IBM Cloud Docs
Fortinet FortiGate VM Implementierung und Verwaltung

Fortinet FortiGate VM Implementierung und Verwaltung

Planung

Die virtuelle Maschine (VM) FortiGate® ist in verschiedenen Größen und Lizenzierungsoptionen erhältlich. Die Lizenzgrößen begrenzen die Anzahl virtueller CPUs, die Sie betreiben können. Beispiel: FortiGate–VM08 berechtigt Sie für bis zu 8 virtuelle CPUs. Die folgenden Lizenzpakete sind verfügbar.

  • Standard FW
  • Standard-FW + Unified Threat Management
  • Standard FW + Enterprise

Weitere Informationen zu den Funktionen der einzelnen Lizenzstufen und -pakete finden Sie im FortiGate–VM auf dem VMware ESXi-Datenblatt.

Spezifikationen

FortiGate werden gemäß den folgenden Spezifikationen bereitgestellt.

Appliance, Spezifikationen
Komponente Spezifikation
vCPU Bestimmt durch die ausgewählte Lizenzstufe
vRAM Bei 2–CPU-Bereitstellungen beträgt die anfängliche Zuordnung 4 GB, bei 4–CPU-Bereitstellungen 6 GB und bei allen anderen Bereitstellungen 12 GB
Hochverfügbarkeit (HA) Es werden zwei Geräte eingesetzt, um eine hohe Verfügbarkeit (HA) zu gewährleisten
Plattenbelegung Eine Platte mit 2 GB und eine Platte mit 30 GB
Plattensicherung Bei Bereitstellung in einem Gateway-Cluster: lokaler SSD-Speicher; bei Bereitstellung in einem anderen Cluster: vSAN oder IBM Cloud®, soweit zutreffend

IBM Cloud Bei der Automatisierung können Sie nur zwischen 32–CPU wählen, wenn Sie FortiGate in einem Gateway-Cluster einsetzen.

Netzkonfiguration

Die virtuellen FortiGate-Appliances werden mit 10 Netzschnittstellen bereitgestellt.

Managementschnittstelle

Die Managementschnittstelle ist dem Management-VLAN und der Portgruppe für den entsprechenden Cluster zugeordnet und eine Management-IP-Adresse wird von der IBM Cloud-Automatisierung für diese Schnittstelle zugewiesen. Diese Managementschnittstelle darf nicht neu zugeordnet oder neu konfiguriert werden.

Bei der Bereitstellung in einem Management-Cluster mit öffentlichen Schnittstellen werden auf den NSX Edge™-Diensten eine Firewall und Quell-NAT-Regeln erstellt, damit FortiGate nur über http und https eine Verbindung zum öffentlichen Netzwerk herstellen können. Es ermöglicht die Lizenzverwaltung und es wird nicht empfohlen, diese Regeln zu ändern, da dies dazu führen kann, dass Ihre Lizenz deaktiviert wird.

Bei der Bereitstellung in einem Gateway-Cluster oder einem Management-Cluster, das nur über private Schnittstellen verfügt, müssen Sie stattdessen die Details für einen Proxy-Server angeben, über den FortiGate eine Verbindung zum öffentlichen Netzwerk herstellen können, um die Lizenzierung durchzuführen. Die Appliances versuchen möglicherweise auf einen der folgenden Hostnamen zuzugreifen:

  • update.fortiguard.net
  • service.fortiguard.net
  • support.fortinet.com
  • guard.fortinet.com

Hochverfügbarkeitsschnittstelle

Bei der Bereitstellung in einem Management-Cluster werden die HA-Schnittstellen der FortiGate-Appliances mit einem festgelegten logischen Switch verbunden.

Bei der Bereitstellung in einem Gateway-Cluster werden die HA-Schnittstellen FortiGate mit dem vom Gateway-Cluster verwendeten Speicher-VLAN verbunden.

Firewallschnittstellen

Bei der Bereitstellung in einem Management-Cluster werden die verbleibenden Firewallschnittstellen für die FortiGate-Appliances im Managementnetz verfügbar gemacht, aber noch ohne zugeordnete IP-Adressen. Sie müssen diese Schnittstellen den Netzen zuordnen, die Sie schützen möchten.

Bei der Bereitstellung in einem Gateway-Cluster werden FortiGate mit IBM Cloud verbunden und für die Peer-to-Peer-Kommunikation mit IBM Cloud konfiguriert. Definieren Sie geeignete Firewall-Regeln, bevor Sie Ihre VLANs so konfigurieren, dass sie durch den Gateway-Cluster geschützt werden.

VMware DRS und Reservierungen

Da es zeitkritische Netzwerkdienste bereitstellt, muss FortiGate so konfiguriert werden, dass es über ausreichende Ressourcen verfügt. Die IBM Cloud-Automatisierung konfiguriert eine Reservierung, um sicherzustellen, dass die virtuellen Appliances den gesamten für sie reservierten CPU und Speicher nutzen können. Um HA zu gewährleisten, erstellt IBM Cloud auch eine DRS-Anti-Affinitätsregel, um die Ausführung FortiGate auf demselben Host zu verhindern.

Lizenzvoraussetzungen

Diese Architektur erfordert FortiGate von Fortinet®. IBM Cloud Die Automatisierung stellt FortiGate basierend auf der von Ihnen gewählten Lizenzstufe und Bereitstellungsgröße bereit. Ihre monatliche Rechnung IBM Cloud spiegelt Ihre Bestellung und die laufende Nutzung von FortiGate wider. Die virtuellen FortiGate-Appliances erfordern abgehende Konnektivität zu Fortinet-Lizenzierungsservern, um die Lizenz zu aktivieren und zu verwalten.

Vorbehalte

Es ist nicht möglich, die Lizenzstufe oder den lizenzierten Durchsatz Ihrer FortiGate zu ändern, nachdem sie bereitgestellt wurde. Um dieses Szenario zu erreichen, müssen Sie eine neue Instanz von FortiGate bereitstellen, Ihre Konfiguration auf die neue Instanz migrieren und die ursprüngliche Instanz löschen.