Implementación y gestión de Fortinet FortiGate VM
Planificación
La máquina virtual (VM) FortiGate® está disponible en varios tamaños y opciones de licencia. Los tamaños de licencia limitan el número de CPU virtuales que puede operar. Por ejemplo, FortiGate–VM08 le da derecho a hasta 8 CPU virtuales. Están disponibles los siguientes paquetes de licencia.
- Standard FW
- Standard FW + Gestión unificada de amenazas
- Standard FW + Enterprise
Para obtener más información sobre las capacidades de cada nivel y paquete de licencia, consulte FortiGate–VM en VMware ESXi.
Especificaciones
Los dispositivos de FortiGate VM se despliegan de acuerdo con las siguientes especificaciones.
| Componente | Especificación |
|---|---|
| vCPU | Determinado por el nivel de licencia seleccionado |
| vRAM | Para despliegues de 2–CPU, la asignación inicial es de 4 GB; para despliegues de 4–CPU, es de 6 GB; para todos los demás despliegues, es de 12 GB |
| Alta disponibilidad | Se despliegan dos dispositivos para garantizar la alta disponibilidad (HA) |
| Uso de disco | Un disco de 2 GB y un disco de 30 GB |
| Respaldo de disco | Cuando se despliega en un clúster de puerta de enlace, almacenamiento SSD local; cuando se despliega en cualquier otro clúster, utilizando vSAN o IBM Cloud® Endurance, según corresponda |
la automatización IBM Cloud le limita a elegir opciones de 16 y 32–CPU cuando despliega FortiGate en un cluster de gateways.
Configuración de red
Los dispositivos virtuales FortiGate se despliegan con 10 interfaces de red.
Interfaz de gestión
La interfaz de gestión está conectada a la VLAN de gestión y al grupo de puertos para el clúster correspondiente, y la automatización de IBM Cloud asigna una dirección IP de gestión para esta interfaz. No reasigne ni vuelva a configurar esta interfaz de gestión.
Cuando se despliega en un clúster de gestión que tiene interfaces públicas, se crean reglas de cortafuegos y NAT de origen en los servicios NSX Edge™ para permitir que los dispositivos FortiGate se conecten a la red pública utilizando solo http y https. Permite la gestión de licencias y no se recomienda cambiar estas reglas, ya que podría provocar que su licencia se desactive.
Cuando se despliega en un clúster de puerta de enlace, o en un clúster de gestión que sólo tiene interfaces privadas, debe proporcionar los detalles de un servidor proxy que los dispositivos FortiGate pueden utilizar para conectarse a la red pública para la concesión de licencias. Los dispositivos pueden intentar acceder a cualquiera de los siguientes nombres de host:
update.fortiguard.netservice.fortiguard.netsupport.fortinet.comguard.fortinet.com
Interfaz de alta disponibilidad
Cuando se despliega en un clúster de gestión, las interfaces de alta disponibilidad de los dispositivos FortiGate están conectadas a un conmutador lógico dedicado.
Cuando se implementan en un clúster de puerta de enlace, las interfaces de HA de los dispositivos FortiGate se conectan a la VLAN de almacenamiento utilizada por el clúster de puerta de enlace.
Interfaces de cortafuegos
Cuando se despliega en un clúster de gestión, las interfaces de cortafuegos restantes para los dispositivos FortiGate están conectadas a la red de gestión pero no tienen direcciones IP asignadas. Debe asignar estas interfaces a las redes que desea proteger.
Cuando se despliegan en un clúster de puerta de enlace, los dispositivos FortiGate VM se conectan a la red de tránsito IBM Cloud y se configuran para conectarse con los routers de cliente IBM Cloud. Defina las reglas de cortafuegos adecuadas antes de configurar sus VLAN para que estén protegidas por el clúster de pasarelas.
DRS de VMware y reservas
Puesto que proporciona servicios de red que dependen del tiempo, FortiGate VM debe configurarse para asegurarse de que dispone de los recursos adecuados. La automatización de IBM Cloud configura una reserva para asegurarse de que los dispositivos virtuales reciben su asignación completa de CPU y memoria. Para garantizar la HA, la automatización IBM Cloud también crea una regla antiafinidad DRS para restringir que los dos dispositivos virtuales FortiGate VM se ejecuten en el mismo host.
Requisitos de licencia
Esta arquitectura requiere la licencia FortiGate VM de Fortinet®. La automatización de IBM Cloud incluye la licencia FortiGate VM basada en el nivel de licencia y el tamaño de despliegue elegidos. Su factura mensual de IBM Cloud refleja su pedido y el uso continuo de FortiGate VM. Los dispositivos virtuales FortiGate requieren conectividad de salida a los servidores de licencias de Fortinet para activar y mantener su licencia.
Advertencias
No es posible cambiar el nivel de licencia o el rendimiento bajo licencia del despliegue de FortiGate VM después de que se haya desplegado. Para conseguirlo, debe desplegar una nueva instancia de FortiGate VM, migrar la configuración a la nueva instancia y suprimir la instancia original.