Fortinet FortiGate虚拟机设计
FortiGate®虚拟机解决方案通过为IBM Cloud® for VMware Solutions园区内的网络提供下一代防火墙 (NGFW) 功能,对VMware®产品进行了补充。 这些服务由部署到VMware环境中的一对或多对FortiGate虚拟设备提供。
FortiGate VM 安装到 VMware Cloud Foundation for Classic - Automated 上的 IBM Cloud® 实例中时,不会取代 NSX-T™,而是对现有 VMware NSX® 架构的补充和增强。 FortiGate虚拟机部署为一对虚拟设备,其中一个网络接口(port1)配置用于管理访问,客户端数据平面中有九个可用网络接口。 通过对网络和路由进行适当配置,您可以使用 FortiGate VM 在网络拓扑的所有层级之间提供网络安全。
拓扑
如图 1 所示,您可以根据几种不同的策略部署 FortiGate 虚拟机。
在本图中,FCR 是 IBM Cloud 前端(公共)客户路由器,BCR 是 IBM Cloud 后端(私有)客户路由器。 有关 IBM Cloud 网络设计的更多信息,请参阅 物理网络设计。
IBM Cloud 边缘服务
您可以部署一个 VMware ESXi™ 网关群集,作为 VMware Cloud Foundation for Classic - Automated 实例的一部分。 该群集配置为与 IBM Cloud 客户路由器对等,为您选择的 IBM Cloud 公共和私有 VLAN 提供防火墙和网关服务。 虽然您可以在此网关群集中部署您选择的任何虚拟防火墙技术,IBM Cloud 具有 FortiGate VM 作为这些防火墙和网关服务的选项。 使用这种方法,您的 FortiGate 虚拟机设备可以提供以下服务:
- 公共网络和私人网络之间的防火墙。
- 专用 VLAN 与其中子网之间的防火墙。 例如,您可以在不同的 VLAN 上为工作负载和管理部署不同的群集,并使用边缘来限制管理和工作负载之间的连接。
- 专用环境(包括 NSX 边缘和网络)与外部环境(如内部网络)之间的网络对等。
- 为这些网络提供 VPN 和 IPS 等高级防火墙服务。
在上图中,FortiGate-VM 边缘组件展示了这种拓扑结构。
虚拟防火墙设备
您还可以将 FortiGate VM 作为虚拟防火墙设备直接部署在管理和工作负载网络中。 通过这种方法,您的 FortiGate 虚拟机设备可以实现以下功能:
- 公共网络和私人网络之间的网关防火墙,如 NAT、防火墙和 VPN
- 专用网络与 NSX 重叠之间的网关防火墙
- NSX 叠加网络内不同工作负载层之间的网关防火墙
此外,FortiGate VM 可以使用服务链直接与 NSX-T 集成。
在上图中,FortiGate-VM内部组件展示了这些拓扑结构。