Copy for LLM ▼

Copy Page Content Open in ChatGPT Open in Claude Open in VS Code View Markdown

PDF

创建 VM-Series MVE

本主题介绍如何使用 VM-Series 下一代防火墙（NGFW）创建和配置 Megaport Virtual Edge（MVE）。您可以使用 VM-Series 来保护通过 MVE 的应用流量。

在开始之前，您需要具备具有订购权限的用户账户，以访问 Megaport Portal 和 VM-Series 防火墙。

有关设置 Megaport 账户的更多信息，请参阅 创建账户。

Palo Alto Networks 提供 VM-Series 文档，参见 VM-Series Tech Docs。

基本步骤

本节概述在 Megaport Portal 和 PAN-OS 中的配置步骤。详细步骤请参见后续章节。

基本步骤如下：

• 从 Palo Alto Networks 获取 VM-Series 许可证。
• 为 VM-Series 设置临时管理员密码。
• 生成用于认证的 SSH 公钥。
• 在 Megaport Portal 中创建 Palo Alto Networks VM-Series MVE。
  我们强烈建议在管理平面虚拟接口上预配一个 Megaport Internet 连接。
• 在 Megaport Portal 中查看 MVE 的公有 IP 地址分配。
• 允许安全的控制台访问到 VM-Series

许可

在 Megaport Portal 中创建 MVE 之前，您需要从 Palo Alto Networks 获取有效许可证。购买 VM-Series 防火墙后，您会通过电子邮件收到授权码。您将使用该授权码（Auth Code）将 MVE 向 Palo Alto Networks 注册。

从 Palo Alto Networks 获取 VM-Series 授权码（Auth Code）

1. 使用您的账户凭据登录 Palo Alto Networks Customer Support Portal。

2. 选择 Assets（资产）> VM-Series Auth-Codes（VM-Series 授权码）> Add VM-Series Auth-Code（添加 VM-Series 授权码）。

3. 在 Add VM-Series Auth-Code（添加 VM-Series 授权码） 字段中输入您通过电子邮件收到的授权码（Auth Code）。

4. 选中最右侧的复选框以保存。
   页面会显示已注册到您 Support 账户的授权码列表。

5. 若要查看所有已部署的资产，选择 Assets（资产）> Devices（设备）。

产品注册完成后，它会显示在 Palo Alto Networks 的 Registration Completion 页面。

下一步是生成用于认证的 SSH 密钥对。

对 MVE 的管理访问

您通过一对 SSH 公/私钥为 MVE/VM-Series 建立安全的管理与运维访问。公钥允许您通过 SSH 登录到 VM-Series，设置管理员密码并启用 HTTPS 访问。

Megaport 支持 2048 位 RSA 密钥类型。

生成 SSH 密钥对（Linux/Mac OSX）

• 运行 SSH keygen 命令：

   ssh-keygen -f ~/.ssh/megaport-mve-instance-1-2048 -t rsa -b 2048
  

该密钥生成命令会创建一对 SSH 密钥，并向您的 ~/.ssh 目录添加两个文件：

• megaport-mve-instance-1-2048 – 包含私钥。
• megaport-mve-instance-1-2048.pub – 包含被授权登录 Palo Alto Networks 账户的公钥。

生成 SSH 密钥对（Windows，使用 PuTTYgen）

1. 打开 PuTTYGen。
2. 在 Key 部分，选择 RSA 2048 bit，然后单击 Generate（生成）。
3. 在小窗口中随机移动鼠标以生成密钥对。
4. 输入密钥注释（key comment），用于标识该密钥。
   当您使用多把 SSH 密钥时，这将更便于区分。
5. 输入密钥口令（Key passphrase），并再次输入以确认。
   该口令用于保护您的密钥。通过 SSH 连接时系统会提示您输入该口令。
6. 单击 Save private key（保存私钥），选择保存位置，然后单击 Save（保存）。
7. 单击 Save public key（保存公钥），选择保存位置，然后单击 Save（保存）。

稍后您将在 Megaport Portal 中复制并粘贴公钥文件的内容，以将公钥分发到 Palo Alto Networks VM-Series 设备。您的私钥将与公钥匹配以授予访问权限。只有单个私钥可用于通过 SSH 访问 VM-Series。

在 Megaport Portal 中创建 MVE

创建 MVE 时，请选择支持 MVE 且与您的网络设计兼容的大都会区域位置。您可以将多个位置连接到同一个 MVE。有关位置详情的更多信息，请参阅 规划您的部署。

您可以在同一都会区内部署多个 MVE，以实现冗余或满足容量需求。作为创建 MVE 流程的一部分，您还将创建两个 Megaport Internet 连接。

创建 MVE

1. 在 Megaport Portal 中，进入 Services（服务） 页面。

2. 单击 Create MVE（创建 MVE）。
   

3. 选择 Palo Alto VM-Series。

4. 选择软件版本。

   MVE 将被配置为与该版本的 Palo Alto VM-Series 兼容。

5. 单击 Next（下一步）。

6. 指定 MVE 的详细信息：

   • Location（位置） – 选择 MVE 的部署位置。

     请选择在地理上靠近您的目标分支站点和/或本地数据中心的位置。

     您选择的国家必须是您已注册的市场。

     如果您尚未在将部署 MVE 的位置注册计费市场，请按照 启用计费市场 中的流程进行操作。

     您可以使用 Search（搜索） 字段查找目标 Port 的名称、国家、Metro 城市或地址。您也可以按多样性分区进行筛选。

   • Diversity Zone（多样性分区） – 选择一个多样性分区。

     您可以选择 Red 或 Blue，或选择 Auto 让 Megaport 为您分配分区。所选或分配的多样性分区将在后续预配流程的位置信息中显示，并在最后的 Summary 页面显示。
     更多信息，请参见 MVE 多样性。

   • Size（规格） – 从可用规格列表中选择。可用的规格以绿色高亮并标记为 “Available（可用）”。不同规格支持的并发连接数量不同，各合作伙伴产品的性能指标也略有差异。

     注意

     如果您想要的 MVE 规格未在列表中显示，则表示所选位置的容量不足。您可以选择另一个具有足够容量的位置，或联系您的客户经理讨论需求。

   • Minimum Term (最低合约期) – 选择 无最低合约期、12 个月、24 个月、36 个月、48 个月或 60 个月。期限越长，每月费率越低。12 个月 为默认选择。请注意屏幕上的信息，以避免提前终止费用（ETF）。

     对于合约期为 12、24、36、48 或 60 个月的服务，启用 最低合约期续订 选项，可在合约到期时以相同的折扣价格和合约期限自动续订。如果您不续签合约，在合约期结束时， 合约将在下一个计费周期自动转为按月合约，价格相同，但不含合约期折扣。

     更多信息，请参阅 MVE 定价与合约条款。

7. 单击 Next（下一步）。

8. 指定 Palo Alto VM-Series 专属设置：

   • License Data（许可证数据）（可选） – 指定 VM-Series 授权码（Auth Code，虚拟设备的有效许可证）。该授权码用于将 VM-Series MVE 实例在 Palo Alto Networks 注册。您可以在 Palo Alto Networks Support 门户中找到它。

   • Admin Password（管理员密码） – 指定一个临时管理员密码。密码至少 8 个字符，并且必须包含：
     - 1 个大写字母（A-Z）
     - 1 个小写字母（a-z）
     - 1 个数字（0-9）
     - 1 个符号

     注意

     Megaport 不会存储客户密码。

   • SSH Key（SSH 密钥） – 在此处复制并粘贴您的公钥内容。您可以在之前生成的 megaport-mve-instance-1-2048.pub 文件中找到该公钥。

   • Virtual Interfaces (vNICs)（虚拟接口 vNIC） – 每个 MVE 默认配置两个 vNIC，名称分别为“Management Plane”和“Data Plane”。要更改名称，请在文本框中直接覆盖。部署 MVE 之后，您也可以更改 vNIC 名称。

     您最多可为 MVE 添加 5 个 vNIC（包含默认添加的两个）。更多信息，请参阅 vNIC 连接类型。

     要添加 vNIC：

     • 单击 + Add（添加）。

       

     • 为 vNIC 输入名称。

       

     注意

     如果您希望在该 MVE 部署后增加或减少 vNIC 数量，您需要删除整个 MVE 并重新创建。无法在已部署的 MVE 上添加或删除 vNIC。

   • Megaport Marketplace – 默认情况下，每项服务仅对您的企业私有，并使用 Megaport 网络为您内部的公司、团队和资源提供服务。设置为私有时，该服务在 Megaport Marketplace 中不可搜索，但其他人仍可使用 service key 连接到您。Megaport Marketplace 的可见性在您的 Megaport Marketplace 个人资料中控制。要了解如何使您的服务在 Megaport Marketplace 中可见，请参阅 将服务添加到您的个人资料。

9. 单击 Next（下一步）。

10. 指定可选设置：

    • MVE Name（MVE 名称） – 为 MVE 输入一个易于识别的名称，尤其当您计划预配多个实例时。该名称将显示在 Megaport Portal 中。

      MVE 名称会基于位置名称自动生成，并显示在 Summary 页面。您可以输入自定义名称进行覆盖。

    • Service Level Reference (服务级别参考) （可选） – 为您的 Megaport 服务指定一个用于计费用途的唯一标识编号，例如成本中心编号、客户唯一 ID 或采购订单编号。该服务级别参考编号会显示在发票的产品部分的每个服务下。您也可以为现有服务编辑此字段。

    • Resource Tags (资源标签) – 您可以使用资源标签为 Megaport 服务添加您自己的参考元数据。
      要添加标签：

      1. 单击 Add Tags (添加标签)。
      2. 单击 Add New Tag (添加新标签)。
      3. 在各字段中输入详细信息：
         • Key (键) – 字符串最大长度 128。有效值为 a-z 0-9 _ : . / \ -
         • Value (值) – 字符串最大长度 256。有效值为 a-z A-Z 0-9 _ : . @ / + \ - (space)
      4. 单击 Save (保存)。

      如果该服务已存在资源标签，您可以单击 Manage Tags (管理标签) 进行管理。

      警告

      切勿在资源标签中包含敏感信息。敏感信息包括会返回现有标签定义的命令，以及可识别个人或公司的信息。

11. 在 Summary 页面确认配置和价格。

    月费取决于位置和规格。

12. 单击 Add MVE（添加 MVE）。

    系统将提示您创建一个 Megaport Internet 连接。Megaport Internet 连接提供连通性，使 MVE 能够注册并与 Palo Alto Networks 许可系统，以及可选的 Panorama 通信。

    

创建 Megaport Internet 连接

1. 单击 Create Megaport Internet（创建 Megaport Internet） 继续（推荐），或单击 Not now（暂不） 以稍后再预配互联网访问。

   注意

   MVE 需要在管理平面虚拟接口上具备到互联网的连通性。您可以预配一个 Megaport Internet 连接，或使用私有 VXC 配置第三方互联网连接。我们强烈建议您在 MVE 初始启动和部署时创建一个 Megaport Internet 连接，以确保 MVE 预配并正常运行。

2. 选择目标 Port（互联网路由器）。
   Megaport Internet 连接的 B 端可以位于任何提供 Megaport Internet 的地方。
   您可以使用 Search（搜索） 字段查找目标 Port 的名称、国家、Metro 城市或地址。您也可以按多样性分区进行筛选。

3. 单击 Next（下一步）。

4. 指定连接详细信息：

   • Connection Name（连接名称） – 在 Megaport Portal 中显示的 Megaport Internet 连接名称。
     作为最佳实践，建议在名称中包含 “Management Plane（管理平面）” 以便后续识别。

   • Service Level Reference (服务级别参考) （可选） – 为您的 Megaport 服务指定一个用于计费用途的唯一标识编号，例如成本中心编号、客户唯一 ID 或采购订单编号。该服务级别参考编号会显示在发票的产品部分的每个服务下。您也可以为现有服务编辑此字段。

     提示

     为 Megaport Internet 连接和 MVE 使用相同的 Service Level Reference 编号，以便在发票中匹配识别。

   • Rate Limit（速率上限） – 连接速率（单位：Mbps）。速率上限可自 20 Mbps 起配置，并可按 1 Mbps 递增扩展至数 Gbps 或更高。可用速率档位可能因位置和服务类型而异。创建 Megaport Internet 连接后，您可以根据需要调整速率。月度计费详情将基于位置和速率上限显示。

   • VXC State（VXC 状态） – 选择 Enabled（已启用） 或 Shut Down（关机） 以定义连接的初始状态。更多信息，请参阅 为故障切换测试关闭 VXC。

     注意

     如果您选择 Shut Down（关机），流量将不会通过此服务，并且该连接在 Megaport 网络中将表现为中断状态。此服务的计费仍将保持有效，您仍会为该连接付费。

   • A-End vNIC（A 端 vNIC） – 从下拉列表中选择 vNIC-0 Management Plane。

     重要

     连接到“管理虚拟接口”的互联网连接仅用于许可、更新、与 Panorama 通信等管理用途。如果您需要在分支、用户和/或云之间传递互联网流量，您需要在“数据平面虚拟接口”上创建第二个 Megaport Internet 连接。更多信息，请参阅 在数据平面虚拟接口上创建第二个 Megaport Internet 连接。

   • Preferred A-End VLAN（首选 A 端 VLAN）（可选） – 单击 Untag（去标记） 以移除 VLAN 标记，并允许首次以管理员身份登录到设备。

   • Minimum Term (最低合约期) – 选择 无最低合约期、12 个月、24 个月、36 个月、48 个月或 60 个月。期限越长，每月费率越低。12 个月 为默认选择。请注意屏幕上的信息，以避免提前终止费用（ETF）。

     对于合约期为 12、24、36、48 或 60 个月的服务，启用 最低合约期续订 选项，可在合约到期时以相同的折扣价格和合约期限自动续订。如果您不续签合约，在合约期结束时， 合约将在下一个计费周期自动转为按月合约，价格相同，但不含合约期折扣。

     更多信息，请参阅 Megaport Internet 定价与合约条款 和 VXC、Megaport Internet 与 IX Billing。

   • Resource Tags (资源标签) – 您可以使用资源标签为 Megaport 服务添加您自己的参考元数据。
     要添加标签：

     1. 单击 Add Tags (添加标签)。
     2. 单击 Add New Tag (添加新标签)。
     3. 在各字段中输入详细信息：
        • Key (键) – 字符串最大长度 128。有效值为 a-z 0-9 _ : . / \ -
        • Value (值) – 字符串最大长度 256。有效值为 a-z A-Z 0-9 _ : . @ / + \ - (space)
     4. 单击 Save (保存)。

     如果该服务已存在资源标签，您可以单击 Manage Tags (管理标签) 进行管理。

     警告

     切勿在资源标签中包含敏感信息。敏感信息包括会返回现有标签定义的命令，以及可识别个人或公司的信息。

   

5. 单击 Next（下一步） 以进入连接详情摘要页面。

6. 单击 Add VXC（添加 VXC） 以订购该连接。
7. 在 Configured Services 区域单击 Review Order（审核订单）。
8. 如果您有促销码，单击 Add Promo Code（添加促销码），输入后单击 Add Code（添加代码）。
9. 单击 Order Now（立即下单）。

注意

如果防火墙需要与各分支交换互联网流量，则需要第二个 Megaport Internet 连接。每个数据平面 Megaport Internet 连接都会获得唯一的公有 IP 地址。

在数据平面虚拟接口上创建第二个 Megaport Internet 连接

1. 在 Megaport Portal 中，进入 Services（服务） 页面。

2. 在 Palo Alto Networks MVE 上单击 +Connection（+ 连接）
   

3. 选择 Megaport Internet。
   

4. 选择目标 Port（互联网路由器）。
   Megaport Internet 连接的 B 端可以位于任何提供 Megaport Internet 的地方。
   您可以按多样性分区筛选，或选择查看全部。

5. 单击 Next（下一步）。

6. 指定连接详细信息：

   • Connection Name（连接名称） – 在 Megaport Portal 中显示的数据平面 Megaport Internet 连接名称。作为最佳实践，建议在名称中包含 “Data Plane（数据平面）” 以便后续识别。

   • Service Level Reference (服务级别参考) （可选） – 为您的 Megaport 服务指定一个用于计费用途的唯一标识编号，例如成本中心编号、客户唯一 ID 或采购订单编号。该服务级别参考编号会显示在发票的产品部分的每个服务下。您也可以为现有服务编辑此字段。

   • Rate Limit（速率上限） – 连接速率（单位：Mbps）。该速率自 20 Mbps 起可按 1 Mbps 递增进行调整。最大可用速率取决于位置和服务可用性。创建 Megaport Internet 连接后，您可以根据需要调整速率。月度计费详情将基于位置和速率上限显示。

   • VXC State（VXC 状态） – 选择 Enabled（已启用） 或 Shut Down（关机） 以定义连接的初始状态。更多信息，请参阅 为故障切换测试关闭 VXC。

     注意

     如果您选择 Shut Down（关机），流量将不会通过此服务，并且该连接在 Megaport 网络中将表现为中断状态。此服务的计费仍将保持有效，您仍会为该连接付费。

   • A-End vNIC（A 端 vNIC） – 从下拉列表中选择 vNIC-1 Data Plane。

   • Preferred A-End VLAN（首选 A 端 VLAN）（可选） – 为此连接指定一个未使用的 VLAN ID。
     该 VLAN ID 必须在此 MVE 上唯一，范围为 2 到 4093。如果您指定了已在使用的 VLAN ID，系统会显示下一个可用的 VLAN 编号。VLAN ID 必须唯一才能继续下单。如果您未指定，Megaport 将分配一个。

     或者，您可以单击 Untag（去标记）。这将移除此连接的 VLAN 标记，并在无 VLAN ID 的情况下进行配置。

   • Minimum Term (最低合约期) – 选择 无最低合约期、12 个月、24 个月、36 个月、48 个月或 60 个月。期限越长，每月费率越低。12 个月 为默认选择。请注意屏幕上的信息，以避免提前终止费用（ETF）。

     对于合约期为 12、24、36、48 或 60 个月的服务，启用 最低合约期续订 选项，可在合约到期时以相同的折扣价格和合约期限自动续订。如果您不续签合约，在合约期结束时， 合约将在下一个计费周期自动转为按月合约，价格相同，但不含合约期折扣。

     更多信息，请参阅 Megaport Internet 定价与合约条款 和 VXC、Megaport Internet 与 IX Billing。

   • Resource Tags (资源标签) – 您可以使用资源标签为 Megaport 服务添加您自己的参考元数据。
     要添加标签：

     1. 单击 Add Tags (添加标签)。
     2. 单击 Add New Tag (添加新标签)。
     3. 在各字段中输入详细信息：
        • Key (键) – 字符串最大长度 128。有效值为 a-z 0-9 _ : . / \ -
        • Value (值) – 字符串最大长度 256。有效值为 a-z A-Z 0-9 _ : . @ / + \ - (space)
     4. 单击 Save (保存)。

     如果该服务已存在资源标签，您可以单击 Manage Tags (管理标签) 进行管理。

     警告

     切勿在资源标签中包含敏感信息。敏感信息包括会返回现有标签定义的命令，以及可识别个人或公司的信息。

   

7. 单击 Next（下一步） 以进入连接详情摘要页面，单击 Add VXC（添加 VXC），并下单订购该连接。
   

8. 单击 Review Order（审核订单）。
   

9. 如果您有促销码，单击 Add Promo Code（添加促销码），输入后单击 Add Code（添加代码）。
10. 单击 Order Now（立即下单）。

订购 MVE 会预配实例并从 Megaport SDN 分配 IP 地址。Palo Alto Networks MVE 的预配时间因版本以及您是否提供许可证授权码而异。MVE 的预配过程最长可能需要 15 分钟，之后您即可登录并继续配置。

从 Megaport Portal 订购 MVE 之后，您可以使用 Palo Alto Networks Panorama 来管理防火墙。

在 Megaport Portal 中查看 MVE

创建 MVE 后，您可以在 Megaport Portal 的 Services 页面中查看它。您还可以查看已分配的公有 IP 地址。

在 Megaport Portal 中查看 MVE

• 转到 Services（服务） 页面

Megaport Internet 图标在 Megaport Portal 中与标准 VXC 图标不同，如图所示。

有关 Services 页面的更多信息，请参阅 了解 Services 页面。

查看分配给 MVE 的公有 IP 地址

1. 单击管理平面 Megaport Internet 连接旁的齿轮图标 。
   将出现 Connection Configuration 界面。在此您可以修改任何 Megaport Internet 连接详情。
   
2. 选择 Details（详细信息） 选项卡。
   
3. 找到公有 IP 地址（IPv4 或 IPv6）。
   这些是分配给 MVE 的公有 IP 地址。

更新管理员密码

接下来，您将把在 Megaport Portal 中设置的临时密码替换为新的安全密码。

更新管理员密码

1. 使用您在 Megaport Portal 中设置的临时管理员密码登录 Palo Alto Networks 系统。
2. 选择 Device（设备）> Administrators（管理员）。
3. 选择 admin 用户。
   
4. 输入旧的临时密码、新的安全密码，并确认新密码。
   
5. 单击 OK（确定）。
6. 选择 Config（配置）> Save Changes（保存更改）。

配置数据平面接口

接下来，您将配置数据平面接口并为其分配接口类型。

配置数据平面接口

1. 选择 Network（网络）> Interfaces（接口）。
2. 在 Interface 列中选择 ethernet1/1。
   
3. 从 Interface Type 下拉列表中选择 Layer3。
   
4. 单击 OK（确定）。
5. 选中 “ethernet1/1” 行，并单击屏幕底部的 Add Subinterface（添加子接口）
   

6. 提供以下信息：

   • Interface Name（接口名称） – 为子接口输入名称。在相邻字段中输入用于标识子接口的编号。

   • Comment（备注） – 输入备用名称。

   • Tag（标记） – 指定与 Megaport Internet 目标 Port 关联的 A 端 VLAN 值。

   • Virtual Router（虚拟路由器） – 根据您的网络需要，为该接口选择虚拟路由器。
     

7. 选择 IPv4 选项卡。

8. 将 Type（类型）选择为 DHCP Client（DHCP 客户端）。
9. 单击 OK（确定）。
10. 单击右上角的 Commit（提交）。
    
11. 查看更改并单击 Commit（提交）
    

后续步骤

当 MVE 处于 Active 状态并完成预配后，下一步是将 VXC 连接到云服务商（CSP）、本地 端口或第三方网络。您也可以通过私有 VXC 将物理 Port 连接到 MVE，或在 Megaport Marketplace 中连接到服务提供商。

更多信息，请参阅 创建 VXC。