IBM Cloud Docs
訂購 FortiGate Virtual Appliance

訂購 FortiGate Virtual Appliance

您可以將FortiGate®虛擬設備服務包含在新的VMware Cloud Foundation for Classic - Automated實例中,或將該服務新增至現有實例中。

安裝 FortiGate Virtual Appliance 時的考量

安裝 FortiGate Virtual Appliance 服務之前,請檢閱下列考量:

  • FortiGate VM 部署在管理叢集或閘道叢集上。

  • 如果您要部署FortiGate-VM16或FortiGate-VM32,由於資源需求,建議您考慮部署在網關叢集上,而不是管理叢集上。 有關 Fortinet® 大小調整的更多信息,請參閱 VMware ESXi 上的FortiGate-VM資料表

  • 您無法在相同網關叢集上安裝 Juniper® vSRX和FortiGate虛擬設備。

  • 初始記憶體分配由您的初始 CPU 選擇決定。 但是,您可以在部署後更改記憶體分配。

  • 對於較大的部署規模,例如FortiGate-VM16和FortiGate-VM32,初始 CPU 分配設定為部署規模限制的一半,以確保部署成功。 部署後,您可以將 CPU 指派變更為部署大小限制。

  • 當您部署 FortiGate Virtual Appliances 到您的實體時,SNAT 和防火牆規則會定義在管理 NSX Edge™ 服務閘道 (ESG) 上。 此外,還會定義 FortiGate Virtual Appliance 上的靜態路徑,以容許實例到公用網路的出埠 HTTPS 通訊。 需要這些通訊才能啟動授權,並獲得最新更新的安全原則和內容。

  • 對於高 CPU 許可證,請確保整合叢集上有足夠的可用 CPU。

    • 至少有 2 個 VMware ESXi™ 伺服器可用,且每個活動主機都有足夠的資源來託管單一 FortiGate VM。
    • VMware® vSphere 高可用性 (HA) 有足夠資源承載兩個 FortiGate 虛擬機器。

    由於需求的關係,您必須仔細規劃 FortiGate Virtual Appliance 所需的空間。 如果需要,在訂購 FortiGate Virtual Appliance 之前,請向實例新增 1 到 2 個 ESXi 伺服器和/或減少用於失效接手的 vSphere HA CPU 保留量。

下表顯示了FortiGate虛擬設備的網路和儲存配置,具體取決於它們的部署位置。

網路和儲存配置
元件 管理叢集 閘道叢集
管理 IP 現有管理子網 IBM Cloud®主子網
儲存空間 管理資料儲存( vSAN或NFS ) 本地資料存儲

為新實例訂購 FortiGate 虛擬 Appliance

  1. 當您 訂購實例 時,請向下捲動至附加服務部分。 FortiGate虛擬設備屬於安全與合規類別。
  2. 開啟類別,找到FortiGate虛擬設備,然後開啟其開關。
  3. 按一下 「編輯」 以查看並指定 設定訊息,然後按一下「儲存」

您無法在相同網關叢集上安裝 Juniper® vSRX和FortiGate虛擬設備。

為現有實體訂購 FortiGate Virtual Appliance

  1. 在實例詳情頁面,按一下 「服務」 頁籤。
  2. 點擊新增以新增服務。
  3. 新增服務頁面上,在安全性和合規性部分中找到 FortiGate虛擬設備服務並開啟其開關。
  4. 按一下 「編輯」 以查看並指定 設定訊息,然後按一下「儲存」

為專用實例訂購 FortiGate Virtual Appliance

為未配置公用介面的實例訂購 FortiGate Virtual Appliance 時,必須提供 Proxy 伺服器以完成安裝。 HTTP Proxy 伺服器必須已配置並透過虛擬遞送及轉遞 (VRF) 提供,才能開始安裝 Fortigate Virtual Appliance。

為了確保持續運作,FortiGate Virtual Appliance 必須可透過網際網路持續存取 Fortigate 授權伺服器。 虛擬設備可以存取以下任一主機名稱:

  • update.fortiguard.net
  • service.fortiguard.net
  • support.fortinet.com
  • guard.fortinet.com

FortiGate Virtual Appliance 服務配置

當您訂購此服務時,請提供下列設定。

名稱

輸入服務名稱。

FortiGuard 網路連線

為 FortiGuard 選擇公用網路專用網路。 如果目標叢集配置了專用網路介面或部署用於多專區實例,則僅專用網路選項可用。 此選擇決定 FortiGuard 如何聯絡 Fortinet 授權伺服器以啟用授權和下載安全修補程式,而且不會影響工作負載資料平面。

如果您選取專用網路,請指定下列設定:

  • Proxy IP 位址- 代理伺服器的 IPv4 位址。
  • 代理埠號- 代理伺服器的連接埠號,通常為 8080 或 3128。
  • 代理使用者名稱- 如果您需要代理驗證,請輸入代理伺服器的使用者名稱。
  • 代理密碼- 如果您需要代理驗證,請輸入代理伺服器的密碼。

部署大小

IBM Cloud® 提供下列部署大小選項。 對於多專區實例上的部署,僅FortiGate-VM16和FortiGate-VM32可用。

  • Fortigate-VM02 (2 vCPUs)
  • FortiGate-VM04 (4 vCPUs)
  • FortiGate-VM08 (8 vCPUs)
  • FortiGate-VM16 (16 vCPUs)
  • FortiGate-VM32 (32 vCPU) FortiGate-VM32部署規模需要 Cascade Lake 5218 或更高版本。

每月訂閱授權模型

FortiGate Virtual Appliance 的按月訂閱授權模式提供下列選項:

  • 標準韌體- 此捆綁包包括以下內容。
    • 有狀態封包檢驗
    • VLAN 保護和進階記載
    • 入口和出口 FW 規則
    • SSL/IPSec VPN 終止
    • 持續支持
  • 標準 FW + UTM- 此套件包括所有標準防火牆服務,以及進階惡意軟體防護 (AMP) 服務。
    • 進階惡意軟體保護
    • NGFW IPS 和 Web 過濾
    • 反垃圾郵件
    • 應用程式控制項
  • 標準 FW + 企業此套件包括所有標準防火牆和 UTM 服務,此外還包括下列服務:
    • CASB (Cloud Access Security Broker)- 此服務為雲端服務提供可視性、合規性、資料安全性和威脅防護。
    • 工業安全 - 此服務為常見的 ICS/SCADA 通訊協定提供簽章。
    • 安全性評等 - 此服務提供稽核功能,以找出重要的弱點和組態弱點,並實施最佳作法建議。

安裝服務後,您無法變更按月訂閱的授權模式。 若要變更按月訂閱的授權模式,您必須刪除現有服務,然後選擇不同的授權選項重新安裝服務。