Team Leader - Nutanix Technology Champion - Nutanix NTC Storyteller

Julien DUMUR
Infrastructure in a Nutshell

Nutanix on OVHcloud : déploiement et configuration de base d’une gateway Palo Alto

Published: 20 juillet 2025
Written by Julien D.
1 Comment
Categories: AHV, Nutanix, Tutoriels, Tutoriels-AHV
nutanix on ovhcloud

Cela fait partie des opérations que je conseille de réaliser sur un cluster OVHcloud juste après la livraison : le remplacement de la passerelle pré déployée qui permettra à votre cluster de sortir sur internet.

Nous allons voir dans cet article comment déployer une PA-VM de chez Palo Alto et comment réaliser sa configuration de base afin qu’elle soit prête à être connectée au RTvRack OVHcloud (ce qui fera l’objet d’un autre article).

Pré-requis

Voici la liste des pré-requis nécessaires au déploiement :

  • un cluster Nutanix OVHcloud déployé
  • les subnets dont vous avez besoin créés sur le cluster
  • une VM de rebond déployée sur le cluster
  • un compte Palo Alto avec les accès aux téléchargements d’images

Récupération de l’image PA-VM

La première étape est de récupérer l’image qcow2 qui va nous permettre de déployer la PA-VM sur le site de Palo Alto : https://support.paloaltonetworks.com/Updates/SoftwareUpdates/64685971

ATTENTION : il faut un compte enregistré chez eux et disposant des bons accès, il n’existe pas de version « Community » ou « Free ».

Déploiement de la VM

Après avoir transféré l’image tout juste téléchargée vers le cluster, on créé une VM avec les caractéristiques suivantes :

Pour le sizing de la VM, je vous invite à consulter la documentation pour l’adapter à votre contexte : https://docs.paloaltonetworks.com/vm-series/11-0/vm-series-deployment/license-the-vm-series-firewall/vm-series-models/vm-series-system-requirements

Le disque a ajouter est celui qui a été récupéré au format qcow2 sur le site de Palo Alto.

Sélectionnez également les subnets qui devront être connectés à votre passerelle. La première interface que vous allez ajouter sera toujours l’interface de management de la PA-VM, veillez donc à sélectionner le bon subnet qui dans l’idéal sera un subnet dédié aux interfaces de management. Votre VM de rebond devra avoir une interface dans ce subnet afin de pouvoir accéder à l’interface web de la PA-VM. Voici par exemple ce que je recommanderais comme configuration des interfaces :

  • Management
  • ethernet1/1 (subnet 0 créé par défaut sur le cluster, pour la sortie WAN)
  • ethernet1/2 (subnet interne 1, souvent celui qui correspond à votre infra Nutanix)
  • ethernet1/3 (subnet interne 2)

Petit tips

L’ajout d’une interface sur la machine virtuelle nécessitera un redémarrage de l’appliance Palo Alto pour être pris en compte. Je recommande donc d’ajouter 25 interfaces réseau à la création de la machine virtuelle et d’affecter les interfaces à un subnet « PARKING » non déployé sur le réseau. Il suffira ensuite de changer le subnet sur l’interface coté Nutanix pour configurer une « nouvelle interface ».

Il est important de bien sélectionner « Legacy BIOS Mode » lors de la création de la VM sinon elle ne bootera pas !

Sélectionner « Use this VM as an Agent VM » pour qu’elle soit démarrée en tout premier.

Validez les paramètres, la machine virtuelle est prête à être démarrée.

Initialisation de la PA-VM

Démarrer la VM et lancer la console depuis l’interface Nutanix. Patienter pendant le démarrage du système d’exploitation.

La première connexion se fait en CLI avec les identifiants suivants :

  • Identifiant : admin
  • Mot de passe : admin

Le système va demander de changer le mot de passe par défaut. On passe ensuite en mode configuration :

configure

Ensuite, configuration de l’IP de management en mode static :

set deviceconfig system type static

Configuration des paramètres de l’interface de management :

set deviceconfig system ip-address <Firewall-IP> netmask <netmask> default-gateway <gateway-IP> dns-setting servers primary <DNS-IP>

A ce stade, le pare feu est accessible depuis le navigateur web de la machine de rebond à l’adresse : https://<Firewall-IP>

ATTENTION : cela ne fonctionne que si la VM de rebond a une patte dans le même subnet que celui de l’interface de Management

On oublie pas de commit soit depuis l’interface web, soit en ligne de commande :

commit

Vous pouvez maintenant poursuivre la configuration sur l’interface Web.

Configurations de base de la PA-VM

On attaque avec la configuration de base de la PA-VM.

Sur l’interface web, dans « Device > Setup », éditer le widget « General Settings » pour renseigner à minima le Hostname et la Timezone :

Aller ensuite dans l’onglet « Services » et éditer le widget « Services » pour ajouter les serveurs DNS et les serveurs NTP :

Il ne reste plus qu’à commit les changements, la configuration basique de la passerelle Palo Alto est terminée.

Je tiens à préciser qu’il s’agit là d’une configuration de base et qu’il y en encore beaucoup d’autres points de configuration à réaliser pour avoir une passerelle qui soit parfaitement configurée, sécurisée et qui permette à votre cluster de sortir sur internet, avec notamment la partie authentification, la complexité des mots de passe, le VPN, les règles de pare-feu…

Nous verrons dans un prochain article comment connecter votre passerelle Palo Alto PA-VM au RTvRack OVHcloud afin de permettre à votre cluster de sortir sur Internet.

1 comments

Laisser un commentaire