Fortinet FortiGate の実装と管理
計画
FortiGate® (VM)は、複数のサイズとライセンスオプションで提供されています。 ライセンス・サイズにより、操作できる仮想 CPU の数が制限されます。 例えば、FortiGate–VM08 は、最大 8 個の仮想 CPU の資格を付与します。 以下のライセンス・バンドルが使用可能です。
- 標準 FW
- 標準 FW + 統合脅威管理
- 標準 FW + Enterprise
各ライセンス・ティアとバンドルの機能の詳細については、FortiGate–VM 上の VMware ESXi データシートを参照してください。
仕様
FortiGate VM アプライアンスは、以下の仕様に従ってデプロイされます。
| コンポーネント | 仕様 |
|---|---|
| vCPU | 選択したライセンス層によって決定される |
| vRAM | 2–CPU デプロイメントの場合、初期割り振りは 4 GBです。4–CPU デプロイメントの場合は 6 GBです。その他のすべてのデプロイメントの場合は 12 GB です。 |
| 高可用性 | 高可用性(HA)を確保するために2つの機器が導入されています |
| ディスク使用 | 1 個の 2 GB ディスクと 1 個の 30 GB ディスク |
| ディスク・バッキング | ゲートウェイクラスタに展開された場合はローカルSSDストレージ、その他のクラスタに展開された場合は vSAN または IBM Cloud® を使用して、必要に応じて |
IBM Cloud 自動化により FortiGate をゲートウェイクラスタに展開する際には 32–CPUしか選択できません。
ネットワーク構成
FortiGate 仮想アプライアンスは、10 個のネットワーク・インターフェースでデプロイされます。
管理インターフェース
管理インターフェースは、対応するクラスターの管理 VLAN およびポート・グループに接続され、このインターフェースの IBM Cloud 自動化によって管理 IP アドレスが割り当てられます。 この管理インターフェースを再割り当てまたは再構成しないでください。
パブリック・インターフェースを持つ管理クラスターにデプロイすると、ファイアウォールとソース NAT ルールがサービス NSX Edge™ に作成され、FortiGate デバイスが http と https のみを使用してパブリック・ネットワークに接続できるようになります。 これによりライセンス管理が可能になりますが、ライセンスが非アクティブになる可能性があるため、これらのルールを変更することはお勧めしません。
ゲートウェイクラスタ、またはプライベートインターフェースのみを持つ管理クラスタに展開する場合は、代わりに FortiGateがライセンス取得のためにパブリックネットワークに接続する際に使用するプロキシサーバーの詳細情報を提供する必要があります。 アプライアンスは、以下のいずれかのホスト名にアクセスしようとする可能性があります。
update.fortiguard.netservice.fortiguard.netsupport.fortinet.comguard.fortinet.com
HA インターフェース
管理クラスターにデプロイすると、FortiGate アプライアンスの HA インターフェースが専用の論理スイッチに接続されます。
FortiGateの HAインターフェースは、ゲートウェイクラスタに展開されると、ゲートウェイクラスタで使用されるストレージVLANに接続されます。
ファイアウォール・インターフェース
管理クラスターにデプロイされると、FortiGate アプライアンスの残りのファイアウォール・インターフェースは、IP アドレスが割り当てられていない状態で管理ネットワークに接続されます。 これらのインターフェースは、保護するネットワークに割り当てる必要があります。
FortiGateをゲートウェイクラスタに展開すると IBM Cloudに接続され、 IBM Cloud とピアリングするように構成されます。 ゲートウェイクラスタで保護するVLANを設定する前に、適切なファイアウォールルールを定義します。
VMware DRS および予約
FortiGate VM は時間制約があるネットワーク・サービスを提供するため、十分なリソースを確保できるように構成する必要があります。 IBM Cloud 自動化は、仮想アプライアンスが CPU とメモリーの完全な割り当てを確実に受け取るように予約を構成します。 HAを確保するために IBM Cloudでは、 FortiGateが同じホスト上で実行されないようにDRSアンチアフィニティルールも作成します。
ライセンス要件
このアーキテクチャーには、Fortinet® の FortiGate VM ライセンスが必要です。 IBM Cloud 自動化機能によって、選択されたライセンス交付層とデプロイメント・サイズに基づいて FortiGate VM ライセンスがプロビジョニングされます。 IBM Cloud の月額料金には、FortiGate VM の注文と継続的な使用量が反映されます。 FortiGate 仮想アプライアンスでは、ライセンスをアクティブ化および維持するために、Fortinet ライセンス・サーバーへのアウトバウンド接続が必要です。
注意事項
デプロイ後には、FortiGate VM デプロイメントのライセンス交付層やライセンス交付を受けたスループットを変更することはできません。 このシナリオを実現するには、FortiGate VM の新規インスタンスをデプロイし、構成を新規インスタンスにマイグレーションして、元のインスタンスを削除する必要があります。