Copy for LLM ▼

Copy Page Content Open in ChatGPT Open in Claude Open in VS Code View Markdown

PDF

VM-Series MVE の作成

このトピックでは、VM-Series 次世代ファイアウォール (NGFW) を使用して、Megaport Virtual Edge (MVE) を作成および設定する方法について説明します。VM-Series を使用して、MVE を通過するアプリケーショントラフィックを保護できます。

開始する前に、Megaport Portal と VM-Series ファイアウォールへのアクセスを提供する注文権限を持つユーザーアカウントが必要です。

Megaport アカウントのセットアップに関する詳細は、アカウントの作成 を参照してください。

Palo Alto Networks の VM-Series に関するドキュメントは VM-Series Tech Docs を参照してください。

基本手順

このセクションでは、Megaport Portal および PAN-OS の設定手順の概要を示しています。詳細な手順は、この基本手順の要約に続きます。

基本手順は次のとおりです：

• Palo Alto Networks から VM-Series ライセンスを取得します。
• VM-Series の一時的な管理者パスワードを設定します。
• 認証用の SSH 公開鍵を生成します。
• Megaport Portal で Palo Alto Networks VM-Series MVE を作成します。
  管理プレーン仮想インターフェイスに Megaport Internet 接続をプロビジョニングすることを強くお勧めします。
• Megaport Portal で MVE のパブリックIPアドレスの割り当てを確認します。
• VM-Series への安全なコンソールアクセスを許可します.

ライセンス

Megaport Portal で MVE を作成する前に、Palo Alto Networks から有効なライセンスが必要です。VM-Series ファイアウォールを購入した後、メールで認証コードを受け取ります。この認証コードを使用して、MVE を Palo Alto Networks に登録します。

VM-Series の認証コードを Palo Alto Networks から取得する方法

1. ご自身のアカウントで Palo Alto Networks の カスタマーサポートポータル にログインします。

2. [Assets] > [VM-Series Auth-Codes] > [Add VM-Series Auth-Code] を選択します。

3. メールで受け取った認証コードを Add VM-Series Auth-Code フィールドに入力します。

4. 右側のチェックボックスを選択して保存します。
   ページには、サポートアカウントに登録されている認証コードのリストが表示されます。

5. 配置されているすべてのアセットを表示するには、[Assets] > [Devices] を選択します。

製品が登録されると、Palo Alto Networks の登録完了ページに表示されます。

次のステップは、認証のための SSH キーペアを生成することです。

MVE への管理アクセス

MVE/VM-Series への管理アクセスは、安全な接続のための公開/非公開 SSH キーペアを通じて確立されます。公開 SSH 鍵を使用して VM-Series に SSH で接続し、管理者パスワードを設定し、HTTPS アクセスを有効にします。

Megaport は 2048 ビット RSA キータイプをサポートしています。

SSH キーペアを生成する手順 (Linux/Mac OSX)

• SSH キージェンコマンドを実行します：

   ssh-keygen -f ~/.ssh/megaport-mve-instance-1-2048 -t rsa -b 2048
  

キー生成コマンドは SSH キーペアを作成し、~/.ssh ディレクトリに次の 2 つのファイルを追加します：

• megaport-mve-instance-1-2048 – 秘密鍵が含まれています。
• megaport-mve-instance-1-2048.pub – Palo Alto Networks アカウントへのログインを許可された公開鍵が含まれています。

SSH キーペアを生成する手順 (Windows, PuTTYgenを使用)

1. PuTTYGen を開きます。
2. [Key] セクションで、[RSA 2048 bit] を選択し、Generate をクリックします。
3. 小さな画面でマウスをランダムに動かしてキーペアを生成します。
4. キーを識別するためのキーコメントを入力します。
   複数の SSH キーを使用する場合に便利です。
5. キーの保護に使用するパスフレーズを入力し、再入力して確認します。
   SSH 接続時にパスフレーズが要求されます。
6. Save private key をクリックし、場所を選択し、保存 をクリックします。
7. Save public key をクリックし、場所を選択し、保存 をクリックします。

後で公開鍵ファイルの内容を Megaport Portal にコピーして貼り付け、Palo Alto Networks VM-Series アプライアンスに公開鍵を配布します。秘密鍵は公開鍵と一致し、アクセスを許可します。VM-Series への SSH アクセスには、単一の秘密鍵のみがアクセスを持ちます。

Megaport PortalでのMVEの作成

MVEを作成する際は、そのMVEをサポートし、ネットワーク設計に適した都市圏に位置する場所を選択してください。複数の場所を個々のMVEに接続することができます。ロケーションの詳細については、展開の計画を参照してください。

冗長性または容量の理由から、同一の都市圏内に複数のMVEを展開することができます。MVEの作成プロセスの一環として、2つのMegaport Internet接続も作成します。

MVEを作成するには

1. Megaport Portalで、Servicesページに移動します。

2. Create MVEをクリックします。
   

3. Palo Alto VM-Seriesを選択します。

4. ソフトウェアバージョンを選択します。

   MVEは、そのバージョンのPalo Alto VM-Seriesに互換性があるように設定されます。

5. 次へをクリックします。

6. MVEの詳細を指定します：

   • Location – MVEの場所を選択します。

     対象の支店やオンプレミスの場所に地理的に近い場所を選択してください。

     選択する国は、すでに登録済みの市場でなければなりません。

     選択した場所でMVEを展開する際に請求市場を登録していない場合は、請求市場の有効化に従って手続きを行ってください。

     検索フィールドを使用して、Portの名前、国、都市、または目的地Portの住所を見つけることができます。また、diversity zoneでフィルタリングすることもできます。

   • Diversity Zone – diversity zoneを選択します。

     RedまたはBlueを選択するか、Autoを選んでMegaportにzoneを選択させることができます。選択または割り当てられたdiversity zoneは、プロビジョニングの残りと最終的なSummaryページでロケーションの詳細に表示されます。詳しくはMVE 多様性を参照してください。

   • Size – 利用可能なサイズのリストからサイズを選択します。利用可能なサイズは緑色で強調表示され、Availableとラベル付けされています。サイズは異なる同時接続数をサポートしており、個別のパートナープロダクトの指標はわずかに異なります。

     注記

     希望するMVEのサイズがリストにない場合、その選択した場所に十分な容量がないことを意味します。容量が十分な他の場所を選択するか、要件についてアカウントマネージャーにお問い合わせください。

   • 最低期間 – 1ヶ月、12 ヶ月、24 ヶ月、または 36 ヶ月を選択します。期間が長いほど月額料金が安くなります。デフォルトでは 12 ヶ月* が選択されています。早期終了手数料（ETF）を避けるためにスクリーン上の情報に注意してください。

     最低期間の自動更新 オプションを 12、24、または 36 ヶ月の契約期間のサービスに対して有効にすると、契約終了時に同じ割引価格と期間で自動的に契約が更新されます。契約を更新しない場合、契約期間終了時に契約は月単位の契約に自動的に移行され、次の請求期間には同じ価格で、期間の割引なしで継続されます。

     詳細については、MVEの料金と契約条件を参照してください。

7. 次へをクリックします。

8. Palo Alto VM-Series専用の設定を指定します：

   • License Data (オプション) – VM-SeriesのAuth Code（仮想アプライアンスの有効なライセンス）を指定します。このAuth Codeは、Palo Alto NetworksでVM-Series MVEインスタンスを登録するために使用されます。これは、Palo Alto Networks Supportポータルで見つけることができます。

   • Admin Password – 一時的な管理者パスワードを指定します。パスワードは8文字以上で、以下を含む必要があります:
     - 1つの大文字 (A-Z)
     - 1つの小文字 (a-z)
     - 1つの数字 (0-9)
     - 1つの記号

     注記

     Megaportは顧客のパスワードを保存しません。

   • SSH Key – 公開SSHキーの内容をここにコピーアンドペーストします。公開鍵は、以前に生成されたmegaport-mve-instance-1-2048.pubファイルにあります。

   • Virtual Interfaces (vNICs) – 各MVEには、デフォルトでManagement PlaneとData Planeという2つのvNICが設定されています。名前を変更するには、ボックス内の名前テキストを上書きしてください。

     既定で追加された2つを含めて、合計5つのvNICをMVEに追加できます。詳細については、vNIC接続の種類を参照してください。

     vNICを追加するには:

     • +追加をクリックします。

       

     • vNICの名前を入力します。

       

     注記

     このMVEに展開後にvNICの数を増減したい場合、全体のMVEを削除して再作成する必要があります。展開済みのMVEにvNICを追加または削除することはできません。

   • Megaport Marketplace – デフォルトでは、各サービスはあくまで社内用であり、Megaportネットワークから独自の企業、チーム、およびリソースのためにサービスを取得します。プライベートに設定された場合は、サービスはMegaport Marketplaceで検索されませんが、サービスキーを使用して他の人が接続可能です。Megaport Marketplaceの可視性はMegaport Marketplaceプロファイルで管理されています。サービスをMegaport Marketplaceで可視化する方法については、Megaport Marketplace プロフィールの作成を参照してください。

9. 次へをクリックします。

10. オプションの設定を指定します：

    • MVE Name – 特に複数をプロビジョニングする予定がある場合、識別しやすいMVEの名前を入力します。この名前はMegaport Portalに表示されます。

      MVE名はロケーション名に基づいて自動生成され、Summaryページに表示されます。自身で入力することで上書きできます。

    • サービスレベル参照 (オプション) – コストセンター番号、ユニークな顧客ID、または注文書番号など、請求目的で使用するMegaportサービスの一意の識別番号を指定します。サービスレベル参照番号は、請求書の製品セクションに各サービスごとに表示されます。このフィールドは既存のサービスに対しても編集できます。

    • リソースタグ – リソースタグを使用して、Megaportサービスに独自の参照メタデータを追加できます。
      タグを追加するには:

      1. Add Tagsをクリックします。
      2. Add New Tagをクリックします。
      3. フィールドに詳細を入力します:
         • キー – 文字列最大長128。 有効な値は a-z 0-9 _ : . / \ -
         • 値 – 文字列最大長256。 有効な値は a-z A-Z 0-9 _ : . @ / + \ - (スペース)
      4. 保存をクリックします。

      そのサービスに既にリソースタグがある場合は、Manage Tagsをクリックして管理できます。

      警告

      リソースタグに機密情報を含めないでください。機密情報には、既存のタグ定義を返すコマンドや個人や会社を特定する情報が含まれます。

11. Summaryページで設定内容と金額を確認します。

    月額料金はロケーションとサイズに基づいています。

12. Add MVEをクリックします。

    Megaport Internet接続の作成を求められます。Megaport Internet接続は、MVEが登録および通信するための接続性を提供します：Palo Alto Networksライセンスシステム、および任意でPanorama.
    

Megaport Internet接続を作成するには

1. Create Megaport Internetをクリックして進みます（推奨）、または後でインターネットアクセスをプロビジョニングする場合はNot nowをクリックします。

   注記

   MVEは、インターネットへの接続が管理プレーンの仮想インターフェース上に必要です。Megaport Internet接続をプロビジョニングするか、プライベートVXCを使用してサードパーティのインターネット接続を設定できます。初期のMVEの起動と展開を確実にするために、Megaport Internet接続を作成することを強くお勧めします。

2. ターゲットPort（インターネットルーター）を選択します。 Megaport Internet接続のB-EndはMegaport Internetが提供されている任意の場所に配置できます。 検索フィールドを使用して、ターゲットPortの名前、国、都市、または住所を見つけることができます。また、diversity zoneでフィルタリングすることもできます。

3. 次へをクリックします。

4. 接続の詳細を指定します：

   • Connection Name – Megaport Portalに表示するMegaport Internet接続の名前です。 ベストプラクティスとして、後の参照用に「Management Plane」を名前に含めることを推奨します。

   • サービスレベル参照 (オプション) – コストセンター番号、ユニークな顧客ID、または注文書番号など、請求目的で使用するMegaportサービスの一意の識別番号を指定します。サービスレベル参照番号は、請求書の製品セクションに各サービスごとに表示されます。このフィールドは既存のサービスに対しても編集できます。

     ヒント

     請求書で対応するペアを識別するために、Megaport Internet接続とMVEに同じサービスレベル参照番号を使用してください。

   • Rate Limit – 接続速度（Mbps）。レートリミットは20 Mbpsから始まり、数Gbps以上にスケール可能で、1 Mbps刻みで設定可能です。利用可能な速度階層は場所やサービスタイプによって異なる可能性があります。Megaport Internet接続を作成した後に、必要に応じて速度を変更できる場合があります。月額請求の詳細は、場所とレートリミットに基づいて表示されます。

   • VXC State – 接続の初期状態を定義するために有効またはシャットダウンを選択します。さらに詳しくはフェイルオーバーテストのためのVXCのシャットダウンを参照してください。

     注記

     シャットダウンを選択すると、このサービスを通じたトラフィックは通過せず、Megaportネットワーク上でダウンしたかのように振る舞います。このサービスの請求は継続し、この接続に対して課金されます。

   • A-End vNIC - ドロップダウンリストから_vNIC-0 Management Plane_を選択します。

     重要

     マネジメント仮想インターフェースのインターネット接続は、ライセンス、アップデート、Panoramaとの通信などの管理目的にのみ使用されます。ブランチ、ユーザー、および/またはクラウド間でインターネットトラフィックを流す必要がある場合、データプレーン仮想インターフェースに2つ目のMegaport Internet接続を作成します。詳細については、データプレーンに2つ目のMegaport Internet接続を作成するにはを参照してください。

   • Preferred A-End VLAN（任意） – この接続用の未使用VLAN IDを指定してください。このIDはこのMVE上で一意のVLAN IDでなければならず、2から4093の範囲である必要があります。すでに使用中のVLAN IDを指定した場合、次に使用可能なVLAN番号が表示されます。VLAN IDは注文を進行させるために一意でなければなりません。値を指定しない場合、MegaportがIDを割り当てます。
     代わりに、Untagをクリックすることもできます。この選択により、この接続のVLANタグが削除され、VLAN IDなしで構成されます。

   • 最低期間 – 1ヶ月、12 ヶ月、24 ヶ月、または 36 ヶ月を選択します。期間が長いほど月額料金が安くなります。デフォルトでは 12 ヶ月* が選択されています。早期終了手数料（ETF）を避けるためにスクリーン上の情報に注意してください。

     最低期間の自動更新 オプションを 12、24、または 36 ヶ月の契約期間のサービスに対して有効にすると、契約終了時に同じ割引価格と期間で自動的に契約が更新されます。契約を更新しない場合、契約期間終了時に契約は月単位の契約に自動的に移行され、次の請求期間には同じ価格で、期間の割引なしで継続されます。

     詳しくはMegaport Internetの料金と契約条件とVXC, Megaport Internet, およびIXの請求をご覧ください。

   • リソースタグ – リソースタグを使用して、Megaportサービスに独自の参照メタデータを追加できます。
     タグを追加するには:

     1. Add Tagsをクリックします。
     2. Add New Tagをクリックします。
     3. フィールドに詳細を入力します:
        • キー – 文字列最大長128。 有効な値は a-z 0-9 _ : . / \ -
        • 値 – 文字列最大長256。 有効な値は a-z A-Z 0-9 _ : . @ / + \ - (スペース)
     4. 保存をクリックします。

     そのサービスに既にリソースタグがある場合は、Manage Tagsをクリックして管理できます。

     警告

     リソースタグに機密情報を含めないでください。機密情報には、既存のタグ定義を返すコマンドや個人や会社を特定する情報が含まれます。

   

5. 接続詳細サマリーへ進むため次へをクリックします。

6. 接続を注文するためAdd VXCをクリックします。
7. Configured Services領域でReview Orderをクリックします。
8. プロモーションコードがある場合はAdd Promo Codeをクリックし、コードを入力してからAdd Codeをクリックします。

9. Order Nowをクリックします。

   

注記

ファイアウォールがブランチ間でインターネットトラフィックを交換する場合、2つ目のMegaport Internet接続が必要です。各データプレーンMegaport Internet接続は、それ自身のユニークなパブリックIPアドレスを受け取ります。

データプレーン仮想インターフェースに 2 つ目の Megaport Internet 接続を作成する手順

1. Megaport Portal で、Services ページに移動します。

2. Palo Alto Networks MVE で +Connection をクリックします.
   

3. Megaport Internet を選択します。
   

4. 目的の Port（インターネットルーター）を選択します。
   Megaport Internet 接続の B-End は Megaport Internet が利用可能な場所であればどこでも可能です。
   多様性ゾーンでフィルタリングするか、すべてを表示することを選択可能です。

5. 次へ をクリックします。

6. 接続の詳細を指定します：

   • Connection Name – Megaport Portal に表示されるデータプレーン Megaport Internet 接続の名前です。後で参照するために名前に「Data Plane」を含むことを推奨します。

   • サービスレベル参照 (オプション) – コストセンター番号、ユニークな顧客ID、または注文書番号など、請求目的で使用するMegaportサービスの一意の識別番号を指定します。サービスレベル参照番号は、請求書の製品セクションに各サービスごとに表示されます。このフィールドは既存のサービスに対しても編集できます。

   • Rate Limit – 接続の速度を Mbps 単位で指定します。速度は 20 Mbps から始まり、1 Mbps 刻みで調整可能です。利用可能な最大速度は場所とサービスの可用性に依存します。Megaport Internet 接続を作成した後で必要に応じて速度を変更できます。月額請求の詳細は場所と速度制限に基づいて表示されます。

   • VXC State – 初期状態として 有効 または シャットダウン を選択します。詳しい情報は、フェイルオーバーテストのためのVXCシャットダウン を参照してください。

     注記

     シャットダウン を選択した場合、このサービスを通じたトラフィックは流れず、Megaport ネットワークでダウンしているかのように動作します。このサービスの請求は引き続き行われ、この接続に対して料金が課されます。

   • A-End vNIC – ドロップダウンリストから vNIC-1 Data Plane を選択します。

   • Preferred A-End VLAN (任意) – この接続に使用する未使用の VLAN ID を指定します。
     これはこの MVE で一意の VLAN ID でなければならず、2 から 4093 の範囲である必要があります。すでに使用されている VLAN ID を指定した場合、システムは次に利用可能な VLAN 番号を表示します。注文を進めるには VLAN ID が一意である必要があります。値を指定しない場合、Megaport が割り当てます。

     また、Untag をクリックすることもできます。この選択はこの接続の VLAN タグを削除し、VLAN ID なしで設定されます。

   • 最低期間 – 1ヶ月、12 ヶ月、24 ヶ月、または 36 ヶ月を選択します。期間が長いほど月額料金が安くなります。デフォルトでは 12 ヶ月* が選択されています。早期終了手数料（ETF）を避けるためにスクリーン上の情報に注意してください。

     最低期間の自動更新 オプションを 12、24、または 36 ヶ月の契約期間のサービスに対して有効にすると、契約終了時に同じ割引価格と期間で自動的に契約が更新されます。契約を更新しない場合、契約期間終了時に契約は月単位の契約に自動的に移行され、次の請求期間には同じ価格で、期間の割引なしで継続されます。

     詳しい情報は Megaport Internet 価格設定と契約条件 および VXC, Megaport Internet, IX 請求 を参照してください。

   • リソースタグ – リソースタグを使用して、Megaportサービスに独自の参照メタデータを追加できます。
     タグを追加するには:

     1. Add Tagsをクリックします。
     2. Add New Tagをクリックします。
     3. フィールドに詳細を入力します:
        • キー – 文字列最大長128。 有効な値は a-z 0-9 _ : . / \ -
        • 値 – 文字列最大長256。 有効な値は a-z A-Z 0-9 _ : . @ / + \ - (スペース)
     4. 保存をクリックします。

     そのサービスに既にリソースタグがある場合は、Manage Tagsをクリックして管理できます。

     警告

     リソースタグに機密情報を含めないでください。機密情報には、既存のタグ定義を返すコマンドや個人や会社を特定する情報が含まれます。

   

7. 次へ をクリックして接続詳細の概要に進み、Add VXC をクリックして接続を注文します。
   

8. Review Order をクリックします。
   

9. プロモーションコードをお持ちの場合は、Add Promo Code をクリックしてコードを入力し、Add Code をクリックします。
10. Order Now をクリックします。

MVE の注文はインスタンスをプロビジョニングし、Megaport SDN から IP アドレスを割り当てます。Palo Alto Networks MVE のプロビジョニング時間はバージョンによって異なり、ライセンス認証コードを提供するかどうかに依存します。MVE をプロビジョニングしてログインできるようになるまでに最大で15分かかることがあります。

Megaport Portal から MVE を注文した後は、Palo Alto Networks Panorama を使用してファイアウォールを管理できます。

Megaport Portal で MVE を表示する

MVE を作成した後、 Megaport Portal の Services ページで確認できます。また、割り当てられたパブリックIPアドレスも表示できます。

Megaport Portal で MVE を表示する手順

• Services ページに移動します.

Megaport Internet アイコンは、画像で示されるように、 Megaport Portal の標準的な VXC アイコンとは異なります。

Services ページの詳細は、サービスページの理解 を参照してください。

MVE に割り当てられているパブリックIPアドレスを表示する手順

1. 管理プレーン Megaport Internet 接続の横にあるギアアイコン をクリックします。その接続の構成画面が表示されます。ここから、Megaport Internet 接続の詳細を変更できます。
   
2. Details タブを選択します。
   
3. パブリックIPアドレス（IPv4またはIPv6）を見つけます。
   これらは MVE に割り当てられたパブリックIPアドレスです。

管理者パスワードの更新

次に、Megaport Portal で設定した一時パスワードを新しいセキュアなパスワードに置き換えます。

管理者パスワードを更新する手順

1. Megaport Portal で設定した一時的な管理者パスワードを使用して Palo Alto Networks システムにログインします。
2. [Device] > [Administrators] を選択します。
3. admin ユーザーを選択します。
   
4. 旧一時パスワード、新しいパスワード、および新しいパスワードの確認を入力します。
   
5. OK をクリックします。
6. [Config] > [Save Changes] を選択します。

データプレーンインターフェースの設定

次に、データプレーンインターフェースを設定し、そのインターフェースタイプを指定します。

データプレーンインターフェースを設定する手順

1. [Network] > [Interfaces] を選択します。
2. インターフェース列の ethernet1/1 を選択します。
   
3. インターフェイスタイプのドロップダウンリストから Layer3 を選択します。
   
4. OK をクリックします。
5. ethernet1/1 行をハイライトし、画面下部の Add Subinterface をクリックします。
   

6. 以下の詳細を提供します：

   • Interface Name – サブインターフェースの名前を入力します。隣接するフィールドにサブインターフェースを識別する番号を入力します。

   • Comment – 別名を入力します。

   • Tag – Megaport Internet 送信先ポートに関連付けられた A-End VLAN 値を指定します。

   • Virtual Router – ネットワークに必要な仮想ルーターをインターフェースに選択します。
     

7. IPv4 タブを選択します。

8. タイプとして DHCP Client を選択します。
9. OK をクリックします。
10. 右上隅の Commit をクリックします。
    
11. 変更を確認し、Commit をクリックします.
    

次のステップ

MVE がアクティブステータスでプロビジョニングされたら、次のステップは VXC をクラウドサービスプロバイダー (CSP)、ローカルポート、またはサードパーティネットワークに接続することです。オプションとして、物理PortをプライベートVXCを通じてMVEに接続するか、Megaport Marketplaceでサービスプロバイダーに接続することができます。

詳細については、VXC の作成を参照してください。