規劃您的 Palo Alto Networks VM-Series MVE 部署
本主題提供佈建流程概觀,並說明 Megaport Virtual Edge(MVE)的部署考量。
Palo Alto Networks VM-Series 防火牆
您需要向 Palo Alto Networks 取得 VM-Series 授權,才能在 Megaport 軟體定義網路(SDN)上使用。更多資訊,請參閱授權。
Megaport 為您提供:
- 用於承載 Next Generation Firewall(NGFW)映像的虛擬機器
- 一條 Megaport Internet 連線,用於在分支端透過網際網路於 MVE 與 CPE 之間終止通道
- 存取 Megaport 生態系統。
VM-Series 功能
VM-Series 在虛擬機器上提供 NGFW 服務。將 VM-Series 託管於 MVE 上,不僅可最佳化邊緣到雲端的網路連線性,亦可在 Megaport 骨幹區段之間套用進階的安全服務與原則。
Palo Alto Networks 的 Secure Access Service Edge(SASE)產品,適用於正在採用 SASE 架構且需要在邊緣提升網路安全性的客戶。
將 VM-Series 嵌入 Megaport 的 NaaS 平台,可在邊緣與雲端網路織體之間延伸以下核心 SASE 元素:
-
次世代防火牆,包括具狀態的企業防火牆原則、網路位址轉譯(NAT)、入侵防護服務、Secure Sockets Layer(SSL)檢查,以及威脅情報。
-
Secure web gateway(SWG)服務透過網頁內容過濾與惡意軟體掃描,保護裝置免於惡意的網際網路目的地。
-
Zero trust network access(ZTNA),在每次應用程式工作階段前驗證使用者與裝置,並確認其符合組織原則後,才允許存取該應用程式。
-
區隔與允許清單可控管跨不同子網的應用程式通訊、阻擋側向威脅移動,並協助達成法規遵循。
-
Threat Prevention、DNS Security 與 WildFire 服務,可套用應用程式特定的原則,以防止惡意軟體並阻止先前未知的威脅感染雲端。
VM-Series 也支援與 Palo Alto Networks 的 SASE 解決方案 Prisma Access 整合遠端使用者。Prisma Access 提供兩種遠端使用者存取連線方式:
- GlobalProtect – 將 Prisma Access 對所有網路流量、應用程式、連接埠與通訊協定的可見度與控制延伸至使用者,使其能安全地存取網際網路或資料中心上的應用程式。
- Explicit proxy – 允許 SWG 使用 HTTP 與 HTTPS 存取以網際網路為基礎的 SaaS軟體即服務 (SaaS) 是一種雲端運算形式,其中服務提供者向客戶提供應用程式供其使用,並管理該應用程式所使用的所有硬體與軟體資源。SaaS 有時亦稱為「隨選軟體」,通常採用依使用量付費或訂閱費用的計價方式。
應用程式。
如需這些功能的詳細資訊,請參閱 VM-Series Tech Docs。
備註
如果您已部署 VM-Series 防火牆,您可以將其連線到 MVE,讓總部或分支透過私人互連存取雲端服務。
部署考量
本節概述 MVE 的部署選項與功能。
Palo Alto Networks 與多數其他平台相同,可使用虛擬或實體設備。然而,您可以將 Palo Alto Networks 設備設定為多種不同用途。例如,您可以將 Palo Alto Networks 設備設定為:
-
僅作為遠端辦公室的次世代防火牆(NGFW),只進行本機設定與本機記錄。
-
做為集中管理(含集中記錄),或做為集中管理(不含集中記錄)。
SD-WAN 廠商
MVE 已與 Palo Alto Networks 整合,並使用 Palo Alto 的網路編排器 Panorama(VM-Series)來建立私有覆疊網路。
如需 MVE 平台上所有支援的 NFVsMVE 是一個隨選、廠商中立的網路功能虛擬化(NFV)平台,為部署於 Megaport 的全球軟體定義網路(SDN)邊緣的網路服務提供虛擬化基礎架構。 例如 SD-WAN 與 NGFW 等網路技術可透過 Megaport Virtual Edge 直接託管於 Megaport 的全球網路上。
資訊,請參閱 Megaport Virtual Edge (MVE) product page。
MVE 位置
如需可連線至 MVE 的全球位置清單,請參閱 Megaport Virtual Edge 位置。
選擇 MVE 執行個體大小
執行個體大小會決定 MVE 的能力,例如可支援的同時連線數。
選擇 MVE 執行個體大小時,請注意下列事項:
-
網路資料流負載的任何增加都可能降低效能。例如,建立使用 IPsec 的安全通道、加入流量路徑導引,或使用深度封包檢測(DPI),都會影響最大吞吐速率。
-
未來擴充網路的計畫。
若要檢查您的部署可用的 MVE 執行個體大小,請在 MVE 設定流程中使用 Megaport Portal。可用的執行個體大小取決於所選廠商與部署位置,並可能隨之變動。Megaport Portal 會顯示您所選廠商與位置可用的大小。
在 Megaport Portal 中檢查 MVE 執行個體大小
- 於 Megaport Portal,前往 Services (服務) 頁面。
-
按一下 Create MVE (建立 MVE)。
-
選取 Palo Alto VM-Series。
-
選取軟體版本。
-
按一下 Next (下一步)。
-
選取一個 MVE 位置。
請選擇在地理位置上接近您目標分支與/或內部部署位置的據點。
您可以使用 Search (搜尋) 欄位來尋找目的地 Port 的 Port 名稱、國家、都會城市或地址。您也可以依多樣性區域進行篩選。
-
系統會根據所選位置顯示可用的執行個體大小清單。可用的大小會以綠色反白並標示為 Available (可用)。各大小支援的同時連線數不同,且個別合作夥伴產品的量測指標可能略有差異。
備註
如果清單中沒有您想要的 MVE 大小,表示該位置的可用容量不足。您可以選擇其他具有足夠容量的位置,或聯絡您的客戶經理討論需求。
如果未來需要更多 MVE 容量怎麼辦?
若要提升 MVE 容量,您可以採用下列選項:
-
您可以再佈建一個 MVE 執行個體,將其加入您的覆疊網路,並在兩個 MVE 之間分攤工作負載。
-
您可以佈建更大型的 MVE 執行個體,將其加入您的覆疊網路,將連線從舊的 MVE 移轉至新的較大型 MVE,然後汰除舊的 MVE。
如果您需要更多核心(vCPU),可以:
- 建立具有更多核心的新 MVE,並終止舊的(此選項需要您重新設定防火牆)。
- 建立新的 MVE 做為第二個防火牆,以分擔第一個防火牆的容量。
您可以隨時調整 Megaport Internet 頻寬,而不需要拆除虛擬機器。
安全性
MVE 為已啟用網際網路的分支據點,與 Megaport SDN 上的任何端點或服務供應商之間,提供安全的傳輸容量。合作夥伴的 SD-WAN 產品若由 CSP 託管,其執行個體會將關鍵流量經由 Megaport SDN 路由,降低對網際網路的依賴。流量在 Megaport SDN 上往返 MVE 時皆保持加密,並受您的原則控制。
授權
您需自備 VM-Series 授權以搭配 MVE 使用。您有責任為在 Megaport 網路上建立的端點持有適當的授權。
若要取得 VM-Series 授權,建議先使用 Palo Alto Networks 的 credit estimator tool。
建議:
- 請確保所選的 vCPU 數量符合您的需求。
- 選擇 Kernel-based Virtual Machine(KVM)做為環境。
- 為獲得最佳效能,建議將 VM-Series 授權中的 vCPU 數與 MVE 上的 vCPU 數相同。
VLAN 標記
Megaport 使用 Q-in-Q802.1Q 隧道(亦稱為 Q-in-Q 或 802.1ad)是 OSI 第 2 層服務提供者為其客戶所使用的一種技術。802.1ad 提供 內層 與 外層 標籤,其中外層(有時稱為 S-tag,代表服務提供者)可移除,以露出用於區隔資料的內層(C-tag 或客戶)標籤。
來區分同一主機硬體系統上的 VXC 與 MVE。租戶 MVE 對面向網際網路的鏈路會接收未標記的流量,對朝向 Megaport 網路上其他目的地(例如 CSP on-ramps 或其他 MVE)的 VXC 則會接收單一標記的 802.1Q 流量。更多資訊,請參閱設定 Q-in-Q。
vNICs
每個 MVE 最多可具有 5 個 vNIC。預設會以 2 個 vNIC 建立 VM-Series MVE。您最多可再新增 3 個,合計 5 個。
在指定 MVE 上的 vNIC 數量之前:
-
請注意,MVE 下單後無法變更 vNIC 數量。請先行決定在建立 MVE 時要指定的 vNIC 數量。
-
請洽詢您的服務供應商,確認新增 vNIC 時不會影響功能。
備註
如果您需要在 MVE 下單後變更 vNIC 數量,必須先取消並重新訂購該 MVE。
更多資訊,請參閱 vNIC 連線類型。