[go: up one dir, main page]
Pular para conteúdo
Documentação da Megaport
Planejando Sua Implementação
Copy for LLM ▼
Copy Page Content Open in ChatGPT Open in Claude Open in VS Code View Markdown
PDF

Planejando a Implantação do Seu MVE do Palo Alto Networks

Este tópico fornece uma visão geral do processo de provisionamento e descreve as considerações de implantação para o Megaport Virtual Edge (MVE).

Você precisará de uma licença do VM-Series para utilizar na rede definida por software (SDN) da Megaport. A Megaport fornece a você:

  • Uma Máquina Virtual para hospedar a imagem do Next Generation Firewall (NGFW)
  • Uma conexão Megaport Internet com mitigação de ataques de Distributed Denial of Service (DDoS) para encerrar via internet o túnel entre o MVE e o equipamento no local do cliente na filial
  • Acesso ao ecossistema da Megaport

Considerações de Implantação

A Palo Alto Networks utiliza dispositivos virtuais ou físicos, muito semelhantes a muitas outras plataformas. No entanto, com a Palo Alto Networks, você pode configurar os dispositivos para diversos usos. Por exemplo, você pode configurar um dispositivo da Palo Alto Networks para ser utilizado:

  • Estritamente como um firewall de próxima geração (NGFW) para escritórios remotos com configuração local e somente registro local.

  • Como gerenciamento central com registro central, ou gerenciamento central sem registro central.

Recursos do VM-Series

O VM-Series entrega serviços de NGFW em uma máquina virtual. Hospedar o VM-Series no MVE não só otimiza a conectividade de rede entre a borda e a nuvem, como também impõe serviços de segurança avançada e políticas em segmentos do backbone da Megaport.

A oferta SASE da Palo Alto Networks é voltada para clientes que estão adotando a arquitetura SASE e precisam de segurança adicional para suas redes na borda (edge).

Incorporar o VM-Series na plataforma NaaS da Megaport estende os seguintes elementos essenciais do Secure Access Service Edge (SASE) entre a borda e a malha da rede na nuvem:

  • Firewall de próxima geração, incluindo políticas corporativas de firewall com estado, tradução de endereços de rede (NAT), serviços de proteção contra intrusões, inspeção de Secure Sockets Layer (SSL) e inteligência contra ameaças.

  • Serviços de gateway de web seguro (SWG) que protegem dispositivos de destinos maliciosos na internet usando filtragem de conteúdo web e verificação de malware.

  • Acesso à rede de confiança zero (ZTNA), que controla o acesso às aplicações verificando usuários e dispositivos antes de cada sessão de aplicação, e confirma que eles cumprem a política da organização para acessar essa aplicação.

  • Segmentação e listas brancas controlam as comunicações entre diferentes sub-redes, bloqueiam o movimento lateral de ameaças e auxiliam na conformidade regulatória.

  • Os serviços de Prevenção de Ameaças, Segurança DNS e WildFire aplicam políticas específicas de aplicação que previnem malwares e impedem que ameaças desconhecidas infectem a nuvem.

O VM-Series também oferece suporte à integração de usuários remotos com as soluções SASE da Palo Alto Networks usando o Prisma Access. O Prisma Access oferece dois métodos de conexão para acesso de usuários remotos:

  • GlobalProtect – Estende a visibilidade e o controle do Prisma Access sobre todo o tráfego de rede, aplicações, portas e protocolos para o usuário, para um acesso seguro à internet ou a aplicações baseadas em data center.
  • Proxy explícito – Permite o acesso de SWG a aplicações SaaS baseadas na internet usando HTTP e HTTPS.

Para mais informações sobre esses recursos, consulte a VM-Series Tech Docs.

Aviso

Se você já implantou um firewall VM-Series, pode conectá-lo a um MVE para que sua matriz ou filiais acessem serviços de nuvem por meio de interconexões privadas.

Locais do MVE

Para uma lista de locais globais onde você pode conectar a um MVE, consulte Locais de Megaport Virtual Edge.

Dimensionamento da Instância do MVE

O tamanho da instância determina as capacidades do MVE, como o número de conexões simultâneas que ele pode suportar. As instâncias do MVE são consolidadas nos seguintes tamanhos:

Tamanho do Pacote vCPUs DRAM Armazenamento Velocidade do Megaport Internet *
MVE 2/8 2 8 GB 60 GB Ajustável de 20 Mbps a 10 Gbps
MVE 4/16 4 16 GB 60 GB Ajustável de 20 Mbps a 10 Gbps
MVE 8/32 8 32 GB 60 GB Ajustável de 20 Mbps a 10 Gbps
MVE 12/48 12 48 GB 60 GB Ajustável de 20 Mbps a 10 Gbps

* O acesso Megaport Internet é simétrico, redundante, diversificado e inclui proteção contra DDoS. O acesso Megaport Internet é ajustável por meio da conexão Megaport Internet que você conecta ao MVE.

Ao escolher o tamanho da instância do MVE, leve em consideração os seguintes itens:

  • Qualquer aumento na carga de fluxo de dados da rede pode degradar o desempenho. Por exemplo, estabelecer túneis seguros com IPsec, adicionar direcionamento de caminho de tráfego ou usar inspeção profunda de pacotes (DPI) pode impactar a velocidade máxima de throughput.

  • Planos futuros para escalonar a rede.

O que fazer se eu precisar de mais capacidade no MVE no futuro?

Você tem algumas opções:

  • Você pode provisionar outra instância do MVE, adicioná-la à sua rede de sobreposição SD-WAN e dividir a carga de trabalho entre os dois MVEs.

  • Você pode provisionar uma instância maior do MVE, adicioná-la à sua rede de sobreposição SD-WAN, migrar as conexões do antigo MVE para o novo MVE maior e, em seguida, desativar o antigo MVE.

Se precisar de mais núcleos (vCPUs), você pode:

  • Criar um novo MVE com mais núcleos e encerrar o antigo (essa opção exigirá que você reconfigure seu firewall).
  • Criar um novo MVE como um segundo firewall para descarregar a capacidade do primeiro firewall.

Você pode ajustar a largura de banda do Megaport Internet a qualquer momento sem precisar desativar a máquina virtual.

Licenciamento

Você traz sua própria licença do VM-Series para uso com o MVE. É sua responsabilidade ter as licenças apropriadas para os endpoints criados na rede da Megaport.

Para adquirir uma licença do VM-Series, recomendamos que você comece com a ferramenta credit estimator da Palo Alto Networks.

Recomendações:

  • Certifique-se de que o número de vCPUs selecionado atenda às suas necessidades.
  • Escolha Kernel-based Virtual Machine (KVM) como o Environment.
  • Para o melhor desempenho, recomendamos que você corresponda o número de vCPUs da sua licença do VM-Series com o número de vCPUs no seu MVE.

Marcação VLAN

A Megaport utiliza Q-in-Q para diferenciar os VXCs e os MVEs em um sistema de hardware host. O MVE inquilino recebe tráfego sem tags para o link voltado para a internet, e tráfego com uma única tag 802.1Q para os VXCs em direção a outros destinos na rede da Megaport (como interconexões CSP ou outros MVEs).

vNICs

Cada MVE pode ter até 5 vNICs. Um MVE é criado com 2 vNICs por padrão. Você pode adicionar até 3 mais, totalizando 5.

Antes de especificar o número de vNICs no seu MVE:

  • Esteja ciente de que o número de vNICs não pode ser alterado após a encomenda de um MVE. Decida com antecedência quantos vNICs especificar ao criar o MVE.

  • Consulte seu provedor de serviços para garantir que a funcionalidade não será afetada se você adicionar um vNIC.

Aviso

Se você precisar alterar o número de vNICs após a encomenda de um MVE, terá que cancelar e reordenar o MVE.