跳转至
Megaport 技术文档
规划部署
Copy for LLM ▼
Copy Page Content Open in ChatGPT Open in Claude Open in VS Code View Markdown
PDF

规划 Palo Alto Networks Prisma MVE 部署

本文概述了预配流程,并说明了 Megaport Virtual Edge (MVE) 的部署注意事项。

Palo Alto Networks Prisma SD-WAN

Palo Alto Networks Prisma SD-WAN 是下一代 SD-WAN 解决方案,具备自治、应用定义和云交付特性。Prisma SD-WAN 可在不增加成本和复杂性的情况下,帮助您保护并连接您的分支机构和数据中心。

Palo Alto Networks Prisma 侧重以下关键功能:

  • 增强的网络灵活性与可扩展性 – 根据实时业务需求向上或向下扩展网络容量,而无需进行物理基础设施变更。

  • 优化的云连接 – 简化对多个云服务提供商的访问,同时确保数据与网络流量采用最优路径,以降低时延并提升应用性能。

  • 稳健的安全性 – 确保关键数据与设备(包括 IoT 设备)通过端到端加密与高级威胁防护得到保护。

  • 精简的网络管理 – 借助适用于 Prisma SD-WAN 的 Strata Cloud Manager 获取全网可视性,同时降低复杂度。

  • 智能带宽管理 – 通过灵活的带宽分配高效优化资源,避免不必要的开支或闲置容量,从而降低成本。

Megaport 支持以下 Prisma SD-WAN 软件型号:

  • 310xv(包括 3108v、3104v 和 3102v)(适用于远程分支)

  • 7108v(适用于数据中心)

部署注意事项

本节概述 MVE 的部署选项与功能。

有关 Palo Alto Networks Prisma 专属设置的信息,请参见 Prisma SD-WAN and Megaport Virtual Edge Solution Guide

SD-WAN 供应商

MVE 与 Palo Alto Networks 集成,后者使用 Strata Cloud Manager 控制台(Prisma SD-WAN)来创建私有覆盖网络。

有关 MVE 平台上所有受支持的 NFVsMVE 是一个按需、供应商中立的网络功能虚拟化 (NFV) 平台,可在 Megaport 的全球软件定义网络 (SDN) 的边缘为网络服务提供虚拟基础设施。 通过 Megaport Virtual Edge,SD-WAN 和 NGFW 等网络技术直接托管在 Megaport 的全球网络上。
,请参见 Megaport Virtual Edge (MVE) product page

MVE 位置

要查看可连接到 MVE 的全球位置列表,请参见 Megaport Virtual Edge 位置

选择合适的 MVE 实例规格

实例规格决定 MVE 的能力,例如可支持的并发连接数量。

选择 MVE 实例规格时,请注意以下事项:

  • 任何网络数据流负载的增加都可能降低性能。例如,建立基于 IPsec 的安全隧道、添加流量路径引导,或使用深度包检测(DPI)都会影响最大吞吐速率。

  • 未来的网络扩展计划。

要检查在您的部署中可用的 MVE 实例规格,请在 MVE 设置过程中使用 Megaport Portal。实例规格的可用性取决于所选供应商与部署位置,并可能因此有所不同。Megaport Portal 会显示适用于您所选供应商和位置的可用规格。

在 Megaport Portal 中查看 MVE 实例规格的方法

  1. Megaport Portal 中,转到 Services (服务) 页面。

  2. 单击 Create MVE (创建 MVE)
    Create MVE 按钮

  3. 选择 所需的 Palo Alto Prisma SD-WAN 产品

  4. 选择软件版本。

  5. 单击 Next (下一步)

  6. 选择一个 MVE 位置。

    选择一个在地理位置上靠近目标分支和/或本地位置的站点。

    您可以使用 Search (搜索) 字段查找目标 Port 的 Port name、国家、都市圈城市或地址。您也可以按多样性区域进行筛选。

  7. 将根据所选位置显示可用的实例规格列表。可用规格以绿色高亮,并标记为 Available (可用)。不同规格支持的并发连接数量不同,且各合作伙伴产品的指标略有差异。

    注意

    如果您想要的 MVE 规格不在列表中,则表示所选位置的容量不足。您可以选择另一个具有足够容量的位置,或联系您的客户经理讨论需求。

如果将来需要更多 MVE 容量怎么办?

要提高 MVE 容量,您有以下选项:

  • 您可以再预配一个 MVE 实例,将其加入您的覆盖网络,并在两个 MVE 之间分担工作负载。

  • 您可以预配更大的 MVE 实例,将其加入您的覆盖网络,将旧 MVE 的连接迁移到新的更大 MVE,然后退役旧 MVE。

如果您需要更多内核(vCPU),可以选择:

  • 创建一个具有更多内核的新 MVE,并终止旧实例(此选项需要您重新配置防火墙)。
  • 创建一个新的 MVE 作为第二台防火墙,以分担第一台防火墙的容量。

您可以随时调整 Megaport Internet 带宽,而无需拆除虚拟机。

安全

MVE 为启用互联网的分支位置与 Megaport SDN 上的任意端点或服务提供商之间提供安全的容量。由 CSP 托管的合作伙伴 SD-WAN 产品实例将关键流量通过 Megaport SDN 转送,降低对互联网的依赖。流量在通过 Megaport SDN 往返 MVE 的过程中始终保持加密,并受您的策略控制。

许可

您需要为计划通过 MVE 部署的型号自备 Prisma 许可证。对于在 Megaport 网络上创建的端点,确保具备相应许可证由您自行负责。

要在 Megaport Portal 中创建 Palo Alto Networks Prisma MVE,您还需要由 Palo Alto Networks 提供的有效 ION Key 和 Secret Key(授权令牌)。令牌由 Palo Alto Networks 客户管理员通过 Strata Cloud Manager console 生成。令牌可以是一次性或多次使用,有效期为 96 小时,并会在部署过程中分配给虚拟设备。

有关更多信息,请参阅 Prisma SD-WAN Administrator’s Guide

VLAN 标记

Megaport 使用 Q-in-Q802.1Q 隧道(也称为 Q-in-Q 或 802.1ad)是一种 OSI 第 2 层服务提供商在为客户提供服务时使用的技术。802.1ad 支持 内层外层 两种标签,其中 外层(有时称为面向服务提供商的 S-tag)可以被移除,以显露 内层(C-tag 或客户)标签,用于对数据进行分段。
 区分同一宿主硬件系统上的 VXC 与 MVE。租户 MVE 在面向互联网的链路上接收未打标签的流量,在指向 Megaport 网络上其他目的地(例如 CSP 接入点或其他 MVE)的 VXC 上接收单标签 802.1Q 流量。有关更多信息,请参见 配置 Q-in-Q

vNICs

每个 MVE 最多可以拥有 5 个 vNIC。Prisma SD-WAN 3108v、3104v 和 3102v MVE 默认创建为 4 个 vNIC,而 7108v MVE 默认创建为 3 个 vNIC。

在为 MVE 指定 vNIC 数量之前:

  • 请注意,下单 MVE 后,vNIC 数量无法更改。在创建 MVE 时,请预先确定要指定的 vNIC 数量。

  • 请咨询您的服务提供商,确保在添加 vNIC 时不会影响功能。

注意

如果在下单 MVE 之后需要更改 vNIC 数量,您必须先取消并重新订购该 MVE。

有关更多信息,请参见 vNIC 连接类型