在计算巢部署模式中,用户可以通过服务商在计算巢中发布的服务,一键部署阿里云资源和服务商提供的软件。您可以参考计算巢服务用户指南完成服务实例的创建。本文介绍了部署结合CEN_TR的安全中心VPC服务实例的详细说明。
使用说明
点击部署链接完成部署。
SSH登录fortigate,ssh admin@fortigatepublicip,默认密码为FORTIGATE实例ID。
由Fortigate通过execute ssh root@192.168.10.100登录到SPOKE VPC-A里的ECS实例。
在spoke vpc-a实例中,可以访问互联网地址(南北向流量),比如ping 1.1.x.x或使用curl -v https://1.1.x.x访问。在fortigate中可以检查流量及安全日志。
在spoke vpc-a实例中,可以访问vpc-b中的实例地址,比如ping 192.168.20.100 (东西向流量),在fortigate中可以检查流量及安全日志。
环境需求
CEN-TR
FORTIGATE BYOL的许可证
RAM账号所需权限
AliyunECSFullAccess
AliyunVPCFullAccess
AliyunCENFullAccess
默认配置
1个HUB VPC:包含2张自定义路由表,一张用于与TR打通,一张用于内网流量路由。
2个SPOKE VPC:默认路由指向TR。
1台2核4G的ECS实例:用于安装FORTIGATE 6.4.5版本BYOL,位于HUB VPC中。
2个1核1G的Linux ECS实例,分别位于SPOKE VPC-A VPC及VPC-B中
1个CEN实例含1个CEN-TR,TR里面有二张自定义路由表,一张用于路由去往SPOKE VPC的流量,一张用于去往HUB VPC的流量
默认配置下,两个SPOKE VPC的Linux实例之间互通的东西向流量通过TR后送往HUB VPC的FORTIGATE进行3-7层安全检查,两个SPOKE VPC的Linux实例的南北向互联网流量也通过TR送往HUBVPC的FORTIGATE进行3-7层安全检查,实现FORTIGATE作为HUBVPC负责SPOKE VPC的东西向流量及南北向流量的安全。
注意事项
某些REGION比如杭州,北京默认阿里云没有开通自定义路由表,如需要在这些区使用,请联系阿里云CEN-TR企业版需要联系阿里云开通后才能使用。
默认下,SPOKE VPC里的ECS实例没有提供公网访问地址,请通过阿里云的VNC console登录或者通过Fortigate跳转。
部署参数说明
参数 | 默认值 | 说明 |
web_instance_image | ubuntu_18_04_x64_20G_alibase_20200521.vhd | spoke VPC的VM的启动镜像,默认为Linux UBUNTU18 |
product | FortiGate-6.4.5.+BYOL | FORTIGATE的产品描述名称,自动匹配名称包含FORTIGATE-6.4.5及BYOL字符串的产品 |
my_key | PleaseInputYourOptionaKeyName | 实例的密钥对名称,如果需要给实例提供基于密钥对的访问,请输入密钥对的名字,该密钥对必须已经存在于你的阿里云密钥对里面 |
instance | ecs.hfc6.large | FORTIGATE实例的实例类型,默认为2核CPU, 4G内存的hfc6 |
cen_region | cn-hongkong | CEN实例区域,必须与VPC所在REGION一致 |
web_instance_type | ecs.xn4.small | poke VPC里的Linux实例的默认类型,1核CPU,1 G内存的xn4 |
vm_password | Welcome.123 | spoke VPC里面Linux虚拟机的默认密码,默认用户名为root |
license | -----BEGIN FGT VM LICENSE-----*********-----END FGT VM LICENSE----- | FORTIGATE 的许可证,请在购买后到 support.fortinet.com 下载后用文本编辑器打开后粘贴在此LICENSE由-----BEGIN FGTVMLICENSE-----开头,由-----END FGT VM LICENSE-----结尾 |
adminsport | 8443 | FORTIGATE的HTTPS访问端口 |
instance_ami | auto | FORTIGATE实例的启动IMAGE,auto指通过product参数自动获得 |
输出参数说明
输出关键字 | 值 | 描述 |
FortigateInstanceID | i-j6cdgoctsftq8rwf9zyr | 实例ID,SSH登录时的默认密码 |
web-password | Welcome.123 | SPOKE VPC里Linux ECS的默认密码 |
web-b_private_ip | 192.168.20.100 | SPOKE VPC-B里Linux ECS的私有IP |
web-a_public_ip | - | SPOKE VPC-A里Linux ECS的公网IP,默认没有,请通过FORTIGATE访问 |
web-b_public_ip | - | SPOKE VPC-B里Linux ECS的公网IP,默认没有,请通过FORTIGATE访问 |
FortigateAdminPort | 8443 | FORTIGATE的HTTPS访问端口 |
FortigatePublicIP | 47.242.205.171 | FORTIGATE的公网IP地址 |
web-a-private_ip | 192.168.10.100 | SPOKE VPC-B里Linux ECS的私有IP |