Anforderungen für die virtuelle vSRX-Firewall auf KVM
Dieser Abschnitt bietet einen Überblick über die Anforderungen für die Bereitstellung einer virtuellen vSRX-Firewall-Instanz auf KVM.
Software-Spezifikationen
In der folgenden Tabelle sind die Spezifikationen für die Systemsoftware bei der Bereitstellung der virtuellen vSRX-Firewall in einer KVM-Umgebung aufgeführt. Die Tabelle beschreibt die Version von Junos OS, in der eine bestimmte Softwarespezifikation für die Bereitstellung der virtuellen vSRX-Firewall auf KVM eingeführt wurde. Sie müssen eine bestimmte Version von Junos OS herunterladen, um bestimmte Funktionen nutzen zu können.
Ein PML-Problem (Page Modification Logging) im Zusammenhang mit dem KVM-Host-Kernel kann dazu führen, dass die virtuelle vSRX-Firewall nicht erfolgreich gestartet werden kann. Wenn dieses Verhalten bei der virtuellen vSRX-Firewall auftritt, empfehlen wir, die PML auf Host-Kernel-Ebene zu deaktivieren. Weitere Informationen zum Deaktivieren der PML als Teil der Aktivierung der verschachtelten Virtualisierung finden Sie unter Vorbereiten Ihres Servers für die vSRX-Installation .
| Merkmale | Spezifikation | Junos OS-Version vorgestellt |
|---|---|---|
| vCPUs/Arbeitsspeicher | 2 vCPU / 4 GB RAM |
Junos OS Version 15.1X49-D15 und Junos OS Version 17.3R1 (virtuelle vSRX-Firewall) |
| 5 vCPU / 8 GB RAM |
Junos OS Version 15.1X49-D70 und Junos OS Version 17.3R1 (virtuelle vSRX-Firewall) |
|
| 9 vCPU / 16 GB RAM |
Junos OS Version 18.4R1 (virtuelle vSRX-Firewall) Junos OS Version 19.1R1 (virtuelle Firewall vSRX 3.0) |
|
| 17 vCPU / 32 GB RAM |
Junos OS Version 18.4R1 (virtuelle vSRX-Firewall) Junos OS Version 19.1R1 (virtuelle Firewall vSRX 3.0) |
|
| Flexible Skalierung der Flow-Session-Kapazität durch einen zusätzlichen vRAM |
NA | Junos OS Version 19.1R1 (virtuelle vSRX-Firewall) Junos OS Version 19.2R1 (virtuelle Firewall vSRX 3.0) |
| Unterstützung für Multicore-Skalierung (Software-RSS) |
NA | Junos OS Version 19.3R1 (nur virtuelle Firewall vSRX 3.0) |
| Reservieren zusätzlicher vCPU-Kerne für die Routing-Engine (virtuelle vSRX-Firewall und virtuelle vSRX-Firewall 3.0) |
NA | |
| Virtio (virtio-net, vhost-net) (virtuelle vSRX-Firewall und virtuelle vSRX-Firewall 3.0) |
NA | |
| Unterstützte Hypervisoren | ||
| Unterstützung für Linux KVM Hypervisor
Anmerkung:
Beginnend mit den hier genannten angegebenen Junos OS-Versionen unterstützen auch alle nachfolgenden Junos OS-Versionen diese RHEL-Versionen und spätere Versionen. |
Ubuntu 14.04.5, 16.04 und 16.10 |
Junos OS Version 18.4R1 |
| Ubuntu 18.04 und 20.04 | Junos OS Version 20.4R1 | |
| Red Hat Enterprise Linux (RHEL) 7.3, 7.6 und 7.7 | Junos OS Version 18.4R1 | |
| Red Hat Enterprise Linux (RHEL) 8.2 | Junos OS Version 19.2R1 | |
| Red Hat Enterprise Linux (RHEL) 9 | Junos OS Version 23.4R1 | |
| CentOS 7.1, 7.2, 7.6 und 7.7 | Junos OS Version 20.4R1 | |
| Weitere Funktionen | ||
| Cloud-init |
NA | |
| Powermode IPSec (PMI) |
NA | |
| Chassis-Cluster |
NA | |
| GTP TEID-basierte Sitzungsverteilung mit Software RSS |
NA | Ja (Junos OS Version 19.3R1 und höher) |
| Antivirus-Scan-Engine auf dem Gerät (Avira) |
NA | Ja (Junos OS Version 19.4R1 und höher) |
| LLDP |
NA | Ja (Junos OS Version 21.1R1 und höher) |
| Junos-Telemetrieschnittstelle |
NA | Ja (Junos OS Version 20.3R1 und höher) |
| Systemvoraussetzungen | ||
| Hardwarebeschleunigung/aktiviertes VMX-CPU-Flag im Hypervisor |
NA | |
| Festplattenspeicher |
16 GB (IDE- oder SCSI-Laufwerke) (virtuelle Firewall vSRX) |
Junos OS Version 15.1X49-D15 und Junos OS Version 17.3R1 |
| 18 GB (virtuelle Firewall vSRX 3.0) |
||
| vNICs-Version | vorgestellt |
|---|---|
| Virtio SA und HA | |
| SR-IOV SA und HA über Intel 82599/X520 Serie | Junos OS Version 15.1X49-D90 und Junos OS Version 17.3R1 |
| SR-IOV SA und HA über Intel X710/XL710/XXV710 Serie | Junos OS Version 15.1X49-D90 |
| SR-IOV SA und HA über Intel E810-Serie | Junos OS Version 21.2R1
Anmerkung:
Ab Junos OS Version 23.2R2 ist nur der ICE-Treiber 1.12.7 für E810 mit vSRX 3.0 kompatibel. Versionen unter 1.12.7 verursachen Kompatibilitätsprobleme und bringen den FPC nicht online. |
| SR-IOV SA und HA über Mellanox ConnectX-3 | Nicht unterstützt |
| SR-IOV SA und HA über Mellanox ConnectX-4/5/6 (nur MLX5-Treiber) | Junos OS Version 18.1R1 (virtuelle vSRX-Firewall) Junos OS Version 21.2R1 und höher auf vSRX Virtual Firewall 3.0 |
| PCI-Passthrough über Intel 82599/X520-Serie | Nicht unterstützt |
| PCI-Passthrough über Intel X710/XL710-Serie | Nicht unterstützt |
| Data Plane Development Kit (DPDK), Version 17.05 |
Junos OS Version 18.2R1 |
| Data Plane Development Kit (DPDK), Version 18.11 Ab Junos OS Version 19.4R1 wird DPDK-Version 18.11 auf der virtuellen vSRX-Firewall unterstützt. Mit dieser Funktion unterstützt die Mellanox Connect Network Interface Card (NIC) auf der virtuellen vSRX-Firewall jetzt OSPF Multicast und VLANs. |
Junos OS Version 19.4R1 |
Data Plane Development Kit (DPDK) Version 20.11 Ab Junos OS Version 21.2R1 haben wir das Data Plane Development Kit (DPDK) von Version 18.11 auf Version 20.11 aktualisiert. Die neue Version unterstützt den ICE Poll Mode Driver (PMD), der die physische Intel E810-Serie 100G NIC-Unterstützung auf der vSRX Virtual Firewall 3.0 ermöglicht. |
Junos OS Version 21.2R1 |
Für eine virtuelle vSRX-Firewall auf KVM-Bereitstellung müssen Sie die hardwarebasierte Virtualisierung auf einem Hostbetriebssystem aktivieren, das einen Prozessor mit Intel Virtualization Technology (VT) enthält. Sie können die CPU-Kompatibilität hier überprüfen: http://www.linux-kvm.org/page/Processor_support
In der folgenden Tabelle sind die Spezifikationen für die virtuelle Firewall-VM vSRX aufgeführt.
Ab Junos OS Version 19.1R1 unterstützt die virtuelle vSRX-Firewall-Instanz Gastbetriebssysteme mit 9 oder 17 vCPUs mit Single-Root-E/A-Virtualisierung über Intel X710/XL710 auf Linux-KVM-Hypervisor für verbesserte Skalierbarkeit und Leistung.
- KVM-Kernel-Empfehlungen für die virtuelle vSRX-Firewall
- Zusätzliche Linux-Pakete für vSRX Virtual Firewall auf KVM
KVM-Kernel-Empfehlungen für die virtuelle vSRX-Firewall
Tabelle 3 listet die empfohlene Linux-Kernel-Version für Ihr Linux-Hostbetriebssystem bei der Bereitstellung der virtuellen vSRX-Firewall auf KVM auf. Die Tabelle beschreibt die Junos OS-Version, in der die Unterstützung für eine bestimmte Linux-Kernelversion eingeführt wurde.
| Linux-Distribution |
Linux-Kernel-Version |
Unterstützte Version von Junos OS |
|---|---|---|
| Centos |
3.10.0.229 Aktualisieren Sie den Linux-Kernel, um die empfohlene Version zu erfassen. |
Junos OS Version 15.1X49-D15 und Junos OS Version 17.3R1 oder höher |
| Ubuntu |
3.16 |
Junos OS Version 15.1X49-D15 und Junos OS Version 17.3R1 oder höher |
| 4.4 |
Junos OS Version 15.1X49-D15 und Junos OS Version 17.3R1 oder höher |
|
| 18.04 | Junos OS Version 20.4R1 oder höher |
|
| 20.04 | Junos OS Version 20.4R1 oder höher |
|
| RHEL |
3.10 |
Junos OS Version 15.1X49-D15 und Junos OS Version 17.3R1 oder höher |
Zusätzliche Linux-Pakete für vSRX Virtual Firewall auf KVM
Tabelle 4 listet die zusätzlichen Pakete auf, die Sie auf Ihrem Linux-Hostbetriebssystem benötigen, um die virtuelle vSRX-Firewall auf KVM auszuführen. Informationen zur Installation dieser Pakete finden Sie in der Dokumentation Ihres Hostbetriebssystems, falls sie auf Ihrem Server nicht vorhanden sind.
| Paket |
Version |
Download-Link |
|---|---|---|
| libvirt |
0.10.0 |
|
| virt-manager (Empfohlen) |
0.10.0 |
Hardware-Spezifikationen
Tabelle 5 listet die Hardwarespezifikationen für den Hostcomputer auf, auf dem die virtuelle vSRX-Firewall-VM ausgeführt wird.
Bestandteil |
Spezifikation |
|---|---|
Host-Prozessortyp |
Intel x86_64 Multi-Core-CPU
Anmerkung:
DPDK erfordert Intel Virtualization VT-x/VT-d-Unterstützung in der CPU. Weitere Informationen finden Sie unter Informationen zur Intel-Virtualisierungstechnik. |
Unterstützung der physischen Netzwerkkarte für virtuelle vSRX-Firewall und virtuelle vSRX-Firewall 3.0 |
Anmerkung:
Wenn Sie SR-IOV mit den Adaptern der Mellanox ConnectX-3- oder ConnectX-4-Familie verwenden, installieren Sie ggf. auf dem Linux-Host den neuesten MLNX_OFED Linux-Treiber. Weitere Informationen finden Sie unter Mellanox OpenFabrics Enterprise Distribution für Linux (MLNX_OFED).
Anmerkung:
Sie müssen die Intel VT-d-Erweiterungen aktivieren, um Hardwareunterstützung für die direkte Zuweisung physischer Geräte pro Gast bereitzustellen. Weitere Informationen finden Sie unter Konfigurieren von SR-IOV und PCI auf KVM. |
Unterstützung für physische Netzwerkkarten für vSRX Virtual Firewall 3.0 |
Unterstützt SR-IOV auf Intel X710/XL710/XXV710 und Intel E810. |
Best Practices zur Verbesserung der Leistung der virtuellen vSRX-Firewall
Überprüfen Sie die folgenden Vorgehensweisen, um die Leistung der virtuellen vSRX-Firewall zu verbessern.
NUMA-Knoten
Die x86-Serverarchitektur besteht aus mehreren Sockets und mehreren Kernen innerhalb eines Sockets. Jeder Socket verfügt über Speicher, der zum Speichern von Paketen während E/A-Übertragungen von der Netzwerkkarte zum Host verwendet wird. Um Pakete effizient aus dem Arbeitsspeicher lesen zu können, sollten sich Gastanwendungen und zugehörige Peripheriegeräte (z. B. die Netzwerkkarte) in einem einzigen Socket befinden. Eine Strafe ist mit dem Spannen von CPU-Sockeln für Speicherzugriffe verbunden, was zu einer nicht deterministischen Leistung führen kann. Für die virtuelle vSRX-Firewall empfehlen wir, dass sich alle vCPUs für die virtuelle vSRX-Firewall-VM im selben NUMA-Knoten (Physical Non-Uniform Memory Access) befinden, um eine optimale Leistung zu erzielen.
Die Packet Forwarding Engine (PFE) auf der virtuellen vSRX-Firewall reagiert nicht mehr, wenn die Topologie der NUMA-Knoten im Hypervisor so konfiguriert ist, dass die vCPUs der Instanz auf mehrere Host-NUMA-Knoten verteilt werden. Für die virtuelle vSRX-Firewall müssen Sie sicherstellen, dass sich alle vCPUs auf demselben NUMA-Knoten befinden.
Es wird empfohlen, die virtuelle vSRX-Firewall-Instanz an einen bestimmten NUMA-Knoten zu binden, indem Sie die NUMA-Knotenaffinität festlegen. Die NUMA-Knotenaffinität schränkt die VM-Ressourcenplanung der virtuellen vSRX-Firewall auf den angegebenen NUMA-Knoten ein.
Zuordnen virtueller Schnittstellen zu einer virtuellen vSRX-Firewall-VM
So bestimmen Sie, welche virtuellen Schnittstellen auf Ihrem Linux-Hostbetriebssystem einer virtuellen vSRX-Firewall-VM zugeordnet sind:
Verwenden Sie den
virsh listBefehl auf Ihrem Linux-Hostbetriebssystem, um die ausgeführten VMs aufzulisten.hostOS# virsh list
Id Name State ---------------------------------------------------- 9 centos1 running 15 centos2 running 16 centos3 running 48 vsrx running 50 1117-2 running 51 1117-3 running
-
Verwenden Sie den
virsh domiflist vsrx-nameBefehl, um die virtuellen Schnittstellen auf dieser virtuellen vSRX-Firewall-VM aufzulisten.hostOS# virsh domiflist vsrx
Interface Type Source Model MAC ------------------------------------------------------- vnet1 bridge brem2 virtio 52:54:00:8f:75:a5 vnet2 bridge br1 virtio 52:54:00:12:37:62 vnet3 bridge brconnect virtio 52:54:00:b2:cd:f4
Anmerkung:Die erste virtuelle Schnittstelle ist der fxp0-Schnittstelle in Junos OS zugeordnet.
Schnittstellenzuordnung für virtuelle vSRX-Firewall auf KVM
Jeder Netzwerkadapter, der für eine virtuelle vSRX-Firewall definiert ist, wird einer bestimmten Schnittstelle zugeordnet, je nachdem, ob es sich bei der virtuellen vSRX-Firewall-Instanz um eine eigenständige VM oder um eine aus einem Clusterpaar für hohe Verfügbarkeit handelt. Die Schnittstellennamen und -zuordnungen in der virtuellen vSRX-Firewall sind in Tabelle 6 und Tabelle 7 dargestellt.
Beachten Sie Folgendes:
Im Standalone-Modus:
FXP0 ist die Out-of-Band-Verwaltungsschnittstelle.
GE-0/0/0 ist die erste Schnittstelle für Datenverkehr (Umsatz).
Im Cluster-Modus:
FXP0 ist die Out-of-Band-Verwaltungsschnittstelle.
EM0 ist die Clustersteuerungsverbindung für beide Knoten.
Jede der Datenverkehrsschnittstellen kann als Fabric-Links angegeben werden, z. B. ge-0/0/0 für fab0 auf Knoten 0 und ge-7/0/0 für fab1 auf Knoten 1.
Tabelle 6 zeigt die Schnittstellennamen und Zuordnungen für eine eigenständige virtuelle vSRX-Firewall-VM.
Netzwerkadapter |
Schnittstellenname in Junos OS für virtuelle vSRX-Firewall |
|---|---|
1 |
fxp0 |
2 |
GE-0/0/0 |
3 |
GE-0/0/1 |
4 |
GE-0/0/2 |
5 |
GE-0/0/3 |
6 |
GE-0/0/4 |
7 |
GE-0/0/5 |
8 |
GE-0/0/6 |
Tabelle 7 zeigt die Schnittstellennamen und -zuordnungen für ein Paar virtueller vSRX-Firewall-VMs in einem Cluster (Knoten 0 und Knoten 1).
Netzwerkadapter |
Schnittstellenname in Junos OS für virtuelle vSRX-Firewall |
|---|---|
1 |
fxp0 (Knoten 0 und 1) |
2 |
em0 (Knoten 0 und 1) |
3 |
GE-0/0/0 (Knoten 0)GE-7/0/0 (Knoten 1) |
4 |
GE-0/0/1 (Knoten 0)GE-7/0/1 (Knoten 1) |
5 |
GE-0/0/2 (Knoten 0)GE-7/0/2 (Knoten 1) |
6 |
GE-0/0/3 (Knoten 0)GE-7/0/3 (Knoten 1) |
7 |
GE-0/0/4 (Knoten 0)GE-7/0/4 (Knoten 1) |
8 |
GE-0/0/5 (Knoten 0)GE-7/0/5 (Knoten 1) |
Standardeinstellungen der virtuellen vSRX-Firewall auf KVM
Für die virtuelle vSRX-Firewall sind die folgenden grundlegenden Konfigurationseinstellungen erforderlich:
Schnittstellen müssen IP-Adressen zugewiesen werden.
Schnittstellen müssen an Zonen gebunden sein.
Richtlinien müssen zwischen den Zonen konfiguriert werden, um Datenverkehr zuzulassen oder zu verweigern.
In Tabelle 8 sind die werkseitigen Standardeinstellungen für Sicherheitsrichtlinien auf der virtuellen vSRX-Firewall aufgeführt.
Quellgebiet |
Zielzone |
Politische Maßnahmen |
|---|---|---|
vertrauen |
Unglaubwürdigkeit |
erlauben |
vertrauen |
vertrauen |
erlauben |
Unglaubwürdigkeit |
vertrauen |
leugnen |