Especificações de VNFs da Palo Alto Networks
Licenciamento
Os produtos Bring Your Own License (BYOL) exigem uma licença válida. Você é responsável por adquirir e gerenciar suas próprias licenças da Palo Alto Networks. Para adquirir uma licença de software, entre em contato com seu representante de vendas ou parceiros da Palo Alto Networks.
Apoiar
O suporte da Palo Alto Networks está disponível para licenças BYOL. Entre em contato com seu representante de vendas ou parceiro da Palo Alto Networks para adquirir uma licença e um contrato de suporte.
Palo Alto Networks – Firewall da Série VM
- Para uma visão geral técnica, consulte a Ficha Técnica da Série VM.
- Para obter documentação, consulte a Documentação da Série VM.
- Notas de versão do PAN-OS 10.1 (https://docs.paloaltonetworks.com/pan-os/10-1/pan-os-release-notes).
| 2 Cores | 4 Cores | 8 Cores | 16 Cores | |
|---|---|---|---|---|
| Memory | 8 GB | 16 GB | 48 GB | 56 GB |
| Software Package | VM-100 | VM-100 VM-300 | VM-100 VM-300VM-500 | VM-100 VM-300 VM-500 VM-700 |
| Virtual Data Interfaces Supported (Default/Max) | 10 / 10 | 10 / 19 | ||
| System Reserved Interfaces | Management | |||
| Available License Type | BYOL | |||
| Access Methods | SSH Web Console | |||
| Image Version | See Available Image Versions | |||
| Restricted CLI Commands | None | |||
| Deployment Options | Single Redundant Cluster |
Tipos de implantação
Há três tipos de implementação disponíveis para o VM-Series Firewall.
| Deployment Type | Description |
|---|---|
| Single | Provision a single device that operates as a standalone device. Another single device can be paired with the existing single device (requires same resource configuration) to form a local redundancy (redundancy in single metro) or geo-redundancy (each device operates in different metro). For more information see Creating a VM-Series Firewall |
| Redundant | Provision two firewall devices. Each device operates individually, and you are responsible for configuring those in an Active-Active fashion. You have the option of deploying both devices in two different metros (recommended) to achieve distributed architecture or keep both devices in the same metro. |
| Cluster | Provision two firewall devices with Active-Standby redundancy in a single metro. (No geo-redundancy option available.) For more information, see Creating a Clustered VM-Series Firewall |
Suporte à licença de VCPU flexível do VM-Series Firewall
O Network Edge oferece suporte aos modelos de licenciamento de vCPU Fixa e Flexível. Uma licença de vCPU Flexível requer uma versão específica do PAN-OS. Você precisará de um Código de Autenticação (código alfanumérico de 8 ou 9 dígitos) ao criar uma VNF de Firewall da Série VM.
Ao provisionar um NGFW VM-Series com a opção BYOL, o usuário precisa fornecer um token de licença durante o fluxo de trabalho de criação do dispositivo no portal Equinix Fabric. Um token de licença também é chamado de código de autenticação (código alfanumérico de 8 ou 9 dígitos). Para obter mais informações sobre os tipos de licença VM-Series, consulte a documentação da Palo Alto Networks.
Geração de um Código Auth
Gere o código de autorização criando um perfil de implantação no Portal de Suporte ao Cliente da Palo Alto Networks. O perfil de implantação define o número de NGFWs e conjuntos de recursos que podem ser alocados e ativados com base no crédito fornecido. Este documento pressupõe que você já tenha acesso ao Portal de Suporte ao Cliente da Palo Alto Networks e que seu crédito já tenha sido ativado. Para obter mais informações sobre a criação de perfis de implantação, consulte a documentação da Palo Alto Networks.
Para provisionar o Network Edge Palo Alto Network VM-Series VNF, você só precisa do CÓDIGO DE AUTENTICAÇÃO. NÃO É NECESSÁRIO registrar o firewall com informações de UUID, CPUID, número de vCPUs e memória.
Usando o código de autenticação
Ao criar seu dispositivo, insira o Código de Autenticação no campo Arquivo de Licença (BYOL). Ao criar implantações redundantes ou em cluster, use o Código de Autenticação associado ao seu perfil de implantação. Por exemplo, se você alocar firewalls e núcleos de vCPU suficientes no mesmo perfil de implantação, use o mesmo Código de Autenticação para dispositivos redundantes ou em cluster. Se o seu perfil de implantação não tiver firewalls ou núcleos de vCPU suficientes alocados, você poderá usar um Código de Autenticação diferente, gerado com perfis de implantação separados.
Na seção Recursos do Dispositivo, selecione o tipo de recurso que corresponde à alocação de CPU do seu perfil de implantação. Por exemplo, se o seu perfil de implantação alocar apenas 8 núcleos de vCPU e você tentar selecionar a alocação de 16 núcleos/56 GB de memória, o registro do código de autenticação falhará. Nesse caso, suas opções de recurso disponíveis serão 2 núcleos, 4 núcleos ou 8 núcleos.
Na seção Versão do Software, selecione 10.1.3 ou superior. A licença de vCPU flexível é compatível apenas com o PAN-OS 10.0.4 e versões superiores. Se o PAN-OS 9.xx for selecionado, o registro do seu código de autenticação falhará e seu número de série ficará desconhecido. Além disso, ao solicitar uma licença manualmente usando a CLI, você verá a mensagem de erro Erro do Servidor: Falha ao instalar a licença. Memória ou vCPU são necessárias para que o perfil de implantação FLEX seja aplicado ao dispositivo.
Certifique-se de que a versão do PAN-OS do seu dispositivo de provisionamento seja 10.0.4 ou superior ao usar a licença Flexible vCPU.
Após a conclusão da criação do dispositivo, a VNF do Network Edge será instanciada com o CÓDIGO DE AUTENTICAÇÃO apropriado. Um número de série é gerado e registrado automaticamente no Portal de Suporte ao Cliente da Palo Alto Networks. Você pode validar o registro comparando a saída da CLI "Show System Info" (Mostrar Informações do Sistema) e o número de série exibido nos Dispositivos NGFW de Software no Portal de Suporte ao Cliente da Palo Alto . Observe que o UUID usado na página de Detalhes do Dispositivo do portal Equinix Fabric e o UUID mantido no PAN-OS são diferentes.
Solução de problemas de código de autenticação
Mesmo que um Código de Autenticação inválido seja inserido durante o fluxo de trabalho de criação da VNF, o portal prossegue com esse código e conclui o processo de provisionamento do dispositivo . Dependendo do tipo de implantação, você observará diferentes status de provisionamento .
A tabela a seguir resume as possíveis causas de raiz dos problemas do Código Auth e as ações a serem tomadas em seguida.
| Possible Root Causes | Provisioning State | Next Steps |
|---|---|---|
| Auth Code is not valid | Single or Redundant Device Provisioning status shows Provisioned. However, your serial number will not be generated and registered to the Palo Alto Customer Support Portal. To validate, use the web console in Device Details > Tools to access your CLI console and check your serial number using show system info. If an invalid Auth Code is used, the serial number value will be unknown. | Use CLI command request license fetch auth-code <your_auth_code> from the SSH or Web Console to manually trigger the Auth Code registration process. Once you provide a valid Auth Code, you will see VM Device License Installed message in the CLI console. |
| Auth Codes for both primary and secondary devices are not valid. Auth Codes for either primary or secondary devices are not valid. | Cluster Device - Device Provisioning Status shows License Error on both cluster devices, and License Status shows Registration Failed. | Use CLI command request license fetch auth-code <your_auth_code> from the SSH or Web Console to manually trigger the Auth Code registration process. Once you provide a valid Auth Code, you will see a VM Device License Installed message in the CLI console. You will see an Update the license file via the console to proceed message. Select the acknowledgment statement and click Confirm to bring both VNF instances to a Provisioned state. |
| Auth Codes for both devices are valid, but there are no adequate credits available for both cluster devices to be deployed. | Cluster Device - Device Provisioning Status shows License Error on both cluster devices, and License Status shows Registration Failed. | Log in to the Palo Alto Networks Customer Support Portal and verify that the Auth Code has adequate credits to deploy two VM series firewalls. |
Desativando seu VNF Palo Alto Networks VM-Series
Se você estiver desprovisionando (excluindo) uma VNF, certifique-se de desativar sua licença da VNF. Pode ser necessário configurar seu PAN-OS para suportar a chave de API para interagir com o Portal de Suporte ao Cliente da Palo Alto Networks para desativação.
Você pode desativar sua licença manualmente. Para mais informações, consulte a documentação da Palo Alto Networks.
Palo Alto Networks Prisma SD-WAN
| 2 Cores | 4 Cores | 8 Cores | |
|---|---|---|---|
| Memory | 8 GB | 8 GB | 32 GB |
| Software Package | Virtual ION (3103v) | Virtual ION (3103v) Virtual ION (3104v) | Virtual ION (3103v) Virtual ION (3104v) Virtual ION (7108v) |
| Virtual Data Interfaces Supported | 10 / 10 | ||
| System Reserved Interfaces | Controller Port 1 (WAN1) Port 2 (WAN2) | ||
| Available License Type | BYOL | ||
| Access Methods | SSH Prime Orchestrator | ||
| Image Version | See Available Image Versions | ||
| Vendor Throughput Information | Prisma SD-WAN Instant-On Network (ION) Device Specifications | ||
| Vendor Product Specs | https://www.paloaltonetworks.com/sase/sd-wan.html |
Criação de dispositivos SD- WAN Prisma da Palo Alto Networks
Ao criar seu dispositivo, você precisará especificar:
- Chave de licença – Insira sua chave de licença.
- Segredo da licença – Digite sua frase secreta de licença.
Os dispositivos SD- WAN podem ser iniciados usando as APIs de Network Edge . Para obter mais informações, consulte API de Network Edge – Criar dispositivo SD- WAN