建立與 Fortinet 整合的 MVE

本主題說明如何建立與設定 Megaport Virtual Edge（MVE），搭配 Fortinet Secure SD-WAN。開始之前，您需要具備擁有訂購權限的使用者帳戶，以存取 Megaport Portal 與 Fortinet。

如需關於設定 Megaport 帳戶的詳細資訊，請參閱建立帳戶。

提示

Fortinet 提供其 SD-WAN 產品的文件，包括 FortiManager 及雲端連線，請參閱 Fortinet SD-WAN 文件庫。

基本步驟

本節概述 FortiManager 與 Megaport Portal 中的設定步驟。詳細程序請參閱本基本步驟摘要後的內容。

基本步驟如下：

向 Fortinet 取得授權。
產生用於驗證的 SSH 金鑰組。
在 Megaport Portal 中建立 Fortinet MVE。
在 Megaport Portal 檢視指派給 MVE 的公用 IP 位址。
為 FortiGate 設定 admin 密碼。
允許以安全方式存取 FortiGate 主控台。
將 FortiGate 新增至 FortiManager Cloud（選用）。

授權

您可以在 MVE 佈建流程中透過 Megaport Portal 套用有效的 FortiGate VM 授權檔案，或在佈建後透過 FortiGate WebUI 或 CLI 套用。
或者，您可以使用 FortiFlex 點數式授權模式。FortiFlex 權杖式授權必須在佈建後透過 CLI 套用。

如果您向 Fortinet 購買授權，您將在 PDF 中收到註冊代碼。您將使用此註冊代碼產生授權檔案。
如果您使用 FortiFlex 點數，您將透過與您的 Fortinet Support 帳戶關聯的 FortiFlex 入口網站產生授權權杖。

從 Fortinet 取得授權檔案

前往 Fortinet Support 登入您的註冊帳戶。
選擇 Register Product，並輸入提供的註冊代碼。
依照註冊流程操作。
Fortinet 會產生序號並顯示於 Registration Completion 頁面上。
選擇 Manage > View Products（管理 > 檢視產品），然後按一下序號。
按一下下載連結並儲存授權檔案。
您稍後會在 Megaport Portal 上傳此授權檔案。

使用 FortiFlex 點數

在 MVE 上部署 FortiGate VM，但不要選擇上傳授權檔案。
透過 SSH 建立連線以存取 FortiGate VM 的 CLI。
從您的 FortiFlex 入口網站複製提供的授權權杖。
透過 CLI 將授權權杖匯入至 VM。
出現提示時重新啟動 FortiGate VM。

完成產品註冊後，它會出現在 FortiCloud Asset Management 的產品清單中。

下一步是產生 SSH 金鑰組以進行驗證。

對 MVE 的管理存取

MVE 與 FortiGate 透過公鑰／私鑰 SSH 金鑰組建立安全連線。公開的 SSH 金鑰可讓您 SSH 連線至 FortiGate，並設定管理密碼、啟用 HTTPS 存取，以及（選用）將 FortiGate 註冊到您的 FortiManager Cloud。

Megaport 支援 2048 位元 RSA 金鑰類型。

產生 SSH 金鑰組（Linux/Mac OSX）

執行 SSH keygen 指令：

 ssh-keygen -f ~/.ssh/megaport-mve-instance-1-2048 -t rsa -b 2048

此金鑰產生器指令會建立 SSH 金鑰組，並在您的 ~/.ssh 目錄中新增兩個檔案：

megaport-mve-instance-1-2048 - 包含私鑰。
megaport-mve-instance-1-2048.pub - 包含可用於登入 Fortinet 帳戶的授權公鑰。

產生 SSH 金鑰組（Windows，使用 PuTTYgen）

開啟 PuTTYGen。
在 Key 區段中選擇 RSA 2048 bit，然後按一下 Generate（產生）。
在小視窗中隨意移動滑鼠以產生金鑰組。
輸入金鑰註解，以識別此金鑰。
當您使用多把 SSH 金鑰時，這樣會比較方便。
輸入 Key passphrase，並再次輸入以確認。
此通行片語用於保護您的金鑰。當您透過 SSH 連線時，系統會要求您輸入它。
按一下 Save private key（儲存私鑰），選擇位置，然後按一下 Save（儲存）。
按一下 Save public key（儲存公鑰），選擇位置，然後按一下 Save（儲存）。

之後您會在 Megaport Portal 複製並貼上公鑰檔案的內容，以將公鑰分發至 FortiGate。您的私鑰會與公鑰配對以授與存取權。僅有單一私鑰可透過 SSH 存取 FortiGate。

在 Megaport Portal 建立 MVE

在建立 MVE 時，請選擇支援 MVE 且與您的網路設計相容的大都會區位置。您可以將多個位置連線到同一個 MVE。如需位置詳細資訊，請參閱規劃您的部署。

您可以在同一大都會區內部署多個 MVE，以達成備援或容量需求。作為建立 MVE 流程的一部分，您通常也會建立一條 Megaport Internet 連線。

建立 MVE

在 Megaport Portal 前往 Services（服務） 頁面。
按一下 Create MVE（建立 MVE）。
選取 Fortinet FortiGate-VM。
選取軟體版本。

MVE 將被設定為與該 Fortinet 版本相容。
按一下 Next（下一步）。
指定 MVE 詳細資料：
- Location（位置） – 選取 MVE 的位置。
  
  選擇在地理位置上接近您的目標分支與／或本地部署位置的地點。
  
  您選擇的國家必須是您已註冊的計費市場。
  
  如果您尚未在要部署 MVE 的位置註冊計費市場，請依照啟用計費市場中的程序進行。
  
  您可以使用 Search（搜尋） 欄位，依目標 Port 的名稱、Country、Metro City，或地址進行搜尋。您也可以依 Diversity 區域篩選。
- Diversity Zone（Diversity 區域） – 選取一個 Diversity 區域。
  
  您可以選擇 Red 或 Blue，或選擇 Auto 讓 Megaport 為您選取區域。選取或配置的 Diversity 區域會在後續的佈建流程與最後的 Summary 頁面上顯示於位置詳細資料中。
  如需詳細資訊，請參閱 MVE 的 Diversity。
- Size（大小） – 從可用大小清單中選取一個大小。可用大小會以綠色反白並標示為 Available。不同大小支援的並行連線數不同，且各合作夥伴產品的指標可能略有差異。
  
  備註
  
  如果清單中沒有您想要的 MVE 大小，表示所選位置的容量不足。您可以選擇具有足夠容量的其他位置，或聯絡您的客戶經理討論需求。
- Minimum Term (最短合約期限) – 選擇無最短合約期限、12 個月、24 個月、36 個月、48 個月，或 60 個月。較長的合約期限可享有較低的月費。12 個月 為預設選項。請留意畫面上的資訊，以避免產生提前終止費用（ETF）。
  
  針對 12、24、36、48 或 60 個月期的服務，啟用最短合約期限續約選項，可在合約期滿時以相同的折扣價格與合約期間自動續約。若您未續約，於合約期滿時，合約將在下一個計費期間自動轉為按月合約，價格相同，但不再享有期限折扣。
  
  如需詳細資訊，請參閱 MVE 的價格與合約條款。
按一下 Next（下一步）。
指定 Fortinet 專屬設定：
- Appliance License（設備授權） (選填) – 如果您已向 Fortinet 購買授權，按一下 Choose File（選擇檔案），並選取先前由 Fortinet 產生的設備授權。
  如果您使用 FortiFlex，請略過此步驟。
- SSH Key – 複製並貼上您的公用 SSH 金鑰內容至此。您可在先前產生的 megaport-mve-instance-1-2048.pub 檔案中找到公鑰。
- Virtual Interfaces (vNICs) – Fortinet 預設已設定一個名為 Data Plane 的 vNIC。如有需要，您可以直接覆寫 Data Plane 文字以變更名稱。您也可以在 MVE 部署後再變更 vNIC 名稱。
  
  您最多可為 MVE 新增五個 vNIC（包含預設新增的那一個）。如需詳細資訊，請參閱 vNIC 連線的類型。
  
  若要新增 vNIC：
  - 按一下 + Add（新增）。
  - 輸入此 vNIC 的名稱。
  備註
  
  如果您想在此 MVE 部署後增加或減少 vNIC 數量，您必須刪除整個 MVE 並重新建立。無法在已部署的 MVE 上新增或刪除 vNIC。
- Megaport Marketplace – 預設情況下，每項服務僅對您的企業私有，並從 Megaport 網路消耗服務以供您公司、團隊與資源內部使用。當設為私有時，該服務不會在 Megaport Marketplace 中可搜尋；然而，其他人仍可使用 service key 連線到您。Megaport Marketplace 的可見度由您的 Megaport Marketplace 個人檔案控制。若要瞭解如何讓您的服務在 Megaport Marketplace 中可見，請參閱將服務新增至您的個人檔案。
按一下 Next（下一步）。
指定選用設定：
- MVE Name（MVE 名稱） – 輸入容易識別的 MVE 名稱，特別是當您計畫佈建多個時。此名稱會顯示在 Megaport Portal。
  
  MVE 名稱會根據位置名稱自動產生，並顯示於 Summary 頁面。您可以輸入自己的名稱以覆寫。
- Service Level Reference (服務層級參考) （選用） – 指定一組用於計費用途的 Megaport 服務唯一識別編號，例如成本中心編號、唯一的客戶 ID，或採購單號。此服務層級參考編號會在發票的 Product 區段中為每個服務顯示。您也可以為現有服務編輯此欄位。
- Resource Tags (資源標籤) – 您可以使用資源標籤為 Megaport 服務新增您自訂的參考中繼資料。
  若要新增標籤：
  1. 按一下 Add Tags（新增標籤）。
  2. 按一下 Add New Tag（新增標籤）。
  3. 在欄位中輸入詳細資料：
    - Key（鍵） – 字串最大長度為 128。有效值為 a-z 0-9 _ : . / \ -
    - Value（值） – 字串最大長度為 256。有效值為 a-z A-Z 0-9 _ : . @ / + \ -（空格）
  4. 按一下 Save（儲存）。
  如果您已經為該服務建立資源標籤，您可以按一下 Manage Tags（管理標籤） 來進行管理。
  
  警告
  
  請勿在資源標籤中包含敏感資訊。敏感資訊包括會傳回現有標籤定義的指令，以及可識別個人或公司的資訊。
在 Summary 頁面確認設定與價格。

月費率取決於位置與大小。
按一下 Add MVE（新增 MVE）。

系統會提示您建立 Megaport Internet 連線。Megaport Internet 連線可提供連通性，並允許 MVE 註冊並與 Fortinet SD-WAN 通訊。

建立 Megaport Internet 連線

按一下 Create Megaport Internet（建立 Megaport Internet） 以繼續（建議），或按一下 Not now（稍後再說） 以在稍後提供網際網路存取。

備註

MVE 需要透過管理平面虛擬介面連上網際網路。您可以佈建一條 Megaport Internet 連線，或使用私有 VXC 設定第三方的網際網路連線。我們強烈建議您在 MVE 初始啟動與部署時建立 Megaport Internet 連線，以確保 MVE 正確佈建並正常運作。
選取目標 Port（網際網路路由器）。
Megaport Internet 連線的 B 端可以位於任何提供 Megaport Internet 的位置。
您可以使用 Search（搜尋） 欄位找出目標 Port 的名稱、Country、Metro City，或地址。您也可以依 Diversity 區域進行篩選。
按一下 Next（下一步）。
指定連線詳細資料：
- Connection Name（連線名稱） – 您的 Megaport Internet 連線名稱，將顯示於 Megaport Portal。
- Service Level Reference (服務層級參考) （選用） – 指定一組用於計費用途的 Megaport 服務唯一識別編號，例如成本中心編號、唯一的客戶 ID，或採購單號。此服務層級參考編號會在發票的 Product 區段中為每個服務顯示。您也可以為現有服務編輯此欄位。
  
  提示
  
  將 Megaport Internet 連線與 MVE 使用相同的 Service Level Reference 編號，有助於在帳單中對應成對項目。
- Rate Limit（速率上限） – 您的連線速率（以 Mbps 為單位）。速率上限可自 20 Mbps 起設定，並可依 1 Mbps 增量調整至數個 Gbps 或更高。可用速率級距可能因位置與服務類型而異。建立 Megaport Internet 連線後，您可視需要變更速率。月費將根據位置與速率上限顯示。
- VXC State（VXC 狀態） – 選取 Enabled（已啟用） 或 Shut Down（關機） 來定義連線的初始狀態。如需詳細資訊，請參閱為容錯移轉測試關閉 VXC。
  
  備註
  
  如果您選擇 Shut Down（關機），流量將不會通過此服務，且其在 Megaport 網路上會表現為中斷狀態。此服務的計費仍會持續，您仍會為此連線支付費用。
- A-End vNIC（A 端 vNIC） – 為初始管理存取選取 vNIC-0。
- Preferred A-End VLAN（偏好 A 端 VLAN） (選填) – 按一下 Untag（移除標記） 以移除 VLAN 標記，並允許首次以管理者身分登入裝置。
- Minimum Term (最短合約期限) – 選擇無最短合約期限、12 個月、24 個月、36 個月、48 個月，或 60 個月。較長的合約期限可享有較低的月費。12 個月 為預設選項。請留意畫面上的資訊，以避免產生提前終止費用（ETF）。
  
  針對 12、24、36、48 或 60 個月期的服務，啟用最短合約期限續約選項，可在合約期滿時以相同的折扣價格與合約期間自動續約。若您未續約，於合約期滿時，合約將在下一個計費期間自動轉為按月合約，價格相同，但不再享有期限折扣。
  
  如需詳細資訊，請參閱 Megaport Internet 的價格與合約條款與 VXC、Megaport Internet 與 IX 計費。
- Resource Tags (資源標籤) – 您可以使用資源標籤為 Megaport 服務新增您自訂的參考中繼資料。
  若要新增標籤：
  1. 按一下 Add Tags（新增標籤）。
  2. 按一下 Add New Tag（新增標籤）。
  3. 在欄位中輸入詳細資料：
    - Key（鍵） – 字串最大長度為 128。有效值為 a-z 0-9 _ : . / \ -
    - Value（值） – 字串最大長度為 256。有效值為 a-z A-Z 0-9 _ : . @ / + \ -（空格）
  4. 按一下 Save（儲存）。
  如果您已經為該服務建立資源標籤，您可以按一下 Manage Tags（管理標籤） 來進行管理。
  
  警告
  
  請勿在資源標籤中包含敏感資訊。敏感資訊包括會傳回現有標籤定義的指令，以及可識別個人或公司的資訊。
按一下 Next（下一步） 前往連線詳細資料摘要。
按一下 Add VXC（新增 VXC） 以訂購此連線。
在 Configured Services 區段按一下 Review Order（檢視訂單）。
如果您有促銷代碼，按一下 Add Promo Code（新增促銷代碼），輸入代碼，然後按一下 Add Code（新增代碼）。
按一下 Order Now（立即下單）。

訂購 MVE 會佈建設備，並從 Megaport SDN 指派 IP 位址。MVE 的佈建通常只需幾分鐘即可完成。佈建程序會啟動一部 Fortinet FortiGate。

在 Megaport Portal 檢視 MVE

建立 MVE 之後，您可以在 Megaport Portal 的 Services 頁面檢視它。您也可以檢視已指派的公用 IP 位址。

在 Megaport Portal 檢視 MVE

前往 Services（服務） 頁面

MVE 與 Megaport Internet 連線於 Megaport Portal

如圖所示，Megaport Portal 中的 Megaport Internet 圖示與標準 VXC 圖示不同。

如需 Services 頁面的詳細資訊，請參閱了解 Services 頁面。

檢視指派給 MVE 的公用 IP 位址

按一下 Megaport Internet 連線旁的齒輪圖示。
將會出現 Connection Configuration 畫面。在此您可以修改任何 Megaport Internet 連線詳細資料。
選取 Details（詳細資料） 分頁。
找到公用 IP 位址（IPv4 或 IPv6）。
這些是指派給 MVE 的公用 IP 位址。

允許存取 FortiGate 主控台

透過安全的 HTTPS 工作階段即可存取 FortiGate 主控台。在您 SSH 連線至裝置並授與 HTTPS 存取權之前，MVE 會封鎖對指派給該裝置之公用 IP 位址的所有存取。

設定管理者 Web UI 密碼並允許 HTTPS 存取

使用先前產生的 SSH 私鑰，SSH 連線至 Fortinet MVE 執行個體。預設使用者名稱為 admin，後面接著 Megaport 指派給該裝置的公用 IP 位址。

ssh -i ~/.ssh/megaport-mve-instance-1-2048 admin@162.43.xx.x

進入 FortiOS CLI 後，您可以檢視系統狀態，並透過 CLI 指令允許存取該裝置。

備註

FortiOS CLI 與標準的 NOS CLI 或 Linux shell 不同。

為 admin 使用者帳戶設定密碼。

  FGVM08TM21001375 # config system admin
  FGVM08TM21001375 (admin) # edit admin
  FGVM08TM21001375 (admin) # set password xxxxxxxx
  FGVM08TM21001375 (admin) # next
  FGVM08TM21001375 (admin) # end

允許在介面 port1 上透過 GUI 進行 HTTPS 存取。

  FGVM08TM21001375 # config system interface
  FGVM08TM21001375 (interface) # edit port1
  FGVM08TM21001375 (port1) # append allowaccess https
  FGVM08TM21001375 (port1) # next
  FGVM08TM21001375 (interface) # end

  FGVM08TM21001375 #

驗證 HTTPS 存取已被允許。

  FGVM08TM21001375 # show system interface

在允許 HTTPS 存取後，您可以使用 admin 認證透過 Web UI 登入 FortiGate。

提供 FortiFlex 授權權杖

如果您使用 FortiFlex 為 MVE 授權，您必須使用 CLI 將 FortiFlex 的授權權杖匯入至 VM。請使用以下指令：

exec vm-license <license_token>

例如，

exec vm-license 58923569A3FFB7F46879

將 FortiGate 新增至 FortiManager Cloud

下一步是將 FortiGate 新增至 FortiManager Cloud，這是 Fortinet 的 SD-WAN 集中管理平台。

備註

此步驟為選用。您可以將 FortiGate 當作獨立裝置管理，而不必使用 FortiManager Cloud 作為集中管理者。

將 FortiGate 新增至 FortiManager Cloud

登入 FortiGate GUI：https://162.43.xx.x
選取 Device Manager。
在 Device Dashboard 中，選擇 Security Fabric > Fabric Connectors。
選取 FortiManager，然後按一下 Edit（編輯）。
選取以下設定：
- Status（狀態） - Enabled
- Type（類型） - FortiManager Cloud
- Mode（模式） - Normal
按一下 OK（確定）。

FortiCloud 會連線至您已註冊的 FortiManager Cloud 以進行核准。此註冊流程不需要 IP 位址，而是透過先前的註冊與授權進行後端驗證。