创建与 Fortinet 集成的 MVE
本主题介绍如何创建和配置与 Fortinet Secure SD-WAN 集成的 Megaport Virtual Edge(MVE)。在开始之前,您需要具有订购权限的用户账户,以便访问 Megaport Portal 和 Fortinet。
有关设置 Megaport 账户的更多信息,请参阅 创建账户。
提示
Fortinet 提供其 SD-WAN 产品(包括 FortiManager 和云连接)的文档,参见 Fortinet SD-WAN Documentation Library。
基本步骤
本节概述在 FortiManager 和 Megaport Portal 中的配置步骤。详细步骤见后文。
基本步骤如下:
- 从 Fortinet 获取许可。
- 生成用于身份验证的 SSH 密钥对。
- 在 Megaport Portal 中创建 Fortinet MVE。
- 在 Megaport Portal 中查看分配给 MVE 的公有 IP 地址。
- 为 FortiGate 设置管理员密码。
- 允许通过 FortiGate 的安全控制台访问。
- 将 FortiGate 添加到 FortiManager Cloud(可选)。
许可
可以在 Megaport Portal 的 MVE 部署过程中应用有效的 FortiGate VM 许可文件,或者在部署后通过 FortiGate WebUI 或 CLI 接口应用。
或者,您也可以使用 FortiFlex 基于点数的许可模式。基于 FortiFlex 令牌的许可必须在部署后通过 CLI 应用。
如果您从 Fortinet 购买许可,您将收到 PDF 中的注册码。您将使用此注册码生成许可文件。
如果您使用 FortiFlex 点数,您将通过与 Fortinet Support 账户关联的 FortiFlex 门户生成许可令牌。
从 Fortinet 获取许可文件
-
登录到 Fortinet Support 的注册账户。
-
选择 Register Product 并输入提供的注册码。
-
按提示完成注册流程。
Fortinet 将生成序列号并在 Registration Completion 页面上显示。 -
选择 Manage > View Products (管理 > 查看产品) 并单击该序列号。
-
单击下载链接并保存许可文件。
稍后您将在 Megaport Portal 中上传该许可文件。
使用 FortiFlex 点数
-
在 MVE 上部署 FortiGate VM,并且不要选择上传许可文件。
-
通过建立 SSH 会话访问 FortiGate VM 的 CLI。
-
从您的 FortiFlex 门户复制提供的许可令牌。
-
使用 CLI 将许可令牌注入到 VM 中。
-
按提示重启 FortiGate VM。
产品注册后,它会出现在 FortiCloud Asset Management 的产品列表中。
下一步是生成用于身份验证的 SSH 密钥对。
MVE 的管理访问
MVE 与 FortiGate 通过一对公钥/私钥 SSH 密钥建立安全连接。使用 SSH 公钥,您可以通过 SSH 登录到 FortiGate,并设置管理员密码、启用 HTTPS 访问,以及可选地将 FortiGate 注册到您的 FortiManager Cloud。
Megaport 支持 2048 位 RSA 密钥类型。
生成 SSH 密钥对(Linux/Mac OSX)
- 运行 SSH keygen 命令:
ssh-keygen -f ~/.ssh/megaport-mve-instance-1-2048 -t rsa -b 2048
该密钥生成命令会创建一对 SSH 密钥,并在您的 ~/.ssh 目录中添加两个文件:
- megaport-mve-instance-1-2048 - 包含私钥。
- megaport-mve-instance-1-2048.pub - 包含可用于登录 Fortinet 账户的公钥。
生成 SSH 密钥对(Windows,使用 PuTTYgen)
- 打开 PuTTYGen。
- 在 Key 区域,选择 RSA 2048 bit 并单击 Generate (生成)。
- 在小窗口中随机移动鼠标以生成密钥对。
- 输入密钥注释(key comment),用于标识该密钥。
当您使用多个 SSH 密钥时,这很方便。 - 输入密钥口令(Key passphrase),并再次输入以确认。
该口令用于保护您的密钥。通过 SSH 连接时将提示输入。 - 单击 Save private key (保存私钥),选择位置,然后单击 Save (保存)。
- 单击 Save public key (保存公钥),选择位置,然后单击 Save (保存)。
稍后您将在 Megaport Portal 中复制并粘贴公钥文件的内容,以将公钥分发到 FortiGate。您的私钥将与公钥匹配以授予访问权限。只有单个私钥可用于通过 SSH 访问 FortiGate。
在 Megaport Portal 中创建 MVE
创建 MVE 时,请选择支持 MVE 且与您的网络设计兼容的大都市区域位置。您可以将多个位置连接到一个 MVE。有关位置详细信息的更多信息,请参阅 规划您的部署。
您可以在同一大都市区域内部署多个 MVE,以实现冗余或容量需求。作为 MVE 创建过程的一部分,通常还会创建一个 Megaport Internet 连接。
创建 MVE
- 在 Megaport Portal 中,转到 Services (服务) 页面。
-
单击 Create MVE (创建 MVE)。
-
选择 Fortinet FortiGate-VM。
-
选择软件版本。
MVE 将被配置为与该 Fortinet 版本兼容。
-
单击 Next (下一步)。
-
指定 MVE 详细信息:
-
Location (位置) – 选择 MVE 的位置。
选择一个在地理上靠近您的目标分支机构和/或本地数据中心的位置。
您选择的国家/地区必须是您已注册的市场。
如果您尚未在将要部署 MVE 的位置注册计费市场,请按照 启用计费市场 中的步骤进行操作。
您可以使用 Search (搜索) 字段查找目标 Port 的名称、Country、Metro City 或地址。您还可以按多样性区域进行筛选。
-
Diversity Zone (多样性区域) – 选择一个多样性区域。
您可以选择 Red 或 Blue,或选择 Auto 并由 Megaport 为您选择区域。所选或分配的多样性区域将在其余的供应流程以及最后的摘要页面中显示。
有关详细信息,请参阅 MVE 多样性。 -
Size (尺寸) – 从可用尺寸列表中选择一个尺寸。可用的尺寸以绿色高亮显示并标记为 Available (可用)。不同尺寸支持不同数量的并发连接,各合作伙伴产品的具体指标略有不同。
注意
如果列表中没有您想要的 MVE 尺寸,则表示所选位置没有足够的容量。您可以选择另一个具有足够容量的位置,或联系您的客户经理讨论需求。
-
Minimum Term (最低合约期) – 选择 无最低合约期、12 个月、24 个月、36 个月、48 个月或 60 个月。期限越长,每月费率越低。12 个月 为默认选择。请注意屏幕上的信息,以避免提前终止费用(ETF)。
对于合约期为 12、24、36、48 或 60 个月的服务,启用 最低合约期续订 选项,可在合约到期时以相同的折扣价格和合约期限自动续订。如果您不续签合约,在合约期结束时, 合约将在下一个计费周期自动转为按月合约,价格相同,但不含合约期折扣。
有关详细信息,请参阅 MVE 定价与合约条款。
-
-
单击 Next (下一步)。
-
指定 Fortinet 专用设置:
-
Appliance License (设备许可)(可选) – 如果您已从 Fortinet 购买许可,请单击 Choose File (选择文件) 并选择之前从 Fortinet 生成的设备许可。
如果您使用 FortiFlex,请跳过此步骤。 -
SSH Key (SSH 密钥) – 将您的公钥内容复制并粘贴到此处。您可以在之前生成的 megaport-mve-instance-1-2048.pub 文件中找到该公钥。
-
Virtual Interfaces (vNICs)(虚拟接口) – Fortinet 默认配置了一个名为 Data Plane 的 vNIC。如有需要,您可以通过覆盖 Data Plane 文本来更改名称。部署 MVE 后,您也可以更改 vNIC 名称。
您最多可为 MVE 添加五个 vNIC(包括默认添加的那个)。有关更多信息,请参阅 vNIC 连接类型。
要添加 vNIC:
-
单击 + Add (添加)。
-
输入 vNIC 的名称。
注意
如果您希望在该 MVE 部署后增加或减少 vNIC 的数量,您需要删除整个 MVE 并重新创建。无法在已部署的 MVE 上添加或删除 vNIC。
-
-
Megaport Marketplace – 默认情况下,每项服务仅对您的企业私有,并通过 Megaport 网络为您自己的公司、团队和资源提供服务。当设置为私有时,该服务在 Megaport Marketplace 中不可搜索,但其他人仍可以使用 service key 连接到您。Megaport Marketplace 的可见性由您的 Megaport Marketplace 配置文件控制。有关如何使您的服务在 Megaport Marketplace 中可见的更多信息,请参阅 将服务添加到您的个人资料。
-
-
单击 Next (下一步)。
-
指定可选设置:
-
MVE Name (MVE 名称) – 为 MVE 输入一个易于识别的名称,特别是当您计划配置多个时。此名称显示在 Megaport Portal 中。
MVE 名称根据位置名称自动生成,并显示在摘要页面上。您可以输入自己的名称进行覆盖。
-
Service Level Reference (服务级别参考) (可选) – 为您的 Megaport 服务指定一个用于计费用途的唯一标识编号,例如成本中心编号、客户唯一 ID 或采购订单编号。该服务级别参考编号会显示在发票的产品部分的每个服务下。您也可以为现有服务编辑此字段。
-
Resource Tags (资源标签) – 您可以使用资源标签为 Megaport 服务添加您自己的参考元数据。
要添加标签:- 单击 Add Tags (添加标签)。
- 单击 Add New Tag (添加新标签)。
- 在各字段中输入详细信息:
- Key (键) – 字符串最大长度 128。有效值为 a-z 0-9 _ : . / \ -
- Value (值) – 字符串最大长度 256。有效值为 a-z A-Z 0-9 _ : . @ / + \ - (space)
- 单击 Save (保存)。
如果该服务已存在资源标签,您可以单击 Manage Tags (管理标签) 进行管理。
警告
切勿在资源标签中包含敏感信息。敏感信息包括会返回现有标签定义的命令,以及可识别个人或公司的信息。
-
-
在摘要页面上确认配置和定价。
月费根据位置和尺寸而定。
-
单击 Add MVE (添加 MVE)。
系统将提示您创建 Megaport Internet 连接。Megaport Internet 连接提供连通性,并允许 MVE 向 Fortinet SD-WAN 注册并与其通信。
创建 Megaport Internet 连接
-
单击 Create Megaport Internet (创建 Megaport Internet) 继续(推荐),或单击 Not now (暂不) 以便稍后再配置互联网接入。
注意
MVE 需要在管理平面虚拟接口上具备到互联网的连通性。您可以配置 Megaport Internet 连接,或使用私有 VXC 配置第三方互联网连接。我们强烈建议您为 MVE 的首次启动和部署创建 Megaport Internet 连接,以确保 MVE 被正确供应并正常工作。
-
选择目标 Port(互联网路由器)。
Megaport Internet 连接的 B 端可以位于任何提供 Megaport Internet 的位置。
您可以使用 Search (搜索) 字段查找目标 Port 的名称、Country、Metro City 或地址。您还可以按多样性区域进行筛选。 -
单击 Next (下一步)。
-
指定连接详细信息:
-
Connection Name (连接名称) – 在 Megaport Portal 中显示的 Megaport Internet 连接名称。
-
Service Level Reference (服务级别参考) (可选) – 为您的 Megaport 服务指定一个用于计费用途的唯一标识编号,例如成本中心编号、客户唯一 ID 或采购订单编号。该服务级别参考编号会显示在发票的产品部分的每个服务下。您也可以为现有服务编辑此字段。
提示
为 Megaport Internet 连接和 MVE 使用相同的 Service Level Reference 编号,有助于您在发票中匹配对应的条目。
-
Rate Limit (速率上限) – 连接的速率(Mbps)。速率上限可从 20 Mbps 起配置,并可按 1 Mbps 递增扩展至数个 Gbps 或更高。可用的速率档位可能因位置和服务类型而异。创建 Megaport Internet 连接后,您可以按需更改速率。月度计费详情将基于位置和速率上限显示。
-
VXC State (VXC 状态) – 选择 Enabled (已启用) 或 Shut Down (关机) 以定义连接的初始状态。有关更多信息,请参阅 为故障切换测试关闭 VXC。
注意
如果选择 Shut Down (关机),业务流量将不会通过该服务,并且其行为将与在 Megaport 网络上中断时相同。该服务的计费仍然有效,您仍将为该连接支付费用。
-
A-End vNIC (A 端 vNIC) – 为初始管理访问选择 vNIC-0。
-
Preferred A-End VLAN (首选 A 端 VLAN)(可选) – 单击 Untag (不打标签) 以移除 VLAN 标记,并允许首次以管理员身份登录设备。
-
Minimum Term (最低合约期) – 选择 无最低合约期、12 个月、24 个月、36 个月、48 个月或 60 个月。期限越长,每月费率越低。12 个月 为默认选择。请注意屏幕上的信息,以避免提前终止费用(ETF)。
对于合约期为 12、24、36、48 或 60 个月的服务,启用 最低合约期续订 选项,可在合约到期时以相同的折扣价格和合约期限自动续订。如果您不续签合约,在合约期结束时, 合约将在下一个计费周期自动转为按月合约,价格相同,但不含合约期折扣。
有关详细信息,请参阅 Megaport Internet 定价与合约条款 和 VXC、Megaport Internet 与 IX Billing。
-
Resource Tags (资源标签) – 您可以使用资源标签为 Megaport 服务添加您自己的参考元数据。
要添加标签:- 单击 Add Tags (添加标签)。
- 单击 Add New Tag (添加新标签)。
- 在各字段中输入详细信息:
- Key (键) – 字符串最大长度 128。有效值为 a-z 0-9 _ : . / \ -
- Value (值) – 字符串最大长度 256。有效值为 a-z A-Z 0-9 _ : . @ / + \ - (space)
- 单击 Save (保存)。
如果该服务已存在资源标签,您可以单击 Manage Tags (管理标签) 进行管理。
警告
切勿在资源标签中包含敏感信息。敏感信息包括会返回现有标签定义的命令,以及可识别个人或公司的信息。
-
-
单击 Next (下一步) 进入连接详情摘要。
- 单击 Add VXC (添加 VXC) 以订购该连接。
- 在已配置服务区域单击 Review Order (审核订单)。
- 如果您有促销码,单击 Add Promo Code (添加促销码),输入后,再单击 Add Code (添加代码)。
- 单击 Order Now (立即下单)。
订购 MVE 将供应设备并从 Megaport SDN 分配 IP 地址。MVE 的供应只需几分钟即可完成。供应过程会启动一个 Fortinet FortiGate。
在 Megaport Portal 中查看 MVE
创建 MVE 后,您可以在 Megaport Portal 的 Services 页面中查看它。您也可以查看分配的公有 IP 地址。
在 Megaport Portal 中查看 MVE
- 转到 Services (服务) 页面
如图所示,Megaport Portal 中的 Megaport Internet 图标与标准 VXC 图标不同。
有关 Services 页面详细信息,请参阅 了解 Services 页面。
查看分配给 MVE 的公有 IP 地址
- 单击 Megaport Internet 连接旁的齿轮图标
。
将显示连接配置界面。您可以在此处修改任何 Megaport Internet 连接详细信息。
- 选择 Details (详情) 选项卡。
- 找到公有 IP 地址(IPv4 或 IPv6)。
这些是分配给 MVE 的公有 IP 地址。
允许 FortiGate 控制台访问
对 FortiGate 的控制台访问通过安全的 HTTPS 会话提供。MVE 会阻止对分配给该设备的公有 IP 地址的所有访问,直到您通过 SSH 登录并授予 HTTPS 访问权限。
设置管理员 Web UI 密码并允许 HTTPS 访问
-
使用之前生成的 SSH 私钥,通过 SSH 连接到 Fortinet MVE 实例。默认用户名为 admin,后接由 Megaport 分配给该设备的公有 IP 地址。
ssh -i ~/.ssh/megaport-mve-instance-1-2048 admin@162.43.xx.x进入 FortiOS CLI 后,您可以查看系统状态,并使用 CLI 命令允许访问该设备。
注意
FortiOS CLI 与标准的网络操作系统 CLI 或 Linux shell 不同。
-
为 admin 用户账户配置密码。
FGVM08TM21001375 # config system admin FGVM08TM21001375 (admin) # edit admin FGVM08TM21001375 (admin) # set password xxxxxxxx FGVM08TM21001375 (admin) # next FGVM08TM21001375 (admin) # end -
在接口 port 1 上允许通过 GUI 进行 HTTPS 访问。
FGVM08TM21001375 # config system interface FGVM08TM21001375 (interface) # edit port1 FGVM08TM21001375 (port1) # append allowaccess https FGVM08TM21001375 (port1) # next FGVM08TM21001375 (interface) # end FGVM08TM21001375 # -
验证是否已允许 HTTPS 访问。
FGVM08TM21001375 # show system interface
允许 HTTPS 访问后,您可以使用 admin 用户凭据通过其 Web UI 登录 FortiGate。
提供 FortiFlex 许可令牌
如果您使用 FortiFlex 为 MVE 授权,必须通过 CLI 将 FortiFlex 的许可令牌注入到 VM 中。使用以下命令:
exec vm-license <license_token>
例如,
exec vm-license 58923569A3FFB7F46879
将 FortiGate 添加到 FortiManager Cloud
接下来将 FortiGate 添加到 FortiManager Cloud,这是 Fortinet 的 SD-WAN 集中管理平台。
注意
此步骤为可选。您可以将 FortiGate 作为独立设备进行管理,而无需使用 FortiManager Cloud 作为其中央管理器。
将 FortiGate 添加到 FortiManager Cloud
-
登录 FortiGate GUI:https://162.43.xx.x
-
选择 Device Manager(设备管理器)。
-
在 Device Dashboard(设备仪表板)中,选择 Security Fabric > Fabric Connectors。
-
选择 FortiManager 并单击 Edit (编辑)。
-
选择以下设置:
- Status(状态) - Enabled
- Type(类型) - FortiManager Cloud
- Mode(模式) - Normal
-
单击 OK (确定)。
FortiCloud 将联系您注册的 FortiManager Cloud 以获取批准。注册过程不需要 IP 地址,而是通过事先的注册和许可进行后端身份验证。
在 FortiManager 中授权 FortiGate
在 FortiManager 将 FortiGate 添加到其受管设备列表之前,您需要手动授权该设备。
授权 FortiGate
-
访问 Fortinet Support,登录到您的 FortiManager Cloud 实例。
-
选择 Services > FortiManager。
您将看到一个等待批准的未授权设备。
-
单击 Unauthorized Devices,然后选择要授权的设备。
-
单击 Authorize (授权)。
-
您可以选择更改设备名称、应用预配置的策略包,或为设备应用预配置的供应模板。
-
当您对配置满意时,单击 OK (确定)。
绿色对勾表示 FortiGate 已被 FortiManager 授权。
-
单击 Close (关闭)。
该设备现由 FortiManager Cloud 管理,您可以在受管设备列表中查看它
注意
仪表板上显示的 FortiGate IP 地址是专用于 SD-WAN 覆盖网络的内部私有 IP。
后续步骤
当 MVE 供应完成并处于 Active 状态后,下一步是将 VXC 连接到云服务提供商(CSP)、本地端口或第三方网络。您也可以通过私有 VXC 将物理 Port 连接到 MVE,或在 Megaport Marketplace 中连接到服务提供商。
有关更多信息,请参阅 创建 VXC。