Comment reconstruire PA-VM Firewall dans Azure
Objective
- Les réseaux Palo Alto Firewall hébergés dans Azure ont cessé de fonctionner et ne sont pas récupérables.
- A nouvelle instance Palo Alto Networks VM PA-VM () peut être déployée dans le même groupe de ressources.
- Les mêmes interfaces réseau peuvent être réutilisées afin que les IP adresses ne changent pas.
- Itinéraires définis par UDR l’utilisateur ( ) et groupes de SG sécurité ( ) peuvent être laissés tels quel.
Environment
- Série Palo Alto VM- Networks Firewall
- Déployé dans Microsoft Azure
Procedure
Dans le portail Azure, rendez-vous dans l’instance et recueillez les informations suivantes :
Vue d’ensemble > Essentials :
Groupe de ressources :PA-VM-boot2
Emplacement : Central US
Abonnement(modifier) : Azure-Subscription-Name Subscription
ID :00000000-11aa-22b2-33cc-d4dd444d444
Nom de l’ordinateur :(Nom d’hôte Firewallde )Taille :Standard D4 v2 (4 vcpus, 14 Gio de mémoire)
Vue d'> propriétés:
> mise en réseau :
Rassembler les noms de toutes les interfaces réseau connectées
- Effectuez une sauvegarde de configuration avant de continuer. Voir Sauvegarde et restauration de configurations
Power Down, Créer et attacher Dummy NIC , et détacher les NICs.
b) Créer une interface réseau et attacher à downed firewall . Le VM doit avoir une ou plusieurs nics attachés en tout temps; ce nic factice permettra le détachement d’autres nics.
c) Détachez toutes les autres interfaces réseau (laissant le nouveau nic factice)
Lancer une nouvelle PA-VM instance en utilisant les mêmes paramètres
Créez des commandes Azure CLI qui créeront une nouvelle instance :
Modèle:
az vm create -- subscription <subscription-id> --resource-group <resource group name> --name <FW-Hostname> --location <REGION FW is in (eastus,centrualus, etc)> --nics <mgmtnic eth1nic eth2nic > --size Standard_D3_V2 --image paloaltonetworks:vmseries1:byol:9.0.1 --plan-name byol --plan-product vmseries1 --plan-publisher paloaltonetworks --authentication-type password --admin-username demouser --admin-password yourpassword
Exemple:
az vm create --subscription 81000000-11aa-22b2-33cc-d4dd444d444 --resource-group PA-VM-boot2 --name FW-Hostname --location centrualus --nics mgmtnic eth1-untrust-nic eth2-trust-nic --size Standard_D4_V2 --image paloaltonetworks:vmseries-flex:byol:10.1.5 --plan-name byol --plan-product vmseries-flex --plan-publisher paloaltonetworks --authentication-type password --admin-username pavmadmin --admin-password adminpassword --zone 1
Informations complémentaires sur l’Azure CLI :
b) "--image » Utilisez l’Azure CLI pour localiser toutes les images disponibles sur Palo Alto Networks.
PS Azure:\> az vm image list --publisher paloaltonetworks --all
Exemple de sortie.
{ "offer": "vmseries-flex", "publisher": "paloaltonetworks", "sku": "byol", "urn": "paloaltonetworks:vmseries-flex:byol:10.1.5", "version": "10.1.5" },
c) « --nics » L’ordre des cartes réseau a de l’importance d) « --name » Pour réutiliser le même nom d’ordinateur (FW-nom d’hôte), l’ancien
doit être supprimé.
e) « --zone » fait référence à la zone de disponibilité.
f) « --offer » pour PA-VM les pare-feu il y a « vmseries1 » ou le plus récent « vmseries-flex"
g) Vous trouverez plus d’informations sur les commandes Azure CLI ici : https://docs.microsoft.com/en-us/cli/azure/vm?view=azure-cli-latest
Licence nouvelle PA-VM
a) Si BYOL : Rassemblez l’ancien numéro de série, le nouveau CPUID et UUID . Palo Alto Networks peut TAC mettre à jour le numéro de série avec le nouveau et CPUID UUID . Une fois les licences d’installation terminées, en commençant par PA-VM la licence de capacité.
Installez le contenu (mises à jour dynamiques) et la version de maintenance préférée PAN-OS.
b) Télécharger et installer les mises à jour dynamiques nécessaires (Apps & Threats, URL Filtering, etc.).
c) Télécharger et installer la dernière VM- série plugin ( PAN-OS 9.0 et au-dessus)
Config de sauvegarde de charge :
a) Import config sauvegarde de l’ancien firewall .
- A « état de l’appareil » est préférable car il s’agit de la sauvegarde la plus complète.
- A « running-config.xml » fonctionnera si un état complet de l’appareil n’est pas disponible.
- Si toute configuration a été ajoutée par Panorama , ajouter Panorama IP et PA-VM s’engager. Une fois que l’appareil se Panorama connecte à , policy pousser à firewall .
Valider et vérifier le trafic
Une fois l’engagement terminé, firewall doit être opérationnel et le trafic de passage.
- Aucun ajustement ne devrait être nécessaire dans Azure (UDRs, SGs, etc.).
- IP les adresses doivent rester les mêmes. En supposant que la possibilité de les conserver a été activée.
Additional Information
Il existe deux offres « vmseries1 » et « vmseries-flex ».
- vmseries1 : les PAYG pare-feu seront lancés avec VM-300 licence. Peu importe le type d’instance.
- vmseries-flex : lancement PAYG de pare-feu avec différentes tailles de licence, selon le type d’instance.
WARNING:
PA-VM firewall s’il a été déployé via Terraform : Étant donné que ces modifications sont apportées en dehors de Terraform, cela brisera les informations d’état maintenues par Terraform et entraînera des scripts cassés.Cela peut être nettoyé plus tard.