Nutanix AHVにPalo Alto Networks VM-Seriesをデプロイする4つのステップ

この記事でわかること

• AHVにデプロイするための全体の流れと手順
• 気をつけるポイント
• 簡単な通信確認と確認方法
• よくあるトラブルと対処法

全体の流れ

AHV上でVM-Seriesを利用するための手順は大きく4つのステップとなります。

1. 仮想マシンイメージ準備
2. 仮想マシン作成
3. VM-Series初期設定
4. VM-Seriesライセンスの有効化

この記事で扱うのは、Palo Alto Networks の仮想アプライアンス「VM‑Series」です。VM‑Series は物理の次世代ファイアウォール（NGFW）が持つ機能を仮想環境で実現する製品で、例えばアプリごとの通信の識別（App‑ID）やユーザーごとの制御（User‑ID）、ウイルスや攻撃の検出（Threat Prevention）、ファイルの解析を行う WildFire 連携などが使えます。モデルは VM-50 / VM-100 / VM-300 / VM-500 / VM-700 などがあり、近年は Software NGFW Credits による柔軟なライセンスモデルも主流です。処理性能や同時接続数に応じて選択することができます。

今回の検証では、以下のバージョンの機器・ソフトウェアを使用しています。(記載のバージョン・設定値は検証時点のものであり、製品のアップデートにより内容が変更される可能性があります。)

• Nutanix AOS（AHV）：7.0.1.5
• Palo Alto VM‑Series（PAN‑OS）：11.2.3‑h3（VM‑100）

ステップ1：仮想マシンイメージの準備

ポイント：VM-Seriesはハイパーバイザーに応じて異なるイメージが提供されています。AHVは KVM ベースのハイパーバイザーのため、Palo Alto Networks が提供する KVM向け（qcow2形式）の VM-Seriesイメージを使用します。間違って別形式のイメージをアップロードすると起動しないので注意が必要です。

1. Palo Alto Customer Support Portal (CSP）から KVM用のイメージをダウンロード。
2. Prism Central にログイン → Settings → Image Configuration → Upload でイメージを登録。
   
   

ステップ2：仮想マシン作成（Prism Element）

Prism Centralにアップロードした仮想マシンイメージを使用して仮想マシンを作成します。ここでの大事なポイントは「仮想NICの順序」です。AHV上で仮想マシンに追加した仮想NICの並びが、VM-Series側の ethernet1/1 等に対応します。特に最初に追加した仮想NICは management interface（mgmt）として認識されるため、管理用NICは必ず最初に追加します。後でインターフェース割当が狂ってしまうと、意図したネットワークと通信できなくなってしまうので、作成時に順序をメモしましょう。

1. Prism Element → VM → Create VM
2. 名前、vCPU、メモリを設定
3. [+Add New Disk]より先ほどアップロードしたイメージを指定
4. 仮想NIC を必要な分だけ追加（管理用、Untrust、DMZ、Trust など）
5. 各 仮想NIC に対応する VLAN を設定
6. VMを起動
   
   

ステップ3：VM-Seriesの初期設定（CLI）

Prism Elementの仮想マシンコンソールからVM-Seriesに接続して、初回ログイン（初期ID/PW は admin / admin）を行います。(初期認証情報（admin / admin）は第三者に推測されやすいため、初回ログイン後は必ずパスワードを変更しましょう)まずはCLIを利用して管理IPを設定します。ここで設定するのは management interface（mgmt）です。最後に設定を反映するためのcommitを実行するのを忘れないようにしましょう。

configure
set deviceconfig system type static
set deviceconfig system ip-address <管理IP> netmask <サブネット長>
set deviceconfig system default-gateway <ゲートウェイ>
set deviceconfig system dns-setting servers primary 
commit

設定後に show system info で確認し、設定したIPアドレスが反映されていることを確認します。ブラウザで https://<管理IP> にアクセスして VM-SeriesのGUI にログインできれば OKです。

ステップ4：VM-Series ライセンスの有効化

VM‑Seriesのライセンスは最近 Software NGFW Credits（AuthCode）方式が中心です。オンラインで AuthCode を使うのが簡単ですが、オフライン環境ではライセンスファイルをアップロードする必要があります。

• AuthCodeによるライセンスの有効化方法：GUI → [デバイス] → [ライセンス] → [認証コードを使用した機能のアクティベーション] に AuthCode を入力 → OK → 自動（または手動）で再起動
• ライセンスキーによるライセンスの有効化方法：CSP でライセンスファイル取得 →[デバイス]→[ライセンス]→[ライセンスキーの手動アップロード]→ 再起動

再起動後、 [ダッシュボード] → [一般情報] や [デバイス] → [ライセンス] でライセンスが有効化されていることを確認します。時刻同期がずれているとライセンス認証に失敗することがあるので注意が必要です。

通信検証と制御手順

以上の4ステップによりAHV上でファイアウォールとして利用できる状態になったため、通信制御が意図通り動作するか検証してみます。3ゾーン（Untrust / DMZ / Trust）を各インターフェースに割り当て、AHV上の仮想マシン間で以下の通信パターンについて動作確認を行います。

• Trust → DMZ：web と ping を許可
• Untrust → DMZ：web と ping を拒否
  
  

手順：

VM-Seriesの管理コンソールで、[Policy] → [Security Policies] に進み、新しいポリシーを作成します。

ポイント：ルールは上から評価されるため、順序を意識することが重要です。今回なら allow（Trust→DMZ）を上に置きます。ルールを変更したら必ず Commitを忘れずに行いましょう。

動作確認

• Trust から DMZ の Web サーバーにブラウザ接続できるか
• Trust から DMZ に ping が通るか
• Untrust から DMZ に同様のアクセスを試みて拒否されるか
  
  

実際によくあるトラブルと対処

• VMが起動しない：イメージ形式が違う（qcow2 を使う）。raw や OVA を利用していないか確認。
• 通信ができない：仮想NIC 順序のメモ漏れ。AHV の 仮想NIC 配列と VM-Series の ethernet の対応を常に明示する。
• VM-Seriesの管理 GUI にアクセスできない：管理 IP / Default Gateway / DNS ミス、または AHV 側の サブネット・VLAN 設定の不備。コンソールでまず疎通確認する。
• ライセンスが反映されない：NTP の時刻ずれ、シリアル不一致、AuthCode のタイプの違いを確認。

まとめ

ここまでの手順で、AHV上にVM‑Series をデプロイし、基本的な通信制御まで確認できました。イメージ準備→VM 作成→初期設定→ライセンス適用の4ステップを順に追えば導入は完了します。一つずつ確実に確認していけばそれほど難しくはありません。AHV環境で初めて VM-Seriesを触る方や、検証用途での導入を検討している方の参考になれば幸いです。

また、本記事は弊社検証環境に基づくガイドですが、ソフトウェアの仕様やサポート状況は変わることがあります。正確で最新の情報は必ず Palo Alto NetworksやNutanixの公式ドキュメント等で確認し、この記事は参考情報としてご活用ください。

※本記事の内容は執筆者個人の見解であり、所属する組織の見解を代表するものではありません。