Anforderungen für die virtuelle Firewall vSRX mit KVM
Dieser Abschnitt enthält einen Überblick über die Anforderungen für die Bereitstellung einer Virtuelle Firewall vSRX-Instanz auf KVM.
Software-Spezifikationen
In der folgenden Tabelle sind die Spezifikationen der Systemsoftware für die Bereitstellung der virtuellen Firewall vSRX in einer KVM-Umgebung aufgeführt. Die Tabelle gibt einen Überblick über die Junos OS-Version, in der eine bestimmte Softwarespezifikation für die Bereitstellung der virtuellen Firewall vSRX auf KVM eingeführt wurde. Sie müssen eine bestimmte Version von Junos OS herunterladen, um bestimmte Funktionen nutzen zu können.
Ein PML-Problem (Page Modification Logging) im Zusammenhang mit dem KVM-Host-Kernel verhindert möglicherweise, dass die virtuelle Firewall vSRX erfolgreich gestartet werden kann. Wenn dieses Verhalten bei der Virtuelle Firewall vSRX auftritt, empfehlen wir, die PML auf Host-Kernel-Ebene zu deaktivieren. Weitere Informationen zum Deaktivieren der PML im Rahmen der Aktivierung der verschachtelten Virtualisierung finden Sie unter Vorbereiten des Servers für die vSRX-Installation .
| Funktionsspezifikation | Junos OS-Version vorgestellt | |
|---|---|---|
| vCPUs/Arbeitsspeicher | 2 vCPU / 4 GB RAM |
Junos OS Version 15.1X49-D15 und Junos OS Version 17.3R1 (Virtuelle Firewall vSRX) |
| 5 vCPU / 8 GB RAM |
Junos OS Version 15.1X49-D70 und Junos OS Version 17.3R1 (Virtuelle Firewall vSRX) |
|
| 9 vCPU / 16 GB RAM |
Junos OS Version 18.4R1 (Virtuelle Firewall vSRX) Junos OS Version 19.1R1 (Virtuelle Firewall vSRX 3.0) |
|
| 17 vCPU / 32 GB RAM |
Junos OS Version 18.4R1 (Virtuelle Firewall vSRX) Junos OS Version 19.1R1 (Virtuelle Firewall vSRX 3.0) |
|
| Flexible Skalierung der Flow-Session-Kapazität durch einen zusätzlichen vRAM |
NA | Junos OS Version 19.1R1 (Virtuelle Firewall vSRX) Junos OS Version 19.2R1 (Virtuelle Firewall vSRX 3.0) |
| Unterstützung für Multicore-Skalierung (Software-RSS) |
NA | Junos OS Version 19.3R1 (nur Virtuelle Firewall vSRX 3.0) |
| Reservieren zusätzlicher vCPU-Kerne für die Routing-Engine (Virtuelle Firewall vSRX und Virtuelle Firewall vSRX 3.0) |
NA | |
| Virtio (virtio-net, vhost-net) (Virtuelle Firewall vSRX und Virtuelle Firewall vSRX 3.0) |
NA | |
| Unterstützte Hypervisoren | ||
| Linux KVM Hypervisor-Unterstützung
Anmerkung:
Beginnend mit den angegebenen Junos OS-Versionen, die hier erwähnt werden, unterstützen alle nachfolgenden Junos OS-Versionen auch diese RHEL-Versionen und spätere Versionen. |
Ubuntu 14.04.5, 16.04 und 16.10 |
Junos OS Version 18.4R1 |
| Ubuntu 18.04 und 20.04 | Junos OS Version 20.4R1 | |
| Red Hat Enterprise Linux (RHEL) 7.3, 7.6 und 7.7 | Junos OS Version 18.4R1 | |
| Red Hat Enterprise Linux (RHEL) 8.2 | Junos OS Version 19.2R1 | |
| Red Hat Enterprise Linux (RHEL) 9 | Junos OS Version 23.4R1 | |
| CentOS 7.1, 7.2, 7.6 und 7.7 | Junos OS Version 20.4R1 | |
| Weitere Funktionen | ||
| Cloud-init |
NA | Ja (Junos OS Version 15.1X49-D100 und Junos OS Version 17.4R1 höher) |
| Powermode IPSec (PMI) |
NA | |
| Gehäuse-Cluster |
NA | Ja (Junos OS 12.1X46-D10 oder höher) |
| GTP TEID-basierte Sitzungsverteilung über Software-RSS |
NA | Ja (Junos OS Version 19.3R1 und höher) |
| Antivirus-Scan-Engine auf dem Gerät (Avira) |
NA | Ja (Junos OS Version 19.4R1 und höher) |
| LLDP |
NA | Ja (Junos OS Version 21.1R1 und höher) |
| Junos Telemetry Interface |
NA | Ja (Junos OS Version 20.3R1 und höher) |
| Systemanforderungen | ||
| Flag für Hardwarebeschleunigung/aktivierte VMX-CPU im Hypervisor |
NA | |
| Festplattenspeicher |
16 GB (IDE- oder SCSI-Laufwerke) (Virtuelle Firewall vSRX) |
Junos OS Version 15.1X49-D15 und Junos OS Version 17.3R1 |
| 18 GB (Virtuelle Firewall vSRX 3.0) |
||
| vNICs | Version vorgestellt |
|---|---|
| Virtio SA und HA | |
| SR-IOV SA und HA über Intel 82599/X520 Serie | Junos OS Version 15.1X49-D90 und Junos OS Version 17.3R1 |
| SR-IOV SA und HA über Intel X710/XL710/XXV710 Serie | Junos OS-Version 15.1X49-D90 |
| SR-IOV SA und HA über Intel E810-Serie | Junos OS-Version 21.2R1
Anmerkung:
Ab Junos OS Version 23.2R2 ist nur der ICE-Treiber 1.12.7 mit E810 mit vSRX 3.0 kompatibel. Version unter 1.12.7 verursacht Kompatibilitätsprobleme und ruft die FPC nicht online auf. |
| SR-IOV SA und HA über Mellanox ConnectX-3 | Nicht unterstützt |
| SR-IOV SA und HA über Mellanox ConnectX-4/5/6 (nur MLX5-Treiber) | Junos OS Version 18.1R1 (Virtuelle Firewall vSRX) Junos OS Version 21.2R1 höher auf Virtuelle Firewall vSRX 3.0 |
| PCI-Passthrough über Intel 82599/X520-Serie | Nicht unterstützt |
| PCI-Passthrough über Intel X710/XL710-Serie | Nicht unterstützt |
| Data Plane Development Kit (DPDK) Version 17.05 |
Junos OS Version 18.2R1 |
| Data Plane Development Kit (DPDK) Version 18.11 Ab Junos OS Version 19.4R1 wird DPDK Version 18.11 auf der Virtuellen Firewall vSRX unterstützt. Mit dieser Funktion unterstützt die Mellanox Connect Netzwerkkarte (NIC) der virtuellen Firewall vSRX jetzt OSPF, Multicast und VLANs. |
Junos OS Version 19.4R1 |
Data Plane Development Kit (DPDK) Version 20.11 Ab Junos OS Version 21.2R1 haben wir das Data Plane Development Kit (DPDK) von Version 18.11 auf Version 20.11 aktualisiert. Die neue Version unterstützt den ICE Poll Mode Driver (PMD), der die physische Unterstützung von Intel E810 Serie 100G NIC auf der Virtuelle Firewall vSRX 3.0 ermöglicht. |
Junos OS-Version 21.2R1 |
Für die Bereitstellung einer virtuellen Firewall vSRX auf KVM müssen Sie die hardwarebasierte Virtualisierung auf einem Host-Betriebssystem aktivieren, das einen Prozessor mit Intel-Virtualisierungstechnologie (VT) enthält. Sie können die CPU-Kompatibilität hier überprüfen: http://www.linux-kvm.org/page/Processor_support
In der folgenden Tabelle sind die Spezifikationen für die virtuelle Virtuelle Firewall vSRX VM aufgeführt.
Ab Junos OS Version 19.1R1 unterstützt die virtuelle Firewall vSRX-Instanz Gastbetriebssysteme mit 9 oder 17 vCPUs mit Single-Root-E/A-Virtualisierung über Intel X710/XL710 auf Linux KVM-Hypervisor für verbesserte Skalierbarkeit und Leistung.
- KVM-Kernel-Empfehlungen für die virtuelle Firewall vSRX
- Zusätzliche Linux-Pakete für die virtuelle Firewall vSRX auf KVM
KVM-Kernel-Empfehlungen für die virtuelle Firewall vSRX
Tabelle 3 listet die empfohlene Linux-Kernel-Version für Ihr Linux-Hostbetriebssystem bei der Bereitstellung der virtuellen Firewall vSRX auf KVM auf. Die Tabelle gibt einen Überblick über die Junos OS-Version, in der die Unterstützung für eine bestimmte Linux-Kernelversion eingeführt wurde.
| Linux-Distribution |
Linux-Kernel-Version |
Unterstützte Junos OS-Version |
|---|---|---|
| Centos |
3.10.0.229 Aktualisieren Sie den Linux-Kernel, um die empfohlene Version zu erhalten. |
Junos OS Version 15.1X49-D15 und Junos OS Version 17.3R1 oder höher |
| Ubuntu |
3.16 |
Junos OS Version 15.1X49-D15 und Junos OS Version 17.3R1 oder höher |
| 4.4 |
Junos OS Version 15.1X49-D15 und Junos OS Version 17.3R1 oder höher |
|
| 18.04 | Junos OS Version 20.4R1 oder höher |
|
| 20.04 | Junos OS Version 20.4R1 oder höher |
|
| RHEL |
3.10 |
Junos OS Version 15.1X49-D15 und Junos OS Version 17.3R1 oder höher |
Zusätzliche Linux-Pakete für die virtuelle Firewall vSRX auf KVM
Tabelle 4 listet die zusätzlichen Pakete auf, die Sie auf Ihrem Linux-Hostbetriebssystem benötigen, um die virtuelle Firewall vSRX auf KVM auszuführen. In der Dokumentation Ihres Hostbetriebssystems erfahren Sie, wie Sie diese Pakete installieren, wenn sie nicht auf Ihrem Server vorhanden sind.
| Paket |
Version |
Download-Link |
|---|---|---|
| libvirt |
0.10.0 |
|
| virt-manager (Empfohlen) |
0.10.0 |
Hardware-Spezifikationen
Tabelle 5 listet die Hardwarespezifikationen für die Host-Maschine auf, auf der die virtuelle Virtuelle Firewall vSRX-VM ausgeführt wird.
Bestandteil |
Spezifikation |
|---|---|
Hostprozessortyp |
Intel x86_64 Multi-Core-CPU
Anmerkung:
DPDK erfordert Intel Virtualization VT-x/VT-d-Unterstützung in der CPU. Weitere Informationen finden Sie unter Informationen zur Intel Virtualisierungstechnik. |
Unterstützung physischer Netzwerkkarten für Virtuelle Firewall vSRX und Virtuelle Firewall vSRX 3.0 |
Anmerkung:
Wenn Sie SR-IOV mit den Mellanox ConnectX-3- oder ConnectX-4-Adaptern verwenden, installieren Sie ggf. auf dem Linux-Host den neuesten MLNX_OFED Linux-Treiber.
Anmerkung:
Sie müssen die Intel VT-d-Erweiterungen aktivieren, um Hardwareunterstützung für die direkte Zuweisung physischer Geräte pro Gast bereitzustellen. Weitere Informationen finden Sie unter Konfigurieren von SR-IOV und PCI in KVM. |
Physische NIC-Unterstützung für Virtuelle Firewall vSRX 3.0 |
Unterstützt SR-IOV auf Intel X710/XL710/XXV710 und Intel E810. |
Best Practices zur Verbesserung der Leistung der virtuellen Firewall vSRX
Überprüfen Sie die folgenden Vorgehensweisen, um die Leistung der virtuellen Firewall vSRX zu verbessern.
NUMA-Knoten
Die x86-Serverarchitektur besteht aus mehreren Sockets und mehreren Kernen innerhalb eines Sockets. Jeder Socket verfügt über einen Speicher, der zum Speichern von Paketen während E/A-Übertragungen von der Netzwerkkarte zum Host verwendet wird. Um Pakete effizient aus dem Arbeitsspeicher lesen zu können, sollten sich Gastanwendungen und zugehörige Peripheriegeräte (z. B. die Netzwerkkarte) in einem einzigen Socket befinden. Eine Abstrafung ist mit dem Spanning von CPU-Sockeln für Speicherzugriffe verbunden, was zu einer nicht deterministischen Leistung führen kann. Für die Virtuelle Firewall vSRX empfehlen wir, dass sich alle vCPUs für die VM der Virtuelle Firewall vSRX im selben NUMA-Knoten (Physical Non-Uniform Memory Access) befinden, um eine optimale Leistung zu erzielen.
Die Packet Forwarding Engine (PFE) auf der Virtuelle Firewall vSRX reagiert nicht mehr, wenn die NUMA-Knotentopologie im Hypervisor so konfiguriert ist, dass die vCPUs der Instanz auf mehrere Host-NUMA-Knoten verteilt werden. Für die virtuelle Firewall vSRX müssen Sie sicherstellen, dass sich alle vCPUs auf demselben NUMA-Knoten befinden.
Es wird empfohlen, die virtuelle Firewall vSRX-Instanz an einen bestimmten NUMA-Knoten zu binden, indem Sie die NUMA-Knotenaffinität festlegen. Die NUMA-Knotenaffinität schränkt die Ressourcenplanung für Virtuelle Firewall vSRX VMs auf den angegebenen NUMA-Knoten ein.
Zuordnen virtueller Schnittstellen zu einer virtuellen Virtuelle Firewall vSRX
So bestimmen Sie, welche virtuellen Schnittstellen auf Ihrem Linux-Hostbetriebssystem einer virtuellen Virtuelle Firewall vSRX-VM zugeordnet sind:
Verwenden Sie den
virsh listBefehl auf Ihrem Linux-Hostbetriebssystem, um die ausgeführten VMs aufzulisten.hostOS# virsh list
Id Name State ---------------------------------------------------- 9 centos1 running 15 centos2 running 16 centos3 running 48 vsrx running 50 1117-2 running 51 1117-3 running
-
Verwenden Sie den
virsh domiflist vsrx-nameBefehl, um die virtuellen Schnittstellen auf dieser virtuellen Virtuelle Firewall vSRX-VM aufzulisten.hostOS# virsh domiflist vsrx
Interface Type Source Model MAC ------------------------------------------------------- vnet1 bridge brem2 virtio 52:54:00:8f:75:a5 vnet2 bridge br1 virtio 52:54:00:12:37:62 vnet3 bridge brconnect virtio 52:54:00:b2:cd:f4
Anmerkung:Die erste virtuelle Schnittstelle wird der fxp0-Schnittstelle in Junos OS zugeordnet.
Schnittstellenzuordnung für Virtuelle Firewall vSRX auf KVM
Jeder Netzwerkadapter, der für eine virtuelle Firewall vSRX definiert ist, wird einer bestimmten Schnittstelle zugeordnet, je nachdem, ob es sich bei der Instanz der virtuellen Firewall vSRX um eine eigenständige VM oder um eine Instanz eines Clusterpaars für hohe Verfügbarkeit handelt. Die Schnittstellennamen und -zuordnungen in der virtuellen Firewall vSRX sind in Tabelle 6 und Tabelle 7 aufgeführt.
Beachten Sie Folgendes:
Im Standalone-Modus:
FXP0 ist die Out-of-Band-Managementschnittstelle.
GE-0/0/0 ist die erste Datenverkehrsschnittstelle (Umsatzschnittstelle).
Im Cluster-Modus:
FXP0 ist die Out-of-Band-Managementschnittstelle.
EM0 ist die Cluster-Steuerverbindung für beide Knoten.
Jede der Datenverkehrsschnittstellen kann als Fabric-Links angegeben werden, z. B. ge-0/0/0 für Fab0 auf Knoten 0 und ge-7/0/0 für Fab1 auf Knoten 1.
Tabelle 6 zeigt die Schnittstellennamen und -zuordnungen für eine eigenständige virtuelle Virtuelle Firewall vSRX.
Netzwerkadapter |
Schnittstellenname in Junos OS für Virtuelle Firewall vSRX |
|---|---|
1 |
fxp0-KARTON |
2 |
GE-0/0/0 |
3 |
GE-0/0/1 |
4 |
GE-0/0/2 |
5 |
GE-0/0/3 |
6 |
GE-0/0/4 |
7 |
GE-0/0/5 |
8 |
GE-0/0/6 |
Tabelle 7 zeigt die Schnittstellennamen und -zuordnungen für ein Paar virtuelle Firewall vSRX-VMs in einem Cluster (Knoten 0 und Knoten 1).
Netzwerkadapter |
Schnittstellenname in Junos OS für Virtuelle Firewall vSRX |
|---|---|
1 |
fxp0 (Knoten 0 und 1) |
2 |
EM0 (Knoten 0 und 1) |
3 |
GE-0/0/0 (Knoten 0)GE-7/0/0 (Knoten 1) |
4 |
GE-0/0/1 (Knoten 0)GE-7/0/1 (Knoten 1) |
5 |
GE-0/0/2 (Knoten 0)GE-7/0/2 (Knoten 1) |
6 |
GE-0/0/3 (Knoten 0)GE-7/0/3 (Knoten 1) |
7 |
GE-0/0/4 (Knoten 0)GE-7/0/4 (Knoten 1) |
8 |
GE-0/0/5 (Knoten 0)GE-7/0/5 (Knoten 1) |
Virtuelle Firewall vSRX Standardeinstellungen für KVM
Für die Virtuelle Firewall vSRX sind die folgenden grundlegenden Konfigurationseinstellungen erforderlich:
Schnittstellen müssen IP-Adressen zugewiesen werden.
Schnittstellen müssen an Zonen gebunden sein.
Richtlinien müssen zwischen den Zonen konfiguriert werden, um Datenverkehr zuzulassen oder abzulehnen.
Tabelle 8 listet die werkseitigen Standardeinstellungen für Sicherheitsrichtlinien auf der virtuellen Firewall vSRX auf.
Quellzone |
Zielzone |
Politische Maßnahmen |
|---|---|---|
vertrauen |
Nicht vertrauenswürdig |
erlauben |
vertrauen |
vertrauen |
erlauben |
Nicht vertrauenswürdig |
vertrauen |
leugnen |