跳转至
Megaport 技术文档
创建 MVE
Copy for LLM ▼
Copy Page Content Open in ChatGPT Open in Claude Open in VS Code View Markdown
PDF

创建与 Check Point 集成的 MVE

本主题介绍如何使用 Check Point 创建并配置 Megaport Virtual Edge(MVE)。

注意

Check Point 的架构与许多其他防火墙厂商不同。

Check Point 使用集中式的安全管理服务器(策略服务器)来管理和配置其安全网关,包括 MVE。安全管理服务器定义安全策略并将其分发到网关,由网关负责执行这些策略。

初始访问和管理

  • 使用 vNIC 0 与设备进行初始通信。
  • 将 vNIC 0 配置为无标签,以便进行首次管理员登录。
  • Check Point 防火墙默认禁用 Internet 控制消息协议(ICMP)。在部署后无法立即使用 ping 或其他基于 ICMP 的工具验证连通性。
  • 当 MVE 上线后,请使用 SSH 或 HTTPS 登录。

策略与高级配置

  • 使用 Check Point Smart Console 进行高级配置和策略管理。在创建或发布防火墙策略之前,必须先完整配置 Smart Console。
  • 部署管理网关(安全管理服务器)以定义并分发防火墙策略。您可以在任何 CSP 环境中部署该管理网关。

有关自动化 Check Point CloudGuard 部署的信息,请参阅 CloudGuard Network Security - How to configure cloud-init automationHow to provide user data in KVM with Configuration Drive

基本步骤

本节概述使用 Megaport Portal 的配置步骤。基本步骤的详细过程在后续章节中提供。

基本步骤如下:

  • 从 Check Point 获取许可证。
  • 在 Megaport Portal 中创建 Check Point MVE。Check Point 的架构与其他许多防火墙厂商不同,它使用集中式 Security Management Server(Policy Server)来管理和配置其 Security Gateways。
  • 确保已在 Check Point 门户上建立连接。

生成 SSH 密钥对

你通过公钥/私钥 SSH 密钥对连接你的 MVE,以建立安全连接。公钥 SSH 密钥允许你使用 SSH 访问 MVE。

Megaport 支持 2048 位 RSA 密钥类型。

生成 SSH 密钥对(Linux/Mac OSX)

  • 在终端中输入 SSH keygen 命令。
     ssh-keygen -f ~/.ssh/megaport-mve-instance-1-2048 -t rsa -b 2048

该密钥生成命令会创建一个 SSH 密钥对,并在你的 ~/.ssh 目录中添加两个文件:

  • megaport-mve-instance-1-2048 - 包含私钥。
  • megaport-mve-instance-1-2048.pub - 包含被授权登录供应商账户的公钥。

生成 SSH 密钥对(Windows,使用 PuTTYgen

  1. 打开 PuTTYgen。
  2. 在 Key 部分,选择 RSA 2048 位,并单击 Generate (生成)
  3. 在小窗口中随机移动鼠标以生成密钥对。
  4. 输入密钥注释以标识该密钥。
    当你使用多个 SSH 密钥时,这样做会更方便。
  5. 输入密钥口令,并再次输入以确认。
    该口令用于保护你的密钥。通过 SSH 连接时会提示你输入该口令。
  6. 单击 Save private key (保存私钥),选择保存位置,然后单击 Save (保存)
  7. 单击 Save public key (保存公钥),选择保存位置,然后单击 Save (保存)

稍后你将在 Megaport Portal 中复制并粘贴公钥文件的内容,以将公钥分发到 MVE。你的私钥将与公钥匹配以授予访问权限。只有单个私钥具有对 MVE 的 SSH 访问权限。

在 Megaport Portal 中创建 MVE

创建 MVE 时,请选择支持 MVE 且与您的网络设计兼容的大都会区域中的位置。您可以将多个位置连接到单个 MVE。有关位置详情的更多信息,请参见 规划您的部署

您可以在同一大都会区域内部署多个 MVE,以实现冗余或满足容量需求。

创建 MVE 的步骤

  1. Megaport Portal 中,转到 Services(服务) 页面。

  2. 单击 Create MVE(创建 MVE)
    “Create MVE” 按钮

  3. 选择 Check Point CloudGuard Network(Check Point CloudGuard 网络)

  4. 选择软件版本。

    将根据所选版本配置 MVE 以兼容该 Check Point CloudGuard 版本。

  5. 单击 Next(下一步)

  6. 指定 MVE 详细信息:

    • Location(位置) – 选择 MVE 的位置。

      选择在地理上靠近您的目标分支机构和/或本地位置的位置。

      您选择的国家/地区必须属于您已注册的计费市场。

      如果您尚未在将部署 MVE 的位置注册计费市场,请按照 启用计费市场 中的步骤操作。

      您可以使用 Search(搜索) 字段查找目标 Port 的名称、国家/地区、都会城市或地址。您也可以按多样性区域进行筛选。

    • Diversity Zone(多样性区域) – 选择一个多样性区域。

      您可以选择 Red 或 Blue,或者选择 Auto 由 Megaport 为您选择分区。所选或分配的多样性区域将在后续整个供应流程中的位置详情,以及最后的摘要页面上显示。
      有关更多信息,请参见 MVE 多样性

    • Size(规格) – 从可用规格列表中选择。可用的规格以绿色突出显示,并标记为 Available(可用)。不同规格支持的并发连接数不同,且各合作伙伴产品的指标略有差异。

      注意

      如果所需的 MVE 规格未在列表中显示,则表示所选位置的容量不足。您可以选择具有足够容量的其他位置,或联系您的客户经理讨论需求。

    • Minimum Term (最低合约期) – 选择 无最低合约期、12 个月、24 个月、36 个月、48 个月或 60 个月。期限越长,每月费率越低。12 个月 为默认选择。请注意屏幕上的信息,以避免提前终止费用(ETF)。

      对于合约期为 12、24、36、48 或 60 个月的服务,启用 最低合约期续订 选项,可在合约到期时以相同的折扣价格和合约期限自动续订。如果您不续签合约,在合约期结束时, 合约将在下一个计费周期自动转为按月合约,价格相同,但不含合约期折扣。

      有关更多信息,请参见 MVE 定价与合同条款

  7. 单击 Next(下一步)

  8. 指定 Check Point CloudGuard 专属设置:

    • Admin Password(管理员密码) – 指定一个临时管理员密码,用于访问虚拟设备。密码最少 8 个字符,且必须包含:

      • 1 个大写字母 (A-Z)
      • 1 个小写字母 (a-z)
      • 1 个数字 (0-9)
      • 1 个符号

      请妥善保管管理员密码,不要与任何人共享。您可以在首次登录已配置的设备时重置管理员密码。

      注意

      Megaport 不会存储客户密码。

    • SSH Key(SSH 密钥) – 在此处复制并粘贴您的 SSH 公钥内容。您可以在之前生成的 megaport-mve-instance-1-2048.pub 文件中找到该公钥。

    • Virtual Interfaces (vNICs)(虚拟接口 (vNICs)) – 每个 Check Point MVE 都预配置了一个名为 Data Plane 的 vNIC。要更改名称,请在框内直接覆盖该名称。MVE 部署后,您也可以稍后更改 vNIC 名称。

    • Megaport Marketplace – 默认情况下,每项服务仅对您的企业私有,并使用 Megaport 网络为您公司的内部团队和资源提供服务。设置为私有时,该服务在 Megaport Marketplace 中不可搜索,但其他人仍可使用服务密钥连接到您。Megaport Marketplace 的可见性由您的 Megaport Marketplace 个人资料控制。有关如何使您的服务在 Megaport Marketplace 中可见的更多信息,请参见将服务添加到您的个人资料

  9. 单击 Next(下一步)

  10. 指定可选设置:

    • MVE Name(MVE 名称) – 输入一个易于识别的 MVE 名称,尤其是在计划置备多个时。该名称将显示在 Megaport Portal 中。

      MVE 名称会根据位置名称自动生成,并显示在摘要页面上。您可以通过输入自定义名称进行覆盖。

    • Service Level Reference (服务级别参考) (可选) – 为您的 Megaport 服务指定一个用于计费用途的唯一标识编号,例如成本中心编号、客户唯一 ID 或采购订单编号。该服务级别参考编号会显示在发票的产品部分的每个服务下。您也可以为现有服务编辑此字段。

    • Resource Tags (资源标签) – 您可以使用资源标签为 Megaport 服务添加您自己的参考元数据。
      要添加标签:

      1. 单击 Add Tags (添加标签)
      2. 单击 Add New Tag (添加新标签)
      3. 在各字段中输入详细信息:
        • Key (键) – 字符串最大长度 128。有效值为 a-z 0-9 _ : . / \ -
        • Value (值) – 字符串最大长度 256。有效值为 a-z A-Z 0-9 _ : . @ / + \ - (space)
      4. 单击 Save (保存)

      如果该服务已存在资源标签,您可以单击 Manage Tags (管理标签) 进行管理。

      警告

      切勿在资源标签中包含敏感信息。敏感信息包括会返回现有标签定义的命令,以及可识别个人或公司的信息。

  11. 在摘要页面确认配置和定价。

    月费取决于位置和规格。

  12. 单击 Add MVE(添加 MVE)

    系统会提示您创建 Megaport Internet 连接。Megaport Internet 连接提供连通性,并允许 MVE 向 Check Point CloudGuard 注册并与其通信。覆盖网络由 Check Point CloudGuard 创建并维护,用于从分支位置提供安全隧道。
    创建 Megaport Internet 连接

创建 Megaport Internet 连接

  1. 单击 Create Megaport Internet(创建 Megaport Internet) 继续(推荐),或者单击 Not now(暂不),稍后再置备互联网接入。

    注意

    MVE 需要在管理平面虚拟接口上连通到互联网。您可以置备 Megaport Internet 连接,或使用私有 VXC 配置第三方互联网连接。我们强烈建议在首次启动和部署 MVE 时创建 Megaport Internet 连接,以确保 MVE 正确置备并正常工作

  2. 选择目标 Port(互联网路由器)。
    Megaport Internet 连接的 B 端可以位于 Megaport Internet 可用的任何位置。
    您可以使用 Search(搜索) 字段查找目标 Port 的名称、国家/地区、都会城市或地址。您也可以按多样性区域进行筛选。

  3. 单击 Next(下一步)

  4. 指定连接详细信息:

    • Connection Name(连接名称) – 在 Megaport Portal 中显示的 Megaport Internet 连接名称。

    • Service Level Reference (服务级别参考) (可选) – 为您的 Megaport 服务指定一个用于计费用途的唯一标识编号,例如成本中心编号、客户唯一 ID 或采购订单编号。该服务级别参考编号会显示在发票的产品部分的每个服务下。您也可以为现有服务编辑此字段。

      提示

      为 Megaport Internet 连接和 MVE 使用相同的 Service Level Reference 编号,以便在账单中匹配识别。

    • Rate Limit(速率限制) – 您的连接速率,单位为 Mbps。速率限制可从 20 Mbps 起配置,并可按 1 Mbps 递增扩展至数个 Gbps 或更高。可用速率阶梯可能因位置和服务类型而异。创建 Megaport Internet 连接后,您可以按需更改速率。系统将基于位置和速率限制显示月度计费详情。

    • VXC State(VXC 状态) – 选择 Enabled(已启用)Shut Down(关机) 以定义连接的初始状态。有关更多信息,请参见 为故障转移测试关闭 VXC

      注意

      如果选择 Shut Down(关机),流量将不会通过该服务,并会在 Megaport 网络上表现为中断。但该服务的计费仍然有效,您仍需为此连接支付费用。

    • Preferred A-End VLAN(首选 A 端 VLAN)(可选) – 单击 Untag(去标签) 以移除 VLAN 标记,并允许对设备进行首次管理员登录。

    • Minimum Term (最低合约期) – 选择 无最低合约期、12 个月、24 个月、36 个月、48 个月或 60 个月。期限越长,每月费率越低。12 个月 为默认选择。请注意屏幕上的信息,以避免提前终止费用(ETF)。

      对于合约期为 12、24、36、48 或 60 个月的服务,启用 最低合约期续订 选项,可在合约到期时以相同的折扣价格和合约期限自动续订。如果您不续签合约,在合约期结束时, 合约将在下一个计费周期自动转为按月合约,价格相同,但不含合约期折扣。

      有关更多信息,请参见 Megaport Internet 定价与合同条款VXC、Megaport Internet 与 IX 计费

    • Resource Tags (资源标签) – 您可以使用资源标签为 Megaport 服务添加您自己的参考元数据。
      要添加标签:

      1. 单击 Add Tags (添加标签)
      2. 单击 Add New Tag (添加新标签)
      3. 在各字段中输入详细信息:
        • Key (键) – 字符串最大长度 128。有效值为 a-z 0-9 _ : . / \ -
        • Value (值) – 字符串最大长度 256。有效值为 a-z A-Z 0-9 _ : . @ / + \ - (space)
      4. 单击 Save (保存)

      如果该服务已存在资源标签,您可以单击 Manage Tags (管理标签) 进行管理。

      警告

      切勿在资源标签中包含敏感信息。敏感信息包括会返回现有标签定义的命令,以及可识别个人或公司的信息。

    Megaport Internet 连接详情

  5. 单击 Next(下一步) 进入连接详情摘要。

  6. 单击 Add VXC(添加 VXC) 以订购该连接。
  7. 在 Configured Services 区域中单击 Review Order(查看订单)
  8. 如果您有促销码,单击 Add Promo Code(添加促销码),输入后单击 Add Code(添加代码)
  9. 单击 Order Now(立即下单)

订购 MVE 会置备该设备,并从 Megaport SDN 分配 IP 地址。MVE 的置备仅需几分钟即可完成。置备过程会启动一个 Check Point CloudGuard 实例。

后续步骤

当 MVE 置备完成并处于 Active 状态后,下一步是将 VXC 连接到云服务提供商 (CSP)、本地端口或第三方网络。您还可以通过专用 VXC 将物理 Port 连接到 MVE,或连接到 Megaport Marketplace 中的服务提供商。

有关更多信息,请参见 创建 VXC