Fortinet FortiGate Implementação e gerenciamento de VMs
Fim do marketing: A partir de 31 de outubro de 2025, novas implantações das ofertas do VMware Solutions não estarão mais disponíveis para novos clientes. Os clientes existentes ainda podem usar e expandir suas cargas de trabalho ativas do VMware® em IBM Cloud®. Para obter mais informações, consulte Fim do marketing para VMware em IBM Cloud.
Planejamento
A máquina virtual (VM) FortiGate® está disponível em vários tamanhos e opções de licenciamento. Os tamanhos de licença limitam o número de CPUs virtuais que você pode operar. Por exemplo, o FortiGate–VM08 lhe dá o direito de até oito CPUs virtuais. Os pacotes de licença a seguir estão disponíveis.
- Standard FW
- Standard FW + Unified Threat Management
- Standard FW + Enterprise
Para obter mais informações sobre os recursos de cada nível de licença e pacote, consulte FortiGate–VM na VMware ESXi.
Especificações
Os dispositivos FortiGate VM são implementados de acordo com as especificações a seguir.
| Componente | Especificação |
|---|---|
| vCPU | Determinado pela camada de licença selecionada |
| vRAM | Para implementações de 2–CPU, a alocação inicial é de 4 GB; para implementações de 4–CPU, é de 6 GB; para todas as outras implementações, ela é de 12 GB |
| Alta disponibilidade | Dois appliances são implementados para garantir alta disponibilidade (HA) |
| Uso de disco | Um disco de 2 GB e um de 30 GB |
| Suporte de disco | Quando implantado em um cluster de gateway, armazenamento SSD local; quando implantado em qualquer outro cluster, usando vSAN ou IBM Cloud® Endurance, conforme aplicável |
IBM Cloud a automação o limita a escolher as opções de 16 e 32–CPU ao implementar o FortiGate em um cluster de gateway.
Configuração da rede
Os dispositivos virtuais do FortiGate são implementados com 10 interfaces de rede.
Interface de gerenciamento
A interface de gerenciamento é conectada à VLAN de gerenciamento e ao grupo da porta do cluster correspondente, e um endereço IP de gerenciamento é designado pela automação da IBM Cloud para esta interface. Não designe novamente ou reconfigure esta interface de gerenciamento.
Quando implementado em um cluster de gerenciamento que possui interfaces públicas, regras de firewall e de NAT de origem são criadas nos serviços NSX Edge™ para permitir que os dispositivos FortiGate se conectem à rede pública usando apenas http e https. Isso permite o gerenciamento de licenças e não recomenda-se mudar essas regras uma vez que pode fazer com que sua licença seja desativada.
Quando implantado em um cluster de gateway ou em um cluster de gerenciamento que tenha apenas interfaces privadas, você deve fornecer os detalhes de um servidor proxy que os appliances FortiGate possam usar para se conectar à rede pública para licenciamento. Os dispositivos podem tentar acessar qualquer um dos nomes de hosts a seguir:
update.fortiguard.netservice.fortiguard.netsupport.fortinet.comguard.fortinet.com
Interface de HA
Quando implementadas em um cluster de gerenciamento, as interfaces de HA dos dispositivos FortiGate estão conectadas a um comutador lógico dedicado.
Quando implantadas em um cluster de gateway, as interfaces HA dos dispositivos FortiGate são conectadas à VLAN de armazenamento usada pelo cluster de gateway.
Interfaces de firewall
Quando implementadas em um cluster de gerenciamento, as interfaces de firewall restantes dos dispositivos FortiGate estão conectadas à rede de gerenciamento ainda sem endereços IP atribuídos. Deve-se atribuir essas interfaces às redes que deseja proteger.
Quando implantados em um cluster de gateway, os appliances de VM FortiGate são conectados à rede de trânsito IBM Cloud e configurados para fazer par com os roteadores de clientes IBM Cloud. Defina as regras de firewall adequadas antes de configurar suas VLANs para serem protegidas pelo cluster de gateway.
DRS e reservas do VMware
Como ele fornece serviços de rede sensíveis ao tempo, o FortiGate VM deve ser configurado para assegurar que tenha recursos adequados. A automação da IBM Cloud configura uma reserva para garantir que os dispositivos virtuais recebam a sua alocação total de CPU e memória. Para garantir a HA, a automação do IBM Cloud também cria uma regra antiafinidade do DRS para impedir que os dois appliances virtuais da VM FortiGate sejam executados no mesmo host.
Requisitos de licença
Esta arquitetura requer o licenciamento do FortiGate VM a partir do Fortinet®. A automação da IBM Cloud fornece a licença FortiGate VM com base em sua camada de licença e tamanho de implementação escolhidos. Sua conta mensal da IBM Cloud reflete sua solicitação e uso contínuo do FortiGate VM. Os dispositivos virtuais FortiGate requerem a conectividade de saída aos servidores de licenciamento Fortinet para ativar e manter sua licença.
Avisos
Não é possível mudar a camada de licenciamento ou rendimento licenciado de sua implementação do FortiGate VM após ele ser implementado. Para obter esse cenário, deve-se implementar uma nova instância do FortiGate VM, migrar sua configuração para a nova instância e excluir a instância original.