VM-Seriesにおける各モデルの設定上限値(登録できるIPアドレス数の上限など)を調べてみました。
各モデルはAzureの仮想マシンのサイズに対応しています。
paloaltoの公式ドキュメントに対応表があります。
VM-Series Models on Azure Virtual Machines (VMs)
Azure VM Families, VM Types, and VM Sizes
docs.paloaltonetworks.com
今回はAzure上で構築したVM-SERIES-4(VM-300)、VM-SERIES-8(VM-500)、VM-SERIES-16(VM-700)の仮想マシンを利用してそれぞれ上限値を調べてみました。
1.VM-Seriesにおける各モデルの設定上限値を確認する
以下のコマンドをオペレーショナルモードで実行することで各設定値の上限値を確認することができます。
# ページング機能を無効化
set cli pager off
# 設定上限値を確認
show system state filter cfg.general.max*[推奨] ページング機能の無効化
補足として、上記のコマンドを実行する前にオペレーショナルモードで「set cli pager off」を実行することで「ページング機能を無効化する」ことができ、出力結果を一気に出力することができるので便利です。
ページング機能とは、あるコマンドを実行した時の出力結果が利用しているコンソールよりも多くなってしまった場合に、すべてを一気に表示させず、出力結果を分割して表示させる機能のことで、以下の赤矢印のようにコンソール下部に「まだ続きがあるよ」といったような表示が出てきます。
ページング機能で表示されるのが便利な時もあるのですが、私は出力結果を一気に表示させたい派なので「set cli pager off」をよく利用しています。
ちなみにページング機能が働いた場合には「Shift + Q」で抜けることが可能です。
2.VM-Seriesの上限値確認コマンド実行結果
上限値の出力結果は16進数で出力されるものが多数あります。
今回は矢印(⇒)の右側に10進数に変換した値も記載しています。
16進数から10進数への置換方法は以下の記事にも記載しているので参考にしてください。
2-1. VM-SERIES-4(VM-300)の出力結果
実際にコマンドを実行すると1行目の「cfg.general.max-address」などは16進数で表示されますが、こちらで10進数に修正して記載しています。
cfg.general.max-address: 20000
cfg.general.max-address-group: 2500
cfg.general.max-address-per-group: 2500
cfg.general.max-appid-pkts: 98304
cfg.general.max-appinfo2ip-entry: 44032
cfg.general.max-arp: 32000
cfg.general.max-auth-policy-rule: 1000
cfg.general.max-bfd-session: 1024
cfg.general.max-blacklist: 25000
cfg.general.max-c3-flow: 2000002
cfg.general.max-cert-cache-entries: 3072
cfg.general.max-ctd-session: 1100002
cfg.general.max-debug-pool: 11724292
cfg.general.max-di-nat-policy-rule: 8000
cfg.general.max-di-nat-pool: 5000
cfg.general.max-dip-nat-addrs: 2000
cfg.general.max-dip-nat-policy-rule: 2000
cfg.general.max-dns-cache: 75000
cfg.general.max-dos-policy-rule: 1000
cfg.general.max-edl-domain: 2000000
cfg.general.max-edl-domain-filesize: 512000000
cfg.general.max-edl-ip: 50000
cfg.general.max-edl-ip-filesize: 6500000
cfg.general.max-edl-objs: 30
cfg.general.max-edl-url: 100000
cfg.general.max-edl-url-filesize: 25500000
cfg.general.max-fibinstance: 255
cfg.general.max-fibtrie-buf: 2097152
cfg.general.max-fptcp-segs: 205000
cfg.general.max-ha-aa-vaddresses: 1024
cfg.general.max-ha-cluster-members: 6
cfg.general.max-hip: 63
cfg.general.max-ifnet: 4096
cfg.general.max-ifnet-sdwan: 1000
cfg.general.max-ike-peers: 1000
cfg.general.max-iot-probe-networks: 128
cfg.general.max-ip6addrtbl: 4096
cfg.general.max-ipfrags: 16384
cfg.general.max-mac: 32000
cfg.general.max-mroute: 4000
cfg.general.max-nat-policy-rule: 8000
cfg.general.max-neigh: 32000
cfg.general.max-net-inspection-rule: 1000
cfg.general.max-net-inspection-zone: 4
cfg.general.max-npb-policy-rule: 200
cfg.general.max-oride-policy-rule: 1000
cfg.general.max-parent-info: 28672
cfg.general.max-pbf-policy-rule: 500
cfg.general.max-policy-rule: 10000
cfg.general.max-profile: 750
cfg.general.max-proxy-mem: 348258304
cfg.general.max-proxy-reverse_keys: 1000
cfg.general.max-proxy-session: 20617
cfg.general.max-proxy-timer-chunks: 131072
cfg.general.max-qos-policy-rule: 2000
cfg.general.max-qosbw: 10000
cfg.general.max-qosif: 12
cfg.general.max-qosnet: 64
cfg.general.max-regions: 1024
cfg.general.max-registered-ip-address: 300000
cfg.general.max-return-mac: 16000
cfg.general.max-rexmt-segs: 12000
cfg.general.max-route: 32768
cfg.general.max-route4: 32768
cfg.general.max-route6: 32768
cfg.general.max-routing-peer: 1024
cfg.general.max-saas-tenant: 20000
cfg.general.max-saas-user: 400000
cfg.general.max-schedule: 256
cfg.general.max-sctp: 31250
cfg.general.max-sdwan-fec: 360
cfg.general.max-sdwan-policy-rule: 300
cfg.general.max-sdwan-saas: 300
cfg.general.max-service: 2000
cfg.general.max-service-group: 500
cfg.general.max-service-per-group: 500
cfg.general.max-sesscache-entry: 12000000
cfg.general.max-session: 1100002
cfg.general.max-shared-gateway: 0
cfg.general.max-si-nat-policy-rule: 8000
cfg.general.max-signature: 6000
cfg.general.max-ssh-proxy-session: 128
cfg.general.max-ssl-policy-rule: 1000
cfg.general.max-ssl-portal: 26
cfg.general.max-ssl-sess-cache-size: 11264
cfg.general.max-ssl-sess-cache-size-mp: 11264
cfg.general.max-ssl-tunnel: 6000
cfg.general.max-sslvpn-ck-cache-size: 600
cfg.general.max-sslvpn-ck-cache-size-mp: 1200
cfg.general.max-tci-policy-rule: 500
cfg.general.max-tcp-segs: 65536
cfg.general.max-threat-signature: 1000
cfg.general.max-tsagents: 2000
cfg.general.max-tunnel: 4000
cfg.general.max-uid-tsagents: 2000
cfg.general.max-url-pattern: 25000
cfg.general.max-user-group: 10000
cfg.general.max-vlan: 4096
cfg.general.max-vrouter: 125
cfg.general.max-vsys: 2
cfg.general.max-vsys-curl: 2000
cfg.general.max-vwire: 2048
cfg.general.max-whitelist: 25000
cfg.general.max-zone: 200
2-2. VM-SERIES-8(VM-500)の出力結果
一番上のIPアドレスの上限値を見てみるとVM-SERIES-4(VM-300)では「20,000」でしたが、VM-SERIES-8(VM-500)では2倍の「40,000」となるなど、VM-Seriesのスペックが上がるごとに上限値も増えていることがわかります。
cfg.general.max-address: 40000
cfg.general.max-address-group: 4000
cfg.general.max-address-per-group: 2500
cfg.general.max-appid-pkts: 196608
cfg.general.max-appinfo2ip-entry: 140288
cfg.general.max-arp: 128000
cfg.general.max-auth-policy-rule: 2000
cfg.general.max-bfd-session: 1024
cfg.general.max-blacklist: 100000
cfg.general.max-c3-flow: 10000002
cfg.general.max-cert-cache-entries: 2048
cfg.general.max-ctd-session: 2800002
cfg.general.max-debug-pool: 11724292
cfg.general.max-di-nat-policy-rule: 15000
cfg.general.max-di-nat-pool: 5000
cfg.general.max-dip-nat-addrs: 2000
cfg.general.max-dip-nat-policy-rule: 2000
cfg.general.max-dns-cache: 100000
cfg.general.max-dos-policy-rule: 1000
cfg.general.max-edl-domain: 2000000
cfg.general.max-edl-domain-filesize: 512000000
cfg.general.max-edl-ip: 50000
cfg.general.max-edl-ip-filesize: 6500000
cfg.general.max-edl-objs: 30
cfg.general.max-edl-url: 100000
cfg.general.max-edl-url-filesize: 25500000
cfg.general.max-fibinstance: 255
cfg.general.max-fibtrie-buf: 33554432
cfg.general.max-fptcp-segs: 335000
cfg.general.max-ha-aa-vaddresses: 4096
cfg.general.max-ha-cluster-members: 16
cfg.general.max-hip: 63
cfg.general.max-ifnet: 4096
cfg.general.max-ifnet-sdwan: 1000
cfg.general.max-ike-peers: 2000
cfg.general.max-iot-probe-networks: 128
cfg.general.max-ip6addrtbl: 4096
cfg.general.max-ipfrags: 16384
cfg.general.max-mac: 128000
cfg.general.max-mroute: 4000
cfg.general.max-nat-policy-rule: 15000
cfg.general.max-neigh: 128000
cfg.general.max-net-inspection-rule: 1000
cfg.general.max-net-inspection-zone: 4
cfg.general.max-npb-policy-rule: 300
cfg.general.max-oride-policy-rule: 2000
cfg.general.max-parent-info: 152064
cfg.general.max-pbf-policy-rule: 2000
cfg.general.max-policy-rule: 20000
cfg.general.max-profile: 750
cfg.general.max-proxy-mem: 880032
cfg.general.max-proxy-mem-unit: 1024
cfg.general.max-proxy-reverse_keys: 1000
cfg.general.max-proxy-session: 28000
cfg.general.max-proxy-timer-chunks: 131072
cfg.general.max-qos-policy-rule: 4000
cfg.general.max-qosbw: 10000
cfg.general.max-qosif: 12
cfg.general.max-qosnet: 64
cfg.general.max-regions: 1024
cfg.general.max-registered-ip-address: 300000
cfg.general.max-return-mac: 64000
cfg.general.max-rexmt-segs: 16000
cfg.general.max-route: 100000
cfg.general.max-route4: 100000
cfg.general.max-route6: 100000
cfg.general.max-routing-peer: 1024
cfg.general.max-saas-tenant: 20000
cfg.general.max-saas-user: 400000
cfg.general.max-schedule: 256
cfg.general.max-sctp: 156250
cfg.general.max-sdwan-fec: 360
cfg.general.max-sdwan-policy-rule: 300
cfg.general.max-sdwan-saas: 300
cfg.general.max-service: 5000
cfg.general.max-service-group: 500
cfg.general.max-service-per-group: 500
cfg.general.max-sesscache-entry: 160000000
cfg.general.max-session: 2800002
cfg.general.max-shared-gateway: 5
cfg.general.max-si-nat-policy-rule: 8000
cfg.general.max-signature: 6000
cfg.general.max-ssh-proxy-session: 4096
cfg.general.max-ssl-policy-rule: 2000
cfg.general.max-ssl-portal: 26
cfg.general.max-ssl-sess-cache-size: 140288
cfg.general.max-ssl-sess-cache-size-mp: 140288
cfg.general.max-ssl-tunnel: 12000
cfg.general.max-sslvpn-ck-cache-size: 1250
cfg.general.max-sslvpn-ck-cache-size-mp: 2500
cfg.general.max-tci-policy-rule: 2000
cfg.general.max-tcp-segs: 131072
cfg.general.max-threat-signature: 1000
cfg.general.max-tsagents: 2500
cfg.general.max-tunnel: 8000
cfg.general.max-uid-tsagents: 2500
cfg.general.max-url-pattern: 100000
cfg.general.max-user-group: 10000
cfg.general.max-vlan: 4096
cfg.general.max-vrouter: 125
cfg.general.max-vsys: 26
cfg.general.max-vsys-curl: 2000
cfg.general.max-vwire: 2048
cfg.general.max-whitelist: 100000
cfg.general.max-zone: 200
2-3. VM-SERIES-16(VM-700)の出力結果
IPアドレスの上限値などVM-SERIES-8(VM-500)と変わらない値も多くありますが、セッションに関する値(cfg.general.max-session)など上限値が大幅に上がっている値もあります。
cfg.general.max-address: 40000
cfg.general.max-address-group: 4000
cfg.general.max-address-per-group: 2500
cfg.general.max-appid-pkts: 196608
cfg.general.max-appinfo2ip-entry: 425984
cfg.general.max-arp: 128000
cfg.general.max-auth-policy-rule: 2000
cfg.general.max-bfd-session: 1024
cfg.general.max-blacklist: 100000
cfg.general.max-c3-flow: 10000002
cfg.general.max-cert-cache-entries: 5120
cfg.general.max-ctd-session: 8500002
cfg.general.max-debug-pool: 11724292
cfg.general.max-di-nat-policy-rule: 15000
cfg.general.max-di-nat-pool: 5000
cfg.general.max-dip-nat-addrs: 2000
cfg.general.max-dip-nat-policy-rule: 2000
cfg.general.max-dns-cache: 200000
cfg.general.max-dos-policy-rule: 1000
cfg.general.max-edl-domain: 2000000
cfg.general.max-edl-domain-filesize: 512000000
cfg.general.max-edl-ip: 50000
cfg.general.max-edl-ip-filesize: 6500000
cfg.general.max-edl-objs: 30
cfg.general.max-edl-url: 100000
cfg.general.max-edl-url-filesize: 25500000
cfg.general.max-fibinstance: 255
cfg.general.max-fibtrie-buf: 33554432
cfg.general.max-fptcp-segs: 1010000
cfg.general.max-ha-aa-vaddresses: 4096
cfg.general.max-ha-cluster-members: 16
cfg.general.max-hip: 63
cfg.general.max-ifnet: 4096
cfg.general.max-ifnet-sdwan: 1000
cfg.general.max-ike-peers: 2000
cfg.general.max-iot-probe-networks: 128
cfg.general.max-ip6addrtbl: 4096
cfg.general.max-ipfrags: 16384
cfg.general.max-mac: 128000
cfg.general.max-mroute: 4000
cfg.general.max-nat-policy-rule: 15000
cfg.general.max-neigh: 128000
cfg.general.max-net-inspection-rule: 1000
cfg.general.max-net-inspection-zone: 4
cfg.general.max-npb-policy-rule: 300
cfg.general.max-oride-policy-rule: 2000
cfg.general.max-parent-info: 152064
cfg.general.max-pbf-policy-rule: 2000
cfg.general.max-policy-rule: 20000
cfg.general.max-profile: 750
cfg.general.max-proxy-mem: 2669728
cfg.general.max-proxy-mem-unit: 1024
cfg.general.max-proxy-reverse_keys: 1000
cfg.general.max-proxy-session: 85000
cfg.general.max-proxy-timer-chunks: 131072
cfg.general.max-qos-policy-rule: 4000
cfg.general.max-qosbw: 10000
cfg.general.max-qosif: 12
cfg.general.max-qosnet: 64
cfg.general.max-regions: 1024
cfg.general.max-registered-ip-address: 300000
cfg.general.max-return-mac: 64000
cfg.general.max-rexmt-segs: 16000
cfg.general.max-route: 100000
cfg.general.max-route4: 100000
cfg.general.max-route6: 100000
cfg.general.max-routing-peer: 1024
cfg.general.max-saas-tenant: 20000
cfg.general.max-saas-user: 400000
cfg.general.max-schedule: 256
cfg.general.max-sctp: 156250
cfg.general.max-sdwan-fec: 360
cfg.general.max-sdwan-policy-rule: 300
cfg.general.max-sdwan-saas: 300
cfg.general.max-service: 5000
cfg.general.max-service-group: 500
cfg.general.max-service-per-group: 500
cfg.general.max-sesscache-entry: 160000000
cfg.general.max-session: 8500002
cfg.general.max-shared-gateway: 5
cfg.general.max-si-nat-policy-rule: 8000
cfg.general.max-signature: 6000
cfg.general.max-ssh-proxy-session: 4096
cfg.general.max-ssl-policy-rule: 2000
cfg.general.max-ssl-portal: 26
cfg.general.max-ssl-sess-cache-size: 425984
cfg.general.max-ssl-sess-cache-size-mp: 425984
cfg.general.max-ssl-tunnel: 12000
cfg.general.max-sslvpn-ck-cache-size: 1250
cfg.general.max-sslvpn-ck-cache-size-mp: 2500
cfg.general.max-tci-policy-rule: 2000
cfg.general.max-tcp-segs: 131072
cfg.general.max-threat-signature: 1000
cfg.general.max-tsagents: 2500
cfg.general.max-tunnel: 8000
cfg.general.max-uid-tsagents: 2500
cfg.general.max-url-pattern: 100000
cfg.general.max-user-group: 10000
cfg.general.max-vlan: 4096
cfg.general.max-vrouter: 125
cfg.general.max-vsys: 26
cfg.general.max-vsys-curl: 2000
cfg.general.max-vwire: 2048
cfg.general.max-whitelist: 100000
cfg.general.max-zone: 200
3.[参考] 仮想マシンのサイズ変更について
各モデルは仮想マシンのサイズに依存しますので、サイズを変更することで適用されるモデルを変更することができます。
3-1.仮想マシンのサイズを変更する(AzureCLI)
以下のAzureCLIコマンドでサイズの変更が可能です。
今回は Standard_DS4_v2 に変更するコマンドになっているので、変更したいサイズに応じて $size_vcpu8 となっている2か所を変更してください。
# パラメータの定義
$rg_name = "rg-test-paloalto"
$vm_name = "paloaltopayg01"
$size_vcpu4 = "Standard_DS3_v2"
$size_vcpu8 = "Standard_DS4_v2"
$size_vcpu16 = "Standard_DS5_v2"
# 選択した仮想マシンのサイズが利用可能かを確認する(True or Falseで結果を出力)
$availableSizes = az vm list-vm-resize-options -g $rg_name -n $vm_name --query "[].name" | ConvertFrom-Json
if ( $availableSizes -contains $size_vcpu8 ) {Write-Output "VM size is available"} else {Write-Output "VM size is NOT available"}
## "VM size is available" と出力されたら以下のコマンドを実行
# 仮想マシンを停止
az vm deallocate --resource-group $rg_name --name $vm_name
# 仮想マシンのサイズ変更(Standard_DS4_v2に変更)
az vm resize --resource-group $rg_name --name $vm_name --size $size_vcpu8
# 仮想マシンを起動
az vm start --resource-group $rg_name --name $vm_name
参考ドキュメント(Microsoftの公式ドキュメント)
仮想マシンのサイズ変更 - Azure Virtual Machines
Azure 仮想マシンに使用する VM のサイズを変更します。
learn.microsoft.com
4.さいごに
この中では最もスペックが低いVM-SERIES-4(VM-300)でも、IPアドレスは 20,000個まで登録可能なので、こういった上限に引っ掛かることはあまり想定されないのかなとは思いました。
しかし、もし上限に到達しそうである場合には仮想マシンのサイズを変更し、VM-Seriesのスペックを1段階上位のものにする必要があるので、サイジング時には上限値については把握しておいた方が良いです。
