Copy for LLM ▼

Copy Page Content Open in ChatGPT Open in Claude Open in VS Code View Markdown

PDF

Criando uma conexão com o Azure para um MVE com Palo Alto VM-Series

Você pode criar uma conexão de rede de um MVE (um firewall Palo Alto VM-Series) para o Azure ExpressRoute com Virtual Cross Connects (VXCs). Você pode criar uma conexão privada ou uma conexão pública (Microsoft).

Importante

Antes de começar, crie um MVE (VM-Series). Para mais informações, consulte Criando um MVE VM-Series.

Há três partes para adicionar uma conexão ExpressRoute ao seu MVE e ao VM-Series.

1. Configure seu plano ExpressRoute e faça o deploy do circuito ExpressRoute no console do Azure. Quando implantado, você obtém uma chave de serviço. Para detalhes adicionais, consulte a Microsoft ExpressRoute documentation.

   Para verificar a latência e o preço de conectar-se a uma determinada localização do Azure Partner, você pode usar o procedimento a seguir mas em vez de fornecer uma Microsoft Azure Service Key (Chave de serviço do Microsoft Azure), clique em View all Azure Partner locations (Visualizar todas as localizações do Azure Partner). Você pode prosseguir para a página Detalhes da Conexão sem uma chave de serviço e revisar o preço da porta selecionada. Para fazer um pedido de uma conexão com o Microsoft Azure, é necessário fornecer uma chave de serviço.
   

2. No Megaport Portal, crie uma conexão (VXC) do seu MVE para sua localização ExpressRoute.

3. No VM-Series, crie uma nova interface e adicione os detalhes da conexão ExpressRoute.

As instruções neste tópico descrevem a segunda e a terceira partes.

Nota

MVE para Palo Alto requer etapas de configuração tanto no VM-Series quanto no Megaport Portal para todas as conexões de cloud.

Adicionando a conexão ExpressRoute no Megaport Portal

Para configurar a conexão ExpressRoute, você precisa criar a conexão no Megaport Portal.

Para criar uma conexão com o ExpressRoute a partir do Megaport Portal

1. No Megaport Portal, vá para a página Services (Serviços) e selecione o MVE que você quer usar.

2. Clique em +Connection (+Conexão) no MVE.
   

3. Clique no bloco Cloud.

4. Selecione Microsoft Azure como o provedor.
   

5. Adicione a chave de serviço do ExpressRoute no campo Microsoft Azure Service Key (Chave de serviço do Microsoft Azure).
   O Portal verifica a chave e, em seguida, exibe as localizações de porta disponíveis com base na região do ExpressRoute. Por exemplo, se seu serviço ExpressRoute estiver implantado na região Australia East em Sydney, você pode selecionar as localizações de Sydney.

6. Selecione o ponto de conexão para sua primeira conexão.
   Para implantar uma segunda conexão (recomendado), você pode criar uma segunda VXC - insira a mesma chave de serviço e selecione a outra localização de conexão.

   Alguns links úteis aparecem na tela de configuração para recursos, incluindo o console do Azure Resource Manager e alguns vídeos tutoriais.

7. Clique em Next (Próximo).

8. Especifique os detalhes da conexão:

   • Connection Name (Nome da conexão) – O nome da sua VXC a ser exibido no Megaport Portal.

   • Service Level Reference (Referência de Nível de Serviço) (opcional) – Especifique um número de identificação exclusivo para o seu serviço da Megaport a ser usado para fins de cobrança, como um número do centro de custo, ID exclusivo do cliente ou número da ordem de compra. O número de referência de nível de serviço aparece para cada serviço na seção Produto da fatura. Você também pode editar este campo para um serviço existente.

   • Rate Limit (Limite de taxa) – A velocidade da sua conexão em Mbps. O limite de taxa para a VXC será limitado ao máximo permitido com base na chave de serviço do ExpressRoute.

   • VXC State (Estado do VXC) – Selecione Enabled (Habilitado) ou Shut Down (Desligar) para definir o estado inicial da conexão. Para mais informações, consulte Desligando uma VXC para testes de failover.

     Nota

     Se você selecionar Shut Down (Desligar), o tráfego não fluirá por este serviço e ele se comportará como se estivesse inativo na rede da Megaport. A cobrança por este serviço permanecerá ativa e você ainda será cobrado por esta conexão.

   • A-End vNIC (vNIC A-End) – Selecione um vNIC A-End na lista suspensa. Para mais informações sobre vNICs, consulte Criando um MVE no Megaport Portal.

   • Preferred A-End VLAN (VLAN A-End preferida) – Especifique um ID de VLAN não utilizado para esta conexão (para ExpressRoute, este é o S-Tag). Isso deve ser um ID de VLAN exclusivo neste MVE e pode variar de 2 a 4093. Se você especificar um ID de VLAN que já esteja em uso, o sistema exibirá o próximo número de VLAN disponível. O ID de VLAN deve ser exclusivo para prosseguir com o pedido. Se você não especificar um valor, a Megaport atribuirá um.

   • Minimum Term (Prazo Mínimo) – Selecione Sem Prazo Mínimo, 12 meses, 24 meses, 36 meses, 48 meses ou 60 meses. Prazos mais longos resultam em um valor mensal mais baixo. 12 meses é selecionado por padrão. Observe as informações na tela para evitar taxas de rescisão antecipada (ETF).

     Habilite a opção Renovação do Prazo Mínimo para serviços com prazo de 12, 24, 36, 48 ou 60 meses para renovar automaticamente o contrato ao final do prazo pelo mesmo preço com desconto e com a mesma duração do prazo. Se você não renovar o contrato, ao final do prazo, o contrato passará automaticamente para um contrato mês a mês para o período de faturamento seguinte, pelo mesmo preço, sem descontos por prazo.

     Para mais informações, consulte Preços e termos de contrato da VXC e Cobrança de VXC, Megaport Internet e IX.

   • Resource Tags (Tags de recurso) – Você pode usar tags de recurso para adicionar seus próprios metadados de referência a um serviço da Megaport.
     Para adicionar uma tag:

     1. Clique em Add Tags (Adicionar tags).
     2. Clique em Add New Tag (Adicionar nova tag).
     3. Insira os detalhes nos campos:
        • Key (Chave) – string com comprimento máximo de 128. Valores válidos são a-z 0-9 _ : . / \ -
        • Value (Valor) – string com comprimento máximo de 256. Valores válidos são a-z A-Z 0-9 _ : . @ / + \ - (espaço)
     4. Clique em Save (Salvar).

     Se você já tiver tags de recurso para esse serviço, poderá gerenciá-las clicando em Manage Tags (Gerenciar tags).

     Aviso

     Nunca inclua informações sensíveis em uma tag de recurso. Informações sensíveis incluem comandos que retornam definições de tags existentes e informações que identifiquem uma pessoa ou empresa.

   • Configure Single Azure Peering VLAN (Configurar VLAN única do Azure Peering) – Por padrão, esta opção está habilitada para MVE e recomendamos fortemente mantê-la habilitada com Palo Alto VM-Series.
     Esta opção fornece uma solução de VLAN de tag única. Você configura o peering no Azure com a VLAN do MVE (A-End) e a VLAN do peer definida no Azure (B-End). Observe que você pode ter apenas um tipo de peering (Private ou Microsoft) por VXC com esta opção.

     Importante

     Se você não habilitar esta opção, a VXC parecerá ativa, mas não reconhecerá o tráfego.

   • Azure Peering VLAN (VLAN do Azure Peering) – Este valor precisa corresponder à VLAN A-End para peering de VLAN de tag única. Uma VLAN de Azure Peering diferente também pode ser definida, se necessário.
     

9. Clique em Next (Próximo) e prossiga pelo processo de pedido.

Quando a configuração da VXC for concluída, o ícone da VXC ficará verde.

No console do Azure Resource Management, o status do provedor será Provisioned.

Quando provisionado, você precisa configurar os peerings. Você pode configurar peering Private e Microsoft. Clique no peer a ser configurado e forneça estes detalhes:

• Peer ASN (ASN do peer) – Insira o ASN para o MVE.
• IPv4 Subnets (Sub-redes IPv4) – De cada uma dessas sub-redes, o MVE usa o primeiro endereço IP utilizável e a Microsoft usa o segundo IP utilizável para seu roteador.
• VLAN ID (ID da VLAN) – Insira a VLAN A-End do MVE. (Observe que o ID da VLAN no console do Azure pode ser diferente da VLAN A-End.)
• Shared Key (Chave compartilhada) (opcional) – Insira uma senha MD5Às vezes conhecido como um hash MD5 ou chave BGP. O algoritmo de resumo de mensagem (MD5) é uma função criptográfica amplamente utilizada que produz uma sequência de 32 dígitos hexadecimais. Isso é usado como uma senha ou chave entre roteadores que trocam informações BGP.
  para BGP.

Adicionando a conexão ExpressRoute ao VM-Series

Depois de criar a conexão do seu MVE para o Azure e configurar a conexão no console do Azure, você precisa configurá-la no VM-Series. Isso envolve criar uma interface e configurar as definições de BGP, ASNs, VLANs e valores MD5.

Para adicionar a conexão Azure Cloud no VM-Series

1. Colete os detalhes da conexão no console do Azure.
   Exiba os detalhes da conexão que você criou no Azure para esta conexão. Anote os valores de Peer ASN (ASN do peer), Shared Key (Chave compartilhada), VLAN ID (ID da VLAN) e IPv4 Primary Subnet (Sub-rede IPv4 primária).

2. Colete os detalhes da conexão no Megaport Portal.
   Clique no ícone de engrenagem da conexão do Azure do seu MVE e clique na visualização Details. Anote o valor de A-End VLAN (VLAN A-End).

3. Faça login no VM-Series.

4. Escolha Network > Interfaces.

5. Selecione o MVE A-End (ethernet1/1).

6. Clique em Add Subinterface (Adicionar subinterface).

7. Forneça estes detalhes:

   • Interface Name (Nome da interface) – Insira um nome para a subinterface. No campo adjacente, insira um número para identificar a subinterface.

   • Comment (Comentário) – Insira um nome alternativo.

   • Tag (Tag) – Especifique a VLAN A-End associada a esta conexão do Azure no Megaport Portal.

   • Virtual Router (Roteador virtual) – Selecione um roteador virtual para a interface, conforme necessário para sua rede.

8. Selecione a guia IPv4 (IPv4).

9. Selecione Static (Estático) como o tipo.
10. Clique em +Add (+Adicionar) para adicionar um novo endereço IP.
11. Insira o endereço IPv4 e a máscara de rede.
    Esses valores estão disponíveis no console do Azure. Os endereços IP e o CIDR aparecem no campo IPv4 Primary Subnet (Sub-rede IPv4 primária); o MVE usa o primeiro endereço IP utilizável e o Azure usa o segundo IP utilizável para seu roteador. Para este campo, insira o endereço IP do MVE (primeiro utilizável).
12. Clique em OK (OK).
13. Clique em Commit (Confirmar) no canto superior direito.
    
14. Revise as alterações e clique em Commit (Confirmar).
    

A nova interface VLAN aparece junto com sua interface física ethernet1/1.

Em seguida, você criará uma zona de segurança para que a interface possa rotear o tráfego.

Para criar uma zona de segurança

1. Selecione a subinterface ethernet1/1.1010.
2. Selecione New Zone na lista suspensa Security Zone.
3. Especifique um nome para a zona de segurança.
   
4. Clique em +Add (+Adicionar) em Interfaces e adicione ethernet1/1.1010 à zona de segurança.
5. Especifique quaisquer detalhes adicionais conforme necessário para a segurança da sua rede.
6. Selecione New Zone Protection Profile na lista suspensa Zone Protection Profile.
7. Especifique quaisquer detalhes conforme necessário para a segurança da sua rede. Este exemplo usa todos os padrões.
   
8. Clique em OK (OK).
9. Clique em OK (OK) na tela Layer3 Subinterface.
10. Clique em Commit (Confirmar) no canto superior direito.
    
11. Revise as alterações e clique em Commit (Confirmar).
    

Neste ponto, você criou a interface. Em seguida, você precisa criar a sessão BGP.

Para criar a sessão BGP

1. No VM-Series, escolha Network > Virtual Routers.
2. Selecione o roteador virtual.
   
3. No painel esquerdo, selecione BGP.

4. Forneça os seguintes detalhes de BGP:

   • Enable (Habilitar) – Selecione esta caixa de seleção para iniciar a sessão BGP após confirmar essas alterações.
   • Router ID (ID do roteador) – Insira o primeiro endereço IP utilizável a partir de IPv4 Primary Subnet (Sub-rede IPv4 primária) no console do Azure.
   • AS Number (Número do AS) – Forneça o ASN para a conexão do MVE. Forneça o ASN para a conexão do MVE. Use o Peer ASN (ASN do peer) do console do Azure.
     

5. Clique em +Add (+Adicionar) em Auth Profiles.

6. Especifique um nome de perfil.
   
7. Insira e confirme a senha de autenticação.
8. Clique em OK (OK).
9. Selecione a guia Peer Group (Grupo de peers).
   
10. Clique em +Add (+Adicionar) para adicionar um grupo de peers.
11. Especifique um nome para o grupo de peers. Por exemplo, AWS-xxxx.
12. Especifique eBGP como o tipo de sessão.
13. Especifique quaisquer detalhes adicionais conforme necessário para sua rede.
14. Clique em +Add (+Adicionar) para adicionar um novo peer.
15. Especifique os detalhes para o peer:
    • Name (Nome) – Especifique um nome para o peer.
    • Peer AS (AS do peer) – Especifique o ASN do lado do Azure de 12076. Este é um valor fixo e aparece nos detalhes da conexão no console do Azure.
    • Local Address (Endereço local) – Selecione a subinterface e o endereço IP corretos na lista suspensa.
    • Peer Address (Endereço do peer) – Insira o segundo endereço IP utilizável a partir de IPv4 Primary Subnet (Sub-rede IPv4 primária) no console do Azure.
      

Validando sua conexão com o Azure

Para verificar o status do peer BGP

1. Escolha Network > Virtual Routers.
2. Localize seu roteador virtual (padrão).
3. Clique em More Runtime Stats (Mais estatísticas de runtime) na coluna Runtime Stats à direita.
   
4. Selecione a guia BGP (BGP) e, em seguida, selecione a guia Peer (Peer).
5. Verifique se o status do peer é Established.