本文介绍了如何利用 Dify 创建 Flux AI 免费绘图应用。只需要在 Dify 中输入提示词和图片分辨率，Dify 会直接返回图片。文中还介绍了如何获取硅基流动的免费 API，以及如何自定义 Dify 的绘图插件。

一、Flux AI 简介

AI 绘画，开源中知名度最高的肯定是 Stable Diffusion。在 2024年8月1日，来自 Stable Diffusion 团队的成员成立了黑森林实验室公司（Black Forest Labs），致力于开发最先进的开源生成模型，用于图像和视频。目前公司有 4 款 AI 绘图模型：[1]

• FLUX1.1 [pro] ：2024年10月1日发布的最先进且高效的版本，代号“蓝莓”，是目前市面最强的 AI 画图模型（是的，强于Midjourney）。比FLUX.1 [pro]快六倍，同时提升图像质量、提示遵循能力和多样性。
• FLUX.1 [pro] ：顶级性能图像生成模型，闭源模型，具有最先进的提示遵循能力、视觉质量、细节表现和输出多样性。适用于商业和企业级应用。
• FLUX.1 [dev] ：是 FLUX.1 [pro] 的蒸馏版本，开源但不可商用，适合非商业应用，至少需要24G显存运行。
• FLUX.1 [schnell] ：最快速的本地开发和个人使用模型，有120亿参数，完全开源（Apache2.0许可）。和FLUX.1 [dev]一样，权重可在 Hugging Face上获取，并支持 ComfyUI 的集成。

二、获取 Flux 免费 API

目前市面上有很多厂商都提供 Flux 的 API 接口，针对 FLUX.1 [schnell] 模型，因为模型小，有一些厂商提供了免费的 API 额度。下面两个厂商都只需要简单注册即可使用，不需要绑定任何信用卡信息，所以作为推荐。

• 硅基流动提供了每分钟调用 2 次，每天 400 次的免费额度（IPM=2 IPD=400）。[2]

• Together.ai 提供了每分钟调用 10 次的免费额度（10 img/min）。[3]

后面我会利用硅基流动进行演示，其他厂商的对接步骤大同小异。

Siliconflow

硅基流动（Siliconflow）是一家北京公司，SiliconCloud 平台提供模型云服务。平台上提供了多种开源大语言模型和图像生成模型，包括 Qwen2.5、DeepSeek-V2.5、Llama-3.1等。用户可以免费使用部分参数较小的模型，例如 Qwen2.5（7B）、Llama3.1（8B）、FLUX.1-schnell 等多个模型的 API 可以免费使用（有限速）。

这里不演示账号注册过程，注册之后，可以通过官网提供的界面直接体验各个模型。例如，下面使用 FLUX.1 [schnell] 模型进行绘图。[4]

模型 FLUX.1 [schnell] ，提示词“Kung Fu Panda holds a "Dify with Flux" banner, Pixar style.”，图片比例16:9。

点击页面左侧“API秘钥”，创建一个秘钥，后续 Dify 自定义工具需要调用这个秘钥信息。

Together.ai

Together.ai 是一家成立于2022年6月，总部位于美国硅谷的开源生成式人工智能平台。目前的内容主要是开发去中心化的AI技术，提供开源的AI模型。为各种大模型提供了统一的API接入，包括文本生成和代码生成模型。其中FLUX.1 [schnell] 模型可以免费使用。

这里不演示账号的注册过程，注册之后，厂商会赠送5美元的额度，可以体验一些付费模型，例如这里使用FLUX.1.1 [pro]模型绘图测试，这个模型的价格是每张图 0.04 美元。[5]

模型 FLUX.1.1 [pro] ，提示词“Kung Fu Panda holds a "Dify with Flux" banner, Pixar style.”，像素“1024x576”。

三、Dify 自定义工具

Dify 没有 FLUX 绘图的插件，这里演示一下如何自定义 FLUX 的绘图插件。

查看模型 FLUX.1 [schnell]的API文档，拷贝这个请求格式，复制给ChatGPT，让写一个对应的 OpenAPI Schema。[6]

写给 ChatGPT 的 Prompt。

curl --request POST \
     --url https://api.siliconflow.cn/v1/black-forest-labs/FLUX.1-schnell/text-to-image \
     --header 'accept: application/json' \
     --header 'content-type: application/json' \
     --data '
{
  "prompt": "an island near sea, with seagulls, moon shining over the sea, light house, boats int he background, fish flying over the sea",
  "image_size": "768x1024",
  "num_inference_steps": 20
}

基于上面的内容，写一个OpenAPI Schema

ChatGPT 的回复，后续复制到 Dify 的自定义工具中去。

openapi: 3.0.3
info:
  title: FLUX.1 Schnell Text-to-Image API
  description: This API generates images based on a text prompt.
  version: 1.0.0
servers:
  - url: https://api.siliconflow.cn/v1/black-forest-labs
    description: Production Server
paths:
  /FLUX.1-schnell/text-to-image:
    post:
      summary: Generate an image from a text prompt
      operationId: generateImage
      requestBody:
        required: true
        content:
          application/json:
            schema:
              type: object
              properties:
                prompt:
                  type: string
                  description: The text prompt to generate the image.
                  example: an island near sea, with seagulls, moon shining over the sea, light house, boats in the background, fish flying over the sea
                image_size:
                  type: string
                  description: The desired size of the generated image.
                  example: 768x1024
                num_inference_steps:
                  type: integer
                  description: The number of inference steps for generating the image.
                  example: 20
      responses:
        '200':
          description: Image generated successfully
          content:
            application/json:
              schema:
                type: object
                properties:
                  image_url:
                    type: string
                    description: URL of the generated image
                    example: https://api.siliconflow.cn/v1/black-forest-labs/images/generated-image-12345.png
        '400':
          description: Bad request
          content:
            application/json:
              schema:
                type: object
                properties:
                  error:
                    type: string
                    description: Error message
                    example: Invalid prompt or parameters
      headers:
        accept:
          description: Accepted response format
          required: true
          schema:
            type: string
            example: application/json
        content-type:
          description: Content type of the request
          required: true
          schema:
            type: string
            example: application/json

在 Dify 平台上，点击“创建自定义工具”，设置工具的名称，复制 ChatGPT 回复的 OpenAPI Schema，点击“测试”。

设置API Key方式授权，前缀设置为Bearer，输入硅基流动创建的API Key值，点击“保存”（此 API 我已经删除）。

输入提示词，分辨率和推理步数进行测试，查看返回的测试结果。测试成功，返回了图片的URL。

拷贝这个测试结果，后续会写一个Python代码，解析这个结果中的 URL 链接，转换成 Markdown 格式，方便 Dify 直接显示图片。

{"images": [{"url": "https://sf-maas-uat-prod.oss-cn-shanghai.aliyuncs.com/outputs/8c4ecc9a-ccc6-4c01-9f72-874ed33e7125_0.png"}], "timings": {"inference": 1.851}, "seed": 966716722, "shared_id": "0"}

四、Dify 创建 AI 绘图工作流

下面在 Dify 中创建一个工作流，我希望输入提示词和图片分辨率后，就直接接返回图片结果。

这里一下这个工作流的设计思路。设计有两个变量是必须要提供的，分别是Prompt（提示词）和image_size（图片分辨率）。

另外还添加了一个可选参数optimize_prompt（提示词优化），这个参数有两个选项On或者Off，如果选择了On，会对提示词进行优化，会丰富提示词的细节。

如果不选择这个参数，或者选择为Off，会利用GPT4o-mini模型翻译提示词，提示词是英文保持原文，提示词是中文会直接翻译成英文。Flux 的提示词对中文支持不友好，所以需要翻译为英文，这里是用GPT4o-mini模型进行翻译，也可以使用其他模型进行翻译。

下面是LLM1的提示词，用于优化输入的提示词。

You are tasked with expanding prompts for image generation. Your goal is to enhance the input prompt by adding more details, refining context, or specifying elements to make it more vivid and specific. Here are the detailed requirements:

1. Identify core elements: Determine the key components of the original prompt. These typically include subjects, actions, scene settings, and emotional tones.
2. Enrich with specific details: Add descriptive details to each element, considering the five senses (sight, sound, smell, touch, taste), as well as color, texture, and emotions.
3. Build scenes and imagery: Create scenes by describing the environment, time, or background elements. This helps create a more immersive experience.
4. Use modifiers for enhanced effect: Employ adjectives to vividly describe nouns, and adverbs to precisely modify verbs. This makes the prompt more engaging.
5. Incorporate action and interaction: Where appropriate, describe events taking place in the scene, how characters interact, or the emotional atmosphere permeating the environment.
6. Maintain overall coherence: Ensure the expanded prompt flows naturally and consistently revolves around the original concept.
7. Output the prompt in English: If the content within the {{#1724416537387.Prompt#}} tag is in Chinese, translate it into an English prompt.
Here's an example of prompt expansion:
Original prompt: "Forest at sunrise."
Expanded prompt: "In the heart of an ancient forest, the first light of dawn filters through the dense canopy, casting a golden glow on the dewy moss-covered ground. Tall, towering trees, their bark rough and weathered, stand like silent sentinels as a soft mist curls around their roots. The air is crisp and filled with the earthy scent of pine needles, and the distant call of a waking bird echoes through the tranquil morning."

The prompt to be expanded is:
{{#1724416537387.Prompt#}}

下面是 LLM2 的提示词，用于翻译用户提供的中文提示词。

<xml>
    {{#1724416537387.Prompt#}}
</xml>

If the content within the XML tags is in Chinese, translate it to English. If it is already in English, retain the original text.

然后进入自定义工具，节点输入的prompt变量来自 LLM 翻译后的提示词，image_size来自最开始选择的图片尺寸，inference_steps 这里设置为固定的值，不用用户填写。这个工具会输出3个变量"text"、“files”和“json”，其中"text"输出的值就是硅基流动返回的响应内容。

下面是自定义工具输出的完整字段。

{
  "text": "{\"images\": [{\"url\": \"https://sf-maas-uat-prod.oss-cn-shanghai.aliyuncs.com/outputs/a0616193-e0c4-4fa5-9505-5c8d5f155d2a_0.png\"}], \"timings\": {\"inference\": 1.778}, \"seed\": 868267842, \"shared_id\": \"0\"}",
  "files": [],
  "json": []
}

我希望这个应用直接返回图片，而不是返回图片的 URL 然后再点击链接。Dify支持 Markdown 格式的图片格式，所以需要用一个脚本对输出的字符串进行转换，解析出对应的图片 URL，转换为 Markdown 格式。这里代码添加一个输出变量是键为"arg1"，值为自定义工具输出的"text"字符串。下面是代码执行节点的输入字符串：

对于代码执行节点而言，下面是输入的信息：

{
  "arg1": "{\"images\": [{\"url\": \"https://sf-maas-uat-prod.oss-cn-shanghai.aliyuncs.com/outputs/a0616193-e0c4-4fa5-9505-5c8d5f155d2a_0.png\"}], \"timings\": {\"inference\": 1.778}, \"seed\": 868267842, \"shared_id\": \"0\"}"
}

这里python代码，用与从上面的信息中解析出图片的 URL，并返回 Markdown 格式的图片地址。

import json

def main(arg1):
    # 解析输入的 JSON 字符串
    data = json.loads(arg1)
    
    # 从解析后的数据中提取图片 URL
    image_url = data['images'][0]['url']
    
    # 构建 Markdown 格式的图片链接
    markdown_image = f"![Image]({image_url})"
    
    return {
        "result": markdown_image
    }

按照上面的思路，可以构建其他的 AI 绘图工作流，基本步骤一致。只需要查看其他厂商的请求 API，利用 ChatGPT 转换为 OpenAPI Schema，然后将输出信息解析为 Markdown 格式图片链接即可。

五、Flux AI 绘图应用测试

下面测试一下这个 AI 绘图应用，输入提示词“Kung Fu Panda holds a "Dify with Flux" banner, Pixar style.”，图片分辨率“1024x576”，关闭提示词优化或者保持为空，点击运行，Dify 可以直接显示生成的图片。

点击详情可以查看输出的 Markdown 格式的图片链接信息。

六、文档链接

• [1] Announcing Black Forest Labs: https://blackforestlabs.ai/announcing-black-forest-labs/
• [2] 硅基流动速率限制: https://docs.siliconflow.cn/rate-limits/rate-limit-and-upgradation#2-1
• [3] Together.ai 速率限制: https://docs.together.ai/docs/rate-limits
• [4] 硅基流动文生图体验: https://cloud.siliconflow.cn/playground/text-to-image
• [5] Together.ai 文生图体验: https://api.together.ai/playground/image/black-forest-labs/FLUX.1.1-pro
• [6] 硅基流动 FLUX.1-schnell 模型 API: https://docs.siliconflow.cn/reference/imagegeneration

李沐在交大分享了关于大模型的实践经验和未来的预测，以及个人工作和成长的一些经验，感觉很有收货，摘录了一些重点，感兴趣可以看原视频。

李沐：BosonAI联合创始人，前亚马逊首席科学家，曾任AI创业公司Marianas Labs CTO、百度深度学习研究院主任研发架构师。

大语言模型的现在和的未来

语言模型的最核心的三个要素是算力、数据和算法：语言模型像炼丹，数据就像炼丹材料，算力就像炼丹炉等设备，算法就像丹方。以前的深度学习就像一个丹就治一个病，现在希望为丹注入灵魂，解决很多问题。

带宽：带宽是最难也是最重要的，大模型分布式训练需要通过光纤连接，光纤目前带宽在400G左右，会成为瓶颈，光纤传输延迟也需要考虑。现在的趋势是把GPU放到一起，距离足够近，英伟达的GB200就是这个思路。密集的GPU会带来电力和散热问题，散热需要使用水冷，水冷对基建有更高的要求。

内存：内存比算力更关键，大模型需要大量内存处理数据。当前单芯片内存约 192 GB，内存不够，模型就做不大，模型上限将依赖内存突破。

算力

• 算力提升主要依赖摩尔定律，随着工艺进步和浮点数精度降低（Int4、Int8），硬件效率提升。
• 随着模型更大时，供电成为关键问题，自己做数据中心时，曾经计算自己造一个电厂的成本比付的电费成本要低。
• 模型分为训练和推理阶段，英伟达在训练芯片上仍处于垄断地位，推理阶段别的芯片还可以。
• 尽管推理芯片有替代品，英伟达在训练芯片上仍处于垄断地位。模型训练成本会随时间下降，因此大模型并非长期性价比最高的选择，企业需关注模型的长期价值而非规模。

训练数据： OpenAI 或别的开源模型，目前基本都是用10T~50T Token 做预训练。可能弄到更多数据，但是清洗之后可能还是回到这个数值，而且更多的数据不一定带来更好的提升。

模型尺寸：未来主流模型将在 100B-500B 参数，500B 以上模型可以训练，但是难以提供服务。保持在这个范围，MoE 虽可用于更大模型，但有效激活规模仍在 500B 左右。

各领域AI模型发展水平

• 语言模型：目前已经达到较高水平，约为80-85分。
• 音频模型：已经达到可用水平，评分大约在70-80分之间。
• 视频生成模型：尤其是生成具有特定功能的视频，还处于起步阶段，整体水平大约为50分。

AI 应用现在与挑战

在 AI 领域目前还没有出现 Killer APP（即短视频类似抖音的APP）。

三类AI 应用：

• 文科白领：AI 在个人助理、Call center、文本处理等领域表现良好，能完成 80-90% 的任务。
• 工科白领：AI 可以自动化处理编程任务，如检索和修改代码，但无法完全取代程序员，尤其是复杂任务。
• 蓝领阶级：自动驾驶进展较大，但其他蓝领任务（如端盘子、运货）因复杂的物理世界交互难以实现，需要更多数据和技术突破，可能还需 5 年左右。

垂直模型的误区：垂直模型是一个伪命题，没有真正的垂直模型，一个很垂直领域的模型，它的通用能力也是不能差的。比如说你要在某一个学科里面拿第一，你别的科目也不能差到哪里去。

模型评估与数据： 模型评估非常困难，用人评估比较贵，用模型评估会带来偏差。有一个好的评估可以解决 50% 的问题，解决了评估问题，就能够进行优化了，而且也拥有了一些数据。数据决定模型上限，想让模型在某一个方面做得特别好，需要先把相关数据准备好。

费用： 自建机房不一定比租 GPU 便宜太大，因为大头被英伟达吃掉了，它的利润是90%。我是从 Amazon 干了 7 年半才出来创业，但我其实不用 Amazon 服务，太贵了。我们都用小公司买来的，他们当年用来挖比特币的。:)

自我提升的方法

大公司： 在大公司，你要解决问题是公司关心的问题。这一点很重要。大家一定要想清楚：我要在公司干什么，公司今年准备干什么，最好两者保持一致。如果干的事情是自己喜欢的，但不是公司追求的，这就会让人很难受。

从上级的角度反思自己：每周总结：你完成了哪些任务？哪些目标未达成？分析原因：是否因为懒惰、方向不对，还是其他因素？

直面问题：

• 懒惰：寻找解决方案，比如找学习伙伴进行相互监督，固定时间一起学习或工作。
• 不擅长
  • 换方向：如果遇到自己不擅长的领域，考虑调整方向，选择更适合自己的领域。
  • 加倍努力：如果无法避免短板，那就花两倍的时间和精力去攻克问题。

对自己狠一点：自我提升最终比拼的是对自己有多狠，愿意承受多大的努力和坚持。

养成总结与规划的习惯：

• 每周总结：每周花30分钟回顾工作，分析不足，规划改进。
• 季度回顾：每季度反思是否实现了既定目标，并根据情况调整下一阶段的计划。

选择比努力更重要：做任何选择前，先明确自己的目标。只有目标清晰，才能做出正确的选择。

定期反思动机：每年或每五年，反思自己的动机和工作状态。如果过去的一年感觉不开心或没有进展，可能是动机不够强。若是因为时机不成熟，那就继续努力等待；如果是动机不对，及时调整方向。

讲座B站视频： https://www.bilibili.com/video/BV1dHWkewEWz/?vd_source=90d4eedee2acfff3367a55da193a86a0

自传的真情实感是最能打动人的，第一人称叙述能带来最强的共情。这是为他人写传记的作家再好的文笔也难以达到的境界，作家无法站在主角的第一视角，了解面临不同场景时的心理感受，以及所做出决定背后的心路历程。更何况李娜的文笔出乎意料的好，文字简洁有力。

我没有打过网球，也不懂网球规则，但是李娜身上展现出顶级运动员的气质，是一种不断战胜自我的精神和斗志，这种气质极具魅力。

很多人认为运动员都是四肢发达，头脑简单。当你看完一些顶级运动员的成长故事，你一定会改变观念。

竞技体育是一个充分竞争的环境，那些只有天赋而没有头脑的运动员，必定会被既有天赋又有头脑的对手淘汰。

要想取得世界级的成就，仅靠埋头苦练是不够的，你需要对自己的身体状态有敏锐的感知，遇到瓶颈时，必须及时调整策略，并且具备极强的自律去执行计划。

残酷的是，当你认为已经做好了一切，失败依然是常态，你可能会因此开始怀疑自己，逐渐对自己失去信心。登顶的过程，是一次次战胜自我的过程，需要不断与自我对话。

这种不断挑战自我的精神，引起我强烈的共鸣。在人生的赛场上，每个人都是独自上场的选手，而真正的对手，始终是昨天的自己。

附上书中一些摘录：

有许多同学一听到我们是运动员，就会条件反射地说：啊，那你们没有机会读书吧？

我觉得这个说法比较片面。教育有许多种，文化课只是其中之一，曾做过职业运动员，特别是能够取得一定成绩的选手，他们对自己的要求一般都是非常严格的，没有吃苦耐劳的精神和高度自律、自爱的性格，你很难在体育领域有所成就，而且许多比赛并不是单纯地靠角力取胜，我们必须保持头脑灵活、思路清晰才能在众多选手中脱颖而出。依我看来，许多曾经在体育方面有所建树的运动员都是很出色的人才，他们在从事其他领域的工作时，这些优秀的品质也会帮助他们获得成功。

此外，运动队里也不是未曾开化的原始森林，我们在学习文化课的同时还要学习为人处世，学习处理与媒体、领导的关系（虽然这一课我显然学得不怎么样，但不能否认这是人生重要的一课）。在有些奖金较为丰厚、大众关注较多的项目上，不可避免地会产生一些灰色地带，运动员们对这些看得比较多，也比较豁达，我们比同龄人更早地体会到了“不公平”三个字的重量，也更了解应当如何看待这些现象。老实说，刚进入高校时，我经常会被与我同龄的同学的天真和理想主义给雷到——他们竟然如此单纯！

后来姜山给我看了特蕾莎修女的一段语录，我觉得很受益：
“即使你是友善的，人们还是会说你自私和动机不良，不管怎样，你还是要友善。
“当你功成名就，你会有虚假的朋友和真实的敌人，不管怎样，你还是要成功。
“你今天做的善事，人们往往明天就会忘记，不管怎样，你还是要做善事。
“说到底，这是你和神之间的事，而绝不是你和他人之间的事。”

妈妈是我在这世界上最亲的人。我总是想小时候我住在体校，她是怎么天天来看我，大热天给我带冰镇绿豆汤解暑。她是我的妈妈，我非常非常爱她。我是她唯一的女儿，她也不可能不爱我。只是我现在经常不知道该怎么跟妈妈交流和沟通了。

没有随随便便获得的胜利，特别是在比赛双方都是世界顶尖球员的时候，精湛的技术、冷静的头脑、健康的身体状况都是获胜的重要条件，但不是唯一的条件。

想要获胜，你必须真正发自内心地渴求胜利，你要非常、非常、非常地想获胜。你对胜利的渴望，要像在沙漠中跋涉，濒临死亡的人对清水的渴望一样。

​推荐去电影院看《里斯本丸沉没》这个纪录片。

很多人看到是纪录片，可能会觉得自己应该不感兴趣，电影名似乎也不够有吸引力。

最开始看到一些这个电影的好评，产生了一些兴趣，看了下电影的海报和预告剪辑，其实没有觉得会好看，是冲着豆瓣9.3分的高分，好奇去看看。

可以当做一个很好的剧情片来看，关于使命、战争、爱情、亲情、友情、勇气。

当一艘船沉入海底，当一个人成了谜。这句歌词里的船就是“里斯本丸”号。

为影像工作者和海洋工程师，导演似乎肩负起了探寻这艘沉船的使命。

2014年方励作为《后会无期》的制片人，和韩寒在东极岛拍摄时，了解到附近有一艘沉船叫“里斯本丸”。方励也是一个海洋工程师，公司有多项海洋探测的发明专利，好奇和职业背景，他决定去寻找这艘沉船，并在2017年确认找到了‘里斯本丸’。

事实和真相是非常稀缺的资源，探寻事实和真相需要消耗大量的资源，纪录片不需要虚构任何剧情，事实和真相的力量往往更容易打动人心。

历史的主题是遗忘。这艘沉船时隔80年，几乎已经没有人知道它的故事，但是讲述尘封的真实历史，让我感受到记忆是有力量的。

1941年12月爆发了18天的香港保卫战，最终日本占领了香港。1942年9月27日，“里斯本丸”号从香港出发前往日本，船上有1800多名英军战俘，日军没有按照国际法惯例，悬挂运送战俘的旗帜或者标志。1942年10月1日，在舟山群岛附近，美军潜艇发现了“里斯本丸”号，认为是敌军船只，于是发射鱼雷，击中了“里斯本丸”号，1942年10月2日，船只开始下沉，日军开始扫射落水战俘，而中国渔民则开始营救这些落水英军士兵。

有人陷入绝望，也有人在歌唱。有人“里斯本丸”号快要沉没时，一位士兵将自己帽子戴好，说“如果我要死去，我也要穿戴整齐（If I am to die, I will do so properly dressed）”。当船舱混乱不堪，大家争先恐后想从爬出货舱逃生，很多人因为挤压和跌落丧命时，鲍威尔中校挺身而出，很快安抚住混乱的士兵，指挥大家有序撤离（什么是领导力，这就是领导力:)）。

老人只是将情感深藏。80多岁的一个老太太拿着一个洋娃娃，这是在她4岁时父亲送给她的，她身旁还有一张照片，照片上是一个小女孩抱着这个洋娃娃，这是一张70年前的照片。

“里斯本丸”号的沉没，似乎每个人都在正确的执行命令，让我们看到了战争齿轮下的无情，但是这个纪录片让我们看到了每个人背后的故事，战争把人变成数字，故事将数字变成人。

本文介绍了通过 Docker 安装 Dify，然后集成 Ollama 和 XInference，并利用 Dify 快速搭建一个基于知识库问答的应用。

一、Dify 简介

Dify 是一款开源的大语言模型（LLM）应用开发平台，旨在帮助开发者快速构建和部署生成式 AI 应用。以下是 Dify 的主要功能和特点 [1]：

• 融合 Backend as Service 和 LLMOps 理念：Dify 将后端即服务（Backend as Service）和 LLMOps 的理念结合，使开发者能够快速搭建生产级的生成式 AI 应用。
• 支持多种模型：Dify 支持数百种专有和开源的 LLM 模型，包括 GPT、Mistral、Llama3 等，能够无缝集成来自多家推理提供商和自托管解决方案的模型。
• 直观的 Prompt 编排界面：Dify 提供了一个直观的 Prompt IDE，用于编写提示、比较模型性能，并向基于聊天的应用程序添加语音转换等附加功能。
• 高质量的 RAG 引擎：Dify 拥有广泛的 RAG 功能，涵盖从文档摄取到检索的一切，并支持从 PDF、PPT 等常见文档格式中提取文本。
• 集成 Agent 框架：用户可以基于 LLM 函数调用或 ReAct 定义代理，并为代理添加预构建或自定义工具。Dify 提供了 50 多种内置工具，如 Google 搜索、DELL·E、Stable Diffusion 和 WolframAlpha。
• 灵活的流程编排：Dify 提供了一个强大的可视化画布，用于构建和测试强大的 AI 工作流，使开发者可以直观地设计和优化他们的 AI 流程。
• 全面的监控和分析工具：Dify 提供了监控和分析应用日志和性能的工具，开发者可以根据生产数据和注释不断改进提示、数据集和模型。
• 后端即服务：Dify 的所有功能都附带相应的 API，因此可以轻松将 Dify 集成到您自己的业务逻辑中。

二、Dify 安装

拷贝 Dify Github代码到本地 [2]。

git clone https://github.com/langgenius/dify.git

进入 dify 源代码的 docker 目录，拷贝环境变量。

cd dify/docker
cp .env.example .env

通过docker compose安装应用。

docker compose up -d

进入ollama容器，启动qwen2:7b模型。

root@ip-172-31-30-167:~/dify/docker# docker pull ollama/ollama
root@ip-172-31-83-158:~/dify/docker# docker run -d --gpus=all -v ollama:/root/.ollama -p 11434:11434 --name ollama --restart always -e OLLAMA_KEEP_ALIVE=-1 ollama/ollama
root@ip-172-31-83-158:~/dify/docker# docker exec -it ollama bash
root@b094349fc98c:/# ollama run qwen2:7b

三、Dify 添加Ollama模型问答

通过EC2的公网IP地址加上80端口，登录Dify主页，创建管理账户。

通过管理员账号登录。

点击用户-设置。

添加Ollama模型。

添加qwen2:7b模型，因为Ollama是在本机启动，所以设置URL为本地IP地址，端口为114341，

qwen2-7b-instruct 利用YARN（一种增强模型长度外推的技术）支持 131,072 tokens上下文，为了保障正常使用和正常输出，建议API限定用户输入为 128,000 ，输出最大 6,144。[3]

点击 工作室-创建空白应用

创建“聊天助手”类型的应用，设置应用名称为Qwen2-7B，点击创建。

为应用设置提示词"你是一个人工智能助手"，可以和Qwen2:7B进行对话测试，这里是和大模型本身进行对话，没有引入外部的知识库，后续会引入知识库比较回答的结果。

四、Dify 基于知识库问答

添加Xorbits Inference提供的模型。

添加Text Embedding，即文本嵌入模型，模型的名称为bge-m3，服务器URL为http://172.31.30.167:9997（这里是本机的IP，也可以安装在其他机器，网络和端口可达即可），已经提前在本机上启动了XInference，并且启动了bge-m3模型（参考上一篇文章）。

添加Rerank，即重排模型，模型的名称为bge-reraker-v2-m3，服务器URL为http://172.31.30.167:9997（这里是本机的IP，也可以安装在其他机器，网络和端口可达即可），已经提前在本机上启动了XInference，并且启动了bge-reraker-v2-m3模型（参考上一篇文章）。

查看系统默认设置。

点击“知识库”-“导入已有文本”-“上传文本文件”-选择《促进和规范数据跨境流动规定》的文档。

导入成功后，设置文本检索方式，开启Rerank模型，选择bge-reranker-v2-m3模型，开启默认的Score阈值为0.5（即文本匹配度低于0.5分时，不会召回，不会添加到大模型的上下文中）。

在之前的聊天应用中，添加上面创建的知识库，重新询问大模型相同的问题，可以看到模型结合知识库进行了回答。

可以点击“Prompt日志”，查看日志文件，可以查看系统提示词，将匹配的知识库内容放在了<context></context>中。

点击创建的知识库-点击“召回测试”，可以输入一段文本，用与匹配知识库中的文本，匹配到的文本有一个权重分数，上面设置过的阈值是0.5，即大于这个分数的才会显示为“召回段落”。

五、文档链接

• [1] Dify 官网：https://dify.ai/zh
• [2] Dify Docker Compose 部署：https://docs.dify.ai/v/zh-hans/getting-started/install-self-hosted/docker-compose
• [3] Qwen Token限制：https://help.aliyun.com/zh/dashscope/developer-reference/tongyi-qianwen-7b-14b-72b-api-detailes

本文介绍了如何使用 Docker 部署 Xinference 推理框架，并演示了如何启动和运行多种大模型，包括大语言模型、图像生成模型和多模态模型。还讲解了嵌入和重排模型的启动方法，为后续 Dify 调用嵌入和重排模型做为铺垫。

一、Xinference 简介

Xorbits Inference (Xinference) 是一个开源的分布式推理框架，专为大规模模型推理任务设计。它支持大语言模型（LLM）、多模态模型、语音识别模型等多种模型的推理。以下是 Xinference 的主要特点 [1]：

• 模型一键部署：极大简化了大语言模型、多模态模型和语音识别模型的部署过程。
• 内置前沿模型：支持一键下载并部署大量前沿开源模型，如 Qwen2、chatglm2、等。
• 异构硬件支持：可以利用 CPU 和 GPU 进行推理，提升集群吞吐量和降低延迟。
• 灵活的 API：提供包括 RPC 和 RESTful API 在内的多种接口，兼容 OpenAI 协议，方便与现有系统集成。
• 分布式架构：支持跨设备和跨服务器的分布式部署，允许高并发推理，并简化扩容和缩容操作。
• 第三方集成：与 LangChain 等流行库无缝对接，快速构建基于 AI 的应用程序。

二、Xinference Docker 部署

docker镜像文件非常大，拉取文件需要耗费很长时间。

docker pull xprobe/xinference

查看xinference docker镜像文件，目前大小为17.7GB。

root@ip-172-31-83-158:~# docker images
REPOSITORY          TAG       IMAGE ID       CREATED         SIZE
xprobe/xinference   latest    96b2be814b0f   2 days ago     17.6GB

创建一个目录，用与存放xinference缓存文件和日志文件。

mkdir -p /xinference/data

启动容器。默认情况下，镜像中不包含任何模型文件，使用过程中会在容器内下载模型。如果需要使用已经下载好的模型，需要将宿主机的目录挂载到容器内。这种情况下，需要在运行容器时指定本地卷，并且为 Xinference 配置环境变量。

• XINFERENCE_MODEL_SRC：配置模型下载仓库。默认下载源是 “huggingface”，也可以设置为 “modelscope” 作为下载源。
• XINFERENCE_HOME：Xinference 默认使用 <HOME>/.xinference 作为默认目录来存储模型以及日志等必要的文件。其中 <HOME> 是当前用户的主目录。可以通过配置这个环境变量来修改默认目录。

docker run -d \
  --name xinference \
  -v /xinference/data/.xinference:/root/.xinference \
  -v /xinference/data/.cache/huggingface:/root/.cache/huggingface \
  -v /xinference/data/.cache/modelscope:/root/.cache/modelscope \
  -v /xinference/log:/workspace/xinference/logs \
  -e XINFERENCE_HOME=/xinference \
  -p 9997:9997 \
  --gpus all \
  xprobe/xinference:latest \
  xinference-local -H 0.0.0.0 --log-level debug

三、Xinference 本地运行大模型

容器启动后，访问公网地址加上9997端口，启动qwen2-instruct模型。

使用Xinference自带的图形化聊天界面。

聊天测试。

测试图片生成模型，启动sd-trubo图片生成模型，模型下载和启动的时间较长，需要多等待一会，运行大概需要12G GPU。

启动图形化聊天界面。

使用提示词cartoon cloud生成图片，设置分辨率为512*512，点击Generate生成图片。图片像素设置的越大，生成的时间越长，占用的GPU越多，设置1024 * 1024像素，大致需要占用6G GPU。

Xinference目前无法同时运行多个大模型，在运行新的模型之前，需要停止之前的模型。

测试多模态模型，启动qwen-vl-chat视觉聊天模型，模型下载和启动也需要较长时间，模型需要20G GPU才能运行，所以至少需要g5.xlarge（24G GPU）才能运行，g4dn.xlarge（16G GPU）无法运行。

上传图片聊天测试。

四、Xinference 启动嵌入和重排模型

Xinference只能同时启动一个语音模型、图片模型、语音模型，但是可以同时启动多个嵌入模型、重排模型。

这里使用的嵌入（embedding）模型是bge-m3，重排（reranker）模型是bge-reranker-v2-m3。

启动bge-m3嵌入模型，ollama后续可以调用这个模型。

模型正常启动，后续Dify可以调用此嵌入模型。

启动bge-reranker-v2-m3重排模型，ollama 后续可以调用这个模型。

模型正常启动，后续Dify可以调用此重排模型。

五、文档链接

• [1] Xinference Github主页：https://github.com/xorbitsai/inference/blob/main/README_zh_CN.md
• [2] Xinference 环境变量：https://inference.readthedocs.io/zh-cn/latest/getting_started/environments.html
• [3] Xinference Docker安装文档：https://inference.readthedocs.io/zh-cn/latest/getting_started/using_docker_image.html
• [4] 嵌入模型bge-m3：https://huggingface.co/BAAI/bge-m3
• [5] 重排模型bge-reranker-v2-m3：https://huggingface.co/BAAI/bge-reranker-v2-m3

本文介绍了如何使用 Ollama 在本地运行大型语言模型，以及利用 Open-WebUI 提供的图形化界面与大语言模型进行交互。

一、Ollama 简介

Ollama 是一个开源框架，专门设计用于在本地运行大型语言模型（LLM）。它的主要特点和功能如下：

• 简化部署：Ollama 旨在简化在 Docker 容器中部署 LLM 的过程，使得管理和运行这些模型变得更加容易。安装完成后，用户可以通过简单的命令行操作启动和运行大型语言模型。例如，要运行 Gemma 2B 模型，只需执行命令 ollama run gemma:2b。
• 捆绑模型组件：它将模型权重、配置和数据捆绑到一个包中，称为 Modelfile，这有助于优化设置和配置细节，包括 GPU 使用情况。
• 支持多种模型：Ollama 支持多种大型语言模型，如 Llama 2、Code Llama、Mistral、Gemma 等，并允许用户根据特定需求定制和创建自己的模型。
• 跨平台支持：支持 Windows、macOS 和 Linux 平台。安装过程简单，用户只需访问 Ollama 的官方网站下载相应平台的安装包即可。

二、Docker安装 Ollama

选择Deep Learning类型的AMI，这个类型的AMI已经预先安装了英伟达的驱动。

选择g4dn.xlarge类型实例，带有1个NVIDA T4显卡，共有16GB GPU，这是带有英伟达显卡最便宜的实例。这个AMI已经预装了docker包，如果没有安装的Ubuntu系列系统，可以通过下面命令安装。

apt update -y
apt install docker -y
systemctl start docker

拉取ollama docker镜像（依赖网速，2-3分钟左右）

docker pull ollama/ollama

查看镜像文件，镜像大概2GB左右。

~# docker images
REPOSITORY      TAG       IMAGE ID       CREATED        SIZE
ollama/ollama   latest    d5cbea22fd07   30 hours ago   1.98GB

根据Docker Hub ollama主页 https://hub.docker.com/r/ollama/ollama [1]，快速启动容器，注意，这里没有添加GPU参数，是通过CPU加载启动的。

~# docker run -d -v ollama:/root/.ollama -p 11434:11434 --name ollama ollama/ollama

查看容器状态。

root@ip-172-31-83-158:~# docker ps
CONTAINER ID   IMAGE           COMMAND               CREATED         STATUS         PORTS                                           NAMES
e43072764685   ollama/ollama   "/bin/ollama serve"   6 seconds ago   Up 5 seconds   0.0.0.0:11434->11434/tcp, :::11434->11434/tcp   ollama

在docker容器内运行模型（1分钟左右拉起来）。

root@ip-172-31-83-158:~# docker exec -it ollama bash

root@e43072764685:/# ollama run qwen2:0.5b
>>> 你叫什么？
我叫通义千问。

新开一个SSH窗口，在模型回答问题时，查看通过top命令，查看CPU使用率，可以看到CPU已经满负荷运行了，正在使用CPU进行推理。

top - 08:41:19 up  5:14,  4 users,  load average: 0.32, 0.25, 0.13
Tasks: 161 total,   3 running, 158 sleeping,   0 stopped,   0 zombie
%Cpu(s): 31.9 us,  0.2 sy,  0.0 ni, 67.9 id,  0.0 wa,  0.0 hi,  0.0 si,  0.1 st
MiB Mem :  15779.1 total,   1575.5 free,    518.2 used,  13685.4 buff/cache
MiB Swap:      0.0 total,      0.0 free,      0.0 used.  14806.4 avail Mem

    PID USER      PR  NI    VIRT    RES    SHR S  %CPU  %MEM     TIME+ COMMAND
   7080 root      20   0 1067764 442088 344752 R 123.3   2.7   0:17.46 ollama_llama_se
   7006 root      20   0 2365904 400032 389632 S   1.0   2.5   0:13.81 ollama
   6986 root      20   0 1238716  13636   9856 S   0.7   0.1   0:00.23 containerd-shim

通过ollama list命令，查看下载的所有模型。

root@e43072764685:/# ollama list
NAME            ID              SIZE    MODIFIED
qwen2:0.5b      6f48b936a09f    352 MB  About a minute ago

在模型回答问题时，通过nvidia-smi命令查看GPU使用情况，通过CPU进行推理时，看到并没有暂用GPU资源。

root@ip-172-31-83-158:~# nvidia-smi
Fri Jul  5 08:41:38 2024
+---------------------------------------------------------------------------------------+
| NVIDIA-SMI 535.183.01             Driver Version: 535.183.01   CUDA Version: 12.2     |
|-----------------------------------------+----------------------+----------------------+
| GPU  Name                 Persistence-M | Bus-Id        Disp.A | Volatile Uncorr. ECC |
| Fan  Temp   Perf          Pwr:Usage/Cap |         Memory-Usage | GPU-Util  Compute M. |
|                                         |                      |               MIG M. |
|=========================================+======================+======================|
|   0  Tesla T4                       On  | 00000000:00:1E.0 Off |                    0 |
| N/A   33C    P8               9W /  70W |      2MiB / 15360MiB |      0%      Default |
|                                         |                      |                  N/A |
+-----------------------------------------+----------------------+----------------------+

+---------------------------------------------------------------------------------------+
| Processes:                                                                            |
|  GPU   GI   CI        PID   Type   Process name                            GPU Memory |
|        ID   ID                                                             Usage      |
|=======================================================================================|
|  No running processes found                                                           |
+---------------------------------------------------------------------------------------+

删除容器。

root@ip-172-31-83-158:~#  docker rm -f ollama
ollama

重启启动ollama容器，通过GPU启动。

root@ip-172-31-83-158:~# docker run -d --gpus=all -v ollama:/root/.ollama -p 11434:11434 --name ollama ollama/ollama
b094349fc98c8dee31640485ed88ecef38202e33baadcbb9d503ecc1055ac974

Ollama 环境变量

通过下面命令，ollama可以加载环境变量，可以根据实际需求决定是否添加对应的环境变量。

docker run -d --gpus=all -v ollama:/root/.ollama -p 11434:11434 --name ollama --restart always -e OLLAMA_KEEP_ALIVE=-1 ollama/ollama

ollama常用环境变量：

• OLLAMA_KEEP_ALIVE=-1，模型加载后，默认的Keepalive是5分钟，修改为-1可以让模型持续启动，OLLAMA_KEEP_ALIVE=60 表示 60 秒，OLLAMA_KEEP_ALIVE=10m 表示10分钟。https://github.com/ollama/ollama/pull/3094
• OLLAMA_ORIGINS=*，跨域访问环境变量，可以用与沉浸式翻译。

Ollama 升级

ollama升级过程参考，停止容器后，重新拉取容器启动即可。

root@ip-172-31-83-158:~# docker exec -it ollama bash
root@3d1be8deba41:/# ollama -v
ollama version is 0.1.40


(base) root@ip-172-31-79-195:~# docker pull ollama/ollama
Using default tag: latest
latest: Pulling from ollama/ollama
7646c8da3324: Pull complete
d1060ab4fb75: Pull complete
e58f7d737fbb: Pull complete
Digest: sha256:4a3c5b5261f325580d7f4f6440e5094d807784f0513439dcabfda9c2bdf4191e
Status: Downloaded newer image for ollama/ollama:latest
docker.io/ollama/ollama:latest


(base) root@ip-172-31-79-195:~# docker run -d --gpus=all -v ollama:/root/.ollama -p 11434:11434 -e OLLAMA_ORIGINS=* --name ollama --restart always  ollama/ollama


root@46648320fcd4:/# ollama -v
ollama version is 0.3.7

三、Open-WebUI

OpenWebUI是一个可扩展、功能丰富且用户友好的自托管WebUI，它支持完全离线操作，并兼容Ollama和OpenAI的API。这为用户提供了一个可视化的界面，使得与大型语言模型的交互更加直观和便捷 [3]。

从docker hub拉取open-webui镜像（文件1G左右，看网速，2-3分钟）

docker pull dyrnq/open-webui:main

注意，官方文档是从 GitHub Container Registry (GHCR) 上拉取镜像，而不是从 Docker Hub。官方文档拉取命令如下：

docker pull ghcr.io/open-webui/open-webui:main

查看镜像

root@ip-172-31-83-158:~# docker images
REPOSITORY         TAG       IMAGE ID       CREATED         SIZE
dyrnq/open-webui   main      8aa8279a3e25   10 hours ago   3.9GB
ollama/ollama      latest    d5cbea22fd07   30 hours ago   1.98GB

启动docker镜像，映射出来3000端口。

root@ip-172-31-83-158:~# docker run -d -p 3000:8080 --add-host=host.docker.internal:host-gateway -v open-webui:/app/backend/data --name open-webui --restart always dyrnq/open-webui:main

查看EC2的公网IP地址。

root@ip-172-31-83-158:~# curl ifconfig.me
54.243.6.37

访问Open WebUI。

创建账号，这个是本地账号，随便添加账号信息即可。

选择ollama中的模型，聊天测试。

可以直接拉取目前ollama没有的模型。

与下载的新模型进行对话。

四、文档链接

• [1] Dockerhub ollama镜像文件：https://hub.docker.com/r/ollama/ollama
• [2] ollama keepalive：https://github.com/ollama/ollama/pull/3094
• [3] Open WebUI Github：https://github.com/open-webui/open-webui

这篇文章介绍了Hugging Face平台和它的核心产品。演示了如何在AWS EC2实例上，从Hugging Face Hub下载并运行Qwen2-0.5B-Instruct模型。最后，还展示了如何用Gradio图形化界面与Qwen LLM进行聊天对话。

一、Hugging Face 简介

Hugging Face是一家美国公司，成立于2016年，起初是为青少年开发聊天机器人应用程序。后来，Hugging Face转型为专注于机器学习的平台公司，推出了多款促进NLP（自然语言处理）技术发展的产品。主要产品有：

1. 预训练模型：Hugging Face提供了一系列优秀的预训练NLP模型，如BERT、GPT、RoBERTa等，这些模型在多项任务中表现出色。
2. Transformers库：Hugging Face开发了名为transformers的Python库，支持PyTorch和TensorFlow等深度学习框架，提供了加载、微调和使用预训练模型的便捷工具。
3. NLP工具：他们提供了多种NLP相关工具，如文本生成、文本分类和命名实体识别，帮助开发者快速构建NLP应用。
4. Hugging Face Hub：这是一个集中式的Web平台，类似于GitHub，托管基于Git的代码仓库、模型和数据集，并支持项目讨论和拉取请求。
5. Hugging Face Spaces：Hugging Face Spaces是一个允许用户轻松部署和分享AI应用的平台。。它提供了一个易于使用的GUI，使用户能够快速创建和部署Web托管的ML应用。2021年底，Hugging Face宣布收购了Gradio。Gradio是一个开源Python包，允许用户快速为机器学习模型、API或任何Python函数构建交互式演示或Web应用程序，无需编写HTML、CSS或JavaScript代码。

二、大模型竞技场与排名

另外在Hugging Face可以查看各个大模型的排行榜，例如下面的开源大模型排行榜 [1]。

由LMSYS维护的大模型聊天竞技场，收集人类对大模型聊天回复的反馈，进行排名 [2]。

发送的问题会同时给两个模型进行回复，根据回复内容进行投票，一共4个选项，A胜、B胜、平手或者都不行。投票后会显示回复的大模型版本。

三、Hugging Face Spaces 使用

Hugging Face Spaces是一个允许用户轻松部署和分享AI应用的平台，很多大模型都会在Spaces上发布不同版本的模型，为大家提供测试。例如下面是Qwen的Spaces空间https://huggingface.co/Qwen [3]。

点击进入Qwen2-72B-Instruct Chat，可以进行聊天测试。

四、EC2 本地运行 Qwen2-0.5B-Instruct 模型

这部分演示一下，通过EC2下载和启动Qwen2-0.5B-Instruct模型。我选择Deep Learning类型的AMI，这个类型的AMI已经预先安装了英伟达的驱动。

选择Ubuntu或者Amazon Linux2023都可以，这里我选择Ubuntu22.04版本的镜像。

选择g4dn.xlarge，带有1个NVIDA T4显卡，共有16GB GPU，这是带有英伟达显卡最便宜的实例。

实例已经预装了英伟达驱动，启动之后通过nvidia-smi命令查看一下GPU信息。

root@ip-172-31-83-158:~# nvidia-smi
Fri Jul  5 03:34:19 2024
+---------------------------------------------------------------------------------------+
| NVIDIA-SMI 535.183.01             Driver Version: 535.183.01   CUDA Version: 12.2     |
|-----------------------------------------+----------------------+----------------------+
| GPU  Name                 Persistence-M | Bus-Id        Disp.A | Volatile Uncorr. ECC |
| Fan  Temp   Perf          Pwr:Usage/Cap |         Memory-Usage | GPU-Util  Compute M. |
|                                         |                      |               MIG M. |
|=========================================+======================+======================|
|   0  Tesla T4                       On  | 00000000:00:1E.0 Off |                    0 |
| N/A   33C    P8               9W /  70W |      2MiB / 15360MiB |      0%      Default |
|                                         |                      |                  N/A |
+-----------------------------------------+----------------------+----------------------+
+---------------------------------------------------------------------------------------+
| Processes:                                                                            |
|  GPU   GI   CI        PID   Type   Process name                            GPU Memory |
|        ID   ID                                                             Usage      |
|=======================================================================================|
|  No running processes found                                                           |
+---------------------------------------------------------------------------------------+

进入Qwen2-0.5B-Instruct页面https://huggingface.co/Qwen/Qwen2-0.5B-Instruct ，拷贝模型链接 [5]。

要下载模型文件，需要先安装git-lfs，否则不会下载项目中的大型文件。

Git LFS（Large File Storage）是一个Git扩展工具，用于高效管理大文件。它通过将大文件存储在单独的LFS存储库中，避免了Git仓库体积过大，提升了项目管理效率。Git LFS特别适用于需要处理大型文件的项目，如音乐、图片、视频等。该工具易于安装和配置，并且在多个平台上有良好的支持。

root@ip-172-31-83-158:~# apt update -y
root@ip-172-31-83-158:~# apt install git-lfs -y

下载模型文件

root@ip-172-31-83-158:~# git clone https://huggingface.co/Qwen/Qwen2-0.5B-Instruct

查看模型文件

root@ip-172-31-83-158:~# cd Qwen2-0.5B-Instruct/

root@ip-172-31-83-158:~/Qwen2-0.5B-Instruct# ll -h
total 954M
drwxr-xr-x 3 root root 4.0K Jul  5 03:36 ./
drwx------ 8 root root 4.0K Jul  5 03:36 ../
drwxr-xr-x 9 root root 4.0K Jul  5 03:36 .git/
-rw-r--r-- 1 root root 1.5K Jul  5 03:36 .gitattributes
-rw-r--r-- 1 root root  12K Jul  5 03:36 LICENSE
-rw-r--r-- 1 root root 3.5K Jul  5 03:36 README.md
-rw-r--r-- 1 root root  659 Jul  5 03:36 config.json
-rw-r--r-- 1 root root  242 Jul  5 03:36 generation_config.json
-rw-r--r-- 1 root root 1.6M Jul  5 03:36 merges.txt
-rw-r--r-- 1 root root 943M Jul  5 03:36 model.safetensors
-rw-r--r-- 1 root root 6.8M Jul  5 03:36 tokenizer.json
-rw-r--r-- 1 root root 1.3K Jul  5 03:36 tokenizer_config.json
-rw-r--r-- 1 root root 2.7M Jul  5 03:36 vocab.json

安装python包依赖，这三个python包都比较大，下载时间较长。

root@ip-172-31-83-158:~# pip install transformers torch accelerate

国内可以指定pip安装源。

pip install transformers torch -i https://pypi.tuna.tsinghua.edu.cn/simple

拷贝官方提供的快速启动脚本，这里我修改模型的路径为绝对路径"/root/Qwen2-0.5B-Instruct"，Prompt修改为"你是谁？"，增加了打印响应结果。

vim /root/qwen0.5b-demo.py

from transformers import AutoModelForCausalLM, AutoTokenizer
device = "cuda" # the device to load the model onto

model = AutoModelForCausalLM.from_pretrained(
    "/root/Qwen2-0.5B-Instruct",
    torch_dtype="auto",
    device_map="auto"
)
tokenizer = AutoTokenizer.from_pretrained("Qwen/Qwen2-0.5B-Instruct")

prompt = "你是谁？"
messages = [
    {"role": "system", "content": "You are a helpful assistant."},
    {"role": "user", "content": prompt}
]
text = tokenizer.apply_chat_template(
    messages,
    tokenize=False,
    add_generation_prompt=True
)
model_inputs = tokenizer([text], return_tensors="pt").to(device)

generated_ids = model.generate(
    model_inputs.input_ids,
    max_new_tokens=512
)
generated_ids = [
    output_ids[len(input_ids):] for input_ids, output_ids in zip(model_inputs.input_ids, generated_ids)
]
response = tokenizer.batch_decode(generated_ids, skip_special_tokens=True)[0]
print(response)

运行脚本，查看模型返回结果。

root@ip-172-31-83-158:~# python3 qwen0.5b-demo.py
Special tokens have been added in the vocabulary, make sure the associated word embeddings are fine-tuned or trained.
The attention mask is not set and cannot be inferred from input because pad token is same as eos token.As a consequence, you s `attention_mask` to obtain reliable results.
我是阿里云开发的一款超大规模语言模型，我叫通义千问。

查看GPU消耗。

ubuntu@ip-172-31-83-158:~$ nvidia-smi
Fri Jul  5 03:51:05 2024
+---------------------------------------------------------------------------------------+
| NVIDIA-SMI 535.183.01             Driver Version: 535.183.01   CUDA Version: 12.2     |
|-----------------------------------------+----------------------+----------------------+
| GPU  Name                 Persistence-M | Bus-Id        Disp.A | Volatile Uncorr. ECC |
| Fan  Temp   Perf          Pwr:Usage/Cap |         Memory-Usage | GPU-Util  Compute M. |
|                                         |                      |               MIG M. |
|=========================================+======================+======================|
|   0  Tesla T4                       On  | 00000000:00:1E.0 Off |                    0 |
| N/A   37C    P0              32W /  70W |   1313MiB / 15360MiB |      0%      Default |
|                                         |                      |                  N/A |
+-----------------------------------------+----------------------+----------------------+

+---------------------------------------------------------------------------------------+
| Processes:                                                                            |
|  GPU   GI   CI        PID   Type   Process name                            GPU Memory |
|        ID   ID                                                             Usage      |
|=======================================================================================|
|    0   N/A  N/A      3152      C   python3                                    1308MiB |
+---------------------------------------------------------------------------------------+

Qwen Gradio 图形化界面

命令行进行对话并不方便，可以使用官方提供的web_demo.py脚本 [6]，通过图形化页面进行对话，脚本网址是https://github.com/QwenLM/Qwen2/blob/main/examples/demo/web_demo.py。

安装脚本所需要的依赖，前面已经安装过transformers torch accelerate这三个库了，这里只需要安装gradio即可。

root@ip-172-31-83-158:~# pip install gradio

运行脚本，-- server-name 0.0.0.0允许所有地址进行访问，--checkpoint-path /root/Qwen2-0.5B-Instruct指定模型文件所在目录。

root@ip-172-31-83-158:~# python3 web_demo.py --server-name 0.0.0.0 --checkpoint-path /root/Qwen2-0.5B-Instruct

使用公网地址加上8000端口打开网页查看。

五、文档链接

• [1] 开源大模型排行榜：https://huggingface.co/spaces/open-llm-leaderboard/open_llm_leaderboard
• [2] 大模型聊天竞技场： https://huggingface.co/spaces/lmsys/chatbot-arena-leaderboard
• [3] Qwen 的 Spaces 空间：https://huggingface.co/Qwen
• [4] Qwen2-72B-Instruct Spaces 空间：https://huggingface.co/spaces/Qwen/Qwen2-72B-Instruct
• [5] Qwen2-0.5B-Instruct 模型下载地址： https://huggingface.co/Qwen/Qwen2-0.5B-Instruct
• [6] Qwen2 网页demo代码 https://github.com/QwenLM/Qwen2/blob/main/examples/demo/web_demo.py

本文介绍了AWS EC2 GPU实例的性能与费用对比，帮助大家选择适合自己需求的实例类型。文中对比了全球区和中国区的实例价格，并推荐了几种性价比较高的实例类型。还简要介绍了各类GPU实例的特点和性能差异，为需要在AWS上运行大模型的场景提供一些参考。

一、实例性能与费用对比

想要在本地运行大模型（LLM），一定少不了GPU，这里介绍一下目前在AWS上全球区和中国区所有带英伟达的 GPU EC2实例 [1]。

我整理了一张表格，用与对比各个实例的性能参数与价格。对于性能主要考虑显卡的型号、显卡数量、总GPU内存大小。

对于实例价格，AWS 全球区域选取了俄亥俄州区域（us-east-2）作为参考 [2]，表格展示了每小时的按需费用，以及按照汇率7.2折算成人民币的价格。中国区选取了宁夏区域（cn-northwest-1）作为参考 [3]，有些实例类型宁夏区域未上线，费用使用/表示。

从GPU大小和费用来看，下面几个实例类型是比较推荐的：

• g4dn.xlarge：配备1个NVIDIA T4显卡，共16GB GPU。是带有NVIDIA显卡最便宜的实例，适合运行小模型，如使用ollama init4量化的Qwen2-7B、Baichuan-13B。宁夏区域按需实例费用为3.711元/小时。
• g4dn.12xlarge：配备4个NVIDIA T4显卡，共64GB GPU。适合需要更大GPU的模型，g4dn中间档的实例类型只是增加了CPU和内存，并没有增加GPU，g4dn类型如果需要更大的GPU向上只能选择12xlarge。宁夏区域按需实例27.596元/小时。
• g5.xlarge：配备1个NVIDIA A10G显卡，共24GB GPU。这是我最常用的实例类型，适合需要大于16GB但小于24GB GPU的场景，例如Ollama运行Qwen1.5-32B init4版本，这个版本会消耗19GB GPU。宁夏区域按需实例费用为6.701元/小时。
• g5.12xlarge：配备4个NVIDIA A10G显卡，共96GB GPU。适合运行更大模型，例如Qwen2-72B init4版本需要约43GB GPU。宁夏区域按需实例费用为40.206元/小时。
• g6.xlarge：配备1个NVIDIA L4显卡，共24GB GPU。宁夏区域没有此实例类型，全球区目前上线的也较少，如果能启动此实例，相对g4dn.xlarge性价比更高。us-east-2按需实例费用折算成人民币为5.796元/小时。

二、GPU实例类型特点简介

实例一般选新不选旧：最新实例通常配备更先进的硬件和技术，提供更高性能和更低成本。例如，P5实例相较于上一代P4实例在性能和成本上有明显优势。

• P5实例：使用NVIDIA H100 Tensor Core GPU，适用于深度学习和高性能计算（HPC）应用，具有Nitro架构，提供最高性能和40%的成本节约。
• P4实例：使用NVIDIA A100 GPU，适合大模型训练和HPC，支持400 Gbps网络。
• P3实例：使用NVIDIA V100 GPU，适用于机器学习和HPC，提供高达100 Gbps网络带宽，加快训练时间。
• P2实例：使用NVIDIA K80 GPU，提供强大并行计算性能，适用于机器学习和科学计算应用。
• G6实例：使用NVIDIA L4 GPU，适用于深度学习推理和图形密集型工作负载，比前代提升2倍性能。
• G5g实例：使用AWS Graviton2处理器和NVIDIA T4G GPU，适合Android游戏流和经济高效的机器学习推理，提供最佳性价比。
• G5实例：使用NVIDIA A10G GPU，提供图形密集型应用和机器学习推理的高性能，比前代提升3倍。
• G4实例：使用NVIDIA T4或AMD Radeon Pro V520 GPU，提供成本效益高的GPU性能，适用于机器学习推理和图形密集型应用，具有Nitro架构。

三、英伟达显卡型号对比

NVIDIA L4：最新发布，基于Ada Lovelace架构，具有高AI和图形处理性能，适用于视频处理、AI计算和图形工作负载。其24GB GDDR6显存和较低功耗在性能和能效方面表现出色 [4]。

NVIDIA A10G：基于Ampere架构，专为机器学习推理和图形密集型应用设计。拥有24GB显存和高计算能力，适合需要高性能计算和快速数据传输的任务，但其功耗较高 [5]。

NVIDIA T4：基于Turing架构，主要用于AI推理和多样化的云工作负载。尽管发布较早，但其良好的能效比和优化设计使其在许多场景下仍具竞争力 [6]。

四、文档链接

• [1] Amazon EC2实例类型：https://aws.amazon.com/cn/ec2/instance-types/
• [2] Amazon 俄亥俄州EC2按需实例价格：https://aws.amazon.com/cn/ec2/pricing/on-demand/
• [3] Amazon 宁夏区域EC2按需实例价格：https://www.amazonaws.cn/ec2/pricing/ec2-linux-pricing/
• [4] NVIDIA A10G 显卡：https://www.nvidia.com/en-us/data-center/products/a10-gpu/
• [5] NVIDIA A10G 显卡：https://www.nvidia.com/en-us/data-center/l4/
• [6] NVIDIA A10G 显卡：https://www.nvidia.com/en-us/data-center/tesla-t4/

本篇文档介绍了在 AWS 上配置 Palo Alto GlobalProtect VPN 的完整流程。内容包括实例启动和初始化、防火墙接口配置、证书创建、认证方式设置、区域和地址池的建立、VPN 网关和门户的配置、客户端安装和连接测试、安全策略及 NAT 配置、保留客户端原始 IP 地址的 Ghost Pool 方法，以及主机信息收集（HIP）与授权许可的应用。

实验拓扑

一、AWS 启动 Paloalto 实例

实例启动较慢，大约需要 10 分钟才能通过SSH登录。这里选择PAYG类型的实例（pay-as-you-go），实例启动后带有Paloalto的授权许可。

实例设置两块网卡时，需要禁用自动分配公有 IP 功能。只有一块网卡时，才会自动分配公有 IP。

Paloalto 实例默认的第一个接口（索引标识为 0）是防火墙的管理接口，第二个网卡（索引标识为 1）是防火墙的 e1/1 接口。

我提前提前配置了安全组，放行当前公网 IP 的所有流量。管理接口需放行 SSH 和 HTTPS 流量，VPN 接口需放行面向互联网的 HTTPS 流量。

添加第二个网络接口，默认为防火墙的e1/1数据接口。

为防火墙实例分配两个弹性 IP 地址，管理接口的公网 IP 用于 SSH 和 HTTPS 登录配置，数据接口的公网 IP 用于 VPN 拨入。

二、Paloalto 实例初始化

使用用户名 admin 和密钥登录防火墙，然后修改 admin 的密码，并 commit 提交。

Welcome admin.
admin@PA-VM> configure
Entering configuration mode
[edit]
admin@PA-VM# set mgt-config users admin password
Enter password   :
Confirm password :

[edit]
admin@PA-VM# commit

Commit job 2 is in progress. Use Ctrl+C to return to command prompt
.........55%75%98%..............100%
Configuration committed successfully

[edit]
admin@PA-VM#

设置防火墙 e1/1 数据接口，放行 ping、https 等管理流量，设置接口为 DHCP 自动获取 IP 地址，关联 default 虚拟路由器，关联到 untrust zone。

注意：生产环境中，VPN 拨入接口不要允许 HTTP、HTTPS、Telnet 或 SSH 协议，因为 VPN 接口面向互联网开放，可能造成安全隐患。

set network profiles interface-management-profile MgtProfile http yes
set network profiles interface-management-profile MgtProfile https yes
set network profiles interface-management-profile MgtProfile ssh yes
set network profiles interface-management-profile MgtProfile ping yes

set network interface ethernet ethernet1/1 layer3 interface-management-profile MgtProfile
set network interface ethernet ethernet1/1 layer3 dhcp-client

set network virtual-router default interface ethernet1/1
set zone untrust network layer3 ethernet1/1

commit

通过管理接口的公网 IP 登录防火墙。如果遇到浏览器证书报错或无法登录，尝试清空缓存重试或使用无痕窗口登录，使用初始化设置的密码。

三、Paloalto 配置 GlobalProtect

3.1 Portal 与 Gateway

GlobalProtect Portal 提供集成设施的管理功能，为客户端提供配置信息，包括 Gateway 信息以及所需证书。此外，Portal 还提供 GlobalProtect 客户端软件下载页面。GlobalProtect Gateway 则与客户端之间建立加密隧道。

在大多数场景下，Portal 和 Gateway 都运行在同一台防火墙上。当公司在全国或者全球有多个数据中心，可以配置多个 Gateway，可以自动选择延迟最低的 Gateway节点作为流量转发。这个场景下，配置一个 Portal 作为客户端的初始连接点，并在不同数据中心配置多个 Gateway。客户端上的 GlobalProtect 首先会与 Portal 连接，获取配置文件并查看可用的 Gateway 节点，然后根据配置的优先级和延时自动选择合适的 Gateway 建立连接。

3.2 创建证书

在开始配置之前，以下是配置步骤的总结，以避免遗漏：

启动 AWS 上的 Paloalto PAYG 类型实例。
初始化 Paloalto 实例，设置 admin 密码，配置数据接口，并关联弹性 IP 地址。
证书配置：创建根证书并签发 VPN 证书，将根证书导入到客户端。
SSL 配置：设置 TLS 协议版本。
认证配置：创建本地用户和认证配置文件。
创建区域和 tunnel 接口：将接口加入区域，并创建 VPN 地址池。
创建 Gateway：指定服务接口，关联认证、隧道和地址池，配置隧道分割和 DNS 服务器。
创建 Portal：指定服务接口，关联认证并配置代理（指定 Gateway 和证书）。
下载并激活 GlobalProtect 客户端。
配置安全策略及 NAT：放行 VPN 区域的流量，并将流量源地址转换为防火墙的出接口地址。
测试：通过 Portal 下载客户端并连接，测试内网连通性。
测试 Ghost Pool 方式的连通性。
通过以上步骤，您可以在 AWS 环境中高效

在 “Device”-“证书管理”-“证书” 下，创建根证书，名称为 VPN-Root-CA，勾选 “证书授权办法机构”，点击生成证书。

利用生成的根证书签发 VPN 证书，并在证书中添加 IP 属性，填写防火墙数据接口的公网 IP 地址。

导出根证书。

安装根证书到个人电脑。

导入到“受信任的根证书颁发机构”中。

创建 SSL/TLS 服务配置文件，调用创建的 VPN 证书，设置 TLS 协商的最低版本为 TLSv1.1 以上，禁用 TLSv1.0。

3.3 认证方式

创建本地用户用于 VPN 拨号认证。

创建认证配置文件，名称为 gp_vpn_auth_profile。

在 “高级” 设置中只允许创建的用户认证。

3.4 创建区域、tunnel接口、地址池

在 “Network”-“区域” 下，创建一个新的区域，名称为 GP-VPN，类型为第三层，后续的 tunnel 接口会加入该区域。

勾选 “启用用户标识”，即 User-ID，在用户认证后，将用户与 IP 地址映射到防火墙中，便于监控和控制网络流量。

创建 tunnel 接口，指定用户 VPN 流量通过 tunnel 接口进入。

创建 VPN 地址池，拨号后分配给客户端。

3.5 创建VPN Gateway

在 “Network”-“GlobalProtect”-“网关”-“常规” 下，创建名称为 GP_VPN_GW 的网关，关联 e1/1 接口，勾选记录 SSL 握手成功的日志。

在 “Network”-“GlobalProtect”-“网关”-“身份验证” 下，调用前面创建的 SSL/TLS 配置文件。添加 “客户端身份验证”，名称为 gp_vpn_gw_client，调用前面创建的身份验证配置文件。

配置 “代理”-“隧道设置”，启用 “隧道模式”，调用前面创建的隧道接口 tunnel.1，取消勾选 “启用 IPsec”，使用 TLS 加密。除非需要动态路由，否则隧道接口上不需要 IP 地址。

配置 “代理”-“客户端设置”，添加配置文件，名称为 gp_client_config。

选择 “IP 池”，调用前面创建的 VPN 地址池，地址范围为 192.168.1.0/24。

配置隧道分割，即只有当客户端去往 172.31.0.0/16 网段时，流量才会进入 VPN 通道。

配置推送的 DNS 服务器，客户端拨号后，在客户端上会有去往 DNS 服务器的主机路由，DNS 流量会经过 VPN 隧道。

这里可以设置VPN客户端的超时时间等配置。

3.6 创建VPN portals

创建 GlobalProtect 门户（Portal），配置名称为 gp_vpn_portal，关联 e1/1 接口。

配置身份验证，调用前面创建的 SSL/TLS 配置文件，创建客户端身份验证，依然调用前面创建的身份验证配置文件。

配置 “代理”，创建 Agent 配置文件。

在 “外部” 设置中，配置外部网关，用户拨入时首先联系 Portal，由 Portal 分配可用的网关。如果有多个网关，可以根据 IP 地址段和国家设置网关优先级。

在 “代理” 下，添加关联前面创建的根证书。

3.7 下载激活 GlobalProtect

下载最新版本的GlobalProtect客户端。

激活GlobalProtect客户端。

四、安全策略及NAT配置

在 “Policies”-“安全” 下，创建新的安全规则，名称为 GP_VPN_To_Any。

源限制为 GP-VPN 区域的 VPN 地址池

目的去往 any。

查看放行的安全策略。

配置 NAT，将来自 VPN 地址池的源 IP 地址转换为防火墙 e1/1 出接口地址。

定义原始数据包，来自 GP-VPN 区域，目标区域为 untrust，源地址为 VPN 地址池。

配置转换后的数据包，将源地址动态转换为防火墙的 e1/1 接口地址。

查看PAT配置。

提交配置。

五、测试

在浏览器地址栏输入防火墙的数据接口公网 IP 地址，访问 Paloalto GlobalProtect Portal 页面。输入防火墙配置的本地用户名和密码。

下载对应的GlobalProtect客户端。

安装 GlobalProtect 客户端后，输入防火墙的公网 IP 地址，进行 VPN 拨入。

输入用户名和密码。

拨入后，查看“设置”。

查看连接状态。

在 Paloalto 防火墙所在 VPC 新建一个 EC2，模拟内部服务器，查看内网地址。

VPN 拨号后，ping 测试内部地址。

在防火墙上查看 ping 流量。

查看 GlobalProtect 的拨号记录。

在客户端上查看路由表，去往 DNS 服务器的主机路由和去往 172.31.0.0/16 网段的流量通过 192.168.1.1。

C:\>route print
IPv4 路由表
===========================================================================
活动路由:
网络目标        网络掩码          网关       接口   跃点数
          8.8.8.8  255.255.255.255            在链路上       192.168.1.1      1
  114.114.114.114  255.255.255.255            在链路上       192.168.1.1      1
       172.31.0.0      255.255.0.0            在链路上       192.168.1.1      1
   172.31.255.255  255.255.255.255            在链路上       192.168.1.1    257
      192.168.1.1  255.255.255.255            在链路上       192.168.1.1    257
  255.255.255.255  255.255.255.255            在链路上       192.168.1.1    257

查看客户端的网卡信息，拨号后创建虚拟网卡，去往 VPN 的流量会送到该网卡进行加密封装。

抓包这个虚拟网卡的流量，可以看到加密前的流量。

抓包本地连接的出口网卡，只能看到TLS加密流量。

六、Ghost Pool 保留客户端原始IP地址

防火墙使用 NAT 转换客户端的源 IP 地址，是快速解决路由问题的方法，但后台服务器无法看到客户端的原始 IP 地址，只能看到防火墙的地址。为了让后端服务器查看到原始客户端 IP 地址，可以通过配置路由解决 VPN 路由问题。这种方式称为 “Ghost Pool”。

客户端分配地址为 192.168.1.0/24，在 AWS 上需要解决服务器到该网段的流量送到 Paloalto 防火墙的 e1/1 数据口。因为客户端地址池网段在 AWS VPC 中并不存在，所以称这种方式为 “Ghost Pool”。

在后端服务器所在子网的路由表中，添加去往 192.168.1.0/24 网段的流量，指向防火墙的 e1/1 接口。

因为Paloalto防火墙需要转发流量，所以需要关闭“源/目标检查”。使用NAT方式时，不用关闭这个特性。

停止检测“源/目标检查”。

禁用防火墙上的NAT配置。

客户端 ping 后端服务器测试，当禁用 NAT 并 commit 后，客户端无法与后端服务器通信。当添加路由和关闭“源/目标检查”后，又可以进行连通。

七、主机信息收集(HIP)与授权许可

在 AWS 上启动 EC2 时选择 PAYG（pay-as-you-go）类型的实例，实例启动后带有 Paloalto 的授权许可。查看许可，如果选择 BYOL（Bring-Your-Own-License），则需自行导入 License。

VPN 拨入时，根据客户端状态进行授权，需要使用 HIP（Host Information Profile）Checks 功能。启用 Gateway 功能的防火墙需对应许可，以下列出哪些功能需要 Gateway License。

想要检测主机的HIP信息，需要先在Object中定义HIP对象。

然后在“网关”-“代理”-“HIP通知”中调用。

八、文档链接

• Paloalto GlobalProtect Docs：https://docs.paloaltonetworks.com/globalprotect/10-1/globalprotect-admin/globalprotect-overview/about-the-globalprotect-components
• Palo Alto Global Protect VPN Configuration Example：https://www.packetswitch.co.uk/palo-alto-global-protect-vpn-configuration-example/

Palo Alto Networks 防火墙上配置QoS需要配置三个部分，分别是QoS Profile、QoS Policy以及 QoS 出口接口的设置。

先创建QoS Profile，其中设置不同类（class）的带宽大小，然后设置Qos Policy，其中定义流量所属的类（class），最后在QoS出接口调用QoS Profile文件即可。

创建QoS Profile，定义不同类能享用的带宽。这里使用的是VM-100实例，最大带宽为2Gbps，所以配置QoS策略时，可以设置最大带宽为2000Mpbs。

配置QoS Policy，将匹配到到的流量设置为Class 8。

配置QoS接口，设置接口变量，因为两个防火墙QoS出接口都是e1/1，所以不用分别推送CSV文件了。另外设置接口的最大带宽为2000Mbps，接口调用QoS Profile文件。

最后将配置推送到防火墙上，如果配置不同步，需要强制推送。

在EC2上下载speedtest测试脚本，为脚本赋予运行权限，然后运行脚本测试。

wget https://raw.githubusercontent.com/sivel/speedtest-cli/master/speedtest.py
chmod +x speedtest.py
./speedtest.py

脚本允许结果，可以看到速度有明显的限制。

root@ip-10-110-30-48 ~]# ./speedtest
Retrieving speedtest.net configuration...
Testing from Ningxia West Cloud Data Technology Co.Ltd. (68.79.62.10)...
Retrieving speedtest.net server list...
Selecting best server based on ping...

Hosted by Lanzhou,China Mobile,Gansu (Lanzhou) [238.42 km]: 28.768 ms
Testing download speed................................................................................
Download: 18.32 Mbit/s
Testing upload speed................................................................................................
Upload: 13.96 Mbit/s

在未做限速的EC2上测试，可以看到速度没有任何限制。

[root@ip-10-110-40-8 ~]# ./speedtest.py
Retrieving speedtest.net configuration...
Testing from Ningxia West Cloud Data Technology Co.Ltd. (68.79.62.10)...
Retrieving speedtest.net server list...
Selecting best server based on ping...
Hosted by Lanzhou,China Mobile,Gansu (Lanzhou) [238.42 km]: 21.485 ms
Testing download speed................................................................................
Download: 627.35 Mbit/s
Testing upload speed................................................................................................
Upload: 422.06 Mbit/s

登录到Paloalto防火墙上，查看QoS接口状态，可以看到流量限速情况。

参考文档

• Palo Alto Networks – Configure Quality of Service (QoS)：https://faatech.be/palo-alto-networks-configure-qos/
• VM-Series Performance and Capacity：https://docs.paloaltonetworks.com/vm-series/10-2/vm-series-performance-capacity/vm-series-performance-capacity

Panorama 可以聚合所有管理防火墙的日志，并显示网络中所有流量的信息。此外，它还提供了所有策略修改的审核记录和对受管防火墙所作的配置更改。

一、Panorama集中收集日志

新建日志收集器，填入Panorama的序列号，配置提交到Panorama。

添加一块磁盘，因为虚拟机在启动时，已经添加过一块2TB的磁盘，所以这里可以直接识别出来。配置完后继续提交到Panorama。

新建收集组，设置日志保留时间，添加刚才创建的收集器。配置完后，配置提交并推送到防火墙设备。

查看收集器状态，如果收集组的配置没有推送到防火墙，可能遇见“Ring version mismatch”的报错。

编辑需要记录日志的策略，设置日志转发到IoT Security Default Profile，这是一个默认的日志策略，会记录所有日志信息。

如果防火墙已经修改过默认策略，那么Panorama是无法推送默认策略到防火墙上的，需要先在防火墙上点击Revert同步Panorama的策略，之后才能接受来自Panorama的策略。

等待一会，在Panorama上查看日志信息。

二、AWS 上Panorama添加日志硬盘

Panorama文档推荐日志都使用2TB的硬盘：

• AWS 上的 Panorama 虚拟设备仅支持 2TB 日志磁盘，总共支持高达 24TB 的日志存储。您无法添加小于 2TB 的日志记录磁盘，或大小不能被 2TB 日志记录磁盘要求整除的日志记录磁盘。Panorama 虚拟设备将大于 2TB 的日志记录磁盘分区为 2TB 分区。

在AWS上新建一个2048GB的存储卷。注意，卷需要与Panorama在同一个可用区。

创建完成后挂载这个卷。

挂载到Panorama实例上。

查看Panorama实例的存储信息。

通过SSH登录Panorama，查看磁盘状态，可以看到多了一块xvdf磁盘，但是状态为Unavailable。

admin@Panorama> show system disk details

Name   : xvdb
State  : Present
Size   : 2097152 MB
Status : Available
Reason : Admin enabled

Name   : xvdf
State  : Present
Size   : 2097152 MB
Status : Unavailable
Reason : Admin disabled

请求使用这个磁盘。

admin@Panorama> request system disk add xvdf
Executing this command will delete all data on the drive being added. Do you want to continue? (y or n)

This may take few minutes. Run 'show system disk details' to see the status

再次查看磁盘状态，磁盘已经可用。

admin@Panorama> show system disk details

Name   : xvdb
State  : Present
Size   : 2097152 MB
Status : Available
Reason : Admin enabled

Name   : xvdf
State  : Present
Size   : 2097152 MB
Status : Available
Reason : Admin enabled

在Panorama收集器上添加磁盘，并将配置提交推送。

查看Panorama收集器状态。

1.1 设备组层次结构

Panorama会管理很多防火墙，Panorama修改防火墙配置时，往往会同时修改很多防火墙的配置。通过将防火墙加入相同的设备组，就可以共享设备组中的Policy（策略）和Objects（对象）。一般依据地理位置、功能特性等来划分设备组。

Panorama上创建一个设备组之后，会出现Policy和Objects的选项。

设备组的主要目的是绑定Policy和Objects

• 防火墙设备必须要要加入一个设备组。
• 设备组有层级关系，最多含有4个层级。较低层次的设备组会继承较高层次设备组的Policy和Objects。
• 默认的Shared设备组，位于最顶层。

设备组的层次结构示例。

下面是按照地理位置划分设备组的一个示例，并将防火墙添加到了SecVpc-Firewall这个设备组。

Panorama添加防火墙到设备组后，需要将配置提交并推送到防火墙才会生效。如果未推送成功，可以选择强制推送到设备（Push to Devices--Edit Selections--OK）

1.2 设备组策略

防火墙按照层级和类型，从上到下的评估策略规则，当防火墙收到流量时，将执行第一个匹配到策略的规则，并忽略后面的规则。

Panorama上可以设置Pre Rules、Post Rules、Default Rules三种规则类型。

• Pre Rules（前导规则），会推送到防火墙本地策略的前面。
• Post Rules（后续规则），会推送到防火墙本地策略的后面。
• Default Rules（默认规则），可以修改防火墙的默认策略。

在Paloalto防火墙上查看策略规则，其中从Panorama集成的规则和默认规则都是橙色。本地防火墙的策略在中间。

Paloalto防火墙上策略的优先级如下：

• Shared Pre Rules（共享前导规则），可以通过共享前导规则将策略推送到所有防火墙上，可以强制配置一些统一策略。本地管理员无法修改此策略，只能在Panorama上管理。
• Device Group Pre Rules（设备组前导规则），通过设备组前导规则，可以推送到指定的防火墙上，应用一些设备组内的特性规则。本地管理员无法修改此策略，只能在Panorama上管理。
• Local Firewall Rules（本地防火墙规则），本地防火墙管理员，或者Panorama管理员切换到指定防火墙模式，都可以编辑本地防火墙规则。
• Device Group Post Rules（设备组后续规则），通过设备组前导规则，可以推送到指定的防火墙上。本地管理员无法修改此策略，只能在Panorama上管理。
• Shared Post Rules（共享后续规则），可以通过共享前导规则将策略推送到所有防火墙上。本地管理员无法修改此策略，只能在Panorama上管理。
• intrazone-default（区域内默认），区域内默认规则允许区域内的所有流量。默认规则一开始处于只读状态，可以在Panorama上修改默认规则，也可以在防火墙上覆盖从Panorama推送的规则。
• interzone-default（区域间默认），区域间默认规则拒绝区域间的所有流量。

当Paloalto防火墙的默认规则，与Panorama默认规则不一致时，会显示绿色和橙色的齿轮。此时Panorama的配置无法推送到防火墙上。可以点击Revert（恢复）将防火墙配置与Panorama同步。

同步之后，防火墙上配置为绿色齿轮。如果防火墙想要修改这个默认规则，也可以点击Override(替代)来修改默认策略。

二、模板和堆栈

2.1 模板与堆栈简介

通过模板可以非常方便的让多个防火墙保持相同的**网络（Network）和设备（Device）**配置。例如通过模板定义接口和区域、配置NTP服务器、DNS服务器、syslog日志服务器，或者VPN配置。

• 堆栈（Stack）是一个容器，可以关联多个模板配置文件。Panorama会从上到下的评估堆栈中的模板，模板排位越高，优先级也越高。
• 模板和模板堆栈支持变量。可以为变量值创建占位符，用于替换IP地址、接口等信息。
• 防火墙可以覆盖来自模板的配置，当防火墙覆盖配置后，会将这个配置保存为本地配置，Panorama之后不会管理这个配置。想要恢复模板配置，可以在Panorama上将模板配置强制推送到防火墙。

当新建一个模板后，Panorama页面上方会多出两个模块，分别是NETWORK和DEVICE。

这里新建了两个堆栈，堆栈分别关联AWS上不同VPC的防火墙。每个堆栈会关联各自独特的模板，包含个性化的配置。堆栈同时也会关联全局模板，包含一些共性的配置。将个性化的模板放在上方，会有更高的优先级，会优先应用相关的策略。

Panorama依据上面的设计，新建了三个模板和两个堆栈，其中模板关联到对应的堆栈中，防火墙设备也关联上堆栈。

2.2 Panorama强制推送模板配置

当Panorama通过模板推送配置，在Paloalto防火墙上已经存在配置时，Paloalto防火墙不会应用来自模板的配置，除非在Panorama上选择强制推送。

在Paloalto防火墙上，绿色+红色齿轮表示防火墙配置与模板配置不一致，鼠标放在齿轮上会显示配置继承的模板名称。

在Panorama上选择强制推送模板配置。

强制推送完成后，Paloalto上配置会是绿色的齿轮，表示当前配置与模板配置一致。

2.3 Panorama模板设置变量

当长时间使用Panorama后，可能会为每一个防火墙都关联一个单独的模板，这显然违背了使用模板的目的，并没有简化管理配置工作。

可以利用变量，让功能相似的防火墙使用相同的模板，减少模板的数量。

变量一般用在与网络相关的配置上，例如IP地址、路由、VPN配置等。注意变量存在局限性，并不是模板里面的所有内容都可以使用变量。

这是变量支持的类型。

在Panorama上为Primary DNS Server创建一个变量，IP地址设置为None，暂时不填写，提交配置到Panorama。

Panorama需要提交刚才创建的变量，否则这里导出会报错。导出这个变量文件，文件为CSV格式，为两台防火墙设置变量对应的值。

导入修改后的CSV文件。

查看变量值内容，确认设置正常。推送配置到防火墙设备。

推送成功后，在两台防火墙上看到的Primary DNS Server与之前CSV中设置的变量一致。

三、文档链接

• Defining Policies on Panorama：https://docs.paloaltonetworks.com/pan-os/10-2/pan-os-web-interface-help/panorama-web-interface/defining-policies-on-panorama

• Overriding or Reverting a Security Policy Rule：https://docs.paloaltonetworks.com/pan-os/10-2/pan-os-web-interface-help/policies/policies-security/overriding-or-reverting-a-security-policy-rule

• AWS上Paloalto防火墙默认版本是10.2.2h2，Panorama默认版本是10.2.0，需要将Panorama升级到与Paloalto相同版本，或者更高的版本，否则Panorama无法查看日志。
• Paloalto防火墙VM-50型号只支持ESXi、Hyper-V和KVM平台，不支持AWS和其他云平台。

二、利用CloudFormation部署实验环境

Panorama主要用来管理多台防火墙，在AWS云上，对流量做集中安全检测一般会有多台防火墙，所以这里利用CloudFormation搭建了流量集中检测的LAB环境，然后利用Panorama管理这两台防火墙。

只启动两台防火墙和一台Panorama，也可以做大部分的测试，搭建流量集中检测环境是为了更加模拟真实环境。

利用CloudFormation创建实验环境，CloudFormation代码中不会创建Panorama，需要自行手动创建，也不会对Paloalto防火墙做初始化。

上传堆栈模板文件。

设置堆栈名称，选择EC2密钥。

允许创建IAM资源。

CloudFormation模板内容。堆栈需要七分钟左右创建完成，堆栈创建完成后，另外防火墙需要四分钟左右启动。

Mappings:
  RegionMap:
    cn-northwest-1:
      PA1022h2NWCD: ami-0738eadeed7e6b0fa

Parameters:
  EC2InstanceAmiId:
    Type: AWS::SSM::Parameter::Value<AWS::EC2::Image::Id>
    Default: '/aws/service/ami-amazon-linux-latest/amzn2-ami-hvm-x86_64-gp2'
  Environment:
    Type: String
    AllowedValues:
      - dev
      - prod
    Default: dev
  MyKeyPair:
    Description: Amazon EC2 Key Pair
    Type: AWS::EC2::KeyPair::KeyName
    Default: CloudFormation-Test-Key
  PaloaltoVersion:
    Description: Choice Paloalto Firewall Version Type
    Type: String
    Default: PA1022h2NWCD
    AllowedValues:
      - PA1022h2NWCD
  PaloaltoInstanceType:
    Description: Choice Paloalto Instance Type
    Type: String
    Default: m5.large
    AllowedValues:
      - m5.large
      - m5.4xlarge
Resources:
  BastionSsmRole:
    Type: AWS::IAM::Role
    Properties:
      AssumeRolePolicyDocument:
        Statement:
          - Effect: Allow
            Principal:
              Service:
                - ec2.amazonaws.com
            Action:
              - 'sts:AssumeRole'
      Path: /

  BastionSsmPolicy:
    Type: AWS::IAM::Policy
    Properties:
      PolicyName: PrivatelianceInstanceAccess
      PolicyDocument:
        Statement:
          - Effect: Allow
            Action:
              - ssm:DescribeAssociation
              - ssm:GetDeployablePatchSnapshotForInstance
              - ssm:GetDocument
              - ssm:DescribeDocument
              - ssm:GetManifest
              - ssm:GetParameter
              - ssm:GetParameters
              - ssm:ListAssociations
              - ssm:ListInstanceAssociations
              - ssm:PutInventory
              - ssm:PutComplianceItems
              - ssm:PutConfigurePackageResult
              - ssm:UpdateAssociationStatus
              - ssm:UpdateInstanceAssociationStatus
              - ssm:UpdateInstanceInformation
            Resource: "*"
          - Effect: Allow
            Action:
              - ssmmessages:CreateControlChannel
              - ssmmessages:CreateDataChannel
              - ssmmessages:OpenControlChannel
              - ssmmessages:OpenDataChannel
            Resource: "*"
          - Effect: Allow
            Action:
              - ec2messages:AcknowledgeMessage
              - ec2messages:DeleteMessage
              - ec2messages:FailMessage
              - ec2messages:GetEndpoint
              - ec2messages:GetMessages
              - ec2messages:SendReply
            Resource: "*"
      Roles:
        - !Ref BastionSsmRole

  BastionSsmProfile:
    Type: AWS::IAM::InstanceProfile
    Properties:
      Path: /
      Roles:
        - !Ref BastionSsmRole

#=============SecVpc============#
# 创建SecVpc
  SecVpc:
    Type: AWS::EC2::VPC
    Properties:
      CidrBlock: 10.100.10.0/16
      EnableDnsSupport: 'true'
      EnableDnsHostnames: 'true'
      Tags:
       - Key: Name
         Value: !Sub ${AWS::StackName}-SecVpc

# 创建IGW并且关联到VPC
  SecVpcIGW:
    Type: "AWS::EC2::InternetGateway"
    Properties:
      Tags:
        - Key: Name
          Value: !Sub ${AWS::StackName}-SecVpcIGW

  SecVpcAttachIgw:
    Type: "AWS::EC2::VPCGatewayAttachment"
    Properties:
      VpcId: !Ref SecVpc
      InternetGatewayId: !Ref SecVpcIGW

#-----------------SecVpc创建6个子网------------------#

# SecVpc AZ1内创建公有子网
  SecVpcAz1PublicSubnet:
    Type: AWS::EC2::Subnet
    Properties:
      VpcId: !Ref SecVpc
      CidrBlock: 10.100.10.0/24
      AvailabilityZone:
        Fn::Select:
          - 0
          - Fn::GetAZs: ""
      Tags:
      - Key: Name
        Value: !Sub ${AWS::StackName}-SecVpc-AZ1-Public-Subnet

# SecVpc AZ2内创建公有子网
  SecVpcAz2PublicSubnet:
    Type: AWS::EC2::Subnet
    Properties:
      VpcId: !Ref SecVpc
      CidrBlock: 10.100.20.0/24
      AvailabilityZone:
        Fn::Select:
          - 1
          - Fn::GetAZs: ""
      Tags:
      - Key: Name
        Value: !Sub ${AWS::StackName}-SecVpc-AZ2-Public-Subnet

# SecVpc AZ1内创建私有子网
  SecVpcAz1PrivateSubnet:
    Type: AWS::EC2::Subnet
    Properties:
      VpcId: !Ref SecVpc
      CidrBlock: 10.100.30.0/24
      AvailabilityZone:
        Fn::Select:
          - 0
          - Fn::GetAZs: ""
      Tags:
      - Key: Name
        Value: !Sub ${AWS::StackName}-SecVpc-AZ1-Private-Subnet

# SecVpc AZ2内创建私有子网
  SecVpcAz2PrivateSubnet:
    Type: AWS::EC2::Subnet
    Properties:
      VpcId: !Ref SecVpc
      CidrBlock: 10.100.40.0/24
      AvailabilityZone:
        Fn::Select:
          - 1
          - Fn::GetAZs: ""
      Tags:
      - Key: Name
        Value: !Sub ${AWS::StackName}-SecVpc-AZ2-Private-Subnet

# SecVpc AZ1内创建TGW子网
  SecVpcAz1TgwSubnet:
    Type: AWS::EC2::Subnet
    Properties:
      VpcId: !Ref SecVpc
      CidrBlock: 10.100.50.0/24
      AvailabilityZone:
        Fn::Select:
          - 0
          - Fn::GetAZs: ""
      Tags:
      - Key: Name
        Value: !Sub ${AWS::StackName}-SecVpc-AZ1-TGW-Subnet

# SecVpc AZ2内创建TGW子网
  SecVpcAz2TgwSubnet:
    Type: AWS::EC2::Subnet
    Properties:
      VpcId: !Ref SecVpc
      CidrBlock: 10.100.60.0/24
      AvailabilityZone:
        Fn::Select:
          - 1
          - Fn::GetAZs: ""
      Tags:
      - Key: Name
        Value: !Sub ${AWS::StackName}-SecVpc-AZ2-TGW-Subnet

#-----------------SecVpc创建路由表------------------#

# 公有子网路由表及关联
  SecVpcAz1PublicRouteTable:
    Type: "AWS::EC2::RouteTable"
    Properties:
      VpcId: !Ref SecVpc
      Tags:
        - Key: Name
          Value: !Sub ${AWS::StackName}-SecVpc-AZ1-Public-RouteTable

  SecVpcAz1PublicRouteTableAssociation:
    Type: "AWS::EC2::SubnetRouteTableAssociation"
    Properties:
      RouteTableId: !Ref SecVpcAz1PublicRouteTable
      SubnetId: !Ref SecVpcAz1PublicSubnet

  SecVpcAz2PublicRouteTable:
    Type: "AWS::EC2::RouteTable"
    Properties:
      VpcId: !Ref SecVpc
      Tags:
        - Key: Name
          Value: !Sub ${AWS::StackName}-SecVpc-AZ2-Public-RouteTable

  SecVpcAz2PublicRouteTableAssociation:
    Type: "AWS::EC2::SubnetRouteTableAssociation"
    Properties:
      RouteTableId: !Ref SecVpcAz2PublicRouteTable
      SubnetId: !Ref SecVpcAz2PublicSubnet

# Private子网路由表及关联
  SecVpcAz1PrivateRouteTable:
    Type: "AWS::EC2::RouteTable"
    Properties:
      VpcId: !Ref SecVpc
      Tags:
        - Key: Name
          Value: !Sub ${AWS::StackName}-SecVpc-AZ1-Private-RouteTable

  SecVpcAz1PrivateRouteTableAssociation:
    Type: "AWS::EC2::SubnetRouteTableAssociation"
    Properties:
      RouteTableId: !Ref SecVpcAz1PrivateRouteTable
      SubnetId: !Ref SecVpcAz1PrivateSubnet

  SecVpcAz2PrivateRouteTable:
    Type: "AWS::EC2::RouteTable"
    Properties:
      VpcId: !Ref SecVpc
      Tags:
        - Key: Name
          Value: !Sub ${AWS::StackName}-SecVpc-AZ2-Private-RouteTable

  SecVpcAz2PrivateRouteTableAssociation:
    Type: "AWS::EC2::SubnetRouteTableAssociation"
    Properties:
      RouteTableId: !Ref SecVpcAz2PrivateRouteTable
      SubnetId: !Ref SecVpcAz2PrivateSubnet


# Tgw路由表及关联
  SecVpcAz1TgwRouteTable:
    Type: "AWS::EC2::RouteTable"
    Properties:
      VpcId: !Ref SecVpc
      Tags:
        - Key: Name
          Value: !Sub ${AWS::StackName}-SecVpc-AZ1-Tgw-RouteTable

  SecVpcAz1TgwRouteTableAssociation:
    Type: "AWS::EC2::SubnetRouteTableAssociation"
    Properties:
      RouteTableId: !Ref SecVpcAz1TgwRouteTable
      SubnetId: !Ref SecVpcAz1TgwSubnet

  SecVpcAz2TgwRouteTable:
    Type: "AWS::EC2::RouteTable"
    Properties:
      VpcId: !Ref SecVpc
      Tags:
        - Key: Name
          Value: !Sub ${AWS::StackName}-SecVpc-AZ2-Tgw-RouteTable

  SecVpcAz2TgwRouteTableAssociation:
    Type: "AWS::EC2::SubnetRouteTableAssociation"
    Properties:
      RouteTableId: !Ref SecVpcAz2TgwRouteTable
      SubnetId: !Ref SecVpcAz2TgwSubnet

#-----------------NAT Gateway-----------------#

# AZ1 NAT GW
  SecVpcAz1NatGatewayEIP:
     Type: AWS::EC2::EIP
     Properties:
        Tags:
        - Key: Name
          Value: !Sub ${AWS::StackName}-SecVpc-AZ1-NatGateway-EIP

  SecVpcAz1NatGateway:
     Type: AWS::EC2::NatGateway
     Properties:
        AllocationId: !GetAtt SecVpcAz1NatGatewayEIP.AllocationId
        SubnetId: !Ref SecVpcAz1PublicSubnet
        Tags:
        - Key: Name
          Value: !Sub ${AWS::StackName}-SecVpc-AZ1-NatGateway

# AZ2 NAT GW
  SecVpcAz2NatGatewayEIP:
     Type: AWS::EC2::EIP
     Properties:
        Tags:
        - Key: Name
          Value: !Sub ${AWS::StackName}-SecVpc-AZ2-NatGateway-EIP

  SecVpcAz2NatGateway:
     Type: AWS::EC2::NatGateway
     Properties:
        AllocationId: !GetAtt SecVpcAz2NatGatewayEIP.AllocationId
        SubnetId: !Ref SecVpcAz2PublicSubnet
        Tags:
        - Key: Name
          Value: !Sub ${AWS::StackName}-SecVpc-AZ2-NatGateway

  SecVpcAz1PrivateSubnetToInternetRoute:
     DependsOn: SecVpcAz1NatGateway
     Type: AWS::EC2::Route
     Properties:
        RouteTableId: !Ref SecVpcAz1PrivateRouteTable
        DestinationCidrBlock: '0.0.0.0/0'
        NatGatewayId: !Ref SecVpcAz1NatGateway

  SecVpcAz2PrivateSubnetToInternetRoute:
     DependsOn: SecVpcAz2NatGateway
     Type: AWS::EC2::Route
     Properties:
        RouteTableId: !Ref SecVpcAz2PrivateRouteTable
        DestinationCidrBlock: '0.0.0.0/0'
        NatGatewayId: !Ref SecVpcAz2NatGateway

#-----------------添加路由-----------------#

# 公有子网添加默认路由去往IGW
  SecVpcAz1PublicSubnetToInternetRoute:
    Type: "AWS::EC2::Route"
    DependsOn: SecVpcIGW
    Properties:
     RouteTableId: !Ref SecVpcAz1PublicRouteTable
     DestinationCidrBlock: 0.0.0.0/0
     GatewayId: !Ref SecVpcIGW

  SecVpcAz2PublicSubnetToInternetRoute:
    Type: "AWS::EC2::Route"
    DependsOn: SecVpcIGW
    Properties:
     RouteTableId: !Ref SecVpcAz2PublicRouteTable
     DestinationCidrBlock: 0.0.0.0/0
     GatewayId: !Ref SecVpcIGW

#-----------------SecVpc创建安全组-----------------#
  SecVpcSg:
    Type: AWS::EC2::SecurityGroup
    Properties:
      GroupDescription: SG to test ping
      VpcId: !Ref SecVpc
      SecurityGroupIngress:
      - IpProtocol: icmp
        FromPort: -1
        ToPort: -1
        CidrIp: 0.0.0.0/0
      - IpProtocol: -1
        FromPort: -1
        ToPort: -1
        CidrIp: 10.100.0.0/16
      - IpProtocol: -1
        FromPort: -1
        ToPort: -1
        CidrIp: 161.189.204.137/32
      Tags:
        - Key: Name
          Value: !Sub ${AWS::StackName}-SecVpcSg


#-----------------SecVpc创建EC2实例-----------------#

#---IAM Instance Role and Profile---#
  ApplianceRole:
    Type: AWS::IAM::Role
    Properties:
      RoleName: !Sub "${AWS::StackName}-appliance-role"
      ManagedPolicyArns:
        - "arn:aws-cn:iam::aws:policy/AmazonSSMManagedInstanceCore"
      AssumeRolePolicyDocument:
        Statement:
          - Effect: Allow
            Principal:
              Service:
                - ec2.amazonaws.com
            Action:
              - 'sts:AssumeRole'
      Path: /

  AppliancePolicy:
    Type: AWS::IAM::Policy
    Properties:
      PolicyName: AppServer
      PolicyDocument:
        Statement:
          - Effect: Allow
            Action:
              - ec2:DescribeNetworkInterfaces
            Resource: '*'
      Roles:
        - !Ref ApplianceRole

  ApplianceProfile:
    Type: AWS::IAM::InstanceProfile
    Properties:
      Path: /
      Roles:
        - !Ref ApplianceRole

#-----------------SecVpc创建GWLB-----------------#

# Gateway Load Balancer (GWLB), Target Group, Listener
  Gwlb:
    Type: AWS::ElasticLoadBalancingV2::LoadBalancer
    Properties:
      LoadBalancerAttributes:
        - Key: load_balancing.cross_zone.enabled
          Value: true
      Name: gwlb-panorama
      Type: gateway
      Subnets:
        - !Ref SecVpcAz1PrivateSubnet
        - !Ref SecVpcAz2PrivateSubnet
      Tags:
      - Key: Name
        Value: !Sub "${AWS::StackName}-gwlb-1"

  # Target Group:
  TargetGroup:
    Type: AWS::ElasticLoadBalancingV2::TargetGroup
    Properties:
      Name: target-group-panorama
      Port: 6081
      Protocol: GENEVE
      TargetGroupAttributes:
      - Key: deregistration_delay.timeout_seconds
        Value: "20"
      VpcId: !Ref SecVpc
      HealthCheckPort: 80
      HealthCheckProtocol: HTTP
      TargetType: instance
      Targets:
        - Id: !Ref Appliance1
        - Id: !Ref Appliance2
      Tags:
      - Key: Name
        Value: !Sub "${AWS::StackName}-tg-1"

  # Listener:
  Listener:
    Type: AWS::ElasticLoadBalancingV2::Listener
    Properties:
      DefaultActions:
      - Type: forward
        TargetGroupArn: !Ref TargetGroup
      LoadBalancerArn: !Ref Gwlb

#-----------------SecVpc创建EC2实例-----------------#

#---SecVpc创建paloalto接口---#

  Pa1MgmtEip:
    Type: "AWS::EC2::EIP"
    Properties:
      Tags:
        - Key: Name
          Value: SecVpc-pa1-mgmt-eip

  Pa1MgmtEni:  # 创建PA1管理接口
    Type: "AWS::EC2::NetworkInterface"
    Properties:
      GroupSet:
        - !Ref SecVpcSg
      SubnetId:
        Ref: SecVpcAz1PublicSubnet
      Tags:
        - Key: Name
          Value: SecVpc-pa1-mgmt-eni

  Pa1MgmtEniAssociation:  # 关联公网IP到Mgt弹性接口
    Type: AWS::EC2::EIPAssociation
    DependsOn: Appliance1
    Properties:
      AllocationId: !GetAtt Pa1MgmtEip.AllocationId # 这里是EIP
      NetworkInterfaceId: !Ref Pa1MgmtEni

  Pa1DataEni:  # 创建PA1数据接口
    Type: "AWS::EC2::NetworkInterface"
    Properties:
      GroupSet:
        - Ref: SecVpcSg
      SubnetId:
        Ref: SecVpcAz1PrivateSubnet
      Tags:
        - Key: Name
          Value: SecVpc-pa1-data-eni

  Pa2MgmtEip:
    Type: "AWS::EC2::EIP"
    Properties:
      Tags:
        - Key: Name
          Value: SecVpc-pa2-mgmt-eip

  Pa2MgmtEni:  # 创建PA2管理接口
    Type: "AWS::EC2::NetworkInterface"
    Properties:
      GroupSet:
        - !Ref SecVpcSg
      SubnetId:
        Ref: SecVpcAz2PublicSubnet
      Tags:
        - Key: Name
          Value: SecVpc-pa2-mgmt-eni

  Pa2MgmtEniAssociation:  # 关联公网IP到Mgt弹性接口
    Type: AWS::EC2::EIPAssociation
    DependsOn: Appliance2
    Properties:
      AllocationId: !GetAtt Pa2MgmtEip.AllocationId # 这里是EIP
      NetworkInterfaceId: !Ref Pa2MgmtEni

  Pa2DataEni:  # 创建PA2数据接口
    Type: "AWS::EC2::NetworkInterface"
    Properties:
      GroupSet:
        - !Ref SecVpcSg
      SubnetId:
        Ref: SecVpcAz2PrivateSubnet
      Tags:
        - Key: Name
          Value: SecVpc-pa2-data-eni

# EC2 Instances (Appliances acting as target for GWLB):
  Appliance1:
    Type: AWS::EC2::Instance
    Properties:
      ImageId: !FindInMap [RegionMap, !Ref "AWS::Region", !Ref PaloaltoVersion]
      KeyName: !Ref MyKeyPair
      InstanceType: !Ref PaloaltoInstanceType
      NetworkInterfaces:
        -
          NetworkInterfaceId: !Ref Pa1DataEni
          DeviceIndex: 0
        -
          NetworkInterfaceId: !Ref Pa1MgmtEni
          DeviceIndex: 1
      UserData:
        Fn::Base64:
          !Sub |
          mgmt-interface-swap=enable
          plugin-op-commands=aws-gwlb-inspect:enable
      Tags:
        - Key: Name
          Value: !Sub ${AWS::StackName}-PA-FW1

  Appliance2:
    Type: AWS::EC2::Instance
    Properties:
      ImageId: !FindInMap [RegionMap, !Ref "AWS::Region", !Ref PaloaltoVersion]
      KeyName: !Ref MyKeyPair
      InstanceType: !Ref PaloaltoInstanceType
      NetworkInterfaces:
        -
          NetworkInterfaceId: !Ref Pa2DataEni
          DeviceIndex: 0
        -
          NetworkInterfaceId: !Ref Pa2MgmtEni
          DeviceIndex: 1
      UserData:
        Fn::Base64:
          !Sub |
          mgmt-interface-swap=enable
          plugin-op-commands=aws-gwlb-inspect:enable
      Tags:
        - Key: Name
          Value: !Sub ${AWS::StackName}-PA-FW2

  SecVpcBastionLinux:
    Type: AWS::EC2::Instance
    Properties:
      IamInstanceProfile: !Ref BastionSsmProfile
      ImageId: !Ref EC2InstanceAmiId
      KeyName: !Ref MyKeyPair
      InstanceType: t3.nano
      NetworkInterfaces:
        - AssociatePublicIpAddress: true
          DeviceIndex: 0
          GroupSet:
            - Ref: SecVpcSg
          SubnetId: !Ref SecVpcAz1PublicSubnet
      Tags:
        - Key: Name
          Value: !Sub ${AWS::StackName}-SecVpc-Bastion-Linux

# Create VPC Endpoint Service:

  VpcEndpointService:
    Type: AWS::EC2::VPCEndpointService
    Properties:
      GatewayLoadBalancerArns:
        - !Ref Gwlb
      AcceptanceRequired: false

# Create Lambda Custom Resource to retrieve VPC Endpoint Service Name:

  VpceServiceLambdaExecutionRole:
    Type: AWS::IAM::Role
    Properties:
      AssumeRolePolicyDocument:
        Version: 2012-10-17
        Statement:
          - Effect: Allow
            Principal:
              Service:
                - lambda.amazonaws.com
            Action:
              - sts:AssumeRole
      Path: /
      Policies:
        - PolicyName: root
          PolicyDocument:
            Version: 2012-10-17
            Statement:
              - Effect: Allow
                Action:
                  - logs:CreateLogStream
                  - logs:PutLogEvents
                Resource: arn:aws-cn:logs:*:*:*
              - Effect: Allow
                Action:
                  - ec2:DescribeVpcEndpointServiceConfigurations
                  - ec2:DescribeVpcEndpointServicePermissions
                  - ec2:DescribeVpcEndpointServices
                Resource: "*"


  VpceServiceLogGroup:
    Type: AWS::Logs::LogGroup
    Properties:
        LogGroupName: !Sub /aws/lambda/${AWS::StackName}-service
        RetentionInDays: 1

  VpceServiceName:
    Type: AWS::Lambda::Function
    DependsOn: VpceServiceLogGroup
    Properties:
      FunctionName: !Sub ${AWS::StackName}-service
      Handler: "index.handler"
      Role: !GetAtt VpceServiceLambdaExecutionRole.Arn
      Code:
        ZipFile: |
          import json
          import logging
          import time

          import boto3
          import cfnresponse
          from botocore.exceptions import ClientError

          try:
              ec2 = boto3.client('ec2')
          except ClientError as e:
              logger.error(f"ERROR: failed to connect to EC2 client: {e}")
              sys.exit(1)

          def handler(event, context):
              logger = logging.getLogger()
              logger.setLevel(logging.INFO)
              logger.info('Received event: {}'.format(json.dumps(event)))

              responseData = {}
              responseStatus = cfnresponse.FAILED

              try:
                  serviceid = event["ResourceProperties"]["VpceServiceId"]
              except Exception as e:
                  logger.info('Attribute retrival failure: {}'.format(e))

              try:
                  if event["RequestType"] == "Delete":
                      responseStatus = cfnresponse.SUCCESS
                      cfnresponse.send(event, context, responseStatus, responseData)
              except Exception:
                  logger.exception("Signaling failure to CloudFormation.")
                  cfnresponse.send(event, context, cfnresponse.FAILED, {})

              if event["RequestType"] == "Create":
                  logger.info("Retrieving VPC Endpoint Service Name:")
                  try:
                      response = ec2.describe_vpc_endpoint_service_configurations(
                          Filters=[
                              {
                                  'Name': 'service-id',
                                  'Values': [serviceid]
                              }
                          ]
                      )
                  except Exception as e:
                      logger.info('ec2.describe_vpc_endpoint_service_configurations failure: {}'.format(e))

                  service_name = response['ServiceConfigurations'][0]['ServiceName']

                  time.sleep(120)

                  responseData['ServiceName'] = service_name
                  responseStatus = cfnresponse.SUCCESS
                  cfnresponse.send(event, context, responseStatus, responseData)
      Runtime: python3.7
      Timeout: 150

  RetrieveVpceServiceName:
    Type: Custom::RetrieveAttributes
    Properties:
      ServiceToken: !GetAtt VpceServiceName.Arn
      VpceServiceId: !Ref VpcEndpointService

# Create Gateway Load Balancer Endpoint:

  GwlbEndpoint1:
    Type: AWS::EC2::VPCEndpoint
    Properties:
      VpcId: !Ref SecVpc
      ServiceName: !GetAtt RetrieveVpceServiceName.ServiceName
      VpcEndpointType: GatewayLoadBalancer
      SubnetIds:
        - !Ref SecVpcAz1PrivateSubnet

  GwlbEndpoint2:
    Type: AWS::EC2::VPCEndpoint
    Properties:
      VpcId: !Ref SecVpc
      ServiceName: !GetAtt RetrieveVpceServiceName.ServiceName
      VpcEndpointType: GatewayLoadBalancer
      SubnetIds:
        - !Ref SecVpcAz2PrivateSubnet


#=============VpcA============#
# 创建VpcA
  VpcA:
    Type: AWS::EC2::VPC
    Properties:
      CidrBlock: 10.110.10.0/16
      EnableDnsSupport: 'true'
      EnableDnsHostnames: 'true'
      Tags:
       - Key: Name
         Value: !Sub ${AWS::StackName}-VpcA

# 创建IGW并且关联到VPC
  VpcAIGW:
    Type: "AWS::EC2::InternetGateway"
    Properties:
      Tags:
        - Key: Name
          Value: !Sub ${AWS::StackName}-VpcAIGW

  VpcAAttachIgw:
    Type: "AWS::EC2::VPCGatewayAttachment"
    Properties:
      VpcId: !Ref VpcA
      InternetGatewayId: !Ref VpcAIGW

#-----------------VpcA创建6个子网------------------#

# VpcA AZ1内创建公有子网
  VpcAAz1PublicSubnet:
    Type: AWS::EC2::Subnet
    Properties:
      VpcId: !Ref VpcA
      CidrBlock: 10.110.10.0/24
      AvailabilityZone:
        Fn::Select:
          - 0
          - Fn::GetAZs: ""
      Tags:
      - Key: Name
        Value: !Sub ${AWS::StackName}-VpcA-AZ1-Public-Subnet

# VpcA AZ2内创建公有子网
  VpcAAz2PublicSubnet:
    Type: AWS::EC2::Subnet
    Properties:
      VpcId: !Ref VpcA
      CidrBlock: 10.110.20.0/24
      AvailabilityZone:
        Fn::Select:
          - 1
          - Fn::GetAZs: ""
      Tags:
      - Key: Name
        Value: !Sub ${AWS::StackName}-VpcA-AZ2-Public-Subnet

# VpcA AZ1内创建APP子网
  VpcAAz1AppSubnet:
    Type: AWS::EC2::Subnet
    Properties:
      VpcId: !Ref VpcA
      CidrBlock: 10.110.30.0/24
      AvailabilityZone:
        Fn::Select:
          - 0
          - Fn::GetAZs: ""
      Tags:
      - Key: Name
        Value: !Sub ${AWS::StackName}-VpcA-AZ1-App-Subnet

# VpcA AZ2内创建APP子网
  VpcAAz2AppSubnet:
    Type: AWS::EC2::Subnet
    Properties:
      VpcId: !Ref VpcA
      CidrBlock: 10.110.40.0/24
      AvailabilityZone:
        Fn::Select:
          - 1
          - Fn::GetAZs: ""
      Tags:
      - Key: Name
        Value: !Sub ${AWS::StackName}-VpcA-AZ2-App-Subnet


# VpcA AZ1内创建TGW子网
  VpcAAz1TgwSubnet:
    Type: AWS::EC2::Subnet
    Properties:
      VpcId: !Ref VpcA
      CidrBlock: 10.110.50.0/24
      AvailabilityZone:
        Fn::Select:
          - 0
          - Fn::GetAZs: ""
      Tags:
      - Key: Name
        Value: !Sub ${AWS::StackName}-VpcA-AZ1-TGW-Subnet

# VpcA AZ2内创建TGW子网
  VpcAAz2TgwSubnet:
    Type: AWS::EC2::Subnet
    Properties:
      VpcId: !Ref VpcA
      CidrBlock: 10.110.60.0/24
      AvailabilityZone:
        Fn::Select:
          - 1
          - Fn::GetAZs: ""
      Tags:
      - Key: Name
        Value: !Sub ${AWS::StackName}-VpcA-AZ2-TGW-Subnet

#-----------------VpcA创建路由表------------------#

# 公有子网路由表及关联
  VpcAAz1PublicRouteTable:
    Type: "AWS::EC2::RouteTable"
    Properties:
      VpcId: !Ref VpcA
      Tags:
        - Key: Name
          Value: !Sub ${AWS::StackName}-VpcA-AZ1-Public-RouteTable

  VpcAAz1PublicRouteTableAssociation:
    Type: "AWS::EC2::SubnetRouteTableAssociation"
    Properties:
      RouteTableId: !Ref VpcAAz1PublicRouteTable
      SubnetId: !Ref VpcAAz1PublicSubnet

  VpcAAz2PublicRouteTable:
    Type: "AWS::EC2::RouteTable"
    Properties:
      VpcId: !Ref VpcA
      Tags:
        - Key: Name
          Value: !Sub ${AWS::StackName}-VpcA-AZ2-Public-RouteTable

  VpcAAz2PublicRouteTableAssociation:
    Type: "AWS::EC2::SubnetRouteTableAssociation"
    Properties:
      RouteTableId: !Ref VpcAAz2PublicRouteTable
      SubnetId: !Ref VpcAAz2PublicSubnet

# App子网路由表及关联
  VpcAAz1AppRouteTable:
    Type: "AWS::EC2::RouteTable"
    Properties:
      VpcId: !Ref VpcA
      Tags:
        - Key: Name
          Value: !Sub ${AWS::StackName}-VpcA-AZ1-App-RouteTable

  VpcAAz1AppRouteTableAssociation:
    Type: "AWS::EC2::SubnetRouteTableAssociation"
    Properties:
      RouteTableId: !Ref VpcAAz1AppRouteTable
      SubnetId: !Ref VpcAAz1AppSubnet

  VpcAAz2AppRouteTable:
    Type: "AWS::EC2::RouteTable"
    Properties:
      VpcId: !Ref VpcA
      Tags:
        - Key: Name
          Value: !Sub ${AWS::StackName}-VpcA-AZ2-App-RouteTable

  VpcAAz2AppRouteTableAssociation:
    Type: "AWS::EC2::SubnetRouteTableAssociation"
    Properties:
      RouteTableId: !Ref VpcAAz2AppRouteTable
      SubnetId: !Ref VpcAAz2AppSubnet


# Tgw路由表及关联
  VpcAAz1TgwRouteTable:
    Type: "AWS::EC2::RouteTable"
    Properties:
      VpcId: !Ref VpcA
      Tags:
        - Key: Name
          Value: !Sub ${AWS::StackName}-VpcA-AZ1-Tgw-RouteTable

  VpcAAz1TgwRouteTableAssociation:
    Type: "AWS::EC2::SubnetRouteTableAssociation"
    Properties:
      RouteTableId: !Ref VpcAAz1TgwRouteTable
      SubnetId: !Ref VpcAAz1TgwSubnet

  VpcAAz2TgwRouteTable:
    Type: "AWS::EC2::RouteTable"
    Properties:
      VpcId: !Ref VpcA
      Tags:
        - Key: Name
          Value: !Sub ${AWS::StackName}-VpcA-AZ2-Tgw-RouteTable

  VpcAAz2TgwRouteTableAssociation:
    Type: "AWS::EC2::SubnetRouteTableAssociation"
    Properties:
      RouteTableId: !Ref VpcAAz2TgwRouteTable
      SubnetId: !Ref VpcAAz2TgwSubnet

#-----------------NAT Gateway-----------------#

# AZ1 NAT GW
  VpcAAz1NatGatewayEIP:
     Type: AWS::EC2::EIP
     Properties:
        Tags:
        - Key: Name
          Value: !Sub ${AWS::StackName}-VpcA-AZ1-NatGateway-EIP

  VpcAAz1NatGateway:
     Type: AWS::EC2::NatGateway
     Properties:
        AllocationId: !GetAtt VpcAAz1NatGatewayEIP.AllocationId
        SubnetId: !Ref VpcAAz1PublicSubnet
        Tags:
        - Key: Name
          Value: !Sub ${AWS::StackName}-VpcA-AZ1-NatGateway

# AZ2 NAT GW
  VpcAAz2NatGatewayEIP:
     Type: AWS::EC2::EIP
     Properties:
        Tags:
        - Key: Name
          Value: !Sub ${AWS::StackName}-VpcA-AZ2-NatGateway-EIP

  VpcAAz2NatGateway:
     Type: AWS::EC2::NatGateway
     Properties:
        AllocationId: !GetAtt VpcAAz2NatGatewayEIP.AllocationId
        SubnetId: !Ref VpcAAz2PublicSubnet
        Tags:
        - Key: Name
          Value: !Sub ${AWS::StackName}-VpcA-AZ2-NatGateway


#-----------------添加路由-----------------#

# 公有子网添加默认路由去往IGW
  VpcAAz1PublicSubnetToInternetRoute:
    Type: "AWS::EC2::Route"
    DependsOn: VpcAIGW
    Properties:
     RouteTableId: !Ref VpcAAz1PublicRouteTable
     DestinationCidrBlock: 0.0.0.0/0
     GatewayId: !Ref VpcAIGW

  VpcAAz2PublicSubnetToInternetRoute:
    Type: "AWS::EC2::Route"
    DependsOn: VpcAIGW
    Properties:
     RouteTableId: !Ref VpcAAz2PublicRouteTable
     DestinationCidrBlock: 0.0.0.0/0
     GatewayId: !Ref VpcAIGW

#-----------------VpcA创建安全组-----------------#
  VpcABastionVpcSg:
    Type: AWS::EC2::SecurityGroup
    Properties:
      GroupDescription: SG to test ping
      VpcId: !Ref VpcA
      SecurityGroupIngress:
      - IpProtocol: -1
        FromPort: -1
        ToPort: -1
        CidrIp: 10.120.0.0/16
      - IpProtocol: icmp
        FromPort: -1
        ToPort: -1
        CidrIp: 0.0.0.0/0
      - IpProtocol: -1
        FromPort: -1
        ToPort: -1
        CidrIp: 10.110.0.0/16
      - IpProtocol: -1
        FromPort: -1
        ToPort: -1
        CidrIp: 161.189.204.137/32
      Tags:
        - Key: Name
          Value: !Sub ${AWS::StackName}-VpcASg


#-----------------VpcA创建EC2实例-----------------#

  VpcABastionLinux:
    Type: AWS::EC2::Instance
    Properties:
      IamInstanceProfile: !Ref BastionSsmProfile
      ImageId: !Ref EC2InstanceAmiId
      KeyName: !Ref MyKeyPair
      InstanceType: t3.nano
      NetworkInterfaces:
        - AssociatePublicIpAddress: true
          DeviceIndex: 0
          GroupSet:
            - Ref: VpcABastionVpcSg
          SubnetId: !Ref VpcAAz1PublicSubnet
      Tags:
        - Key: Name
          Value: !Sub ${AWS::StackName}-VpcA-Bastion-Linux

  VpcAApp1Linux:
    Type: AWS::EC2::Instance
    Properties:
      IamInstanceProfile: !Ref BastionSsmProfile
      ImageId: !Ref EC2InstanceAmiId
      KeyName: !Ref MyKeyPair
      InstanceType: t3.nano
      NetworkInterfaces:
        - DeviceIndex: 0
          GroupSet:
            - Ref: VpcABastionVpcSg
          SubnetId: !Ref VpcAAz1AppSubnet
      Tags:
        - Key: Name
          Value: !Sub ${AWS::StackName}-VpcA-App1-Linux

  VpcAApp2Linux:
    Type: AWS::EC2::Instance
    Properties:
      IamInstanceProfile: !Ref BastionSsmProfile
      ImageId: !Ref EC2InstanceAmiId
      KeyName: !Ref MyKeyPair
      InstanceType: t3.nano
      NetworkInterfaces:
        - DeviceIndex: 0
          GroupSet:
            - Ref: VpcABastionVpcSg
          SubnetId: !Ref VpcAAz2AppSubnet
      Tags:
        - Key: Name
          Value: !Sub ${AWS::StackName}-VpcA-App2-Linux


#=============VpcB============#
# 创建VpcB
  VpcB:
    Type: AWS::EC2::VPC
    Properties:
      CidrBlock: 10.120.10.0/16
      EnableDnsSupport: 'true'
      EnableDnsHostnames: 'true'
      Tags:
       - Key: Name
         Value: !Sub ${AWS::StackName}-VpcB

# 创建IGW并且关联到VPC
  VpcBIGW:
    Type: "AWS::EC2::InternetGateway"
    Properties:
      Tags:
        - Key: Name
          Value: !Sub ${AWS::StackName}-VpcBIGW

  VpcBAttachIgw:
    Type: "AWS::EC2::VPCGatewayAttachment"
    Properties:
      VpcId: !Ref VpcB
      InternetGatewayId: !Ref VpcBIGW

#-----------------VpcB创建6个子网------------------#

# VpcB AZ1内创建公有子网
  VpcBAz1PublicSubnet:
    Type: AWS::EC2::Subnet
    Properties:
      VpcId: !Ref VpcB
      CidrBlock: 10.120.10.0/24
      AvailabilityZone:
        Fn::Select:
          - 0
          - Fn::GetAZs: ""
      Tags:
      - Key: Name
        Value: !Sub ${AWS::StackName}-VpcB-AZ1-Public-Subnet

# VpcB AZ2内创建公有子网
  VpcBAz2PublicSubnet:
    Type: AWS::EC2::Subnet
    Properties:
      VpcId: !Ref VpcB
      CidrBlock: 10.120.20.0/24
      AvailabilityZone:
        Fn::Select:
          - 1
          - Fn::GetAZs: ""
      Tags:
      - Key: Name
        Value: !Sub ${AWS::StackName}-VpcB-AZ2-Public-Subnet

# VpcB AZ1内创建APP子网
  VpcBAz1AppSubnet:
    Type: AWS::EC2::Subnet
    Properties:
      VpcId: !Ref VpcB
      CidrBlock: 10.120.30.0/24
      AvailabilityZone:
        Fn::Select:
          - 0
          - Fn::GetAZs: ""
      Tags:
      - Key: Name
        Value: !Sub ${AWS::StackName}-VpcB-AZ1-App-Subnet

# VpcB AZ2内创建APP子网
  VpcBAz2AppSubnet:
    Type: AWS::EC2::Subnet
    Properties:
      VpcId: !Ref VpcB
      CidrBlock: 10.120.40.0/24
      AvailabilityZone:
        Fn::Select:
          - 1
          - Fn::GetAZs: ""
      Tags:
      - Key: Name
        Value: !Sub ${AWS::StackName}-VpcB-AZ2-App-Subnet


# VpcB AZ1内创建TGW子网
  VpcBAz1TgwSubnet:
    Type: AWS::EC2::Subnet
    Properties:
      VpcId: !Ref VpcB
      CidrBlock: 10.120.50.0/24
      AvailabilityZone:
        Fn::Select:
          - 0
          - Fn::GetAZs: ""
      Tags:
      - Key: Name
        Value: !Sub ${AWS::StackName}-VpcB-AZ1-TGW-Subnet

# VpcB AZ2内创建TGW子网
  VpcBAz2TgwSubnet:
    Type: AWS::EC2::Subnet
    Properties:
      VpcId: !Ref VpcB
      CidrBlock: 10.120.60.0/24
      AvailabilityZone:
        Fn::Select:
          - 1
          - Fn::GetAZs: ""
      Tags:
      - Key: Name
        Value: !Sub ${AWS::StackName}-VpcB-AZ2-TGW-Subnet

#-----------------VpcB创建路由表------------------#

# 公有子网路由表及关联
  VpcBAz1PublicRouteTable:
    Type: "AWS::EC2::RouteTable"
    Properties:
      VpcId: !Ref VpcB
      Tags:
        - Key: Name
          Value: !Sub ${AWS::StackName}-VpcB-AZ1-Public-RouteTable

  VpcBAz1PublicRouteTableAssociation:
    Type: "AWS::EC2::SubnetRouteTableAssociation"
    Properties:
      RouteTableId: !Ref VpcBAz1PublicRouteTable
      SubnetId: !Ref VpcBAz1PublicSubnet

  VpcBAz2PublicRouteTable:
    Type: "AWS::EC2::RouteTable"
    Properties:
      VpcId: !Ref VpcB
      Tags:
        - Key: Name
          Value: !Sub ${AWS::StackName}-VpcB-AZ2-Public-RouteTable

  VpcBAz2PublicRouteTableAssociation:
    Type: "AWS::EC2::SubnetRouteTableAssociation"
    Properties:
      RouteTableId: !Ref VpcBAz2PublicRouteTable
      SubnetId: !Ref VpcBAz2PublicSubnet

# App子网路由表及关联
  VpcBAz1AppRouteTable:
    Type: "AWS::EC2::RouteTable"
    Properties:
      VpcId: !Ref VpcB
      Tags:
        - Key: Name
          Value: !Sub ${AWS::StackName}-VpcB-AZ1-App-RouteTable

  VpcBAz1AppRouteTableAssociation:
    Type: "AWS::EC2::SubnetRouteTableAssociation"
    Properties:
      RouteTableId: !Ref VpcBAz1AppRouteTable
      SubnetId: !Ref VpcBAz1AppSubnet

  VpcBAz2AppRouteTable:
    Type: "AWS::EC2::RouteTable"
    Properties:
      VpcId: !Ref VpcB
      Tags:
        - Key: Name
          Value: !Sub ${AWS::StackName}-VpcB-AZ2-App-RouteTable

  VpcBAz2AppRouteTableAssociation:
    Type: "AWS::EC2::SubnetRouteTableAssociation"
    Properties:
      RouteTableId: !Ref VpcBAz2AppRouteTable
      SubnetId: !Ref VpcBAz2AppSubnet


# Tgw路由表及关联
  VpcBAz1TgwRouteTable:
    Type: "AWS::EC2::RouteTable"
    Properties:
      VpcId: !Ref VpcB
      Tags:
        - Key: Name
          Value: !Sub ${AWS::StackName}-VpcB-AZ1-Tgw-RouteTable

  VpcBAz1TgwRouteTableAssociation:
    Type: "AWS::EC2::SubnetRouteTableAssociation"
    Properties:
      RouteTableId: !Ref VpcBAz1TgwRouteTable
      SubnetId: !Ref VpcBAz1TgwSubnet

  VpcBAz2TgwRouteTable:
    Type: "AWS::EC2::RouteTable"
    Properties:
      VpcId: !Ref VpcB
      Tags:
        - Key: Name
          Value: !Sub ${AWS::StackName}-VpcB-AZ2-Tgw-RouteTable

  VpcBAz2TgwRouteTableAssociation:
    Type: "AWS::EC2::SubnetRouteTableAssociation"
    Properties:
      RouteTableId: !Ref VpcBAz2TgwRouteTable
      SubnetId: !Ref VpcBAz2TgwSubnet

#-----------------NAT Gateway-----------------#

# AZ1 NAT GW
  VpcBAz1NatGatewayEIP:
     Type: AWS::EC2::EIP
     Properties:
        Tags:
        - Key: Name
          Value: !Sub ${AWS::StackName}-VpcB-AZ1-NatGateway-EIP

  VpcBAz1NatGateway:
     Type: AWS::EC2::NatGateway
     Properties:
        AllocationId: !GetAtt VpcBAz1NatGatewayEIP.AllocationId
        SubnetId: !Ref VpcBAz1PublicSubnet
        Tags:
        - Key: Name
          Value: !Sub ${AWS::StackName}-VpcB-AZ1-NatGateway

# AZ2 NAT GW
  VpcBAz2NatGatewayEIP:
     Type: AWS::EC2::EIP
     Properties:
        Tags:
        - Key: Name
          Value: !Sub ${AWS::StackName}-VpcB-AZ2-NatGateway-EIP

  VpcBAz2NatGateway:
     Type: AWS::EC2::NatGateway
     Properties:
        AllocationId: !GetAtt VpcBAz2NatGatewayEIP.AllocationId
        SubnetId: !Ref VpcBAz2PublicSubnet
        Tags:
        - Key: Name
          Value: !Sub ${AWS::StackName}-VpcB-AZ2-NatGateway


#-----------------添加路由-----------------#

# 公有子网添加默认路由去往IGW
  VpcBAz1PublicSubnetToInternetRoute:
    Type: "AWS::EC2::Route"
    DependsOn: VpcBIGW
    Properties:
     RouteTableId: !Ref VpcBAz1PublicRouteTable
     DestinationCidrBlock: 0.0.0.0/0
     GatewayId: !Ref VpcBIGW

  VpcBAz2PublicSubnetToInternetRoute:
    Type: "AWS::EC2::Route"
    DependsOn: VpcBIGW
    Properties:
     RouteTableId: !Ref VpcBAz2PublicRouteTable
     DestinationCidrBlock: 0.0.0.0/0
     GatewayId: !Ref VpcBIGW

#-----------------VpcB创建安全组-----------------#
  VpcBBastionVpcSg:
    Type: AWS::EC2::SecurityGroup
    Properties:
      GroupDescription: SG to test ping
      VpcId: !Ref VpcB
      SecurityGroupIngress:
      - IpProtocol: icmp
        FromPort: -1
        ToPort: -1
        CidrIp: 0.0.0.0/0
      - IpProtocol: -1
        FromPort: -1
        ToPort: -1
        CidrIp: 10.110.0.0/16
      - IpProtocol: -1
        FromPort: -1
        ToPort: -1
        CidrIp: 10.120.0.0/16
      - IpProtocol: -1
        FromPort: -1
        ToPort: -1
        CidrIp: 161.189.204.137/32
      Tags:
        - Key: Name
          Value: !Sub ${AWS::StackName}-VpcBSg


#-----------------VpcB创建EC2实例-----------------#

  VpcBBastionLinux:
    Type: AWS::EC2::Instance
    Properties:
      IamInstanceProfile: !Ref BastionSsmProfile
      ImageId: !Ref EC2InstanceAmiId
      KeyName: !Ref MyKeyPair
      InstanceType: t3.nano
      NetworkInterfaces:
        - AssociatePublicIpAddress: true
          DeviceIndex: 0
          GroupSet:
            - Ref: VpcBBastionVpcSg
          SubnetId: !Ref VpcBAz1PublicSubnet
      Tags:
        - Key: Name
          Value: !Sub ${AWS::StackName}-VpcB-Bastion-Linux

  VpcBApp1Linux:
    Type: AWS::EC2::Instance
    Properties:
      IamInstanceProfile: !Ref BastionSsmProfile
      ImageId: !Ref EC2InstanceAmiId
      KeyName: !Ref MyKeyPair
      InstanceType: t3.nano
      NetworkInterfaces:
        - DeviceIndex: 0
          GroupSet:
            - Ref: VpcBBastionVpcSg
          SubnetId: !Ref VpcBAz1AppSubnet
      Tags:
        - Key: Name
          Value: !Sub ${AWS::StackName}-VpcB-App1-Linux

  VpcBApp2Linux:
    Type: AWS::EC2::Instance
    Properties:
      IamInstanceProfile: !Ref BastionSsmProfile
      ImageId: !Ref EC2InstanceAmiId
      KeyName: !Ref MyKeyPair
      InstanceType: t3.nano
      NetworkInterfaces:
        - DeviceIndex: 0
          GroupSet:
            - Ref: VpcBBastionVpcSg
          SubnetId: !Ref VpcBAz2AppSubnet
      Tags:
        - Key: Name
          Value: !Sub ${AWS::StackName}-VpcB-App2-Linux



#=============TGW============#


#---创建TGW---#

  Tgw1:
    Type: AWS::EC2::TransitGateway
    Properties:
      AmazonSideAsn: 64512
      AutoAcceptSharedAttachments: enable
      DefaultRouteTableAssociation: disable
      DefaultRouteTablePropagation: disable
      Description: Transit Gateway 1 for GWLB Centralized Architecture
      DnsSupport: enable
      Tags:
        - Key: Name
          Value: !Sub "${AWS::StackName}-tgw-1"
      VpnEcmpSupport: enable

#------创建TGW VPC挂载------#

  Tgw1VpcAAttachment:
    Type: AWS::EC2::TransitGatewayAttachment
    Properties:
      SubnetIds:
        - !Ref VpcAAz1TgwSubnet
        - !Ref VpcAAz2TgwSubnet
      TransitGatewayId: !Ref Tgw1
      VpcId: !Ref VpcA
      Tags:
        - Key: Name
          Value: !Sub "${AWS::StackName}-VpcA-attachment"


  Tgw1VpcBAttachment:
    Type: AWS::EC2::TransitGatewayAttachment
    Properties:
      SubnetIds:
        - !Ref VpcBAz1TgwSubnet
        - !Ref VpcBAz2TgwSubnet
      TransitGatewayId: !Ref Tgw1
      VpcId: !Ref VpcB
      Tags:
        - Key: Name
          Value: !Sub "${AWS::StackName}-VpcB-attachment"

  Tgw1SecVpcAttachment:
    Type: AWS::EC2::TransitGatewayAttachment
    Properties:
      SubnetIds:
        - !Ref SecVpcAz1TgwSubnet
        - !Ref SecVpcAz2TgwSubnet
      TransitGatewayId: !Ref Tgw1
      VpcId: !Ref SecVpc
      Tags:
        - Key: Name
          Value: !Sub "${AWS::StackName}-appliance-vpc-attachment"

#-----------------------创建TGW路由表并关联VPC-----------------------#

  Tgw1VpcARtb:
    Type: AWS::EC2::TransitGatewayRouteTable
    Properties:
      Tags:
        - Key: Name
          Value: !Sub "${AWS::StackName}-Tgw-VpcA-RTB"
      TransitGatewayId: !Ref Tgw1

  Tgw1VpcARtbAttachmentAssociation:
    Type: AWS::EC2::TransitGatewayRouteTableAssociation
    Properties:
      TransitGatewayAttachmentId: !Ref Tgw1VpcAAttachment
      TransitGatewayRouteTableId: !Ref Tgw1VpcARtb

  Tgw1VpcBRtb:
    Type: AWS::EC2::TransitGatewayRouteTable
    Properties:
      Tags:
        - Key: Name
          Value: !Sub "${AWS::StackName}-Tgw-VpcB-RTB"
      TransitGatewayId: !Ref Tgw1

  Tgw1VpcBRtbAttachmentAssociation:
    Type: AWS::EC2::TransitGatewayRouteTableAssociation
    Properties:
      TransitGatewayAttachmentId: !Ref Tgw1VpcBAttachment
      TransitGatewayRouteTableId: !Ref Tgw1VpcBRtb

  Tgw1SecVpcRtb:
    Type: AWS::EC2::TransitGatewayRouteTable
    Properties:
      Tags:
        - Key: Name
          Value: !Sub "${AWS::StackName}-SecVpc-RTB"
      TransitGatewayId: !Ref Tgw1

  Tgw1SecVpcRtbAttachmentAssociation:
    Type: AWS::EC2::TransitGatewayRouteTableAssociation
    Properties:
      TransitGatewayAttachmentId: !Ref Tgw1SecVpcAttachment
      TransitGatewayRouteTableId: !Ref Tgw1SecVpcRtb

#-----------------------创建TGW路由-----------------------#

# VpcA的TGW路由表
  Tgw1VpcARoute1:
    Type: AWS::EC2::TransitGatewayRoute
    DependsOn: Tgw1SecVpcAttachment
    Properties:
      TransitGatewayAttachmentId: !Ref Tgw1SecVpcAttachment
      DestinationCidrBlock: '0.0.0.0/0'
      TransitGatewayRouteTableId: !Ref Tgw1VpcARtb

# VpcB的TGW路由表
  Tgw1VpcBRoute1:
    Type: AWS::EC2::TransitGatewayRoute
    DependsOn: Tgw1SecVpcAttachment
    Properties:
      TransitGatewayAttachmentId: !Ref Tgw1SecVpcAttachment
      DestinationCidrBlock: '0.0.0.0/0'
      TransitGatewayRouteTableId: !Ref Tgw1VpcBRtb

# SecVpc的TGW路由表
  Tgw1SecVpcRoute1:
    Type: AWS::EC2::TransitGatewayRoute
    DependsOn: Tgw1VpcAAttachment
    Properties:
      TransitGatewayAttachmentId: !Ref Tgw1VpcAAttachment
      DestinationCidrBlock: '10.110.0.0/16'
      TransitGatewayRouteTableId: !Ref Tgw1SecVpcRtb

  Tgw1SecVpcRoute2:
    Type: AWS::EC2::TransitGatewayRoute
    DependsOn: Tgw1VpcBAttachment
    Properties:
      TransitGatewayAttachmentId: !Ref Tgw1VpcBAttachment
      DestinationCidrBlock: '10.120.0.0/16'
      TransitGatewayRouteTableId: !Ref Tgw1SecVpcRtb


#-----------------------VpcA VpcB Tgw相关路由-----------------------#

  VpcAPublicAz1TgwRoute1:
    DependsOn: Tgw1VpcAAttachment
    Type: AWS::EC2::Route
    Properties:
      DestinationCidrBlock: '10.100.0.0/16'
      TransitGatewayId: !Ref Tgw1
      RouteTableId: !Ref VpcAAz1PublicRouteTable

  VpcAPublicAz2TgwRoute1:
    DependsOn: Tgw1VpcAAttachment
    Type: AWS::EC2::Route
    Properties:
      DestinationCidrBlock: '10.100.0.0/16'
      TransitGatewayId: !Ref Tgw1
      RouteTableId: !Ref VpcAAz2PublicRouteTable

  VpcAPublicAz1TgwRoute2:
    DependsOn: Tgw1VpcAAttachment
    Type: AWS::EC2::Route
    Properties:
      DestinationCidrBlock: '10.120.0.0/16'
      TransitGatewayId: !Ref Tgw1
      RouteTableId: !Ref VpcAAz1PublicRouteTable

  VpcAPublicAz2TgwRoute2:
    DependsOn: Tgw1VpcAAttachment
    Type: AWS::EC2::Route
    Properties:
      DestinationCidrBlock: '10.120.0.0/16'
      TransitGatewayId: !Ref Tgw1
      RouteTableId: !Ref VpcAAz2PublicRouteTable

  VpcAAppAz1TgwRoute1:
    DependsOn: Tgw1VpcAAttachment
    Type: AWS::EC2::Route
    Properties:
      DestinationCidrBlock: '0.0.0.0/0'
      TransitGatewayId: !Ref Tgw1
      RouteTableId: !Ref VpcAAz1AppRouteTable

  VpcAAppAz2TgwRoute1:
    DependsOn: Tgw1VpcAAttachment
    Type: AWS::EC2::Route
    Properties:
      DestinationCidrBlock: '0.0.0.0/0'
      TransitGatewayId: !Ref Tgw1
      RouteTableId: !Ref VpcAAz2AppRouteTable

# ---VpcB路由表---

  VpcBPublicAz1TgwRoute1:
    DependsOn: Tgw1VpcBAttachment
    Type: AWS::EC2::Route
    Properties:
      DestinationCidrBlock: '10.100.0.0/16'
      TransitGatewayId: !Ref Tgw1
      RouteTableId: !Ref VpcBAz1PublicRouteTable

  VpcBPublicAz2TgwRoute1:
    DependsOn: Tgw1VpcBAttachment
    Type: AWS::EC2::Route
    Properties:
      DestinationCidrBlock: '10.100.0.0/16'
      TransitGatewayId: !Ref Tgw1
      RouteTableId: !Ref VpcBAz2PublicRouteTable

  VpcBPublicAz1TgwRoute2:
    DependsOn: Tgw1VpcBAttachment
    Type: AWS::EC2::Route
    Properties:
      DestinationCidrBlock: '10.110.0.0/16'
      TransitGatewayId: !Ref Tgw1
      RouteTableId: !Ref VpcBAz1PublicRouteTable

  VpcBPublicAz2TgwRoute2:
    DependsOn: Tgw1VpcBAttachment
    Type: AWS::EC2::Route
    Properties:
      DestinationCidrBlock: '10.110.0.0/16'
      TransitGatewayId: !Ref Tgw1
      RouteTableId: !Ref VpcBAz2PublicRouteTable

  VpcBAppAz1TgwRoute1:
    DependsOn: Tgw1VpcBAttachment
    Type: AWS::EC2::Route
    Properties:
      DestinationCidrBlock: '0.0.0.0/0'
      TransitGatewayId: !Ref Tgw1
      RouteTableId: !Ref VpcBAz1AppRouteTable

  VpcBAppAz2TgwRoute1:
    DependsOn: Tgw1VpcBAttachment
    Type: AWS::EC2::Route
    Properties:
      DestinationCidrBlock: '0.0.0.0/0'
      TransitGatewayId: !Ref Tgw1
      RouteTableId: !Ref VpcBAz2AppRouteTable

#-----------------------SecVpc Tgw相关路由-----------------------#

  SecVpcPrivateAz1TgwRoute1:
    DependsOn: Tgw1SecVpcAttachment
    Type: AWS::EC2::Route
    Properties:
      DestinationCidrBlock: '10.110.0.0/16'
      TransitGatewayId: !Ref Tgw1
      RouteTableId: !Ref SecVpcAz1PrivateRouteTable

  SecVpcPrivateAz2TgwRoute1:
    DependsOn: Tgw1SecVpcAttachment
    Type: AWS::EC2::Route
    Properties:
      DestinationCidrBlock: '10.110.0.0/16'
      TransitGatewayId: !Ref Tgw1
      RouteTableId: !Ref SecVpcAz2PrivateRouteTable

  SecVpcPrivateAz1TgwRoute2:
    DependsOn: Tgw1SecVpcAttachment
    Type: AWS::EC2::Route
    Properties:
      DestinationCidrBlock: '10.120.0.0/16'
      TransitGatewayId: !Ref Tgw1
      RouteTableId: !Ref SecVpcAz1PrivateRouteTable

  SecVpcPrivateAz2TgwRoute2:
    DependsOn: Tgw1SecVpcAttachment
    Type: AWS::EC2::Route
    Properties:
      DestinationCidrBlock: '10.120.0.0/16'
      TransitGatewayId: !Ref Tgw1
      RouteTableId: !Ref SecVpcAz2PrivateRouteTable


#-----------------------SecVpc Endpoint相关路由-----------------------#

  SecVpcPublicAz1Route1:
    DependsOn: Tgw1SecVpcAttachment
    Type: AWS::EC2::Route
    Properties:
      DestinationCidrBlock: '10.110.0.0/16'
      VpcEndpointId: !Ref GwlbEndpoint1
      RouteTableId: !Ref SecVpcAz1PublicRouteTable

  SecVpcPublicAz2Route1:
    DependsOn: Tgw1SecVpcAttachment
    Type: AWS::EC2::Route
    Properties:
      DestinationCidrBlock: '10.110.0.0/16'
      VpcEndpointId: !Ref GwlbEndpoint2
      RouteTableId: !Ref SecVpcAz2PublicRouteTable

  SecVpcPublicAz1Route2:
    DependsOn: Tgw1SecVpcAttachment
    Type: AWS::EC2::Route
    Properties:
      DestinationCidrBlock: '10.120.0.0/16'
      VpcEndpointId: !Ref GwlbEndpoint1
      RouteTableId: !Ref SecVpcAz1PublicRouteTable

  SecVpcPublicAz2Route2:
    DependsOn: Tgw1SecVpcAttachment
    Type: AWS::EC2::Route
    Properties:
      DestinationCidrBlock: '10.120.0.0/16'
      VpcEndpointId: !Ref GwlbEndpoint2
      RouteTableId: !Ref SecVpcAz2PublicRouteTable

  SecVpcAz1TgwRoute1:
    Type: AWS::EC2::Route
    Properties:
      DestinationCidrBlock: '0.0.0.0/0'
      VpcEndpointId: !Ref GwlbEndpoint1
      RouteTableId: !Ref SecVpcAz1TgwRouteTable

  SecVpcAz2TgwRoute1:
    Type: AWS::EC2::Route
    Properties:
      DestinationCidrBlock: '0.0.0.0/0'
      VpcEndpointId: !Ref GwlbEndpoint2
      RouteTableId: !Ref SecVpcAz2TgwRouteTable


#-----------------------修改TGW负载均衡模式-----------------------#

# Transit Gateway appliance mode Lambda Role:
  TgwLambdaExecutionRole:
    Type: AWS::IAM::Role
    Properties:
      AssumeRolePolicyDocument:
        Version: "2012-10-17"
        Statement:
          - Effect: Allow
            Principal:
              Service:
                - lambda.amazonaws.com
            Action:
              - sts:AssumeRole
      Path: /
      Policies:
        - PolicyName: root
          PolicyDocument:
            Version: "2012-10-17"
            Statement:
              - Effect: Allow
                Action:
                  - logs:CreateLogStream
                  - logs:PutLogEvents
                Resource: !GetAtt TgwApplianceModeLogGroup.Arn
              - Effect: Allow
                Action:
                  - ec2:ModifyTransitGatewayVpcAttachment
                  - ec2:DescribeTransitGatewayVpcAttachments
                Resource: "*"

# Enable Transit Gateway Appliance Mode Lambda Custom Resource:
  TgwApplianceModeLogGroup:
    Type: AWS::Logs::LogGroup
    Properties:
        LogGroupName: !Sub /aws/lambda/${AWS::StackName}-tgw-appliancemode
        RetentionInDays: 1

  TgwApplianceMode:
    Type: AWS::Lambda::Function
    DependsOn: TgwApplianceModeLogGroup
    Properties:
      FunctionName: !Sub ${AWS::StackName}-tgw-appliancemode
      Handler: "index.handler"
      Role: !GetAtt TgwLambdaExecutionRole.Arn
      Code:
        ZipFile: |
          import boto3
          import cfnresponse
          import json
          import logging

          def handler(event, context):
              logger = logging.getLogger()
              logger.setLevel(logging.INFO)
              responseData = {}
              responseStatus = cfnresponse.FAILED
              logger.info('Received event: {}'.format(json.dumps(event)))
              if event["RequestType"] == "Delete":
                  responseStatus = cfnresponse.SUCCESS
                  cfnresponse.send(event, context, responseStatus, responseData)
              if event["RequestType"] == "Create":
                  try:
                      TgwSecVpcAttachmentId = event["ResourceProperties"]["TgwSecVpcAttachmentId"]
                      ApplianceMode = event["ResourceProperties"]["ApplianceMode"]
                  except Exception as e:
                      logger.info('Key retrieval failure: {}'.format(e))
                  try:
                      ec2 = boto3.client('ec2')
                  except Exception as e:
                      logger.info('boto3.client failure: {}'.format(e))
                  try:
                      ec2.modify_transit_gateway_vpc_attachment(
                          TransitGatewayAttachmentId = TgwSecVpcAttachmentId,
                          Options = {'ApplianceModeSupport': ApplianceMode}
                      )
                      TgwResponse = ec2.describe_transit_gateway_vpc_attachments(
                          TransitGatewayAttachmentIds=[TgwSecVpcAttachmentId]
                      )
                      ApplianceModeStatus = TgwResponse['TransitGatewayVpcAttachments'][0]['Options']['ApplianceModeSupport']
                  except Exception as e:
                      logger.info('ec2.modify/describe_transit_gateway_vpc_attachment: {}'.format(e))

                  responseData['ApplianceModeStatus'] = ApplianceModeStatus
                  responseStatus = cfnresponse.SUCCESS
                  cfnresponse.send(event, context, responseStatus, responseData)
      Runtime: python3.7
      Timeout: 30

  ApplianceModeEnabled:
    Type: Custom::ModifyTransitGatewayVpcAttachment
    Properties:
      ServiceToken: !GetAtt TgwApplianceMode.Arn
      TgwSecVpcAttachmentId: !Ref Tgw1SecVpcAttachment
      ApplianceMode: enable

三、初始化Paloalto防火墙

使用EC2密钥登录防火墙CLI，修改admin用户的密码。

commitadmin@PA-VM> configure
Entering configuration mode
[edit]
admin@PA-VM# set mgt-config users admin password
Enter password   :
Confirm password :

[edit]
admin@PA-VM# commit

第一台防火墙初始化命令。

set network profiles interface-management-profile MgtProfile http yes
set network profiles interface-management-profile MgtProfile ssh yes
set network profiles interface-management-profile MgtProfile ping yes

set network interface ethernet ethernet1/1 layer3 ndp-proxy enabled no
set network interface ethernet ethernet1/1 layer3 sdwan-link-settings upstream-nat enable no
set network interface ethernet ethernet1/1 layer3 sdwan-link-settings upstream-nat static-ip
set network interface ethernet ethernet1/1 layer3 sdwan-link-settings enable no
set network interface ethernet ethernet1/1 layer3 interface-management-profile MgtProfile
set network interface ethernet ethernet1/1 layer3 lldp enable no
set network interface ethernet ethernet1/1 layer3 dhcp-client

set network virtual-router default interface ethernet1/1
set zone untrust network layer3 ethernet1/1

set rulebase default-security-rules rules intrazone-default action allow
set rulebase default-security-rules rules intrazone-default log-start yes
set rulebase default-security-rules rules intrazone-default log-end yes
set rulebase default-security-rules rules intrazone-default profile-setting profiles url-filtering default
set rulebase default-security-rules rules intrazone-default profile-setting profiles file-blocking "strict file blocking"
set rulebase default-security-rules rules intrazone-default profile-setting profiles virus default
set rulebase default-security-rules rules intrazone-default profile-setting profiles spyware strict
set rulebase default-security-rules rules intrazone-default profile-setting profiles vulnerability strict
set rulebase default-security-rules rules intrazone-default profile-setting profiles wildfire-analysis default

set deviceconfig system hostname PA1
set deviceconfig system locale zh_CN
set deviceconfig system timezone Asia/Shanghai

commit

第二台防火墙初始化命令，只有主机名不同。

set network profiles interface-management-profile MgtProfile http yes
set network profiles interface-management-profile MgtProfile ssh yes
set network profiles interface-management-profile MgtProfile ping yes

set network interface ethernet ethernet1/1 layer3 ndp-proxy enabled no
set network interface ethernet ethernet1/1 layer3 sdwan-link-settings upstream-nat enable no
set network interface ethernet ethernet1/1 layer3 sdwan-link-settings upstream-nat static-ip
set network interface ethernet ethernet1/1 layer3 sdwan-link-settings enable no
set network interface ethernet ethernet1/1 layer3 interface-management-profile MgtProfile
set network interface ethernet ethernet1/1 layer3 lldp enable no
set network interface ethernet ethernet1/1 layer3 dhcp-client

set network virtual-router default interface ethernet1/1
set zone untrust network layer3 ethernet1/1

set rulebase default-security-rules rules intrazone-default action allow
set rulebase default-security-rules rules intrazone-default log-start yes
set rulebase default-security-rules rules intrazone-default log-end yes
set rulebase default-security-rules rules intrazone-default profile-setting profiles url-filtering default
set rulebase default-security-rules rules intrazone-default profile-setting profiles file-blocking "strict file blocking"
set rulebase default-security-rules rules intrazone-default profile-setting profiles virus default
set rulebase default-security-rules rules intrazone-default profile-setting profiles spyware strict
set rulebase default-security-rules rules intrazone-default profile-setting profiles vulnerability strict
set rulebase default-security-rules rules intrazone-default profile-setting profiles wildfire-analysis default
Pr
set deviceconfig system hostname PA2
set deviceconfig system locale zh_CN
set deviceconfig system timezone Asia/Shanghai

commit

四、AWS上部署Panorama实例

搜索Panorama关键词，点击「亚马逊云科技Marketplace AMI」过滤，选择Panorama的镜像启动。

Panorama至少需要16vCPU，32GB内存。这个AMI设置了允许的实例类型，随意选择实例类型可能不受支持，从而启动失败，推荐使用m4.4xlarge实例即可。

选择EC2密钥，放置在SecVpc的公有子网，启动自动获取公网IP地址，选择现有安全组。添加一块2TB的存储卷，用于存储日志文件。最后启动实例，Panorama首次启动非常慢，大概需要20分钟才会完成启动。

使用EC2密钥登录Panorama防火墙，修改admin用户的密码。

admin@Panorama> configure
Entering configuration mode
[edit]
admin@Panorama# set mgt-config users admin password
Enter password   :
Confirm password :

[edit]
admin@Panorama# commit

五、Panorama与Paloalto激活

登录Paloalto网页：https://support.paloaltonetworks.com/SupportAccount/FirewallFlexDashboard，创建一个新的授权配置文件。

CN-Series是各类容器与容器管理平台中的容器版本防火墙。

Flexible vCPUs会根据系统分配的vCPU和内存，来决定防火墙的型号。

勾选For Management表示使用Panorama。

生成Panorama的序列号。

输入序列号，激活Panorama。激活会重启Panorama，需要等待5分钟左右。

Panorama激活成功。

Paloalto防火墙激活成功。

六、Panorama版本升级

Panorama设置更新服务器域名、DNS服务器、NTP服务器，设置完成后，点击右上角Commit提交配置。

Panorama升级之前需要更新应用库。这里检查更新也需要花费较长时间。

Panorama升级到与Paloalto防火墙相同版本。下载比较快，安装需要等待较长时间。

Panorama升级完成。

七、Panorama添加Paloalto防火墙

在两台Paloalto防火墙上，配置DNS服务器和NTP服务器。

防火墙可以通过CLI查看NTP同步状态。

admin@PA1> show ntp

NTP state:
    NTP synched to ntp1.aliyun.com
    NTP server: ntp1.aliyun.com
        status: synched
        reachable: yes
        authentication-type: none
    NTP server: ntp2.aliyun.com
        status: available
        reachable: yes
        authentication-type: none

在Panorama上添加Paloalto防火墙，输入两台防火墙的序列号之后，拷贝认证密钥，最后提交配置到Panorama。

在两台Paloalto防火墙上添加Panorama的IP地址，以及认证密钥信息，最后提交配置到Paloalto。

Panorama上添加成功添加Paloalto防火墙。

八、文档链接

• Panorama Administrator's Guide ：https://docs.paloaltonetworks.com/panorama/10-2/panorama-admin
• PAN-OS Administrator's Guide：https://docs.paloaltonetworks.com/pan-os/10-2/pan-os-admin

这篇文档介绍如何利用EVE-NG搭建Panorama测试环境。

一、注意事项

• EVE-NG的低版本不支持Panorama镜像，例如2.0.3-86版本就不支持。这里实验环境使用的是版本是5.0.1-13-Community，下载链接：https://www.eve-ng.net/index.php/download/#DL-COMM。
• Panorama与Paloalto防火墙版本需要保持一致，或者Panorama高于Paloalto防火墙的版本。这里实验环境Panorama与Paloalto都是用10.2.0版本。另外测试时发现Paloalto防火墙10.2.3版本在EVE-NG环境中需要编辑节点，在“QEMU custom options”中添加“-cpu host”参数才能启动。
• Paloalto防火墙在未激活的情况也可以测试大部分功能，但是Panorama不激活的情况下，无法管理Paloalto防火墙。

二、下载Panorama与Paloalto镜像

下载Panorama与Paloalto镜像文件，需要拥有Paloalto账号，登录https://support.paloaltonetworks.com/Updates 后下载对应的镜像文件。

下载Paloalto防火墙10.2.0版本的镜像文件。

下载Panorama10.2.0版本的镜像文件。

三、EVE-NG 导入Paloalto与Panorama镜像

通过WinSCP软件连接EVE-NG，将下载的镜像文件上传到EVE-NG中，这里先存放到临时目录/root/temp中。

EVE-NG添加Paloalto防火墙的步骤。

# 查看镜像文件
root@eve-ng:~/temp# ls
Panorama-KVM-10.2.0.qcow2  PA-VM-KVM-10.2.0.qcow2

# 创建文件夹
root@eve-ng:~/temp# mkdir /opt/unetlab/addons/qemu/paloalto-10.2.0/

# 进入文件夹
root@eve-ng:~/temp# cd /opt/unetlab/addons/qemu/paloalto-10.2.0/

# 移动镜像文件
root@eve-ng:/opt/unetlab/addons/qemu/paloalto-10.2.0# mv /root/temp/PA-VM-KVM-10.2.0.qcow2 virtioa.qcow2

# 查看镜像文件
root@eve-ng:/opt/unetlab/addons/qemu/paloalto-10.2.0# ls
virtioa.qcow2

# 修复权限
/opt/unetlab/wrappers/unl_wrapper -a fixpermissions

EVE-NG添加Panorama的步骤。

# 为panorama镜像创建文件夹
root@eve-ng:~# mkdir /opt/unetlab/addons/qemu/panorama-10.2.0

# 进入文件夹
root@eve-ng:~# cd /opt/unetlab/addons/qemu/panorama-10.2.0/

# 移动镜像文件
mv /root/temp/Panorama-KVM-10.2.0.qcow2 virtioa.qcow2 

# 为panorama添加日志硬盘
root@eve-ng:/opt/unetlab/addons/qemu/panorama-10.2.0# /opt/qemu/bin/qemu-img create -f qcow2 virtiob.qcow2 100G
Formatting 'virtiob.qcow2', fmt=qcow2 size=107374182400 encryption=off cluster_size=65536 lazy_refcounts=off refcount_bits=16

# 修复权限
root@eve-ng:/opt/unetlab/addons/qemu/panorama-10.2.0# /opt/unetlab/wrappers/unl_wrapper -a fixpermissions

在EVE-NG中查看节点。

创建一个Panorama，CPU为16，RAM为32768（32GB），如果小于这个数值，启动后会有告警提示。

创建两个Paloalto防火墙，CPU为2，RAM为6144（6GB），如果内存小于5.5GB，将无法启动。

默认Panorama和防火墙的管理口会通过DHCP获取地址，如果想要手动配置静态IP地址，可以通过如下命令配置。

set deviceconfig system type static
set deviceconfig system ip-address 10.1.1.1 netmask 255.255.255.0 default-gateway 10.1.1.254 dns-setting servers primary 114.114.114.114

Panorama启动后初始化截图，默认的用户名和密码都是admin。

Paloalto2防火墙启动后初始化截图，默认的用户名和密码都是admin。

四、Panorama与Paloalto激活并添加管理

登录Paloalto网页：https://support.paloaltonetworks.com/SupportAccount/FirewallFlexDashboard，创建一个新的授权配置文件。

CN-Series是各类容器与容器管理平台中的容器版本防火墙。

Flexible vCPUs会根据系统分配的vCPU和内存，来决定防火墙的型号。

勾选For Management表示使用Panorama。

生成Panorama的序列号。

输入序列号，激活Panorama。激活会重启Panorama，需要等待较长时间，如果长时间没有启动成功，可以在EVE-NG中Stop虚拟机，然后重新Start。

在Paloalto1和Paloalto2防火墙上，输入激活码，激活防火墙。激活会重启Paloalto防火墙，需要等待较长时间，如果长时间没有启动成功，可以在EVE-NG中Stop虚拟机，然后重新Start。

Panorama激活成功。

Paloalto防火墙激活成功。

在Panorama上添加Paloalto防火墙，输入两台防火墙的序列号之后，拷贝认证密钥，最后提交配置到Panorama。

在Paloalto1防火墙上添加Panorama的IP地址，以及认证密钥信息，最后提交配置到Paloalto。

在Panorama上查看连接状态。

五、文档链接

• Panorama Administrator's Guide ：https://docs.paloaltonetworks.com/panorama/10-2/panorama-admin
• EVE-NG 下载：https://www.eve-ng.net/index.php/download/#DL-COMM
• EVE-NG导入Paloalto：https://www.eve-ng.net/index.php/documentation/howtos/howto-add-palo-alto/
• EVE-NG导入Panorama：https://www.eve-ng.net/index.php/documentation/howtos/palo-panorama/
• EVE-NG镜像命名：https://www.eve-ng.net/index.php/documentation/qemu-image-namings/
• Paloalto下载镜像文件：https://support.paloaltonetworks.com/Updates