Verstehen der virtuellen Firewall vSRX mit Contrail
In diesem Abschnitt erhalten Sie einen Überblick über die virtuelle vSRX-Firewall auf Contrail
Virtuelle Firewall vSRX auf Juniper Networks Contrail
Juniper Networks Contrail ist eine offene, standardbasierte Softwarelösung, die Netzwerkvirtualisierung und Serviceautomatisierung für föderierte Cloud-Netzwerke bietet. Es bietet Self-Service-Bereitstellung, verbessert die Fehlerbehebung und Diagnose im Netzwerk und ermöglicht Serviceverkettung für dynamische Anwendungsumgebungen in den Anwendungsfällen virtual private Cloud (VPC), Verwaltete Infrastructure-as-a-Service (IaaS) und NFV (Networks Functions Virtualization).
Sie können Contrail mit offenen Cloud-Orchestrierungssystemen wie OpenStack oder CloudStack verwenden, um Instanzen der virtuellen vSRX-Firewall in einer virtuellen Umgebung zu instanziieren. Contrail mit der virtuellen Firewall vSRX bietet Netzwerkservices wie Firewall, NAT und Load Balancing für virtuelle Netzwerke.
Die virtuelle Firewall vSRX auf einem KVM-Hypervisor erfordert, dass Sie hardwarebasierte Virtualisierung auf einem Hostbetriebssystem ermöglichen, das einen Intel Virtualization Technology (VT)-fähigen Prozessor enthält.
Virtuelle Firewall vSRX – Skalierbare Leistung
Tabelle 1 zeigt die Leistung der virtuellen vSRX-Firewall, die auf der Anzahl der vCPUs und vRAM auf eine virtuelle vSRX-Firewall-VM angewendet wird, zusammen mit der Junos OS-Version, in der eine bestimmte vSRX Virtual Firewall-Softwarespezifikation eingeführt wurde.
vCPUs |
Vram |
Nics |
Eingeführte Version |
|---|---|---|---|
2 vCPUs |
4 GB |
|
Junos OS-Version 15.1X49-D20 |
5 vCPUs |
8 GB |
|
Junos OS Version 15.1X49-D70 und Junos OS Version 17.3R1 |
Sie können die Leistung und Kapazität einer virtuellen vSRX-Firewall-Instanz skalieren, indem Sie die Anzahl der vCPUs und die Anzahl der der virtuellen vSRX-Firewall zugewiesenen vRAM erhöhen. Die virtuelle Multi-Core-Firewall vSRX wählt beim Start automatisch die entsprechenden vCPUs- und vRAM-Werte sowie die Anzahl der receive-side Scaling (RSS)-Warteschlangen in der Netzwerkkarte aus. Wenn die vCPU- und vRAM-Einstellungen, die einer virtuellen vSRX-Firewall-VM zugewiesen wurden, nicht mit den derzeit verfügbaren Einstellungen übereinstimmen, wird die virtuelle vSRX-Firewall auf den am nächsten unterstützten Wert für die Instanz skaliert. Wenn beispielsweise eine virtuelle vSRX-Firewall-VM 3 vCPUs und 8 GB vRAM hat, startet die virtuelle vSRX-Firewall auf der kleineren vCPU-Größe, die mindestens 2 vCPUs erfordert. Sie können eine virtuelle vSRX-Firewall-Instanz auf eine höhere Anzahl von vCPUs und vRAM skalieren, aber Sie können eine vorhandene virtuelle vSRX-Firewall-Instanz nicht auf eine kleinere Einstellung skalieren.
Die Anzahl der RSS-Warteschlangen entspricht in der Regel der Anzahl der Data Plane-vCPUs einer virtuellen vSRX-Firewall-Instanz. Beispielsweise sollte eine virtuelle vSRX-Firewall mit 4 Data Plane-vCPUs 4 RSS-Warteschlangen haben.