フォーティネット FortiGate VM の実装と管理
マーケティング終了 :2025年10月31日をもって、 VMware Solutions の新規導入は終了しました。 既存の顧客は、 IBM Cloud® 上のアクティブな VMware® ワークロードを引き続き使用し、拡張することができる。 詳細については、 IBM Cloud の VMware のマーケティング終了を 参照してください。
計画
FortiGate® 仮想マシン(VM)には、いくつかのサイズとライセンスオプションがあります。 ライセンス・サイズにより、操作できる仮想 CPU の数が制限されます。 例えば、FortiGate–VM08 は、最大 8 個の仮想 CPU の資格を付与します。 以下のライセンス・バンドルが使用可能です。
- 標準 FW
- 標準 FW + 統合脅威管理
- 標準 FW + Enterprise
各ライセンス・ティアとバンドルの機能の詳細については、FortiGate–VM 上の VMware ESXi データシートを参照してください。
仕様
FortiGate VM アプライアンスは、以下の仕様に従ってデプロイされます。
| コンポーネント | 仕様 |
|---|---|
| vCPU | 選択したライセンス層によって決定される |
| vRAM | 2–CPU デプロイメントの場合、初期割り振りは 4 GBです。4–CPU デプロイメントの場合は 6 GBです。その他のすべてのデプロイメントの場合は 12 GB です。 |
| 高可用性 | 高可用性(HA)を確保するために、2つのアプライアンスが導入されている |
| ディスク使用 | 1 個の 2 GB ディスクと 1 個の 30 GB ディスク |
| ディスク・バッキング | ゲートウェイ・クラスタに展開する場合は、ローカルのSSDストレージ。その他のクラスタに展開する場合は、 vSAN または IBM Cloud® Endurance(該当する場合)を使用する |
IBM Cloud オートメーションは、 FortiGate をゲートウェイクラスターにデプロイする際に、16 と 32–CPU のオプションを選択することを制限します。
ネットワーク構成
FortiGate 仮想アプライアンスは、10 個のネットワーク・インターフェースでデプロイされます。
管理インターフェース
管理インターフェースは、対応するクラスターの管理 VLAN およびポート・グループに接続され、このインターフェースの IBM Cloud 自動化によって管理 IP アドレスが割り当てられます。 この管理インターフェースを再割り当てまたは再構成しないでください。
パブリック・インターフェースを持つ管理クラスターにデプロイすると、ファイアウォールとソース NAT ルールがサービス NSX Edge™ に作成され、FortiGate デバイスが http と https のみを使用してパブリック・ネットワークに接続できるようになります。 これによりライセンス管理が可能になりますが、ライセンスが非アクティブになる可能性があるため、これらのルールを変更することはお勧めしません。
ゲートウェイクラスター、またはプライベートインターフェイスのみを持つ管理クラスターにデプロイする場合は、代わりに、 FortiGate アプライアンスがライセンスのためにパブリックネットワークに接続するために使用できるプロキシサーバーの詳細を提供する必要があります。 アプライアンスは、以下のいずれかのホスト名にアクセスしようとする可能性があります。
update.fortiguard.netservice.fortiguard.netsupport.fortinet.comguard.fortinet.com
HA インターフェース
管理クラスターにデプロイすると、FortiGate アプライアンスの HA インターフェースが専用の論理スイッチに接続されます。
ゲートウェイクラスターにデプロイされると、 FortiGate アプライアンスの HA インターフェイスは、ゲートウェイクラスターが使用するストレージ VLAN に接続されます。
ファイアウォール・インターフェース
管理クラスターにデプロイされると、FortiGate アプライアンスの残りのファイアウォール・インターフェースは、IP アドレスが割り当てられていない状態で管理ネットワークに接続されます。 これらのインターフェースは、保護するネットワークに割り当てる必要があります。
ゲートウェイクラスターに展開されると、 FortiGate VMアプライアンスは IBM Cloud トランジットネットワークに接続され、 IBM Cloud お客様ピアするように構成される。 ゲートウェイクラスタによって保護されるVLANを設定する前に、適切なファイアウォールルールを定義してください。
VMware DRS および予約
FortiGate VM は時間制約があるネットワーク・サービスを提供するため、十分なリソースを確保できるように構成する必要があります。 IBM Cloud 自動化は、仮想アプライアンスが CPU とメモリーの完全な割り当てを確実に受け取るように予約を構成します。 HAを確保するために、 IBM Cloud オートメーションは、2つの FortiGate VM仮想アプライアンスが同じホスト上で実行されないように制限するDRSアンチアフィニティルールも作成します。
ライセンス要件
このアーキテクチャーには、Fortinet® の FortiGate VM ライセンスが必要です。 IBM Cloud 自動化機能によって、選択されたライセンス交付層とデプロイメント・サイズに基づいて FortiGate VM ライセンスがプロビジョニングされます。 IBM Cloud の月額料金には、FortiGate VM の注文と継続的な使用量が反映されます。 FortiGate 仮想アプライアンスでは、ライセンスをアクティブ化および維持するために、Fortinet ライセンス・サーバーへのアウトバウンド接続が必要です。
注意事項
デプロイ後には、FortiGate VM デプロイメントのライセンス交付層やライセンス交付を受けたスループットを変更することはできません。 このシナリオを実現するには、FortiGate VM の新規インスタンスをデプロイし、構成を新規インスタンスにマイグレーションして、元のインスタンスを削除する必要があります。