Neuaufbau PA-VM Firewall in Azure
Objective
- Die in Azure gehosteten Palo Alto-Netzwerke Firewall funktionieren nicht mehr und können nicht wiederhergestellt werden.
- A neue Palo Alto Networks VM ( PA-VM )-Instanz kann in derselben Ressourcengruppe bereitgestellt werden.
- Die gleichen Netzwerkschnittstellen können wiederverwendet werden, damit IP sich Adressen nicht ändern.
- Benutzerdefinierte Routen ( UDR ) und Sicherheitsgruppen ( SG ) können so belassen werden, wie sie sind.
Environment
- Palo Alto VM- Networks-Serie Firewall
- In Microsoft Azure bereitgestellt
Procedure
Wechseln Sie im Azure-Portal zur Instanz, und sammeln Sie die folgenden Informationen:
Überblick > Essentials:
Ressourcengruppe:PA-VM-boot2
Speicherort: Central US
Abonnement(ändern): Azure-Abonnementname
AbonnementID:00000000-11aa-22b2-33cc-d4dd444d444
Computername:(Hostname von Firewall)Größe:Standard D4 v2 (4 vCPUS, 14 GiB Speicher)
Übersicht > Eigenschaften:
Einstellungen > Netzwerk:
Sammeln der Namen aller angeschlossenen Netzwerkschnittstellen
- Erstellen Sie eine Konfigurationssicherung, bevor Sie fortfahren. Siehe Sichern und Wiederherstellen von Konfigurationen
Herunterfahren, Erstellen und Anfügen von NIC Dummy- und Trenn-NICs.
b) Erstellen Sie eine Netzwerkschnittstelle und fügen Sie sie an downed firewall an. Die VM müssen eine oder mehrere nics zu jeder Zeit befestigt haben; diese Dummy nic wird die Ablösung von anderen nics ermöglichen.
c) Alle anderen Netzwerkschnittstellen abtrennen (den neuen Dummy nic verlassen)
Starten neuer PA-VM Instanzen mit denselben Einstellungen
Erstellen Sie CLI Azure-Befehle, die eine neue Instanz erstellen:
Vorlage:
az vm create -- subscription <subscription-id> --resource-group <resource group name> --name <FW-Hostname> --location <REGION FW is in (eastus,centrualus, etc)> --nics <mgmtnic eth1nic eth2nic > --size Standard_D3_V2 --image paloaltonetworks:vmseries1:byol:9.0.1 --plan-name byol --plan-product vmseries1 --plan-publisher paloaltonetworks --authentication-type password --admin-username demouser --admin-password yourpassword
Beispiel:
az vm create --subscription 81000000-11aa-22b2-33cc-d4dd444d444 --resource-group PA-VM-boot2 --name FW-Hostname --location centrualus --nics mgmtnic eth1-untrust-nic eth2-trust-nic --size Standard_D4_V2 --image paloaltonetworks:vmseries-flex:byol:10.1.5 --plan-name byol --plan-product vmseries-flex --plan-publisher paloaltonetworks --authentication-type password --admin-username pavmadmin --admin-password adminpassword --zone 1
Zusätzliche Informationen zum CLI Azure:
b) "--image" Verwenden Sie CLI Azure, um alle Bilder zu finden, die in Palo Alto Networks verfügbar sind.
PS Azure:\> az vm image list --publisher paloaltonetworks --all
Beispielausgabe.
{ "offer": "vmseries-flex", "publisher": "paloaltonetworks", "sku": "byol", "urn": "paloaltonetworks:vmseries-flex:byol:10.1.5", "version": "10.1.5" },
c) "--nics" Reihenfolge der nics spielt eine Rolle
d) "--name" Um den gleichen Computernamen (FW-Hostname) wiederzuverwenden, muss der alte zuerst entfernt werden.
e) "--zone" bezieht sich auf die Verfügbarkeitszone.
f) "--offer" für PA-VM Firewalls gibt es "vmseries1" oder das neuere "vmseries-flex"
g) Weitere Informationen zu Azure-Befehlen CLI finden Sie hier: https://docs.microsoft.com/en-us/cli/azure/vm?view=azure-cli-latest
Lizenz Neu PA-VM
a) Wenn BYOL : Sammeln Sie die alte Seriennummer, die neue und CPUID UUID . Palo Alto Networks TAC kann die Seriennummer mit der neuen und CPUID UUID aktualisieren. Nach Abschluss der Installationslizenzen, beginnend mit PA-VM der Kapazitätslizenz.
Installieren Sie Inhalte (dynamische Updates) und bevorzugte PAN-OS Wartungsversion.
b) Herunterladen und Installieren benötigter dynamischer Updates (Apps & Bedrohungen, URL Filtern usw.).
c) Download und Installation des neuesten VM- Series Plugins ( PAN-OS 9.0 und höher)
Backup Config laden:
a) Importieren Sie die Konfigurationssicherung aus der alten firewall .
- A "Device-State" ist vorzuziehen, da es sich um die vollständigste Sicherung handelt.
- A "running-config.xml" funktioniert, wenn kein vollständiger Gerätestatus verfügbar ist.
- Wenn die gesamte Konfiguration von hinzugefügt Panorama wurde, fügen Sie Panorama IP hinzu und übertragen Sie PA-VM sie. Sobald das Gerät eine Verbindung zu Panorama herstellt, drücken Sie policy auf firewall .
Commit und Überprüfen des Datenverkehrs
Sobald commit abgeschlossen ist, firewall sollte betriebsbereit sein und den Verkehr passieren.
- In Azure (UDRs, SGs usw.) sollten keine Anpassungen erforderlich sein.
- IP Adressen sollten gleich bleiben. Unter der Annahme, dass die Option zum Beibehalten aktiviert wurde.
Additional Information
Es gibt zwei Angebote "vmseries1" und "vmseries-flex".
- vmseries1: PAYG Firewalls werden mit VM-300 Lizenz gestartet. Unabhängig vom Instance-Typ.
- vmseries-flex: PAYG Firewalls werden je nach Instance-Typ mit unterschiedlichen Lizenzgrößen gestartet.
WARNING:
wenn PA-VM firewall über Terraform bereitgestellt wurde: Da diese Änderungen außerhalb von Terraform vorgenommen werden, bricht dies Zustandsinformationen, die von Terraform verwaltet werden, und führt zu fehlerhaften Skripten.Dies kann später bereinigt werden.