À propos des cookies sur ce site Pour fonctionner correctement, nos sites Internet nécessitent certains cookies (requis). En outre, d'autres cookies peuvent être utilisés avec votre consentement pour analyser l'utilisation d'un site, améliorer l'expérience des utilisateurs et à des fins publicitaires. Pour plus informations, passez en revue vos options de préférences en. En visitant notre site Web, vous acceptez que nous traitions les informations comme décrit dans ladéclaration de confidentialité d’IBM. Pour faciliter la navigation, vos préférences en matière de cookie seront partagées dans les domaines Web d'IBM énumérés ici.
Mise en œuvre et gestion de Fortinet FortiGate VM
Planification
La machine virtuelle FortiGate® (VM) est disponible en plusieurs tailles et options de licence. Les tailles de licence limitent le nombre d'unités centrales virtuelles que vous pouvez utiliser. Par exemple, FortiGate–VM08 vous donne droit à 8 unités centrales virtuelles. Les ensembles de logiciels suivants sont disponibles.
- Pare-feu standard
- Standard FW + Unified Threat Management
- Pare-feu standard + Enterprise
Pour plus d'informations sur les capacités de chaque niveau de licence et de chaque lot, voir FortiGate–VM sur VMware la fiche technique ESXi.
Spécifications
Les dispositifs FortiGate VM sont déployés selon les spécifications suivantes.
| Composant | Spécification |
|---|---|
| vCPU | Déterminé par le niveau de licence sélectionné |
| vRAM | Pour les déploiements 2–CPU , l'allocation initiale est de 4 Go ; pour les déploiements 4–CPU , elle est de 6 Go ; pour tous les autres déploiements, elle est de 12 Go. |
| Haute disponibilité | Deux appliances sont déployées pour assurer la haute disponibilité (HA) |
| Utilisation du disque | Un disque de 2 Go et un disque de 30 Go |
| Support de disque | Lorsqu'il est déployé sur un cluster gateway, stockage SSD local ; lorsqu'il est déployé sur tout autre cluster, en utilisant vSAN ou IBM Cloud® Endurance, selon le cas |
l'automatisation IBM Cloud vous limite à choisir les options 16 et 32–CPU lorsque vous déployez FortiGate dans un cluster de passerelles.
Configuration de réseau
Les dispositifs virtuels FortiGate sont déployés avec 10 interfaces réseau.
Interface de gestion
L'interface de gestion est connectée au réseau local virtuel de gestion et au groupe de ports pour le cluster correspondant, et une adresse IP de gestion est affectée par l'automatisation IBM Cloud pour cette interface. Ne réaffectez pas ou reconfigurez cette interface de gestion.
Lorsqu'il est déployé sur un cluster de gestion ayant des interfaces publiques, un pare-feu et des règles NAT source sont créés sur les services NSX Edge™ pour permettre aux périphériques FortiGate de se connecter au réseau public en utilisant http et https uniquement. Il permet la gestion des licences et il n'est pas recommandé de modifier ces règles car cela peut entraîner la désactivation de votre licence.
Lors d'un déploiement sur un cluster de passerelles ou sur un cluster de gestion qui n'a que des interfaces privées, vous devez plutôt fournir les détails d'un serveur proxy que les appliances FortiGate peuvent utiliser pour se connecter au réseau public pour l'octroi de licences. Les dispositifs peuvent tenter d'accéder à l'un des noms d'hôte suivants :
update.fortiguard.netservice.fortiguard.netsupport.fortinet.comguard.fortinet.com
Interface haute disponibilité
Lorsqu'ils sont déployés sur un cluster de gestion, les interfaces à haute disponibilité des dispositifs FortiGate sont connectées à un commutateur logique dédié.
Lorsqu'elles sont déployées dans un cluster de passerelles, les interfaces HA des appliances FortiGate sont connectées au VLAN de stockage utilisé par le cluster de passerelles.
Interfaces de pare-feu
Lorsqu'ils sont déployés sur un cluster de gestion, les interfaces de pare-feu restantes pour les dispositifs FortiGate sont connectées au réseau de gestion, mais aucune adresse IP n'est affectée. Vous devez affecter ces interfaces aux réseaux que vous souhaitez protéger.
Lorsqu'elles sont déployées dans un cluster de passerelles, les appliances FortiGate VM sont connectées au réseau de transit IBM Cloud et configurées pour s'appairer avec les routeurs clients IBM Cloud Définissez les règles de pare-feu appropriées avant de configurer vos VLAN pour qu'ils soient protégés par le cluster de passerelles.
VMware DRS et réservations
Etant donné qu'il fournit des services de mise en réseau sensibles au temps, FortiGate VM doit être configuré pour s'assurer qu'il dispose de ressources adéquates. L'automatisation IBM Cloud configure une réservation pour s'assurer que les dispositifs virtuels reçoivent leur totalité de l'unité centrale et de la mémoire. Pour assurer l'HA, l'automatisation IBM Cloud crée également une règle anti-affinité DRS pour empêcher les deux appliances virtuelles FortiGate VM de fonctionner sur le même hôte.
Licences requises
Cette architecture requiert l'octroi de licences FortiGate VM à partir de Fortinet ®. L'automatisation IBM Cloud contient la licence FortiGate VM basée sur le niveau de licence et la taille de déploiement de votre choix. Votre facture mensuelle IBM Cloud reflète votre commande et l'utilisation continue de FortiGate VM. Les dispositifs virtuels FortiGate nécessitent une connectivité sortante aux serveurs de licences Fortinet pour activer et conserver leur licence.
Restrictions
Il n'est pas possible de modifier le niveau de licence ou le débit autorisé de votre déploiement FortiGate VM après son déploiement. Pour ce faire, vous devez déployer une nouvelle instance de FortiGate VM, migrer votre configuration vers la nouvelle instance et supprimer l'instance d'origine.