のサイジングVM-シリーズの Microsoft Azure

のサイジングVM-シリーズの Microsoft Azure
サイズを測るときVMにとってVM-Azure のシリーズでは、予想されるスループットなど、考慮すべき多くの要因があります (VM-シリーズ モデル)、導入タイプ (例:VNETにVNET、IPSec またはインターネット接続を使用するハイブリッド クラウド) およびネットワーク インターフェイスの数 (NIC ）。 この記事では、Azure に影響を与える以下の要因について説明しますVMサイズ：

• VM-シリーズモデル（VM-100 、-200、-300、-500、-700 または -1000HV)
• アズールVMサイズ：CPUコア、メモリ、およびネットワーク インターフェイス
• Azure のネットワーク パフォーマンスVMインスタンスタイプ

VM-シリーズのライセンスとモデルの選択
のVM-Series on Azure は、Azure Marketplace を介した使用量ベースのライセンスをサポートし、独自のライセンスを持ち込み、VM-シリーズ エンタープライズ ライセンス契約、またはELA.

• 消費ベースのライセンス: Azure Management Console を使用して購入および展開するVM-Azure Marketplace から直接シリーズの時間単位のサブスクリプション バンドル。
  • バンドル 1 の内容:VM-300 firewallライセンス、脅威対策 (以下を含む)IPS 、AV 、マルウェア防止) サブスクリプションとプレミアム サポート (英語の読み書きと会話のみ)。
  • バンドル 2 の内容:VM-300 firewallライセンス、脅威対策 (以下を含む)IPS 、AV 、マルウェア防止)、WildFire 、URLフィルタリングとGlobalProtectサブスクリプション、およびプレミアム サポート (英語の書き言葉と話し言葉のみ)。
• 自分のライセンスを持参する:のいずれかをご購入いただけます。VM-シリーズ モデルを、関連するサブスクリプションとサポートと共に、通常の Palo Alto Networks チャネル経由で購入し、Azure 管理コンソールからライセンス認証コードを使用してデプロイします。
• VM-シリーズELA: Azure または複数のサーバーにまたがる大規模なデプロイの場合virtualization環境、VM-シリーズELAを予測し、前もって購入することができます。VM-シリーズ ファイアウォールは、1 年または 3 年の期間にわたって展開されます。 のVM-シリーズELA期間中に使用される単一のライセンス認証コードを提供し、予測可能なセキュリティ費用を提供し、すべてのライセンスの開始日と終了日を 1 つ設定することでライセンス プロセスを簡素化します。VM-シリーズ ライセンスとサブスクリプション。 各VM-シリーズELAを含むVM-シリーズfirewall、脅威対策のサブスクリプション、URLフィルタリング、WildFire 、 とGlobalProtectゲートウェイ、および無制限Panorama仮想マシンのライセンスとサポート。

レビューライセンス オプションの記事あなたの選択をガイドするのに役立ちます。 のVM-用途に合わせて選べるシリーズモデルBYOL展開は、モデルの容量と展開のユース ケースに基づく必要があります。 使用データシート、製品比較ツールとドキュメンテーション機種選定のため。

Azure 仮想マシンのサイズの選択
のパフォーマンスVM-シリーズは、 Azure 仮想マシンの種類. 大きいVMタイプは、より多くのコア、より多くのメモリ、より多くのネットワーク インターフェイスを備えており、スループット、レイテンシ、および 1 秒あたりのパケット数の点で優れたネットワーク パフォーマンスを備えています。 大きいVMサイズは小さいもので使用できますVM-シリーズモデル。 大きい場合VMサイズはVM-シリーズ、最大のみCPU表に示されているコアとメモリは完全に使用されますが、Azure によって提供されるより高速なネットワーク パフォーマンスを活用できます。

VM- Series for Azure は、次の種類の Standard をサポートしていますAzure 仮想マシンの種類。

表 1: サポートされている AzureVMに基づくサイズCPUそれぞれに必要なコアとメモリVM-シリーズモデル。
* に基づく推奨サイズを参照してくださいCPUコア、メモリ、およびネットワーク インターフェイスの数。
注:VM-50モデルは Azure ではサポートされていません。

最も一般的な使用シナリオでは、D3 または D3_v2、および D4 または D4_v2 が推奨されますVMAzure のサイズ。 これは、 Azure インフラストラクチャのコスト、VM-シリーズのパフォーマンス、Azure ネットワークの帯域幅、必要な NIC の数。 これらのサイズでは、より詳細なスケールアウト シナリオも可能になります。VM-シリーズは、インターネットに接続された Web サービスを保護するための Azure Application Gateway などのロード バランサーの背後に展開されるか、すべての種類のアプリケーションに Azure Load Balancer を使用します。

の一般的な導入シナリオVM-Series on Azure は 4 つだけ必要ですNIC's: Management、Untrust、Trust、および次のようなオプションの使用のための追加インターフェースDMZ. これにより、南北、つまり Azure 仮想ネットワークの内外 (VNET ）、およびゾーン内ポリシー、サブネットごとまたはIP範囲、信頼インターフェイス上。 追加のインターフェイスは、次のような追加の領域をセグメント化して保護するのに役立つ場合がありますDMZ. 不信は外部にあることを意味するVNET、オンプレミス ネットワークまたはインターネットに面する側のいずれかであり、信頼はその側を指します。VNET内部では、アプリケーションがホストされているプライベート サブネットを言います。

従来のネットワーキングでは、物理世界と仮想化されたファイアウォールなどの仮想アプライアンスの両方が管理用に 1 つのインターフェイスを使用し、残りはデータプレーン用です。 追加のデータプレーン インターフェイスは、インターネット向け、信頼できない、などの複数のネットワークに接続するために使用されます。DMZ 、信頼、Web フロント エンド、アプリケーション層、およびデータベース。 これにより、南北の両方を保護できます。VNET 、および東西、つまり、サブネット内またはアプリケーション層の間VNET. Azure のネットワークは、ユーザー定義のルートを提供します (UDR ) テーブルを介してトラフィックを強制するfirewall. これらのルールはサブネットごとに設定され、サブネットのすべてのアウトバウンド トラフィックを特定のアドレスに送信します。IPのアドレスfirewall. これは、firewall保護している各サブネットの一部である必要はなく、Trust インターフェイスはすべての内部/プライベート サブネットからトラフィックを送受信できます。

の変更VMサイズ
の Azure インスタンス タイプを選択する最も安全な方法VM-シリーズは、上記のガイダンスを使用して、結果を少しパディングします。 実行しますfirewall数週間パフォーマンスを監視します。 Azure 監視ツールとPAN-OSの実際のパフォーマンスを監視するダッシュボードfirewall.実際のデータを取得したら、サイズを変更できますVMAzure Portal を使用して、必要に応じてサイズを増減します。 を停止する必要があります。VMをクリックしてサイズを変更します。

ノート：アズールVMには、スワップ ディスクとして使用するためのローカル/一時ディスクが含まれており、永続ストレージ用ではありません。 VM-シリーズログはOSディスクVHDデプロイ時に使用された Azure ストレージ アカウント。スワップディスクは使用されていませんVM-シリーズ。 追加のログ ストレージとして、追加のデータ ディスクを接続できますVHD.