Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Entender vSRX com a VMware

Esta seção apresenta uma visão geral da vSRX sobre vMware

vSRX visão geral

vSRX é um dispositivo de segurança virtual que fornece serviços de segurança e rede no perímetro ou borda em ambientes de nuvem privada ou pública virtualizados. vSRX é executado como uma máquina virtual(VM)em um servidor x86 padrão. vSRX é construído no Sistema operacional Junos (Junos OS) e fornece recursos de rede e segurança semelhantes aos disponíveis nas versões de software para gateways de serviços da série SRX.

O vSRX oferece uma solução completa de Firewall de Próxima Geração (NGFW), incluindo firewall de núcleo, VPN, NAT, camada 4 avançada até serviços de segurança de Camada 7, como Segurança de aplicativos, detecção e prevenção de invasões (IPS) e recursos UTM incluindo filtragem da Web aprimorada e antivírus. Combinada com o Sky ATP, a vSRX oferece um serviço avançado de anti-malware baseado na nuvem com análise dinâmica para proteger contra malwares sofisticados, e fornece aprendizado de máquina integrado para melhorar a eficácia do veredicto e reduzir o tempo de remediação.

A Figura 1 mostra a arquitetura de alto nível.

Figura 1: vSRX arquitetura vSRX Architecture

vSRX inclui o plano de controle Junos (JCP) e os componentes do mecanismo de encaminhamento de pacotes (PFE) que composição do plano de dados. vSRX usa uma CPU virtual (vCPU) para JCP e pelo menos um vCPU para o PFE. A partir do Junos OS Release 15.1X49-D70 e do Junos OS Release 17.3R1, os vSRX multi-core são compatíveis com o dimensionamento de vCPUs e RAM virtual GB (vRAM). VCPUs adicionais são aplicadas ao plano de dados para aumentar o desempenho.

O Junos OS Release 18.4R1 aceita uma nova arquitetura de software vSRX 3.0 que remove o sistema operacional duplo e o requisito de virtualização aninhada da arquitetura vSRX existente.

Na arquitetura 3.0 da vSRX, o FreeBSD 11.x é usado como o sistema operacional convidado, e o Mecanismo de Roteamento e Mecanismo de Encaminhamento de Pacotes são executados no FreeBSD 11.x como uma única máquina virtual para melhorar o desempenho e a escalabilidade. vSRX 3.0 usa DPDK para processar os pacotes de dados no plano de dados. Um upgrade direto do Junos da vSRX para vSRX software 3.0 não é suportado.

vSRX 3.0 tem os seguintes aprimoramentos em comparação com vSRX:

  • Removeu a restrição de exigir suporte a VM aninhado em hipervisores.

  • Removeu a restrição de exigir que portas conectadas ao plano de controle tenham o modo Promíscuo ativado.

  • Tempo de inicialização aprimorado e capacidade de resposta aprimorada do plano de controle durante as operações de gerenciamento.

  • Migração ao vivo aprimorada.

A Figura 2 mostra a arquitetura de software de alto nível para vSRX 3.0

Figura 2: arquitetura vSRX 3.0 vSRX 3.0 Architecture

vSRX benefícios e casos de uso

vSRX servidores x86 padrão permitem que você introduza rapidamente novos serviços, entregue serviços personalizados aos clientes e dimensione serviços de segurança com base em necessidades dinâmicas. vSRX ideal para ambientes de nuvem públicos, privados e híbridos.

Alguns dos principais benefícios da vSRX em um ambiente multitenente em nuvem pública ou privada virtualizado incluem:

  • Proteção de firewall com estado na borda do tenant

  • Implantação mais rápida de firewalls virtuais em novos sites

  • Capacidade de executar em cima de vários hipervisores e infraestruturas de nuvem pública

  • Recursos completos de roteamento, VPN,segurança de núcleo e rede

  • Recursos de segurança de aplicativos (incluindo IPS e App-Secure)

  • Recursos de segurança de conteúdo (incluindo antivírus, filtragem da Web, anti spam e filtragem de conteúdo)

  • Gerenciamento centralizado com Junos Space Security Director e gerenciamento local com interface J-Web

  • Juniper Networks Sky Advanced Threat Prevention integração (Sky ATP)

vSRX na implantação do VMWare ESXi

VMware vSphere é um ambiente de virtualização para sistemas que suportam a arquitetura x86. O VMware ESXi® é o hipervisor usado para criar e executar máquinas virtuais (VMs) e appliances virtuais em uma máquina de host. O VMware vCenter Server® é um serviço que gerencia os recursos de vários hosts ESXi.

O VMware vSphere Web Client é usado para implantar o vSRX VM.

A Figura 3 mostra um exemplo de como a vSRX pode ser implantada para fornecer segurança para aplicativos em execução em uma ou mais máquinas virtuais. O vSRX virtual tem uma conexão com um adaptador físico (o uplink) para que todo o tráfego de aplicativo flua pelo vSRX VM até a rede externa.

Figura 3: exemplo de vSRX implantação Example of vSRX Deployment

vSRX escala de desempenho

A Tabela 1 mostra o desempenho vSRX escala crescente com base no número de vCPUs e vRAM aplicados a uma vSRX VM. A tabela descreve a versão do Junos OS na qual foi introduzida uma especificação de software específica para a implantação vSRX VMware. Você precisará baixar uma versão específica do Junos OS para aproveitar determinados recursos de desempenho em escala superior.

Tabela 1: vSRX escala de desempenho em escala

vCPUs

Vram

Nics

Lançamento do Junos OS Apresentado

2 vCPUs

4 GB

  • SR-IOV (Intel 82599, X520/X540)

  • VMNET3

Lançamento do Junos OS 15.1X49-D15 e lançamento do Junos OS 17.3R1

5 vCPUs

8 GB

  • SR-IOV (Intel 82599, X520/X540)

  • VMNET3

Lançamento do Junos OS 15.1X49-D70 e lançamento do Junos OS 17.3R1

9 vCPUs

16 GB

  • SR-IOV (Mellanox ConnectX-3/ConnectX-3 Pro e Mellanox ConnectX-4 EN/ConnectX-4 Lx EN)

Observação:

SR-IOV (Mellanox ConnectX-3/ConnectX-3 Pro e Mellanox ConnectX-4 EN/ConnectX-4 Lx EN) é necessário para dimensionar o desempenho e a capacidade de uma vSRX para 9 vCPUs e 16 GB vRAM.

Versão do Junos OS 18.4R1

17 vCPUs

32 GB

  • SR-IOV (Mellanox ConnectX-3/ConnectX-3 Pro e Mellanox ConnectX-4 EN/ConnectX-4 Lx EN)

Observação:

SR-IOV (Mellanox ConnectX-3/ConnectX-3 Pro e Mellanox ConnectX-4 EN/ConnectX-4 Lx EN) é obrigatório se você pretende dimensionar o desempenho e a capacidade de uma vSRX a 17 vCPUs e 32 GB de vRAM.

Versão do Junos OS 18.4R1

1 vCPU

4 GB

SR-IOV nos adaptadores da família Mellanox ConnectX-3 e ConnectX-4.

Versão 21.2R1 do Junos OS

4 vCPUs

8 GB

SR-IOV nos adaptadores da família Mellanox ConnectX-3 e ConnectX-4.

Versão 21.2R1 do Junos OS

8 vCPUs

16GB

SR-IOV nos adaptadores da família Mellanox ConnectX-3 e ConnectX-4.

Versão 21.2R1 do Junos OS

16 vCPUs

32 GB

SR-IOV nos adaptadores da família Mellanox ConnectX-3 e ConnectX-4.

Versão 21.2R1 do Junos OS

Você pode dimensionar o desempenho e a capacidade de uma instância vSRX, aumentando o número de vCPUs e a quantidade de vRAM alocada ao vSRX. O sistema multi-core vSRX seleciona automaticamente os valores apropriados de vCPUs e vRAM no momento da inicialização, bem como o número de filas de escalonamento lateral de recebimento (RSS) no NIC. Se as configurações de vCPU e vRAM alocadas a uma vSRX VM não combinarem com o disponível no momento, a vSRX será rebaliada para o valor mais próximo de suporte da instância. Por exemplo, se uma VM vSRX tiver 3 vCPUs e 8 GB de vRAM, a vSRX será inicializada no tamanho vCPU menor, o que requer um mínimo de 2 vCPUs. Você pode dimensionar uma instância vSRX para um número maior de vCPUs e uma quantidade de vRAM, mas você não pode dimensionar uma instância de vSRX existente para uma configuração menor.

Observação:

Normalmente, o número de filas de RSS combina com o número de vCPUs de plano de dados de uma vSRX instância. Por exemplo, uma vSRX com 4 vCPUs de plano de dados deve ter 4 filas RSS.

aumento vSRX capacidade da sessão

vSRX solução é otimizada para aumentar os números de sessão aumentando a memória.

Com a possibilidade de aumentar os números de sessão com o aumento da memória, você pode vSRX a:

  • Forneça segurança altamente escalável, flexível e de alto desempenho em locais estratégicos da rede móvel.

  • Entregue o desempenho que os provedores de serviços precisam para dimensionar e proteger suas redes.

Execute o show security flow session summary | grep maximum comando para exibir o número máximo de sessões.

A partir da versão 18.4R1 Junos OS, o número de sessões de fluxo suportados em uma instância vSRX é aumentada com base no tamanho do vRAM usado.

A partir da versão 19.2R1 Junos OS, o número de sessões de fluxo suportados em uma instância vSRX 3.0 é aumentada com base no tamanho do vRAM usado.

A Tabela 2 lista a capacidade da sessão de fluxo.

Tabela 2: detalhes vSRX e vSRX capacidade da sessão de fluxo 3.0

vCPUs

Memória

Capacidade da sessão de fluxo

2

4 GB

0,5 M

2

6 GB

1 M

2/5

8 GB

2 M

2/5

10 GB

2 M

2/5

12 GB

2,5 M

2/5

14 GB

3 M

2/5/9

16 GB

4 M

2/5/9

20 GB

6 M

2/5/9

24 GB

8 M

2/5/9

28 GB

10 M

2/5/9/17

32 GB

12 M

2/5/9/17

40 GB

16 M

2/5/9/17

48 GB

20 M

2/5/9/17

56 GB

24 M

2/5/9/17

64 GB

28 M

Tabela de histórico de versão
Lançamento
Descrição
19.2R1
A partir da versão 19.2R1 Junos OS, o número de sessões de fluxo suportados em uma instância vSRX 3.0 é aumentada com base no tamanho do vRAM usado.
18.4R1
A partir da versão 18.4R1 Junos OS, o número de sessões de fluxo suportadas em uma instância vSRX é aumentada com base no tamanho do vRAM usado.
15.1X49-D70
A partir do Junos OS Release 15.1X49-D70 e do Junos OS Release 17.3R1, o sistema multi-core vSRX aceita o dimensionamento de vCPUs e RAM virtual GB (vRAM). VCPUs adicionais são aplicadas ao plano de dados para aumentar o desempenho.