Cómo reconstruir PA-VM Firewall en Azure
Objective
- Las redes de Palo Alto Firewall hospedadas en Azure han dejado de funcionar y no se pueden recuperar.
- A nueva instancia de Palo Alto Networks VM ( ) se puede implementar en el mismo grupo de PA-VM recursos.
- Las mismas interfaces de red se pueden reutilizar para que IP las direcciones no cambien.
- Las rutas definidas por el usuario ( UDR ) y los grupos de seguridad ( ) se pueden dejar tal SG cual.
Environment
- Serie Palo Alto Networks VM- Firewall
- Implementado en Microsoft Azure
Procedure
En Azure Portal, vaya a la instancia y recopile la siguiente información:
Descripción general > Essentials:
Grupo de recursos:PA-VM-boot2
Ubicación: Central US
Suscripción (cambio): Azure-Subscription-Name
Suscripción ID:00000000-11aa-22b2-33cc-d4dd444d444
Nombre del equipo:(Nombre de host de )Tamaño:Standard D4 v2 (4 vCPU, 14 GiB de Firewallmemoria)
Información general > Propiedades:
> redes:
Recopilar nombres de todas las interfaces de red conectadas
- Realice una copia de seguridad de la configuración antes de continuar. Consulte Copia de seguridad y restauración de configuraciones
Apague, cree y conecte maniquí NIC y desasocia las NIC.
b) Cree una interfaz de red y adjunte a downed firewall . El VM debe tener una o más nics unidas en todo momento; esta nic ficticia permitirá el desprendimiento de otros nics.
c) Separar todas las demás interfaces de red (dejando el nuevo nic ficticio)
Lanzar nueva PA-VM instancia utilizando la misma configuración
Cree comandos de Azure CLI que creen una nueva instancia:
Plantilla:
az vm create -- subscription <subscription-id> --resource-group <resource group name> --name <FW-Hostname> --location <REGION FW is in (eastus,centrualus, etc)> --nics <mgmtnic eth1nic eth2nic > --size Standard_D3_V2 --image paloaltonetworks:vmseries1:byol:9.0.1 --plan-name byol --plan-product vmseries1 --plan-publisher paloaltonetworks --authentication-type password --admin-username demouser --admin-password yourpassword
Ejemplo:
az vm create --subscription 81000000-11aa-22b2-33cc-d4dd444d444 --resource-group PA-VM-boot2 --name FW-Hostname --location centrualus --nics mgmtnic eth1-untrust-nic eth2-trust-nic --size Standard_D4_V2 --image paloaltonetworks:vmseries-flex:byol:10.1.5 --plan-name byol --plan-product vmseries-flex --plan-publisher paloaltonetworks --authentication-type password --admin-username pavmadmin --admin-password adminpassword --zone 1
Información adicional sobre CLI Azure:
b) "--image" Use Azure CLI para localizar todas las imágenes disponibles de Palo Alto Networks.
PS Azure:\> az vm image list --publisher paloaltonetworks --all
Ejemplo de salida.
{ "offer": "vmseries-flex", "publisher": "paloaltonetworks", "sku": "byol", "urn": "paloaltonetworks:vmseries-flex:byol:10.1.5", "version": "10.1.5" },
c) "--nics" El orden de los nics sí importa
d) "--name" Para reutilizar el mismo nombre de equipo (FW-Hostname) el antiguo debe eliminarse el puño.
e) "--zone" se refiere a la zona de disponibilidad.
f) "--offer" para PA-VM firewalls hay "vmseries1" o el más reciente "vmseries-flex"
g) Puede encontrar más información sobre los comandos de Azure CLI aquí: https://docs.microsoft.com/en-us/cli/azure/vm?view=azure-cli-latest
Licencia nueva PA-VM
a) Si BYOL : Recoger el número de serie antiguo, el nuevo y CPUID UUID . Palo Alto Networks TAC puede actualizar el número de serie con el nuevo y CPUID UUID . Una vez completadas las licencias de instalación, comenzando con PA-VM la licencia de capacidad.
Instale el contenido (actualizaciones dinámicas) y la versión de mantenimiento preferida PAN-OS.
b) Descargar e instalar las actualizaciones dinámicas necesarias (Aplicaciones y Amenazas, URL Filtrado, etc.).
c) Descargar e instalar el último VM- plugin de la serie ( PAN-OS 9.0 y superior)
Configuración de copia de seguridad de carga:
a) Importar copia de seguridad de configuración desde la antigua firewall .
- A "estado del dispositivo" es preferible, ya que es la copia de seguridad más completa.
- A "running-config.xml" funcionará si no hay un estado completo del dispositivo disponible.
- Si toda la configuración se Panorama agregó, agréguelo Panorama IP PA-VM y confirme. Una vez que el dispositivo se conecte Panorama a , presione a policy firewall .
Confirmar y verificar el tráfico
Una vez completada la confirmación, firewall debe ser tráfico operativo y pasajero.
- No se deben realizar ajustes en Azure (UDR, SG, etc.).
- IP direcciones deben seguir siendo las mismas. Suponiendo que se ha habilitado la opción de conservarlos.
Additional Information
Hay dos ofertas "vmseries1" y "vmseries-flex".
- vmseries1: PAYG los firewalls se iniciarán con VM-300 licencia. No importa el tipo de instancia.
- vmseries-flex: PAYG los firewalls se inician con diferentes tamaños de licencia, dependiendo del tipo de instancia.
WARNING:
si PA-VM firewall se implementó a través de Terraform: Dado que estos cambios se realizan fuera de Terraform, esto interrumpirá la información de estado mantenida por Terraform y dará lugar a scripts rotos.Esto se puede limpiar más tarde.