Team Leader - Nutanix Technology Champion - Nutanix NTC Storyteller

Julien DUMUR
Infrastructure in a Nutshell

firewall

Nutanix on OVHcloud : connexion de la passerelle Palo Alto au RTvRack

Published: 20 octobre 2025
Written by Julien D.
No comments
Categories: AHV, Nutanix, Tutoriels, Tutoriels-AHV
nutanix on ovhcloud hosted private cloud

Nous avons vu dans un précédent article comment déployer et réaliser la configuration de base d’une passerelle Palo Alto afin de remplacement la passerelle de base fourni avec votre cluster Nutanix OVHcloud.

Je vais maintenant vous présenter comment connecter cette passerelle au RTvRack fourni avec votre cluster afin de le connecter à internet.

Connexion de la passerelle au RTvRack

Dans « Network > Zones », on commence par créer une nouvelle zone de type « Layer3 » qu’on va appeler « WAN » pour plus de simplicité :

Vous pouvez également créer une ou plusieurs autres zones pour y rattacher vos autres interfaces (exemple : une zone « INTERNE »).

Ensuite, dans « Network > Interfaces », éditer l’interface ethernet1/1. Si vous avez correctement créé votre VM sur Nutanix, elle va correspondre à l’interface de sortie WAN. Ce sera une interface de type « Layer3 » :

Sur l’onglet « Config », sélectionner le Virtual Router « default » et sélectionner la zone de sécurité « WAN ».

Sur l’onglet « IPv4 », ajouter l’IP publique disponible dans le range qui vous a été fourni par OVHcloud avec votre cluster en veillant à bien mettre un masque en /32 à la fin :

Vous pouvez retrouver l’information relative au réseau de votre adresse IP publique sur votre compte OVHcloud dans « Hosted Private Cloud > Network > IP » : https://www.ovh.com/manager/#/dedicated/ip

En fonction de l’adresse IP publique et de son masque de réseau associé vous pourrez déduire :

  • l’ip publique à attribuer à la patte WAN de votre passerelle
  • l’ip de la passerelle WAN

Exemple avec le réseau 6.54.32.10/30 :

Adresse de réseau (non utilisable) : 6.54.32.8
Première adresse (adresse publique de la PA-VM) : 6.54.32.9
Dernière adresse : 6.54.32.10 (adresse de la passerelle WAN)
Adresse de broadcast : 6.54.32.11 (adresse de broadcast)

Recommencer l’opération avec l’interface qui correspond au subnet de votre cluster Nutanix avec comme adresse IP celle de la passerelle que vous avez indiqué lors du déploiement de votre cluster.

Veillez par contre à mettre le masque correspondant à celui du réseau dans laquelle l’interface se trouve comme indiqué dans la documentation : https://docs.paloaltonetworks.com/pan-os/11-0/pan-os-networking-admin/configure-interfaces/layer-3-interfaces/configure-layer-3-interfaces#iddc65fa08-60b8-47b2-a695-2e546b4615e9.

Dans « Network > Virtuals Routers », éditer le routeur par défaut. Vous devriez retrouver votre interface « ethernet1/1 » à minima, ainsi que les autres interfaces que vous auriez déjà configurées :

Ensuite, dans le sous menu « Static Routes », créer une nouvelle route avec un nom qui vous parle, une destination en 0.0.0.0/0, sélectionner l’interface « ethernet1/1 » et comme Next Hop l’adresse ip de la passerelle du réseau publique qui vous a été fourni par OVHcloud :

Enfin, aller dans l’onglet « Device > Setup > Services » et éditer l’option « Service Route Configuration » dans « Services Features » afin de spécifier l’interface de sortie et l’adresse ip en /32 associée pour certain des services :

La liste des services à configurer à minima est la suivante :

  • DNS
  • External Dynamic Lists
  • NTP
  • Palo Alto Networks Services
  • URL Updates

Vous pouvez valider et faire un commit. Votre passerelle PA-VM communique maintenant avec le RTvRack OVHcloud, il ne vous reste plus qu’à finaliser les configurations pour sécuriser l’installation et créer vos règles de pare-feu pour permettre à votre cluster d’accéder à internet.

Read More

Nutanix on OVHcloud : déploiement et configuration de base d’une gateway Palo Alto

Published: 20 juillet 2025
Written by Julien D.
1 Comment
Categories: AHV, Nutanix, Tutoriels, Tutoriels-AHV
nutanix on ovhcloud

Cela fait partie des opérations que je conseille de réaliser sur un cluster OVHcloud juste après la livraison : le remplacement de la passerelle pré déployée qui permettra à votre cluster de sortir sur internet.

Nous allons voir dans cet article comment déployer une PA-VM de chez Palo Alto et comment réaliser sa configuration de base afin qu’elle soit prête à être connectée au RTvRack OVHcloud (ce qui fera l’objet d’un autre article).

Pré-requis

Voici la liste des pré-requis nécessaires au déploiement :

  • un cluster Nutanix OVHcloud déployé
  • les subnets dont vous avez besoin créés sur le cluster
  • une VM de rebond déployée sur le cluster
  • un compte Palo Alto avec les accès aux téléchargements d’images

Récupération de l’image PA-VM

La première étape est de récupérer l’image qcow2 qui va nous permettre de déployer la PA-VM sur le site de Palo Alto : https://support.paloaltonetworks.com/Updates/SoftwareUpdates/64685971

ATTENTION : il faut un compte enregistré chez eux et disposant des bons accès, il n’existe pas de version « Community » ou « Free ».

Déploiement de la VM

Après avoir transféré l’image tout juste téléchargée vers le cluster, on créé une VM avec les caractéristiques suivantes :

Pour le sizing de la VM, je vous invite à consulter la documentation pour l’adapter à votre contexte : https://docs.paloaltonetworks.com/vm-series/11-0/vm-series-deployment/license-the-vm-series-firewall/vm-series-models/vm-series-system-requirements

Le disque a ajouter est celui qui a été récupéré au format qcow2 sur le site de Palo Alto.

Sélectionnez également les subnets qui devront être connectés à votre passerelle. La première interface que vous allez ajouter sera toujours l’interface de management de la PA-VM, veillez donc à sélectionner le bon subnet qui dans l’idéal sera un subnet dédié aux interfaces de management. Votre VM de rebond devra avoir une interface dans ce subnet afin de pouvoir accéder à l’interface web de la PA-VM. Voici par exemple ce que je recommanderais comme configuration des interfaces :

  • Management
  • ethernet1/1 (subnet 0 créé par défaut sur le cluster, pour la sortie WAN)
  • ethernet1/2 (subnet interne 1, souvent celui qui correspond à votre infra Nutanix)
  • ethernet1/3 (subnet interne 2)

Il est important de bien sélectionner « Legacy BIOS Mode » lors de la création de la VM sinon elle ne bootera pas !

Sélectionner « Use this VM as an Agent VM » pour qu’elle soit démarrée en tout premier.

Validez les paramètres, la machine virtuelle est prête à être démarrée.

Initialisation de la PA-VM

Démarrer la VM et lancer la console depuis l’interface Nutanix. Patienter pendant le démarrage du système d’exploitation.

La première connexion se fait en CLI avec les identifiants suivants :

  • Identifiant : admin
  • Mot de passe : admin

Le système va demander de changer le mot de passe par défaut. On passe ensuite en mode configuration :

configure

Ensuite, configuration de l’IP de management en mode static :

set deviceconfig system type static

Configuration des paramètres de l’interface de management :

set deviceconfig system ip-address <Firewall-IP> netmask <netmask> default-gateway <gateway-IP> dns-setting servers primary <DNS-IP>

A ce stade, le pare feu est accessible depuis le navigateur web de la machine de rebond à l’adresse : https://<Firewall-IP>

ATTENTION : cela ne fonctionne que si la VM de rebond a une patte dans le même subnet que celui de l’interface de Management

On oublie pas de commit soit depuis l’interface web, soit en ligne de commande :

commit

Vous pouvez maintenant poursuivre la configuration sur l’interface Web.

Configurations de base de la PA-VM

On attaque avec la configuration de base de la PA-VM.

Sur l’interface web, dans « Device > Setup », éditer le widget « General Settings » pour renseigner à minima le Hostname et la Timezone :

Aller ensuite dans l’onglet « Services » et éditer le widget « Services » pour ajouter les serveurs DNS et les serveurs NTP :

Il ne reste plus qu’à commit les changements, la configuration basique de la passerelle Palo Alto est terminée.

Je tiens à préciser qu’il s’agit là d’une configuration de base et qu’il y en encore beaucoup d’autres points de configuration à réaliser pour avoir une passerelle qui soit parfaitement configurée, sécurisée et qui permette à votre cluster de sortir sur internet, avec notamment la partie authentification, la complexité des mots de passe, le VPN, les règles de pare-feu…

Nous verrons dans un prochain article comment connecter votre passerelle Palo Alto PA-VM au RTvRack OVHcloud afin de permettre à votre cluster de sortir sur Internet.

Read More