在计算巢部署模式中,用户可以通过服务商在计算巢中发布的服务,一键部署阿里云资源和服务商提供的软件。您可以参考计算巢服务用户指南完成服务实例的创建。本文介绍了部署 FORTIGATE跨AZ主备高可用集群服务实例的详细说明。
使用说明
- 点击部署链接完成部署。
- SSH登录Fortigate,ssh admin@fortigatepublicip,默认密码为FORTIGATE的实例id。或通过链接 HTTPS://<EIP>:8443 访问FORTIGATE。
- 在Fortigate GUI界面或使用命令行(get system ha status)检查HA的状态。
- Fortigate已经预先配置好将第二个虚拟交换机的流量路由到FORTIGATE的Port 2,可自行在第二个虚拟交换机里创建ECS实例进行进一步的测试。
环境需求
2个相同规模的FORTIGATE BYOL的许可证。
RAM账号所需权限
- AliyunECSFullAccess
- AliyunVPCFullAccess
- AliyunEIPFullAccess
默认配置
- 1个VPC:包含1张自定义路由表,用于内网流量路由;一张系统默认路由表,具备internet access能力
- VPC里包含2个可用区:每个可用区含4个虚拟交换机。第一个虚拟交换机用于对外通信,FORTIGATE的Port 1位于该虚拟交换机;第2个虚拟交换机用于内部流量;第3个虚拟交换机用于FORTIGATE HA通信,FORTIGATE的Port3位于该交换机;第4个虚拟交换机用于管理流量
- 3个EIP:1个EIP关联到主用FORTIGATE的Port 1,另两个EIP分别关联到主用FORTIGATE的Port 4及备用FORTIGATE的Port 4用于管理通信
- 2台8核16G的ECS实例:用于安装FORTIGATE-6.4.5版本BYOL,都位于同一可用区,其中一台为被自动选择为主用FORTIGATE,另外一台为备用FORTIGATE。 FORTIGATE默认已经加载了HA配置
默认配置下,两个FORTIGATE形成HA集群。一个为主用,一个为备用,可通过EIP公网地址访问主用FORTIGATE,也可以通过专用的管理EIP地址访问主用FORTIGATE及备用FORTIGATE。
注意事项
- 某些Region比如杭州、北京,阿里云默认没有开通自定义路由表,如需要在这些区域使用,请联系阿里云。
- CEN-TR企业版需要联系阿里云开通后才能使用。
- FORTIGATE实例的网络安全组默认没有开通其他网段。如果需要,请自行开通。
部署参数说明
| 参数 | 默认值 | 说明 |
|---|---|---|
| iam | auto或Fortigate-HA-New。 | RAM Role,所输入的RAM ROLE必须已经在阿里云上创建,当值为默认auto时,自动创建前缀为“FGT-HA-AP”为前缀的RAM角色 |
| product | FortiGate-6.4.5.+BYOL | FORTIGATE的产品描述名称,自动匹配名称包含FORTIGATE-6.4.5及BYOL字符串的产品 |
| my_key | PleaseInputYourOptionaKeyName | 实例的密钥对名称,如果需要给实例提供基于密钥对的访问,请输入密钥对的名字,该密钥对必须已经存在于你的阿里云密钥对里面 |
| instance | ecs.hfc6.large | FORTIGATE实例的实例类型,默认为8CPU, 16 G内存的hfc6.2xlarge |
| admin_api_user | soc2 | FORTIGATE API用户 |
| client_source_ip_subnet | 13.0.0.0/255.255.255.0 | FORTIGATEAPI用户的客户端IP地址 |
| license2 | -----BEGIN FGT VM LICENSE-----*********-----ENDFGT VM LICENSE----- | 第二台FORTIGATE的许可证,请在购买后到 support.fortinet.com下载后用文本编辑器打开后粘贴在此LICENSE由-----BEGIN FGT VM LICENSE-----开头,由-----ENDFGT VM LICENSE-----结尾 |
| license | -----BEGIN FGT VM LICENSE-----*********-----ENDFGT VM LICENSE----- | 第一台FORTIGATE的许可证,请在购买后到 support.fortinet.com下载后用文本编辑器打开后粘贴在此LICENSE由-----BEGIN FGT VM LICENSE-----开头,由-----END FGT VM LICENSE-----结尾 |
| adminsport | 8443 | FORTIGATE的HTTPS访问端口 |
| instance_ami | auto | FORTIGATE实例的启动IMAGE, auto指通过product参数自动获得 |
输出参数说明
| 输出关键字 | 值 | 描述 |
|---|---|---|
| PrimaryFortigateID | i-j6cdgoctsftq8rwf9zyr | 实例ID,SSH登录时的默认密码 |
| SecondaryFortigateID | i-8vb9trxxtxafv2tnojr9 | 实例ID,SSH登录时的默认密码 |
| PrimaryFortigate_MGMT_EIP | 121.89.233.188 | 主用FORTIGATE管理IP |
| SecondaryFortigate_MGMT_EIP | 121.89.226.61 | 备用FORTIGATE管理IP |
| PrimaryFortigateAvailability_zone | cn-zhangjiakou-a | 主用FORTIGATE可用区 |
| SecondaryFortigateAvailability_zone | cn-zhangjiakou-a | 备用FORTIGATE可用区 |
| ActiveFortigateEIP3 | 121.89.245.44 | 主用FORTIGATE PORT1 EIP |
| PrimaryFortigatePrivateIP | 192.168.11.11 | 主用FORTIGATE PORT1私有IP |
| SecondaryFortigatePrivateIP | 192.168.21.12 | 备用FORTIGATE PORT1私有IP |
| FortigateAdminPort | 8443 | FORTIGATE的HTTPS访问端口 |
| FortigatePublicIP | 47.242.205.171 | FORTIGATE的公网IP地址 |
