こんにちは！ネットワールドSEの林です

今回は、AWS上でFortiManagerをデプロイする手順について紹介します！ FortiManagerはFortiGateを管理するためのFortinet社製品になります。複数のFortiGateに対し、一括で設定を反映させたり、コンフィグを世代管理することが出来ます。複数台のFortiGateの管理にお悩みのあるお客様にお勧めな製品です。

クラウド環境は検証したら削除することが出来、検証環境としても非常に優秀ですので、 FortiManagerに興味がある！触ってみたい！という方は、これを機会にぜひ本手順をお試しください。

なお、デプロイガイドには、FortiGateは含まれません。 FortiGateも必要な方は、以下のブログ記事を参考にしてみてください。

FortiGate on AWSのデプロイガイド blogs.networld.co.jp

その他の関連サービスは、こちら！ FortiADC on AWSのデプロイガイド blogs.networld.co.jp

FortiAnalyzer on AWSのデプロイガイド blogs.networld.co.jp

免責事項

本書は、株式会社ネットワールド（以下弊社）が作成・管理します。
本書の記載内容の一部または全部を弊社に無断で改変・転載することを禁じます。
本書の記載内容は、一部または全部が将来予告無く変更されることがあります。
本書の利用は、利用者様の責任において行われるとものとします。
本書の記載内容には、最善の注意を払っておりますが、正確性・完全性を保証するものではありません。したがって、本書の利用によって生じたあらゆる損害に関して、弊社は一切の責任を負いかねます。

1. はじめに

Amazon Elastic Compute Cloud (以下Amazon EC2) は、Amazon Web Services (以下AWS) クラウドでスケーラブルなコンピューティング能力を提供します。Amazon EC2 を使用すると、ハードウェアに先行投資する必要がなくなるため、アプリケーションの開発とデプロイを迅速化出来ます。Amazon EC2 を使用して、仮想サーバの起動、セキュリティとネットワークの設定、ストレージの管理を行うことが出来ます。

このガイドでは、FortiManager-VMをAWS EC2にデプロイする方法を説明します。

注意事項：AWSリージョンについて本手順書は特定のAWSリージョンを基準に記載しております。AWSのサービスはリージョンにより、可用性や機能が変わることがあります。そのため、他のリージョンで本手順を適用する際には、AWS公式ドキュメントや該当リージョンのサービスページで確認をお願いします。リージョンの選択や設定は、ご自身の責任と判断にてお願いいたします。

2. 構成図

本デプロイガイドの構成図です。

3. ライセンス

FortiManager-VMをAWSのAmazon EC2にデプロイするには、次の２つのライセンスタイプが提供されています。

Bring Your Own License (BYOL) — FortiManager-VM用のライセンスファイルが別途必要です。
オンデマンド — FortiManager-VMのフルライセンスインスタンス、すべてのFortiGuardサービス、およびテクニカルサポートを時間単位で提供します。

無償評価ライセンスには下記の制約事項があります。

デバイス/VDOMは３つまで
ADOMの使用は２つまで
FortiAnalyzer機能は利用不可

無償評価ライセンスを取得しBring Your Own License (BYOL)タイプに適用すると使用することが出来ます。無償評価ライセンスご利用希望の際は以下URLよりお問い合わせください。

ネットワールドFortinetお問い合わせフォーム https://www.networld.co.jp/forms/product/fortinet.html

本ガイドではBring Your Own License (BYOL)ライセンスタイプを利用してデプロイします。

4. FortiManager-VMを導入する前に

FortiManager-VMをデプロイする前にAWS上の基本設定を行います。

VPCの作成
サブネットの作成
インターネットゲートウェイの作成
デフォルトルートテーブルの作成

以下順を追って作成します。

4.1. VPCの作成

VPCを作成し、利用するIPv4アドレス範囲を指定します。

[VPC]>[VPCを作成]をクリックします。

以下設定を入力し、[VPCを作成]をクリックします。

作成するリソース：VPCのみ
名前タグ - オプション：任意の名称
IPv4 CIDRブロック：IPv4 CIDRの手動入力
IPv4 CIDR：任意のCIDR

※以降記載の無い項目はデフォルト設定とします。

4.2. サブネットの作成

サブネットを作成し、利用するセグメントを作成します。

[VPC]>[サブネット] >[サブネットを作成]をクリックします。

VPC ID：4.1で作成したVPCを選択

以下設定を入力後、[サブネットの作成]をクリックします。

サブネット名：任意の名称
IPv4サブネットCIDRブロック：任意のサブネット

4.3. インターネットゲートウェイの作成

インターネットへの出口となるインターネットゲートウェイを作成し、ＶＰＣへアタッチします。

[VPC]>[インターネットゲートウェイ] > [インターネットゲートウェイの作成]をクリックします。

以下設定を入力し、[インターネットゲートウェイの作成]をクリックします。

名前タグ：任意の名称

VPC にアタッチして、VPC がインターネットと通信できるようにします。

作成したインターネットゲートウェイの[アクション]メニューから[VPCにアタッチ]をクリックします。

アタッチするVPCを確認し、[インターネットゲートウェイのアタッチ]をクリックします。

4.4. ルートテーブルの作成

ルートテーブルを作成し、実際のネットワークに従ってサブネットの関連付けを構成します。

[ルートテーブル]> [ルートテーブルを作成]をクリックします。

以下設定を入力し、[ルートテーブルを作成]をクリックします。

名前：任意の名称
VPC：4.1で作成したVPC

[ルートテーブル]>[サブネットの関連付け]タブで、[サブネットの関連付けを編集]をクリックします。

4-2で作成したサブネットを選択し、[関連付けを保存]をクリックします。

続いて、ルートテーブルにデフォルトゲートウェイを追加します。

[ルートテーブル]>[作成したルートテーブル]>[ルート]から[ルートを編集]をクリックします。

[ルートを追加]をクリックします。

以下の設定を選択し、[変更を保存]をクリックします。

送信先：0.0.0.0/0
ターゲット：4-3で作成したインターネットゲートウェイ

インターネットゲートウェイが追加されたことを確認します。

5. FortiManager-VMの展開

FortiManager-VMをAWSのAmazon EC2にデプロイします。今回はBring Your Own License (BYOL)ライセンスタイプのインスタンスをデプロイします。 VPCを作成したリージョンを選択してください。

5.1. EC2インスタンスの起動

[EC2]>[インスタンスの起動] をクリックします。

5.2. FortiManager のAmazonマシンイメージ(AMI)選択

以下の設定を行い、[その他のAMIを検索する]をクリックします。

名前とタグ：任意の名称

“fortimanager”を検索します。 [AWS Marketplace AMI(x)]タブをクリックします。 “Fortinet FortiManager (BYOL) Centralized Security Management”の[選択]をクリックします。

[インスタンス起動時に購読]をクリックします。

5.3. EC2インスタンスタイプの選択

EC2 インスタンスタイプを選択します。 - インスタンスタイプ：自動でメーカ推奨インスタンスタイプが指定されます。

利用するライセンスに合わせてインスタンスを選択します。サポートされているインスタンスタイプは、メーカの管理者ガイドに記載があります。 ■FortiManager Public Cloud 7.6.0/AWS Administration Guide/Instance type support https://docs.fortinet.com/document/fortimanager-public-cloud/7.6.0/aws-administration-guide/351055