接続で未使用の VLAN ID を指定します。
これは、この MVE の一意の VLAN ID である必要があり、2 から 4093 の範囲で指定できます。既に使用されている VLAN ID を指定すると、次に使用可能な VLAN 番号が表示されます。注文を続行するには、VLAN ID が一意である必要があります。値を指定しない場合は、Megaport が値を割り当てます。
-
「Next (次へ)」をクリックして接続の詳細の概要に進み、「Add VXC (VXC の追加)」をクリックして接続を注文します。
- Order Services (注文サービス) 契約を確認します。
- 注文する前に、「Save(保存)」をクリックし、設定済みの MVE を保存します。
- 「Order (注文)」をクリックします。
- 「Add Promo Code (プロモーション コードの追加)」をクリックして入力し、「Add Code (コードの追加)」をクリックします。
- 「Order Now (今すぐ注文)」をクリックします。
オーダーMVEは、インスタンスのプロビジョニングを行い、Megaport SDNからIPアドレスを割り当てます。Palo Alto MVE のプロビジョニング時間は、バージョンやライセンス認証コードを提供するかどうかによって異なります。MVE がプロビジョニングされ、ログインして設定を続行できるまで、最大 15 分かかることがあります。
Megaport Portal から MVE を注文したら、Palo Alto Panorama を使用してファイアウォールを管理できます。
Megaport Portal での MVE の表示
MVE を作成した後は、「Services (サービス)」ページの Megaport Portal で確認することができます。割り当てられたパブリック IP アドレスを表示することもできます。
Megaport PortalでMVEを表示するには
- 「Services (サービス)」ページに移動します。
画像のように、Megaport Internet アイコンは、Megaport Portal の標準 VXC アイコンとは異なります。
「Services (サービス)」ページの詳細については、「Services (サービス)」ページを理解する」を参照してください。
MVEに割り当てられたパブリックIPアドレスを表示するには
- Megaport Internet 接続の横にあるをクリックします。
「Connection Configuration (接続の設定)」画面が表示されます。ここから、Megaport Internet 接続の詳細を変更できます。
- 「Details (詳細)」タブをクリックします。
- パブリック IP アドレス (IPv4 または IPv6) を探します。
MVEに割り当てられているパブリックIPアドレスです。
管理者パスワードの更新
次に、Megaport Portal で設定した一時パスワードを新しい安全なパスワードに置き換えます。
管理者パスワードを更新するには
- Megaport Portal で設定した一時的な管理者パスワードを使用して、Palo Alto システムにログインします。
- 「Device (デバイス)」>「Administrators (管理者)」を選択します。
- 「admin」ユーザーを選択します。
- 古い一時パスワード、新しい安全なパスワードを入力し、新しいパスワードを確認します。
- 「OK」をクリックします。
- 「Config (設定)」>「Save Changes (変更を保存)」を選択します。
データ プレーン インターフェイスの設定
次に、データ プレーン インターフェイスを設定し、それにインターフェイスの種類を割り当てます。
データ プレーン インターフェイスを設定するには
- 「Network (ネットワーク)」>「Interfaces (インターフェイス)」の順に選択します。
- 「Interface (インターフェイス)」列から「ethernet1/1」を選択します。
- 「Interface Type (インターフェイス タイプ)」ドロップダウン リストから「Layer3 (レイヤー 3)」を選択します。
- 「OK」をクリックします。
- 「ethernet1/1」行を強調表示し、画面の下部にある「Add Subinterface (サブインターフェイスの追加)」をクリックします。
-
次の詳細を入力します。
-
Interface Name (インターフェイス名) – サブインターフェイスの名前を入力します。隣接するフィールドに、サブインターフェイスを識別する数値を入力します。
-
Comment (コメント) – 別名を入力します。
-
Tag (タグ) – Megaport Internet 宛先ポートに関連付けられている A エンド VLAN の値を指定します。
-
Virtual Router (仮想ルーター) – ネットワークで必要に応じて、インターフェイスへの仮想ルーターを選択します。
-
-
「IPv4」タブを選択します。
- タイプとして「DHCP Client (DHCP クライアント)」を選択します。
- 「OK」をクリックします。
- 右上の「Commit (コミット)」をクリックします。
- 変更内容を確認し、「Commit (コミット)」をクリックします。
次のステップ
これで MVE が構築されました。次の手順は VXCを CSP、ローカルポート、またはサードパーティネットワークに追加することです。オプションで、プライベート VXC を通じて物理ポートを MVE に接続するか、Megaport Marketplace のサービスプロバイダーに接続できます。