Fortinet SD-WAN を使用した MVE への Google Cloud Services 接続の作成
MVE(FortiGate)からGoogle Cloudへのネットワーク接続は、Partner Interconnectを通じて行うことができます。
Megaport により Partner Interconnect を介して Google Cloud Platform (GCP) に接続する場合、仮想クロス コネクト (VXC) は接続のレイヤー 2 コンポーネントを形成し、レイヤー 3 BGP は顧客と GCP 間で直接確立されます。
重要
始める前に、FortiManagerでMVE(FortiGate)を作成します。詳細については、MVEの作成を参照してください。MVEがアクティブな状態になっている必要があります。
MVEとFortiManagerにGoogle Cloud接続を追加するには、3つの部分があります。
-
Google Cloud Console でPartner Interconnectアタッチメントを作成する、または アタッチメントを作成した。 アタッチメントの一部として提供されているペアリングキーをコピーする コピーした。 詳細については、 Google Partner Interconnects に関する Google ドキュメンテーションを参照してください。
-
Megaport Portalで、MVEからVXCを作成し、Google Cloudアタッチメントに接続します。
-
FortiManagerで、新しいインターフェイスを作成し、Google Cloud接続の詳細を追加します。
ここでは、2番目と3番目の部分を順に説明します。
注意
Fortinet SD-WANのMVEでは、すべてのクラウド接続に対してFortiManagerとMegaport Portalの両方で設定の手順が必要です。
Megaport Portal での Google Cloud 接続の追加
GCP接続を設定するには、Megaport Portalで接続を作成する必要があります。
Megaport Portal から Google Cloud Platform に VXC を展開するには
-
Megaport Portalで、MVEの「+Connection(+接続)」をクリックしてVXCを作成します。
-
「Cloud (クラウド)」タイルをクリックします。
-
プロバイダーとして Google を選択します。
-
ペアリングキーを Google Cloud Console からコピーして右側のパネルのフィールドに貼り付けます。
関連する Google ターゲットは、GCI パートナー接続のリージョンに 基づいて表示されます。 - 接続のターゲットの場所を選択し、「Next(次へ)」をクリックします。
-
次の接続の詳細を提供します。
- Connection Name (接続名) – これはフリー テキスト フィールドで、この接続に識別しやすい名前を割り当てることができます。
注意
パートナー マネージド アカウントは、サービスにパートナー ディールを適用することができます。詳細については、「取引をサービスに関連付ける」をご覧ください。
-
Rate Limit (帯域制限) – Google ポート速度に選択したものと同じポート速度を入力します。
-
Preferred A-End VLAN (優先 A エンド VLAN) – ポートを介して受信するこの MVE を通じて受信するこの VLAN の接続です。これは、この MVE の一意の VLAN ID である必要があり、2 から 4093 の範囲で指定できます。既に使用されている VLAN ID を指定すると、次に使用可能な VLAN 番号が表示されます。注文を続行するには、VLAN ID が一意である必要があります。値を指定しない場合は、Megaport が値を割り当てます。
-
VXC を注文に追加し、チェックアウトプロセスを完了します。
-
VXC を構築したら、 Google Cloud Console のアタッチメントに戻り、それを受け入れます。
BGP を設定するために Google からプライベートIPアドレスが提供されます。
VXC を設定した後、アタッチメントを事前にアクティブにするか、アクティブにマークしていることを確認してください。これを行わないと、SD-WAN インスタンスで BGP を設定することができません。
注意
Google AS 番号は常に 16550 になります。
FortiManager への Google Cloud 接続の追加
MVEからGoogle Cloudへの接続を作成し、Googleコンソールで接続を設定した後、FortiManagerで設定する必要があります。これには、BGPの設定、ASN、VLANの設定が含まれます。
FortiManagerでGoogle Cloud接続を追加するには
-
Googleコンソールから接続情報を収集します。
この接続用にGoogle Cloudで作成した接続の詳細を表示します。Peer ASN(ピアAS番号)、Cloud Router BGP IP、BGP Peer ID(BGPピアID)の値に注意してください。
-
Megaport Portalから接続情報を収集します。
MVEからのGoogle接続の歯車アイコンをクリックし、「Details(詳細)」をクリックします。 AエンドVLANの値に注意してください。 -
FortiManagerにログインします。
注意
MVE インスタンスにログインすることもできます。https://<mve-ip-address>
-
管理対象デバイスから、「System(システム)」メニューを開き、「Interface(インターフェイス)」を選択します。
ページには、物理インターフェイスとしてport1が表示されます。 -
「+Create New(新規作成)」 > 「Interface(インターフェイス)」をクリックし、次の情報を入力します。
- Interface Name (インターフェイス名) – インターフェイスのわかりやすい名前を指定します。
- Alias Name (エイリアス名) – 必要に応じて、別の名前を指定します。
- Type (タイプ) – VLAN を選択します。
- Interface (インターフェイス) – 親インターフェイス: 「port1」を選択します。
- VLAN ID – Megaport Portal でこの Google 接続に一覧表示されている A エンド VLAN を指定します。
- Role (ロール) – Undefined (未定義) を選択します。
- Addressing Mode (アドレッシング モード) – Manual (手動) を選択します。
- IP/Netmask (IP/ネットマスク) – これらの値は、Google Cloud コンソールの VLAN アタッチメントの詳細で確認できます。BGP Peer IP(BGPピアIP)フィールドにIPアドレスが表示されます。
- Administrative Access(管理者アクセス) - HTTPS、PING、SSHなど、このインターフェイスにアクセスする方法を指定します。
- DHCP Server(DHCPサーバー) - 「OFF」をクリックします。
-
「OK」をクリックします。
新しいVLANインターフェイスは、物理的なインターフェイスであるport1
に表示されます。
FortiOSからexecute ping
コマンドを実行して接続を確認することができます。
注意
MVEに設定をプッシュする必要がありますが、これはAutoUpdate(自動更新)を設定している場合に起こります。ping が成功しない場合は、FortiManager の「Manage Devices(デバイスの管理)」で MVE を選択し、「More(詳細)」メニューから「Refresh Device(デバイスの再表示)」を選択します。プロンプトが表示されたら、「Config Status(コンフィグのステータス)」でAutoUpdate(自動更新)を選択します。
この時点で、インターフェイスの作成が完了し、次にBGPセッションを作成する必要があります。
-
FortiManagerで「Router(ルーター)」 > 「BGP」に移動します。
-
次の情報を入力します。
- Local AS (ローカル AS) – MVE 接続用の AS 番号を入力します。Google CloudコンソールのVLANアタッチメントのBGP設定で定義したPeer ASN(ピアAS番号)を指定します。
- Router ID (ルーター ID) – Google Cloud コンソールの VLAN アタッチメントの詳細から Cloud Router BGP IP を指定します。
-
「Neighbors(ネイバー)」で、「+Create New(新規作成)」をクリックします。
- ネイバーIPに、Google CloudコンソールのVLANアタッチメントの詳細からCloud Router BGP IPを追加します。
-
Remote ASN(リモートAS番号)には、Google Cloud ASNの16550を入力します。
これは固定値で、Googleコンソールの接続詳細に表示されます。 -
「OK」をクリックします。
- 「Apply(適用)」をクリックします。
注意
Google Cloud では、BGP マルチホップのサポートが必要です。マルチホップ サポートは、Fortinet CLI から以下のコマンドで構成できます。
config router bgp
config neighbor
edit "<neighbor ip>"
set ebgp-enforce-multihop enable
next
end
Google Cloud 接続の確認
次のコマンドを使って、Fortinet CLI から接続状態を含む接続の詳細を確認することができます。
get system interface
– デバイスのインターフェイスの構成の詳細と現在のステータスを表示します。get router info bgp neighbor <ip-address>
– BGP ネイバーの構成の詳細と現在のステータスを表示します。