Fortinet FortiGate Implementazione e gestione di macchine virtuali
Pianificazione
La macchina virtuale (VM) FortiGate® è disponibile in diverse dimensioni e opzioni di licenza. Le dimensioni delle licenze limitano il numero di CPU virtuali che è possibile gestire. Ad esempio, FortiGate–VM08 dà diritto a un massimo di 8 CPU virtuali. Sono disponibili i seguenti pacchetti di licenze.
- Standard FW
- FW standard + Gestione unificata delle minacce
- Standard FW + Enterprise
Per ulteriori informazioni sulle funzionalità di ciascun livello e bundle di licenza, vedere FortiGate–VM sulla scheda tecnica di VMware ESXi.
Specifiche
FortiGate Le appliance VM sono distribuite secondo le seguenti specifiche.
| Componente | Specifica |
|---|---|
| vCPU | Determinato dal livello di licenza selezionato |
| vRAM | Per le distribuzioni 2–CPU, l'allocazione iniziale è di 4 GB; per le distribuzioni 4–CPU, è di 6 GB; per tutte le altre distribuzioni, è di 12 GB |
| Alta disponibilità | Vengono distribuite due appliance per garantire l'alta disponibilità (HA) |
| Disk usage | Un disco da 2 GB e uno da 30 GB |
| Supporto del disco | Quando viene distribuito in un cluster gateway, archiviazione SSD locale; quando viene distribuito in qualsiasi altro cluster, utilizzando vSAN o IBM Cloud® Endurance, a seconda dei casi |
L'automazione IBM Cloud limita la scelta delle opzioni a 16 e 32–CPU quando si distribuisce FortiGate in un cluster gateway.
Configurazione della rete
I dispositivi virtuali FortiGate sono distribuiti con 10 interfacce di rete.
Interfaccia di gestione
L'interfaccia di gestione è collegata alla VLAN di gestione e al gruppo di porte per il cluster corrispondente e un indirizzo IP di gestione è assegnato dall'automazione IBM Cloud per questa interfaccia. Non riassegnare o riconfigurare questa interfaccia di gestione.
Quando viene distribuito in un cluster di gestione che dispone di interfacce pubbliche, vengono creati un firewall e regole NAT di origine sui servizi NSX Edge™ per consentire ai dispositivi FortiGate di connettersi alla rete pubblica utilizzando solo http e https. Consente la gestione delle licenze e non è consigliabile modificare queste regole, poiché potrebbe causare la disattivazione della licenza.
Quando viene distribuito in un cluster di gateway o in un cluster di gestione che dispone solo di interfacce private, è necessario fornire i dettagli di un server proxy che le appliance FortiGate possono utilizzare per connettersi alla rete pubblica per la concessione delle licenze. Le appliance potrebbero tentare di accedere a uno dei seguenti nomi di host:
update.fortiguard.netservice.fortiguard.netsupport.fortinet.comguard.fortinet.com
Interfaccia HA
Quando vengono distribuite in un cluster di gestione, le interfacce HA delle appliance FortiGate sono collegate a uno switch logico dedicato.
Quando vengono distribuite in un cluster gateway, le interfacce HA delle appliance FortiGate sono collegate alla VLAN di storage utilizzata dal cluster gateway.
Interfacce firewall
Quando vengono distribuite in un cluster di gestione, le restanti interfacce del firewall per le appliance FortiGate sono collegate alla rete di gestione ma senza indirizzi IP assegnati. È necessario assegnare queste interfacce alle reti che si desidera proteggere.
Quando vengono distribuite in un cluster di gateway, le appliance FortiGate VM sono collegate alla rete di transito IBM Cloud e configurate per il peering con i router del cliente IBM Cloud. Definire le regole firewall appropriate prima di configurare le VLAN da proteggere con il cluster gateway.
VMware DRS e prenotazioni
Poiché fornisce servizi di rete sensibili al tempo, la macchina virtuale FortiGate deve essere configurata per garantire che disponga di risorse adeguate. L'automazione IBM Cloud configura una prenotazione per garantire che le appliance virtuali ricevano l'intera dotazione di CPU e memoria. Per garantire l'HA, l'automazione IBM Cloud crea anche una regola DRS anti-affinità per limitare l'esecuzione dei due dispositivi virtuali FortiGate VM sullo stesso host.
Requisiti per la licenza
Questa architettura richiede la licenza VM FortiGate di Fortinet®. L'automazione IBM Cloud fornisce la licenza VM FortiGate in base al livello di licenza scelto e alle dimensioni dell'implementazione. La fattura mensile di IBM Cloud riflette l'ordine e l'utilizzo continuo di FortiGate VM. Le appliance virtuali FortiGate richiedono una connettività in uscita ai server di licenza Fortinet per attivare e mantenere la licenza.
Avvertenze
Non è possibile modificare il livello di licenza o il throughput concesso in licenza della distribuzione della macchina virtuale FortiGate dopo che è stata distribuita. Per realizzare questo scenario, è necessario distribuire una nuova istanza di FortiGate VM, migrare la configurazione nella nuova istanza ed eliminare l'istanza originale.