Fortinetと統合したMVEの作成

このトピックでは、FortinetセキュアSD-WANを使用してMegaport Virtual Edge(MVE)を作成および設定する方法について説明します。始める前に、Megaport PortalおよびFortinetへのアクセスを提供するための、注文権限を持つユーザーアカウントが必要です。

Megaportアカウントの設定については、アカウントの登録を参照してください。

ヒント

Fortinetは、FortiManagerやクラウド接続を含むSD-WAN製品のドキュメントをFortinet SD-WANドキュメントライブラリで提供しています。

基本ステップ

ここでは、FortiManagerおよびMegaport Portalの設定手順の概要を説明します。詳細は後述します。

基本的な手順は、次のとおりです。

  • Fortinet社からライセンスを取得する。
  • 認証用のSSHキーペアを生成する。
  • Megaport Portal で Fortinet MVE を作成する。
  • MVE のパブリック IP アドレスの割り当てを Megaport Portal で確認する。
  • FortiGate の管理者パスワードを設定する。
  • FortiGateへの安全なコンソールアクセスを許可する。
  • FortiManager CloudにFortiGateを追加する(オプション)。

ライセンス

Megaport PortalでMVEを作成する前に、Fortinetの有効なライセンスが必要です。Fortinetからライセンスを購入すると、登録コードがPDFで送られてきます。この登録コードを使ってライセンスファイルを生成します。

Fortinetからライセンスファイルを入手するには

  1. Fortinetサポートの登録アカウントにログインします。

  2. 「Register Product(製品の登録)」を選択し、指定された登録コードを入力します。

  3. 登録手続きを行います。

    FortiManagerはシリアル番号を生成し、登録完了ページに表示します。

  4. Manage(管理) > View Products(製品を見る)」を選択し、シリアル番号をクリックします。

  5. ダウンロードリンクをクリックして、ライセンスファイルを保存します。ライセンスファイルのアップロードは、後でMegaport Portalで行います。

製品が登録されると、FortiCloud Asset Managementの製品リストに表示されます。

次のステップは、認証用のSSHキーペアを生成することです。

MVEへの管理者アクセス

MVEとFortiGateは、公開/秘密のSSHキーペアを介して接続し、安全な接続を確立します。パブリックSSHキーを使用すると、FortiGateにSSH接続して管理パスワードを設定したり、HTTPSアクセスを有効にしたり、オプションでFortiManagerクラウドにFortiGateを登録したりすることができます。

Megaportは2048ビットのRSA鍵タイプをサポートしています。

SSH鍵ペアを生成するには(Linux/Mac OSX)

  • SSH keygenコマンドを実行します。
     ssh-keygen -f ~/.ssh/megaport-mve-instance-1-2048 -t rsa -b 2048
    

鍵生成コマンドでSSHキーペアを作成し、~/.sshディレクトリに2つのファイルを追加します。

  • megaport-mve-instance-1-2048 - 秘密鍵が含まれています。
  • megaport-mve-instance-1-2048.pub - Fortinetのアカウントへのログインを認証された公開鍵が含まれています。

SSH 鍵ペアを生成するには (Windows、PuTTYgenを使用)

  1. PuTTYGenを開きます。
  2. 「Key(キー)」セクションでRSA 2048 bitを選択し、「Generate(生成)」をクリックします。
  3. 小さな画面の中でマウスをランダムに動かして、キーペアを生成します。
  4. キーを識別するキーコメントを入力します。
    これは、複数のSSHキーを使用する場合に便利です。
  5. Key passphrase(キーパスフレーズ)を入力し、再入力して確定します。
    パスフレーズは、キーを保護するために使用されます。SSHで接続する際に求められます。
  6. Save private key(プライベートキーの保存)」をクリックし、保存場所を選択して、「Save(保存)」をクリックします。
  7. Save public key(公開鍵の保存)」をクリックし、保存場所を選択して「Save(保存)」をクリックします。

公開鍵ファイルの内容を後でMegaport Portalにコピー&ペーストして、FortiGateに公開鍵を配布します。秘密鍵が公開鍵と一致することで、アクセスが許可されます。FortiGateへのSSHアクセスは、1つの秘密鍵のみが可能です。

Megaport PortalでのMVEの作成

MVEを作成する前に、最適なロケーションを決定する必要があります。- MVE をサポートし、最も相性の良いメトロエリアにします。個々のMVEに複数のロケーションを接続することができます。ロケーションの詳細については、展開の計画を参照してください。

冗長性や容量の観点から、同じ都市圏に複数のMVEを配置することができます。

MVE を作成するには

  1. Megaport Portal で、「Services(サービス)」ページに移動します。
  2. Create MVE (MVE の作成)」 をクリックします。
    「Create MVE(MVE の作成)」ボタン

  3. MVEのロケーションを選択します。

    対象となるブランチやオンプレミスの拠点に地理的に近いロケーションを選びます。

    選択する国は、すでに登録済みのマーケットである必要があります。

    MVEを展開する場所に請求マーケットが登録されていない場合は、請求マーケットの有効化の手順に従ってください。

    リストでローカル マーケットを検索するには、国フィルターに国を入力するか、検索フィルターにメトロリージョンの詳細を入力します。

    MVE ロケーションの選択

  4. Next(次へ)」をクリックします。

  5. Fortinetとソフトウェアのバージョンを選択します。
    MVEは、Fortinetのこのソフトウェアバージョンに対応するように設定されます。

  6. MVE の詳細を指定します。
     MVE の詳細

    • MVE Name(MVE名) – 特に複数のMVEをプロビジョニングする場合に、識別しやすいMVEの名前を入力します。この名前はMegaport Portalに表示されます。

    • 請求書参照(オプション)– 発注書やコスト センター番号など、請求目的で使用する MVE の識別番号を指定します。

    • Size(サイズ) – ドロップダウンリストからサイズを選択します。Small(スモール)、Medium(ミディアム)、Large(ラージ)の3種類です。同時接続数の変化に対応する3つのサイズが用意されています。 パートナー企業の製品ごとに指標は若干異なりますが、一般的には、スモールサイズで30以上の同時ブランチ接続と500Mbpsまでのトラフィックを処理でき、ミディアムサイズでは最大300個の接続と1 Gbpsのトラフィック、ラージサイズでは約600個の接続と約5 Gbpsのトラフィックを処理できます。

    • Appliance Licence(機器ライセンス) –「Choose File(ファイルの選択)」をクリックして、Fortinetから以前に生成された機器ライセンスを選択します

    • SSH Key(SSHキー) – 公開SSHキーの内容をここにコピー&ペーストします。公開鍵は、先に生成したmegaport-mve-instance-1-2048.pubファイルに記載されています。

  7. [Next(次へ)] をクリックして、[Summary(概要)] 画面を表示します。

    月額料金は、ロケーションとサイズに基づいています。
    MVE の概要

  8. 設定内容と価格設定を確認し、「Add MVE(MVEを追加)」をクリックします。
    Create MVE(MVEの作成)」をクリックして、他のロケーションにMVEを追加します。

  9. [Order(注文)] をクリックします。

  10. Order Services (サービス注文) 契約を確認し、「Order Now (今すぐ注文)」 をクリックします。

    • 注文する前に、「Save(保存)」をクリックし、設定済みの MVE を保存します。
    • Add Promo Code(プロモーションコードの追加)」をクリックしてプロモーションコードを入力し、「Add Code(コードの追加)」をクリックします。

オーダーMVEは、インスタンスのプロビジョニングを行い、Megaport SDNからIPアドレスを割り当てます。MVEのプロビジョニングは、わずか数分で完了します。プロビジョニングプロセスでは、FortiGateが起動します。

Megaport Portal でのMVE のパブリック IP アドレス割り当ての表示

MVEを作成した後は、Megaport Portalで確認することができます。

Megaport PortalでMVEを表示するには

  • 「Services(サービス)」ページに移動します。

MPポータルのMVEとトランジットVXC

MVEのプロビジョニングの一環として、Megaportはトランジットを作成します。Virtual Cross Connect(VXC)を作成してインターネット接続を提供し、MVEがFortinet SD-WANオーバーレイネットワークに登録して通信できるようにします。オーバーレイネットワークはFortinetが作成・管理し、ブランチロケーションからの安全なトンネルを提供します。トランジットVXCは、MVEの大きさに応じて固定されたサイズになっています。トランジットVXCの修正や削除はできません。画像のように、トランジットVXCアイコンは、Megaport Portalの標準VXCアイコンとは異なります。

MVEに割り当てられたパブリックIPアドレスを表示するには

  1. MegaportインターネットへのトランジットVXCの横にある歯車アイコンをクリックします。

  2. パブリックIPアドレス(IPv4またはIPv6)を探します。MVEに割り当てられているパブリックIPアドレスです。これらのアドレスは、後で使用するためにメモしておいてください。

FortiGateへのコンソールアクセスを許可する

FortiGateへのコンソールアクセスは、安全なHTTPSセッションを通じて提供されます。MVEは、デバイスに割り当てられたパブリックIPアドレスへのアクセスを、デバイスにSSH接続してHTTPSアクセスを許可するまでブロックします。

管理者用Web UIのパスワードを設定し、HTTPSアクセスを許可するには

  1. 先に生成した SSH 秘密鍵を使って Fortinet MVE インスタンスに SSH 接続します。デフォルトのユーザー名はadminで、その後にMegaportがデバイスに割り当てたパブリックIPアドレスが続きます。

    ssh -i ~/.ssh/megaport-mve-instance-1-2048 admin@162.43.xx.x

    FortiOS CLIに入ると、システムのステータスを表示したり、CLIコマンドを使ってデバイスへのアクセスを許可することができます。

注意

FortiOS CLIは、標準のNOS CLIやLinuxシェルとは異なります。

  1. ユーザーadminアカウントのパスワードを設定します。

      FGVM08TM21001375 # config system admin
      FGVM08TM21001375 (admin) # edit admin
      FGVM08TM21001375.(admin) # set password xxxxxxxx
      FGVM08TM21001375 (admin) # next
      FGVM08TM21001375 (admin) # exit
    
  2. ポートのパブリックインターフェイスGUIへのHTTPSアクセスを許可します。 1.

      FGVM08TM21001375 # config system interface
      FGVM08TM21001375 (interface) # edit port1
      FGVM08TM21001375 (port1) # append allowaccess https
      FGVM08TM21001375 (port1) # next
      FGVM08TM21001375 (interface) # end
    
      FGVM08TM21001375 #
    
  3. HTTPアクセスが許可されていることを確認します。

      FGVM08TM21001375 # show system interface
    

HTTPSアクセスが許可されている場合、ユーザー管理者の認証情報を使ってFortiGateのWeb UIにログインすることができます。

FortiManager CloudへのFortiGateの追加

次のステップは、FortinetのSD-WAN集中管理プラットフォームであるFortiManager CloudにFortiGateを追加することです。

注意

このステップは任意です。FortiGateは、FortiManager Cloudをセントラルマネージャーとして使用することなく、スタンドアロンデバイスとして管理することができます。

FortiManager CloudにFortiGateを追加するには

  1. FortiGate GUIへログインします: https://162.43.xx.x

  2. 「Device Manager(デバイスマネージャー)」を選択します。

  3. デバイスダッシュボードから「Security Fabric(セキュリティファブリック)」 > 「Fabric Connectors(ファブリックコネクター)を選択します。

  4. 「FortiManager」を選択し、「Edit(編集)」をクリックします。

    FortiManagerへのFortiGateの追加

  5. 以下の設定を選択します。

    • Status(ステータス) - Enabled(有効)
    • Type(タイプ) - FortiManager Cloud
    • Mode(モード) - Normal(ノーマル)
  6. OK」をクリックします。

    FortiCloudは、登録済みのFortiManager Cloudに連絡して承認を求めます。登録の際には、IPアドレスを必要とせず、事前の登録とライセンスによるバックエンドの認証を使用します。

FortiManagerでのFortiGateの承認

FortiManagerがFortiGateを管理対象デバイスのリストに追加する前に、手動で承認を行う必要があります。

FortiGateを承認するには

  1. FortinetサポートでFortiManager Cloudインスタンスにログインします。

  2. 「Services(サービス)」 > 「FortiManager」を選択します。

    デバイスの承認

    承認待ちの未承認デバイスが表示されます。

    承認待ちのFortiGate

  3. 「Unauthorized Devices(未承認デバイス)」をクリックして、承認するデバイスを選択します。

  4. Authorize(承認)」をクリックします。

  5. オプションでデバイス名を変更したり、事前に設定されたポリシーパッケージを適用したり、事前に設定されたプロビジョニングテンプレートをデバイスに適用したりすることができます。

  6. 設定が完了したらOKをクリックします。
    緑のチェックマークは、FortiManagerによってFortiGateが承認されたことを示します。

    FortiGateの承認成功

  7. Close(閉じる)」をクリックします。

デバイスはFortiManager Cloudで管理されるようになり、管理対象デバイスのリストに表示されるようになります。

FortiManagerで管理されるFortiCloud

注意

ダッシュボードに表示されるFortiGateのIPアドレスは、SD-WANオーバーレイ専用で使用されるの内部プライベートIPです。

MVEの削除

MVE の終了は、Megaport Portalから直接行うことができます。

MVEを削除するには

  1. Megaport Portal で、「Services(サービス)」ページに移動します。

  2. 削除したいMVEの横にあるゴミ箱アイコンをクリックします。

    MVE に接続されているすべてのサービスの一覧が表示されます。

    MVEの終了

  3. Yes - Terminate Services(はい - サービスを終了する)」をクリックして MVE の終了を確認するか、「No, Keep Services(いいえ、サービスを維持)」をクリックしてキャンセルします。

    MVEと関連するVXCがMegaportネットワークから削除されます。FortiManagerのDevice Managerを使用して、FortiGateを削除します。

次のステップ

これで MVE が構築されました。次の手順は VXCを CSP、ローカルポート、またはサードパーティネットワークに追加することです。オプションで、プライベート VXC を通じて物理ポートを MVE に接続するか、Megaport Marketplace のサービスプロバイダーに接続できます。


最後の更新: