vRealize Network Insight は Palo Alto Panorama ファイアウォールをサポートしています。

注: vRealize Network Insight は、複数の NSX Manager との Palo Alto Panorama 統合をサポートしていません。
vRealize Network Insight に Palo Alto Panorama を追加するには、Palo Alto Networks のユーザーに、XML API アクセス権限を持つ 管理者ロールが必要です。 [Palo Alto Networks] ユーザー インターフェイスで、次の手順を実行して XML API の管理者ロールを追加します。
  1. [Panorama] > [管理者ロール] の順に選択します。
  2. [追加] をクリックして新しい管理者ロールを追加します。

  3. [管理者ロール プロファイル] ウィンドウが開きます。

  4. ロールに名前を入力し、[Panorama] を選択します。
  5. [Web ユーザー インターフェイス] タブをクリックし、すべてのエントリを無効にします。
  6. [XML API] タブをクリックし、[設定][操作要求] を除くすべてのエントリを無効にします。
  7. [OK] をクリックしてウィンドウを閉じます。

    新しい管理者ロールがリストに表示されます。

  8. [コミット] をクリックします。
  9. このロールを管理者アカウントに割り当てるか、新しいユーザーを作成して、このロールを新しいユーザーに割り当てます。
vRealize Network Insight でサポートされている Palo Alto Networks の機能は次のとおりです。
  • Palo Alto と NSX エンティティの相互関係:Palo Alto Networks のアドレスとアドレス グループの仮想マシン メンバーシップは、IP アドレスと仮想マシンのマッピングに基づいて計算されます。このメンバーシップ情報は、次のように照会できます。
    • VM where Address = <>
    • Palo Alto address where vm = <>
    • VM where Address Group = <>
    • Palo Alto address group where vm = <>
  • クエリ:vRealize Network Insight でサポートされるすべての Palo Alto エンティティに対してクエリを実行できます。すべてのエンティティには、Palo Alto というプリフィックスが付きます。クエリの一部を次に示します。
    表 1.
    エンティティ クエリ
    Palo Alto アドレス

    Palo Alto address where vm = <>

    VM where Address = <>

    Palo Alto アドレス グループ

    Palo Alto address group where Translated VMs = <>

    VM where address group = <>

    Palo Alto デバイス

    Palo Alto Device where Version = <>

    Palo Alto Device where connected = true

    Palo Alto Device where family = 'PA-5060'

    Palo Alto 物理デバイス Palo Alto Physical Device where model = 'PA-5060'
    Palo Alto 仮想マシン デバイス Palo Alto VM Device where model = 'PA-VM'
    Palo Alto デバイス グループ

    Palo Alto Device Group where device = <>

    Palo Alto Device Group where address = <>

    Palo Alto Device Group where address group = <>

    Palo Alto サービス

    Palo Alto service where Port = <>

    Palo Alto service where Protocol = <>

    Palo Alto サービス グループ Palo Alto service group where Member = <>
    Palo Alto ポリシー

    Palo Alto Policy where Source vm = <> and Destination vm = <>

    Palo Alto Policy where Source IP = <> and Destination IP = <>

    Palo Alto ファイアウォール Palo Alto firewall where Rule = <>
    Palo Alto ゾーン Palo Alto Zone where device = <>
    Palo Alto 仮想システム

    Palo Alto Virtual System where Device = <>

    Palo Alto Virtual System where Device Group = <>

    注: クエリ以外にも、ファセットを使用して検索結果を分析できます。
  • 仮想マシン間パス:仮想マシン-仮想マシンのトポロジの一環として、vRealize Network Insight は、ホストの Palo Alto VM-Series ファイアウォールを表示します。該当するルールは、ファイアウォール アイコンをクリックすると表示されます。Palo Alto Networks のファイアウォール デバイス(ルーティング デバイス)もパスに含まれている場合は、そのデバイスも表示されます。デバイス アイコンをクリックすると、ルーティング テーブル、インターフェイス、適用されているファイアウォール ルールを含むテーブルなどの基本的な情報を確認できます。

  • Palo Alto Networks の次のシナリオに関連するいくつかのシステム アラートを確認できます。
    • Palo Alto デバイスが Panorama(マネージャ)に接続されていない
    • NSX Manager が Panorama に登録されていない
    • NSX ファブリック エージェントが Palo Alto 用 ESX デバイスに見つからない
    • Palo Alto デバイスが NSX ファブリック エージェント用 Panorama に見つからない
    • セキュリティ グループ メンバーシップ データが同期していない
  • 指定した NSX Manager を使用して、複数のサービス定義を Panorama に作成し、登録できます。異なる ESXi クラスタに、トラフィックをそれぞれ別の方法で処理するための VM-Series ファイアウォールを必要とするワークロードがある場合、複数のサービス定義が作成されます。各サービス定義には、関連付けられたデバイス グループがあり、ここからポリシーが選択されます。vRealize Network Insight で仮想マシン間パスを表示している間は、仮想マシンのクラスタ情報に基づく正しいポリシー セットを考慮する必要があります。

Palo Alto Manager ダッシュボードの例