IBM Cloud Docs
Fortinet FortiGate Conception de VM

Fortinet FortiGate Conception de VM

La solution FortiGate® VM complète les offres IBM Cloud® for VMware Solutions en fournissant des fonctions de pare-feu de nouvelle génération (NGFW) pour les réseaux de votre domaine VMware®. Ces services sont fournis par une ou plusieurs paires de dispositifs virtuels FortiGate déployés dans votre environnement VMware.

FortiGate VM ne remplace pas NSX-T™ mais complète et améliore l'architecture VMware NSX® existante lorsqu'il est installé dans votre instance VMware Cloud Foundation for Classic - Automated sur IBM Cloud® FortiGate VM est déployé en tant que paire de dispositifs virtuels avec une interface réseau (port1) configurée pour l'accès de gestion et neuf interfaces réseau disponibles dans le plan de données du client. Avec la configuration appropriée des réseaux et des routes, vous pouvez utiliser FortiGate VM pour assurer la sécurité du réseau entre tous les niveaux de votre topologie de réseau.

Topologies

Vous pouvez déployer une VM FortiGate selon plusieurs stratégies différentes, comme l'illustre la figure 1.

FortiGate VM deployment topologies
FortiGate VM deployment topologies

Dans cette figure, FCR est le routeur client frontal IBM Cloud (public), et BCR est le routeur client dorsal IBM Cloud (privé). Pour plus d'informations sur la conception du réseau IBM Cloud, voir Conception de réseau physique.

IBM Cloud services de pointe

Vous pouvez déployer un VMware cluster de passerelle ESXi™ dans le cadre de votre VMware Cloud Foundation for Classic - Automated instance. Ce cluster est configuré pour être homologue avec les routeurs du client IBM Cloud pour fournir des services de pare-feu et de passerelle pour les réseaux locaux virtuels publics et privés IBM Cloud de votre choix. Bien que vous puissiez déployer n'importe quelle technologie de pare-feu virtuel de votre choix sur ce cluster de passerelle, IBM Cloud propose FortiGate VM en option pour ces services de pare-feu et de passerelle. Grâce à cette approche, vos appareils FortiGate VM peuvent fournir des services tels que :

  • Le pare-feu entre les réseaux publics et privés.
  • Le pare-feu entre vos réseaux locaux virtuels privés et les sous-réseaux. Par exemple, vous pouvez déployer des clusters distincts pour la charge de travail et la gestion sur des réseaux locaux virtuels distincts et utiliser l'arête pour limiter la connectivité entre la gestion et la charge de travail.
  • Pire réseau entre votre environnement privé (y compris vos bords et réseaux NSX) et les environnements externes (tels que vos réseaux sur site).
  • Des services pare-feu avancés tels que VPN et IPS pour ces réseaux.

Dans la figure précédente, cette topologie est illustrée par le composant FortiGate-VM Edge.

Dispositif de pare-feu virtuel

Vous pouvez également déployer FortiGate VM en tant que pare-feu virtuel directement dans vos réseaux de gestion et de charge de travail. Avec cette approche, vos dispositifs FortiGate VM peuvent remplir les fonctions suivantes :

  • Pare-feu de passerelle entre des réseaux publics et privés tels que NAT, pare-feu et VPN
  • Pare-feu de passerelle entre le réseau privé et les superpositions NSX
  • Pare-feu de passerelle entre différents niveaux de charge de travail au sein de vos réseaux de superposition NSX

De plus, FortiGate VM peut utiliser le chaînage de service pour s'intégrer directement avec NSX-T.

Dans la figure précédente, ces topologies sont illustrées par le composant FortiGate-VM Internal.