AWS VM-Arranque de la serie Firewall con VPC puntos finales
Symptom
VPC Endpoints y las VM- redes de Palo Alto Puntos firewall
VPC de conexión de serie es una característica proporcionada por AWS que permite a los usuarios crear una conexión privada entre a y otros servicios sin conexión a VPC AWS Internet. Con esta característica, la VM- serie puede recuperar archivos de configuración de arranque del bucket de firewall S3 sin adjuntar uno EIP a la interfaz de administración o crear una puerta de enlace para NAT provid ane conexión a Internet para la interfaz de administración.
Environment
- AWS (Servicios Web de Amazon)
- Nube pública
Resolution
Configurar y habilitar VPC Punto de conexión para el
inicio de sesión del servicio S3 en la AWS consola. Seleccione la región donde VPC reside.
Vaya a su VPC , asegúrese de que DNS "resolución" está habilitada (sí).
NOTE : VPC Los puntos finales no funcionarán si DNS la resolución está deshabilitada.
Necesitamos crear un nuevo bucket de S3 que esté en la misma región que el VPC archivo . No puede crear un punto de conexión para un servicio en una región diferente.
En la AWS consola, vaya a S3 y cree un nuevo bucket de S3. Asegúrese de que la región seleccionada para el bucket de S3 coincide con la región para la VPC que está creando el punto de conexión. Una vez que el bucket de S3 se haya creado correctamente, configure el bucket de S3 para el arranque. Puede seguir las instrucciones aquí.
Cuando el bucket de S3 esté listo, vaya a VPC y seleccione Puntos de conexión en el VPC panel.
Haga clic en el botón "Crear punto final". Seleccione el VPC punto de conexión para el que está creando y seleccione el servicio S3 en el menú desplegable Servicio. Establezca el policy botón "Acceso completo" y haga clic en el botón "Siguiente paso" para continuar.
Seleccione la tabla de rutas de administración y haga clic en el botón "Crear punto final" para completar el proceso. La tabla de rutas de administración es la tabla de rutas asociada a la subred de administración que creó para VPC el archivo .
*Nota* Al implementar el firewall .template en un archivo VPC existente, debe usar la tabla Desconfiar de rutas para que los Firewalls arranquen antes del intercambio de interfaz.
El nuevo punto de conexión debe aparecer en los VPC puntos de conexión -> una vez que se crea correctamente.
La ruta del punto de conexión debe agregarse automáticamente a la tabla de rutas de administración.
Dé AWS unos minutos para actualizar su sistema para el nuevo punto de conexión. La VM- serie ahora puede conectarse al bucket de firewall S3 y recuperar los archivos de configuración de arranque mediante la red privada.