訂購 FortiGate Virtual Appliance
您可以將FortiGate®虛擬設備服務包含在新的VMware Cloud Foundation for Classic - Automated實例中,或將該服務新增至現有實例中。
安裝 FortiGate Virtual Appliance 時的考量
安裝 FortiGate Virtual Appliance 服務之前,請檢閱下列考量:
-
FortiGate VM 部署在管理叢集或閘道叢集上。
-
如果您要部署FortiGate-VM16或FortiGate-VM32,由於資源需求,建議您考慮部署在網關叢集上,而不是管理叢集上。 有關 Fortinet® 大小調整的更多信息,請參閱 VMware ESXi 上的FortiGate-VM資料表。
-
您無法在相同網關叢集上安裝 Juniper® vSRX和FortiGate虛擬設備。
-
初始記憶體分配由您的初始 CPU 選擇決定。 但是,您可以在部署後更改記憶體分配。
-
對於較大的部署規模,例如FortiGate-VM16和FortiGate-VM32,初始 CPU 分配設定為部署規模限制的一半,以確保部署成功。 部署後,您可以將 CPU 指派變更為部署大小限制。
-
當您部署 FortiGate Virtual Appliances 到您的實體時,SNAT 和防火牆規則會定義在管理 NSX Edge™ 服務閘道 (ESG) 上。 此外,還會定義 FortiGate Virtual Appliance 上的靜態路徑,以容許實例到公用網路的出埠 HTTPS 通訊。 需要這些通訊才能啟動授權,並獲得最新更新的安全原則和內容。
-
對於高 CPU 許可證,請確保整合叢集上有足夠的可用 CPU。
- 至少有 2 個 VMware ESXi™ 伺服器可用,且每個活動主機都有足夠的資源來託管單一 FortiGate VM。
- VMware® vSphere 高可用性 (HA) 有足夠資源承載兩個 FortiGate 虛擬機器。
由於需求的關係,您必須仔細規劃 FortiGate Virtual Appliance 所需的空間。 如果需要,在訂購 FortiGate Virtual Appliance 之前,請向實例新增 1 到 2 個 ESXi 伺服器和/或減少用於失效接手的 vSphere HA CPU 保留量。
下表顯示了FortiGate虛擬設備的網路和儲存配置,具體取決於它們的部署位置。
元件 | 管理叢集 | 閘道叢集 |
---|---|---|
管理 IP | 現有管理子網 | IBM Cloud®主子網 |
儲存空間 | 管理資料儲存( vSAN或NFS ) | 本地資料存儲 |
為新實例訂購 FortiGate 虛擬 Appliance
- 當您 訂購實例 時,請向下捲動至附加服務部分。 FortiGate虛擬設備屬於安全與合規類別。
- 開啟類別,找到FortiGate虛擬設備,然後開啟其開關。
- 按一下 「編輯」 以查看並指定 設定訊息,然後按一下「儲存」。
您無法在相同網關叢集上安裝 Juniper® vSRX和FortiGate虛擬設備。
為現有實體訂購 FortiGate Virtual Appliance
- 在實例詳情頁面,按一下 「服務」 頁籤。
- 點擊新增以新增服務。
- 在新增服務頁面上,在安全性和合規性部分中找到 FortiGate虛擬設備服務並開啟其開關。
- 按一下 「編輯」 以查看並指定 設定訊息,然後按一下「儲存」。
為專用實例訂購 FortiGate Virtual Appliance
為未配置公用介面的實例訂購 FortiGate Virtual Appliance 時,必須提供 Proxy 伺服器以完成安裝。 HTTP Proxy 伺服器必須已配置並透過虛擬遞送及轉遞 (VRF) 提供,才能開始安裝 Fortigate Virtual Appliance。
為了確保持續運作,FortiGate Virtual Appliance 必須可透過網際網路持續存取 Fortigate 授權伺服器。 虛擬設備可以存取以下任一主機名稱:
update.fortiguard.net
service.fortiguard.net
support.fortinet.com
guard.fortinet.com
FortiGate Virtual Appliance 服務配置
當您訂購此服務時,請提供下列設定。
名稱
輸入服務名稱。
FortiGuard 網路連線
為 FortiGuard 選擇公用網路或專用網路。 如果目標叢集配置了專用網路介面或部署用於多專區實例,則僅專用網路選項可用。 此選擇決定 FortiGuard 如何聯絡 Fortinet 授權伺服器以啟用授權和下載安全修補程式,而且不會影響工作負載資料平面。
如果您選取專用網路,請指定下列設定:
- Proxy IP 位址- 代理伺服器的 IPv4 位址。
- 代理埠號- 代理伺服器的連接埠號,通常為 8080 或 3128。
- 代理使用者名稱- 如果您需要代理驗證,請輸入代理伺服器的使用者名稱。
- 代理密碼- 如果您需要代理驗證,請輸入代理伺服器的密碼。
部署大小
IBM Cloud® 提供下列部署大小選項。 對於多專區實例上的部署,僅FortiGate-VM16和FortiGate-VM32可用。
- Fortigate-VM02 (2 vCPUs)
- FortiGate-VM04 (4 vCPUs)
- FortiGate-VM08 (8 vCPUs)
- FortiGate-VM16 (16 vCPUs)
- FortiGate-VM32 (32 vCPU) FortiGate-VM32部署規模需要 Cascade Lake 5218 或更高版本。
每月訂閱授權模型
FortiGate Virtual Appliance 的按月訂閱授權模式提供下列選項:
- 標準韌體- 此捆綁包包括以下內容。
- 有狀態封包檢驗
- VLAN 保護和進階記載
- 入口和出口 FW 規則
- SSL/IPSec VPN 終止
- 持續支持
- 標準 FW + UTM- 此套件包括所有標準防火牆服務,以及進階惡意軟體防護 (AMP) 服務。
- 進階惡意軟體保護
- NGFW IPS 和 Web 過濾
- 反垃圾郵件
- 應用程式控制項
- 標準 FW + 企業此套件包括所有標準防火牆和 UTM 服務,此外還包括下列服務:
- CASB (Cloud Access Security Broker)- 此服務為雲端服務提供可視性、合規性、資料安全性和威脅防護。
- 工業安全 - 此服務為常見的 ICS/SCADA 通訊協定提供簽章。
- 安全性評等 - 此服務提供稽核功能,以找出重要的弱點和組態弱點,並實施最佳作法建議。
安裝服務後,您無法變更按月訂閱的授權模式。 若要變更按月訂閱的授權模式,您必須刪除現有服務,然後選擇不同的授權選項重新安裝服務。