Neuaufbau PA-VM Firewall in Azure

Neuaufbau PA-VM Firewall in Azure

36024
Created On 02/13/20 16:24 PM - Last Modified 01/31/23 00:14 AM


Objective


  • Die in Azure gehosteten Palo Alto-Netzwerke Firewall funktionieren nicht mehr und können nicht wiederhergestellt werden.
  • A neue Palo Alto Networks VM ( PA-VM )-Instanz kann in derselben Ressourcengruppe bereitgestellt werden.
  • Die gleichen Netzwerkschnittstellen können wiederverwendet werden, damit IP sich Adressen nicht ändern.
  • Benutzerdefinierte Routen ( UDR ) und Sicherheitsgruppen ( SG ) können so belassen werden, wie sie sind.

Environment


  • Palo Alto VM- Networks-Serie Firewall
  • In Microsoft Azure bereitgestellt

Procedure


  1. Wechseln Sie im Azure-Portal zur Instanz, und sammeln Sie die folgenden Informationen:

Überblick > Essentials:

Ressourcengruppe:PA-VM-boot2
Speicherort: Central US
Abonnement(ändern): Azure-Abonnementname
AbonnementID:00000000-11aa-22b2-33cc-d4dd444d444
Computername:(Hostname von Firewall)Größe:Standard D4 v2 (4 vCPUS, 14 GiB Speicher)

 

Übersicht > Eigenschaften:

Angebot: vmseries-flex

Einstellungen > Netzwerk:

Sammeln der Namen aller angeschlossenen Netzwerkschnittstellen

  1. Erstellen Sie eine Konfigurationssicherung, bevor Sie fortfahren. Siehe Sichern und Wiederherstellen von Konfigurationen

  2. Herunterfahren, Erstellen und Anfügen von NIC Dummy- und Trenn-NICs.

a) Schalten Sie die VM (wenn nicht bereits geschehen)
b) Erstellen Sie eine Netzwerkschnittstelle und fügen Sie sie an downed firewall an. Die VM müssen eine oder mehrere nics zu jeder Zeit befestigt haben; diese Dummy nic wird die Ablösung von anderen nics ermöglichen.
c) Alle anderen Netzwerkschnittstellen abtrennen (den neuen Dummy nic verlassen)
 

  1. Starten neuer PA-VM Instanzen mit denselben Einstellungen

Erstellen Sie CLI Azure-Befehle, die eine neue Instanz erstellen:

Vorlage:

az vm create -- subscription <subscription-id> --resource-group <resource group name> --name <FW-Hostname> --location <REGION FW is in (eastus,centrualus, etc)> --nics <mgmtnic eth1nic eth2nic > --size Standard_D3_V2 --image paloaltonetworks:vmseries1:byol:9.0.1 --plan-name byol --plan-product vmseries1 --plan-publisher paloaltonetworks --authentication-type password --admin-username demouser --admin-password yourpassword

Beispiel: 

az vm create --subscription 81000000-11aa-22b2-33cc-d4dd444d444 --resource-group PA-VM-boot2 --name FW-Hostname --location centrualus  --nics mgmtnic eth1-untrust-nic eth2-trust-nic --size Standard_D4_V2 --image paloaltonetworks:vmseries-flex:byol:10.1.5 --plan-name byol --plan-product vmseries-flex --plan-publisher paloaltonetworks --authentication-type password --admin-username pavmadmin --admin-password adminpassword --zone 1

 

Zusätzliche Informationen zum CLI Azure:

a) Zugriff auf Azure CLI per Webbrowser mit der Cloud Shell: https://docs.microsoft.com/en-us/azure/cloud-shell/overview 

b) "--image" Verwenden Sie CLI Azure, um alle Bilder zu finden, die in Palo Alto Networks verfügbar sind.

PS Azure:\> az vm image list --publisher paloaltonetworks --all
  

Beispielausgabe.

{
    "offer": "vmseries-flex",
    "publisher": "paloaltonetworks",
    "sku": "byol",
    "urn": "paloaltonetworks:vmseries-flex:byol:10.1.5",
    "version": "10.1.5"
  },
Beachten Sie, dass "paloaltonetworks:vmseries-flex:byol:10.1.5" für das Flag ""-- image" URN verwendet wird.


c) "--nics" Reihenfolge der nics spielt eine Rolle
d) "--name" Um den gleichen Computernamen (FW-Hostname) wiederzuverwenden, muss der alte zuerst entfernt werden.
e) "--zone" bezieht sich auf die Verfügbarkeitszone.
f) "--offer" für PA-VM Firewalls gibt es "vmseries1" oder das neuere "vmseries-flex"
g) Weitere Informationen zu Azure-Befehlen CLI finden Sie hier: https://docs.microsoft.com/en-us/cli/azure/vm?view=azure-cli-latest 

 

  1. Lizenz Neu PA-VM 

a) Wenn BYOL : Sammeln Sie die alte Seriennummer, die neue und CPUID UUID . Palo Alto Networks TAC kann die Seriennummer mit der neuen und CPUID UUID aktualisieren. Nach Abschluss der Installationslizenzen, beginnend mit PA-VM der Kapazitätslizenz.

b) Wenn PAYG : Registrieren Sie sich neu im PA-VM Support-Portal (https://docs.paloaltonetworks.com/ vm-series /9-1/ vm-series -deployment/license-the- vm-series - firewall /register-the- vm-series - firewall /register-the-usage-based-model-of-the---in-aws-and-azure-no-auth-code.html-idc6bc4ba9-2f6c-4ed1-957c-fb61fece86cb) vm-series firewall
 

  1. Installieren Sie Inhalte (dynamische Updates) und bevorzugte PAN-OS Wartungsversion.

a) Laden Sie die bevorzugte Wartungsversion herunter und installieren Sie PAN-OS sie.
b) Herunterladen und Installieren benötigter dynamischer Updates (Apps & Bedrohungen, URL Filtern usw.).
c) Download und Installation des neuesten VM- Series Plugins ( PAN-OS 9.0 und höher)

  1. Backup Config laden:

a) Importieren Sie die Konfigurationssicherung aus der alten firewall .

  • A "Device-State" ist vorzuziehen, da es sich um die vollständigste Sicherung handelt.
  • A "running-config.xml" funktioniert, wenn kein vollständiger Gerätestatus verfügbar ist.
  • Wenn die gesamte Konfiguration von hinzugefügt Panorama wurde, fügen Sie Panorama IP hinzu und übertragen Sie PA-VM sie. Sobald das Gerät eine Verbindung zu Panorama herstellt, drücken Sie policy auf firewall .
b) Überprüfen und Überprüfen der Konfiguration, bevor Sie über eine Sicherung übertragen werden. 
     

  1. Commit und Überprüfen des Datenverkehrs

Sobald commit abgeschlossen ist, firewall sollte betriebsbereit sein und den Verkehr passieren.

Weil wir alle Azure NIC's wiederverwendet haben:
  • In Azure (UDRs, SGs usw.) sollten keine Anpassungen erforderlich sein.
  •     IP Adressen sollten gleich bleiben. Unter der Annahme, dass die Option zum Beibehalten aktiviert wurde.
      
    

Additional Information


Es gibt zwei Angebote "vmseries1" und "vmseries-flex".

  • vmseries1: PAYG Firewalls werden mit VM-300 Lizenz gestartet. Unabhängig vom Instance-Typ.
  • vmseries-flex: PAYG Firewalls werden je nach Instance-Typ mit unterschiedlichen Lizenzgrößen gestartet.


WARNING:
wenn PA-VM firewall über Terraform bereitgestellt wurde: Da diese Änderungen außerhalb von Terraform vorgenommen werden, bricht dies Zustandsinformationen, die von Terraform verwaltet werden, und führt zu fehlerhaften Skripten.Dies kann später bereinigt werden.   

 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000POg4CAG&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language