Fortinet FortiGate VM 實作與管理
計劃
FortiGate®虛擬機器 (VM) 有多種大小和授權選項。 許可證大小限制了您可以運行的虛擬 CPU 的數量。 例如,FortiGate–VM08允許您使用最多 8 個虛擬 CPU。 提供下列授權組合。
- Standard FW
- 標準FW+統一威脅管理
- Standard FW + Enterprise
有關每個許可證層和捆綁包的功能的更多信息,請參閱 FortiGate–VM on VMware ESXi 資料表。
規格
FortiGate VM 設備依據下列規格進行部署。
| 元件 | 規格 |
|---|---|
| vCPU | 由所選的許可證層確定 |
| vRAM | 對於2–CPU部署,初始分配為 4 GB;對於4–CPU部署,為 6 GB;對於所有其他部署,為 12 GB |
| 高可用性 | 部署兩個裝置以確保高可用性 (HA) |
| 磁碟用量 | 1 個 2 GB 和 1 個 30 GB 磁碟 |
| 磁碟備份 | 部署到網關叢集時,本地SSD儲存;部署到任何其他叢集時,請使用vSAN或IBM Cloud® Endurance(如果適用) |
當您將FortiGate部署到網關叢集時IBM Cloud自動化限制您只能選擇 16 和32–CPU選項。
網路配置
FortiGate虛擬設備部署有 10 個網路介面。
管理介面
管理介面附加到對應叢集的管理 VLAN 和連接埠群組,並且由IBM Cloud自動為此介面指派管理 IP 位址。 請勿重新指派或重新配置此管理介面。
當部署到具有公共介面的管理叢集時,會在服務 NSX Edge™ 上建立防火牆和來源 NAT 規則,以允許FortiGate設備僅使用 http 和 https 連接到公共網路。 它允許許可證管理,不建議更改這些規則,因為這可能會導致您的許可證被停用。
當部署到網關叢集或僅具有專用介面的管理叢集時,您必須提供代理伺服器的詳細信息,FortiGate設備可以使用該代理伺服器連接到公共網路以取得授權。 裝置可能會嘗試存取以下任何主機名稱:
update.fortiguard.netservice.fortiguard.netsupport.fortinet.comguard.fortinet.com
HA 介面
當部署到管理叢集時,FortiGate設備的 HA 介面連接到專用邏輯交換器。
當部署到網關叢集時,FortiGate設備的 HA 介面將連接到網關叢集使用的儲存 VLAN。
防火牆介面
當部署到管理叢集時,FortiGate設備的其餘防火牆介面將連接到管理網絡,但未指派 IP 位址。 您必須將這些介面指派給您想要保護的網路。
部署到閘道群集時,FortiGate VM 裝置會連接到 IBM Cloud transit 網路,並配置為與 IBM Cloud 客戶路由器對等。 在設定要受網關叢集保護的 VLAN 之前,請定義適當的防火牆規則。
VMware DRS 和預留
由於它提供時間敏感的網路服務,因此必須配置FortiGate VM 以確保其擁有足夠的資源。 IBM Cloud自動化配置預留,以確保虛擬設備收到完整的 CPU 和記憶體分配。 為確保 HA,IBM Cloud 自動化還會建立 DRS 反親和規則,以限制兩個 FortiGate VM 虛擬裝置在同一主機上執行。
許可證要求
此架構需要 Fortinet® 的FortiGate VM 授權。IBM Cloud自動化根據您選擇的授權層和部署規模來設定FortiGate VM 授權。 您的IBM Cloud每月帳單反映了您的訂單和FortiGate VM 的持續使用情況。 FortiGate虛擬設備需要到 Fortinet 授權伺服器的出站連線才能啟動和維護其授權。
警告
部署FortiGate VM 部署後,無法變更其授權層或授權吞吐量。 若要實作此場景,您必須部署FortiGate VM 的新實例,將設定移轉到新實例,並刪除原始實例。