Requisitos para firewall virtual vSRX no KVM
Esta seção apresenta uma visão geral dos requisitos para a implantação de uma instância de firewall virtual vSRX no KVM;
Especificações do software
A tabela abaixo lista as especificações do requisito do software do sistema ao implantar o firewall virtual vSRX em um ambiente KVM. A tabela descreve a versão do Junos OS na qual foi introduzida uma especificação de software específica para a implantação do firewall virtual vSRX no KVM. Você precisará baixar uma versão específica do Junos OS para aproveitar determinados recursos.
Um problema de registro de modificação de página (PML) relacionado ao kernel de host KVM pode impedir o inicialização com sucesso do firewall virtual vSRX. Se você experimentar esse comportamento com o firewall virtual vSRX, recomendamos que você desabilite o PML no nível do kernel do host. Consulte Prepare seu servidor para a instalação do vSRX para obter detalhes sobre a desativação do PML como parte da ativação da virtualização aninhada.
| Especificação dos recursos | Versão do Junos OS introduzida | |
|---|---|---|
| vCPUs/Memória | 2 vCPU / 4 GB de RAM |
Versão Junos OS 15.1X49-D15 e Junos OS Versão 17.3R1 (firewall virtual vSRX) |
| 5 vCPU / 8 GB de RAM |
Versão Junos OS 15.1X49-D70 e Junos OS Versão 17.3R1 (firewall virtual vSRX) |
|
| 9 vCPU / 16 GB de RAM |
Versão Junos OS 18.4R1 (firewall virtual vSRX) Versão Junos OS 19.1R1 (firewall virtual vSRX 3.0) |
|
| 17 vCPU / 32 GB de RAM |
Versão Junos OS 18.4R1 (firewall virtual vSRX) Versão Junos OS 19.1R1 (firewall virtual vSRX 3.0) |
|
| Escalabilidade flexível da capacidade da sessão de fluxo por um vRAM adicional |
NA | Versão Junos OS 19.1R1 (firewall virtual vSRX) Versão Junos OS 19.2R1 (firewall virtual vSRX 3.0) |
| Suporte a escala multicore (Software RSS) |
NA | Versão Junos OS 19.3R1 (firewall virtual vSRX apenas 3.0) |
| Reserve núcleos vCPU adicionais para o mecanismo de roteamento (firewall virtual vSRX e firewall virtual vSRX 3.0) |
NA | |
| Virtio (virtio-net, vhost-net) (firewall virtual vSRX e firewall virtual vSRX 3.0) |
NA | |
| Hipervisores suportados | ||
| Suporte a hipervisor Linux KVM
Nota:
A partir das versões especificadas do Junos OS mencionadas aqui, todas as versões subsequentes do Junos OS também oferecem suporte a essas versões RHEL e versões posteriores. |
Ubuntu 14.04.5, 16.04 e 16.10 |
Versão Junos OS 18.4R1 |
| Ubuntu 18.04 e 20.04 | Versão Junos OS 20.4R1 | |
| Red Hat Enterprise Linux (RHEL) 7,3, 7,6 e 7,7 | Versão Junos OS 18.4R1 | |
| Red Hat Enterprise Linux (RHEL) 8.2 | Versão Junos OS 19.2R1 | |
| Red Hat Enterprise Linux (RHEL) 9 | Versão Junos OS 23.4R1 | |
| CentOS 7,1, 7,2, 7,6 e 7,7 | Versão Junos OS 20.4R1 | |
| Outros recursos | ||
| Init na nuvem |
NA | Sim (versão Junos OS 15.1X49-D100 e Junos OS Release 17.4R1 em diante) |
| IPSec (PMI) powermode |
NA | |
| Cluster de chassi |
NA | Sim (Junos OS 12.1X46-D10 em diante) |
| Distribuição de sessão baseada em TEID GTP usando software RSS |
NA | Sim (versão Junos OS 19.3R1 em diante) |
| Mecanismo de verificação de antivírus no dispositivo (Avira) |
NA | Sim (versão Junos OS 19.4R1 em diante) |
| LLDP |
NA | Sim (versão Junos OS 21.1R1 em diante) |
| Interface de telemetria Junos |
NA | Sim (versão Junos OS 20.3R1 em diante) |
| Requisitos do sistema | ||
| Aceleração de hardware/bandeira de CPU VMX habilitada no hipervisor |
NA | |
| Espaço em disco |
16 GB (drives IDE ou SCSI) (firewall virtual vSRX) |
Versão Junos OS 15.1X49-D15 e Junos OS Versão 17.3R1 |
| 18 GB (Firewall virtual vSRX 3.0) |
||
| dos vNICs | introduzida |
|---|---|
| Virtio SA e HA | |
| SR-IOV SA e HA sobre a série Intel 82599/X520 | Versão Junos OS 15.1X49-D90 e Junos OS Versão 17.3R1 |
| SR-IOV SA e HA sobre a série Intel X710/XL710/XXV710 | Versão Junos OS 15.1X49-D90 |
| SR-IOV SA e HA sobre a série Intel E810 | Versão Junos OS 21.2R1
Nota:
Começando pelo Junos OS Release 23.2R2, apenas o driver ICE 1.12.7 é compatível com o E810 com o vSRX 3.0. A versão abaixo de 1.12.7 causa problema de compatibilidade e não trará o FPC on-line. |
| SR-IOV SA e HA sobre Mellanox ConnectX-3 | Não suportado |
| SR-IOV SA e HA sobre Mellanox ConnectX-4/5/6 (apenas para driver MLX5) | Versão Junos OS 18.1R1 (firewall virtual vSRX) Junos OS Release 21.2R1 em diante no firewall virtual vSRX 3.0 |
| Passagem de PCI pela série Intel 82599/X520 | Não suportado |
| Passagem de PCI pela série Intel X710/XL710 | Não suportado |
| Kit de desenvolvimento de plano de dados (DPDK) versão 17.05 |
Versão Junos OS 18.2R1 |
| Kit de desenvolvimento de plano de dados (DPDK) versão 18.11 A partir do Junos OS Release 19.4R1, a versão DPDK 18.11 é suportada no firewall virtual vSRX. Com esse recurso, a placa de interface de rede (NIC) Mellanox Connect no firewall virtual vSRX agora oferece suporte a OSPF Multicast e VLANs. |
Versão Junos OS 19.4R1 |
Kit de desenvolvimento de plano de dados (DPDK) versão 20.11 A partir do Junos OS Release 21.2R1, atualizamos o Kit de desenvolvimento de plano de dados (DPDK) da versão 18.11 para a versão 20.11. A nova versão oferece suporte ao ICE Poll Mode Driver (PMD), que permite o suporte físico de NIC 100G da série Intel E810 no firewall virtual vSRX 3.0. |
Versão Junos OS 21.2R1 |
Um firewall virtual vSRX na implantação de KVM exige que você habilite a virtualização baseada em hardware em um sistema operacional host que contenha um processador capaz de usar a Tecnologia de Virtualização Intel (VT). Você pode verificar a compatibilidade da CPU aqui: http://www.linux-kvm.org/page/Processor_support
A tabela abaixo lista as especificações do VM de firewall virtual vSRX.
A partir do Junos OS Release 19.1R1, a instância de firewall virtual vSRX oferece suporte ao SO convidado usando 9 ou 17 vCPUs com virtualização de E/S de raiz única sobre Intel X710/XL710 no hipervisor Linux KVM para uma melhor escalabilidade e desempenho.
- Recomendações do kernel KVM para firewall virtual vSRX
- Pacotes adicionais de Linux para firewall virtual vSRX no KVM
Recomendações do kernel KVM para firewall virtual vSRX
A Tabela 3 lista a versão recomendada do kernel linux para o seu sistema operacional host Linux ao implantar o firewall virtual vSRX no KVM. A tabela descreve a versão do Junos OS na qual o suporte para uma versão específica do kernel linux foi introduzido.
| Distribuição do Linux |
Versão do Kernel do Linux |
Versão com suporte do Junos OS |
|---|---|---|
| Centos |
3.10.0.229 Atualize o kernel linux para capturar a versão recomendada. |
Versão Junos OS 15.1X49-D15 e Junos OS Versão 17.3R1 ou posterior versão |
| Ubuntu |
3.16 |
Versão Junos OS 15.1X49-D15 e Junos OS Versão 17.3R1 ou posterior versão |
| 4.4 |
Versão Junos OS 15.1X49-D15 e Junos OS Versão 17.3R1 ou posterior versão |
|
| 18.04 | Versão do Junos OS 20.4R1 ou posterior |
|
| 20.04 | Versão do Junos OS 20.4R1 ou posterior |
|
| RHEL |
3.10 |
Versão Junos OS 15.1X49-D15 e Junos OS Versão 17.3R1 ou posterior versão |
Pacotes adicionais de Linux para firewall virtual vSRX no KVM
A Tabela 4 lista os pacotes adicionais de que você precisa no sistema operacional host Linux para executar o firewall virtual vSRX no KVM. Consulte a documentação do sistema operacional host para saber como instalar esses pacotes se eles não estiverem presentes no seu servidor.
| Pacote |
Versão |
Baixar link |
|---|---|---|
| libvirt |
0.10.0 |
|
| virt-manager (Recomendado) |
0.10.0 |
Especificações do hardware
A Tabela 5 lista as especificações de hardware para a máquina de host que executa o VM de firewall virtual vSRX.
Componente |
Especificação |
|---|---|
Tipo de processador de host |
Intel x86_64 multi-core CPU
Nota:
O DPDK requer suporte VT-x/VT-d de virtualização intel na CPU. Veja mais sobre a tecnologia de virtualização da Intel. |
Suporte físico de NIC para firewall virtual vSRX e firewall virtual vSRX 3.0 |
Nota:
Se estiver usando o SR-IOV com os adaptadores da família Mellanox ConnectX-3 ou ConnectX-4, no host Linux, se necessário, instale o mais recente driver linux MLNX_OFED.
Nota:
Você deve habilitar as extensões Intel VT-d para fornecer suporte de hardware para atribuir diretamente dispositivos físicos por convidado. Veja Configurar SR-IOV e PCI no KVM. |
Suporte físico de NIC para firewall virtual vSRX 3.0 |
Suporte a SR-IOV nas versões Intel X710/XL710/XXV710 e Intel E810. |
Melhores práticas para melhorar o desempenho do firewall virtual vSRX
Analise as seguintes práticas para melhorar o desempenho do firewall virtual vSRX.
Nós NUMA
A arquitetura do servidor x86 consiste em vários sockets e vários núcleos dentro de um socket. Cada tomada tem memória usada para armazenar pacotes durante as transferências de E/S da NIC para o host. Para ler pacotes de memória com eficiência, aplicativos de convidados e periféricos associados (como o NIC) devem residir em uma única tomada. Uma penalidade está associada à abrangência de tomadas de CPU para acessos de memória, o que pode resultar em desempenho não determinado. Para o firewall virtual vSRX, recomendamos que todos os vCPUs para o vSRX Virtual Firewall VM estejam no mesmo nó físico de acesso de memória não uniforme (NUMA) para um desempenho ideal.
O mecanismo de encaminhamento de pacotes (PFE) no firewall virtual vSRX ficará sem resposta se a topologia de nós NUMA estiver configurada no hipervisor para espalhar as vCPUs da instância em vários nós NUMA do host. O firewall virtual vSRX exige que você garanta que todos os vCPUs residam no mesmo nó NUMA.
Recomendamos que você vincule a instância de firewall virtual vSRX com um nó NUMA específico, configurando a afinidade do nó NUMA. A afinidade de nó NUMA restringe a programação de recursos VM de firewall virtual vSRX apenas para o nó NUMA especificado.
Mapeamento de interfaces virtuais para um VM vM de firewall virtual vSRX
Para determinar quais interfaces virtuais em seu mapa de host OS do Linux para um VM de firewall virtual vSRX:
Use o
virsh listcomando em seu sistema operacional host Linux para listar os VMs em execução.hostOS# virsh list
Id Name State ---------------------------------------------------- 9 centos1 running 15 centos2 running 16 centos3 running 48 vsrx running 50 1117-2 running 51 1117-3 running
-
Use o
virsh domiflist vsrx-namecomando para listar as interfaces virtuais naquela VM de firewall virtual vSRX.hostOS# virsh domiflist vsrx
Interface Type Source Model MAC ------------------------------------------------------- vnet1 bridge brem2 virtio 52:54:00:8f:75:a5 vnet2 bridge br1 virtio 52:54:00:12:37:62 vnet3 bridge brconnect virtio 52:54:00:b2:cd:f4
Nota:A primeira interface virtual mapeia a interface do sistema operacional Junos.
Mapeamento de interface para firewall virtual vSRX no KVM
Cada adaptador de rede definido para um firewall virtual vSRX é mapeado em uma interface específica, dependendo se a instância do firewall virtual vSRX é uma VM independente ou um de um par de clusters para alta disponibilidade. Os nomes e mapeamentos de interface no firewall virtual vSRX são mostrados na Tabela 6 e na Tabela 7.
Observe o seguinte:
No modo autônomo:
o switchp0 é a interface de gerenciamento fora da banda.
ge-0/0/0 é a primeira interface de tráfego (receita).
No modo cluster:
o switchp0 é a interface de gerenciamento fora da banda.
em0 é o link de controle de cluster para ambos os nós.
Qualquer uma das interfaces de tráfego pode ser especificada como links de malha, como ge-0/0/0 para fab0 no nó 0 e ge-7/0/0 para fab1 no nó 1.
A Tabela 6 mostra os nomes e mapeamentos de interface para uma VM vM de firewall virtual vSRX independente.
Adaptador de rede |
Nome da interface no Junos OS para firewall virtual vSRX |
|---|---|
1 |
fxp0 |
2 |
ge-0/0/0 |
3 |
ge-0/0/1 |
4 |
ge-0/0/2 |
5 |
ge-0/0/3 |
6 |
ge-0/0/4 |
7 |
ge-0/0/5 |
8 |
ge-0/0/6 |
A Tabela 7 mostra os nomes e mapeamentos da interface para um par de VMs de firewall virtual vSRX em um cluster (nó 0 e nó 1).
Adaptador de rede |
Nome da interface no Junos OS para firewall virtual vSRX |
|---|---|
1 |
fxp0 (nó 0 e 1) |
2 |
em0 (nó 0 e 1) |
3 |
ge-0/0/0 (nó 0)ge-7/0/0 (nó 1) |
4 |
ge-0/0/1 (nó 0)ge-7/0/1 (nó 1) |
5 |
ge-0/0/2 (nó 0)ge-7/0/2 (nó 1) |
6 |
ge-0/0/3 (nó 0)ge-7/0/3 (nó 1) |
7 |
ge-0/0/4 (nó 0)ge-7/0/4 (nó 1) |
8 |
ge-0/0/5 (nó 0)ge-7/0/5 (nó 1) |
Configurações padrão do firewall virtual vSRX no KVM
O firewall virtual vSRX requer as seguintes configurações básicas de configuração:
As interfaces devem ser atribuídas a endereços IP.
As interfaces devem estar vinculadas a zonas.
As políticas devem ser configuradas entre zonas para permitir ou negar tráfego.
A Tabela 8 lista as configurações padrão de fábrica para políticas de segurança no firewall virtual vSRX.
Zona de origem |
Zona de destino |
Ação de política |
|---|---|---|
confiar |
desconfiança |
permitir |
confiar |
confiar |
permitir |
desconfiança |
confiar |
negar |