Edge Network Acceleration:FortiGate サイト間 VPN を使用した ENS ノードの相互接続

1. IP アドレス計画

2. ネットワークトポロジー

ネットワークトポロジーは次の図のようになります。ENS ノード 1 と ENS ノード 2 にそれぞれ VPC があり、各 VPC には独自のインスタンスが含まれています。このガイドの目的は、「ENS VM1」と「ENS VM4」の間にプライベートネットワーク接続を確立することです。

1. ENS 上での VPC と vSwitch の作成

1. ENS コンソールにログインし、[VPC 管理] > [ネットワーク] > [ネットワークの作成] を選択します。[ノード] を選択し、[名前] と [IPv4 CIDR ブロック] を入力し、[vSwitch] を設定して、サブネットを指定します。

   

2. [作成] をクリックした後、[ネットワーク] および [vSwitch] ページに移動して、新しい VPC と vSwitch がリストに表示されていることを確認します。

   

   

2. セキュリティグループの設定

デフォルトでは、セキュリティグループはほとんどのインバウンドトラフィックをブロックします。特定のトラフィックを許可するルールを作成する必要があります。このガイドでは、簡単にするために、すべてのインバウンドトラフィックを許可するルールを作成します。本番環境では、最小権限の原則に従い、SSH、ICMP、HTTPS、および IPsec に必要な UDP ポートなど、必須のトラフィックのみを許可する必要があります。

1. [VPC 管理] > [セキュリティグループ] > [セキュリティグループの作成] を選択します。

   

2. [アウトバウンド] 方向を設定します。デフォルトでは、すべてのトラフィックが許可されます。

   

3. FortiGate インスタンスのデプロイ

このステップでは、ENS コンソールで FortiGate インスタンスを作成する方法について説明します。このインスタンスは、トポロジー図の VM2 に対応し、VPN トラフィックを処理する NVA として機能します。

1. [リソースとイメージ] > [インスタンス] を選択し、[インスタンスの作成] をクリックします。

   

2. [基本設定] セクションで、[インスタンスタイプ] を [X86 コンピューティング] に設定します。[インスタンスタイプ] の詳細については、「FortiGate 仕様リファレンス」をご参照ください。[イメージ] を [カスタムイメージ] に設定し、準備した FortiGate イメージを選択します。ENS でカスタムイメージを作成する方法の詳細については、「カスタムイメージの作成」をご参照ください。

   

3. [ネットワークとストレージ] を設定します。[ネットワーク] を [自己構築ネットワーク] に設定します。[リージョン] には、VPC が配置されているリージョンを選択します。次に、ノードの [ネットワーク]、[vSwitch]、および [セキュリティグループ] を設定します。また、[パブリック NIC の作成] を選択し、[最大帯域幅] を設定する必要があります。

   

4. [システム設定] セクションで、キーとインスタンス名を設定できます。デフォルトのパスワードについては、FortiGate の公式ドキュメントをご参照ください。

   

5. 注文を確認します。[基本設定]、[ネットワークとストレージ]、および [システム設定] の各セクションを確認します。[サブスクリプション期間] を選択し、[注文の確認] をクリックします。

   

6. インスタンスが作成された後、インスタンスリストをチェックして、インスタンスが作成されたことを確認します。

   

上記の手順は、VM2 を作成する方法を説明しています。検証目的で、同じ VPC 内に別の VM を作成することもできます。ただし、この VM には FortiGate イメージを選択しないでください。

4. トラフィックルーティングの設定

最初の ENS ノードを例として、VM1 から VM4 宛てのトラフィックを FortiGate アプライアンス (VM2) 経由でルーティングします。これにより、トラフィックが VPN トンネルに入ることが保証されます。これを行うには、VPC のルートテーブルにカスタムルートを追加します。

1. [VPC 管理] > [ネットワーク] を選択します。ネットワークリストで、作成したネットワークを選択し、そのルートテーブルをクリックします。

   

2. ルートテーブル ID をクリックします。ルートテーブルの詳細で、[ルートエントリリスト] > [カスタムルートエントリ] > [ルートエントリの追加] を選択します。宛先の IPv4 CIDR ブロックを設定し、ネクストホップを、設定した FortiGate インスタンスに設定します。

   

   

設定が完了すると、インターフェイスは次の図のように表示されます。これは、トラフィックが FortiGate インスタンスに転送されることを示しています。

5. Site2 の VPC と FortiGate の設定

1. 2 つ目の VPC を作成し、サブネットを割り当てます。

   

2. FortiGate インスタンスを作成して設定します。

3. ルーティングルールを追加します。

   

1. 注意事項

中国本土では、HTTP および HTTPS 経由でインターネットにアクセスするために ICP 登録が必要です。有効な ICP 登録がない場合、ポート 80 と 443 はブロックされます。

Secure Shell (SSH) を使用して FortiGate デバイスにログインします。HTTPS ポート番号を変更してから、ICP 登録を完了してください。

次のコマンドは、ポートを 8443 に変更します。

config system global                                       
    set admin-sport 8443                     
end
                                

2. ライセンスのインポートとシステムの初期化

ライセンスをインポートした後、基本的な初期化を実行します。ネットワーク設定がアクティブであることを確認した後にのみ、IPsec を設定してください。

3. IPsec の設定

IPsec はいくつかの方法で設定できます。このトポロジーでは、サイト間デプロイメントを使用します。このデプロイメントにより、VM1 と VM4 の間の VPN 接続が可能になります。2 つのエンドポイントは Site1 と Site2 として定義されます。