OCI Flexible Network Load Balancerを使用したPalo Altoファイアウォールのアクティブ/アクティブ・モードでのデプロイについて学習

このドキュメントでは、Oracle Cloud Infrastructure (OCI)内のアクティブ/アクティブ・モードでPalo Alto VMシリーズ・ファイアウォールをデプロイするためのガイドを提供します。

Palo Altoはオンプレミス・データ・センターでアクティブ/アクティブ高可用性(HA)機能をネイティブにサポートしていますが、パブリック・クラウド環境では実現できません。ただし、OCI Flexible Network Load Balancerの対称ハッシュと呼ばれる画期的な機能を使用して、このデプロイメントの回避策がOCIで可能になりました。

このデプロイメント・モデルでは、Palo Altoファイアウォールがパススルー・デバイスとして機能するため、ネットワーク・アドレス変換(NAT)やパブリックIPアドレスは必要ありません。パブリックIPアドレスは、かわりに実際のDMZサーバーまたはロード・バランサに関連付けられます。そのため、セカンダリIPの最大数に達した場合でも、追加のNICは必要ありません。この機能は、ルート表をOCIのNATゲートウェイ、インターネット・ゲートウェイおよびサービス・ゲートウェイにアタッチするオプションによって有効になります。

長所:

1. スループットの向上: 両方のファイアウォールがアクティブであるため、スループットが向上します。
2. シームレスなスケーリング: 新しいファイアウォールは、既存のトラフィックを中断することなくデプロイでき、ネットワーク・ロード・バランサのバックエンドに追加できます。
3. フェイルオーバー時間の短縮: APIコールでIPアドレスをプライマリ・デバイスからセカンダリ・デバイスに移動する必要がないため、フェイルオーバーが高速になります。
4. OCI Identity and Access Managementポリシー構成なし: Palo AltoファイアウォールがVCNを読み取ってNICの移動を管理できるようにするために、OCI Identity and Access Managementポリシー構成は必要ありません。
5. 追加のNICは必要ありません。パブリックIPの数が64を超えると、ファイアウォールに関連付けられているパブリックIPがないため、追加のNICは必要ありません。DMZサブネットのサイズによって、インターネットに公開できるサービスまたはアプリケーションの最大数が決まります。
6. コスト削減: このモデルでは追加のNICは必要ないため、ライセンスおよびVM運用コストが削減されます。

開始する前に

このデプロイメント・モデルをよりよく理解するには、OCIでのOCI Flexible Network Load BalancerおよびPalo Altoデプロイメントの対称ハッシュ機能について説明する次のリンクを参照してください。

• OCIネットワーク・ロード・バランサでの対称ハッシュによる柔軟なセキュリティ・アーキテクチャの有効化
• OCIでのVMシリーズ・ファイアウォールの設定の準備

アーキテクチャ

次の図は、OCIでのPalo Alto Active/Active設定のテストに使用されるアーキテクチャの概要を示しています。

これはOCIの典型的なハブ・スポーク・アーキテクチャ・デプロイメントで、アクティブ/アクティブのPalo AltoファイアウォールがハブVCNに4つのNICとともにデプロイされ、ハブVCNにDMZのパブリック・サブネットが追加されます。Spoke VCNsは、Palo Altoファイアウォールを介して北南東西のすべてのルーティングをDRGにアタッチされます。アクティブ/アクティブ設定を実現するには、インバウンドおよびトラストNLBのバックエンドとしてPalo Alto VMsを追加します。

この項では、このリファレンス・アーキテクチャのトラフィック・ルーティングとフローについて詳しく説明します。リソースの名前の「tok」という用語は、この参照アーキテクチャ・モデルがデプロイおよびテストされたリージョン「Tokyo」を指します。

図oci-nlb-palo-alto-active-active-arch.pngの説明

oci-nlb-palo-alto-active-active-arch-oracle.zip

OCIへの南北インバウンド・インターネット・トラフィック・フロー:

次の図は、インターネットに公開されているDMZ Webサービスのフローを示しています。アプリケーション・ロード・バランサはパブリック・サブネット上にあり、バックエンド・サーバーはスポークVCNのプライベート・サブネット内にあります。各ホップの詳細なフローについては、次の手順で説明します。

図oci-nlb-palo-alto-active-active-dmz.pngの説明

oci-nlb-palo-alto-active-active-dmz-oracle.zip

1. インターネット上のクライアント・マシンからのトラフィックは、インターネット・ゲートウェイ(IGW)にルーティングされます。
2. IGWは、インターネット・ゲートウェイのルート表をサブネットhub-tok-publiclb-snに参照し、トラフィックをインバウンドNLB IP 10.1.1.198にルーティングします。
3. インバウンドNLBは、対称ハッシュ・アルゴリズムを使用して、バックエンドのPAデバイスのいずれかにトラフィックをロード・バランシングします。
4. ファイアウォールはポリシーを検証し、トラフィックを仮想ルーター「inbound-rtr」上のインバウンド・インタフェースからパブリックIPを持つアプリケーション・ロード・バランサにルーティングします。

   ノート:

   ファイアウォール・セキュリティ・ポリシーは、パブリック・ロード・バランサのプライベートIP (10.1.1.112)に書き込まれます。
5. OCI Flexible Network Load Balancerは、トラフィックのソース・ネットワーク・アドレス変換(SNAT)を実行し、サブネット・ルート表を参照する動的ルーティング・ゲートウェイ(DRG)にルーティングします。
6. ハブVCNアタッチメントのルート表を参照しているDRGは、トラフィックをスポークVCNにルーティングし、トラフィックがWebサーバーに到達します。
7. Webサーバーは、サブネット・ルート表に従ってDRGアタッチメントにリターン・トラフィックを送信します。
8. DRGは、スポークVCNアタッチメントのルート表を参照し、トラフィックをハブのOCI Flexible Network Load Balancerに送信します。
9. OCIフレキシブル・ネットワーク・ロード・バランサはトラフィックをUNATし、サブネットのデフォルト・ルートを使用してトラフィックをインバウンドNLB IP 10.1.1.198に送信します。
10. インバウンドNLBは、対称ハッシュ・アルゴリズムを使用して、トラフィックを開始したバックエンドの同じPAデバイスにトラフィックを転送します。
11. Palo Altoは、インバウンドNICでトラフィックを受信し、仮想ルーターのデフォルト・ルートごとにトラフィックをインターネット・ゲートウェイに送り返します。
12. インターネット・ゲートウェイは、トラフィックをインターネット・クライアントにルーティングします。

OCIからのNorth-Southアウトバウンド・インターネット・トラフィック・フロー:

次の図は、OCIからのアウトバウンド・インターネット・トラフィックのフローを示しています。OCIのすべてのVMは、Palo AltoのSNATおよびOCI NATゲートウェイを使用してインターネットにアクセスします。戻りパスを対称にするには、Palo AltoのSNATが必要です。アウトバウンド・パブリックIPアドレスは、NATゲートウェイのIPアドレスになります。

図oci-nlb-palo-alto-active-active-outbound.pngの説明

oci-nlb-palo-alto-active-active-outbound:oracle.zip

1. DRGへのデフォルト・ルートを使用するスポーク・サブネットのVMからのトラフィックは、DRGアタッチメントにトラフィックをルーティングします。
2. DRGはスポークのアタッチメント・ルート表を参照し、トラフィックをハブVCNにルーティングし、VCNの転送ルート表はトラフィックをトラストNLB IP 10.1.1.229にルーティングします。
3. NLBは、アクティブ/アクティブ・モードのファイアウォールのいずれかにトラフィックをロード・バランシングします。
4. ファイアウォールは、デフォルトの仮想ルーターの信頼インタフェース上のトラフィックを受信します。トラフィックのSNATを信頼できないインタフェースIPに実行し、デフォルト・ルートを参照すると、トラフィックがOCI NATゲートウェイに転送されます。
5. NATゲートウェイは、NATゲートウェイのパブリックIPを使用してトラフィックをインターネットにルーティングします。
6. インターネットは、リターン・トラフィックをNATゲートウェイに再ルーティングします。
7. NATゲートウェイUNATのトラフィックは、Palo AltoのSNATと同じPalo Altoインタフェースにルーティングされます。
8. Palo Altoベースの状態表およびデフォルト仮想ルーター上のルートは、トラフィックを逆NATゲートウェイの後にDRGに信頼できないNICから送信します。
9. DRGは、ハブVCNにアタッチされたルート表を参照し、それぞれのスポークVCNにルーティングして、ソースVMに到達します。

OCIのスポークまたはオンプレミスからOCIへの東西のトラフィック:

次の図は、オンプレミスとOCI間のトラフィックのフローを示しています。OCIのスポーク間のトラフィックの流れを理解するために、オンプレミスをスポークの一つとして検討できます。その場合、唯一の変更は、スポーク・アタッチメントで参照されるルート表です。このデプロイメントは、トラフィックがファイアウォールの同じインタフェースに入り、そのまま残る単一アーム・モードを参照できます。ここでは、インタフェースがトラスト・インタフェースです。

図oci-nlb-palo-alto-active-active-onprem.pngの説明

oci-nlb-palo-alto-active-active-onprem - oracle.zip

1. オンプレミス・トラフィックは、IPSecまたはOCI FastConnectを介してOCI DRGにルーティングされます。
2. DRGは、OCI FastConnectまたはIPSecのアタッチメント・ルート表を参照し、トラフィックをハブVCNにルーティングします。ハブのVCNアタッチメント・ルート表は、トラフィックをトラストNLB IP 10.1.1.229にルーティングします。
3. NLBは、アクティブ/アクティブ・モードのファイアウォールのいずれかにトラフィックをロード・バランシングします。
4. ファイアウォールは、セキュリティ・ルールに従ってトラフィックを処理し、ハブ・アタッチメントのハブ・ルート表のDRGにルーティングします。
5. DRGは、ハブ・アタッチメントにアタッチされているルート表を参照し、トラフィックをそれぞれのスポークVCNおよびそれぞれのVMにルーティングします。
6. VMは、ルート表内のデフォルト・ルート・ルールを参照するリターン・トラフィックをDRGに送信します。
7. DRGは、スポークVCNにアタッチされたルート表を参照し、トラフィックをハブVCNにルーティングします。ハブ転送ルート表は、トラフィックをトラストNLBにルーティングします。
8. NLBロードは、対称ハッシュアルゴリズムを使用して、同じPalo Altoデバイスにトラフィックを均等に分散します。
9. ファイアウォールは、デフォルトの仮想ルーターの状態表およびルートを参照し、トラフィックをハブ・アタッチメントのハブ・ルート表のDRGに戻します。
10. DRGは、ハブ・アタッチメントのハブ・ルート表を参照し、OCI FastConnectまたはIPSecトンネルを介してトラフィックをオンプレミスにルーティングします。

OCI VMsからOracle Services Networkへの東西のアウトバウンド・トラフィック・フロー:

次の図は、OCI VMsからOracle Services Networkへのアウトバウンド・トラフィックのフローを示しています。OCIのすべてのVMは、Palo AltoのSNATおよびOCIのgerviceゲートウェイを使用してOracle Services Networkにアクセスします。戻りパスを対称にするには、Palo AltoのSNATが必要です。Oracle Services Networkで、VCNをホワイトリストに登録する必要がある場合は、ハブVCN範囲になります。

図oci-nlb-palo-alto-active-active-osn.pngの説明

oci-nlb-palo-alto-active-active-osn-oracle.zip

1. DRGへのデフォルト・ルートを使用するスポーク・サブネットのVMからのトラフィックは、トラフィックをDRGアタッチメントにルーティングします。
2. DRGはスポークのアタッチメント・ルート表を参照し、トラフィックをハブVCNのハブVCNおよびハブVCNのVCNアタッチメント・ルート表にルーティングして、トラフィックをトラストNLB IP 10.1.1.229にルーティングします。
3. Trust NLBロードは、トラフィックをアクティブ/アクティブモードのファイアウォールのいずれかに分散します。
4. ファイアウォールは、デフォルトの仮想ルーター上の信頼インタフェース上のトラフィックを受信します。信頼できないインタフェースIPへのトラフィックのSNATを実行します。次に、デフォルト・ルートを参照すると、トラフィックがOCIサブネット・ルート表に転送され、次にOCIサービス・ゲートウェイに転送されます。
5. サービス・ゲートウェイは、OCIバックボーンを介してトラフィックをOracle Services Networkにルーティングし、Palo AltoにSNATがあるのと同じファイアウォールのインタフェースに戻します。
6. Palo Altoは状態表を参照し、リバースNATを実行し、デフォルトの仮想ルーター上の静的ルートに基づいてトラフィックをトラストNICから送信し、最終的にDRGに送信します。
7. DRGは、ハブVCNにアタッチされたルート表を参照し、トラフィックをそれぞれのスポークVCNにルーティングしてから、ソースVMにルーティングします。

このアーキテクチャでは、次のコンポーネントがサポートされています。

• ネットワーク・ロード・バランサ

  ネットワーク・ロード・バランサは、オープン・システム相互接続(OSI)モデルのレイヤー3およびレイヤー4で動作するロード・バランシング・サービスです。このサービスは、超低レイテンシを維持しながら、高可用性のメリットを享受し、高スループットを実現します。

• Palo Altoファイアウォール

  VMシリーズの次世代ファイアウォールは、クラウド内のお客様のインフラストラクチャを保護するのと同じセキュリティ機能で、アプリケーションとデータを保護します。VMシリーズの次世代ファイアウォールにより、開発者とクラウド・セキュリティ・アーキテクトは、インライン脅威とデータ損失防止をアプリケーション開発ワークフローに組み込むことができます。

• 動的ルーティング・ゲートウェイ(DRG)

  The DRG is a virtual router that provides a path for private network traffic between VCNs in the same region, between a VCN and a network outside the region, such as a VCN in another Oracle Cloud Infrastructure region, an on-premises network, or a network in another cloud provider.

• インターネット・ゲートウェイ

  インターネット・ゲートウェイは、VCN内のパブリック・サブネットとパブリック・インターネット間のトラフィックを許可します。

• ネットワークアドレス変換(NAT)ゲートウェイ

  NATゲートウェイにより、VCN内のプライベート・リソースは、受信インターネット接続にリソースを公開することなく、インターネット上のホストにアクセスできます。

• オンプレミス・ネットワーク

  これは組織が使用するローカルネットワークです。

• ルート表

  仮想ルート表には、通常ゲートウェイを介して、サブネットからVCN外部の宛先にトラフィックをルーティングするルールが含まれます。

• サービス・ゲートウェイ

  サービス・ゲートウェイは、VCNからOracle Cloud Infrastructure Object Storageなどの他のサービスへのアクセスを提供します。The traffic from the VCN to the Oracle service travels over the Oracle network fabric and does not traverse the internet.

• 仮想クラウド・ネットワーク(VCN)およびサブネット

  VCNは、Oracle Cloud Infrastructureリージョンで設定する、カスタマイズ可能なソフトウェア定義ネットワークです。従来のデータ・センター・ネットワークと同様に、VCNsではネットワーク環境を制御できます。VCNには重複しない複数のCIDRブロックを含めることができ、VCNの作成後にそれらを変更できます。VCNをサブネットにセグメント化して、そのスコープをリージョンまたは可用性ドメインに設定できます。各サブネットは、VCN内の他のサブネットと重複しない連続した範囲のアドレスで構成されます。サブネットのサイズは、作成後に変更できます。サブネットはパブリックにもプライベートにもできます。