Fortinet FortiGate VM 設計
FortiGate® VM 解決方案透過為VMware®資產內的網路提供下一代防火牆 (NGFW) 功能,對IBM Cloud® for VMware Solutions產品進行了補充。 這些服務由部署到您的VMware環境的一對或多對FortiGate虛擬設備提供。
FortiGate VM 不會取代 NSX–T™,而是在安裝到 { IBM Cloud®上的VMware Cloud Foundation for Classic - Automated實例時補充和增強現有的VMware NSX® 架構。 FortiGate VM 部署為一對虛擬設備,其中一個網路介面(port1 )已配置為管理訪問,並在客戶端資料平面中配置了九個可用網路介面。 透過適當的網路和路由配置,您可以使用FortiGate VM 在網路拓撲的所有層之間提供網路安全。
拓蹼
您可以根據幾種不同的策略部署FortiGate VM,如圖 1 所示。
在此圖中,FCR 是IBM Cloud前端(公用)客戶路由器,BCR 是IBM Cloud後端(私有)客戶路由器。 有關IBM Cloud網路設計的更多信息,請參閱 實體網路設計。
IBM Cloud邊緣服務
您可以將VMware ESXi™ 閘道叢集部署為VMware Cloud Foundation for Classic - Automated實例的一部分。 此叢集配置為與IBM Cloud客戶路由器對等,為您選擇的IBM Cloud公共和專用 VLAN 提供防火牆和網關服務。 雖然您可以將您選擇的任何虛擬防火牆技術部署到此網關集群,但IBM Cloud將FortiGate VM 作為這些防火牆和網關服務的選項。 使用此方法,您的FortiGate VM 設備可以提供以下服務:
- 公共網路和專用網路之間的防火牆。
- 專用 VLAN 與其內的子網路之間的防火牆。 例如,您可以將單獨的工作負載和管理叢集部署到單獨的 VLAN 上,並使用邊緣來限制管理和工作負載之間的連線。
- 私有環境(包括 NSX 邊緣和網路)與外部環境(例如本機網路)之間的網路對等互連。
- 適用於這些網路的進階防火牆服務,例如 VPN 和 IPS。
在上圖中,此拓樸由FortiGate-VM Edge 元件進行說明。
虛擬防火牆設備
您也可以直接在管理和工作負載網路中將FortiGate VM 部署為虛擬防火牆設備。 透過這種方法,您的FortiGate VM 設備可以實現以下功能:
- 公網和私人網路之間的網關防火牆,例如 NAT、防火牆、VPN
- 專用網路和 NSX 覆蓋之間的網關防火牆
- NSX 覆蓋網路中不同工作負載層之間的閘道防火牆
此外,FortiGate VM 可以使用服務鏈直接與 NSX-T 整合。
在上圖中,這些拓樸由FortiGate-VM內部元件進行說明。