Palo Alto MVE 構築の計画
このトピックでは、プロビジョニング プロセスの概要と、 Megaport Virtual Edge (MVE) 向けの構築に関する考慮事項について説明します。
Megaport ソフトウェア定義ネットワーク (SDN) で使用するには、VM シリーズ ライセンスが必要です。Megaport は以下を提供します。
- 次世代ファイアウォール (NGFW) イメージをホストする仮想マシン
- Megaport Internet インターネット経由で MVE とブランチの CPE 間のトンネルを終端する分散型サービス拒否 (DDoS) を利用した接続。
- Megaport エコシステムへのアクセス
構築の考慮事項
Palo Alto Networks は、他の多くのプラットフォームと同様に、仮想または物理機器を使用します。ただし、Palo Alto Networks では、いくつかの異なる用途に合わせて機器を構成することができます。たとえば、Palo Alto Networks の機器を次の用途に設定することができます。
-
厳密に、リモートオフィス向けの次世代ファイアウォール(NGFW)として、ローカルでの設定とローカルでのロギングのみを備える。
-
セントラルロギングを行うセントラルマネジメントとして、またはセントラルロギングを行わないセントラルマネジメントとして。
VM シリーズ機能
VM シリーズは、仮想マシンで NGFW サービスを提供します。VM シリーズを MVE 上でホストすることにより、エッジからクラウドへのネットワーク接続を最適化するだけでなく、Megaport バックボーン セグメント全体に高度なセキュリティ サービスやポリシーを適用します。
Palo Alto Networks SASE 製品は、SASE アーキテクチャを採用しており、エッジでネットワークのセキュリティを強化する必要がある顧客向けです。
Megaport の NaaS プラットフォームに VM シリーズを組み込むことで、エッジとクラウドのネットワーク ファブリック間に以下のような中核となるセキュア アクセス サービス エッジ (SASE) 要素を拡張できます。
-
ステートフル企業ファイアウォール ポリシー、ネットワーク アドレス変換 (NAT)、侵入防御サービス、Secure Sockets Layer (SSL) インスペクション、脅威インテリジェンスを含む次世代ファイアウォール。
-
Secure Web Gateway (SWG) サービスは、Web コンテンツ フィルタリングとマルウェア スキャンにより、悪意のあるインターネット接続先からデバイスを保護します。
-
ゼロトラスト ネットワーク アクセス (ZTNA) は、アプリケーションの各セッションの前にユーザーとデバイスを検証し、そのアプリケーションにアクセスするための組織のポリシーを満たしていることを確認することで、アプリケーションへのアクセスを制御するものです。
-
セグメンテーションとホワイトリスト制御アプリケーションは、異なるサブネット間で通信し、横方向の脅威の移動をブロックし、規制コンプライアンスの達成を支援します。
-
脅威対策、DNS セキュリティ、および WildFire サービスは、マルウェアを防止し、これまで知られていなかった脅威がクラウドに感染するのを防ぐ、アプリケーション固有のポリシーを適用します。
VM シリーズは、Prisma Access を備えた Palo Alto SASE ソリューションとのリモート ユーザー統合もサポートしています。Prisma Access には、次の 2 つのリモート ユーザー アクセス接続方法があります。
- GlobalProtect – すべてのネットワーク トラフィック、アプリケーション、ポート、プロトコルの可視性と制御をユーザーに提供し、インターネットまたはデータ センター ベースのアプリケーションへの安全なアクセスを可能にします。
- Explicit proxy (明示的なプロキシ) – HTTP と HTTPS を使用して、インターネットベースの SaaS アプリケーションへの SWG アクセスを許可します。
これらの機能の詳細については、「VM シリーズの技術文書」を参照してください。
注意
VM シリーズのファイアウォールを構築済みの場合は、それを MVE に接続することで、本社や支店がプライベートな相互接続を介してクラウド サービスにアクセスできるようになります。
MVE ロケーション
MVE に接続できるグローバルなロケーションのリストについては、「Megaport Virtual Edge のロケーション」を参照してください。
MVE インスタンスのサイジング
インスタンスサイズは、何個の同時接続をサポートできるかなど、MVEの容量を決定します。MVE のインスタンスはこれらのサイズに集約されています。
| パッケージ サイズ | vCPU | DRAM | ストレージ | Megaport Internet 速度 * |
|---|---|---|---|---|
| MVE 2/8 | 2 | 8 GB | 60 GB | 20 Mbps から 10 Gbps まで調整可能 |
| MVE 4/16 | 4 | 16 GB | 60 GB | 20 Mbps から 10 Gbps まで調整可能 |
| MVE 8/32 | 8 | 32 GB | 60 GB | 20 Mbps から 10 Gbps まで調整可能 |
| MVE 12/48 | 12 | 48 GB | 60 GB | 20 Mbps から 10 Gbps まで調整可能 |
* Megaport Internet アクセスは対称的、冗長性、多様性、DDoS スクラビング保護が組み込まれています。Megaport Internet アクセスは、MVE への Megaport Internet 接続を通じて調整可能です。
MVEのインスタンスサイズを選択する際には、以下の項目を考慮してください。
-
ネットワークのデータストリームの負荷が増加すると、性能が低下します。例えば、IPsecによるセキュアトンネルの確立、トラフィックパスステアリングの追加、ディープパケットインスペクション(DPI)の使用などは、最大スループット速度に影響を与えます。
-
ネットワークを拡張するための今後の計画
将来的にMVEの容量が必要になった場合どうするか
いくつかの選択肢があります。
-
別の MVE インスタンスをプロビジョニングし、SD-WAN オーバーレイネットワークに追加して、2 つの MVE にワークロードを分割することができます。
-
より大きな MVE インスタンスをプロビジョニングして SD-WAN オーバーレイ ネットワークに追加し、古い MVE から新しい大きな MVE に接続を移行してから、古い MVE を停止することができます。
より多くのコア (vCPU) が必要な場合は、次のいずれかを実行できます。
- より多くのコアを持つ新しい MVE を注文し、古い MVE を終了します (このオプションでは、ファイアウォールを再設定する必要があります)。
- 新しい MVE を第 2 のファイアウォールとして注文し、最初のファイアウォールから容量をオフロードします。
仮想マシンを解体することなく、いつでも Megaport Internet 帯域幅を調整できます。
ライセンス
MVE で使用する VM シリーズのライセンスはご自身でご用意ください。Megaport ネットワーク上に作成されたエンドポイントに適切なライセンスを取得することはお客様の責任です。
VM シリーズ ライセンスを取得するには、Palo Alto Networks のクレジット推定ツールを使用することをお勧めします。
推奨事項:
- 選択した vCPU の数が要件に合っていることを確認してください。
- 環境としてカーネル ベースの仮想マシン (KVM) を選択してください。
- 最高のパフォーマンスを得るには、VM シリーズ ライセンスの vCPU の数と MVE の vCPU の数を一致させることをお勧めします。
VLAN タギング
Megaport では、Q-in-Q を使用して、ホスト ハードウェア システム上の VXC と MVE を区別しています。テナント MVE は、インターネット側のリンクではタグなしのトラフィックを受信し、Megaport ネットワーク上の他の宛先 (CSP オンランプや他の MVE など) へはシングル タグの 802.1Q トラフィックを受信します。
vNIC
各 MVE は、最大 5 つの vNIC を持つことができます。MVE はデフォルトで 2 つの vNIC で作成されます。最大 3 つまで追加でき、合計 5 つまで持つことができます。
MVE の vNIC の数を指定する前に、次のことを行います。
-
MVE が注文された後、vNIC の数を変更することはできません。MVE を作成するときに指定する vNIC の数を事前に決定します。
-
vNIC を追加しても機能に影響がないことを確認するには、サービス プロバイダーに相談してください。
注意
MVE の注文後に vNIC の数を変更する必要がある場合は、MVE をキャンセルして再注文する必要があります。