Copy for LLM ▼

Copy Page Content Open in ChatGPT Open in Claude Open in VS Code View Markdown

PDF

Planejando a implantação do Palo Alto Networks VM-Series MVE

Este tópico fornece uma visão geral do processo de provisionamento e descreve considerações de implantação para o Megaport Virtual Edge (MVE).

Palo Alto Networks VM-Series Firewall

Você precisará de uma licença VM-Series da Palo Alto Networks para usar na software-defined network (SDN) da Megaport. Para mais informações, consulte Licenciamento.

A Megaport fornece a você:

• Uma Máquina Virtual para hospedar a imagem do Next Generation Firewall (NGFW)
• Uma conexão Megaport Internet para terminar o túnel entre MVE e o CPE na filial via internet
• Acesso ao ecossistema da Megaport.

Recursos do VM-Series

O VM-Series oferece serviços de NGFW em uma máquina virtual. Hospedar o VM-Series no MVE não apenas otimiza a conectividade de rede edge-to-cloud, mas também aplica serviços e políticas de segurança avançadas nos segmentos de backbone da Megaport.

A oferta Secure Access Service Edge (SASE) da Palo Alto Networks é para clientes que estão adotando a arquitetura SASE e precisam de segurança adicional para sua rede na borda.

Incorporar o VM-Series à plataforma NaaS da Megaport estende os seguintes elementos centrais de SASE entre a borda e o tecido de rede em cloud:

• Firewall de próxima geração, incluindo políticas de firewall corporativas stateful, tradução de endereços de rede (NAT), serviços de proteção contra intrusão, inspeção de Secure Sockets Layer (SSL) e inteligência contra ameaças.

• Os serviços de secure web gateway (SWG) protegem dispositivos contra destinos maliciosos na internet usando filtragem de conteúdo web e varredura de malware.

• Zero trust network access (ZTNA), que controla o acesso a aplicativos verificando usuários e dispositivos antes de cada sessão de aplicação e confirma que eles atendem à política da organização para acessar aquele aplicativo.

• Segmentação e whitelisting controlam aplicativos que se comunicam entre sub-redes diferentes, bloqueiam movimento lateral de ameaças e ajudam a atingir conformidade regulatória.

• Serviços de Threat Prevention, DNS Security e WildFire que aplicam políticas específicas de aplicação que evitam malware e impedem que ameaças anteriormente desconhecidas infectem a cloud.

O VM-Series também suporta integração de usuário remoto com soluções SASE da Palo Alto Networks com o Prisma Access. O Prisma Access fornece dois métodos de conexão de acesso de usuário remoto:

• GlobalProtect – Estende a visibilidade e o controle do Prisma Access de todo o tráfego de rede, aplicações, portas e protocolos para o usuário, para acesso seguro à internet ou a aplicações no data center.
• Proxy explícito – Permite acesso SWG a aplicações SaaSSoftware como Serviço (SaaS) é uma forma de computação em nuvem na qual o provedor oferece a um cliente o uso de software de aplicação e gerencia todos os recursos físicos e de software utilizados pela aplicação. O SaaS às vezes é chamado de “software sob demanda” e geralmente é cobrado com base no uso ou por meio de uma taxa de assinatura.
  baseadas em internet usando HTTP e HTTPS.

Para mais informações sobre esses recursos, consulte a VM-Series Tech Docs.

Nota

Se você já implantou um firewall VM-Series, pode conectá-lo a um MVE para que sua matriz ou filiais possam acessar serviços em cloud por meio de interconexões privadas.

Considerações de implantação

Esta seção apresenta uma visão geral das opções e funcionalidades de implantação do MVE.

A Palo Alto Networks usa appliances virtuais ou físicos como muitas outras plataformas. No entanto, com a Palo Alto Networks, você pode configurar os appliances para vários usos diferentes. Por exemplo, você pode configurar um appliance Palo Alto Networks para uso:

• Estritamente como um firewall de próxima geração (NGFW) para escritórios remotos com configuração local e apenas logging local.

• Como gerenciamento central com logging central, ou como gerenciamento central sem logging central.

Provedores de SD-WAN

MVE é integrado à Palo Alto Networks, que usa o orquestrador de rede Palo Alto Panorama (VM-Series) para criar a rede de overlay privada.

Para obter informações sobre todas as NFVsO MVE é uma plataforma de Virtualização de Funções de Rede (NFV) sob demanda, agnóstica a fornecedores, que fornece infraestrutura virtual para serviços de rede na borda da rede global definida por software (SDN) da Megaport. Tecnologias de rede como SD-WAN e NGFW são hospedadas diretamente na rede global da Megaport via Megaport Virtual Edge.
compatíveis na plataforma MVE, consulte a Megaport Virtual Edge (MVE) product page.

Localizações do MVE

Para uma lista de localizações globais onde você pode se conectar a um MVE, consulte Megaport Virtual Edge Localizações.

Dimensionando sua instância MVE

O tamanho da instância determina os recursos do MVE, como quantas conexões simultâneas ela pode suportar.

Ao escolher um tamanho de instância do MVE, tenha em mente os seguintes pontos:

• Qualquer aumento na carga do fluxo de dados da rede pode degradar o desempenho. Por exemplo, estabelecer túneis seguros com IPsec, adicionar path steering de tráfego ou usar inspeção profunda de pacotes (DPI) pode afetar a taxa máxima de throughput.

• Planos futuros para escalar a rede.

Para verificar quais tamanhos de instância do MVE estão disponíveis para sua implantação, use o Megaport Portal durante o processo de configuração do MVE. A disponibilidade de tamanhos de instância depende tanto do fornecedor selecionado quanto da localização da implantação e pode variar de acordo. O Megaport Portal exibe os tamanhos que estão disponíveis para o fornecedor e a localização selecionados.

Para verificar os tamanhos de instância do MVE no Megaport Portal

1. No Megaport Portal, vá para a página Services (Serviços).

2. Clique em Create MVE (Criar MVE).
   

3. Selecione Palo Alto VM-Series.

4. Selecione a versão do software.

5. Clique em Next (Próximo).

6. Selecione uma localização do MVE.

   Selecione uma localização geograficamente próxima à sua filial de destino e/ou às localizações on-premises.

   Você pode usar o campo Search (Pesquisar) para encontrar o nome do Port, o país, a cidade metropolitana ou o endereço do seu Port de destino. Você também pode filtrar por zona de diversidade.

7. Uma lista de tamanhos de instância disponíveis aparece com base na localização selecionada. Os tamanhos disponíveis são destacados em verde e rotulados como Available (Disponível). Os tamanhos suportam números variados de conexões simultâneas, e as métricas dos produtos dos parceiros variam ligeiramente.

   Nota

   Se o tamanho de MVE que você deseja não estiver na lista, então não há capacidade suficiente na localização selecionada. Você pode selecionar outra localização com capacidade suficiente ou entrar em contato com seu Gerente de Conta para discutir os requisitos.

E se eu precisar de mais capacidade do MVE no futuro?

Para aumentar a capacidade do seu MVE, você tem estas opções:

• Você pode provisionar outra instância MVE, adicioná-la à sua rede overlay , e dividir a carga de trabalho entre as duas MVEs.

• Você pode provisionar uma instância MVE maior, adicioná-la à sua rede overlay , migrar conexões da antiga MVE para a nova MVE maior e, em seguida, aposentar a antiga MVE.

Se você precisar de mais núcleos (vCPUs), você pode:

• Criar um novo MVE com mais núcleos e encerrar o antigo (esta opção exigirá que você reconfigure seu firewall).
• Criar um novo MVE como um segundo firewall para descarregar a capacidade do primeiro firewall.

Você pode ajustar a largura de banda do Megaport Internet a qualquer momento sem precisar desprovisionar a máquina virtual.

Segurança

MVE fornece capacidade segura de e para suas filiais habilitadas para internet, para qualquer endpoint ou provedor de serviços na SDN da Megaport. Instâncias hospedadas por CSP de produtos SD-WAN de parceiros roteiam tráfego crítico pela SDN da Megaport, reduzindo a dependência da internet. O tráfego permanece criptografado e sob o controle de suas políticas enquanto percorre a SDN da Megaport, para ou a partir do MVE.

Licenciamento

Você fornece sua própria licença VM-Series para uso com MVE. É sua responsabilidade ter as licenças apropriadas para os endpoints criados na rede da Megaport.

Para adquirir uma licença VM-Series, recomendamos que você comece com a credit estimator tool da Palo Alto Networks.

Recomendações:

• Garanta que o número de vCPUs selecionado atenda aos seus requisitos.
• Escolha Kernel-based Virtual Machine (KVM) como o Ambiente.
• Para o melhor desempenho, recomendamos que você corresponda o número de vCPUs da sua licença VM-Series ao número de vCPUs no seu MVE.

Marcação de VLAN

Megaport usa Q-in-QO tunelamento 802.1Q (também conhecido como Q-in-Q ou 802.1ad) é uma técnica usada por provedores de Camada 2 do OSI para clientes. O 802.1ad prevê tanto uma tag interna quanto uma tag externa, na qual a externa (às vezes chamada de S-tag, de provedor de serviços) pode ser removida para expor as tags internas (C-tag, de cliente) que segmentam os dados.
para diferenciar VXCs e MVEs em um sistema de hardware host. O MVE do locatário recebe tráfego sem marcação para o link voltado à internet e tráfego 802.1Q com marcação simples para VXCs em direção a outros destinos na rede da Megaport (como CSP on-ramps ou outros MVEs). Para obter mais informações, consulte Configurando Q-in-Q.

vNICs

Cada MVE pode ter até cinco vNICs. Um MVE VM-Series é criado com dois vNICs por padrão. Você pode adicionar até mais três, totalizando cinco.

Antes de especificar o número de vNICs no seu MVE:

• Esteja ciente de que o número de vNICs não pode ser alterado depois que um MVE tiver sido solicitado. Decida com antecedência quantos vNICs especificar ao criar o MVE.

• Consulte seu provedor de serviço para garantir que a funcionalidade não será afetada se você adicionar um vNIC.

Nota

Se você precisar mudar o número de vNICs depois que um MVE tiver sido solicitado, terá que cancelar e fazer um novo pedido do MVE.

Para mais informações, consulte Tipos de Conexões vNIC.