[go: up one dir, main page]
action.skip
Documentazione Megaport
Pianificazione della Distribuzione
Copy for LLM ▼
Copy Page Content Open in ChatGPT Open in Claude Open in VS Code View Markdown
PDF

Pianificazione del tuo deployment VM-Series di Palo Alto Networks MVE

Questo argomento offre una panoramica del processo di provisioning e descrive le considerazioni sulla distribuzione per il Megaport Virtual Edge (MVE).

Palo Alto Networks VM-Series Firewall

È necessaria una licenza VM-Series di Palo Alto Networks per utilizzare la rete software-defined (SDN) di Megaport. Per ulteriori informazioni, consulta la sezione Licenze.

Megaport fornisce:

  • Una macchina virtuale per ospitare l’immagine del Next Generation Firewall (NGFW)
  • Una connessione Megaport Internet per terminare il tunnel tra MVE e la CPE nella filiale tramite internet
  • Accesso all’ecosistema di Megaport.

Funzionalità di VM-Series

VM-Series offre servizi NGFW su una macchina virtuale. L’esecuzione di VM-Series su MVE non solo ottimizza la connettività di rete edge-to-cloud, ma consente anche l’applicazione di servizi di sicurezza avanzati e policy su tutti i segmenti della dorsale di Megaport.

L’offerta Secure Access Service Edge (SASE) di Palo Alto Networks è pensata per i clienti che adottano un’architettura SASE e necessitano di ulteriore sicurezza per la rete all’edge.

L’integrazione di VM-Series nella piattaforma NaaS di Megaport estende i seguenti elementi core del modello SASE tra edge e cloud:

  • Next Generation Firewall, che include policy firewall stateful aziendali, NAT, sistemi di protezione dalle intrusioni, ispezione SSL e threat intelligence.

  • Servizi di secure web gateway (SWG) che proteggono i dispositivi da destinazioni internet dannose tramite filtri sui contenuti web e scansione malware.

  • Zero Trust Network Access (ZTNA), che controlla l’accesso alle applicazioni verificando utenti e dispositivi prima di ogni sessione e accertando che soddisfino le policy dell’organizzazione per accedere a quella specifica applicazione.

  • Segmentazione e whitelisting per controllare la comunicazione tra subnet diverse, bloccare il movimento laterale delle minacce e supportare la conformità normativa.

  • Servizi Threat Prevention, DNS Security e WildFire che applicano policy specifiche per applicazione per prevenire il malware e bloccare minacce sconosciute prima che compromettano il cloud.

VM-Series supporta anche l’integrazione degli utenti remoti con le soluzioni SASE di Palo Alto Networks tramite Prisma Access. Prisma Access fornisce due metodi di accesso remoto:

  • GlobalProtect – Estende la visibilità e il controllo del traffico di rete, applicazioni, porte e protocolli agli utenti per un accesso sicuro a internet o alle applicazioni nel data center.
  • Proxy esplicito – Permette l’accesso SWG alle applicazioni SaaS basate su internet tramite HTTP e HTTPS.

Per ulteriori informazioni su queste funzionalità, consulta la documentazione tecnica di VM-Series.

Nota

Se hai già distribuito un firewall VM-Series, puoi connetterlo a un MVE in modo che la tua sede centrale o le filiali possano accedere ai servizi cloud tramite interconnessioni private.

Considerazioni sulla distribuzione

Questa sezione fornisce una panoramica delle opzioni e delle funzionalità di distribuzione del MVE.

Palo Alto Networks utilizza appliance virtuali o fisiche, come molte altre piattaforme. Tuttavia, è possibile configurare le appliance Palo Alto Networks per diversi scenari d’uso. Ad esempio:

  • Come Next Generation Firewall (NGFW) per uffici remoti con configurazione e logging locali.

  • Come gestione centralizzata con o senza logging centralizzato.

Vendor SD-WAN

MVE è integrato con Palo Alto Networks, che utilizza l’orchestratore Panorama (VM-Series) per creare la rete overlay privata.

Per informazioni su tutti i NFVIl MVE è una piattaforma di Network Function Virtualization (NFV) neutra rispetto al fornitore, disponibile su richiesta, che fornisce un’infrastruttura virtuale per i servizi di rete al bordo della rete software-defined globale (SDN) di Megaport. Le tecnologie di rete come SD-WAN e NGFW sono ospitate direttamente sulla rete globale di Megaport tramite Megaport Virtual Edge.
 supportati sulla piattaforma MVE, consulta la pagina prodotto di Megaport Virtual Edge (MVE).

Località del MVE

Per un elenco delle posizioni globali in cui è possibile connettersi a un MVE, consultare le Località del Megaport Virtual Edge.

Dimensionamento dell’istanza MVE

La dimensione dell’istanza determina le capacità del MVE, come ad esempio il numero di connessioni simultanee che può supportare.

Quando si sceglie la dimensione dell’istanza MVE, tenere a mente questi elementi:

  • Qualsiasi aumento del carico del flusso di dati di rete può degradare le prestazioni. Ad esempio, stabilire tunnel sicuri con IPsec, aggiungere deviazioni del traffico o utilizzare l’ispezione profonda dei pacchetti (DPI) può influire sulla velocità massima di throughput.

  • Piani futuri per scalare la rete.

Per verificare quali dimensioni dell’istanza MVE sono disponibili per la vostra implementazione, utilizzare il Megaport Portal durante il processo di configurazione del MVE. La disponibilità delle dimensioni dell’istanza dipende sia dal fornitore selezionato che dalla posizione di distribuzione, e potrebbe variare di conseguenza. Il Megaport Portal visualizza le dimensioni disponibili per il vostro fornitore e posizione selezionati.

Per verificare le dimensioni dell’istanza MVE nel Megaport Portal

  1. Nel Megaport Portal, andare alla pagina Servizi.

  2. Cliccare su Crea MVE.
    Bottone Crea MVE

  3. Selezionare la posizione del MVE.

    Selezionare una posizione geograficamente vicina alla vostra filiale di destinazione e/o alle posizioni on-premise.

    Potete utilizzare il campo Cerca per trovare il nome del Porta, il Paese, la Città Metropolitana, o l’indirizzo della vostra Porta di destinazione. Potete anche filtrare per area di diversità.

  4. Cliccare su Avanti.

  5. Selezionare Palo Alto VM-Series.

  6. Fare clic sul menu a discesa accanto al campo Dimensione per visualizzare le dimensioni dell’istanza disponibili per il fornitore e la posizione selezionati.

    Nota

    Se la dimensione del MVE che desiderate non è presente nell’elenco, allora non c’è abbastanza capacità nella posizione selezionata. Potete scegliere un’altra posizione con abbastanza capacità o contattare il vostro Gestore di Account per discutere i requisiti.

E se avrò bisogno di più capacità MVE in futuro?

Avete queste opzioni:

  • Potete approvvigionare un’altra istanza MVE, aggiungerla alla vostra rete overlay , e dividere il carico di lavoro tra i due MVE.

  • Potete approvvigionare un’istanza MVE più grande, aggiungerla alla vostra rete overlay , migrare le connessioni dal vecchio MVE al nuovo MVE più grande, e poi ritirare il vecchio MVE.

Se hai bisogno di più core (vCPU), puoi:

  • Creare un nuovo MVE con più core e terminare quello precedente (questa opzione richiede la riconfigurazione del firewall).
  • Creare un nuovo MVE come secondo firewall per alleggerire il carico del primo.

È possibile modificare la larghezza di banda della Megaport Internet in qualsiasi momento senza dover smantellare la macchina virtuale.

Sicurezza

MVE fornisce capacità da e verso le tue sedi abilitate a internet in modo sicuro, verso qualsiasi endpoint o provider di servizi sulla rete SDN di Megaport. Le istanze ospitate CSP dei prodotti SD-WAN partner instradano il traffico critico sulla rete SDN di Megaport, riducendo la dipendenza da internet. Il traffico resta crittografato e sotto il controllo delle tue policy mentre viaggia sulla rete SDN di Megaport, da o verso MVE.

Licenze

Porta la tua licenza VM-Series per utilizzarla con MVE. È tua responsabilità disporre delle licenze appropriate per gli endpoint creati sulla rete di Megaport.

Per ottenere una licenza VM-Series, ti consigliamo di iniziare con lo strumento di stima dei crediti di Palo Alto Networks: credit estimator tool.

Raccomandazioni:

  • Assicurati che il numero di vCPU selezionato soddisfi i tuoi requisiti.
  • Seleziona Kernel-based Virtual Machine (KVM) come ambiente.
  • Per ottenere le migliori prestazioni, ti consigliamo di allineare il numero di vCPU della licenza VM-Series con quello del tuo MVE.

Tagging VLAN

Megaport utilizza Q-in-Q per differenziare i VXC e i MVE su un sistema hardware host. Il MVE del tenant riceve traffico untagged per il collegamento rivolto a Internet, e traffico con tag singolo 802.1Q per i VXC verso altre destinazioni sulla rete Megaport (come le rampe di lancio CSP o altri MVE). Per maggiori informazioni, consultare Configurazione Q-in-Q.

vNIC

Ogni MVE può avere fino a cinque vNIC. Un MVE con VM-Series viene creato con due vNIC per impostazione predefinita. È possibile aggiungerne fino a tre, per un totale di cinque.

Prima di specificare il numero di vNIC sul tuo MVE:

  • Ricorda che il numero di vNIC non può essere modificato dopo che un MVE è stato ordinato. Decidi in anticipo quanti vNIC specificare al momento della creazione del MVE.

  • Consulta il tuo fornitore di servizi per assicurarti che la funzionalità non venga influenzata se aggiungi un vNIC.

Nota

Se hai bisogno di modificare il numero di vNIC dopo aver ordinato un MVE, dovrai cancellare e riordinare il MVE.

Per ulteriori informazioni, vedi Tipi di Connessioni vNIC.