action.skip
Megaportのドキュメンテーション
展開計画
Copy for LLM ▼
Copy Page Content Open in ChatGPT Open in Claude Open in VS Code View Markdown
PDF

Palo Alto Networks VM-Series MVE 展開の計画

このトピックでは、プロビジョニングプロセスの概要を提供し、Megaport Virtual Edge (MVE) の配置における考慮事項を説明します。

Palo Alto Networks VM-Series ファイアウォール

Megaport ソフトウェア定義ネットワーク(SDN)で使用するには、Palo Alto Networks の VM-Series ライセンスが必要です。詳細は ライセンス を参照してください。

Megaport が提供するもの:

  • 次世代ファイアウォール(NGFW)イメージをホストする仮想マシン
  • MVE と支店の CPE 間のトンネルをインターネット経由で終端する Megaport Internet 接続
  • Megaport エコシステムへのアクセス

VM-Series の機能

VM-Series は仮想マシン上で NGFW サービスを提供します。MVE に VM-Series をホストすることで、エッジからクラウドへのネットワーク接続を最適化するだけでなく、Megaport バックボーンセグメント全体に高度なセキュリティサービスとポリシーを適用します。

Palo Alto Networks の Secure Access Service Edge(SASE)製品は、SASE アーキテクチャを採用し、エッジのネットワークに追加のセキュリティが必要な顧客向けです。

VM-Series を Megaport の NaaS プラットフォームに組み込むことで、以下のコア SASE 要素をエッジとクラウドのネットワークファブリック間で拡張します:

  • 次世代ファイアウォール(ステートフル企業ファイアウォールポリシー、NAT、侵入防止サービス、SSL インスペクション、脅威インテリジェンスを含む)
  • セキュア Web ゲートウェイ(SWG)サービス — ウェブコンテンツフィルタリングとマルウェアスキャンにより、デバイスを悪意のあるインターネット先から保護
  • ゼロトラストネットワークアクセス(ZTNA) — 各アプリケーションセッションの前にユーザーとデバイスを検証し、組織のポリシーに準拠していることを確認してアクセスを制御
  • セグメンテーションとホワイトリスト — 異なるサブネット間の通信アプリケーションを制御し、横方向の脅威移動をブロックし、規制コンプライアンス達成を支援
  • 脅威防止、DNS セキュリティ、WildFire サービス — アプリケーション固有のポリシーを適用し、マルウェアや未知の脅威のクラウド感染を防止

また、VM-Series は Palo Alto Networks の SASE ソリューション Prisma Access と連携し、以下の2つのリモートユーザーアクセス接続方法を提供します:

  • GlobalProtect — Prisma Access の可視性とコントロールをユーザーに拡張し、インターネットまたはデータセンターアプリケーションへの安全なアクセスを実現
  • 明示的プロキシ — HTTP および HTTPS を使用し、インターネットベースの SaaSSoftware as a Service (SaaS) はクラウドコンピューティングの一形態であり、プロバイダーがクライアントにアプリケーションソフトウェアの利用を提供し、そのアプリケーションに使用されるすべての物理およびソフトウェアリソースを管理します。SaaS は「オンデマンドソフトウェア」とも呼ばれることがあり、通常は使用量に基づく料金またはサブスクリプション料で価格設定されます。
     アプリケーションへの SWG アクセスを許可

これらの機能の詳細については、VM-Series 技術ドキュメント を参照してください。

注記

既に VM-Series ファイアウォールを展開済みの場合、MVE に接続して本社や支店がプライベートインターコネクト経由でクラウドサービスにアクセスできるようにすることが可能です。

配置に関する考慮事項

このセクションでは、MVE の配置オプションと特徴の概要を説明します。

Palo Alto Networks は多くのプラットフォームと同様に仮想または物理アプライアンスを使用しますが、Palo Alto Networks では以下のように複数の用途でアプライアンスを構成できます:

  • リモートオフィス向けに、ローカル構成とローカルログのみの次世代ファイアウォール(NGFW)として使用
  • セントラル管理かつセントラルログあり、またはセントラルログなしのセントラル管理として使用

SD-WAN ベンダー

MVE は Palo Alto Networks と統合されており、Palo Alto ネットワークオーケストレータ Panorama(VM-Series)を使用してプライベートオーバーレイネットワークを構築します。

MVE プラットフォームでサポートされているすべての NFVMVE は、オンデマンドでベンダーニュートラルなネットワーク機能仮想化 (NFV) プラットフォームであり、Megaport のグローバルソフトウェア定義ネットワーク (SDN) のエッジでネットワークサービスのための仮想インフラを提供します。SD-WAN や NGFW などのネットワーク技術は、Megaport Virtual Edge を通じて Megaport のグローバルネットワーク上で直接ホストされます。
 に関する情報は、Megaport Virtual Edge (MVE) 製品ページ を参照してください。

MVE の場所

MVE に接続できるグローバルなロケーションの一覧は、Megaport Virtual Edge ロケーション を参照してください。

MVE インスタンスのサイズ設定

インスタンスサイズは、同時接続数などのMVE の機能を決定します。

MVE インスタンスサイズを選択する際には、以下の項目に留意してください:

  • ネットワークデータストリーム負荷の増加はパフォーマンスを低下させる可能性があります。たとえば、IPsecを用いたセキュアトンネルの確立、トラフィックパスの経路制御、ディープパケットインスペクション (DPI) の使用は、最大スループット速度に影響を与える可能性があります。

  • ネットワークをスケールする将来の計画。

配置に利用可能なMVE インスタンスサイズを確認するには、Megaport Portal を使用してMVE セットアッププロセスで確認してください。インスタンスサイズの可用性は、選択されたベンダーと配置場所の両方に依存し、それによって異なる場合があります。Megaport Portal は選択したベンダーとロケーションに利用可能なサイズを表示します。

Megaport Portal で MVE インスタンスサイズを確認する手順

  1. Megaport Portal で、サービス ページに移動します。

  2. Create MVE をクリックします。
    Create MVE ボタン

  3. Palo Alto VM-Series を選択します。

  4. ソフトウェアバージョンを選択します。

  5. 次へ をクリックします。

  6. MVE のロケーションを選択します。

    対象となるブランチまたはオンプレミスのロケーションに地理的に近い場所を選択してください。

    検索 フィールドを使用して、宛先Portの名前、国、メトロシティ、または住所を見つけることができます。また、多様性ゾーンでフィルタリングすることもできます。

  7. 選択された場所に基づいて利用可能なインスタンスサイズの一覧が表示されます。利用可能なサイズは緑で強調表示され、利用可能 とラベル付けされています。サイズは異なる数の同時接続をサポートし、個々のパートナープロダクトのメトリックはわずかに異なります。

    注記

    希望するMVE のサイズがリストにない場合は、選択したロケーションに十分な容量がないということです。十分な容量のある別のロケーションを選択するか、アカウントマネージャーに連絡して要件について話し合うことができます。

将来MVE の容量がもっと必要になったらどうすればいいですか?

以下のオプションがあります:

  • もう1つのMVE インスタンスをプロビジョニングし、 オーバーレイネットワークに追加し、2つのMVE間でワークロードを分散させることができます。

  • より大きなMVE インスタンスをプロビジョニングし、 オーバーレイネットワークに追加し、古いMVEから新しい大きなMVEに接続を移行し、それから古いMVEを退役させることができます。

もしより多くのコア(vCPU)が必要な場合は、以下のいずれかを実施できます:

  • より多くのコアを持つ新しい MVE を作成し、古いものを終了する(この場合、ファイアウォールの再設定が必要となります)。
  • 新しい MVE をセカンダリファイアウォールとして作成し、最初のファイアウォールの負荷を分散する。

仮想マシンを削除することなく、Megaport Internet の帯域幅をいつでも調整することができます。

セキュリティ

MVE はインターネット対応の支店拠点から、Megaport SDN 上の任意のエンドポイントまたはサービスプロバイダーへの安全な容量を提供します。パートナー SD-WAN 製品の CSP ホストインスタンスは、重要なトラフィックを Megaport SDN 上でルーティングし、インターネット依存を低減します。トラフィックは暗号化され、MVE へのまたはからの通信中もお客様のポリシー制御下にあります。

ライセンス

MVE で使用する VM-Series ライセンスはお客様にてご用意ください。Megaport ネットワーク上に作成されるエンドポイントに対して、適切なライセンスを保有していることはお客様の責任です。

VM-Series ライセンスの取得については、Palo Alto Networks の クレジット見積ツール の利用を推奨します。

推奨事項:

  • 選択する vCPU 数が要件に適合していることを確認してください。
  • 環境として Kernel-based Virtual Machine (KVM) を選択してください。
  • 最良のパフォーマンスを得るために、VM-Series ライセンスの vCPU 数と MVE 上の vCPU 数を一致させることを推奨します。

VLAN タグ付け

Megaport はホストハードウェアシステム上でVXC とMVE を区別するために Q-in-Q802.1Qトンネリング(Q-in-Qまたは802.1adとしても知られる)は、OSIレイヤー2プロバイダーが顧客のために使用する技術です。802.1adは内側および外側タグの両方を提供し、外側のタグ(時にはサービスプロバイダー用のSタグと呼ばれる)を取り除くことで、データをセグメント化する内側のタグ(Cタグまたは顧客)を露出させることができます。
 を使用します。テナントMVE はインターネット向けリンク用のタグなしトラフィックを受け取り、その他の宛先のMegaport ネットワーク(たとえば、CSPオンランプや他のMVE)に向かうVXC 用のシングルタグの802.1Qトラフィックを受け取ります。詳細については、Q-in-Q の設定 を参照してください。

vNICs

各 MVE は最大5つの vNIC を持つことができます。VM-Series MVE はデフォルトで2つの vNIC で作成されます。さらに最大3つ追加可能で、合計5つまで設定できます。

MVE の vNIC 数を指定する前に:

  • MVE の注文後に vNIC 数は変更できません。作成時に必要な vNIC 数をあらかじめ決定してください。

  • 機能に影響がないか、サービスプロバイダーに確認してください。

注記

MVE を注文後に vNIC 数を変更する必要がある場合は、注文をキャンセルして再注文する必要があります。

詳細は vNIC 接続の種類 を参照してください。