コンテンツにスキップ

Fortinet と統合された MVE の作成

このトピックでは、FortinetセキュアSD-WANを使用してMegaport Virtual Edge(MVE)を作成および設定する方法について説明します。始める前に、Megaport PortalおよびFortinetへのアクセスを提供するための、注文権限を持つユーザーアカウントが必要です。

Megaportアカウントの設定については、アカウントの登録を参照してください。

ヒント

Fortinet は、FortiManager やクラウド接続を含む SD-WAN プロダクトのドキュメンテーションをFortinet SD-WAN ドキュメンテーション ライブラリで提供しています。

基本ステップ

ここでは、FortiManagerおよびMegaport Portalの設定手順の概要を説明します。詳細は後述します。

基本的な手順は、次のとおりです。

  • Fortinet社からライセンスを取得する。
  • 認証用のSSHキーペアを生成する。
  • Megaport Portal で Fortinet MVE を作成する。
  • MVE のパブリック IP アドレスの割り当てを Megaport Portal で確認する。
  • FortiGate の管理者パスワードを設定する。
  • FortiGateへの安全なコンソールアクセスを許可する。
  • FortiManager CloudにFortiGateを追加する(オプション)。

ライセンス

Megaport PortalでMVEを作成する前に、Fortinetの有効なライセンスが必要です。Fortinetからライセンスを購入すると、登録コードがPDFで送られてきます。この登録コードを使ってライセンスファイルを生成します。

Fortinetからライセンスファイルを入手するには

  1. Fortinetサポートの登録アカウントにログインします。

  2. 「Register Product(製品の登録)」を選択し、指定された登録コードを入力します。

  3. 登録手続きを行います。

    Fortinet がシリアル番号を生成し、「Registration Completion (登録完了)」ページに表示します。

  4. Manage(管理) > View Products(製品を見る)」を選択し、シリアル番号をクリックします。

  5. ダウンロードリンクをクリックして、ライセンスファイルを保存します。ライセンスファイルのアップロードは、後でMegaport Portalで行います。

製品が登録されると、FortiCloud Asset Managementの製品リストに表示されます。

次のステップは、認証用のSSHキーペアを生成することです。

MVE への管理者アクセス

MVEとFortiGateは、公開/秘密のSSHキーペアを介して接続し、安全な接続を確立します。パブリックSSHキーを使用すると、FortiGateにSSH接続して管理パスワードを設定したり、HTTPSアクセスを有効にしたり、オプションでFortiManagerクラウドにFortiGateを登録したりすることができます。

Megaportは2048ビットのRSA鍵タイプをサポートしています。

SSH鍵ペアを生成するには(Linux/Mac OSX)

  • SSH keygenコマンドを実行します。
     ssh-keygen -f ~/.ssh/megaport-mve-instance-1-2048 -t rsa -b 2048
    

鍵生成コマンドでSSHキーペアを作成し、~/.sshディレクトリに2つのファイルを追加します。

  • megaport-mve-instance-1-2048 - 秘密鍵が含まれています。
  • megaport-mve-instance-1-2048.pub - Fortinet のアカウントへのログインを認証された公開鍵が含まれています。

SSH 鍵ペアを生成するには (Windows、PuTTYgenを使用)

  1. PuTTYGenを開きます。
  2. 「Key(キー)」セクションでRSA 2048 bitを選択し、「Generate(生成)」をクリックします。
  3. 小さな画面の中でマウスをランダムに動かして、キーペアを生成します。
  4. キーを識別するキーコメントを入力します。
    これは、複数のSSHキーを使用する場合に便利です。
  5. Key passphrase(キーパスフレーズ)を入力し、再入力して確定します。
    パスフレーズは、キーを保護するために使用されます。SSHで接続する際に求められます。
  6. Save private key(プライベートキーの保存)」をクリックし、保存場所を選択して、「Save(保存)」をクリックします。
  7. Save public key(公開鍵の保存)」をクリックし、保存場所を選択して「Save(保存)」をクリックします。

公開鍵ファイルの内容を後でMegaport Portalにコピー&ペーストして、FortiGateに公開鍵を配布します。秘密鍵が公開鍵と一致することで、アクセスが許可されます。FortiGateへのSSHアクセスは、1つの秘密鍵のみが可能です。

Megaport Portal での MVE の作成

MVEを作成する前に、最適なロケーションを決定する必要があります。- MVE をサポートし、最も相性の良いメトロエリアにします。個々のMVEに複数のロケーションを接続することができます。ロケーションの詳細については、「Fortinet 展開の計画」を参照してください。

冗長性や容量の観点から、同じ都市圏に複数のMVEを配置することができます。

MVE を作成するには

  1. Megaport Portal で、「Services (サービス)」ページに移動します。
  2. Create MVE (MVE の作成)」 をクリックします。
    「Create MVE(MVE の作成)」ボタン

  3. MVEのロケーションを選択します。

    対象となるブランチやオンプレミスの拠点に地理的に近いロケーションを選びます。

    選択する国は、すでに登録済みのマーケットである必要があります。

    MVEを展開する場所に請求マーケットが登録されていない場合は、請求マーケットの有効化の手順に従ってください。

    リストでローカル マーケットを検索するには、国フィルターに国を入力するか、検索フィルターにメトロリージョンの詳細を入力します。

    MVE ロケーションの選択

  4. Next (次へ)」をクリックします。

  5. Fortinetとソフトウェアのバージョンを選択します。
    MVEは、Fortinetのこのソフトウェアバージョンに対応するように設定されます。

  6. MVE の詳細を指定します。
     MVE の詳細

    • MVE Name (MVE 名) – 特に複数の MVE をプロビジョニングする予定の場合は、簡単に識別できる MVE の名前を指定します。この名前はMegaport Portalに表示されます。

      注意

      パートナー マネージド アカウントは、最低 12 か月間のサブスクリプションがあるサービスにパートナー ディールを関連付けることができます。詳細については、「取引をサービスに関連付ける」をご覧ください。

    • Size (サイズ) – ドロップダウン リストからサイズを選択します。リストには、選択した場所の CPU 容量に一致するすべてのサイズが表示されます。サイズはさまざまな数の同時接続をサポートします。 個々のパートナー製品のメトリックはわずかに異なります。詳細については、「Fortinet 展開の計画」を参照してください。

    • Minimum Term (最低利用期間) – 最低利用期間なしを選択して従量課金制にするか、12、24、36 か月の中から利用期間を選択します。期間が長くなると、月額料金が下がります。デフォルトでは、12 か月の期間が選択されています。

      注意

      パートナーおよびパートナー マネージド アカウントは、MCR の契約期間の代わりに MCR のサブスクリプションを選択します。

      契約期間の詳細については、「MVE の価格設定と契約期間」を参照してください。

    • Service Level Reference (サービス レベル参照) (オプション) – コスト センター番号や一意の顧客 ID など、請求目的で使用する MVE の識別番号を指定します。サービス レベル参照番号は、請求書の「Product (プロダクト)」セクションの各サービスに表示されます。また、既存のサービスのこのフィールドを編集することもできます。

      注意

      MVE に関連付けられた VXC は、MCR サービス レベル参照番号で自動更新されません。

    • Appliance License (アプライアンス ライセンス) – (オプション) 「Choose File (ファイルの選択)」をクリックして、Fortinet から以前に生成されたアプライアンス ライセンスを選択します。

    • SSH Key (SSH キー) – 公開 SSH キーの内容をここにコピーして貼り付けます。公開鍵は、先に生成したmegaport-mve-instance-1-2048.pubファイルに記載されています。

  7. Next (次へ)」をクリックして、「Summary (概要)」画面を表示します。

    月額料金は、ロケーションとサイズに基づいています。
    MVE の概要

  8. 設定内容と価格設定を確認し、「Add MVE(MVEを追加)」をクリックします。
    Create MVE(MVEの作成)」をクリックして、他のロケーションにMVEを追加します。

  9. Order (注文)」をクリックします。

  10. Order Services (注文サービス) 契約を確認し、「Order Now (今すぐ注文)」 をクリックします。

    • 注文する前に、「Save(保存)」をクリックし、設定済みの MVE を保存します。
    • Add Promo Code(プロモーションコードの追加)」をクリックしてプロモーションコードを入力し、「Add Code(コードの追加)」をクリックします。

オーダーMVEは、インスタンスのプロビジョニングを行い、Megaport SDNからIPアドレスを割り当てます。MVEのプロビジョニングは、わずか数分で完了します。プロビジョニングプロセスでは、FortiGateが起動します。

Megaport Portal での MVE のパブリック IP アドレス割り当ての表示

MVEを作成した後は、Megaport Portalで確認することができます。

Megaport PortalでMVEを表示するには

  • 「Services(サービス)」ページに移動します。

MPポータルのMVEとトランジットVXC

MVEのプロビジョニングの一環として、Megaportはトランジットを作成します。Virtual Cross Connect(VXC)を作成してインターネット接続を提供し、MVEがFortinet SD-WANオーバーレイネットワークに登録して通信できるようにします。オーバーレイネットワークはFortinetが作成・管理し、ブランチロケーションからの安全なトンネルを提供します。トランジットVXCは、MVEの大きさに応じて固定されたサイズになっています。トランジットVXCの修正や削除はできません。画像のように、トランジットVXCアイコンは、Megaport Portalの標準VXCアイコンとは異なります。

MVEに割り当てられたパブリックIPアドレスを表示するには

  1. MegaportインターネットへのトランジットVXCの横にある歯車アイコンをクリックします。

  2. パブリックIPアドレス(IPv4またはIPv6)を探します。MVEに割り当てられているパブリックIPアドレスです。これらのアドレスは、後で使用するためにメモしておいてください。

FortiGate へのコンソール アクセスの許可

FortiGateへのコンソールアクセスは、安全なHTTPSセッションを通じて提供されます。MVEは、デバイスに割り当てられたパブリックIPアドレスへのアクセスを、デバイスにSSH接続してHTTPSアクセスを許可するまでブロックします。

管理者用 Web UI パスワードを設定し、HTTPS アクセスを許可するには

  1. 先に生成した SSH 秘密鍵を使って Fortinet MVE インスタンスに SSH 接続します。デフォルトのユーザー名はadminで、その後にMegaportがデバイスに割り当てたパブリックIPアドレスが続きます。

    ssh -i ~/.ssh/megaport-mve-instance-1-2048 admin@162.43.xx.x

    FortiOS CLIに入ると、システムのステータスを表示したり、CLIコマンドを使ってデバイスへのアクセスを許可することができます。

    注意

    FortiOS CLIは、標準のNOS CLIやLinuxシェルとは異なります。

  2. ユーザーadminアカウントのパスワードを設定します。

      FGVM08TM21001375 # config system admin
      FGVM08TM21001375 (admin) # edit admin
      FGVM08TM21001375.(admin) # set password xxxxxxxx
      FGVM08TM21001375 (admin) # next
      FGVM08TM21001375 (admin) # end
    
  3. ポート1 のパブリック インターフェイス GUI への HTTPS アクセスを許可します。

      FGVM08TM21001375 # config system interface
      FGVM08TM21001375 (interface) # edit port1
      FGVM08TM21001375 (port1) # append allowaccess https
      FGVM08TM21001375 (port1) # next
      FGVM08TM21001375 (interface) # end
    
      FGVM08TM21001375 #
    
  4. HTTP アクセスが許可されていることを確認します。

      FGVM08TM21001375 # show system interface
    

HTTPSアクセスが許可されている場合、ユーザー管理者の認証情報を使ってFortiGateのWeb UIにログインすることができます。

FortiManager Cloud への FortiGate の追加

次のステップは、FortinetのSD-WAN集中管理プラットフォームであるFortiManager CloudにFortiGateを追加することです。

注意

このステップは任意です。FortiGateは、FortiManager Cloudをセントラルマネージャーとして使用することなく、スタンドアロンデバイスとして管理することができます。

FortiManager Cloud に FortiGate を追加するには

  1. FortiGate GUIへログインします: https://162.43.xx.x

  2. 「Device Manager(デバイスマネージャー)」を選択します。

  3. デバイスダッシュボードから「Security Fabric(セキュリティファブリック)」 > 「Fabric Connectors(ファブリックコネクター)を選択します。

  4. 「FortiManager」を選択し、「Edit(編集)」をクリックします。

    FortiManagerへのFortiGateの追加

  5. 以下の設定を選択します。

    • Status(ステータス) - Enabled(有効)
    • Type(タイプ) - FortiManager Cloud
    • Mode(モード) - Normal(ノーマル)
  6. OK」をクリックします。

    FortiCloudは、登録済みのFortiManager Cloudに連絡して承認を求めます。登録の際には、IPアドレスを必要とせず、事前の登録とライセンスによるバックエンドの認証を使用します。

FortiManager での FortiGate の承認

FortiManagerがFortiGateを管理対象デバイスのリストに追加する前に、手動で承認を行う必要があります。

FortiGate を承認するには

  1. FortinetサポートでFortiManager Cloudインスタンスにログインします。

  2. 「Services(サービス)」 > 「FortiManager」を選択します。

    デバイスの承認

    承認待ちの未承認デバイスが表示されます。

    承認待ちのFortiGate

  3. 「Unauthorized Devices(未承認デバイス)」をクリックして、承認するデバイスを選択します。

  4. Authorize(承認)」をクリックします。

  5. オプションでデバイス名を変更したり、事前に設定されたポリシーパッケージを適用したり、事前に設定されたプロビジョニングテンプレートをデバイスに適用したりすることができます。

  6. 設定が完了したらOKをクリックします。
    緑のチェックマークは、FortiManagerによってFortiGateが承認されたことを示します。

    FortiGateの承認成功

  7. Close(閉じる)」をクリックします。

デバイスはFortiManager Cloudで管理されるようになり、管理対象デバイスのリストに表示されるようになります。

FortiManagerで管理されるFortiCloud

注意

ダッシュボードに表示されるFortiGateのIPアドレスは、SD-WANオーバーレイ専用で使用されるの内部プライベートIPです。

次のステップ

これで MVE が構築されました。次の手順は VXCを CSP、ローカルポート、またはサードパーティネットワークに追加することです。オプションで、プライベート VXC を通じて物理ポートを MVE に接続するか、Megaport Marketplace のサービスプロバイダーに接続できます。


最終更新日: 2023-05-11