vRealize Network Insight는 Palo Alto Panorama 방화벽을 지원합니다.

참고: vRealize Network Insight에서는 여러 NSX Manager와 Palo Alto Panorama의 통합이 지원되지 않습니다.
vRealize Network Insight에서 Palo Alto Panorama를 추가하려면, XML API에 액세스할 수 있는 관리자 역할이 Palo Alto Networks 사용자에게 있어야 합니다. Paloalto 네트워크 UI에서 다음 단계를 수행하여 XML API에 대한 관리자 역할을 추가합니다.
  1. Panorama > 관리자 역할을 선택합니다.
  2. 추가를 클릭하여 새 관리자 역할을 추가합니다.
  3. 관리자 역할 프로파일 창이 열립니다.

  4. 역할에 이름을 입력하고 Panorama를 선택합니다.
  5. 웹 UI 탭을 클릭하고 모든 항목을 사용하지 않도록 설정합니다.
  6. XML API 탭을 클릭하고 구성작업 요청을 제외한 모든 항목을 사용하지 않도록 설정합니다.
  7. 확인을 클릭하여 창을 닫습니다.

    새 관리자 역할이 목록에 나타납니다.

  8. 커밋을 클릭합니다.
  9. 이 역할을 관리자 계정에 할당하거나 새 사용자를 생성하고 새 사용자에게 이 역할을 할당합니다.
vRealize Network Insight에서 지원되는 Palo Alto 네트워크 기능은 다음과 같습니다.
  • Palo Alto 및 NSX 엔티티의 상호 관계: Palo Alto 네트워크의 주소 및 주소 그룹의 VM 구성원 자격은 IP 주소-VM 매핑을 기반으로 계산됩니다. 이 구성원 자격 정보는 다음과 같이 쿼리할 수 있습니다.
    • VM where Address = <>
    • Palo Alto address where vm = <>
    • VM where Address Group = <>
    • Palo Alto address group where vm = <>
  • 쿼리: vRealize Network Insight에서 지원되는 모든 Palo Alto 엔티티에 대해 쿼리를 수행할 수 있습니다. 모든 엔티티에는 Palo Alto가 접두사로 붙습니다. 일부 쿼리는 다음과 같습니다.
    표 1.
    엔티티 쿼리
    Palo Alto 주소

    Palo Alto address where vm = <>

    VM where Address = <>

    Palo Alto 주소 그룹

    Palo Alto address group where Translated VMs = <>

    VM where address group = <>

    Palo Alto 디바이스

    Palo Alto Device where Version = <>

    Palo Alto Device where connected = true

    Palo Alto Device where family = 'PA-5060'

    Palo Alto 물리적 디바이스 Palo Alto Physical Device where model = 'PA-5060'
    Palo Alto VM 디바이스 Palo Alto VM Device where model = 'PA-VM'
    Palo Alto 디바이스 그룹

    Palo Alto Device Group where device = <>

    Palo Alto Device Group where address = <>

    Palo Alto Device Group where address group = <>

    Palo Alto 서비스

    Palo Alto service where Port = <>

    Palo Alto service where Protocol = <>

    Palo Alto 서비스 그룹 Palo Alto service group where Member = <>
    Palo Alto 정책

    Palo Alto Policy where Source vm = <> and Destination vm = <>

    Palo Alto Policy where Source IP = <> and Destination IP = <>

    Palo Alto 방화벽 Palo Alto firewall where Rule = <>
    Palo Alto 영역 Palo Alto Zone where device = <>
    Palo Alto 가상 시스템

    Palo Alto Virtual System where Device = <>

    Palo Alto Virtual System where Device Group = <>

    참고: 쿼리 이외에 패싯을 사용하여 검색 결과를 분석할 수도 있습니다.
  • VM-VM 경로: VM-VM 토폴로지의 일부로, vRealize Network Insight는 호스트의 Palo Alto VM 시리즈 방화벽을 표시합니다. 적용 가능한 규칙은 방화벽 아이콘을 클릭하면 표시됩니다. Palo Alto 네트워크의 방화벽 디바이스(라우팅 디바이스)도 경로에 있는 경우 해당 디바이스도 표시됩니다. 디바이스 아이콘을 클릭하면 라우팅 테이블, 인터페이스 및 적용된 방화벽 규칙이 포함된 표와 같은 기본적인 정보를 볼 수 있습니다.

  • Palo Alto 네트워크에 대한 다음과 같은 시나리오와 관련된 몇 가지 시스템 이벤트를 볼 수 있습니다.
    • Palo Alto 디바이스가 Panorama(관리자)에 연결되지 않음
    • NSX Manager가 Panorama에 등록되지 않음
    • Palo Alto 디바이스에 대한 ESX에서 NSX 패브릭 에이전트를 찾을 수 없음
    • NSX 패브릭 에이전트에 대한 Panorama에서 Palo Alto 디바이스를 찾을 수 없음
    • 보안 그룹 구성원 자격 데이터가 동기화되지 않음
  • 지정된 NSX Manager를 사용하여 Panorama에서 여러 서비스 정의를 생성하고 등록할 수 있습니다. 서로 다른 ESXi 클러스터에 트래픽을 다르게 처리하기 위해 VM 시리즈 방화벽이 필요한 워크로드가 있는 경우 여러 서비스 정의가 생성됩니다. 각 서비스 정의에는 연결된 디바이스 그룹이 있고 여기서 정책이 선택됩니다. vRealize Network Insight에서 VM-VM 경로를 표시하는 동안 VM의 클러스터 정보를 기반으로 올바른 정책 집합을 고려해야 합니다.

샘플 Palo Alto Manager 대시보드