在计算巢部署模式中,用户可以通过服务商在计算巢中发布的服务,一键部署阿里云资源和服务商提供的软件。您可以参考计算巢服务用户指南完成服务实例的创建。本文介绍了部署 FORTIGATE 单AZ主备高可用集群服务实例的详细说明。

使用说明

  1. 点击部署链接完成部署。
  2. SSH登陆Fortigate,ssh admin@fortigatepublicip,默认密码为FORTIGATE的实例id。或通过链接 HTTPS://<EIP>:8443 访问FORTIGATE。
  3. 在Fortigate GUI界面或使用命令行(get system ha status)检查HA的状态。
  4. Fortigate已经预先配置好将第二个虚拟交换机的流量路由到FORTIGATE的Port 2,可自行在第二个虚拟交换机里创建ECS 实例进行进一步的测试。

环境需求

  • 2个相同规模的FORTIGATE BYOL的许可证

RAM账号所需权限

  • AliyunECSFullAccess
  • AliyunVPCFullAccess
  • AliyunEIPFullAccess

默认配置

  • 1个VPC:包含1张自定义路由表,用于内网流量路由;一张系统默认路由表,具备internet access能力
  • VPC里包含1个可用区:可用区含4个虚拟交换机。第一个虚拟交换机用于对外通信,FORTIGATE的Port 1位于该虚拟交换机;第2个虚拟交换机用于内部流量;第3个虚拟交换机用于FORTIGATE HA通信,FORTIGATE的Port3位于该交换机;第4个虚拟交换机用于管理流量
  • 3个EIP:1个EIP关联到主用FORTIGATE的Port 1,另两个EIP分别关联到主用FORTIGATE的Port 4及备用FORTIGATE的Port 4用于管理通信
  • 2台8核16G的ECS实例:用于安装FORTIGATE 6.4.5版本BYOL,都位于同一可用区,其中一台为被自动选择为主用FORTIGATE,另外一台为备用FORTIGATE。 FORTIGATE 默认已经加载了HA配置

默认配置下,两个FORTIGATE形成HA集群。一个为主用,一个为备用,可通过EIP公网地址访问主用FORTIGATE,也可以通过专用的管理EIP地址访问主用FORTIGATE及备用FORTIGATE。

注意事项

  • 某些Region比如杭州、北京,阿里云默认没有开通自定义路由表,如需要在这些区域使用,请联系阿里云。
  • CEN-TR企业版需要联系阿里云开通后才能使用。
  • FORTIGATE实例的网络安全组默认没有开通其他网段。如果需要,请自行开通。

部署参数说明

参数 默认值 说明
iam auto或Fortigate-HA-New RAM Role, 所输入的RAM ROLE 必须已经在阿里云上创建, 当值为默认auto时,自动创建前缀为“FGT-HA-AP”为前缀的RAM 角色
product FortiGate-6.4.5.+BYOL FORTIGATE的产品描述名称,自动匹配名称包含FORTIGATE-6.4.5及BYOL字符串的产品
my_key PleaseInputYourOptionaKeyName 实例的密钥对名称,如果需要给实例提供基于密钥对的访问,请输入密钥对的名字,该密钥对必须已经存在于你的阿里云密钥对里面
instance ecs.hfc6.large FORTIGATE实例的实例类型,默认为8CPU, 16G 内存的hfc6.2xlarge
admin_api_user soc2 FORTIGATE API用户
client_source_ip_subnet 13.0.0.0/255.255.255.0 FORTIGATEAPI用户的客户端IP 地址
license2 -----BEGIN FGT VM LICENSE-----*********-----ENDFGT VM LICENSE----- 第二台FORTIGATE的许可证,请在 购买后到 support.fortinet.com 下载后用文本编辑器打开后粘贴在此LICENSE由-----BEGIN FGT VM LICENSE-----开头,由-----ENDFGT VM LICENSE-----结尾
license -----BEGIN FGT VM LICENSE-----*********-----ENDFGT VM LICENSE----- 第一台FORTIGATE的许可证,请在 购买后到 support.fortinet.com 下载后用文本编辑器打开后粘贴在此LICENSE由-----BEGIN FGT VM LICENSE-----开头,由-----END FGT VM LICENSE-----结尾
adminsport 8443 FORTIGATE的HTTPS访问端口
instance_ami auto FORTIGATE实例的启动IMAGE, auto 指通过product参数自动获得

输出参数说明

输出参数 描述
PrimaryFortigateID i-j6cdgoctsftq8rwf9zyr 实例ID,SSH登陆时的默认密码
SecondaryFortigateID i-8vb9trxxtxafv2tnojr9 实例ID,SSH登陆时的默认密码
PrimaryFortigate_MGMT_EIP 121.89.233.188 主用FORTIGATE管理IP
SecondaryFortigate_MGMT_EIP 121.89.226.61 备用FORTIGATE管理IP
PrimaryFortigateAvailability_zone cn-zhangjiakou-a 主用FORTIGATE可用区
SecondaryFortigateAvailability_zone cn-zhangjiakou-a 备用FORTIGATE可用区
ActiveFortigateEIP3 121.89.245.44 主用FORTIGATE PORT1 EIP
PrimaryFortigatePrivateIP 192.168.11.11 主用FORTIGATE PORT1 私有IP
SecondaryFortigatePrivateIP 192.168.21.12 备用FORTIGATE PORT1 私有IP
FortigateAdminPort 8443 FORTIGATE的HTTPS访问端口
FortigatePublicIP 47.242.205.171 FORTIGATE的公网IP地址