如何重建PA-VM Firewall在蔚蓝
Objective
- 帕洛阿尔托网络Firewall托管在 Azure 中的已停止运行且不可恢复。
- A 新帕洛阿尔托网络VM(PA-VM ) 实例可以部署在同一个资源组中。
- 可以重复使用相同的网络接口,因此IP地址不变。
- 用户定义的路线(UDR ) 和安全组 (SG ) 可以保留原样。
Environment
- 帕洛阿尔托网络VM-系列 Firewall
- 部署在微软 Azure
Procedure
在 Azure 门户中转到实例并收集以下信息:
概述 > 要点:
资源组:PA-VM-引导2
地点:中央US
订阅(变更): Azure 订阅名称
订阅ID: 00000000-11aa-22b2-33cc-d4dd444d444
计算机名称:(的主机名Firewall)
尺寸:标准 D4 v2 (4 个 vcpu,14 GiB 内存)
概述 > 属性:
设置 > 网络:
收集所有连接的网络接口的名称
- 在继续之前进行配置备份。 看备份和恢复配置
断电,创建和附加虚拟NIC和分离 NIC。
b) 创建一个网络接口并连接到 downedfirewall . 这VM必须始终连接一个或多个网卡;这个虚拟网卡将允许分离其他网卡。
c) 分离所有其他网络接口(留下新的虚拟网卡)
推出新品PA-VM使用相同设置的实例
构建 AzureCLI将创建新实例的命令:
模板:
az vm create -- subscription <subscription-id> --resource-group <resource group name> --name <FW-Hostname> --location <REGION FW is in (eastus,centrualus, etc)> --nics <mgmtnic eth1nic eth2nic > --size Standard_D3_V2 --image paloaltonetworks:vmseries1:byol:9.0.1 --plan-name byol --plan-product vmseries1 --plan-publisher paloaltonetworks --authentication-type password --admin-username demouser --admin-password yourpassword
例子:
az vm create --subscription 81000000-11aa-22b2-33cc-d4dd444d444 --resource-group PA-VM-boot2 --name FW-Hostname --location centrualus --nics mgmtnic eth1-untrust-nic eth2-trust-nic --size Standard_D4_V2 --image paloaltonetworks:vmseries-flex:byol:10.1.5 --plan-name byol --plan-product vmseries-flex --plan-publisher paloaltonetworks --authentication-type password --admin-username pavmadmin --admin-password adminpassword --zone 1
有关 Azure 的其他信息CLI:
二)“ - 图片”使用蔚蓝CLI找到帕洛阿尔托网络提供的所有图像。
PS Azure:\> az vm image list --publisher paloaltonetworks --all
示例输出。
{ "offer": "vmseries-flex", "publisher": "paloaltonetworks", "sku": "byol", "urn": "paloaltonetworks:vmseries-flex:byol:10.1.5", "version": "10.1.5" },
C) ” --nics " nics 顺序做事情
d)“ - 名称" 要重复使用相同的计算机名称 (FW-主机名)旧的需要先删除。
e)“ - 区"指的是可用区。
F) ” - 提供”为了PA-VM防火墙有“vmseries1”或更新的“vmseries-flex”
g) 有关 Azure 的更多信息CLI命令可以在这里找到: https://docs.microsoft.com/en-us/cli/azure/vm?view=azure-cli-latest
执照新PA-VM
一)如果BYOL:收集旧的序列号,新的CPUID和UUID. 帕洛阿尔托网络TAC可以用新的更新序列号CPUID和UUID. 完成安装许可证后,从PA-VM容量许可证。
安装内容(动态更新)和首选PAN-OS维护版本。
b) 下载并安装所需的动态更新(应用程序和威胁,URL过滤等)。
c) 下载并安装最新的VM-系列插件(PAN-OS 9.0及以上)
加载备份配置:
a) 从旧的导入配置备份firewall.
- A “设备状态”是更可取的,因为它是最完整的备份。
- A 如果完整的设备状态不可用,“running-config.xml”将起作用。
- 如果所有配置都是由添加的Panorama, 添加PanoramaIP到PA-VM并承诺。 一旦设备连接到Panorama, 推policy到firewall.
提交并验证流量
一旦提交完成,firewall应该是可操作的和过往的交通。
- Azure 中不需要任何调整(UDR、SG 等)。
- IP地址应保持不变。 假设保留它们的选项已启用。
Additional Information
有两个优惠“vmseries1”和“vmseries-flex”。
- 虚拟机系列 1:PAYG防火墙将启动VM-300执照。 无论实例类型。
- vmseries-flex:PAYG防火墙以不同的许可证大小启动,具体取决于实例类型。
WARNING:
如果PA-VM firewall通过 Terraform 部署:由于这些更改是在 Terraform 之外进行的,这将破坏 Terraform 维护的状态信息并导致脚本损坏。这可以稍后清理。