action.skip
Megaportのドキュメンテーション
Palo Alto Networksの高可用性設定
Copy for LLM ▼
Copy Page Content Open in ChatGPT Open in Claude Open in VS Code View Markdown
PDF

Palo Alto Networks VM-Seriesファイアウォールの高可用性の設定

このトピックでは、ルートベースの冗長性を用いたPalo Alto NetworksのActive/Active高可用性(HA)を設定する手順について説明します。

Palo Alto Networksは、VM-SeriesのドキュメントをVM-Series Tech Docsで提供しています。

基本ステップ

このセクションでは、Megaport PortalとPAN-OSにおける設定手順の概要を説明します。手順はこの基本ステップの要約に従います。

基本ステップは以下の通りです:

  1. Palo Alto Networks MVEを作成します。
    Palo Alto Networks HAには、3つの専用HAインターフェイス (HA1、HA2、HA3) と管理およびデータプレーンインターフェイスが必要です。合計で5つのvNICを追加します。

  2. 同サイズとバージョンのPalo Alto Networks MVEを同じメトロ内で2台目を作成します。
    Palo Alto Networksは、MVEのサイズが同じであり、互いに20ミリ秒以内にあることを要求します。HAの前提条件の詳細については、Active/Active HAの前提条件を参照してください。

  3. HAトラフィック用のVXCを作成します。
    vNIC 1は管理、vNIC 2はデータプレーン、vNIC 3から5は専用のHAトラフィック用です。vNIC 3(HA1)間でMVE間にVXCを作成し、両端はタグなし (VLANなし) にします。vNIC 4(HA2)およびvNIC 5(HA3)についても繰り返します。
    HA1とHA2のVXCは1 Gbpsに設定し、HA3のVXCはファイアウォールを通過する予想合計トラフィックを運ぶのに十分な速度に設定することをお勧めします。

  4. Palo Alto Networks PAN‑OSソフトウェアでActive/Active HAを設定します。
    詳しくは、Palo Alto NetworksのドキュメントConfigure Active/Active HAを参照してください。

HA概説

オンプレミスまたはデータセンターにPalo Alto Networksの次世代ファイアウォール(NGFW)を展開する際、組み込みの高可用性(HA)機能を使用するのは一般的なアプローチです。PAN-OS HAは、冗長ファイアウォールが直面するいくつかの課題、特にセッション状態と設定の同期を解決する堅牢なソリューションです。

歴史的に、このアーキテクチャは特定のネットワーク機能に依存するため、クラウド環境で達成するのが難しいものでしたが、MegaportがMegaport Virtual Edge (MVE) でのPalo Alto NetworksファイアウォールのサポートおよびMVEプラットフォームでのマルチvNIC機能により、このアーキテクチャが可能になりました。このソリューションは、仮想化ネットワークコアやマルチクラウド複数のクラウドコンピューティングサービスを単一の異種アーキテクチャで使用すること。例えば、企業がインフラストラクチャ(IaaS)やソフトウェア(SaaS)サービスに複数のクラウドプロバイダーを利用する場合が該当します。Megaport の重要な価値提案の一つは、マルチクラウド接続の実現です。
接続のためにMVEを使用する顧客に特に有用です。

MVE上に展開されたPalo Alto Networksファイアウォールは、Active/Active HAとして構成され、オンデマンドでのサービス展開の利点、クラウドやデータセンターへの直接プライベート接続、最適リソース利用、セッションと設定の同期、調整されたフェイルオーバーを組み合わせた形で利用可能です。

Active/Active HA

PAN-OSには2つのHAモードがあります:

  • Active/Active
  • Active/Passive

Active/Passive HAでは、一度に1台のファイアウォールのみがアクティブであり、セカンダリのファイアウォールはすべてのインターフェースが無効であり、トラフィックを通過しません。この方式は同じ場所にあるデバイスのペアが同じ物理的なスイッチに接続されている場合に理にかなっており、単純なアーキテクチャ (オフィスに存在するかもしれないような) で複雑さを増さないという利点があります。

Active/Active HAでは、ファイアウォールが同時にアクティブでトラフィックを通過させることができ、ファイアウォールまたは監視リンクに障害が発生した場合に、すべてのトラフィックが残りのデバイスにリダイレクトされます。これの利点は、ネットワーク全体が利用可能な経路を認識することができ、通常の状態で両ファイアウォールの容量を利用することができることです。

PAN-OSのActive/Active HAは、両ファイアウォール間でトラフィックを分配するためにルーティングおよび/またはNATを使用し、両デバイス間でアクティブなセッションを同期させます。各ファイアウォールは独自のBGPセッションとECMPを持ち、トラフィックを両デバイス間で均等に分散させることができます。フェイルオーバーが発生すると、ルートが更新され、フローがリダイレクトされ、残ったファイアウォールが既存のセッションを引き継ぎます。

フェイルオーバーは、ファイアウォールの1つが失敗するか、監視しているパスが利用できなくなるか、デバイス間のHAリンクが失敗することによってトリガされます。監視しているパスが利用不가능になった場合、トラフィックは影響を受けたデバイスから利用可能なパスを持つデバイスにHA3リンクを経由して送られます。

PAN-OSのActive/Active HAに関する詳しい情報は、Palo Alto NetworksのドキュメントUse Case: Configure Active/Active HA with Route-Based Redundancyを参照してください。

アーキテクチャの理解

このトピックで展開されるアーキテクチャを以下に示します。

MVEが2つあり、それぞれがPalo Alto Networks PAN-OSを実行し、各管理インターフェースがインターネットに接続されています。2つのMVE間は3つのVXCで結ばれ、データプレーンVXCは2つの異なるクラウド環境と接続され、両方の環境が接続されています。

注記

本番展開では、他のネットワーク、インターネット接続、VPNなどに接続するために追加のデータプレーンVXCがあるかもしれません。また、管理インターフェースはプライベートネットワークにあるかもしれません。

アーキテクチャの概観

この画像は、Palo Alto Networks Active/Active HAソリューションの高レベルアーキテクチャダイアグラムを示しています.

Palo Alto Networks HA Architecture Overview

インターフェースの詳細

この画像は、Palo Alto Networks Active/Active HAソリューションのインターフェースの詳細を示しています.

Palo Alto Networks HA Architecture Interface Details

Megaport PortalでのPalo Alto Networks VM-Series MVEの作成

最初のステップは、Megaport Portalで2つのMVEを作成して展開することです。Palo Alto Networks HAには、3つの専用HAインターフェース (HA1、HA2、HA3) と管理およびデータプレーンインターフェースが必要です。

Palo Alto Networks MVEを作成して展開する方法

  1. Megaport Portalサービスページに進みます。

  2. VM-Series MVEの作成に記載されている手順に従い、Palo Alto Networks MVEを作成します。

  3. MVEの詳細画面で、5つのvNICを仮想インターフェース (vNICs)フィールドで追加して、HAで使用する追加インターフェースをサポートすることを確認します。

    Palo Alto Networks MVE with five vNICs added

  4. 別のデータセンターで同一サイズとバージョンのPalo Alto Networks MVEの2台目を作成します。Palo Alto NetworksはMVEのサイズが同じであり、互いに20ミリ秒以内にあることを要求します。このMVEも5つのvNICが追加されている必要があります。

  5. 管理アクセス用に各MVEの管理インターフェース用のMegaport Internet接続を作成します。
    これは初期展開中に最も一般的なアプローチですが、別の管理パスが設定されると管理インターフェースをプライベートVXCに接続できます。

完了すると、2つのMVEが以下のように展開されます.

Palo Alto Networks MVE in the Megaport Portal

HAトラフィック用VXCの作成

MVEが作成されたので、次のステップは2台のデバイス間のHAトラフィック用に3つのプライベートVXCを作成することです。HAインターフェースにはethernet1/2、ethernet1/3、およびethernet1/4を使用し、それぞれを他のMVEの同じインターフェースに接続し、VXCをタグなしとして設定します。

HA1とHA2には、それぞれ1 GbpsのVXCを作成します。経路障害時にはHA3の帯域幅要件が重要になる場合があるため、その経路には10 GbpsのVXCを作成します。

MVE間でVXCを作成する方法

  1. Megaport Portalサービスページに進みます。

  2. Palo Alto VM-Seriesと統合されたMVE間の接続に記載されている方法でPalo Alto Networksの2つのMVE間にVXCを作成します。

    Palo Alto Networks HA1 VXC in the Megaport Portal

  3. 各MVEでHA用に使用されている3つのインターフェース間でタグなしのVXCを作成するためにこのプロセスを繰り返します。各MVEは以下の画像に似た状態になるはずです:

    Palo Alto Networks HA VXCs in the Megaport Portal

PAN-OSでActive/Active HAを設定する

基盤となるインフラストラクチャがMegaport Portalで作成・設定されているので、次はPalo Alto Networks PAN‑OSソフトウェアでファイアウォールを設定する必要があります。各ファイアウォールの管理ウェブインターフェースには、管理vNIC (vNIC0) に接続されたVXCのIPでアクセスできます (IPはVXCの詳細タブで確認できます)。

このセクションでは、バージョン10.2に基づいたPAN-OS内のActive/Active HAの設定について説明します。これは例としてのみ使用されるべきで、ファイアウォール内の設定は更新やPalo Alto Networksによる将来の変更に応じて修正が必要になる場合があります。一般的には、PAN-OSの利用可能なオプションとベストプラクティスに関する詳細情報についてはPalo Alto Networksのドキュメントを参照するべきです。

ハイパーバイザ割り当てMACアドレスの設定

デフォルトでは、PAN-OSはイーサネットインターフェース用に自己生成されたMACアドレスを使用します。これにより、両方のファイアウォールで同じMACアドレスになるため、HAの設定が成功しません。これを防ぐために、ハイパーバイザ割り当てMACアドレスを使用するオプションを有効にします。これにより、PAN-OSは各MVEで異なる基盤となるハードウェアインターフェースの実際のMACアドレスを使用します。

詳細については、Palo Alto NetworksドキュメントHypervisor Assigned MAC Addressesを参照してください。

静的管理IPの設定

Palo Alto NetworksがVM-SeriesアプライアンスでのHA用に推奨する設計は、HA1として管理インターフェースを使用することです。HAとして使用されるためには、インターフェースに静的IPが必要です。PAN-OSによると、DHCPを使用したHAはサポートされていません。デフォルトでは、MVEの管理インターフェースはIPアドレスを取得するためにDHCPを使用していますが、これを静的に変更する必要があります。管理インターフェースを静的IPに設定した場合には、静的DNSサーバーも設定する必要があります。 ジャンボフレームが有効になるため、管理インターフェースのMTUが1500に設定されていることを確認してください。

提供されたMegaport Internet接続を管理に使用している場合、デフォルトではIPはDHCPによって提供されますが、これは持続的なアドレスであり、Megaport Internet接続が存在する限り変更されません。IPアドレス、サブネットマスク、およびゲートウェイはMegaport Portalの接続の詳細セクションで確認できます。IPv6の設定はオプションです。

PAN-OSでインターフェースを構成する方法についての詳細は、Palo Alto NetworksのドキュメントConfigure Management Interface IPを参照してください。

ジャンボフレームの有効化

HA3リンクはファイアウォール間のカプセル化されたトラフィックを送信するため、1500バイトを超えるMTUが必要です。これを達成するためには、ジャンボフレームをグローバルに有効にする必要があります。ジャンボフレームがグローバルに有効化されると、すべてのインターフェースはより高いMTUにデフォルトになります。データプレーンインターフェースをMTU 1500のままにしたい場合、それぞれのインターフェースに対してMTUを指定する必要があります。Megaportは、VXCで最大9100のMTUをサポートしています。

ジャンボフレーム有効化の詳細については、Palo Alto NetworksのドキュメントEnable Jumbo Frames on the VM-Series Firewallを参照してください。

仮想ルーターの作成

各ファイアウォールの次のステップは、仮想ルーターを作成することです。これは、デバイスが物理または仮想、単体またはHAであるかに関わらず、PAN-OSで必要です。仮想ルーターは、単一のルートテーブルを表します。

仮想ルーターの作成についての詳細は、Palo Alto NetworksのドキュメントConfigure Virtual Routersを参照してください。

ゾーンの作成

Layer 3インターフェースは、機能するようになる前にゾーンに追加される必要があります。

ゾーンに関する詳しい情報は、Palo Alto NetworksのドキュメントSegment Your Network Using Interfaces and Zonesを参照してください。

インターフェースタイプの設定

次に、必要なタイプとしてインターフェースを設定します。インターフェースethernet1/1はLayer 3として設定され (これがワークロードに接続される予定)、ethernet1/2、ethernet1/3、およびethernet1/4はHAとして設定されます。

詳細については、Palo Alto NetworksのドキュメントFirewall Interfaces Overviewを参照してください。

HAの設定

基本インフラストラクチャが整ったので、HA機能を設定します。

Active/Active High Availabilityに関する詳細情報は、Palo Alto NetworksのドキュメントConfigure Active/Active HAを参照してください。

データプレーン接続の作成

MVEの設置が完了しHAで設定されたので、接続したいネットワークに接続するためのデータプレーンVXCを作成します。データプレーンVXCは、ethernet 1/1のタグ付けされたVLANサブインターフェースとして接続され、関連するサブインターフェースとBGPピアがファイアウォール内で設定されます。

この例ではAWSとAzureを接続しますが、同じプロセスでVXCで到達可能な任意のネットワークを接続できます。Megaport Portalで実行されるタスクとPAN-OSでのタスクがあります。

VXCの作成

VXCは、標準プロセスを使用してMegaport Portalで作成され、A-End vNICにvNIC-1 ethernet1/1を指定し、VXCをタグ付きVLANとして設定します。

同じ宛先への接続は、両方のMVEで作成され、同じVLANとして提供されるべきです。例として、Cloud1 VXC (AWSへの接続) は両方のMVEでVLAN 100として設定され、Cloud2 VXC (Azureへの接続) はVLAN 200として設定されます.

Data plane VXCs

VXCが作成されると、両方のMVEは以下に似た状態になります.

Data plane VXCs

インターフェースの設定

次に、PAN-OSでVLAN 100と200のデータプレーンインターフェースを設定します。それぞれのVLANについてサブインターフェースがethernet1/1の下に作成されます。

インターフェース設定の詳細については、Palo Alto NetworksのドキュメントConfigure Interfacesを参照してください。 同じ宛先への接続は両方のMVEで作成され、同じVLANとして提供されるべきです。 この例では、Cloud1のVXC(AWSへの)は、両方のMVEでVLAN 100として構成され、Cloud2のVXC(Azureへの)はVLAN 200として構成されます.

データプレーンVXCs

VXCが作成された後、両方のMVEは以下の画像に類似した状態になるはずです.

データプレーンVXCs

インターフェイスの構成

次に、PAN-OSでVLAN 100および200のデータプレーンインターフェイスを構成します。 各VLANのサブインターフェイスはethernet1/1の下に作成されます。

インターフェイスの構成に関する詳細情報は、Palo Alto NetworksのドキュメントConfigure Interfacesを参照してください。

BGPの構成

BGPは、ルートを自動的に分配および管理するために使用され、負荷分散および停電中に一方のファイアウォールから他のファイアウォールへのトラフィックのフェイルオーバーを管理します。 BGPはトラフィックのリダイレクトを管理しますが、既存のセッションはHA機能により両方のファイアウォール間でセッション状態が同期されるため維持されます。

各ファイアウォールは異なるピアアドレスを使用し、トラフィックエンジニアリングのために異なるBGP設定を使用する可能性があるため、Virtual Routerの設定はデバイス間で同期されず、両方で構成する必要があります。

BGPの構成に関する詳細情報は、Palo Alto NetworksのドキュメントConfigure BGPを参照してください。

フェイルオーバーの復旧時間を改善するために、双方向転送検出(BFD)を有効にすることもお勧めします。 BFDに関する詳細はBFD Overviewを参照してください。

フェイルオーバー条件の構成

既に構成された内容は、デバイス間でセッションを同期し、外部ピアが停電時に残りのデバイスにトラフィックを指示するようになっていますが、各ファイアウォールにいつ自分をダウンと見なすべきかを伝え、同期されたセッションを受け取るように指示する必要があります。

これは、Virtual Router Pathモニタリングを構成することで達成されます。 各ファイアウォールは関連するパスを監視するように構成され、これらのパスがダウンした場合、HA3リンクを経由して他のデバイスにトラフィックをフォワードするようにします。

フェイルオーバー条件の構成に関する詳細情報は、Palo Alto NetworksのドキュメントDefine HA Failover Conditionsを参照してください。

構成状況の確認

すべてが配置され構成が完了したら、それが予想通りに動作していることを確認するためのいくつかの方法があります。

  • Megaport Portal内の両方のMVEとすべてのVXCが緑色になっていること。

  • 両方のファイアウォールのダッシュボードタブのHAウィジェット内のすべてのインジケーターが緑色であること。

  • 両方のファイアウォールでBGPセッションがEstablishedとしていること。

    • Network > Virtual Routers > More Runtime Stats > BGP > Peer

  • ネットワークのルートが、両方のファイアウォールの両方のピアから受信されるべきであること。

    • Network > Virtual Routers > More Runtime Stats > BGP > Local RIB

  • BFDが構成されている場合、両方のファイアウォールの両方のピアがアップしている。

    • Network > Virtual Routers > More Runtime Stats > BFD Summary Information

  • ネットワークのルートが両方のファイアウォールのルートテーブルに存在していること。

    • Network > Virtual Routers > More Runtime Stats > Routing > Route Table

  • 両方のファイアウォールからのセッションが両方のデバイスのセッションブラウザに表示され、HAからのセッションとして同期されたセッションが “Session From HA: True” としてマークされていること。

    • Monitor > Session Browser

  • そのデバイス上の監視されているパスのいずれかが失敗した場合、各ファイアウォールがTentative (Path down)モードに入るべきであること。

    • Dashboard > High Availability widget