Fortinet と統合された MVE の作成
このトピックでは、FortinetセキュアSD-WANを使用してMegaport Virtual Edge(MVE)を作成および設定する方法について説明します。始める前に、Megaport PortalおよびFortinetへのアクセスを提供するための、注文権限を持つユーザーアカウントが必要です。
Megaport アカウントの設定については、「アカウントの作成」を参照してください。
ヒント
Fortinet は、FortiManager やクラウド接続を含む SD-WAN プロダクトのドキュメンテーションをFortinet SD-WAN ドキュメンテーション ライブラリで提供しています。
基本ステップ
ここでは、FortiManagerおよびMegaport Portalの設定手順の概要を説明します。詳細な手順は、この基本ステップの概要に続きます。
基本的な手順は、次のとおりです。
- Fortinet社からライセンスを取得する。
- 認証用のSSHキーペアを生成する。
- Megaport Portal で Fortinet MVE を作成する。
- MVE のパブリック IP アドレスの割り当てを Megaport Portal で確認する。
- FortiGate の管理者パスワードを設定する。
- FortiGateへの安全なコンソールアクセスを許可する。
- FortiManager CloudにFortiGateを追加する(オプション)。
ライセンス
Megaport PortalでMVEを作成する前に、Fortinetの有効なライセンスが必要です。Fortinetからライセンスを購入すると、登録コードがPDFで送られてきます。この登録コードを使ってライセンスファイルを生成します。
Fortinetからライセンスファイルを入手するには
-
Fortinetサポートの登録アカウントにログインします。
-
「Register Product(製品の登録)」を選択し、指定された登録コードを入力します。
-
登録手続きを行います。
Fortinet がシリアル番号を生成し、「Registration Completion (登録完了)」ページに表示します。 -
「Manage(管理) > View Products(製品を見る)」を選択し、シリアル番号をクリックします。
-
ダウンロードリンクをクリックして、ライセンスファイルを保存します。ライセンスファイルのアップロードは、後でMegaport Portalで行います。
製品が登録されると、FortiCloud Asset Managementの製品リストに表示されます。
次のステップは、認証用のSSHキーペアを生成することです。
MVE への管理者アクセス
MVEとFortiGateは、公開/秘密のSSHキーペアを介して接続し、安全な接続を確立します。パブリックSSHキーを使用すると、FortiGateにSSH接続して管理パスワードを設定したり、HTTPSアクセスを有効にしたり、オプションでFortiManagerクラウドにFortiGateを登録したりすることができます。
Megaportは2048ビットのRSA鍵タイプをサポートしています。
SSH鍵ペアを生成するには(Linux/Mac OSX)
- SSH keygenコマンドを実行します。
ssh-keygen -f ~/.ssh/megaport-mve-instance-1-2048 -t rsa -b 2048
鍵生成コマンドでSSHキーペアを作成し、~/.sshディレクトリに2つのファイルを追加します。
- megaport-mve-instance-1-2048 - 秘密鍵が含まれています。
- megaport-mve-instance-1-2048.pub - Fortinet のアカウントへのログインを認証された公開鍵が含まれています。
SSH 鍵ペアを生成するには (Windows、PuTTYgenを使用)
- PuTTYGenを開きます。
- 「Key(キー)」セクションでRSA 2048 bitを選択し、「Generate(生成)」をクリックします。
- 小さな画面の中でマウスをランダムに動かして、キーペアを生成します。
- キーを識別するキーコメントを入力します。
これは、複数のSSHキーを使用する場合に便利です。 - Key passphrase(キーパスフレーズ)を入力し、再入力して確定します。
パスフレーズは、キーを保護するために使用されます。SSHで接続する際に求められます。 - 「Save private key(プライベートキーの保存)」をクリックし、保存場所を選択して、「Save(保存)」をクリックします。
- 「Save public key(公開鍵の保存)」をクリックし、保存場所を選択して「Save(保存)」をクリックします。
公開鍵ファイルの内容を後で Megaport Portal にコピー&ペーストして、FortiGate に公開鍵を配布します。秘密鍵が公開鍵と一致することで、アクセスが許可されます。FortiGateへのSSHアクセスは、1つの秘密鍵のみが可能です。
Megaport Portal での MVE の作成
MVEを作成する前に、最適なロケーションを決定する必要があります。- MVE をサポートし、最も相性の良いメトロエリアにします。個々のMVEに複数のロケーションを接続することができます。ロケーションの詳細については、「Fortinet 展開の計画」を参照してください。
冗長性や容量の観点から、同じ都市圏に複数のMVEを配置することができます。
MVE を作成するには
- Megaport Portal で、「Services(サービス)」ページに移動します。
-
「Create MVE (MVE の作成)」 をクリックします。
-
MVEのロケーションを選択します。
対象となるブランチやオンプレミスの拠点に地理的に近いロケーションを選びます。
選択する国は、すでに登録済みのマーケットである必要があります。
MVEを展開する場所に請求マーケットが登録されていない場合は、請求マーケットの有効化の手順に従ってください。
リストでローカル マーケットを検索するには、国フィルターに国を入力するか、検索フィルターにメトロリージョンの詳細を入力します。
-
「Next (次へ)」をクリックします。
-
Fortinetとソフトウェアのバージョンを選択します。
MVEは、Fortinetのこのソフトウェアバージョンに対応するように設定されます。 -
MVE の詳細を指定します。
-
MVE Name (MVE 名) – 特に複数の MVE をプロビジョニングする予定の場合は、簡単に識別できる MVE の名前を指定します。この名前はMegaport Portalに表示されます。
注意
パートナー マネージド アカウントは、最低 12 か月間のサブスクリプションがあるサービスにパートナー ディールを関連付けることができます。詳細については、「取引をサービスに関連付ける」をご覧ください。
-
Size (サイズ) – ドロップダウン リストからサイズを選択します。リストには、選択した場所の CPU 容量に一致するすべてのサイズが表示されます。サイズはさまざまな数の同時接続をサポートします。 個々のパートナー製品のメトリックはわずかに異なります。詳細については、「Fortinet 展開の計画」を参照してください。
-
Minimum Term (最低利用期間) – 最低利用期間なしを選択して従量課金制にするか、12、24、36 か月の中から利用期間を選択します。期間が長くなると、月額料金が下がります。デフォルトでは、12 か月の期間が選択されています。
注意
パートナーおよびパートナー マネージド アカウントは、MCR の契約期間の代わりに MCR のサブスクリプションを選択します。
契約期間の詳細については、「MVE の価格設定と契約期間」を参照してください。
-
Service Level Reference (サービス レベル参照) (オプション) – コスト センター番号や一意の顧客 ID など、請求目的で使用する MVE の識別番号を指定します。サービス レベル参照番号は、請求書の「Product (プロダクト)」セクションの各サービスに表示されます。また、既存のサービスのこのフィールドを編集することもできます。
-
Appliance License (アプライアンス ライセンス) – (オプション) 「Choose File (ファイルの選択)」をクリックして、Fortinet から以前に生成されたアプライアンス ライセンスを選択します。
-
SSH Key (SSH キー) – 公開 SSH キーの内容をここにコピーして貼り付けます。公開鍵は、先に生成したmegaport-mve-instance-1-2048.pubファイルに記載されています。
-
Virtual Interfaces (vNICs) (仮想インターフェイス (vNIC)) – Fortinet は、デフォルトで「Data Plane (データ プレーン)」という名前の 1 つの vNIC で構成されています。必要に応じて、「Data Plane (データ プレーン)」テキストに入力して名前を変更することができます。
MVE には、デフォルトで追加された 1 つの vNIC を含めて、合計 5 つの vNIC を追加できます。
vNIC を追加するには:
-
「+ Add (+ 追加)」をクリックします。
-
vNIC の名前を入力します。
注意
展開後にこの MVE 上の vNIC の数を増減したい場合は、MVE 全体を削除して再作成する必要があります。展開された MVE に vNIC を追加したり、削除したりすることはできません。
-
-
-
「Next (次へ)」をクリックして、「Summary (概要)」画面を表示します。
月額料金は、ロケーションとサイズに基づいています。
-
設定内容と価格設定を確認し、「Add MVE (MVE を追加)」をクリックします。
Megaport Internet 接続を作成するよう促されます。Megaport Internet 接続は、接続性を提供し、MVE が Fortinet SD-WAN オーバーレイ ネットワークに登録して通信することを可能にします。
Megaport Internet 接続を作成するには
-
「Create Megaport Internet (Megaport インターネットの作成)」をクリックして続行する (推奨) か、「Not now (今は行わない)」をクリックして後で独自のインターネット アクセスをプロビジョニングします。
MVE と同じ多様性ゾーンにある宛先ポートが自動的に割り当てられます。注意
MVE ではインターネット接続が必要です。Megaport Internet 接続をプロビジョニングするか、自社のインターネット アクセスを使用することができます。
-
接続の詳細を指定します。
- Connection Name (接続名) – Megaport Internet 接続の一意の名前を指定します。
-
Service Level Reference (サービス レベル参照) (オプション) – コスト センター番号や一意の顧客 ID など、請求目的で使用する Megaport Internet 接続の識別番号を指定します。サービス レベル参照番号は、請求書の「Product (プロダクト)」セクションの各サービスに表示されます。
ヒント
Megaport Internet 接続と MVE に同じサービス レベル参照番号を使用して、請求書の一致するペアを識別します。
-
Rate Limit (帯域制限) – 帯域制限は、Megaport Internet 接続の速度を指定し、1 Mbps 刻みで 20 Mbps から 10 Gbps まで調整可能です。Megaport Internet 接続を作成した後、必要に応じて速度を変更できます。ロケーションと帯域制限に基づいて月額請求の詳細が表示されます。
-
A-End vNIC (A エンド vNIC) – ドロップダウン リストから vNIC を指定します。このリストには、MVE の作成時に定義した vNIC が反映されます。
-
Preferred A-End VLAN (優先 A エンド VLAN) (オプション) – この接続で未使用の VLAN ID を指定します。
これは、この MVE の一意の VLAN ID である必要があり、2 から 4093 の範囲で指定できます。既に使用されている VLAN ID を指定すると、次に使用可能な VLAN 番号が表示されます。注文を続行するには、VLAN ID が一意である必要があります。値を指定しない場合は、Megaport が値を割り当てます。または、「Untag (タグなし)」をクリックすることもできます。この選択により、この接続の VLAN タグが削除され、VLAN ID なしで設定されます。
-
「Next (次へ)」をクリックして接続の詳細の概要に進み、「Add VXC (VXC の追加)」をクリックして接続を注文します。
- Order Services (注文サービス) 契約を確認します。
- 注文する前に、「Save(保存)」をクリックし、設定済みの MVE を保存します。
- 「Order (注文)」をクリックします。
- 「Add Promo Code (プロモーション コードの追加)」をクリックして入力し、「Add Code (コードの追加)」をクリックします。
- 「Order Now (今すぐ注文)」をクリックします。
オーダーMVEは、インスタンスのプロビジョニングを行い、Megaport SDNからIPアドレスを割り当てます。MVEのプロビジョニングは、わずか数分で完了します。プロビジョニングプロセスでは、FortiGateが起動します。
Megaport Portal での MVE の表示
MVE を作成した後は、「Services (サービス)」ページの Megaport Portal で確認することができます。割り当てられたパブリック IP アドレスを表示することもできます。
Megaport PortalでMVEを表示するには
- 「Services (サービス)」ページに移動します。
画像のように、Megaport Internet アイコンは、Megaport Portal の標準 VXC アイコンとは異なります。
「Services (サービス)」ページの詳細については、「Services (サービス)」ページを理解する」を参照してください。
MVEに割り当てられたパブリックIPアドレスを表示するには
- Megaport Internet 接続の横にあるをクリックします。
「Connection Configuration (接続の設定)」画面が表示されます。ここから、Megaport Internet 接続の詳細を変更できます。
- 「Details (詳細)」タブをクリックします。
- パブリック IP アドレス (IPv4 または IPv6) を探します。
MVEに割り当てられているパブリックIPアドレスです。
FortiGate へのコンソール アクセスの許可
FortiGateへのコンソールアクセスは、安全なHTTPSセッションを通じて提供されます。MVEは、デバイスに割り当てられたパブリックIPアドレスへのアクセスを、デバイスにSSH接続してHTTPSアクセスを許可するまでブロックします。
管理者用 Web UI パスワードを設定し、HTTPS アクセスを許可するには
-
先に生成した SSH 秘密鍵を使って Fortinet MVE インスタンスに SSH 接続します。デフォルトのユーザー名はadminで、その後にMegaportがデバイスに割り当てたパブリックIPアドレスが続きます。
ssh -i ~/.ssh/megaport-mve-instance-1-2048 admin@162.43.xx.x
FortiOS CLIに入ると、システムのステータスを表示したり、CLIコマンドを使ってデバイスへのアクセスを許可することができます。
注意
FortiOS CLIは、標準のNOS CLIやLinuxシェルとは異なります。
-
ユーザーadminアカウントのパスワードを設定します。
FGVM08TM21001375 # config system admin FGVM08TM21001375 (admin) # edit admin FGVM08TM21001375.(admin) # set password xxxxxxxx FGVM08TM21001375 (admin) # next FGVM08TM21001375 (admin) # end
-
ポート1 のパブリック インターフェイス GUI への HTTPS アクセスを許可します。
FGVM08TM21001375 # config system interface FGVM08TM21001375 (interface) # edit port1 FGVM08TM21001375 (port1) # append allowaccess https FGVM08TM21001375 (port1) # next FGVM08TM21001375 (interface) # end FGVM08TM21001375 #
-
HTTP アクセスが許可されていることを確認します。
FGVM08TM21001375 # show system interface
HTTPSアクセスが許可されている場合、ユーザー管理者の認証情報を使ってFortiGateのWeb UIにログインすることができます。
FortiManager Cloud への FortiGate の追加
次のステップは、FortinetのSD-WAN集中管理プラットフォームであるFortiManager CloudにFortiGateを追加することです。
注意
このステップは任意です。FortiGateは、FortiManager Cloudをセントラルマネージャーとして使用することなく、スタンドアロンデバイスとして管理することができます。
FortiManager Cloud に FortiGate を追加するには
-
FortiGate GUIへログインします: https://162.43.xx.x
-
「Device Manager(デバイスマネージャー)」を選択します。
-
デバイスダッシュボードから「Security Fabric(セキュリティファブリック)」 > 「Fabric Connectors(ファブリックコネクター)を選択します。
-
「FortiManager」を選択し、「Edit(編集)」をクリックします。
-
以下の設定を選択します。
- Status(ステータス) - Enabled(有効)
- Type(タイプ) - FortiManager Cloud
- Mode(モード) - Normal(ノーマル)
-
「OK」をクリックします。
FortiCloudは、登録済みのFortiManager Cloudに連絡して承認を求めます。登録の際には、IPアドレスを必要とせず、事前の登録とライセンスによるバックエンドの認証を使用します。
FortiManager での FortiGate の承認
FortiManagerがFortiGateを管理対象デバイスのリストに追加する前に、手動で承認を行う必要があります。
FortiGate を承認するには
-
FortinetサポートでFortiManager Cloudインスタンスにログインします。
-
「Services(サービス)」 > 「FortiManager」を選択します。
承認待ちの未承認デバイスが表示されます。
-
「Unauthorized Devices(未承認デバイス)」をクリックして、承認するデバイスを選択します。
-
「Authorize(承認)」をクリックします。
-
オプションでデバイス名を変更したり、事前に設定されたポリシーパッケージを適用したり、事前に設定されたプロビジョニングテンプレートをデバイスに適用したりすることができます。
-
設定が完了したらOKをクリックします。
緑のチェックマークは、FortiManagerによってFortiGateが承認されたことを示します。 -
「Close(閉じる)」をクリックします。
デバイスはFortiManager Cloudで管理されるようになり、管理対象デバイスのリストに表示されるようになります。
注意
ダッシュボードに表示されるFortiGateのIPアドレスは、SD-WANオーバーレイ専用で使用されるの内部プライベートIPです。
次のステップ
これで MVE が構築されました。次の手順は VXCを CSP、ローカルポート、またはサードパーティネットワークに追加することです。オプションで、プライベート VXC を通じて物理ポートを MVE に接続するか、Megaport Marketplace のサービスプロバイダーに接続できます。