AWS VM-Serie Firewall Bootstrap mit VPC Endpunkten
Symptom
VPC Endpunkte und die Palo Alto-Netzwerke VM- Serienendpunkte firewall
VPC sind eine AWS Funktion, die es Benutzern ermöglicht, eine private Verbindung zwischen einem und anderen Diensten ohne Internetverbindung zu VPC AWS erstellen. Mit dieser Funktion kann die VM- Serie firewall Bootstrap-Konfigurationsdateien aus dem S3-Bucket abrufen, ohne eine an die Verwaltungsschnittstelle anzuhängen EIP oder ein Gateway zu erstellen, um eine NAT Ane-Internetverbindung für die Verwaltungsschnittstelle zu bieten.
Environment
- AWS (Amazon Web Services)
- Public Cloud
Resolution
Konfigurieren und Aktivieren VPC Endpunkt für S3 Service
Anmelden bei der AWS Konsole. Wählen Sie die Region aus, in der Sie VPC sich befinden.
Gehen Sie zu VPC , stellen Sie sicher, dass DNS "Auflösung" aktiviert ist (ja).
NOTE : VPC Endpunkte funktionieren nicht, wenn DNS die Auflösung deaktiviert ist.
Wir müssen einen neuen S3-Bucket erstellen, der sich in derselben Region wie der VPC befindet. Sie können keinen Endpunkt für einen Dienst in einer anderen Region erstellen.
Wechseln Sie unter der AWS Konsole zu S3, und erstellen Sie einen neuen S3-Bucket. Stellen Sie sicher, dass die für den S3-Bucket ausgewählte Region mit der Region übereinstimmt, für die VPC Sie den Endpunkt erstellen. Nachdem der S3-Bucket erfolgreich erstellt wurde, konfigurieren Sie den S3-Bucket für Bootstrap. Sie können den Anweisungen hierfolgen .
Wenn der S3-Bucket bereit ist, wechseln Sie zu VPC Ihrem, und wählen Sie Endpunkte aus dem VPC Dashboard aus.
Klicken Sie auf die Schaltfläche "Endpunkt erstellen". Wählen VPC Sie den, für den Sie den Endpunkt erstellen, aus, und wählen Sie den S3-Dienst im Dropdownmenü Service aus. Stellen Sie die policy Taste "Vollzugriff" ein und klicken Sie auf die Schaltfläche "Nächster Schritt", um fortzufahren.
Wählen Sie die Verwaltungsroutentabelle aus, und klicken Sie auf die Schaltfläche "Endpunkt erstellen", um den Vorgang abzuschließen. Die Verwaltungsroutentabelle ist die Routingtabelle, die dem Verwaltungssubnetz zugeordnet ist, das Sie für Ihre erstellt VPC haben.
*Hinweis* Wenn Sie die firewall .template in einem vorhandenen bereitstellen, müssen Sie die Tabelle Nicht VPC vertrauenswürdige Route verwenden, damit die Firewalls vor dem Schnittstellenaustausch bootstrap.
Der neue Endpunkt sollte unter Ihrem -> Endpunkten aufgeführt werden, VPC sobald er erfolgreich erstellt wurde.
Die Endpunktroute sollte automatisch der Verwaltungsroutentabelle hinzugefügt werden.
Geben Sie AWS ein paar Minuten Zeit, um ihr System für den neuen Endpunkt zu aktualisieren. Die VM- Serie kann nun eine Verbindung zum firewall S3-Bucket herstellen und die Bootstrap-Konfigurationsdateien über das private Netzwerk abrufen.