如何重建PA-VM Firewall在蔚蓝

如何重建PA-VM Firewall在蔚蓝

35968
Created On 02/13/20 16:24 PM - Last Modified 01/31/23 00:14 AM


Objective


  • 帕洛阿尔托网络Firewall托管在 Azure 中的已停止运行且不可恢复。
  • A 新帕洛阿尔托网络VM(PA-VM ) 实例可以部署在同一个资源组中。
  • 可以重复使用相同的网络接口,因此IP地址不变。
  • 用户定义的路线(UDR ) 和安全组 (SG ) 可以保留原样。

Environment


  • 帕洛阿尔托网络VM-系列 Firewall
  • 部署在微软 Azure

Procedure


  1. 在 Azure 门户中转到实例并收集以下信息:

概述 > 要点:

资源组:PA-VM-引导2
地点:中央US
订阅(变更): Azure 订阅名称
订阅ID: 00000000-11aa-22b2-33cc-d4dd444d444
计算机名称:(的主机名Firewall)
尺寸:标准 D4 v2 (4 个 vcpu,14 GiB 内存)

 

概述 > 属性:

提供: vmseries-flex

设置 > 网络:

收集所有连接的网络接口的名称

  1. 在继续之前进行配置备份。 看备份和恢复配置

  2. 断电,创建和附加虚拟NIC和分离 NIC。

a) 断电VM(如果还没有这样做)
b) 创建一个网络接口并连接到 downedfirewall . 这VM必须始终连接一个或多个网卡;这个虚拟网卡将允许分离其他网卡。
c) 分离所有其他网络接口(留下新的虚拟网卡)
 

  1. 推出新品PA-VM使用相同设置的实例

构建 AzureCLI将创建新实例的命令:

模板:

az vm create -- subscription <subscription-id> --resource-group <resource group name> --name <FW-Hostname> --location <REGION FW is in (eastus,centrualus, etc)> --nics <mgmtnic eth1nic eth2nic > --size Standard_D3_V2 --image paloaltonetworks:vmseries1:byol:9.0.1 --plan-name byol --plan-product vmseries1 --plan-publisher paloaltonetworks --authentication-type password --admin-username demouser --admin-password yourpassword

例子:

az vm create --subscription 81000000-11aa-22b2-33cc-d4dd444d444 --resource-group PA-VM-boot2 --name FW-Hostname --location centrualus  --nics mgmtnic eth1-untrust-nic eth2-trust-nic --size Standard_D4_V2 --image paloaltonetworks:vmseries-flex:byol:10.1.5 --plan-name byol --plan-product vmseries-flex --plan-publisher paloaltonetworks --authentication-type password --admin-username pavmadmin --admin-password adminpassword --zone 1

 

有关 Azure 的其他信息CLI:

a) 访问 AzureCLI通过带有云外壳的网络浏览器: https://docs.microsoft.com/en-us/azure/cloud-shell/overview

二)“ - 图片”使用蔚蓝CLI找到帕洛阿尔托网络提供的所有图像。

PS Azure:\> az vm image list --publisher paloaltonetworks --all
  

示例输出。

{
    "offer": "vmseries-flex",
    "publisher": "paloaltonetworks",
    "sku": "byol",
    "urn": "paloaltonetworks:vmseries-flex:byol:10.1.5",
    "version": "10.1.5"
  },
注意URN"paloaltonetworks:vmseries-flex:byol:10.1.5" 用于 ""-- image" 标志


C) ” --nics " nics 顺序事情
d)“ - 名称" 要重复使用相同的计算机名称 (FW-主机名)旧的需要先删除。
e)“ - 区"指的是可用区。
F) ” - 提供”为了PA-VM防火墙有“vmseries1”或更新的“vmseries-flex”
g) 有关 Azure 的更多信息CLI命令可以在这里找到: https://docs.microsoft.com/en-us/cli/azure/vm?view=azure-cli-latest

 

  1. 执照新PA-VM

一)如果BYOL:收集旧的序列号,新的CPUID和UUID. 帕洛阿尔托网络TAC可以用新的更新序列号CPUID和UUID. 完成安装许可证后,从PA-VM容量许可证。

b) 如果PAYG: 注册新的PA-VM在支持门户 (https://docs.paloaltonetworks.com/vm-series /9-1/vm-series -部署/许可-vm-series -firewall /注册-vm-series -firewall /register-the-usage-based-model-of-the-vm-series -firewall -in-aws-and-azure-no-auth-code.html#idc6bc4ba9-2f6c-4ed1-957c-fb61fece86cb)
 

  1. 安装内容(动态更新)和首选PAN-OS维护版本。

a) 下载并安装首选PAN-OS维护版本。
b) 下载并安装所需的动态更新(应用程序和威胁,URL过滤等)。
c) 下载并安装最新的VM-系列插件(PAN-OS 9.0及以上)

  1. 加载备份配置:

a) 从旧的导入配置备份firewall.

  • A “设备状态”是更可取的,因为它是最完整的备份。
  • A 如果完整的设备状态不可用,“running-config.xml”将起作用。
  • 如果所有配置都是由添加的Panorama, 添加PanoramaIP到PA-VM并承诺。 一旦设备连接到Panorama, 推policy到firewall.
b) 在从备份提交之前检查并验证配置。 
     

  1. 提交并验证流量

一旦提交完成,firewall应该是可操作的和过往的交通。

因为我们重用了所有 AzureNIC的:
  • Azure 中不需要任何调整(UDR、SG 等)。
  • IP地址应保持不变。 假设保留它们的选项已启用。
      
    

Additional Information


有两个优惠“vmseries1”和“vmseries-flex”。

  • 虚拟机系列 1:PAYG防火墙将启动VM-300执照。 无论实例类型。
  • vmseries-flex:PAYG防火墙以不同的许可证大小启动,具体取决于实例类型。


WARNING:
如果PA-VM firewall通过 Terraform 部署:由于这些更改是在 Terraform 之外进行的,这将破坏 Terraform 维护的状态信息并导致脚本损坏。这可以稍后清理。   

 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000POg4CAG&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language