了解使用 KVM 的 vSRX 虚拟防火墙
本节概述了 KVM 上的 vSRX 虚拟防火墙。
KVM 上的 vSRX 虚拟防火墙
Linux 内核使用基于内核的虚拟机 (KVM) 作为虚拟化基础架构。KVM 是开源软件,可用于创建多个虚拟机 (VM) 以及安装安全和网络设备。
KVM 的基本组件包括:
Linux 内核中包含的可加载内核模块,提供基本的虚拟化基础结构
处理器专用模块
当加载到 Linux 内核中时,KVM 软件充当 虚拟机管理程序。KVM 支持 多租户 ,并允许您在 主机 操作系统上运行多个 vSRX 虚拟防火墙虚拟机。KVM 在主机操作系统和多个 vSRX 虚拟防火墙虚拟机之间管理和共享系统资源。
vSRX 虚拟防火墙要求您在包含支持英特尔虚拟化技术 (VT) 的处理器的主机操作系统上启用基于硬件的虚拟化。
图 1 说明了 Ubuntu 服务器上 vSRX 虚拟防火墙虚拟机的基本结构。
上的 vSRX 虚拟防火墙虚拟机
vSRX 虚拟防火墙纵向扩展性能
表 1 显示了在 KVM 上部署时的 vSRX 虚拟防火墙纵向扩展性能,该性能基于应用于 vSRX 虚拟防火墙虚拟机的 vCPU 和 vRAM 数量以及引入了特定 vSRX 虚拟防火墙软件规范的 Junos OS 版本。
虚拟CPU |
虚拟内存 |
Nic |
版本引入 |
|---|---|---|---|
2 个 vCPU |
4 GB |
|
Junos OS 版本 15.1X49-D15 和 Junos OS 版本 17.3R1 |
5 个 vCPU |
8 千兆字节 |
|
Junos OS 版本 15.1X49-D70 和 Junos OS 版本 17.3R1 |
5 个 vCPU |
8 千兆字节 |
|
Junos OS 15.1X49-D90 版和 Junos OS 17.3R1 版 |
| 1 个 vCPU | 4 GB |
Mellanox ConnectX-4 和 ConnectX-5 系列适配器上的 SR-IOV。 |
Junos OS 21.2R1 版 |
| 4 个 vCPU | 8 千兆字节 |
Mellanox ConnectX-4 和 ConnectX-5 系列适配器上的 SR-IOV。 |
Junos OS 21.2R1 版 |
| 8 个 vCPU | 16GB |
Mellanox ConnectX-4 和 ConnectX-5 系列适配器上的 SR-IOV。 |
Junos OS 21.2R1 版 |
| 16 个 vCPU | 32 千兆字节 |
Mellanox ConnectX-4 和 ConnectX-5 系列适配器上的 SR-IOV。 |
Junos OS 21.2R1 版 |
您可以通过增加分配给 vSRX 虚拟防火墙的 vCPU 数量和 vRAM 量来扩展 vSRX 虚拟防火墙实例的性能和容量。多核 vSRX 虚拟防火墙会在引导时自动选择适当的 vCPU 和 vRAM 值,以及网卡中的接收方扩展 (RSS) 队列数量。如果分配给 vSRX 虚拟防火墙虚拟机的 vCPU 和 vRAM 设置与当前可用的设置不匹配,则 vSRX 虚拟防火墙将缩减为实例支持的最接近的值。例如,如果 vSRX 虚拟防火墙虚拟机具有 3 个 vCPU 和 8 GB vRAM,则 vSRX 虚拟防火墙将引导至较小的 vCPU 大小,这至少需要 2 个 vCPU。您可以将 vSRX 虚拟防火墙实例纵向扩展到更多数量的 vCPU 和数量的 vRAM,但不能将现有 vSRX 虚拟防火墙实例缩减为较小的设置。
RSS 队列的数量通常与 vSRX 虚拟防火墙实例的数据平面 vCPU 数量匹配。例如,具有 4 个数据平面 vCPU 的 vSRX 虚拟防火墙应具有 4 个 RSS 队列。
vSRX 虚拟防火墙会话容量增加
vSRX 虚拟防火墙解决方案经过优化,可通过增加内存来增加会话数。
由于能够通过增加内存来增加会话数,因此您可以启用 vSRX 虚拟防火墙以:
-
在移动网络中的战略位置提供高度可扩展、灵活和高性能的安全性。
-
提供服务提供商扩展和保护其网络所需的性能。
show security flow session summary | grep maximum运行命令以查看最大会话数。
从 Junos OS 18.4R1 版开始,vSRX 虚拟防火墙实例上支持的流会话数将根据使用的 vRAM 大小而增加。
从 Junos OS 19.2R1 版开始,vSRX 虚拟防火墙 3.0 实例上支持的流会话数将根据使用的 vRAM 大小而增加。
vSRX 虚拟防火墙 3.0 最多支持 28M 个会话。您可以部署内存超过 64G 的 vSRX 虚拟防火墙 3.0,但最大流量会话数仍只能为 28M。
表 2 列出了流会话容量。
| 虚拟CPU |
记忆 |
流会话容量 |
|---|---|---|
| 2 |
4 GB |
0,5 米 |
| 2 |
6 GB |
1 米 |
| 2/5 |
8 千兆字节 |
2 米 |
| 2/5 |
10 千兆字节 |
2 米 |
| 2/5 |
12 千兆字节 |
2,5 米 |
| 2/5 |
14 GB |
3 米 |
| 2/5/9 |
16 千兆字节 |
4 米 |
| 2/5/9 |
20 GB |
6 米 |
| 2/5/9 |
24 千兆字节 |
8 米 |
| 2/5/9 |
28 千兆字节 |
10 米 |
| 2/5/9/17 |
32 千兆字节 |
12 米 |
| 2/5/9/17 |
40 千兆字节 |
16 米 |
| 2/5/9/17 |
48 GB |
20 米 |
| 2/5/9/17 |
56 千兆字节 |
24 米 |
| 2/5/9/17 |
64 GB |
28 米 |
更改历史记录表
功能支持由您使用的平台和版本决定。使用 功能资源管理器 确定您的平台是否支持某个功能。