Comment reconstruire PA-VM Firewall dans Azure

36018

Created On 02/13/20 16:24 PM - Last Modified 01/31/23 00:14 AM

Objective

Les réseaux Palo Alto Firewall hébergés dans Azure ont cessé de fonctionner et ne sont pas récupérables.
A nouvelle instance Palo Alto Networks VM PA-VM () peut être déployée dans le même groupe de ressources.
Les mêmes interfaces réseau peuvent être réutilisées afin que les IP adresses ne changent pas.
Itinéraires définis par UDR l’utilisateur ( ) et groupes de SG sécurité ( ) peuvent être laissés tels quel.

Environment

Série Palo Alto VM- Networks Firewall
Déployé dans Microsoft Azure

Procedure

Dans le portail Azure, rendez-vous dans l’instance et recueillez les informations suivantes :

Vue d’ensemble > Essentials :

Groupe de ressources :PA-VM-boot2
Emplacement : Central US
Abonnement(modifier) : Azure-Subscription-Name Subscription
ID :00000000-11aa-22b2-33cc-d4dd444d444
Nom de l’ordinateur :(Nom d’hôte Firewallde )Taille :Standard D4 v2 (4 vcpus, 14 Gio de mémoire)

Vue d'> propriétés:

Offre : Paramètres vmseries-flex

> mise en réseau :

Rassembler les noms de toutes les interfaces réseau connectées

Effectuez une sauvegarde de configuration avant de continuer. Voir Sauvegarde et restauration de configurations
Power Down, Créer et attacher Dummy NIC , et détacher les NICs.

a) Alimenter le VM (sinon déjà fait)
b) Créer une interface réseau et attacher à downed firewall . Le VM doit avoir une ou plusieurs nics attachés en tout temps; ce nic factice permettra le détachement d’autres nics.
c) Détachez toutes les autres interfaces réseau (laissant le nouveau nic factice)

Lancer une nouvelle PA-VM instance en utilisant les mêmes paramètres

Créez des commandes Azure CLI qui créeront une nouvelle instance :

Modèle:

az vm create -- subscription <subscription-id> --resource-group <resource group name> --name <FW-Hostname> --location <REGION FW is in (eastus,centrualus, etc)> --nics <mgmtnic eth1nic eth2nic > --size Standard_D3_V2 --image paloaltonetworks:vmseries1:byol:9.0.1 --plan-name byol --plan-product vmseries1 --plan-publisher paloaltonetworks --authentication-type password --admin-username demouser --admin-password yourpassword

Exemple:

az vm create --subscription 81000000-11aa-22b2-33cc-d4dd444d444 --resource-group PA-VM-boot2 --name FW-Hostname --location centrualus  --nics mgmtnic eth1-untrust-nic eth2-trust-nic --size Standard_D4_V2 --image paloaltonetworks:vmseries-flex:byol:10.1.5 --plan-name byol --plan-product vmseries-flex --plan-publisher paloaltonetworks --authentication-type password --admin-username pavmadmin --admin-password adminpassword --zone 1

Informations complémentaires sur l’Azure CLI :

a) Accédez à Azure CLI via un navigateur web avec le shell cloud : https://docs.microsoft.com/en-us/azure/cloud-shell/overview

b) "--image » Utilisez l’Azure CLI pour localiser toutes les images disponibles sur Palo Alto Networks.

PS Azure:\> az vm image list --publisher paloaltonetworks --all

Exemple de sortie.

{
    "offer": "vmseries-flex",
    "publisher": "paloaltonetworks",
    "sku": "byol",
    "urn": "paloaltonetworks:vmseries-flex:byol:10.1.5",
    "version": "10.1.5"
  },

Notez que le URN « paloaltonetworks:vmseries-flex:byol:10.1.5 » est utilisé pour l’indicateur « »-- image »

c) « --nics » L’ordre des cartes réseau a de l’importance d) « --name » Pour réutiliser le même nom d’ordinateur (FW-nom d’hôte), l’ancien
doit être supprimé.
e) « --zone » fait référence à la zone de disponibilité.
f) « --offer » pour PA-VM les pare-feu il y a « vmseries1 » ou le plus récent « vmseries-flex"
g) Vous trouverez plus d’informations sur les commandes Azure CLI ici : https://docs.microsoft.com/en-us/cli/azure/vm?view=azure-cli-latest

Licence nouvelle PA-VM

a) Si BYOL : Rassemblez l’ancien numéro de série, le nouveau CPUID et UUID . Palo Alto Networks peut TAC mettre à jour le numéro de série avec le nouveau et CPUID UUID . Une fois les licences d’installation terminées, en commençant par PA-VM la licence de capacité.

b) Si PAYG : PA-VM Inscrivez-vous nouveau portail de support (https://docs.paloaltonetworks.com/ vm-series /9-1/ vm-series -déploiement/licence-le- vm-series - firewall /register-the- vm-series - firewall /register-the-usage-based-model-of-the- vm-series - firewall -in-aws-and-azure-no-auth-code.html#idc6bc4ba9-2f6c-4ed1-957c-fb61fece86cb)

Installez le contenu (mises à jour dynamiques) et la version de maintenance préférée PAN-OS.

a) Télécharger et installer la version de PAN-OS maintenance préférée.
b) Télécharger et installer les mises à jour dynamiques nécessaires (Apps & Threats, URL Filtering, etc.).
c) Télécharger et installer la dernière VM- série plugin ( PAN-OS 9.0 et au-dessus)

Config de sauvegarde de charge :

a) Import config sauvegarde de l’ancien firewall .

A « état de l’appareil » est préférable car il s’agit de la sauvegarde la plus complète.
A « running-config.xml » fonctionnera si un état complet de l’appareil n’est pas disponible.
Si toute configuration a été ajoutée par Panorama , ajouter Panorama IP et PA-VM s’engager. Une fois que l’appareil se Panorama connecte à , policy pousser à firewall .

b) Examiner et vérifier la configuration avant de vous engager à partir d’une sauvegarde.

Valider et vérifier le trafic

Une fois l’engagement terminé, firewall doit être opérationnel et le trafic de passage.

Parce que nous avons réutilisé tous les NICAzure :

Aucun ajustement ne devrait être nécessaire dans Azure (UDRs, SGs, etc.).
IP les adresses doivent rester les mêmes. En supposant que la possibilité de les conserver a été activée.

Additional Information

Il existe deux offres « vmseries1 » et « vmseries-flex ».

vmseries1 : les PAYG pare-feu seront lancés avec VM-300 licence. Peu importe le type d’instance.
vmseries-flex : lancement PAYG de pare-feu avec différentes tailles de licence, selon le type d’instance.

WARNING:
PA-VM firewall s’il a été déployé via Terraform : Étant donné que ces modifications sont apportées en dehors de Terraform, cela brisera les informations d’état maintenues par Terraform et entraînera des scripts cassés.Cela peut être nettoyé plus tard.