Me disseram, mas não encontrei nada escrito, que não é aconselhável que usuários se conectem ao Portal Global Protect Palo Alto VM300 dentro do Azure. Alguém tem experiência ou conhecimento que possa compartilhar?
quem te falou isso precisa olhar para o Prisma Access. Uma afirmação tola com certeza.
Por que especificamente o Azure seria um problema? Eu o executo em todos os tipos de hipervisores simples, KVM, VirtualBox, etc. Desde que a plataforma possa emular uma máquina x86, o PAN-OS deve ficar feliz com isso.
A Palo te disse isso porque eles querem vender o Prisma Access em vez disso?
Estou fazendo exatamente isso com uma presença global de usuários sem problemas. Nunca vi nada contra, e posso verificar que funciona. Faço o roteamento de tráfego usando o Azure Traffic Manager para DNS baseado em continente.
VM-300 no Azure aqui com Global Protect funcionando bem e bom desempenho
Ter um portal (ou gateway) na nuvem pública provavelmente é tão confiável quanto usar um gateway de hardware do PAN-OS.
Do ponto de vista do ISP, provavelmente é muito mais confiável do que hospedar localmente ou em uma instalação de colocation.
Faço isso para vários ambientes sem problemas.
Além disso, pense em migrar a licença VM-300 para créditos de NGFW de Software. Acho que você será forçado a fazer isso após julho de 2024.
Sim… preciso de mais informações… Tinha Palo usando GP portal e gateway e terminação IPsec e firewall para meus VNETs… Então, a menos que esteja fazendo algo realmente específico, acho melhor não falar mais com essa pessoa.
Existem limitações de HA, limitações de largura de banda (igual para todas as séries de VM), considerações de roteamento de tráfego/custo (você quer que todo o seu tráfego passe pelo Azure?), mas se você entender tudo isso, provavelmente está bem. Muitas pessoas fazem isso.
Tenho usado essa configuração por cerca de 2 anos. Aproximadamente 70 usuários simultâneos. Sem problemas. Balanceador de carga (trust e untrust) para adicionar uma VM100 extra, se necessário.
Sim, estamos muito satisfeitos com isso.
Atualmente tenho 2 PA-VM ativos em modo ativo no Azure. Estou investigando problemas de desempenho. Comparado ao gateway no local, onde os testes de velocidade mostram 90% do link do ISP em teste, os gateways do Azure atualmente estão recebendo apenas 50 Mbps.
Ainda estou investigando.
Isso funciona bem - geralmente. Dependendo do tipo de NAT (se houver) usado para expor o portal/gateway, a fragmentação pode ser problemática. Uma solução temporária pode ser usar a configuração do firewall para informar ao cliente para usar uma MTU de túnel GP de cerca de 1200-1300. 1300 parece funcionar bem na maioria das implementações, mas a melhor configuração (que resolve problemas para mais usuários do que cria) pode exigir tentativa e erro.
Usar rede acelerada e garantir que a largura de banda permaneça disponível para clientes do túnel e seu tráfego – novamente, desde que não haja restrições na camada de dados subjacente, não observei problemas de desempenho em implementações desse tipo até hoje.
O certificado usado para GP, como você o vinculou ao firewall com uma LB externa com A/A?
Acho que o problema que você teria é que só pode executar uma única instância, e essa configuração nem é suportada pelo Azure nem pelo Palo Alto. Se você não esperar HA, então não deve ser um problema real.
Concordo com o que /u/projectself disse - estamos fazendo exatamente a mesma coisa. Hoje é um dia leve (véspera de férias) - temos cerca de 3.000 usuários conectados no total.
Já fiz isso, testando autenticação, mas não apliquei muita pressão.
Se você for para a nuvem, uma arquitetura melhor seria Prisma Access com VPN de serviço, de volta ao local ou para o Azure, o que for melhor para o seu ambiente.
Até agora, sem grandes problemas na nossa implantação.
Atualmente hospedando um portal GlobalProtect, gateway externo e interno na nossa combinação HA do VM-300 (ativo/passivo). Atualmente fazendo POC com cerca de 400 usuários concorrentes diários distribuídos na região da América do Norte usando uma configuração sempre ativada.
Como outros mencionaram, haverá custos adicionais com o uso de largura de banda e o tempo de failover do HA pode variar de 5 a 15 minutos. O maior problema que enfrentei foi um vazamento de memória causado pelo serviço USER-ID, que parece ter se resolvido na versão 10.2.5, e se usar SAML do Azure, o timeout TCP teve que ser aumentado.
Como você configurou a interface do VM do PA? Você configurou no DHCP? Se eu deixar no DHCP, minha conexão GP funciona bem. Assim que mudo para estático, a conexão com o GP é intermitente.
Não está mais disponível como série de VM, mas os créditos para obter 8 interfaces, 28 GB de RAM e 8 processadores custam 189 créditos por VM.