Spécifications des VNF de Palo Alto Networks
Licence
Les produits BYOL (Bring Your Own License) nécessitent une licence valide. Vous êtes responsable de l'achat et de la gestion de vos propres licences auprès de Palo Alto Networks. Pour acheter une licence logicielle, contactez votre représentant commercial ou vos partenaires Palo Alto Networks.
Support
L'assistance de Palo Alto Networks est disponible pour les licences BYOL. Contactez votre représentant commercial ou partenaire Palo Alto Networks pour acheter une licence et un contrat d'assistance.
Palo Alto Networks – Pare-feu série VM
- Pour un aperçu technique, consultez la fiche technique de la série VM.
- Pour la documentation, voir Documentation VM-Series.
- PAN-OS 10.1 Notes de version.
| 2 Cores | 4 Cores | 8 Cores | 16 Cores | |
|---|---|---|---|---|
| Memory | 8 GB | 16 GB | 48 GB | 56 GB |
| Software Package | VM-100 | VM-100 VM-300 | VM-100 VM-300VM-500 | VM-100 VM-300 VM-500 VM-700 |
| Virtual Data Interfaces Supported (Default/Max) | 10 / 10 | 10 / 19 | ||
| System Reserved Interfaces | Management | |||
| Available License Type | BYOL | |||
| Access Methods | SSH Web Console | |||
| Image Version | See Available Image Versions | |||
| Restricted CLI Commands | None | |||
| Deployment Options | Single Redundant Cluster |
Types de déploiement
Trois types de déploiement sont disponibles pour le pare-feu VM-Series.
| Deployment Type | Description |
|---|---|
| Single | Provision a single device that operates as a standalone device. Another single device can be paired with the existing single device (requires same resource configuration) to form a local redundancy (redundancy in single metro) or geo-redundancy (each device operates in different metro). For more information see Creating a VM-Series Firewall |
| Redundant | Provision two firewall devices. Each device operates individually, and you are responsible for configuring those in an Active-Active fashion. You have the option of deploying both devices in two different metros (recommended) to achieve distributed architecture or keep both devices in the same metro. |
| Cluster | Provision two firewall devices with Active-Standby redundancy in a single metro. (No geo-redundancy option available.) For more information, see Creating a Clustered VM-Series Firewall |
Prise en charge de la licence Flex VCPU du pare-feu VM-Series
Network Edge prend en charge les modèles de licences vCPU fixes et flexibles. Une licence vCPU flexible nécessite une version spécifique de PAN-OS. Un code d'authentification (code alphanumérique à 8 ou 9 chiffres) est requis pour créer une VNF de pare-feu VM-Series.
Lors de l'approvisionnement d'un pare-feu NGFW VM-Series avec l'option BYOL, l'utilisateur doit fournir un jeton de licence lors de la création du périphérique sur le portail Equinix Fabric. Ce jeton, aussi appelé code d'autorisation (code alphanumérique à 8 ou 9 caractères), est requis. Pour plus d'informations sur les types de licences VM-Series, consultez la documentation Palo Alto Networks: [https://docs.paloaltonetworks.com/vm-series/10-1/vm-series-deployment/license-the-vm-series-firewall/vm-series-firewall-licensing].
Générer un code d'authentification
Générez le code d'autorisation en créant un profil de déploiement sur le portail de soutien à la clientèle Palo Alto Networks. Ce profil définit le nombre de pare-feu de nouvelle génération (NGFW) et les ensembles de fonctionnalités pouvant être alloués et activés en fonction du crédit fourni. Ce document suppose que vous avez déjà accès au portail de soutien à la clientèle Palo Alto Networks et que votre crédit est activé. Pour plus d'informations sur la création d'un profil de déploiement, consultez la documentation Palo Alto Networks.
Pour provisionner un Network Edge Palo Alto Network VM-Series VNF, seul le code d'autorisation est requis. Il n'est pas nécessaire d'enregistrer le pare-feu avec les informations UUID, CPUID, nombre de vCPU et mémoire.
Utilisation du code d'autorisation
Lors de la création de votre appareil, entrez le code d'autorisation dans le champ « Fichier de licence (BYOL) ». Pour les déploiements redondants ou en grappe, utilisez le code d'autorisation associé à votre profil de déploiement. Par exemple, si vous allouez suffisamment de pare-feu et de cœurs VCPU dans le même profil de déploiement, utilisez le même code d'autorisation pour l'appareil redondant ou en cluster. Si votre profil de déploiement ne dispose pas d'un nombre suffisant de pare-feu ou de cœurs VCPU, vous pouvez utiliser un code d'autorisation différent, généré par des profils de déploiement distincts.
Dans la section Ressources du périphérique, sélectionnez le type de ressource correspondant à l'allocation de processeur de votre profil de déploiement. Par exemple, si votre profil de déploiement alloue seulement 8 cœurs vCPU et que vous tentez de sélectionner une allocation de 16 cœurs/56 Go de mémoire, l'enregistrement du code d'authentification échouera. Dans ce cas, vous pourrez choisir entre 2, 4 ou 8 cœurs.
Dans la section Version du logiciel, sélectionnez 10.1.3 ou une version ultérieure. La licence vCPU flexible est uniquement compatible avec PAN-OS 10.0.4 et versions ultérieures. Si vous sélectionnez PAN-OS 9.xx, l'enregistrement de votre code d'autorisation échouera et votre numéro de série sera inconnu. De plus, lors d'une demande manuelle de licence via l'interface de ligne de commande (CLI), le message d'erreur suivant s'affichera: « Erreur serveur: Échec de l'installation de la licence. De la mémoire ou des vCPU sont nécessaires pour que le profil de déploiement FLEX puisse être appliqué sur le périphérique. »
Assurez-vous que la version PAN-OS de votre dispositif d'approvisionnement est 10.0.4 ou supérieure lorsque vous utilisez la licence Flexible vCPU.
Une fois votre appareil créé, votre VNF de Network Edge sera instancié avec le code d'autorisation approprié. Un numéro de série est généré et enregistré automatiquement sur le portail d'assistance client de Palo Alto Networks. Vous pouvez valider l'enregistrement en comparant la sortie de l'interface de CLI « Afficher les informations système » et le numéro de série affiché dans la section « Appareils NGFW logiciels » sur le portail d'assistance client de Palo Alto . Veuillez noter que l'UUID utilisé dans la page « Détails de l'appareil » du portail Equinix Fabric et celui conservé dans PAN-OS sont différents.
Dépannage des problèmes de code d'autorisation
Même si un code d'authentification non valide est saisi lors de la création de la VNF, le portail utilise ce code et finalise le processus de provisionnement de l'appareil. Selon le type de déploiement, l'état de provisionnement peut varier.
Le tableau suivant résume les causes potentielles des problèmes liés au code d'authentification et les actions à entreprendre ensuite.
| Possible Root Causes | Provisioning State | Next Steps |
|---|---|---|
| Auth Code is not valid | Single or Redundant Device Provisioning status shows Provisioned. However, your serial number will not be generated and registered to the Palo Alto Customer Support Portal. To validate, use the web console in Device Details > Tools to access your CLI console and check your serial number using show system info. If an invalid Auth Code is used, the serial number value will be unknown. | Use CLI command request license fetch auth-code <your_auth_code> from the SSH or Web Console to manually trigger the Auth Code registration process. Once you provide a valid Auth Code, you will see VM Device License Installed message in the CLI console. |
| Auth Codes for both primary and secondary devices are not valid. Auth Codes for either primary or secondary devices are not valid. | Cluster Device - Device Provisioning Status shows License Error on both cluster devices, and License Status shows Registration Failed. | Use CLI command request license fetch auth-code <your_auth_code> from the SSH or Web Console to manually trigger the Auth Code registration process. Once you provide a valid Auth Code, you will see a VM Device License Installed message in the CLI console. You will see an Update the license file via the console to proceed message. Select the acknowledgment statement and click Confirm to bring both VNF instances to a Provisioned state. |
| Auth Codes for both devices are valid, but there are no adequate credits available for both cluster devices to be deployed. | Cluster Device - Device Provisioning Status shows License Error on both cluster devices, and License Status shows Registration Failed. | Log in to the Palo Alto Networks Customer Support Portal and verify that the Auth Code has adequate credits to deploy two VM series firewalls. |
Désactivation de votre VNF VM-Series de Palo Alto Networks
Si vous désactivez (supprimez) une VNF, assurez-vous de désactiver également sa licence. Vous devrez peut-être configurer votre système PAN-OS pour qu'il prenne en charge la clé API pour interagir avec le portail de soutien à la clientèle de Palo Alto Networks pour la désactivation.
Vous pouvez désactiver manuellement votre licence. Pour plus d'informations, consultez la documentation de Palo Alto Networks.
Palo Alto Networks Prisma SD-WAN
| 2 Cores | 4 Cores | 8 Cores | |
|---|---|---|---|
| Memory | 8 GB | 8 GB | 32 GB |
| Software Package | Virtual ION (3103v) | Virtual ION (3103v) Virtual ION (3104v) | Virtual ION (3103v) Virtual ION (3104v) Virtual ION (7108v) |
| Virtual Data Interfaces Supported | 10 / 10 | ||
| System Reserved Interfaces | Controller Port 1 (WAN1) Port 2 (WAN2) | ||
| Available License Type | BYOL | ||
| Access Methods | SSH Prime Orchestrator | ||
| Image Version | See Available Image Versions | ||
| Vendor Throughput Information | Prisma SD-WAN Instant-On Network (ION) Device Specifications | ||
| Vendor Product Specs | https://www.paloaltonetworks.com/sase/sd-wan.html |
Création de périphériques Palo Alto Networks Prisma SD-WAN
Lors de la création de votre appareil, vous devrez spécifier:
- Clé de licence – Saisissez votre clé de licence.
- Licence secrète – Saisissez votre phrase de licence secrète.
Les périphériques SD-WAN peuvent être lancés à l'aide des API Network Edge. Pour plus d'informations, consultez API Network Edge – Créer un périphérique SD-WAN.