再構築する方法PA-VM Firewallアズールで

36022

Created On 02/13/20 16:24 PM - Last Modified 01/31/23 00:14 AM

Objective

パロアルトネットワークFirewallAzure でホストされているサーバーは機能を停止しており、回復できません。
A 新しいパロアルトネットワークVM(PA-VM ) インスタンスを同じリソースグループにデプロイできます。
同じネットワークインターフェイスを再利用できるため、IPアドレスは変更されません。
ユーザー定義ルート (UDR ) およびセキュリティグループ (SG ) そのままでも構いません。

Environment

パロアルトネットワークスVM-シリーズ Firewall
Microsoft Azure に展開

Procedure

Azure Portal でインスタンスに移動し、次の情報を収集します。

概要 > 基本事項:

リソースグループ:PA-VM-ブート2
位置：セントラルUS
サブスクリプション (変更): Azure サブスクリプション名
サブスクリプションID: 00000000-11aa-22b2-33cc-d4dd444d444
コンピュータネーム：（のホスト名Firewall)
サイズ：標準 D4 v2 (4 vcpus、14 GiB メモリ)

概要 > プロパティ:

オファー： vmseries-flex

設定 > ネットワーク:

接続されているすべてのネットワークインターフェイスの名前を収集する

続行する前に、構成のバックアップを取ります。見る設定のバックアップと復元
電源を落とし、ダミーを作成して取り付けるNIC、および NIC の切り離し。

a) 電源を切るVM(まだ行っていない場合)
b) ネットワークインターフェイスを作成し、downed に接続しますfirewall. のVM常に 1 つ以上の nic を接続する必要があります。このダミー NIC により、他の NIC を切り離すことができます。
c) 他のすべてのネットワークインターフェイスを切り離します (新しいダミー NIC を残します)。

ローンチ新規PA-VM同じ設定を使用するインスタンス

アズールを構築するCLI新しいインスタンスを作成するコマンド:

テンプレート：

az vm create -- subscription <subscription-id> --resource-group <resource group name> --name <FW-Hostname> --location <REGION FW is in (eastus,centrualus, etc)> --nics <mgmtnic eth1nic eth2nic > --size Standard_D3_V2 --image paloaltonetworks:vmseries1:byol:9.0.1 --plan-name byol --plan-product vmseries1 --plan-publisher paloaltonetworks --authentication-type password --admin-username demouser --admin-password yourpassword

例：

az vm create --subscription 81000000-11aa-22b2-33cc-d4dd444d444 --resource-group PA-VM-boot2 --name FW-Hostname --location centrualus  --nics mgmtnic eth1-untrust-nic eth2-trust-nic --size Standard_D4_V2 --image paloaltonetworks:vmseries-flex:byol:10.1.5 --plan-name byol --plan-product vmseries-flex --plan-publisher paloaltonetworks --authentication-type password --admin-username pavmadmin --admin-password adminpassword --zone 1

Azure に関する追加情報CLI:

a) Azure にアクセスするCLIクラウドシェルを使用した Web ブラウザー経由: https://docs.microsoft.com/en-us/azure/cloud-shell/overview

b)」 - 画像"アズールを使うCLIPalo Alto Networks から入手可能なすべての画像を検索します。

PS Azure:\> az vm image list --publisher paloaltonetworks --all

出力例。

{
    "offer": "vmseries-flex",
    "publisher": "paloaltonetworks",
    "sku": "byol",
    "urn": "paloaltonetworks:vmseries-flex:byol:10.1.5",
    "version": "10.1.5"
  },

注意してくださいURN「paloaltonetworks:vmseries-flex:byol:10.1.5」は「-- image」フラグに使用されます

c)」 --nics " nic の順序します案件
d)」 - 名前" 同じコンピュータ名を再利用するには (FW- Hostname) 古いものは最初に削除する必要があります。
e)」 - ゾーン" はアベイラビリティゾーンを表します。
f)」 - オファー"にとってPA-VMファイアウォールには「vmseries1」または新しい「vmseries-flex」があります
g) Azure に関する詳細情報CLIコマンドは次の場所にあります。 https://docs.microsoft.com/en-us/cli/azure/vm?view=azure-cli-latest

ライセンス新規PA-VM

a) もしBYOL: 古いシリアル番号、新しいシリアル番号を収集します。CPUIDとUUID. パロアルトネットワークスTACシリアル番号を新しいものに更新できますCPUIDとUUID. ライセンスのインストールが完了したら、PA-VM容量ライセンス。

b) もしPAYG：新規登録PA-VMサポートポータル (https://docs.paloaltonetworks.com/vm-series /9-1/vm-series -展開/ライセンス-vm-series -firewall /register-the-vm-series -firewall /登録の使用ベースのモデルの-vm-series -firewall -in-aws-and-azure-no-auth-code.html#idc6bc4ba9-2f6c-4ed1-957c-fb61fece86cb)

インストールコンテンツ (動的更新) および優先PAN-OSメンテナンスリリース。

a）ダウンロードしてインストールすることをお勧めしますPAN-OSメンテナンスリリース。
b) 必要な動的更新 (アプリと脅威、URLフィルタリングなど）。
c) 最新版をダウンロードしてインストールするVM-シリーズプラグイン (PAN-OS 9.0 以上)

バックアップ構成のロード:

a) 古いものから構成バックアップをインポートするfirewall.

A 最も完全なバックアップであるため、「デバイス状態」が推奨されます。
A 「running-config.xml」は、完全なデバイス状態が利用できない場合に機能します。
すべての構成がによって追加された場合Panorama、追加PanoramaIPにPA-VMそしてコミットします。デバイスが接続したらPanorama、押すpolicyにfirewall.

b) バックアップからコミットする前に、構成を確認して確認します。

トラフィックのコミットと検証

コミットが完了すると、firewall動作し、トラフィックを通過させる必要があります。

すべての Azure を再利用したためNICの:

Azure での調整は必要ありません (UDR、SG など)。
IPアドレスは同じままである必要があります。それらを保持するオプションが有効になっていると仮定します。

Additional Information

「vmseries1」と「vmseries-flex」の 2 つのオファーがあります。

vmseries1:PAYGファイアウォールが起動されますVM-300ライセンス。インスタンスの種類は問いません。
vmseries-flex:PAYGファイアウォールは、インスタンスタイプに応じて異なるライセンスサイズで起動します。

WARNING:
もしもPA-VM firewallTerraform 経由でデプロイされた: これらの変更は Terraform の外部で行われるため、Terraform によって維持されている状態情報が破損し、スクリプトが破損します。これは後でクリーンアップできます。