再構築する方法PA-VM Firewallアズールで
Objective
- パロアルトネットワークFirewallAzure でホストされているサーバーは機能を停止しており、回復できません。
- A 新しいパロアルトネットワークVM(PA-VM ) インスタンスを同じリソース グループにデプロイできます。
- 同じネットワーク インターフェイスを再利用できるため、IPアドレスは変更されません。
- ユーザー定義ルート (UDR ) およびセキュリティ グループ (SG ) そのままでも構いません。
Environment
- パロアルトネットワークスVM-シリーズ Firewall
- Microsoft Azure に展開
Procedure
Azure Portal でインスタンスに移動し、次の情報を収集します。
概要 > 基本事項:
リソース グループ:PA-VM-ブート2
位置:セントラルUS
サブスクリプション (変更): Azure サブスクリプション名
サブスクリプションID: 00000000-11aa-22b2-33cc-d4dd444d444
コンピュータネーム:(のホスト名Firewall)
サイズ:標準 D4 v2 (4 vcpus、14 GiB メモリ)
概要 > プロパティ:
設定 > ネットワーク:
接続されているすべてのネットワーク インターフェイスの名前を収集する
- 続行する前に、構成のバックアップを取ります。 見る設定のバックアップと復元
電源を落とし、ダミーを作成して取り付けるNIC、および NIC の切り離し。
b) ネットワーク インターフェイスを作成し、downed に接続しますfirewall. のVM常に 1 つ以上の nic を接続する必要があります。このダミー NIC により、他の NIC を切り離すことができます。
c) 他のすべてのネットワーク インターフェイスを切り離します (新しいダミー NIC を残します)。
ローンチ 新規PA-VM同じ設定を使用するインスタンス
アズールを構築するCLI新しいインスタンスを作成するコマンド:
テンプレート:
az vm create -- subscription <subscription-id> --resource-group <resource group name> --name <FW-Hostname> --location <REGION FW is in (eastus,centrualus, etc)> --nics <mgmtnic eth1nic eth2nic > --size Standard_D3_V2 --image paloaltonetworks:vmseries1:byol:9.0.1 --plan-name byol --plan-product vmseries1 --plan-publisher paloaltonetworks --authentication-type password --admin-username demouser --admin-password yourpassword
例:
az vm create --subscription 81000000-11aa-22b2-33cc-d4dd444d444 --resource-group PA-VM-boot2 --name FW-Hostname --location centrualus --nics mgmtnic eth1-untrust-nic eth2-trust-nic --size Standard_D4_V2 --image paloaltonetworks:vmseries-flex:byol:10.1.5 --plan-name byol --plan-product vmseries-flex --plan-publisher paloaltonetworks --authentication-type password --admin-username pavmadmin --admin-password adminpassword --zone 1
Azure に関する追加情報CLI:
b)」 - 画像"アズールを使うCLIPalo Alto Networks から入手可能なすべての画像を検索します。
PS Azure:\> az vm image list --publisher paloaltonetworks --all
出力例。
{ "offer": "vmseries-flex", "publisher": "paloaltonetworks", "sku": "byol", "urn": "paloaltonetworks:vmseries-flex:byol:10.1.5", "version": "10.1.5" },
c)」 --nics " nic の順序します案件
d)」 - 名前" 同じコンピュータ名を再利用するには (FW- Hostname) 古いものは最初に削除する必要があります。
e)」 - ゾーン" はアベイラビリティ ゾーンを表します。
f)」 - オファー"にとってPA-VMファイアウォールには「vmseries1」または新しい「vmseries-flex」があります
g) Azure に関する詳細情報CLIコマンドは次の場所にあります。 https://docs.microsoft.com/en-us/cli/azure/vm?view=azure-cli-latest
ライセンス 新規PA-VM
a) もしBYOL: 古いシリアル番号、新しいシリアル番号を収集します。CPUIDとUUID. パロアルトネットワークスTACシリアル番号を新しいものに更新できますCPUIDとUUID. ライセンスのインストールが完了したら、PA-VM容量ライセンス。
インストール コンテンツ (動的更新) および優先PAN-OSメンテナンスリリース。
b) 必要な動的更新 (アプリと脅威、URLフィルタリングなど)。
c) 最新版をダウンロードしてインストールするVM-シリーズ プラグイン (PAN-OS 9.0 以上)
バックアップ構成のロード:
a) 古いものから構成バックアップをインポートするfirewall.
- A 最も完全なバックアップであるため、「デバイス状態」が推奨されます。
- A 「running-config.xml」は、完全なデバイス状態が利用できない場合に機能します。
- すべての構成がによって追加された場合Panorama、 追加PanoramaIPにPA-VMそしてコミットします。 デバイスが接続したらPanorama、 押すpolicyにfirewall.
トラフィックのコミットと検証
コミットが完了すると、firewall動作し、トラフィックを通過させる必要があります。
- Azure での調整は必要ありません (UDR、SG など)。
- IPアドレスは同じままである必要があります。 それらを保持するオプションが有効になっていると仮定します。
Additional Information
「vmseries1」と「vmseries-flex」の 2 つのオファーがあります。
- vmseries1:PAYGファイアウォールが起動されますVM-300ライセンス。 インスタンスの種類は問いません。
- vmseries-flex:PAYGファイアウォールは、インスタンス タイプに応じて異なるライセンス サイズで起動します。
WARNING:
もしもPA-VM firewallTerraform 経由でデプロイされた: これらの変更は Terraform の外部で行われるため、Terraform によって維持されている状態情報が破損し、スクリプトが破損します。これは後でクリーンアップできます。