跳轉到
Megaport 技術文件
規劃部署
Copy for LLM ▼
Copy Page Content Open in ChatGPT Open in Claude Open in VS Code View Markdown
PDF

規劃 Palo Alto Networks Prisma MVE 部署

本主題概述佈建流程,並說明 Megaport Virtual Edge(MVE)的部署考量。

Palo Alto Networks Prisma SD-WAN

Palo Alto Networks Prisma SD-WAN 是新一代的 SD-WAN 解決方案,具備自動化、應用程式定義與雲端交付特性。Prisma SD-WAN 可協助您在不增加成本與複雜度的情況下,強化安全性並連線您的分支據點與資料中心。

Palo Alto Networks Prisma 著重於以下關鍵功能:

  • Enhanced network flexibility and scalability (提升網路彈性與可擴充性) – 可依據即時業務需求向上或向下調整網路容量,而不需變更實體基礎架構。

  • Optimized cloud connectivity (最佳化雲端連線能力) – 簡化對多個雲端供應商的存取,同時確保資料與網路流量走最有效率的路徑,以降低延遲並提升應用程式效能。

  • Robust security (強固的安全性) – 以端對端加密與進階威脅防禦確保關鍵資料與裝置(包含 IoT 裝置)受到保護。

  • Streamlined network management (簡化的網路管理) – 透過 Prisma SD-WAN 的 Strata Cloud Manager 降低複雜度,同時掌握整體網路可視性。

  • Intelligent bandwidth management (智慧型頻寬管理) – 透過彈性的頻寬分配有效最佳化資源,避免不必要的支出或閒置容量,以降低成本。

Megaport 支援以下 Prisma SD-WAN 軟體機型:

  • 310xv(包括 3108v、3104v 與 3102v)(適用於遠端分支)

  • 7108v(適用於資料中心)

部署考量

本節概述 MVE 的部署選項與功能。

如需 Palo Alto Networks Prisma 特定設定的相關資訊,請參閱 Prisma SD-WAN and Megaport Virtual Edge Solution Guide

SD-WAN 廠商

MVE 已與 Palo Alto Networks 整合,並透過 Strata Cloud Manager 主控台(Prisma SD-WAN)來建立私有覆疊網路。

如需 MVE 平台上所有支援的 NFVsMVE 是一個隨選、廠商中立的網路功能虛擬化(NFV)平台,為部署於 Megaport 的全球軟體定義網路(SDN)邊緣的網路服務提供虛擬化基礎架構。 例如 SD-WAN 與 NGFW 等網路技術可透過 Megaport Virtual Edge 直接託管於 Megaport 的全球網路上。
 的相關資訊,請參閱 Megaport Virtual Edge (MVE) product page

MVE 位置

如需可連線到 MVE 的全球位置清單,請參閱 Megaport Virtual Edge 位置

為 MVE 執行個體選擇規格

執行個體大小決定 MVE 的功能,例如可支援的同時連線數量。

選擇 MVE 執行個體大小時,請留意下列事項:

  • 網路資料流負載的任何提升都可能降低效能。例如,建立 IPsec 安全通道、加入流量路徑導引,或使用深度封包檢測(DPI),都可能影響最大吞吐量。

  • 未來的網路擴充計畫。

若要確認您部署可用的 MVE 執行個體大小,請在 MVE 設定流程中使用 Megaport Portal。執行個體大小的可用性取決於所選廠商與部署位置,可能因此有所差異。Megaport Portal 會顯示針對您所選廠商與位置可用的大小。

在 Megaport Portal 中檢查 MVE 執行個體大小

  1. Megaport Portal 中,前往 Services (服務) 頁面。

  2. 按一下 Create MVE (建立 MVE)
    Create MVE 按鈕

  3. 選取 the required Palo Alto Prisma SD-WAN product (所需的 Palo Alto Prisma SD-WAN 產品)

  4. 選取軟體版本。

  5. 按一下 Next (下一步)

  6. 選取 MVE 位置。

    選擇在地理位置上接近目標分支據點及/或內部部署位置的地點。

    您可以使用 Search (搜尋) 欄位來尋找目標 Port 的 Port 名稱、國家、都會城市或地址。您也可以依 Diversity 區域進行篩選。

  7. 系統會根據所選位置顯示可用的執行個體大小清單。可用的大小會以綠色反白並標示 Available (可用)。各大小支援的同時連線數量不同,而合作夥伴產品的個別指標可能略有差異。

    備註

    如果您想要的 MVE 大小未列出,表示所選位置的容量不足。您可以選擇另一個具有足夠容量的位置,或聯絡您的客戶經理以討論需求。

未來若需要更多 MVE 容量怎麼辦?

若要提升 MVE 的容量,您可以採用下列選項:

  • 您可以佈建另一個 MVE 執行個體,將其加入您的覆疊網路,並在兩個 MVE 之間分攤工作負載。

  • 您可以佈建更大型的 MVE 執行個體,將其加入您的覆疊網路,將舊 MVE 的連線遷移至新的大型 MVE,然後淘汰舊的 MVE。

如果您需要更多核心(vCPU),可以:

  • 建立具有更多核心的新 MVE,並終止舊的(此選項需要您重新設定防火牆)。
  • 建立新的 MVE 作為第二道防火牆,以分擔第一道防火牆的容量。

您可以隨時調整 Megaport Internet 頻寬,而無需拆除虛擬機器。

安全性

MVE 提供往返您可連網的分支據點與 Megaport SDN 上任何端點或服務供應商的安全容量。合作夥伴 SD-WAN 產品由 CSP 代管的執行個體,會將關鍵流量經由 Megaport SDN 路由,降低對網際網路的依賴。流量在穿越 Megaport SDN 往返 MVE 的過程中,將維持加密並受您的原則控管。

授權

使用 MVE 部署您要的機型時,需自行提供 Prisma 授權。 您有責任確保在 Megaport 網路上建立的端點具備適當的授權。

若要在 Megaport Portal 建立 Palo Alto Networks Prisma MVE,您也需要由 Palo Alto Networks 提供的有效 ION Key 與 Secret Key(Authorization token)。 權杖由 Palo Alto Networks 的客戶管理員透過 Strata Cloud Manager console 產生。 權杖可以為一次性或多次使用,有效期限為 96 小時,並會在部署期間指派給虛擬設備。

如需更多資訊,請參閱 Prisma SD-WAN Administrator’s Guide

VLAN 標記

Megaport 使用 Q-in-Q802.1Q 隧道(亦稱為 Q-in-Q 或 802.1ad)是 OSI 第 2 層服務提供者為其客戶所使用的一種技術。802.1ad 提供 內層外層 標籤,其中外層(有時稱為 S-tag,代表服務提供者)可移除,以露出用於區隔資料的內層(C-tag 或客戶)標籤。
 來區分主機硬體系統上的 VXC 與 MVE。租戶 MVE 會在面向網際網路的連結收到未標記的流量,並在前往 Megaport 網路上其他目的地(例如 CSP on-ramp 或其他 MVE)的 VXC 接收單一標記的 802.1Q 流量。 如需詳細資訊,請參閱 設定 Q-in-Q

vNICs

每個 MVE 最多可有五個 vNIC。Prisma SD-WAN 3108v、3104v 與 3102v 的 MVE 會建立為四個 vNIC,而 7108v 的 MVE 會建立為三個 vNIC。

在為 MVE 指定 vNIC 數量之前:

  • 請注意,MVE 訂購後無法變更 vNIC 數量。請在建立 MVE 時先行決定要指定的 vNIC 數量。

  • 諮詢您的服務供應商,確保在新增 vNIC 時不會影響功能。

備註

若需在 MVE 訂購後變更 vNIC 數量,您必須取消並重新訂購該 MVE。

如需詳細資訊,請參閱 vNIC 連線類型