IBM Cloud Docs
FortiGate IBM Cloud 上の仮想アプライアンスの概要

FortiGate IBM Cloud 上の仮想アプライアンスの概要

FortiGate® Virtual Appliance on は、 Virtual Appliance のペアをお客様の環境に導入することで、仮想インフラストラクチャ内に重要なセキュリティコントロールを実装し、リスクを低減します。 IBM Cloud® FortiGate IBM Cloud上のFortiGate仮想アプライアンスは、IBMではなく、フォーティネットの規約に基づいて提供されるIBM製品です。

  • 必要に応じて、このサービスのインスタンスを複数インストールできます。 このサービスの管理には、FortiOS Web Client、または SSH を介した CLI を使用します。
  • FortiGate 仮想アプライアンスは、 NSX-T 以降および 7 以降のインスタンスでサポートされます。 VMware 3.1 VMware vSphere®

IBM Cloud® for VMware Solutions は、一部のアドオン・サービスについてプロモーションを提供しています。 プロモーション価格では、ライセンス料が発生するサービスのライセンス料が何ヶ月分も無料になります。 詳しくは、VMware Solutions アドオン・サービスのプロモーションを参照してください。

導入可能な FortiGate 仮想アプライアンスのバージョンは 7.4.3 です。

FortiGate Virtual Appliance の技術仕様

一部のサービスのリソース要件と容量検査について詳しくは、アドオン・サービスのリソース要件を参照してください。

FortiGate 仮想アプライアンスサービスには、以下のコンポーネントが含まれます。

仮想マシン

  • すべてのオプションには、仮想マシン (VM) のペアが含まれます。
  • VM あたり 2、4、8、16、または 32 個の CPU。 この数は、デプロイメントのサイズに応じて決まります。
  • VM あたり 4、6、または 12 GB の RAM。 この数は、デプロイメントのサイズに応じて決まります。

高可用性

2つのVMがデプロイされ、高可用性(HA)または仮想ルータ冗長プロトコル(VRRP)構成の準備ができている。

ネットワーキング

FortiGate コンソールへのアクセス権限がプライベート管理ネットワークを介して提供されます。 FortiGate Virtual Appliance 管理アドレスは、管理クラスターまたは統合クラスターにデプロイされると、インスタンス管理プライベート・ポータブル・サブネットから取得されます。 ゲートウェイクラスターにデプロイされると、これらのアドレス用に新しいプライベートポータブルサブネットが発注される。

ライセンスと料金

各 VM のライセンス料金が各課金サイクルに適用されます。 料金は、選択したデプロイメント・サイズと月ごとのサブスクリプション・ライセンス・モデルに応じて決まります。

ライセンスに関する注意点

  • サービスのインストール後にライセンス交付レベルを変更することはできません。 ライセンス交付レベルを変更するには、既存のサービスを削除し、別のライセンス交付オプションを使用してサービスを再インストールする必要があります。
  • FortiGate仮想アプライアンスサービスライセンスに関する期限切れ通知を受け取った場合は、無視できます。 ライセンスは有効期限が切れる前に毎年自動更新される。

アップリンク速度、デプロイメント・サイズ、および CPU モデル

FortiGate Virtual Applianceをインストールする際に考慮すべき、アップリンク速度、配備サ イズ、およびCPUについて説明します。

FortiGate Virtual Appliance on VCF for Classic - Automated

FortiGate仮想アプライアンスは、統合クラスタまたはゲートウェイクラスタにインストールできます。

連結クラスタ上で、以下の情報に注意してください:

  • クラスターに対して 10 Gb または 25 Gb のアップリンク速度を選択できます。

    • 10Gb では、 FortiGate-VM02 から FortiGate-VM32 までの展開サイズを選択できます。
    • 25 Gb では、FortiGate-VM16 または FortiGate-VM32 の展開サイズを選択できます。

  • FortiGate-VM32 のデプロイメント・サイズには、Cascade Lake 5218 以上が必要です。

ゲートウェイクラスタでは、アップリンク速度に関する以下の情報に注意してください:

  • 10 Gbの場合は、Cascade Lake 4210および FortiGate-VM16。
  • 25Gb の場合、Cascade Lake 5218 と FortiGate-VM16 または FortiGate-VM32 のいずれかを選択する。

FortiGate Virtual Appliance on Regulated Workloads

Regulated Workloadsの場合、FortiGate仮想アプライアンスをゲートウェイクラスタにインストールできます。 シングルゾーン(新規または既存)またはマルチゾーン(既存のみ)のインスタンスにサービスをデプロイできます。

  • FortiGate Virtual Applianceは、10Gbまたは25Gbのアップリンク速度を持つゲートウェイクラスタにインストールできます。
  • 10 Gb では、FortiGate-VM16 を Cascade Lake 4210 にインストールできます。
  • 25GB の場合、FortiGate-VM16 または FortiGate-VM32 をインストールできます。 FortiGate-VM32 のデプロイメント・サイズには、Cascade Lake 5218 以上が必要です。

NSX-V を使用する vCenter Server 6.7 上の FortiGate Virtual Appliance

既存の NSX-V インスタンス( V4.7 以前)では、管理クラスタに FortiGate Virtual Appliance をインストールできます。

  • FortiGate-VM02 から FortiGate-VM16 までのデプロイメント・サイズを選択できます。
  • FortiGate Virtual Appliance は、アップリンク速度が 10 Gb または 25 Gb のクラスター上にインストールできます。
  • アップリンク速度が 25 Gb の NSX-V クラスターは、FortiGate-VM16 のデプロイメント・サイズのみサポートしています。

Security and Compliance Readiness Bundle 上の FortiGate Virtual Appliance

Security and Compliance Readiness Bundleでは、 FortiGate Virtual Applianceをゲートウェイクラスタにインストールできます。

  • FortiGate Virtual Applianceは、10Gbまたは25Gbのアップリンク速度を持つゲートウェイクラスタにインストールできます。
  • 10Gb では、 FortiGate-VM02 から FortiGate-VM32 までの展開サイズを選択できます。 FortiGate-VM32 のデプロイメント・サイズには、Cascade Lake 5218 以上が必要です。
  • 25GB の場合、FortiGate-VM16 または FortiGate-VM32 をインストールできます。 FortiGate-VM32 のデプロイメント・サイズには、Cascade Lake 5218 以上が必要です。

FortiGate Virtual Appliance の注文例

VMware ESXi™サーバーを2台搭載した VCF for Classic - Automated インスタンスを以下の構成で注文できます:各16コア、 2.10 GHz、128 GB RAM。 FortiGate Virtual Appliance では、デプロイメント・サイズとして 8 CPU / 12 GB RAM を選択し、任意のサブスクリプション・ライセンス・モデルを選択します。

この場合、 FortiGate VMを1台構築するには、各サーバーに以下のコンポーネントが必要となる:

  • 2.1 GHz * 8 CPU = 16.8 GHz の CPU
  • 12 GB RAM

2 つの FortiGate VM の場合、合計は 33.6 GHz CPU と 24 GB RAM です。

各 ESXi サーバーには 16 コア * 2.1 GHz = 33.6 GHz の能力があります。 したがって、両方のサーバーがアクティブであり、各サーバーで少なくとも 16.8 GHz の CPU と 12 GB の RAM を使用できれば、最初の 2 つの要件は満たされることになります。

ただし、デフォルトでは、 vSphere HA は、2 台の ESXi サーバで初期導入された自動化インスタンスのフェイルオーバー用に、CPU と RAM の 50% をリザーブします。 この例の場合、容量は以下の数式で示されます。

50% of 2 * 16 cores * 2.1 GHz = 33.6 GHz available

ESXi サーバーには、例えば VMware vCenter Server、VMware NSX® Controller、または VMware NSX Edge などの他のワークロードも存在し、これらのリソースが使用されるので、3 番目の要件を満たすことができません。 なぜなら、2 つの FortiGate VM 用に 33.6 GHz の CPU と 24 GB の RAM が必要になるためです。

このケースでは、環境に ESXi サーバーを少なくとも 1 つ追加しない限り、FortiGate Virtual Appliance のインストールは失敗する可能性があります。 また、vSphere HA フェイルオーバー予約を更新して、FortiGate VM 2 台分の十分なリソースを確保する必要があります。

FortiGate Virtual Appliance サービスを実行するために追加のリソースが必要な場合は、サービスをインストールする前に、さらに ESXi サーバーを追加できます。