文档

FORTIGATE跨AZ主备高可用集群

更新时间:

在计算巢部署模式中,用户可以通过服务商在计算巢中发布的服务,一键部署阿里云资源和服务商提供的软件。您可以参考计算巢服务用户指南完成服务实例的创建。本文介绍了部署 FORTIGATE跨AZ主备高可用集群服务实例的详细说明。

使用说明

  1. 点击部署链接完成部署。

  2. SSH登录Fortigate,ssh admin@fortigatepublicip,默认密码为FORTIGATE的实例id。或通过链接 HTTPS://<EIP>:8443 访问FORTIGATE。

  3. 在Fortigate GUI界面或使用命令行(get system ha status)检查HA的状态。

  4. Fortigate已经预先配置好将第二个虚拟交换机的流量路由到FORTIGATE的Port 2,可自行在第二个虚拟交换机里创建ECS实例进行进一步的测试。

环境需求

2个相同规模的FORTIGATE BYOL的许可证。

RAM账号所需权限

  • AliyunECSFullAccess

  • AliyunVPCFullAccess

  • AliyunEIPFullAccess

默认配置

  • 1个VPC:包含1张自定义路由表,用于内网流量路由;一张系统默认路由表,具备internet access能力

  • VPC里包含2个可用区:每个可用区含4个虚拟交换机。第一个虚拟交换机用于对外通信,FORTIGATE的Port 1位于该虚拟交换机;第2个虚拟交换机用于内部流量;第3个虚拟交换机用于FORTIGATE HA通信,FORTIGATE的Port3位于该交换机;第4个虚拟交换机用于管理流量

  • 3个EIP:1个EIP关联到主用FORTIGATE的Port 1,另两个EIP分别关联到主用FORTIGATE的Port 4及备用FORTIGATE的Port 4用于管理通信

  • 2台8核16G的ECS实例:用于安装FORTIGATE-6.4.5版本BYOL,都位于同一可用区,其中一台为被自动选择为主用FORTIGATE,另外一台为备用FORTIGATE。 FORTIGATE默认已经加载了HA配置

默认配置下,两个FORTIGATE形成HA集群。一个为主用,一个为备用,可通过EIP公网地址访问主用FORTIGATE,也可以通过专用的管理EIP地址访问主用FORTIGATE及备用FORTIGATE。

注意事项

  • 某些Region比如杭州、北京,阿里云默认没有开通自定义路由表,如需要在这些区域使用,请联系阿里云。

  • CEN-TR企业版需要联系阿里云开通后才能使用。

  • FORTIGATE实例的网络安全组默认没有开通其他网段。如果需要,请自行开通。

部署参数说明

参数

默认值

说明

iam

auto或Fortigate-HA-New。

RAM Role,所输入的RAM ROLE必须已经在阿里云上创建,当值为默认auto时,自动创建前缀为“FGT-HA-AP”为前缀的RAM角色

product

FortiGate-6.4.5.+BYOL

FORTIGATE的产品描述名称,自动匹配名称包含FORTIGATE-6.4.5及BYOL字符串的产品

my_key

PleaseInputYourOptionaKeyName

实例的密钥对名称,如果需要给实例提供基于密钥对的访问,请输入密钥对的名字,该密钥对必须已经存在于你的阿里云密钥对里面

instance

ecs.hfc6.large

FORTIGATE实例的实例类型,默认为8CPU, 16 G内存的hfc6.2xlarge

admin_api_user

soc2

FORTIGATE API用户

client_source_ip_subnet

13.0.X.X/255.255.255.0

FORTIGATEAPI用户的客户端IP地址

license2

-----BEGIN FGT VM LICENSE-----*********-----ENDFGT VM LICENSE-----

第二台FORTIGATE的许可证,请在购买后到 support.fortinet.com下载后用文本编辑器打开后粘贴在此LICENSE由-----BEGIN FGT VM LICENSE-----开头,由-----ENDFGT VM LICENSE-----结尾

license

-----BEGIN FGT VM LICENSE-----*********-----ENDFGT VM LICENSE-----

第一台FORTIGATE的许可证,请在购买后到 support.fortinet.com下载后用文本编辑器打开后粘贴在此LICENSE由-----BEGIN FGT VM LICENSE-----开头,由-----END FGT VM LICENSE-----结尾

adminsport

8443

FORTIGATE的HTTPS访问端口

instance_ami

auto

FORTIGATE实例的启动IMAGE, auto指通过product参数自动获得

输出参数说明

输出关键字

描述

PrimaryFortigateID

i-j6cdgoctsftq8rwf9zyr

主用实例ID,SSH登录时的默认密码

SecondaryFortigateID

i-8vb9trxxtxafv2tnojr9

备用实例ID,SSH登录时的默认密码

PrimaryFortigate_MGMT_EIP

121.89.XXX.XXX

主用FORTIGATE管理IP

SecondaryFortigate_MGMT_EIP

121.89.XXX.XX

备用FORTIGATE管理IP

PrimaryFortigateAvailability_zone

cn-zhangjiakou-a

主用FORTIGATE可用区

SecondaryFortigateAvailability_zone

cn-zhangjiakou-a

备用FORTIGATE可用区

ActiveFortigateEIP3

121.89.245.44

主用FORTIGATE PORT1 EIP

PrimaryFortigatePrivateIP

192.168.11.11

主用FORTIGATE PORT1私有IP

SecondaryFortigatePrivateIP

192.168.21.12

备用FORTIGATE PORT1私有IP

FortigateAdminPort

8443

FORTIGATE的HTTPS访问端口

FortigatePublicIP

47.xxx.xxx.171

FORTIGATE的公网IP地址

  • 本页导读 (0)