Error:
An unexpected error occurred. Please click Reload to try again.
Error:
An unexpected error occurred. Please click Reload to try again.
CLI 構成: KVM を使用して、CentOS 6.x ベアメタルサーバー上に VM シリーズゲートウェイをセットアップする - Knowledge Base - Palo Alto Networks

CLI 構成: KVM を使用して、CentOS 6.x ベアメタルサーバー上に VM シリーズゲートウェイをセットアップする

35133
Created On 09/26/18 19:10 PM - Last Modified 06/07/23 02:42 AM


Resolution


 

サマリ:

このソリューションは、KVM 仮想化を使用して、少数の CentOS 6.x サーバー上にパロアルトネットワーク VM シリーズインスタンスをセットアップするための CLI ステップを示しています。

 

トポロジ:

以下のトポロジでは、パブリック IP アドレスがインターネットに接続されたインターフェイスの RFC 1918 アドレスに置き換えられていることに注意してください。

 

スクリーンショット2015-08-26 で 5.26.28 pm.

 

詳細:

  1. 2つの nic を備えた CentOS 6.x の "ベアインストール" サーバーを起動します。PAN-OS の7.0.1 のように、パロアルトネットワークは centos 6.x の列車上で centos 6.5 以上をお勧めします。
  2. support.paloaltonetworks.com から VM シリーズ KVM ベースイメージ用の汎 OS をダウンロードします。PA-VM-KVM-7.0.1. qcow2

    あなたは、CentOS のサーバー上で wget を使用するか、デスクトップブラウザを使用して画像をダウンロードしてから、opt フォルダにサーバーにコピーすることができます。

  3. サーバーに KVM (カーネルベースの仮想マシン) を準備してインストールします。

     

    サーバーが最新のもので、ハードウェアの仮想化をサポートしていることを確認します。

     

    CentOS のバージョンをチェック:

    $ 猫/etc/issue

    CentOS リリース 6.7 (ファイナル)

    \m 上のカーネル \r

     

    サーバーを更新します。

    $ yum を-y の更新

     

    ハードウェア仮想化のサポートを確認する:

    $ は grep-電子 ' svm を | vmx '/proc/cpuinfo

    フラグ: fpu vme デ pse tsc の msr の pae の cx8 は、9月 mtrr 白金の mca の cmov パット pse36 clflush dts の acpi mmx fxsr sse の sse2 は、ht tm の pbe syscall nx の rdtscp lm constant_tsc arch_perfmon pebs bts の rep_good xtopology nonstop_tsc aperfmperf pni pclmulqdq dtes64 モニタ ds_cpl vmx 休薬 est tm2 ssse3 cx16 xtpr pdcm pcid sse4_1 sse4_2 x2apic popcnt tsc_deadline_timer aes xsave avx f16c rdrand lahf_lm arat xsaveopt pln pts dts tpr_shadow vnmi flexpriority ept vpid fsgsbase smep erms

     

    上記のコマンドの出力が空白の場合は、ここで停止し、ハードウェア仮想化サポートを使用してサーバーを調達することをお勧めします。

     

    KVM バイナリとライブラリのインストール:

    $ yum をインストールする kvm python-virtinst libvirt libvirt-python の virt-マネージャ virt-ビューア libguestfs-ツール

    $ yum をインストール policycoreutils-python のブリッジ-ユーティリティ

     

    ブート時に自動的に起動するように libvirtd を構成する:

    $ chkconfig libvirtd

    $ シャットダウン-r を今すぐ

     

    再起動後に、libvirt のインストールによってインストールされる新しい virbr0 インターフェイスを表示する必要があります。

    $ ifconfig virbr0

  4. ネットワーク init スクリプトを使用して、2つの追加ブリッジインターフェイスを作成します。

     

    ネットワークマネージャを無効にし、ネットワーク init スクリプトに依存します。

    $ cd/etc/sysconfig/network-scripts/

    $ chkconfig NetworkManager オフ

    NetworManager が CentOS インスタンスにインストールされていない場合は、このコマンドによってエラーが生成されます。

    $ chkconfig ネットワークオン

     

    潜在的なロールバックのバックアップファイルを作成します。

    $ cp ifcfg-eth0 の ifcfg-eth0 の

    $ cp ifcfg-eth1 朴 ifcfg-eth1

     

    また、eth1 にセカンダリアドレスがある場合は、次のようにコピーする必要があります。

    $ cp ifcfg-eth1-range0 ifcfg-br1-range0

    $ mv ifcfg-eth1-range0 朴 ifcfg-eth1-range0

     

    同様に、このトポロジの例としてルート eth0 などのプライベートインターフェイスのルートファイルがある場合は、次のようにコピーする必要があります。

    $ cp ルート-eth0 ルート-br0

    $ mv ルート-eth0 の朴ルート-eth0 の

     

    ifcfg-eth0 スクリプトのコピーを ifcfg-br0 として作成し、それを編集して、そのタイプ = Bridge が大文字小文字を区別するステートメントであることに注目してください。

    $ cp ifcfg-eth0 の ifcfg-br0

    $ vi ifcfg-br0

    デバイス = br0

    BOOTPROTO = 静的

    タイプ = ブリッジ

    ONBOOT = はい

    遅延 = 0

    NM_CONTROLLED = いいえ

    IPADDR = 10.18.143.144

    ネットマスク = 255.255.255.192

     

    元の ifcfg スクリプトを変更して任意の IP アドレスを削除し、ブリッジ = br0 ステートメントを追加して、スクリプトが最終的に次のようになります。

    $ vi の ifcfg-eth0 の

    デバイス = eth0

    BOOTPROTO = なし

    ONBOOT = はい

    HWADDR = 00:25:90: xx: yy: zz (MAC アドレスで置換)

    NM_CONTROLLED = いいえ

    ブリッジ = br0

     

    ifcfg-eth1 スクリプトのコピーを ifcfg-br1 として作成し、それを編集して、そのタイプ = Bridge が大文字小文字を区別するステートメントであることに注目してください。

    $ cp ifcfg-eth1 ifcfg-br1

    $ vi ifcfg-br1

    デバイス = br1

    BOOTPROTO = 静的

    タイプ = ブリッジ

    ONBOOT = はい

    遅延 = 0

    NM_CONTROLLED = いいえ

    IPADDR = 192.168.234.238

    ネットマスク = 255.255.255.248

    ゲートウェイ = 192.168.234.233

     

    元の ifcfg eth1 スクリプトを変更して任意の IP アドレスを削除し、ブリッジ = br1 ステートメントを追加して、スクリプトが最終的に次のようになります。

    $ vi ifcfg-eth1

    デバイス = eth1

    BOOTPROTO = なし

    ONBOOT = はい

    HWADDR = 00:25:90: xx: yy: zz (MAC アドレスで置換)

    NM_CONTROLLED = いいえ

    ブリッジ = br1

     

    /etc/sysctl.conf を編集し、下の3行を追加することにより、ブリッジインターフェイス上の netfilter を無効にする:

    $ cp/etc/sysctl.conf/etc/sysctl.conf.bak

    $ vi/etc/sysctl.conf

    ブリッジ-nf-コール-ip6tables = 0

    ブリッジ-nf-コール-iptables の = 0

    ブリッジ-nf-コール-arptables = 0

    $ sysctl-p/etc/sysctl.conf

     

    2つの新しい br0 と br1 インターフェイスは、自動的に再起動する必要がありますが、追加の予防措置として、/etc/rc.local に次のステートメントを追加します。

    $ vi/etc/rc.local

    ifup br0

    ifup br1

     

    変更を有効にするためにネットワークを再起動し、再起動して、新しいインターフェイスがブート後に実行されることを確認します。アドレスを変更するには再起動が必要な場合があります。

    警告: 再起動する前に、ifconfig-br1 ファイルを確認して、すべての設定が正しく表示されていることを確認し、インターネットに接続しているインターフェイスが起動しない場合に、このサーバー/コンソールに帯域外管理アクセス権があることを確認します。

    $ サービスネットワークの再起動

    $ ifconfig

    $ シャットダウン-r を今すぐ

  5. イメージを/var/lib/libvirt/images にコピーし、VM をインストールします。

    $ cp/opt/PA-VM-KVM-7.0.1.qcow2/var/lib/libvirt/images

    $ virt-install--qemu:///system--名前 = pa-vm--ディスクパス =/var/lib/libvirt/images/PA-VM-KVM-7.0.1.qcow2、フォーマット = qcow2、バス = virtio、キャッシュ = ライトスルー--vcpus = 4--ram = 4096-ネットワークブリッジ = virbr0-ネットワークブリッジ = br0-ネットワークブリッジ =br1--os タイプ = linux--os-バリアント = rhel6--インポート

  6. コンソールにログインし、管理インタフェースを設定します。

    $ virsh コンソール pa-vm の

    > 構成

    # 設定 deviceconfig システムの ip アドレス192.168.122.3 ネットマスク255.255.255.0 デフォルトゲートウェイ 192.168.122.1 dns の設定サーバープライマリ8.8.8.8

    # コミット

  7. CentOS サーバーからの接続を確認します。

    $ ssh の管理者 @ 192.168.122.3

  8.  ssh 経由で vm シリーズにログインした後:

    > [デバッグ] vm シリーズインターフェイスをすべて表示

    Phoenix_interface ベース-OS_port ベース-OS_MAC PCI-ID ドライバ

    mgt eth0 52:54:00: yy: yy:27 0000:00: 03.0 virtio_net

    Ethernet1/1 eth1 52:54:00: yy: yy: a5 0000:00: 04.0 virtio_net

    Ethernet1/2 eth2 52:54:00: yy: yy: 6d 0000:00: 05.0 virtio_net

    admin@PA-VM >

  9.  CLI を使用してファイアウォールを構成し、変更をコミットします。

     

    e1/1 インタフェースをレイヤ3トラストゾーンのメンバとして設定します。これは、Untrust ゾーン内の e1/1 の典型的なパロアルトネットワークトポロジから、ベアメタルサーバーインターフェイスの命名法に一致するように反転されていることに注意してください。

    # 設定ネットワークインターフェイスイーサネット ethernet1/1 layer3 ip 10.18.143.145/26

    # セットゾーントラストネットワーク layer3 ethernet1/1

    # 設定ネットワーク仮想ルータのデフォルトのインターフェイス ethernet1/1

     

    Untrust e1/2 インタフェースとゾーンを設定します。

    # 設定ネットワークインターフェイスイーサネット ethernet1/2 layer3 ip 172.16.77.170/30

    # セットゾーン untrust ネットワーク layer3 ethernet1/2

    # 設定ネットワーク仮想ルータのデフォルトのインターフェイス ethernet1/2

     

    デフォルトの VR でデフォルトルートを定義します。

    # 設定ネットワーク仮想ルータのデフォルトのルーティング-テーブルの ip 静的-ルートデフォルトの宛先 0.0.0.0/0 nexthop ip アドレス172.16.77.169

     

    プライベートインターフェイスで ssh と ping を有効にします。

    # 設定ネットワークプロファイルインターフェイス-管理-プロファイル allow_ping_ssh の ping はい ssh はい

    # 設定ネットワークインターフェイスイーサネット ethernet1/1 layer3 インターフェイス-管理-プロファイル allow_ping_ssh

     

    プライベートインターフェイスで ssh と ping を有効にします。

    # 設定ネットワークプロファイルインターフェイス-管理-プロファイル allow_ping の ping はい

    # 設定ネットワークインターフェイスイーサネット ethernet1/2 layer3 インターフェイス-管理-プロファイル allow_ping

     

    設定をコミットします。

    # コミット

     

     



Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000Cm2lCAC&lang=ja&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language