IBM Cloud Docs
FortiGate Virtual Appliance の注文

FortiGate Virtual Appliance の注文

FortiGate® 仮想アプライアンスサービスを新しい VMware Cloud Foundation for Classic - Automated インスタンスに含めることも、既存のインスタンスにサービスを追加することもできます。

FortiGate Virtual Appliance をインストールする際の考慮事項

FortiGate Virtual Appliance サービスをインストールする前に、以下の考慮事項を確認してください。

  • FortiGate VMは管理クラスタまたはゲートウェイクラスタにデプロイされます。

  • FortiGate-VM16 または FortiGate-VM32 をデプロイする場合は、リソース要件を考慮して、管理クラスターではなくゲートウェイクラスターにデプロイすることをお勧めします。 Fortinet® のサイジングの詳細については、FortiGate-VM on VMware ESXi データシートを参照してください。

  • Juniper® vSRX と FortiGate の仮想アプライアンスを同じゲートウェイクラスタにインストールすることはできません。

  • 初期メモリー割り振りは、選択する初期 CPU に応じて決まります。 ただし、メモリー割り振りは、デプロイ後に変更することが可能です。

  • FortiGate-VM16 や FortiGate-VM32 など、デプロイメント・サイズが大きい場合、デプロイメントが確実に成功するように、初期 CPU 割り振りはデプロイメント・サイズ制限の半分に設定されています。 デプロイメント後に、最大でデプロイメント・サイズ制限まで CPU 割り振りを変更できます。

  • ご使用のインスタンスに FortiGate Virtual Appliance をデプロイすると、Management NSX Edge™ Services Gateway (ESG) 上で SNAT とファイアウォールのルールが定義されます。 さらに、FortiGate Virtual Appliance 上で静的ルートが定義され、インスタンスからパブリック・ネットワークへのアウトバウンド HTTPS 通信が可能になります。 これらの通信は、ライセンスのアクティベーションや最新のセキュリティー・ポリシーとコンテンツの取得のために必要です。

  • CPUライセンスが高い場合は、統合クラスタに十分なCPUが利用可能であることを確認してください。

    • 少なくとも2台の VMware ESXi™サーバが利用可能であり、各アクティブホストには、1台の FortiGate VMをホストするのに十分なリソースがある。
    • VMware® vSphere 高可用性(HA)には、2つの FortiGate VMをホストするのに十分なリソースがあります。

    これらの要件を考慮し、FortiGate Virtual Appliance に必要なスペースについて、注意深く計画を立てる必要があります。 必要であれば、FortiGate Virtual Appliance を注文する前に、インスタンスに ESXi サーバーを 1、2 台追加するか、フェイルオーバー用の vSphere HA CPU 予約を減らす、あるいはその両方を行ってください。

以下の表は、デプロイする場所に応じた FortiGate Virtual Appliance のネットワークとストレージの構成を示しています。

ネットワークとストレージの構成
コンポーネント 管理クラスター ゲートウェイ・クラスター
管理 IP 既存の管理サブネット IBM Cloud® 1 次サブネット
ストレージ 管理データ・ストア (vSAN または NFS) ローカル・データ・ストア

新しいインスタンス用に FortiGate 仮想アプライアンスを注文する

  1. インスタンス を注文したら、アドオンサービスセクションまでスクロールダウンします。 FortiGate Virtual Appliance は、セキュリティとコンプライアンスのカテゴリにあります。
  2. カテゴリを開き、FortiGate Virtual Applianceを探し、そのスイッチをオンに切り替えます。
  3. 編集をクリックして 設定情報 を確認・指定し、保存をクリックします。

Juniper® vSRX と FortiGate の仮想アプライアンスを同じゲートウェイクラスタにインストールすることはできません。

既存のインスタンス用に FortiGate 仮想アプライアンスを注文する

  1. インスタンスの詳細ページで、 [サービス] タブをクリックします。
  2. **「追加」**をクリックして、サービスを追加します。
  3. サービスの追加ページで、FortiGate仮想アプライアンスサービスをセキュリティとコンプライアンスセクションで見つけ、そのスイッチをオンに切り替えます。
  4. 編集をクリックして 設定情報 を確認・指定し、保存をクリックします。

プライベート・インスタンスでの FortiGate Virtual Appliance の注文

パブリック・インターフェースで設定されていないインスタンスに対して FortiGate Virtual Appliance を注文する場合は、プロキシー・サーバーを指定してインストールを完了する必要があります。 FortiGate Virtual Appliance のインストールを開始する前に、HTTP プロキシー・サーバーを設定し、Virtual Routing and Forwarding (VRF) で使用可能にする必要があります。

継続的に運用するために、FortiGate Virtual Appliance は、インターネット経由で Fortigate ライセンス・サーバーに永続的にアクセスできる必要があります。 仮想アプライアンスは、以下のいずれかのホスト名にアクセスできます。

  • update.fortiguard.net
  • service.fortiguard.net
  • support.fortinet.com
  • guard.fortinet.com

FortiGate Virtual Appliance サービスの構成

このサービスを注文する際には、以下の設定を行います。

名前

サービス名を入力します。

FortiGuard ネットワーク接続

FortiGuard のネットワークの種類として、 パブリックネットワークまたはプライベートネットワークのいずれかを選択します。 ターゲット・クラスターにプライベート専用ネットワーク・インターフェースが構成されている場合、またはマルチゾーン・インスタンス用のデプロイメントである場合は、**「プライベート・ネットワーク」**オプションのみが選択可能です。 この選択により、 FortiGuard がFortinetライセンスサーバーに接続してライセンスをアクティベートし、セキュリティ修正をダウンロードする方法が決まります。また、ワークロードデータプレーンには影響しません。

**「Private network」**を選択した場合は、以下の設定を指定します。

  • プロキシー IP アドレス (Proxy IP address) - プロキシー・サーバーの IPv4 アドレス。
  • プロキシー・ポート番号 - プロキシー・サーバーのポート番号。一般に 8080 または 3128 です。
  • プロキシー・ユーザー名 - プロキシー認証が必要な場合は、プロキシー・サーバーのユーザー名を入力してください。
  • プロキシー・パスワード - プロキシー認証が必要な場合は、プロキシー・サーバーのパスワードを入力してください。

デプロイメント・サイズ

IBM Cloud® には、デプロイメント・サイズに関して以下のオプションがあります。 マルチゾーン・インスタンス上でのデプロイメントの場合は、FortiGate-VM16 と FortiGate-VM32 のみ選択可能です。

  • FortiGate-VM02 (2 個の vCPU)
  • FortiGate-VM04 (4 個の vCPU)
  • FortiGate-VM08 (8 個の vCPU)
  • FortiGate-VM16 (16 個の vCPU)
  • FortiGate-VM32 (32 vCPUs) FortiGate-VM32 のデプロイメント・サイズには、Cascade Lake 5218 以上が必要です。

月次サブスクリプション・ライセンス・モデル

FortiGate Virtual Appliance の月次サブスクリプション・ライセンス・モデルには、以下のオプションがあります。

  • 標準 FW - このバンドルには以下が含まれます。
    • ステートフル・パケット検査
    • VLAN 保護および拡張ロギング
    • 入出力のFWルール
    • SSL/IPsec VPN 終了
    • 継続的なサポート
  • 標準 FW + UTM - このバンドルには、標準的なファイアウォール・サービスすべてに加えて、Advanced Malware Protection (AMP) サービスが含まれています。
    • Advanced Malware Protection
    • NGFW IPS および Web フィルタリング
    • アンチスパム
    • アプリケーション制御
  • 標準 FW + Enterprise - このバンドルには、標準的なファイアウォール・サービスと UTMサービスすべてに加えて、以下のサービスが含まれています。
    • CASB (Cloud Access Security Broker) - このサービスはクラウド・ベース・サービスの可視性、コンプライアンス、データ・セキュリティー、および脅威防御の各機能を提供します。
    • 産業用セキュリティー - このサービスは、一般的な ICS/SCADA プロトコルに関するシグニチャーを提供します。
    • セキュリティーの格付け - このサービスは、重大な脆弱性と構成の脆弱性を特定してベスト・プラクティス推奨事項を実施するために監査機能を提供します。

サービスのインストール後に月次サブスクリプション・ライセンス・モデルを変更することはできません。 月次サブスクリプション・ライセンス・モデルを変更するには、既存のサービスを削除し、別のライセンス・オプションを選択してサービスを再インストールする必要があります。