Dimensionnement de VM- la série sur Microsoft Azure

Dimensionnement pour le VM- Série sur Microsoft Azure Lors
du dimensionnement de votre série sur Azure, il y a de VM nombreux facteurs à prendre en VM- compte, y compris votre débit projeté VM- (modèle de série), le type de déploiement (par exemple, à , cloud hybride en VNET utilisant VNET IPSec ou Internet face) et le nombre d’interfaces réseau ( NIC ). Cet article couvrira les facteurs ci-dessous qui ont un impact sur votre taille VM Azure :

• VM-Modèle de série VM-100 ( , -200, -300, -500, -700 ou -1000HV)
• Taille VM Azure : CPU cœurs, mémoire et interfaces réseau
• Performances réseau du type d’instance Azure VM

VM-Licences de série et choix de modèles
La VM- série sur Azure prend en charge les licences basées sur la consommation via azure marketplace, apportez votre propre licence et l’accord VM- de licence d’entreprise série, ou ELA .

• Licence s’appuyant sur la consommation : Utilisez votre console de gestion Azure pour acheter et déployer des VM- forfaits d’abonnement horaire series directement à partir de l’Azure Marketplace.
  • Bundle 1 contenu: VM-300 firewall licence, Prévention des menaces (y IPS compris, AV , prévention des logiciels malveillants) abonnement et premium support (écrit et parlé anglais seulement).
  • Bundle 2 contenu: VM-300 firewall licence, Prévention des menaces (y IPS compris, AV , prévention des logiciels WildFire URL malveillants), , Filtrage GlobalProtect et abonnements, et premium support (écrit et parlé anglais seulement).
• Apportez votre propre licence : Vous pouvez acheter n’importe quel modèle VM- de la série, ainsi que les abonnements et le support associés, via les canaux normaux de Palo Alto Networks, puis vous déployer via un code d’autorisation de licence via votre console de gestion Azure.
• VM-Série ELA : Pour les déploiements à grande échelle sur Azure ou sur plusieurs environnements, la série vous permet de virtualization prévoir et d’acheter à VM- l’avance les pare-feu de la série à ELA déployer sur une période VM- d’un ou trois ans. La VM- série vous donne un code ELA d’autorisation de licence unique utilisé pour la durée du terme, fournissant des dépenses de sécurité prévisibles et simplifiant le processus de licence en établissant une date de début et de fin unique pour toutes les VM- licences et abonnements de la série. Chaque VM- série comprend une ELA VM- firewall série, des abonnements pour la prévention des menaces, le URL filtrage WildFire et la GlobalProtect passerelle, ainsi que des Panorama licences et un support illimités de machines virtuelles.

Passez en revue l’article sur les options de licence pour guider votre sélection. Le VM- modèle de série que vous choisissez pour un déploiement doit être basé sur les BYOL capacités des modèles et le cas d’utilisation de déploiement. Utilisez les fiches de données, l’outil de comparaison de produits et la documentation pour sélectionner le modèle.

Choix de taille de machine virtuelle Azure
Les performances VM- de la série dépendent des capacités des types de machines virtuelles Azure. Les VM grands types ont plus de cœurs, plus de mémoire, plus d’interfaces réseau et de meilleures performances réseau en termes de débit, de latence et de paquets par seconde. De plus VM grandes tailles peuvent être employées avec de plus VM- petits modèles de série. Si une plus VM grande taille est utilisée pour la VM- série, seuls les cœurs et la mémoire max CPU indiqués dans la table seront pleinement utilisés, mais ils peuvent profiter des performances réseau plus rapides fournies par Azure.

VM- Série pour Azure prend en charge les types suivants de types de machines virtuelles Azure standard.

Tableau 1 : Tailles Azure VM prises en charge en fonction des CPU noyaux et de la mémoire requis pour chaque VM- modèle de série.
* Se réfère à la taille recommandée basée sur CPU les noyaux, la mémoire et le nombre d’interfaces réseau.
Remarque : Le VM-50 modèle n’est pas pris en charge sur Azure.

Dans la plupart des scénarios d’utilisation courants D3 ou D3_v2, et D4 ou D4_v2 sont les tailles VM recommandées sur Azure. Ceci est basé sur les coûts d’infrastructure Azure, VM- les performances de la série, la bande passante réseau Azure et le nombre requis de CNI. Ces tailles permettent également des scénarios d’échelle plus granulaire lorsque VM- la série est déployée derrière des 3èmes de charge tels que Azure Application Gateway pour protéger les services Web orientés Vers Internet, ou en utilisant Azure Load Balancer pour tous les types d’applications.

Les scénarios de déploiement courants VM- pour les séries sur Azure ne nécessitent que 4 ' NIC s: Gestion, Untrust, Trust et une interface supplémentaire pour des utilisations facultatives telles que DMZ . Cela permet des politiques basées sur les zones nord-sud, c’est-à-dire à l’extérieur du réseau virtuel Azure VNET (), et des polices intra-zone, par sous-réseau ou IP plage, sur l’interface de confiance. Des interfaces supplémentaires peuvent aider à segmenter et protéger des zones supplémentaires comme DMZ . Le manque de confiance implique externe VNET à , soit un réseau sur place ou face à Internet, tandis que trust se réfère au côté de VNET l’intérieur, par exemple sous-réseaux privés où les applications sont hébergées.

Dans le réseautage traditionnel, à la fois le monde physique et virtualisé, les appareils virtuels comme les pare-feu utilisent une interface pour la gestion et le repos sont pour dataplane. Les interfaces de dataplane supplémentaires sont utilisées pour se connecter à plusieurs réseaux tels que face à Internet, le mensonge, la confiance, DMZ l’extrémité avant web, la couche d’application et la base de données. Cela permet de protéger à la fois nord-sud, c’est-à-dire entrer et laisser un VNET , et est-ouest, c’est-à-dire entre les sous-réseaux ou les niveaux d’application à l’intérieur d’un VNET . La mise en réseau d’Azure fournit des tables d’itinéraire définies par UDR l’utilisateur () pour forcer le trafic à travers le firewall . Ces règles sont définies sur une base par sous-réseau et envoient tout le trafic sortant du sous-réseau à une adresse IP spécifique de la firewall . Cela signifie que le firewall n’a pas besoin de faire partie de chaque sous-réseau qu’il protège et l’interface Trust peut envoyer / recevoir du trafic de tous les sous-réseaux internes / privés.

Modification de la VM taille
La méthode la plus sûre pour choisir un type d’instance Azure pour VM- la série est d’utiliser les conseils ci-dessus, puis pad votre résultat un peu. Exécutez le firewall et surveillez les performances pendant quelques semaines. Utilisez une combinaison d’outils de surveillance Azure et PAN-OS de tableau de bord pour surveiller les performances réelles de la firewall .Une fois que vous avez des données réelles, vous pouvez resize la VM taille inférieure ou supérieure au besoin en utilisant le portail Azure. Vous devrez arrêter le VM pour changer la taille.

Remarque : Les Azure VM comprennent un disque local/temporaire qui est destiné à être utilisé comme disque d’échange et qui n’est pas destiné au stockage persistant. VM-Les journaux de série sont stockés sur OS le disque dans le compte de stockage VHD Azure utilisé au moment du déploiement; le disque de swap n’est pas utilisé par VM- la série. Pour un stockage de journal supplémentaire, vous pouvez joindre un disque de données VHD supplémentaire.