Spécifications des VNF de Palo Alto Networks
Licences
Les produits BYOL (Bring Your Own License) nécessitent une licence valide. Vous êtes responsable de l'achat et de la gestion de vos propres licences auprès de Palo Alto Networks. Pour acheter une licence logicielle, contactez votre représentant commercial ou vos partenaires Palo Alto Networks.
Soutien
L'assistance de Palo Alto Networks est disponible pour les licences BYOL. Contactez votre représentant commercial ou partenaire Palo Alto Networks pour acheter une licence et un contrat d'assistance.
Palo Alto Networks – Pare-feu série VM
- Pour un aperçu technique, consultez la [fiche technique de la série VM] (https://www.paloaltonetworks.com/resources/datasheets/vm-series-spec-sheet).
- Pour la documentation, voir [VM-Series Documentation] (https://docs.paloaltonetworks.com/vm-series).
- PAN-OS 10.1 [Notes de mise à jour] (https://docs.paloaltonetworks.com/pan-os/10-1/pan-os-release-notes).
| 2 Cores | 4 Cores | 8 Cores | 16 Cores | |
|---|---|---|---|---|
| Memory | 8 GB | 16 GB | 48 GB | 56 GB |
| Software Package | VM-100 | VM-100 VM-300 | VM-100 VM-300VM-500 | VM-100 VM-300 VM-500 VM-700 |
| Virtual Data Interfaces Supported (Default/Max) | 10 / 10 | 10 / 19 | ||
| System Reserved Interfaces | Management | |||
| Available License Type | BYOL | |||
| Access Methods | SSH Web Console | |||
| Image Version | See Available Image Versions | |||
| Restricted CLI Commands | None | |||
| Deployment Options | Single Redundant Cluster |
Types de déploiement
Trois types de déploiement sont disponibles pour le pare-feu VM-Series.
| Deployment Type | Description |
|---|---|
| Single | Provision a single device that operates as a standalone device. Another single device can be paired with the existing single device (requires same resource configuration) to form a local redundancy (redundancy in single metro) or geo-redundancy (each device operates in different metro). For more information see Creating a VM-Series Firewall |
| Redundant | Provision two firewall devices. Each device operates individually, and you are responsible for configuring those in an Active-Active fashion. You have the option of deploying both devices in two different metros (recommended) to achieve distributed architecture or keep both devices in the same metro. |
| Cluster | Provision two firewall devices with Active-Standby redundancy in a single metro. (No geo-redundancy option available.) For more information, see Creating a Clustered VM-Series Firewall |
Prise en charge de la licence Flex VCPU du pare-feu VM-Series
Network Edge prend en charge les modèles de licence vCPU fixes et flexibles. Une licence vCPU flexible nécessite une version spécifique de PAN-OS. Vous aurez besoin d'un code d'authentification (code alphanumérique à 8 ou 9 chiffres) lors de la création d'un pare-feu VNF VM-Series.
Lors du provisionnement d'un NGFW de série VM avec l'option BYOL, l'utilisateur doit fournir un jeton de licence pendant le flux de travail de création du périphérique dans le portail Equinix Fabric. Un jeton de licence est également appelé Auth Code (code alphanumérique à 8 ou 9 chiffres). Pour plus d'informations sur les types de licences VM-Series, consultez la [documentation Palo Alto Networks] (https://docs.paloaltonetworks.com/vm-series/10-1/vm-series-deployment/license-the-vm-series-firewall/vm-series-firewall-licensing).
Générer un code d'authentification
Générez le code d'authentification en créant un profil de déploiement dans le portail de support client de Palo Alto Networks. Le profil de déploiement définit le nombre de NGFW et d'ensembles de fonctionnalités qui peuvent être alloués et activés en fonction du crédit que vous fournissez. Ce document suppose que vous avez déjà accès au portail de support client de Palo Alto Networks et que vous avez activé votre crédit. Pour plus d'informations sur la création de profils de déploiement, consultez la [documentation Palo Alto Networks] (https://docs.paloaltonetworks.com/vm-series/10-1/vm-series-deployment/license-the-vm-series-firewall/software-ngfw/create-a-deployment-profile-vm-series).
Pour provisionner Network Edge Palo Alto Network VM-Series VNF, vous avez uniquement besoin du CODE D'AUTHENTIFICATION. Il n'est PAS NÉCESSAIRE d'enregistrer le pare-feu avec les informations UUID, CPUID, nombre de vCPU et mémoire.
Utilisation du code d'authentification
Lorsque vous créez votre appareil, saisissez le code d'autorisation dans le champ License File (BYOL). Lorsque vous créez des types de déploiement redondants ou en grappe, utilisez le code d'authentification associé à votre profil de déploiement. Par exemple, si vous allouez suffisamment de pare-feu et de cœurs VCPU dans le même profil de déploiement, utilisez le même code d'authentification pour le dispositif redondant ou en grappe. Si votre profil de déploiement n'a pas suffisamment de pare-feu ou de cœurs VCPU alloués, vous pouvez utiliser différents codes d'authentification générés avec des profils de déploiement distincts.
Dans la section Device Resources, sélectionnez le type de ressource qui correspond à l'allocation de CPU de votre profil de déploiement. Par exemple, si votre profil de déploiement n'alloue que 8 vCPU core et que vous essayez de sélectionner 16 Cores/56 GB Memory allocation, l'enregistrement de l'Auth Code échoue. Dans ce cas, les options de ressources disponibles seront 2 cœurs, 4 cœurs ou 8 cœurs.
Dans la section Software Version, sélectionnez 10.1.3 ou une version supérieure. La licence Flexible vCPU est uniquement supportée par PAN-OS 10.0.4 et plus. Si vous sélectionnez PAN-OS 9.x.x, l'enregistrement de votre code d'authentification échouera et votre numéro de série sera inconnu. En outre, lorsque vous demandez manuellement une licence à l'aide de CLI, vous verrez un message d'erreur Server Error : L'installation de la licence a échoué. Memory or vcpu is required for FLEX deployment profile to be applied on the device (Erreur de serveur : échec de l'installation de la licence).
Assurez-vous que la version PAN-OS de votre dispositif de provisionnement est 10.0.4 ou supérieure lorsque vous utilisez la licence Flexible vCPU.
Une fois la création de votre dispositif terminée, votre VNF Network Edge sera instanciée avec le CODE AUTHENTIFICATION approprié. Un numéro de série est généré et enregistré automatiquement sur le portail d'assistance clientèle de Palo Alto Networks. Vous pouvez valider l'enregistrement en comparant la sortie CLI « Afficher les informations système » et le numéro de série affiché dans les dispositifs NGFW logiciels sur le portail d'assistance clientèle de Palo Alto. Veuillez noter que l'UUID utilisé dans la page Device Details (Détails du périphérique) du portail Equinix Fabric et l'UUID conservé dans PAN-OS sont différents.
Dépannage des problèmes liés au code d'authentification
Même si un code d'authentification non valide est saisi pendant le workflow de création de la VNF, le portail poursuit avec ce code et termine le processus de provisionnement du dispositif. Selon le type de déploiement, vous observerez différents statuts de provisionnement.
Le tableau suivant résume les causes potentielles des problèmes liés au code d'authentification et les mesures à prendre.
| Possible Root Causes | Provisioning State | Next Steps |
|---|---|---|
| Auth Code is not valid | Single or Redundant Device Provisioning status shows Provisioned. However, your serial number will not be generated and registered to the Palo Alto Customer Support Portal. To validate, use the web console in Device Details > Tools to access your CLI console and check your serial number using show system info. If an invalid Auth Code is used, the serial number value will be unknown. | Use CLI command request license fetch auth-code <your_auth_code> from the SSH or Web Console to manually trigger the Auth Code registration process. Once you provide a valid Auth Code, you will see VM Device License Installed message in the CLI console. |
| Auth Codes for both primary and secondary devices are not valid. Auth Codes for either primary or secondary devices are not valid. | Cluster Device - Device Provisioning Status shows License Error on both cluster devices, and License Status shows Registration Failed. | Use CLI command request license fetch auth-code <your_auth_code> from the SSH or Web Console to manually trigger the Auth Code registration process. Once you provide a valid Auth Code, you will see a VM Device License Installed message in the CLI console. You will see an Update the license file via the console to proceed message. Select the acknowledgment statement and click Confirm to bring both VNF instances to a Provisioned state. |
| Auth Codes for both devices are valid, but there are no adequate credits available for both cluster devices to be deployed. | Cluster Device - Device Provisioning Status shows License Error on both cluster devices, and License Status shows Registration Failed. | Log in to the Palo Alto Networks Customer Support Portal and verify that the Auth Code has adequate credits to deploy two VM series firewalls. |
Désactivation de votre VNF Palo Alto Networks VM-Series
Si vous déprovisionnez (supprimez) un VNF, assurez-vous que vous désactivez votre licence du VNF. Il se peut que vous deviez configurer votre PAN-OS pour prendre en charge la clé API afin d'interagir avec le portail de support client de Palo Alto Network pour la désactivation.
Vous pouvez désactiver manuellement votre licence. Pour plus d'informations, veuillez consulter la documentation Palo Alto Networks.
Prisma SD-WAN de Palo Alto Networks
| 2 Cores | 4 Cores | 8 Cores | |
|---|---|---|---|
| Memory | 8 GB | 8 GB | 32 GB |
| Software Package | Virtual ION (3103v) | Virtual ION (3103v) Virtual ION (3104v) | Virtual ION (3103v) Virtual ION (3104v) Virtual ION (7108v) |
| Virtual Data Interfaces Supported | 10 / 10 | ||
| System Reserved Interfaces | Controller Port 1 (WAN1) Port 2 (WAN2) | ||
| Available License Type | BYOL | ||
| Access Methods | SSH Prime Orchestrator | ||
| Image Version | See Available Image Versions | ||
| Vendor Throughput Information | Prisma SD-WAN Instant-On Network (ION) Device Specifications | ||
| Vendor Product Specs | https://www.paloaltonetworks.com/sase/sd-wan.html |
Création de dispositifs SD-WAN Prisma de Palo Alto Networks
Lors de la création de votre dispositif, vous devrez spécifier :
- Clé de licence - Saisissez votre clé de licence.
- Secret de licence - Saisissez votre phrase secrète de licence.
Les dispositifs SD-WAN peuvent être lancés à l'aide des API Network Edge. Pour plus d'informations, consultez Network Edge API - Create SD-WAN Device