Verstehen der virtuellen vSRX-Firewall mit KVM
Dieser Abschnitt bietet einen Überblick über die virtuelle vSRX-Firewall auf KVM.
Virtuelle vSRX-Firewall auf KVM
Der Linux-Kernel verwendet die Kernel-basierte virtuelle Maschine (KVM) als Virtualisierungsinfrastruktur. KVM ist Open-Source-Software, mit der Sie mehrere virtuelle Maschinen (VMs) erstellen und Sicherheits- und Netzwerk-Appliances installieren können.
Zu den Grundkomponenten von KVM gehören:
Ein ladbares Kernelmodul, das im Linux-Kernel enthalten ist und die grundlegende Virtualisierungsinfrastruktur bereitstellt
Ein prozessorspezifisches Modul
Wenn die KVM-Software in den Linux-Kernel geladen wird, fungiert sie als Hypervisor. KVM unterstützt Mehrfachmandantenfähigkeit und ermöglicht es Ihnen, mehrere virtuelle vSRX-Firewall-VMs auf dem Hostbetriebssystem auszuführen. KVM verwaltet und teilt die Systemressourcen zwischen dem Hostbetriebssystem und den mehreren virtuellen vSRX-Firewall-VMs.
Für die virtuelle vSRX-Firewall müssen Sie die hardwarebasierte Virtualisierung auf einem Host-Betriebssystem aktivieren, das einen VT-fähigen Prozessor (Intel Virtualization Technology) enthält.
Abbildung 1 veranschaulicht die grundlegende Struktur einer virtuellen vSRX-Firewall-VM auf einem Ubuntu-Server.
Virtuelle Firewall vSRX – Skalierung der Leistung
Tabelle 1 zeigt die Leistung der virtuellen vSRX-Firewall bei der Bereitstellung auf KVM, basierend auf der Anzahl der vCPUs und des vRAM, die auf eine virtuelle vSRX-Firewall-VM angewendet werden, zusammen mit der Junos OS-Version, in der eine bestimmte Softwarespezifikation für die virtuelle vSRX-Firewall eingeführt wurde.
vCPUs |
Vram |
Nics |
Release vorgestellt |
|---|---|---|---|
2 vCPUs |
4 GB |
|
Junos OS Version 15.1X49-D15 und Junos OS Version 17.3R1 |
5 vCPUs |
8 GB |
|
Junos OS Version 15.1X49-D70 und Junos OS Version 17.3R1 |
5 vCPUs |
8 GB |
|
Junos OS Version 15.1X49-D90 und Junos OS Version 17.3R1 |
| 1 vCPU | 4 GB |
SR-IOV bei den Adaptern der Mellanox ConnectX-4- und ConnectX-5-Familie. |
Junos OS Version 21.2R1 |
| 4 vCPUs | 8 GB |
SR-IOV bei den Adaptern der Mellanox ConnectX-4- und ConnectX-5-Familie. |
Junos OS Version 21.2R1 |
| 8 vCPUs | 16 GB |
SR-IOV bei den Adaptern der Mellanox ConnectX-4- und ConnectX-5-Familie. |
Junos OS Version 21.2R1 |
| 16 vCPUs | 32 GB |
SR-IOV bei den Adaptern der Mellanox ConnectX-4- und ConnectX-5-Familie. |
Junos OS Version 21.2R1 |
Sie können die Leistung und Kapazität einer virtuellen vSRX-Firewall-Instanz skalieren, indem Sie die Anzahl der vCPUs und die Menge an vRAM erhöhen, die der virtuellen vSRX-Firewall zugewiesen sind. Die virtuelle Multi-Core-vSRX-Firewall wählt beim Booten automatisch die entsprechenden vCPUs und vRAM-Werte sowie die Anzahl der RSS-Warteschlangen (Receive Side Scaling) in der Netzwerkkarte aus. Wenn die vCPU- und vRAM-Einstellungen, die einer VM der virtuellen vSRX-Firewall zugewiesen sind, nicht mit den derzeit verfügbaren Einstellungen übereinstimmen, wird die virtuelle vSRX-Firewall auf den nächsten unterstützten Wert für die Instanz herunterskaliert. Wenn beispielsweise eine virtuelle vSRX-Firewall-VM über 3 vCPUs und 8 GB vRAM verfügt, startet die virtuelle vSRX-Firewall mit der kleineren vCPU-Größe, für die mindestens 2 vCPUs erforderlich sind. Sie können eine virtuelle vSRX-Firewall-Instanz auf eine höhere Anzahl von vCPUs und eine höhere vRAM-Menge hochskalieren, aber Sie können eine vorhandene virtuelle vSRX-Firewall-Instanz nicht auf eine kleinere Einstellung herunterskalieren.
Die Anzahl der RSS-Warteschlangen stimmt in der Regel mit der Anzahl der Data Plane-vCPUs einer virtuellen vSRX-Firewall-Instanz überein. Beispielsweise sollte eine virtuelle vSRX-Firewall mit 4 vCPUs auf Datenebene über 4 RSS-Warteschlangen verfügen.
Erhöhung der Sitzungskapazität der virtuellen vSRX-Firewall
Die virtuelle Firewall-Lösung vSRX ist optimiert, um die Sitzungszahlen durch Vergrößerung des Arbeitsspeichers zu erhöhen.
Mit der Möglichkeit, die Sitzungsanzahl durch Vergrößerung des Arbeitsspeichers zu erhöhen, können Sie die virtuelle vSRX-Firewall für Folgendes aktivieren:
-
Bieten Sie hochskalierbare, flexible und leistungsstarke Sicherheit an strategischen Positionen im Mobilfunknetz.
-
Stellen Sie die Leistung bereit, die Service Provider für die Skalierung und den Schutz ihrer Netzwerke benötigen.
Führen Sie den show security flow session summary | grep maximum Befehl aus, um die maximale Anzahl von Sitzungen anzuzeigen.
Ab Junos OS Version 18.4R1 wird die Anzahl der Flow-Sitzungen, die auf einer vSRX Virtual Firewall-Instanz unterstützt werden, basierend auf der verwendeten vRAM-Größe erhöht.
Ab Junos OS Version 19.2R1 wird die Anzahl der Flow-Sitzungen, die auf einer vSRX Virtual Firewall 3.0-Instanz unterstützt werden, basierend auf der verwendeten vRAM-Größe erhöht.
Maximal 28 Mio. Sitzungen werden von der virtuellen vSRX Firewall 3.0 unterstützt. Sie können vSRX Virtual Firewall 3.0 mit mehr als 64 GB Arbeitsspeicher bereitstellen, aber die maximalen Flow-Sitzungen können immer noch nur 28 MB betragen.
In Tabelle 2 ist die Kapazität der Flow-Sitzung aufgeführt.
| vCPUs |
Speicher |
Kapazität von Flow-Sitzungen |
|---|---|---|
| 2 |
4 GB |
0,5 Mio. |
| 2 |
6 GB |
1 Mio. |
| 2/5 |
8 GB |
2 M |
| 2/5 |
10 GB |
2 M |
| 2/5 |
12 GB |
2,5 Mio. |
| 2/5 |
14 GB |
3 M |
| 2/5/9 |
16 GB |
4 M |
| 2/5/9 |
20 GB |
6 M |
| 2/5/9 |
24 GB |
8 M |
| 2/5/9 |
28 GB |
10 M |
| 2/5/9/17 |
32 GB |
12 M |
| 2/5/9/17 |
40 GB |
16 M |
| 2/5/9/17 |
48 GB |
20 M |
| 2/5/9/17 |
56 GB |
24 M |
| 2/5/9/17 |
64 GB |
28 M |
Tabelle "Änderungshistorie"
Die Funktionsunterstützung hängt von der Plattform und der Version ab, die Sie verwenden. Verwenden Sie den Feature-Explorer , um festzustellen, ob ein Feature auf Ihrer Plattform unterstützt wird.