上浆的VM-Microsoft Azure 系列
Symptom
本文涵盖的主题KB:
- 上浆的VM-Microsoft Azure 系列
- VM-系列许可和型号选择
- Azure 虚拟机大小选择
- 改变VM尺寸
Environment
- Virtualization
- 蔚蓝
Resolution
上浆的VM-Microsoft Azure 系列
上浆时VM为了VM-Azure 上的系列,有许多因素需要考虑,包括您的预计吞吐量 (VM-系列型号),部署类型(例如,VNET到VNET,使用 IPSec 或面向互联网的混合云)和网络接口数量(NIC ). 本文将介绍以下影响 Azure 的因素VM尺寸:
- VM-系列型号(VM-100 , -200, -300, -500, -700 或 -1000HV)
- 蔚蓝VM尺寸:CPU内核、内存和网络接口
- Azure 的网络性能VM实例类型
VM-系列许可和型号选择
这VM-Azure 上的系列通过 Azure Marketplace 支持基于消费的许可,自带许可证和VM-系列企业许可协议,或ELA.
- 基于消费的许可:使用 Azure 管理控制台购买和部署VM-系列按小时订阅包直接来自 Azure Marketplace。
- 捆绑包 1 内容:VM-300 firewall许可证,威胁预防(包括IPS,AV ,恶意软件预防)订阅和高级支持(仅限书面和口头英语)。
- 捆绑包 2 内容:VM-300 firewall许可证,威胁预防(包括IPS,AV , 恶意软件预防),WildFire ,URL过滤和GlobalProtect订阅和高级支持(仅限书面和口头英语)。
- 带上你自己的许可证:您可以购买以下任何一种VM-系列模型以及相关的订阅和支持,通过正常的 Palo Alto Networks 渠道,然后通过 Azure 管理控制台通过许可证授权代码进行部署。
- VM-系列ELA:适用于 Azure 上或跨多个virtualization环境,VM-系列ELA允许您预测并预先购买VM-将在一年或三年内部署的系列防火墙。 这VM-系列ELA为您提供在有效期内使用的单一许可证授权代码,提供可预测的安全支出,并通过为所有许可证建立单一的开始和结束日期来简化许可流程VM-系列许可和订阅。 每个VM-系列ELA包括一个VM-系列firewall, 威胁预防订阅,URL过滤,WildFire , 和GlobalProtect网关,加无限Panorama虚拟机许可证和支持。
审查许可选项文章帮助指导您的选择。 这VM-您选择的系列型号BYOL部署应基于模型的能力和部署用例。 使用数据表,产品比较工具和文档用于选择模型。
Azure 虚拟机大小选择
的表演VM-系列取决于的能力Azure 虚拟机类型. 更大VM类型有更多的核心、更多的内存、更多的网络接口,以及在吞吐量、延迟和每秒数据包方面更好的网络性能。 更大VM尺寸可以与较小的一起使用VM-系列机型。 如果一个更大的VM尺寸用于VM-系列,只有最大CPU表中显示的内核和内存将得到充分利用,但它可以利用 Azure 提供的更快的网络性能。
VM- Azure 系列支持以下类型的标准Azure 虚拟机类型。
表 1:支持的 AzureVM尺寸基于CPU每个所需的内核和内存VM-系列型号。
* 参考推荐尺码基于CPU内核、内存和网络接口的数量。
注意:VM-50 Azure 不支持模型。
大多数常见的使用场景推荐D3或D3_v2,推荐使用D4或D4_v2VM Azure 上的大小。 这是基于Azure 基础设施成本,VM-系列性能、Azure 网络带宽和所需的 NIC 数量。 当VM-系列部署在负载均衡器后面,例如用于保护面向 Internet 的 Web 服务的 Azure 应用程序网关,或将 Azure 负载均衡器用于所有类型的应用程序。
常见部署场景VM-Azure 上的系列只需要 4 个NIC的:管理、不信任、信任和可选用途的附加接口,例如DMZ. 这允许基于区域的策略南北向,即 Azure 虚拟网络的进出(VNET ) 和区内政策,每个子网或IP范围,在信任界面上。 其他接口可能有助于分割和保护其他区域,例如DMZ. 不信任意味着外部VNET,无论是本地网络还是面向 Internet,而信任指的是VNET在内部,比如托管应用程序的私有子网。
在传统网络中,无论是物理世界还是虚拟化,防火墙等虚拟设备都使用一个接口进行管理,其余部分用于数据平面。 额外的数据平面接口用于连接到多个网络,例如面向互联网、不信任、DMZ 、信任、Web前端、应用层和数据库。 这允许保护南北方向,即进入和离开VNET和东西向,即在子网或应用程序层之间VNET. Azure 的网络提供了用户定义的路由(UDR ) 表强制流量通过firewall. 这些规则是在每个子网的基础上设置的,并将子网的所有出站流量发送到特定的IP的地址firewall. 这意味着firewall不需要成为它所保护的每个子网的一部分,并且 Trust 接口可以发送/接收来自所有内部/私有子网的流量。
改变VM尺寸
选择 Azure 实例类型的最安全方法VM-系列是使用上面的指导,然后稍微填充你的结果。 跑过firewall并监控几周的表现。 结合使用 Azure 监视工具和PAN-OS仪表板来监控真实世界的性能firewall.获得真实数据后,您可以调整大小VM使用 Azure 门户根据需要降低或提高尺寸。 您将需要停止VM改变大小。
笔记:蔚蓝VM的包括一个本地/临时磁盘,该磁盘旨在用作交换磁盘而不用于持久存储。 VM-系列日志存储在OS磁盘VHD在部署时使用的 Azure 存储帐户中;交换磁盘未被使用VM-系列。 对于额外的日志存储,您可以附加一个额外的数据磁盘VHD.