Copy for LLM ▼

Copy Page Content Open in ChatGPT Open in Claude Open in VS Code View Markdown

PDF

建立 VM-Series MVE

本主題說明如何使用 VM-Series 新世代防火牆 (NGFW) 建立與設定 Megaport Virtual Edge（MVE）。您可以使用 VM-Series 來保護經由 MVE 流動的應用程式流量。

在開始之前，您需要具有下單權限的使用者帳戶，以存取 Megaport Portal 與 VM-Series 防火牆。

如需設定 Megaport 帳戶的詳細資訊，請參閱 建立帳戶。

Palo Alto Networks 提供 VM-Series 文件於 VM-Series Tech Docs。

基本步驟

本節概述在 Megaport Portal 與 PAN-OS 中的設定步驟。詳細程序將在此基本步驟摘要之後提供。

基本步驟如下：

• 向 Palo Alto Networks 取得 VM-Series 授權。
• 為 VM-Series 設定暫時的管理者密碼。
• 產生 SSH 公鑰以供驗證。
• 在 Megaport Portal 中建立 Palo Alto Networks VM-Series MVE。
  我們強烈建議您在管理平面虛擬介面上佈建一條 Megaport Internet 連線。
• 在 Megaport Portal 中檢視 MVE 的公有 IP 位址指派。
• 允許以安全方式存取 VM-Series 主控台

授權

在 Megaport Portal 中建立 MVE 之前，您需要從 Palo Alto Networks 取得有效授權。購買 VM-Series 防火牆後，您會透過電子郵件收到一組授權碼。您將使用此授權碼（Auth Code）向 Palo Alto Networks 註冊 MVE。

若要從 Palo Alto Networks 取得 VM-Series 授權碼

1. 使用您的帳戶認證登入 Palo Alto Networks Customer Support Portal。

2. 選擇 Assets > VM-Series Auth-Codes > Add VM-Series Auth-Code。

3. 在 Add VM-Series Auth-Code（新增 VM-Series 授權碼） 欄位中輸入您透過電子郵件收到的 Auth Code。

4. 在最右側勾選核取方塊以儲存。
   頁面會顯示已註冊到您支援帳戶的 Auth Code 清單。

5. 若要檢視所有已部署的資產，選擇 Assets > Devices。

產品完成註冊後，會顯示在 Palo Alto Networks 的 Registration Completion 頁面上。

下一步是產生 SSH 金鑰組以供驗證。

MVE 的管理存取

您會透過公開/私密 SSH 金鑰組建立到 MVE/VM-Series 的管理與系統管理存取，以進行安全連線。公開 SSH 金鑰可讓您以 SSH 連線至 VM-Series，並設定管理者密碼與啟用 HTTPS 存取。

Megaport 支援 2048-bit RSA 金鑰類型。

產生 SSH 金鑰組（Linux/Mac OSX）

• 執行 SSH keygen 指令：

   ssh-keygen -f ~/.ssh/megaport-mve-instance-1-2048 -t rsa -b 2048
  

金鑰產生器指令會建立一組 SSH 金鑰，並在您的 ~/.ssh 目錄中新增兩個檔案：

• megaport-mve-instance-1-2048 – 包含私鑰。
• megaport-mve-instance-1-2048.pub – 包含可用於登入 Palo Alto Networks 帳戶的授權公鑰。

產生 SSH 金鑰組（Windows，使用 PuTTYgen）

1. 開啟 PuTTYGen。
2. 在 Key 區段中，選擇 RSA 2048 bit，然後按一下 Generate（產生）。
3. 在小視窗中隨意移動滑鼠以產生金鑰組。
4. 輸入金鑰註解，以識別此金鑰。
   當您使用多把 SSH 金鑰時，這會很方便。
5. 輸入金鑰密語，並再次輸入以確認。
   此密語用於保護您的金鑰。當您透過 SSH 連線時，系統會要求您輸入該密語。
6. 按一下 Save private key（儲存私鑰），選擇位置，然後按一下 Save（儲存）。
7. 按一下 Save public key（儲存公鑰），選擇位置，然後按一下 Save（儲存）。

稍後您將在 Megaport Portal 中複製並貼上公鑰檔案的內容，以將公鑰散佈至 Palo Alto Networks VM-Series 裝置。您的私鑰會與公鑰相符以授予存取權。只有單一私鑰可透過 SSH 存取 VM-Series。

在 Megaport Portal 中建立 MVE

建立 MVE 時，請選擇支援 MVE 且與您的網路設計相容的大都會區位置。您可以將多個位置連線到單一 MVE。如需位置詳細資料，請參閱 規劃您的部署。

您可以在同一大都會區內部署多個 MVE，以滿足備援或容量需求。 作為建立 MVE 流程的一部分，您也會建立兩條 Megaport Internet 連線。

建立 MVE

1. 在 Megaport Portal 中，前往 Services（服務） 頁面。

2. 按一下 Create MVE（建立 MVE）。
   

3. 選取 Palo Alto VM-Series。

4. 選取軟體版本。

   此 MVE 將會設定為與該版本的 Palo Alto VM-Series 相容。

5. 按一下 Next（下一步）。

6. 指定 MVE 詳細資料：

   • Location（位置） – 選取 MVE 的位置。

     選擇在地理位置上接近您的目標分支據點與/或內部部署位置的地點。

     您選擇的國家必須是您已註冊的市場。

     如果您尚未在要部署 MVE 的位置註冊計費市場，請依照 啟用計費市場 中的程序操作。

     您可以使用 Search（搜尋） 欄位來尋找目的地 Port 的名稱、國家、大都會城市或位址。您也可以依多樣性區域進行篩選。

   • Diversity Zone（多樣性區域） – 選取一個多樣性區域。

     您可以選擇 Red 或 Blue，或選擇 Auto 讓 Megaport 為您挑選區域。所選或分配的多樣性區域會在其後的佈建流程之位置詳細資料中顯示，並會在最後的摘要頁面上顯示。
     如需詳細資訊，請參閱 MVE 多樣性。

   • Size（大小） – 從可用大小清單中選擇大小。可用大小會以綠色標示並標記為 Available（可用）。不同大小支援的同時連線數不同，且各合作夥伴產品的效能指標略有差異。

     備註

     如果您想要的 MVE 大小未列在清單中，表示所選位置的容量不足。您可以選擇另一個具有足夠容量的位置，或聯絡您的客戶經理討論需求。

   • Minimum Term (最短合約期限) – 選擇 無最短合約期限、12 個月、24 個月、36 個月、48 個月，或 60 個月。較長的合約期限可享有較低的月費。12 個月 為預設選項。請留意畫面上的資訊，以避免產生提前終止費用（ETF）。

     針對 12、24、36、48 或 60 個月期的服務，啟用最短合約期限續約 選項，可在合約期滿時以相同的折扣價格與合約期間自動續約。若您未續約，於合約期滿時， 合約將在下一個計費期間自動轉為按月合約，價格相同，但不再享有期限折扣。

     如需詳細資訊，請參閱 MVE 定價與合約條款。

7. 按一下 Next（下一步）。

8. 指定 Palo Alto VM-Series 特定設定：

   • License Data（授權資料）（選用） – 指定 VM-Series 授權碼（Auth Code，虛擬設備的有效授權）。此授權碼用於向 Palo Alto Networks 註冊 VM-Series MVE 執行個體。您可以在 Palo Alto Networks Support 入口網站找到它。

   • Admin Password（管理者密碼） – 指定暫時的管理者密碼。密碼至少需為 8 個字元，且包含：
     - 1 個大寫字元 (A-Z)
     - 1 個小寫字元 (a-z)
     - 1 個數字 (0-9)
     - 1 個符號

     備註

     Megaport 不會儲存客戶密碼。

   • SSH Key（SSH 金鑰） – 在此貼上您的公鑰內容。您可以在先前產生的 megaport-mve-instance-1-2048.pub 檔案中找到公鑰。

   • Virtual Interfaces (vNICs)（虛擬網路介面（vNICs）） – 每個 MVE 預設會設定兩個 vNIC，名稱分別為 Management Plane 與 Data Plane。若要變更名稱，請在方框中直接覆寫名稱文字。部署 MVE 後，您也可以再變更 vNIC 名稱。

     您最多可在此 MVE 新增五個 vNIC（包含預設的兩個）。如需更多資訊，請參閱 vNIC 連線類型。

     若要新增 vNIC：

     • 按一下 + Add（新增）。

       

     • 輸入此 vNIC 的名稱。

       

     備註

     如果您想在此 MVE 部署後增加或減少 vNIC 數量，您必須刪除整個 MVE 並重新建立。無法在已部署的 MVE 上新增或刪除 vNIC。

   • Megaport Marketplace – 預設情況下，每項服務皆為您企業的私有服務，並從 Megaport 網路消耗服務供您公司內部使用（公司、團隊與資源）。當設為私有時，該服務不會在 Megaport Marketplace 中可搜尋；然而，其他人仍可使用 service key 與您連線。Megaport Marketplace 的可見性由您的 Megaport Marketplace 個人資料控制。若需讓您的服務在 Megaport Marketplace 中可見的相關資訊，請參閱將服務新增到您的個人資料。

9. 按一下 Next（下一步）。

10. 指定選用設定：

    • MVE Name（MVE 名稱） – 輸入易於識別的 MVE 名稱，特別是在您計畫佈建多個時。此名稱會顯示在 Megaport Portal 中。

      MVE 名稱會依據位置名稱自動產生並顯示在摘要頁面。您可以輸入自訂名稱以覆寫。

    • Service Level Reference (服務層級參考) （選用） – 指定一組用於計費用途的 Megaport 服務唯一識別編號，例如成本中心編號、唯一的客戶 ID，或採購單號。此服務層級參考編號會在發票的 Product 區段中為每個服務顯示。您也可以為現有服務編輯此欄位。

    • Resource Tags (資源標籤) – 您可以使用資源標籤為 Megaport 服務新增您自訂的參考中繼資料。
      若要新增標籤：

      1. 按一下 Add Tags（新增標籤）。
      2. 按一下 Add New Tag（新增標籤）。
      3. 在欄位中輸入詳細資料：
         • Key（鍵） – 字串最大長度為 128。有效值為 a-z 0-9 _ : . / \ -
         • Value（值） – 字串最大長度為 256。有效值為 a-z A-Z 0-9 _ : . @ / + \ -（空格）
      4. 按一下 Save（儲存）。

      如果您已經為該服務建立資源標籤，您可以按一下 Manage Tags（管理標籤） 來進行管理。

      警告

      請勿在資源標籤中包含敏感資訊。敏感資訊包括會傳回現有標籤定義的指令，以及可識別個人或公司的資訊。

11. 在摘要頁面確認設定與費率。

    月費取決於位置與大小。

12. 按一下 Add MVE（新增 MVE）。

    系統會提示您建立 Megaport Internet 連線。Megaport Internet 連線可提供連線能力，並允許 MVE 與 Palo Alto Networks 授權系統及（選用）Panorama 進行註冊與通訊。

    

建立 Megaport Internet 連線

1. 按一下 Create Megaport Internet（建立 Megaport Internet） 繼續（建議），或按一下 Not now（現在不要），稍後再佈建網際網路存取。

   備註

   MVE 需要在管理平面虛擬介面上具備網際網路連線。您可以佈建 Megaport Internet 連線，或使用私有 VXC 設定第三方網際網路連線。我們強烈建議在初始 MVE 啟動與部署時建立 Megaport Internet 連線，以確保 MVE 正確佈建並正常運作。

2. 選取目標 Port（網際網路路由器）。
   Megaport Internet 連線的 B 端可以位於任何提供 Megaport Internet 的位置。
   您可以使用 Search（搜尋） 欄位來尋找目的地 Port 的名稱、國家、大都會城市或位址。您也可以依多樣性區域進行篩選。

3. 按一下 Next（下一步）。

4. 指定連線詳細資料：

   • Connection Name（連線名稱） – 在 Megaport Portal 中顯示的 Megaport Internet 連線名稱。 作為最佳實務，我們建議在名稱中包含「Management Plane」，以便日後參考。

   • Service Level Reference (服務層級參考) （選用） – 指定一組用於計費用途的 Megaport 服務唯一識別編號，例如成本中心編號、唯一的客戶 ID，或採購單號。此服務層級參考編號會在發票的 Product 區段中為每個服務顯示。您也可以為現有服務編輯此欄位。

     提示

     對 Megaport Internet 連線與 MVE 使用相同的 Service Level Reference 編號，以利在發票中識別配對。

   • Rate Limit（速率上限） – 您的連線速率（以 Mbps 計）。速率上限可自 20 Mbps 起設定，並可依 1 Mbps 遞增調整，最高可達數 Gbps 或以上（視地點與服務類型而定）。建立 Megaport Internet 連線後您可視需要調整速率。每月計費會依位置與速率上限顯示。

   • VXC State（VXC 狀態） – 選取 Enabled（已啟用） 或 Shut Down（關機） 以定義連線的初始狀態。若需詳細資訊，請參閱 為容錯移轉測試關閉 VXC。

     備註

     如果您選取 Shut Down（關機），流量將不會經過此服務，且在 Megaport 網路上會表現為中斷狀態。此服務的計費仍會持續，您仍會被收取此連線的費用。

   • A-End vNIC（A 端 vNIC） – 從下拉清單中選取 vNIC-0 Management Plane。

     重要

     管理虛擬介面 上的網際網路連線僅用於管理用途，例如授權、更新，以及與 Panorama 的通訊。若您需要讓分支、使用者與/或雲端之間的網際網路流量通過，您將在資料平面虛擬介面上建立第二條 Megaport Internet 連線。詳情請參閱在資料平面上建立第二條 Megaport Internet 連線。

   • Preferred A-End VLAN（偏好的 A 端 VLAN）（選用） – 按一下 Untag（移除標記） 以移除 VLAN 標記並允許首次以管理者身分登入裝置。

   • Minimum Term (最短合約期限) – 選擇 無最短合約期限、12 個月、24 個月、36 個月、48 個月，或 60 個月。較長的合約期限可享有較低的月費。12 個月 為預設選項。請留意畫面上的資訊，以避免產生提前終止費用（ETF）。

     針對 12、24、36、48 或 60 個月期的服務，啟用最短合約期限續約 選項，可在合約期滿時以相同的折扣價格與合約期間自動續約。若您未續約，於合約期滿時， 合約將在下一個計費期間自動轉為按月合約，價格相同，但不再享有期限折扣。

     如需詳細資訊，請參閱 Megaport Internet 定價與合約條款 與 VXC、Megaport Internet 與 IX 計費。

   • Resource Tags (資源標籤) – 您可以使用資源標籤為 Megaport 服務新增您自訂的參考中繼資料。
     若要新增標籤：

     1. 按一下 Add Tags（新增標籤）。
     2. 按一下 Add New Tag（新增標籤）。
     3. 在欄位中輸入詳細資料：
        • Key（鍵） – 字串最大長度為 128。有效值為 a-z 0-9 _ : . / \ -
        • Value（值） – 字串最大長度為 256。有效值為 a-z A-Z 0-9 _ : . @ / + \ -（空格）
     4. 按一下 Save（儲存）。

     如果您已經為該服務建立資源標籤，您可以按一下 Manage Tags（管理標籤） 來進行管理。

     警告

     請勿在資源標籤中包含敏感資訊。敏感資訊包括會傳回現有標籤定義的指令，以及可識別個人或公司的資訊。

   

5. 按一下 Next（下一步） 以繼續至連線詳細資料摘要。

6. 按一下 Add VXC（新增 VXC） 以下單此連線。
7. 在 Configured Services 區域按一下 Review Order（檢閱訂單）。
8. 如果您有促銷代碼，按一下 Add Promo Code（新增促銷代碼），輸入代碼，然後按一下 Add Code（新增代碼）。
9. 按一下 Order Now（立即下單）。

備註

如果防火牆需要與分支據點交換網際網路流量，則需要第二條 Megaport Internet 連線。每條資料平面的 Megaport Internet 連線都會獲得其專屬的公有 IP 位址。

在資料平面虛擬介面上建立第二條 Megaport Internet 連線的方法

1. 在 Megaport Portal 中，前往 Services（服務） 頁面。

2. 在 Palo Alto Networks MVE 上按一下 +Connection（新增連線）
   

3. 選取 Megaport Internet。
   

4. 選取目標 Port（網際網路路由器）。
   Megaport Internet 連線的 B 端可以位於任何提供 Megaport Internet 的位置。
   您可以依多樣性區域進行篩選，或選擇檢視全部。

5. 按一下 Next（下一步）。

6. 指定連線詳細資料：

   • Connection Name（連線名稱） – 在 Megaport Portal 中顯示的資料平面 Megaport Internet 連線名稱。作為最佳實務，我們建議在名稱中包含「Data Plane」，以便日後參考。

   • Service Level Reference (服務層級參考) （選用） – 指定一組用於計費用途的 Megaport 服務唯一識別編號，例如成本中心編號、唯一的客戶 ID，或採購單號。此服務層級參考編號會在發票的 Product 區段中為每個服務顯示。您也可以為現有服務編輯此欄位。

   • Rate Limit（速率上限） – 您的連線速率（以 Mbps 計）。此速率可自 20 Mbps 起調整，並以 1 Mbps 遞增。可用之最高速率取決於位置與服務可用性。建立 Megaport Internet 連線後您可視需要調整速率。每月計費會依位置與速率上限顯示。

   • VXC State（VXC 狀態） – 選取 Enabled（已啟用） 或 Shut Down（關機） 以定義連線的初始狀態。若需詳細資訊，請參閱 為容錯移轉測試關閉 VXC。

     備註

     如果您選取 Shut Down（關機），流量將不會經過此服務，且在 Megaport 網路上會表現為中斷狀態。此服務的計費仍會持續，您仍會被收取此連線的費用。

   • A-End vNIC（A 端 vNIC） – 從下拉清單中選取 vNIC-1 Data Plane。

   • Preferred A-End VLAN（偏好的 A 端 VLAN）（選用） – 為此連線指定未使用的 VLAN ID。
     此 VLAN ID 必須在此 MVE 上唯一，且範圍為 2 到 4093。若您指定的 VLAN ID 已被使用，系統會顯示下一個可用的 VLAN 編號。為繼續下單，VLAN ID 必須唯一。若您未指定數值，Megaport 會替您指派一個。

     或者，您可以按一下 Untag（移除標記）。此選項會移除此連線的 VLAN 標記，並在沒有 VLAN ID 的情況下進行設定。

   • Minimum Term (最短合約期限) – 選擇 無最短合約期限、12 個月、24 個月、36 個月、48 個月，或 60 個月。較長的合約期限可享有較低的月費。12 個月 為預設選項。請留意畫面上的資訊，以避免產生提前終止費用（ETF）。

     針對 12、24、36、48 或 60 個月期的服務，啟用最短合約期限續約 選項，可在合約期滿時以相同的折扣價格與合約期間自動續約。若您未續約，於合約期滿時， 合約將在下一個計費期間自動轉為按月合約，價格相同，但不再享有期限折扣。

     如需詳細資訊，請參閱 Megaport Internet 定價與合約條款 與 VXC、Megaport Internet 與 IX 計費。

   • Resource Tags (資源標籤) – 您可以使用資源標籤為 Megaport 服務新增您自訂的參考中繼資料。
     若要新增標籤：

     1. 按一下 Add Tags（新增標籤）。
     2. 按一下 Add New Tag（新增標籤）。
     3. 在欄位中輸入詳細資料：
        • Key（鍵） – 字串最大長度為 128。有效值為 a-z 0-9 _ : . / \ -
        • Value（值） – 字串最大長度為 256。有效值為 a-z A-Z 0-9 _ : . @ / + \ -（空格）
     4. 按一下 Save（儲存）。

     如果您已經為該服務建立資源標籤，您可以按一下 Manage Tags（管理標籤） 來進行管理。

     警告

     請勿在資源標籤中包含敏感資訊。敏感資訊包括會傳回現有標籤定義的指令，以及可識別個人或公司的資訊。

   

7. 按一下 Next（下一步） 以繼續至連線詳細資料摘要，按一下 Add VXC（新增 VXC），並下單此連線。
   

8. 按一下 Review Order（檢閱訂單）。
   

9. 如果您有促銷代碼，按一下 Add Promo Code（新增促銷代碼），輸入代碼，並按一下 Add Code（新增代碼）。
10. 按一下 Order Now（立即下單）。

訂購 MVE 會佈建此執行個體，並從 Megaport SDN 指派 IP 位址。Palo Alto Networks MVE 的佈建時間會因版本及是否提供授權碼而有所不同。在您可以登入並繼續設定之前，MVE 可能需要最多 15 分鐘完成佈建。

在 Megaport Portal 中下單 MVE 之後，您可以使用 Palo Alto Networks Panorama 管理防火牆。

在 Megaport Portal 中檢視 MVE

建立 MVE 之後，您可以在 Megaport Portal 的 Services 頁面檢視它。您也可以檢視指派的公有 IP 位址。

在 Megaport Portal 中檢視 MVE 的方法

• 前往 Services（服務） 頁面

如圖所示，Megaport Internet 圖示在 Megaport Portal 中與一般的 VXC 圖示不同。

如需 Services 頁面的詳細資訊，請參閱 了解 Services 頁面。

檢視指派給 MVE 的公有 IP 位址的方法

1. 按一下管理平面 Megaport Internet 連線旁的齒輪圖示 。
   將會顯示 Connection Configuration 畫面。在此您可以修改任何 Megaport Internet 連線的詳細資料。
   
2. 選取 Details（詳細資料） 分頁。
   
3. 找到公有 IP 位址（IPv4 或 IPv6）。
   這些是指派給 MVE 的公有 IP 位址。

更新管理者密碼

接下來，您將以新的安全密碼取代您在 Megaport Portal 中設定的暫時密碼。

更新管理者密碼的方法

1. 使用您在 Megaport Portal 中設定的暫時管理者密碼登入 Palo Alto Networks 系統。
2. 選擇 Device > Administrators。
3. 選取 admin 使用者。
   
4. 輸入舊的暫時密碼、新的安全密碼，並確認新密碼。
   
5. 按一下 OK（確定）。
6. 選擇 Config > Save Changes。

設定資料平面介面

接著，您將設定資料平面介面並指定介面類型。

設定資料平面介面的方法

1. 選擇 Network > Interfaces。
2. 在 Interface 欄中選取 ethernet1/1。
   
3. 從 Interface Type 下拉式清單中選取 Layer3。
   
4. 按一下 OK（確定）。
5. 反白選取 ‘ethernet1/1’ 這一列，然後在畫面底部按一下 Add Subinterface（新增子介面）
   

6. 提供以下詳細資料：

   • Interface Name（介面名稱） – 輸入子介面的名稱。在相鄰欄位輸入編號以識別此子介面。

   • Comment（註解） – 輸入備註。

   • Tag（標記） – 指定與 Megaport Internet 目的地 Port 相關聯的 A 端 VLAN 值。

   • Virtual Router（虛擬路由器） – 依您的網路需求，將虛擬路由器指派給該介面。
     

7. 選取 IPv4 分頁。

8. 選取 DHCP Client（DHCP 用戶端） 作為 Type。
9. 按一下 OK（確定）。
10. 在右上角按一下 Commit（提交）。
    
11. 檢視變更並按一下 Commit（提交）
    

後續步驟

當 MVE 佈建完成且狀態為 Active 後，下一步是建立一條 VXC 連線到雲端服務提供者 (CSP)、本地連接埠，或第三方網路。您也可以選擇透過私有 VXC 將實體 Port 連到 MVE，或連線至 Megaport Marketplace 中的服務供應商。

如需詳細資訊，請參閱 建立 VXC。