PaloAltoをAWSに導入する ~#2 PaloAlto用インスタンスの作成とAWS上の各種設定編~

記事タイトルとURLをコピーする

こんにちは、CI部の鎌田です。

前回までの手順で、PaloAltoをAWSに導入する際のAWS側の基礎準備が出来ました。 この記事では、PaloAltoのEC2インスタンスを構築し、AWSの周辺設定を変更していく部分についてまとめています。

では早速、始めて行きましょう!

1.PaloAltoのAMIからインスタンスを構築する

マネジメントコンソールにアクセスし、Marketplaceにアクセスします。検索窓に「palo」と入力して検索します。 検索すると下記の3つが表示されるので、ライセンスの利用形態と利用する機能によって、AMIを選択します。 URLフィルタの機能利用でPAYG(ライセンス料金がAWS利用料込みになるAMI)の場合はVM-Series Next-Generation Firewall Bundle 2を選びます。

シリーズ 説明
VM-Series Next-Generation Firewall Bundle 1 脅威防御(インスタンスの利用料金とPaloAltoのライセンス費用が込み)
VM-Series Next-Generation Firewall Bundle 2 脅威防御、WildFire、URL Filtering 、Global Protect(インスタンスの利用料金とPaloAltoのライセンス費用が込み)
VM-Series Next-Generation Firewall (BYOL) 脅威防御、WildFire、URL Filtering 、Global Protect(ライセンスは別で用意する)

「管理」をクリックして次に進みましょう

f:id:swx-kamata:20201002121704j:plain

右ペインの右上にある「アクション」から「新規インスタンスを起動」をクリックします。

f:id:swx-kamata:20201002121734j:plain

新規インスタンスの起動という画面に変わります。 下記の通り設定して、「EC2を介して起動を続ける」をクリックします。

設定項目 設定値
配信方法 64bit (x86) Amazon Machine Image
ソフトウェアバージョン PAN-OS 9.1.3
リージョン ap-northeast-1

上記PAN-OS(PaloAltoのファームウェア)バージョンは2020年8月現在で選択できる最新のバージョンです。 x.1系が保守期限が長いので、下記EOLも参考に、保守委託先やお客様のポリシーとも照らし合わせて選択してください。

https://www.paloaltonetworks.com/services/support/end-of-life-announcements/end-of-life-summary

選択が終わったら、「EC2を介して起動を続ける」をクリック。

f:id:swx-kamata:20201002121838j:plain

インスタンスタイプを選択します。AWSではPaloAltoのVM-300相当の性能を発揮するm5.xlargeを選択します。

https://docs.paloaltonetworks.com/vm-series/10-0/vm-series-deployment/about-the-vm-series-firewall/vm-series-models/vm-series-system-requirements.html#idb04eb16a-3824-4d10-ae65-2f440608f87b

f:id:swx-kamata:20201002121854j:plain

PaloAltoを展開するVPCなどを選択していきます。 EC2として展開する時に選択するsubnetは、Management用のネットワークとなるように選択してください。 インスタンスのネットワークは固定のIPを割り当てましょう。(ここでは192.168.1.5を割り当てています。)

f:id:swx-kamata:20201002121906p:plain

ストレージ容量は60GBが最小サイズです。ログをEC2内部で多く溜めなければ60GBのままで問題ありませんので、そのまま進めます。

f:id:swx-kamata:20201002121959j:plain

インスタンスにタグを付与します。

f:id:swx-kamata:20201002122006j:plain

セキュリティグループの設定を行います。事前に作成しておいた管理用のSGをアタッチします。

f:id:swx-kamata:20201002122044j:plain

確認の画面になるので、設定を確認してインスタンスを起動していきます。

f:id:swx-kamata:20201002122058p:plain

設定の際、最初はsshでログインしますので、キーの割り当てを間違えないように気を付けましょう。

f:id:swx-kamata:20201002122111j:plain

インスタンスのLaunchを待っている間に、他の作業を進めます。

2.ENIを追加作成

PaloAltoのインスタンスにアタッチする、外部接続用及び内部接続用のENIを作成します。 マネジメントコンソールでEC2にアクセス後、左ペインから「ネットワークインターフェイス」をクリックし、右ペインから「ネットワークインターフェイスの作成」をクリックします。 f:id:swx-kamata:20201002122127j:plain

PaloAltoのPublic側になるENIを作成します。こちらも作成の際は固定IPで作成しますので、IPv4 Private IPはCustomを選択し、IPアドレスを割り当てます。(ここでは192.168.1.4を割り当てています。) f:id:swx-kamata:20201002122137j:plain

同様の手順で、Private側になるENIも作成します。(ここでは192.168.3.4を割り当てています。) f:id:swx-kamata:20201002122153j:plain

3.ENIの送信元チェックを無効化(アタッチされるENI全部に実施)

PaloAltoがNATも行うため、IPアドレスの変換が発生しますが、この際はENIの送信元チェックを無効化しておく必要があります。 この送信元/送信先チェックを、以下の3つに対してそれぞれ実施してください。 この作業がされていないと、PaloAltoの設定が正しくても通信が通りませんのでご注意ください。

  • PaloAltoの管理用インターフェイスになるENI
  • PaloAltoのPublic用インターフェイスになるENI
  • PaloAltoのPrivate用インターフェイスになるENI

先ほどの手順で作成したENIを選択し、右クリックのメニューから「送信元/送信先の変更チェック」をクリックします。 f:id:swx-kamata:20201002122231p:plain

「送信元/送信先のチェック」を「無効」を選択して、「保存」をクリックします。 f:id:swx-kamata:20201002122243j:plain

他のENIも同様に、設定をしていきましょう。 なおENIのIDをこの後の工程で使うので、3つのENIとも控えておいてください。

4.ENIにEIPをアタッチ

EIPを取得して、ENIにEIPをアタッチしていきます。

マネジメントコンソールでEC2にアクセス後、左ペインから「Elastic IP」をクリックします。 「Elastic IP アドレスの割り当て」をクリックします。 f:id:swx-kamata:20201002122302j:plain

「Amazon の IPv4 アドレスプール」が選択されていることを確認して、「割り当て」をクリックします。 f:id:swx-kamata:20201002122305j:plain

EIPが割り当て割り当てられました。 f:id:swx-kamata:20201002122308j:plain

上記の作業を繰り返して、2つEIPを確保しておきます。

確保したEIPをENIに割り当てます。1IPずつしかできないため、2回、この作業は実施します。

確保したEIPをクリックし、「アクション」から「Elastic IPアドレスの関連付け」をクリックします。 ![image][paloalto-0030.jpg]

下記の通り設定し、「関連付ける」をクリックします。

設定項目 設定値
リソースタイプ ネットワークインターフェイス
ネットワークインターフェイス 先程メモしたENIのID
プライベートIPアドレス ENIに割り当てられているIPアドレス(空欄をクリックすると選択できます)

なお、ここでEIPを割り当てるのは、下記2つのENIになります。1つずつ、関連づけを実施してください。

  • PaloAltoの管理用インターフェイスになるENI
  • PaloAltoのPublic用インターフェイスになるENI

f:id:swx-kamata:20201002122446j:plain

設定が終わると、アソシエーション IDが登録されています。 f:id:swx-kamata:20201002122449j:plain

5.RouteTableの書き換え

Private用のsubnetからインターネット接続する際に使うRoute TableのDefault Gatewayの設定を、PaloAltoの内部接続用ENIに書き換えます。 マネジメントコンソールでVPCにアクセス後、左ペインから「ルートテーブル」をクリックします。 Private用のルートテーブルをクリックし、右下のペインから、「ルートの編集」をクリックします。 f:id:swx-kamata:20201002122550j:plain

下記の通り設定し、「ルートの保存」をクリックします。

設定項目 設定値
送信先 0.0.0.0/0
ターゲット PaloAltoのPrivate用インターフェイスになるENIのID

f:id:swx-kamata:20201002122553j:plain

6.ENIをPaloAlto用のインスタンスにアタッチする

PaloAltoのインスタンスに作成したENIをアタッチします。 Public用のENIがeth0、Private用のENIがeth1となるように設定します

マネジメントコンソールでEC2にアクセス後、左ペインから「インスタンス」をクリックします。 PaloAltoのインスタンスをクリックして選択後、右クリックして「ネットワーキング」→「ネットワークインターフェイスのアタッチ」をクリックします。 f:id:swx-kamata:20201002122613j:plain

アタッチするネットワークインターフェースを選択して「アタッチ」をクリックします。 アタッチするのは下記2つのENIで、上から順にアタッチしていきます。アタッチする順番を間違えると、この後の通信が上手く行かないのでご注意ください。

  • PaloAltoのPublic用インターフェイスになるENI
  • PaloAltoのPrivate用インターフェイスになるENI

f:id:swx-kamata:20201002122618j:plain

2つともアタッチが終わると、下記のようにEC2インスタンスから見えるENIが増え、eth0~eth2が設定された状態となります。 f:id:swx-kamata:20201002122622j:plain

まとめ

ここまでで、AWSの設定がすべて完了しました。 この次の手順では、PaloAltoの中身の設定を進めていきたいと思います。

通称、認証認可おじさん・Windowsおじさん。PowerShellと認証技術が好物ですが、OSはLinuxが好きです。 AWSドキュメントでは言及されていないようなことや、理解を補助するような内容の執筆を心掛けています。