1. OCIフレキシブル・ネットワーク・ロード・バランサを使用したPalo Altoファイアウォールのアクティブ/アクティブ・モードでのデプロイ
  2. デプロイメント設定の構成

デプロイメント設定の構成

この項では、リファレンス・アーキテクチャに示されているVCN、ルート表、ゲートウェイ、Palo AltoファイアウォールおよびOCI Flexible Network Load Balancerの構成ステップを確認します。

VCNの構成

次の項の説明に従って、VCN、サブネットおよびルート表を構成します。

  • ハブVCNには、Palo Alto専用の4つのサブネットがあり、1つのサブネットはhub-tok-inbound-snがパブリックです。
  • サブネット hub-tok-mgmt-snはPalo Alto管理インタフェース用であり、プライマリPalo Altoインタフェースが配備される場所です。
  • サブネットhub-tok-trust-snは、内部OCIフレキシブル・ネットワーク・ロード・バランサがデプロイされているPalo Altoトラスト・インタフェース用です。
  • サブネットhub-tok-untrust-snはプライベート・サブネットであり、OCIのVMへのアウトバウンド・インターネット・アクセスを提供するために使用されます。
  • サブネットhub-tok-publiclb-snは、すべてのパブリックIPを含むインターネットにDMZサービスを公開するためのパブリック・サブネットです。OCIフレキシブル・ネットワーク・ロード・バランサはこのサブネットに配置され、バックアップされたVMはアプリケーションまたは環境のスポークVCNに配置されます。
  • ハブVCNのインターネット・ゲートウェイ、サービス・ゲートウェイ、NATゲートウェイにはルーティング表がアタッチされ、これによりPalo Altoはゾーン間のパススルー・デバイスになります。
  • サービスをインターネットに公開するためにPalo Altoに接続されているパブリックIPはありません。
  • サービスをインターネットに公開する必要があるロード・バランサ、NLBおよびサーバーは、パブリックIPがアタッチされたhub-tok-publiclb-snサブネットにデプロイされます。
  • ルート表IGW RTには、インバウンドNLB IP 10.1.1.198を指す10.1.1.0/25へのパブリック・サブネットのルートがあります。
  • ルート表NGW-RTおよびSGW-RTは空になり、ルートは必要ありません。
  • ルート表VCNアタッチメント・ルート表には、デフォルトのルート0.0.0.0/0と、トラストNLB IP 10.1.1.229を指すhub-tok-shared-sn 10.1.1.128/27の特定のルートがあります。
  • サブネットhub-tok-publiclb-snのルート表には、インバウンドNLB IP 10.1.1.198を指し示すデフォルト・ルートと、スポーク範囲がDRGを指すデフォルト・ルートがあります。
  • サブネットhub-tok-inbound-snのルート表には、インターネット・ゲートウェイへのデフォルト・ルートがあります。
  • サブネットhub-tok-untrust-snのルート表には、サービス・ゲートウェイへのNATゲートウェイおよびそのリージョンのすべてのOracle Services Networkへのデフォルト・ルートがあります。
  • サブネットhub-tok-trust-snのルート表には、スポーク範囲およびオンプレミス範囲のDRGへのルートが含まれます。
  • すべてのスポーク・サブネットのルート表には、DRGへの静的デフォルト・ルートがあります。

OCI Flexible Network Load Balancerの構成

この項では、アクティブ/アクティブPalo AltoデプロイメントのOCI Flexible Network Load Balancer構成を確認します。

  1. ヘッダー保存および対称ハッシュを使用したプライベートInbound-nlbを作成します。
  2. インバウンド・サブネットはパブリック・サブネットですが選択し、プライベートNLBを作成します。
  3. リスナーのタイプはUDP/TCP/ICMPおよび任意のポートである必要があります。
  4. Palo Alto VMsインバウンドNIC IPを任意のポートのバックエンドとしてNLBバックエンド・セットに追加します。
  5. TCPポート22で健全性検査を構成します。障害を検出する速度に関する要件に従って、タイマー値を変更できます。この例では、デフォルト値を使用しました)。
  6. 信頼サブネット上の信頼NLBを構成するには、前述と同じステップに従います。変更は、バックエンド・セットとしてPalo Altoの信頼インタフェースIPを選択することのみです。

Palo Altoファイアウォール設定の構成

この項では、Palo Altoファイアウォールの構成ステップを確認します。

  1. 「始める前に」セクションで共有されているリンクを参照する2つのスタンドアロンのPalo AltoデバイスをOCIにデプロイすると、各デバイスには、管理NIC、信頼NIC、信頼できないNICおよびインバウンドNICの4つのNICがあります。
  2. Palo Altoデバイス構成GUIのNICがコンソールと同じ順序であることを確認します。
  3. Palo Altoに inbound-rtrという追加の仮想ルーターを作成し、インバウンドNICを新しい仮想ルーターに接続します。
  4. この仮想ルーターは、Palo Altoがデータ・プレーンに2つのデフォルト・ルートを持つことができることを確認するために必要です。1つはOCI NATゲートウェイを介したエグレス・インターネット・アクセス用、もう1つはインターネット・ゲートウェイを介したイングレス・インターネット・エクスポージャ用です。

Dynamic Routing Gatewayの構成

DRGは、ハブとスポークVCNsの間のOCIの日付プレーンでルーターとして機能します。ルート表を変更し、各アタッチメントの配布をインポートして、OCIのPalo Altoファイアウォールを介してすべてのトラフィックを強制します。

  1. ハブ添付ルート表のインポート・ディストリビューションを作成し、そのルートへのすべてのタイプのルートをインポートします。
  2. ハブVCNアタッチされたルート表にインポート・ディストリビューションをアタッチします。
  3. IPSec VPNおよびOCI FastConnectアタッチメントのルート表で、ハブVCNを指すスポークVCNおよびハブVCN範囲に静的ルートを追加し、インポート・ディストリビューションを削除します。

ノート:

このアーキテクチャを参照および変更して、Checkpoint、Cisco firepowerなどの他のマーケットプレイス・ファイアウォールをデプロイできます。Palo Alto設定セクションは、他のマーケットプレイス・ファイアウォールの同等の構成で変更する必要があります。