Palo Alto Networks VNFの仕様
ライセンス
Bring Your Own License (BYOL) 製品には有効なライセンスが必要です。Palo Alto Networks からライセンスを購入し、管理するのはお客様の責任です。ソフトウェア ライセンスを購入するには、Palo Alto Networks の販売代理店またはパートナーにお問い合わせください。
サポート
BYOL ライセンスでは Palo Alto Networks のサポートを利用できます。ライセンスおよびサポート契約の購入については、Palo Alto Networks の営業担当者またはパートナーにお問い合わせください。
Palo Alto Networks – VM シリーズファイアウォール
- 技術的な概要については、VM-Series Spec Sheetをご覧ください。
- ドキュメントについては、VM-Series Documentationを参照してください。
- PAN-OS 10.1 リリースノート.
| 2 Cores | 4 Cores | 8 Cores | 16 Cores | |
|---|---|---|---|---|
| Memory | 8 GB | 16 GB | 48 GB | 56 GB |
| Software Package | VM-100 | VM-100 VM-300 | VM-100 VM-300VM-500 | VM-100 VM-300 VM-500 VM-700 |
| Virtual Data Interfaces Supported (Default/Max) | 10 / 10 | 10 / 19 | ||
| System Reserved Interfaces | Management | |||
| Available License Type | BYOL | |||
| Access Methods | SSH Web Console | |||
| Image Version | See Available Image Versions | |||
| Restricted CLI Commands | None | |||
| Deployment Options | Single Redundant Cluster |
配備タイプ
VM-Series Firewallには、3つのデプロイメントタイプがあります。
| Deployment Type | Description |
|---|---|
| Single | Provision a single device that operates as a standalone device. Another single device can be paired with the existing single device (requires same resource configuration) to form a local redundancy (redundancy in single metro) or geo-redundancy (each device operates in different metro). For more information see Creating a VM-Series Firewall |
| Redundant | Provision two firewall devices. Each device operates individually, and you are responsible for configuring those in an Active-Active fashion. You have the option of deploying both devices in two different metros (recommended) to achieve distributed architecture or keep both devices in the same metro. |
| Cluster | Provision two firewall devices with Active-Standby redundancy in a single metro. (No geo-redundancy option available.) For more information, see Creating a Clustered VM-Series Firewall |
VM-Series Firewall Flex VCPU ライセンスサポート
Network Edge は、固定および柔軟な vCPU ライセンスモデルの両方をサポートしています。柔軟な vCPU ライセンスには、特定のバージョンの PAN-OS が必要です。VM-Series ファイアウォール VNF を作成するには、認証コード(8 桁または 9 桁の英数字コード)が必要です。
BYOLオプションでVM-Series NGFWをプロビジョニングする場合、Equinix Fabricポータルのデバイス作成ワークフローでライセンストークンを提供する必要があります。ライセンストークンはAuth Code(8桁または9桁の英数字コード)とも呼ばれます。VMシリーズのライセンスタイプの詳細については、Palo Alto Networks documentationを参照してください。
認証コードの生成
Palo Alto Networks Customer Support Portal で展開プロファイルを作成して、認証コードを生成します。展開プロファイルは、提供したクレジットに基づいて割り当てられ、アクティブ化できる NGFW の数と機能セットを定義します。このドキュメントでは、すでに Palo Alto Networks カスタマー サポート ポータルにアクセスし、クレジットをアクティベートしていることを前提としています。展開プロファイル作成の詳細については、Palo Alto Networks ドキュメント を参照してください。
Network Edge Palo Alto Network VM-Series VNF をプロビジョニングするには、AUTH CODE のみが必要です。UUID、CPUID、vCPU 数、メモリ情報でファイアウォールを登録する必要はありません。
認証コードを使用します
デバイスを作成するときに、[License File (BYOL)] フィールドに Auth Code を入力します。冗長配置またはクラスタ配置タイプを作成する場合は、配置プロファイルに 関連付けられた認証コードを使用します。たとえば、同じ配置プロファイルに十分な数のファイアウォールと VCPU コアを割り当てる場合は、冗長デバイスまたはクラスタ デバイスに同じ認証コードを使用します。配置プロファイルに十分な数のファイアウォールまたは VCPU コアが割り当てられていない場合は、別々の配置プロファイルで生成された別の認証コードを使用できます。
デバイス リソース]セクションで、配置プロファイルの CPU 割り当てに適合 するリソース タイプを選択します。たとえば、配置プロファイルで vCPU コアが 8 つしか割り当てられていない場合に、16 コア/56 GB メモリ割り当てを選択しようとすると、認証コードの登録に失敗します。この場合、使用可能なリソース オプションは 2 コア、4 コア、または 8 コアになります。
ソフトウェアのバージョン_]セクションで、10.1.3以上を選択します。フレキシブルvCPUライセンスは、PAN-OS 10.0.4以降にのみ対応しています。PAN-OS 9.x.xを選択した場合、Auth Codeの登録に失敗し、シリアル番号が不明になります。また、CLIを使用して手動でライセンスをリクエストすると、「Server Error :ライセンスのインストールに失敗しました。デバイスに FLEX 展開プロファイルを適用するには、メモリまたは vcpu が必要です。
Flexible vCPU ライセンスを使用する場合、プロビジョニングデバイスの PAN-OS バージョンが 10.0.4 以降であることを確認してください。
デバイスの作成が完了すると、Network Edge VNF が適切な AUTH CODE でインスタンス化されます。シリアル番号が生成され、Palo Alto Networks カスタマーサポートポータルに自動的に登録されます。CLI の「Show System Info」の出力と、Palo Alto カスタマーサポートポータルの「Software NGFW Devices」に表示されるシリアル番号を比較して、登録を確認できます。Equinix Fabric ポータルの [Device Details] ページで使用されている UUID と、PAN-OS で管理されている UUID は異なることにご注意ください。
認証コードの問題のトラブルシューティング
VNF 作成ワークフロー中に無効な認証コードが入力された場合でも、ポータルはこのコードを使用してデバイスのプロビジョニングプロセスを完了します。デプロイメントタイプに応じて、プロビジョニングステータスが異なります。
以下の表は、Auth Codeの問題で考えられる根本的な原因と、次に取るべき対処法をまとめたものです。
| Possible Root Causes | Provisioning State | Next Steps |
|---|---|---|
| Auth Code is not valid | Single or Redundant Device Provisioning status shows Provisioned. However, your serial number will not be generated and registered to the Palo Alto Customer Support Portal. To validate, use the web console in Device Details > Tools to access your CLI console and check your serial number using show system info. If an invalid Auth Code is used, the serial number value will be unknown. | Use CLI command request license fetch auth-code <your_auth_code> from the SSH or Web Console to manually trigger the Auth Code registration process. Once you provide a valid Auth Code, you will see VM Device License Installed message in the CLI console. |
| Auth Codes for both primary and secondary devices are not valid. Auth Codes for either primary or secondary devices are not valid. | Cluster Device - Device Provisioning Status shows License Error on both cluster devices, and License Status shows Registration Failed. | Use CLI command request license fetch auth-code <your_auth_code> from the SSH or Web Console to manually trigger the Auth Code registration process. Once you provide a valid Auth Code, you will see a VM Device License Installed message in the CLI console. You will see an Update the license file via the console to proceed message. Select the acknowledgment statement and click Confirm to bring both VNF instances to a Provisioned state. |
| Auth Codes for both devices are valid, but there are no adequate credits available for both cluster devices to be deployed. | Cluster Device - Device Provisioning Status shows License Error on both cluster devices, and License Status shows Registration Failed. | Log in to the Palo Alto Networks Customer Support Portal and verify that the Auth Code has adequate credits to deploy two VM series firewalls. |
Palo Alto Networks VM シリーズ VNF の無効化
VNFをデプロビジョニング(削除)する場合は、VNFからライセンスをデアクティベートしてください。デアクティベーションのために Palo Alto Network Customer Support Portal とやり取りする API キーをサポートするように PAN-OS を構成する必要がある場合があります。
ライセンスは手動で無効化することができます。詳細については、Palo Alto Networks のドキュメントをご覧ください。
Palo Alto Networks Prisma SD-WAN
| 2 Cores | 4 Cores | 8 Cores | |
|---|---|---|---|
| Memory | 8 GB | 8 GB | 32 GB |
| Software Package | Virtual ION (3103v) | Virtual ION (3103v) Virtual ION (3104v) | Virtual ION (3103v) Virtual ION (3104v) Virtual ION (7108v) |
| Virtual Data Interfaces Supported | 10 / 10 | ||
| System Reserved Interfaces | Controller Port 1 (WAN1) Port 2 (WAN2) | ||
| Available License Type | BYOL | ||
| Access Methods | SSH Prime Orchestrator | ||
| Image Version | See Available Image Versions | ||
| Vendor Throughput Information | Prisma SD-WAN Instant-On Network (ION) Device Specifications | ||
| Vendor Product Specs | https://www.paloaltonetworks.com/sase/sd-wan.html |
Palo Alto Networks Prisma SD-WAN デバイスの作成
デバイスを作成する際、指定する必要があります:
- ライセンスキー - ライセンスキーを入力します。
- License Secret - 秘密のライセンスフレーズを入力します。
SD-WANデバイスはNetwork Edge APIを使用して起動できます。詳細については、Network Edge API - SD-WANデバイスの作成 を参照してください。