PDF

Criando um MVE VM-Series

Este tópico descreve como criar e configurar um Megaport Virtual Edge (MVE) com o firewall de próxima geração (NGFW) da VM-Series. Você pode usar a VM-Series para proteger o tráfego de aplicações que passa pelo MVE.

Antes de começar, você precisa de contas de usuário com permissões de pedido que forneçam acesso ao Megaport Portal e ao firewall VM-Series.

Para mais informações sobre como configurar uma conta da Megaport, consulte Criando uma Conta.

A Palo Alto Networks fornece documentação para VM-Series em VM-Series Tech Docs.

Etapas básicas

Esta seção oferece uma visão geral das etapas de configuração no Megaport Portal e no PAN-OS. Procedimentos detalhados seguem este resumo básico de etapas.

As etapas básicas são:

• Obtenha uma licença da VM-Series da Palo Alto Networks.
• Defina uma senha temporária de administrador para a VM-Series.
• Gere uma chave pública SSH para autenticação.
• Crie o MVE da Palo Alto Networks VM-Series no Megaport Portal.
  Recomendamos fortemente que você provisione uma conexão Megaport Internet na interface virtual do plano de gerenciamento.
• Visualize o endereço IP público atribuído ao MVE no Megaport Portal.
• Permita acesso seguro ao console da VM-Series.

Licenciamento

Antes de criar um MVE no Megaport Portal, você precisa de uma licença válida da Palo Alto Networks. Após adquirir um firewall da VM-Series, você receberá um código de autorização por e-mail. Você usará esse código para registrar o MVE na Palo Alto Networks.

Para obter um código de autorização da Palo Alto Networks para a VM-Series

1. Faça login no Portal de Suporte ao Cliente da Palo Alto Networks com suas credenciais.

2. Selecione Assets > VM-Series Auth-Codes > Add VM-Series Auth-Code.

3. Insira o código de autorização que você recebeu por e-mail no campo Add VM-Series Auth-Code.

4. Marque a caixa à direita para salvar.
   A página exibirá a lista de códigos de autorização registrados em sua conta de Suporte.

5. Para visualizar todos os ativos implantados, selecione Assets > Devices.

Assim que o produto for registrado, ele aparecerá na página de conclusão de registro da Palo Alto Networks.

O próximo passo é gerar um par de chaves SSH para autenticação.

Acesso administrativo ao MVE

Você estabelece o gerenciamento e o acesso administrativo ao MVE/VM-Series através de um par de chaves SSH público/privado para conexões seguras. A chave pública SSH permite que você acesse via SSH a VM-Series, defina a senha administrativa e habilite o acesso HTTPS.

A Megaport suporta o tipo de chave RSA de 2048 bits.

Para gerar um par de chaves SSH (Linux/Mac OSX)

• Execute o comando SSH keygen:

  ssh-keygen -f ~/.ssh/megaport-mve-instance-1-2048 -t rsa -b 2048
  

O comando de geração de chaves cria um par de chaves SSH e adiciona dois arquivos ao seu diretório ~/.ssh:

• megaport-mve-instance-1-2048 – Contém a chave privada.
• megaport-mve-instance-1-2048.pub – Contém a chave pública autorizada para login na conta da Palo Alto Networks.

Para gerar um par de chaves SSH (Windows, usando PuTTYgen)

1. Abra o PuTTYGen.
2. Na seção Key, escolha RSA 2048 bits e clique em Generate.
3. Mova o mouse aleatoriamente na pequena tela para gerar o par de chaves.
4. Insira um comentário para a chave, que identificará a chave.
   Isso é útil quando você utiliza várias chaves SSH.
5. Insira uma frase secreta para a chave e confirme-a.
   A frase secreta é usada para proteger sua chave. Você será solicitado a inseri-la ao conectar via SSH.
6. Clique em Save private key, escolha um local e clique em Save.
7. Clique em Save public key, escolha um local e clique em Save.

Você copiará e colará o conteúdo do arquivo de chave pública no Megaport Portal mais tarde para distribuir a chave pública ao appliance Palo Alto Networks VM-Series. Sua chave privada corresponderá à chave pública para conceder acesso. Somente uma chave privada terá acesso à VM-Series para SSH.

Criando um MVE no Megaport Portal

Antes de criar um MVE, você precisa determinar a melhor localização - uma que suporte o MVE e seja na Metro mais compatível. Você pode conectar vários locais a um único MVE. Para detalhes de localização, consulte Planejando sua Implantação Palo Alto Networks.

Você pode implantar vários MVEs na mesma Metro por motivos de redundância ou capacidade. Como parte do processo de criação do MVE, você também criará duas conexões Megaport Internet.

Para criar o MVE da VM-Series (compute)

1. No Megaport Portal, vá para a página Serviços.

2. Clique em Criar MVE.
   

3. Selecione a localização do MVE.

   Selecione uma localização geograficamente próxima à sua filial ou locais on-premises.

   O país escolhido deve ser um mercado em que você já tenha se registrado.

   Se você não tiver registrado um mercado de cobrança na localização onde irá implantar o MVE, siga o procedimento em Habilitando Mercados de Cobrança.

   Para pesquisar o mercado local na lista, insira um país no filtro de País ou um detalhe da Metro no filtro de Pesquisa.

4. Selecione uma zona de diversidade.
   Você pode selecionar Vermelho ou Azul, ou selecionar Auto para que a Megaport escolha a zona para você. A zona de diversidade selecionada ou alocada será exibida nos detalhes da localização durante o restante do provisionamento e na página de resumo ao final.
   Para mais informações, consulte Diversidade de MCR e MVE.

   

5. Clique em Próximo.

6. Selecione Palo Alto VM-Series e a versão do software.
   O MVE será configurado para ser compatível com esta versão de software da Palo Alto Networks.

7. Especifique os detalhes do MVE:

   • Nome do MVE – Insira um nome para o MVE que seja facilmente identificável, especialmente se você planeja provisionar mais de um. Esse nome aparecerá no Megaport Portal.

     Aviso

     Contas gerenciadas por parceiros podem associar uma oferta de parceiro a um serviço com uma assinatura mínima de 12 meses. Para mais informações, consulte Associando uma Oferta a um Serviço.

   • Tamanho – Selecione um tamanho da lista suspensa. A lista exibe todos os tamanhos que correspondem à capacidade de CPU na localização selecionada. Os tamanhos suportam números variados de conexões simultâneas e as métricas dos produtos de parceiros individuais variam ligeiramente. Para mais informações, consulte Planejando sua Implantação Palo Alto Networks.

     Aviso

     Se o tamanho do MVE que você deseja não estiver na lista, isso significa que não há capacidade suficiente na localização escolhida. Você pode escolher outra localização com capacidade suficiente ou entrar em contato com seu gerente de contas para discutir os requisitos.

   • Referência de Nível de Serviço (opcional) – Especifique um número de identificação exclusivo para o MVE a ser usado para fins de faturamento, como um número de centro de custos ou um ID de cliente exclusivo. O número de referência de nível de serviço aparece para cada serviço na seção de Produtos da fatura. Você também pode editar este campo para um serviço existente.

   • Dados de Licença (opcional) – Especifique o código de autorização da VM-Series (a licença válida para o appliance virtual). O código de autorização é usado para registrar a instância MVE da VM-Series com a Palo Alto Networks. Você pode encontrá-lo no portal de suporte da Palo Alto Networks.

   • Senha de Administrador – Especifique uma senha temporária de administrador. A senha deve ter no mínimo 8 caracteres e incluir:

     • 1 caractere maiúsculo (A-Z)
     • 1 caractere minúsculo (a-z)
     • 1 número (0-9)
     • 1 símbolo

     Aviso

     A Megaport não armazena senhas de clientes.

   • Chave SSH – Copie e cole o conteúdo da sua chave pública SSH aqui. Você pode encontrar a chave pública no arquivo megaport-mve-instance-1-2048.pub gerado anteriormente.

   • Interfaces Virtuais (vNICs) – Cada MVE é configurado com duas vNICs chamadas Management Plane e Data Plane por padrão. Para alterar o nome, digite sobre o texto do nome na caixa.

     Você pode adicionar até cinco vNICs ao MVE, incluindo as duas adicionadas por padrão. Para mais informações, consulte Tipos de Conexões vNIC.

     Para adicionar uma vNIC:

     • Clique em + Adicionar.

       

     • Insira um nome para a vNIC.

       

     Aviso

     Se você deseja aumentar ou diminuir o número de vNICs neste MVE após ele ter sido provisionado, será necessário excluir o MVE inteiro e recriá-lo. Não é possível adicionar ou excluir vNICs em um MVE provisionado.

   • Prazo Mínimo – Selecione Sem Prazo Mínimo, 12 Meses, 24 Meses ou 36 Meses. Prazo mais longos resultam em uma taxa mensal menor. 12 Meses é selecionado por padrão. Para mais informações sobre termos de contrato, veja Preços e Termos Contratuais do MVE.

     Aviso

     Contas de parceiros e gerenciadas por parceiros selecionam assinaturas do MVE em vez de termos de contrato do MVE.

   

8. Clique em Próximo para visualizar a página de Resumo.
   A taxa mensal é baseada na localização, tamanho e prazo do contrato.
   

9. Confirme a configuração e os preços e clique em Adicionar MVE.
   Você será solicitado a criar uma conexão Megaport Internet. Uma conexão Megaport Internet fornece conectividade e permite que o MVE se registre e se comunique com os sistemas de licenciamento da Palo Alto Networks e, opcionalmente, com o Panorama.
   

Para criar a conexão Megaport Internet

1. Clique em Criar Megaport Internet para continuar (recomendado), ou clique em Agora Não para provisionar seu próprio acesso à internet em outro momento.

   Aviso

   O MVE exige conectividade com a internet na interface virtual do plano de gerenciamento. Você pode provisionar uma conexão Megaport Internet ou configurar uma conexão de internet de terceiros usando um VXC privado. Recomendamos fortemente que você crie uma conexão Megaport Internet para o início e provisionamento inicial do MVE para garantir que o MVE seja provisionado e funcione corretamente.

2. Selecione a Porta de destino (o roteador da internet).
   A terminação B de uma conexão Megaport Internet pode estar em qualquer lugar do mesmo país que o MVE de origem.
   Você pode filtrar por zona de diversidade ou selecionar para ver todos.

3. Clique em Próximo.

4. Especifique os detalhes da conexão:

   • Nome da Conexão – O nome da sua conexão Megaport Internet a ser exibido no Megaport Portal.
     Como melhor prática, recomendamos incluir “Management Plane” no nome para referência posterior.

   • Referência de Nível de Serviço (opcional) – Especifique um número de identificação exclusivo para a conexão Megaport Internet a ser usado para fins de faturamento, como um número de centro de custos ou um ID de cliente exclusivo. O número de referência de nível de serviço aparece para cada serviço na seção de Produtos da fatura.

     Dica

     Use os mesmos números de Referência de Nível de Serviço para a conexão Megaport Internet e o MVE para ajudar a identificar o par correspondente em sua fatura.

   • Limite de Taxa – A velocidade da sua conexão em Mbps. Essa velocidade é ajustável de 20 Mbps a 10 Gbps em incrementos de 1 Mbps. Você pode alterar a velocidade conforme necessário após criar a conexão Megaport Internet. Detalhes de cobrança mensal aparecem com base na localização e limite de taxa.

   • Estado do VXC – Selecione Ativado ou Desativado para definir o estado inicial da conexão. Para mais informações, consulte Desativando um VXC para Testes de Failover.

     Note

     Se você selecionar Desativado, o tráfego não fluirá por esse serviço e ele se comportará como se estivesse inativo na rede Megaport. A cobrança por esse serviço permanecerá ativa e você ainda será cobrado por essa conexão.

   • vNIC da Terminação A – Selecione vNIC-0 Management Plane na lista suspensa.

     Importante

     A conexão de internet na interface virtual de gerenciamento será usada apenas para fins de gerenciamento, como licenciamento, atualizações e comunicação com o Panorama. Se você precisar que o tráfego da internet flua entre filiais, usuários e/ou a nuvem, você criará uma segunda conexão Megaport Internet na interface virtual do plano de dados. Para mais informações, consulte Para criar uma segunda conexão Megaport Internet no plano de dados.

   • VLAN Preferencial da Terminação A (opcional) – Especifique um ID de VLAN não utilizado para esta conexão.
     Deve ser um ID de VLAN exclusivo neste MVE e pode variar de 2 a 4093. Se você especificar um ID de VLAN que já esteja em uso, o sistema exibirá o próximo número de VLAN disponível. O ID de VLAN deve ser exclusivo para prosseguir com o pedido. Se você não especificar um valor, a Megaport atribuirá um.

     Alternativamente, você pode clicar em Desmarcar. Esta seleção remove a marcação VLAN para esta conexão, e ela será configurada sem um ID de VLAN.

   • Prazo Mínimo – Selecione Sem Prazo Mínimo, 12 Meses, 24 Meses ou 36 Meses. Prazo mais longos resultam em uma taxa mensal menor. 12 Meses é selecionado por padrão.
     Observe as informações na tela para evitar taxas de rescisão antecipada (ETF). Consulte Preços e Termos Contratuais do Megaport Internet e Cobrança de VXC, Megaport Internet e IX para mais informações.

   

5. Clique em Próximo para prosseguir para o resumo de detalhes da conexão.

6. Clique em Adicionar VXC para solicitar a conexão.
7. Clique em Fazer Pedido no canto superior esquerdo da sua tela, em Serviços Configurados.
   
8. Se você tiver um código promocional, clique em Adicionar Código Promocional, insira-o e clique em Adicionar Código.
9. Clique em Pedir Agora.
   

Aviso

Uma segunda conexão Megaport Internet é necessária se o firewall for trocar tráfego da internet com filiais. Cada conexão Megaport Internet do plano de dados recebe seu próprio endereço IP público exclusivo.

Para criar uma segunda conexão Megaport Internet na interface virtual do plano de dados

1. No Megaport Portal, vá para a página Serviços.

2. Clique em +Conexão no MVE da Palo Alto Networks.

3. Selecione Megaport Internet.

4. Selecione a Porta de destino (o roteador da internet).
   A terminação B de uma conexão Megaport Internet pode estar em qualquer lugar do mesmo país que o MVE de origem.
   Você pode filtrar por zona de diversidade ou selecionar para ver todos.

5. Clique em Próximo.

6. Especifique os detalhes da conexão:

   • Nome da Conexão – O nome da sua conexão Megaport Internet do plano de dados a ser exibido no Megaport Portal. Como melhor prática, recomendamos incluir “Data Plane” no nome para referência posterior.

   • Referência de Nível de Serviço (opcional) – Especifique um número de identificação exclusivo para a conexão Megaport Internet a ser usado para fins de faturamento, como um número de centro de custos ou um ID de cliente exclusivo. O número de referência de nível de serviço aparece para cada serviço na seção de Produtos da fatura.

   • Limite de Taxa – A velocidade da sua conexão em Mbps. Essa velocidade é ajustável de 20 Mbps a 10 Gbps em incrementos de 1 Mbps. Você pode alterar a velocidade conforme necessário após criar a conexão Megaport Internet. Detalhes de cobrança mensal aparecem com base na localização e no limite de taxa.

   • Estado do VXC – Selecione Ativado ou Desativado para definir o estado inicial da conexão. Para mais informações, consulte Desativando um VXC para Testes de Failover.

     Note

     Se você selecionar Desativado, o tráfego não fluirá por esse serviço e ele se comportará como se estivesse inativo na rede Megaport. A cobrança por esse serviço permanecerá ativa e você ainda será cobrado por essa conexão.

   • vNIC da Terminação A – Selecione vNIC-1 Data Plane na lista suspensa.

   • VLAN Preferencial da Terminação A (opcional) – Especifique um ID de VLAN não utilizado para esta conexão.
     Deve ser um ID de VLAN exclusivo neste MVE e pode variar de 2 a 4093. Se você especificar um ID de VLAN que já esteja em uso, o sistema exibirá o próximo número de VLAN disponível. O ID de VLAN deve ser exclusivo para prosseguir com o pedido. Se você não especificar um valor, a Megaport atribuirá um.

     Alternativamente, você pode clicar em Desmarcar. Esta seleção remove a marcação VLAN para esta conexão, e ela será configurada sem um ID de VLAN.

   • Prazo Mínimo – Selecione Sem Prazo Mínimo, 12 Meses, 24 Meses ou 36 Meses. Prazo mais longos resultam em uma taxa mensal menor. 12 Meses é selecionado por padrão.
     Observe as informações na tela para evitar taxas de rescisão antecipada (ETF). Consulte Preços e Termos Contratuais do Megaport Internet e Cobrança de VXC, Megaport Internet e IX para mais informações.

   

7. Clique em Próximo para prosseguir para o resumo de detalhes da conexão, clique em Adicionar VXC e solicite a conexão.

8. Clique em Fazer Pedido.
   

9. Se você tiver um código promocional, clique em Adicionar Código Promocional, insira-o e clique em Adicionar Código.
10. Clique em Pedir Agora.
    

O pedido do MVE provisiona a instância e atribui endereços IP da SDN da Megaport. O tempo de provisionamento do MVE da Palo Alto Networks varia entre versões e depende de se você fornecer um código de autorização de licença. Pode levar até 15 minutos para que o MVE seja provisionado antes que você possa fazer login e continuar a configuração.

Após solicitar o MVE no Megaport Portal, você pode usar o Panorama da Palo Alto Networks para gerenciar o firewall.

Visualizando o MVE no Megaport Portal

Após criar o MVE, você pode visualizá-lo no Megaport Portal na página Services. Você também pode visualizar os endereços IP públicos atribuídos.

Para visualizar um MVE no Megaport Portal

• Vá para a página Serviços.

O ícone Megaport Internet difere de um ícone VXC padrão no Megaport Portal, conforme mostrado na imagem.

Para mais informações sobre a página Serviços, consulte Compreendendo a Página Services.

Para visualizar os endereços IP públicos atribuídos ao MVE

1. Clique no ícone de engrenagem ao lado da conexão Megaport Internet do Management Plane. A tela de Configuração da Conexão aparecerá. A partir daqui, você pode modificar qualquer detalhe da conexão Megaport Internet.
2. Clique na aba Detalhes.
3. Localize o endereço IP público (IPv4 ou IPv6). Estes são os endereços IP públicos atribuídos ao MVE.

Atualizando a senha de administrador

Em seguida, você substituirá a senha temporária definida no Megaport Portal por uma nova senha segura.

Para atualizar a senha de administrador

1. Faça login no sistema da Palo Alto Networks usando a senha temporária de administrador definida no Megaport Portal.
2. Escolha Device > Administrators.
3. Selecione o usuário admin.
4. Insira a senha temporária antiga, uma nova senha segura e confirme a nova senha.
   
5. Clique em OK.
6. Escolha Config > Save Changes.

Configurando a interface do plano de dados

Em seguida, você configurará a interface do plano de dados e atribuirá um tipo de interface.

Para configurar a interface do plano de dados

1. Escolha Network > Interfaces.
2. Selecione ethernet1/1 na coluna Interface.
3. Selecione Layer3 na lista suspensa Interface Type.
4. Clique em OK.
5. Destaque a linha ‘ethernet1/1’ e clique em Add Subinterface na parte inferior da tela.

6. Forneça os seguintes detalhes:

   • Interface Name – Insira um nome para a subinterface. No campo adjacente, insira um número para identificar a subinterface.

   • Comment – Insira um nome alternativo.

   • Tag – Especifique o valor da VLAN A-End associado ao Port de destino da Megaport Internet.

   • Virtual Router – Selecione um roteador virtual para a interface, conforme exigido pela sua rede.

7. Selecione a aba IPv4.

8. Selecione DHCP Client como o Tipo.
9. Clique em OK.
10. Clique em Commit no canto superior direito.
11. Revise as alterações e clique em Commit.

Próximos passos

Agora que você implantou um MVE, o próximo passo é conectar um VXC a um CSP, uma porta local ou uma rede de terceiros. Opcionalmente, você pode conectar uma Porta física ao MVE por meio de um VXC privado ou conectar-se a um provedor de serviços no Megaport Marketplace.