CLI 構成: KVM を使用して、CentOS 6.x ベアメタルサーバー上に VM シリーズゲートウェイをセットアップする
Resolution
サマリ:
このソリューションは、KVM 仮想化を使用して、少数の CentOS 6.x サーバー上にパロアルトネットワーク VM シリーズインスタンスをセットアップするための CLI ステップを示しています。
トポロジ:
以下のトポロジでは、パブリック IP アドレスがインターネットに接続されたインターフェイスの RFC 1918 アドレスに置き換えられていることに注意してください。
詳細:
- 2つの nic を備えた CentOS 6.x の "ベアインストール" サーバーを起動します。PAN-OS の7.0.1 のように、パロアルトネットワークは centos 6.x の列車上で centos 6.5 以上をお勧めします。
support.paloaltonetworks.com から VM シリーズ KVM ベースイメージ用の汎 OS をダウンロードします。PA-VM-KVM-7.0.1. qcow2
あなたは、CentOS のサーバー上で wget を使用するか、デスクトップブラウザを使用して画像をダウンロードしてから、opt フォルダにサーバーにコピーすることができます。
サーバーに KVM (カーネルベースの仮想マシン) を準備してインストールします。
サーバーが最新のもので、ハードウェアの仮想化をサポートしていることを確認します。
CentOS のバージョンをチェック:
$ 猫/etc/issue
CentOS リリース 6.7 (ファイナル)
\m 上のカーネル \r
サーバーを更新します。
$ yum を-y の更新
ハードウェア仮想化のサポートを確認する:
$ は grep-電子 ' svm を | vmx '/proc/cpuinfo
フラグ: fpu vme デ pse tsc の msr の pae の cx8 は、9月 mtrr 白金の mca の cmov パット pse36 clflush dts の acpi mmx fxsr sse の sse2 は、ht tm の pbe syscall nx の rdtscp lm constant_tsc arch_perfmon pebs bts の rep_good xtopology nonstop_tsc aperfmperf pni pclmulqdq dtes64 モニタ ds_cpl vmx 休薬 est tm2 ssse3 cx16 xtpr pdcm pcid sse4_1 sse4_2 x2apic popcnt tsc_deadline_timer aes xsave avx f16c rdrand lahf_lm arat xsaveopt pln pts dts tpr_shadow vnmi flexpriority ept vpid fsgsbase smep erms
上記のコマンドの出力が空白の場合は、ここで停止し、ハードウェア仮想化サポートを使用してサーバーを調達することをお勧めします。
KVM バイナリとライブラリのインストール:
$ yum をインストールする kvm python-virtinst libvirt libvirt-python の virt-マネージャ virt-ビューア libguestfs-ツール
$ yum をインストール policycoreutils-python のブリッジ-ユーティリティ
ブート時に自動的に起動するように libvirtd を構成する:
$ chkconfig libvirtd
$ シャットダウン-r を今すぐ
再起動後に、libvirt のインストールによってインストールされる新しい virbr0 インターフェイスを表示する必要があります。
$ ifconfig virbr0
ネットワーク init スクリプトを使用して、2つの追加ブリッジインターフェイスを作成します。
ネットワークマネージャを無効にし、ネットワーク init スクリプトに依存します。
$ cd/etc/sysconfig/network-scripts/
$ chkconfig NetworkManager オフ
NetworManager が CentOS インスタンスにインストールされていない場合は、このコマンドによってエラーが生成されます。
$ chkconfig ネットワークオン
潜在的なロールバックのバックアップファイルを作成します。
$ cp ifcfg-eth0 の ifcfg-eth0 の
$ cp ifcfg-eth1 朴 ifcfg-eth1
また、eth1 にセカンダリアドレスがある場合は、次のようにコピーする必要があります。
$ cp ifcfg-eth1-range0 ifcfg-br1-range0
$ mv ifcfg-eth1-range0 朴 ifcfg-eth1-range0
同様に、このトポロジの例としてルート eth0 などのプライベートインターフェイスのルートファイルがある場合は、次のようにコピーする必要があります。
$ cp ルート-eth0 ルート-br0
$ mv ルート-eth0 の朴ルート-eth0 の
ifcfg-eth0 スクリプトのコピーを ifcfg-br0 として作成し、それを編集して、そのタイプ = Bridge が大文字小文字を区別するステートメントであることに注目してください。
$ cp ifcfg-eth0 の ifcfg-br0
$ vi ifcfg-br0
デバイス = br0
BOOTPROTO = 静的
タイプ = ブリッジ
ONBOOT = はい
遅延 = 0
NM_CONTROLLED = いいえ
IPADDR = 10.18.143.144
ネットマスク = 255.255.255.192
元の ifcfg スクリプトを変更して任意の IP アドレスを削除し、ブリッジ = br0 ステートメントを追加して、スクリプトが最終的に次のようになります。
$ vi の ifcfg-eth0 の
デバイス = eth0
BOOTPROTO = なし
ONBOOT = はい
HWADDR = 00:25:90: xx: yy: zz (MAC アドレスで置換)
NM_CONTROLLED = いいえ
ブリッジ = br0
ifcfg-eth1 スクリプトのコピーを ifcfg-br1 として作成し、それを編集して、そのタイプ = Bridge が大文字小文字を区別するステートメントであることに注目してください。
$ cp ifcfg-eth1 ifcfg-br1
$ vi ifcfg-br1
デバイス = br1
BOOTPROTO = 静的
タイプ = ブリッジ
ONBOOT = はい
遅延 = 0
NM_CONTROLLED = いいえ
IPADDR = 192.168.234.238
ネットマスク = 255.255.255.248
ゲートウェイ = 192.168.234.233
元の ifcfg eth1 スクリプトを変更して任意の IP アドレスを削除し、ブリッジ = br1 ステートメントを追加して、スクリプトが最終的に次のようになります。
$ vi ifcfg-eth1
デバイス = eth1
BOOTPROTO = なし
ONBOOT = はい
HWADDR = 00:25:90: xx: yy: zz (MAC アドレスで置換)
NM_CONTROLLED = いいえ
ブリッジ = br1
/etc/sysctl.conf を編集し、下の3行を追加することにより、ブリッジインターフェイス上の netfilter を無効にする:
$ cp/etc/sysctl.conf/etc/sysctl.conf.bak
$ vi/etc/sysctl.conf
ブリッジ-nf-コール-ip6tables = 0
ブリッジ-nf-コール-iptables の = 0
ブリッジ-nf-コール-arptables = 0
$ sysctl-p/etc/sysctl.conf
2つの新しい br0 と br1 インターフェイスは、自動的に再起動する必要がありますが、追加の予防措置として、/etc/rc.local に次のステートメントを追加します。
$ vi/etc/rc.local
ifup br0
ifup br1
変更を有効にするためにネットワークを再起動し、再起動して、新しいインターフェイスがブート後に実行されることを確認します。アドレスを変更するには再起動が必要な場合があります。
警告: 再起動する前に、ifconfig-br1 ファイルを確認して、すべての設定が正しく表示されていることを確認し、インターネットに接続しているインターフェイスが起動しない場合に、このサーバー/コンソールに帯域外管理アクセス権があることを確認します。
$ サービスネットワークの再起動
$ ifconfig
$ シャットダウン-r を今すぐ
イメージを/var/lib/libvirt/images にコピーし、VM をインストールします。
$ cp/opt/PA-VM-KVM-7.0.1.qcow2/var/lib/libvirt/images
$ virt-install--qemu:///system--名前 = pa-vm--ディスクパス =/var/lib/libvirt/images/PA-VM-KVM-7.0.1.qcow2、フォーマット = qcow2、バス = virtio、キャッシュ = ライトスルー--vcpus = 4--ram = 4096-ネットワークブリッジ = virbr0-ネットワークブリッジ = br0-ネットワークブリッジ =br1--os タイプ = linux--os-バリアント = rhel6--インポート
コンソールにログインし、管理インタフェースを設定します。
$ virsh コンソール pa-vm の
> 構成
# 設定 deviceconfig システムの ip アドレス192.168.122.3 ネットマスク255.255.255.0 デフォルトゲートウェイ 192.168.122.1 dns の設定サーバープライマリ8.8.8.8
# コミット
CentOS サーバーからの接続を確認します。
$ ssh の管理者 @ 192.168.122.3
ssh 経由で vm シリーズにログインした後:
> [デバッグ] vm シリーズインターフェイスをすべて表示
Phoenix_interface ベース-OS_port ベース-OS_MAC PCI-ID ドライバ
mgt eth0 52:54:00: yy: yy:27 0000:00: 03.0 virtio_net
Ethernet1/1 eth1 52:54:00: yy: yy: a5 0000:00: 04.0 virtio_net
Ethernet1/2 eth2 52:54:00: yy: yy: 6d 0000:00: 05.0 virtio_net
admin@PA-VM >
CLI を使用してファイアウォールを構成し、変更をコミットします。
e1/1 インタフェースをレイヤ3トラストゾーンのメンバとして設定します。これは、Untrust ゾーン内の e1/1 の典型的なパロアルトネットワークトポロジから、ベアメタルサーバーインターフェイスの命名法に一致するように反転されていることに注意してください。
# 設定ネットワークインターフェイスイーサネット ethernet1/1 layer3 ip 10.18.143.145/26
# セットゾーントラストネットワーク layer3 ethernet1/1
# 設定ネットワーク仮想ルータのデフォルトのインターフェイス ethernet1/1
Untrust e1/2 インタフェースとゾーンを設定します。
# 設定ネットワークインターフェイスイーサネット ethernet1/2 layer3 ip 172.16.77.170/30
# セットゾーン untrust ネットワーク layer3 ethernet1/2
# 設定ネットワーク仮想ルータのデフォルトのインターフェイス ethernet1/2
デフォルトの VR でデフォルトルートを定義します。
# 設定ネットワーク仮想ルータのデフォルトのルーティング-テーブルの ip 静的-ルートデフォルトの宛先 0.0.0.0/0 nexthop ip アドレス172.16.77.169
プライベートインターフェイスで ssh と ping を有効にします。
# 設定ネットワークプロファイルインターフェイス-管理-プロファイル allow_ping_ssh の ping はい ssh はい
# 設定ネットワークインターフェイスイーサネット ethernet1/1 layer3 インターフェイス-管理-プロファイル allow_ping_ssh
プライベートインターフェイスで ssh と ping を有効にします。
# 設定ネットワークプロファイルインターフェイス-管理-プロファイル allow_ping の ping はい
# 設定ネットワークインターフェイスイーサネット ethernet1/2 layer3 インターフェイス-管理-プロファイル allow_ping
設定をコミットします。
# コミット