Comprendre le pare-feu virtuel vSRX avec KVM
Cette section présente un aperçu du pare-feu virtuel vSRX sur KVM.
Pare-feu virtuel vSRX sur KVM
Le noyau Linux utilise la machine virtuelle basée sur le noyau (KVM) comme infrastructure de virtualisation. KVM est un logiciel open source que vous pouvez utiliser pour créer plusieurs machines virtuelles (VM) et pour installer des appliances de sécurité et de mise en réseau.
Les composants de base du KVM sont les suivants :
Un module de noyau chargeable inclus dans le noyau Linux qui fournit l’infrastructure de virtualisation de base
Un module spécifique au processeur
Lorsqu’il est chargé dans le noyau Linux, le logiciel KVM agit comme un hyperviseur. KVM prend en charge la mutualisation et vous permet d’exécuter plusieurs machines virtuelles pare-feu virtuel vSRX sur le système d’exploitation hôte . KVM gère et partage les ressources système entre le système d’exploitation hôte et les multiples machines virtuelles pare-feu virtuel vSRX.
Le pare-feu virtuel vSRX nécessite que vous activiez la virtualisation matérielle sur un système d’exploitation hôte doté d’un processeur compatible Intel Virtualization Technology (VT).
La Figure 1 illustre la structure de base d’une machine virtuelle de pare-feu virtuel vSRX sur un serveur Ubuntu.
Performances du pare-feu virtuel vSRX
Le Tableau 1 montre que le pare-feu virtuel vSRX augmente les performances lorsqu’il est déployé sur KVM, en fonction du nombre de vCPU et de vRAM appliqués à une machine virtuelle vSRX Virtual Firewall ainsi que de la version de Junos OS dans laquelle une spécification logicielle particulière du pare-feu virtuel vSRX a été introduite.
vCPU |
Vram |
Nic |
Lancement de la version |
|---|---|---|---|
2 vCPU |
4 Go |
|
Junos OS version 15.1X49-D15 et Junos OS version 17.3R1 |
5 vCPU |
8 Go |
|
Junos OS version 15.1X49-D70 et Junos OS version 17.3R1 |
5 vCPU |
8 Go |
|
Junos OS version 15.1X49-D90 et Junos OS version 17.3R1 |
| 1 vCPU | 4 Go |
SR-IOV sur les adaptateurs de la famille Mellanox ConnectX-4 et ConnectX-5. |
Junos OS version 21.2R1 |
| 4 vCPU | 8 Go |
SR-IOV sur les adaptateurs de la famille Mellanox ConnectX-4 et ConnectX-5. |
Junos OS version 21.2R1 |
| 8 vCPU | 16 Gb |
SR-IOV sur les adaptateurs de la famille Mellanox ConnectX-4 et ConnectX-5. |
Junos OS version 21.2R1 |
| 16 vCPU | 32 Go |
SR-IOV sur les adaptateurs de la famille Mellanox ConnectX-4 et ConnectX-5. |
Junos OS version 21.2R1 |
Vous pouvez augmenter les performances et la capacité d’une instance de pare-feu virtuel vSRX en augmentant le nombre de vCPU et la quantité de vRAM allouée au pare-feu virtuel vSRX. Le pare-feu virtuel vSRX multicœur sélectionne automatiquement les vCPU et les valeurs vRAM appropriés au démarrage, ainsi que le nombre de files d’attente RSS (Receive Side Scaling) dans la carte réseau. Si les paramètres vCPU et vRAM alloués à une machine virtuelle de pare-feu virtuel vSRX ne correspondent pas à ce qui est actuellement disponible, le pare-feu virtuel vSRX est réduit à la valeur prise en charge la plus proche pour l’instance. Par exemple, si une machine virtuelle pare-feu virtuel vSRX possède 3 vCPU et 8 Go de vRAM, le pare-feu virtuel vSRX démarre avec la plus petite taille de vCPU, ce qui nécessite un minimum de 2 vCPU. Vous pouvez augmenter la taille d’une instance de pare-feu virtuel vSRX vers un nombre plus élevé de vCPU et une plus grande quantité de vRAM, mais vous ne pouvez pas réduire une instance de pare-feu virtuel vSRX existante à un paramètre plus petit.
Le nombre de files d’attente RSS correspond généralement au nombre de vCPU de plan de données d’une instance de pare-feu virtuel vSRX. Par exemple, un pare-feu virtuel vSRX avec 4 vCPU de plan de données doit avoir 4 files d’attente RSS.
Augmentation de la capacité de session du pare-feu virtuel vSRX
La solution de pare-feu virtuel vSRX est optimisée pour augmenter le nombre de sessions en augmentant la mémoire.
Avec la possibilité d’augmenter le nombre de sessions en augmentant la mémoire, vous pouvez activer le pare-feu virtuel vSRX pour :
-
Assurez une sécurité hautement évolutive, flexible et performante aux emplacements stratégiques du réseau mobile.
-
Offrez les performances dont les fournisseurs de services ont besoin pour faire évoluer et protéger leurs réseaux.
Exécutez la show security flow session summary | grep maximum commande pour afficher le nombre maximal de sessions.
À compter de Junos OS version 18.4R1, le nombre de sessions de flux prises en charge sur une instance de pare-feu virtuel vSRX augmente en fonction de la taille de la vRAM utilisée.
À compter de Junos OS version 19.2R1, le nombre de sessions de flux prises en charge sur une instance de pare-feu virtuel vSRX 3.0 augmente en fonction de la taille de la vRAM utilisée.
Un maximum de 28 millions de sessions est pris en charge sur le pare-feu virtuel vSRX 3.0. Vous pouvez déployer le pare-feu virtuel vSRX 3.0 avec plus de 64 Go de mémoire, mais le nombre maximal de sessions de flux ne peut être que de 28 Mo.
Le Tableau 2 répertorie la capacité de la session de flux.
| vCPU |
Mémoire |
Capacité de session de flux |
|---|---|---|
| 2 |
4 Go |
0,5 million |
| 2 |
6 Go |
1 M |
| 2/5 |
8 Go |
2 M |
| 2/5 |
10 Go |
2 M |
| 2/5 |
12 Go |
2,5 millions |
| 2/5 |
14 Go |
3 millions |
| 2/5/9 |
16 Go |
4 M |
| 2/5/9 |
20 Go |
6 millions |
| 2/5/9 |
24 Go |
8 M |
| 2/5/9 |
28 Go |
10 M |
| 2/5/9/17 |
32 Go |
12 M |
| 2/5/9/17 |
40 Go |
16 M |
| 2/5/9/17 |
48 Go |
20 M |
| 2/5/9/17 |
56 Go |
24 millions |
| 2/5/9/17 |
64 Go |
28 millions |
Tableau de l’historique des modifications
La prise en charge des fonctionnalités est déterminée par la plate-forme et la version que vous utilisez. Utilisez l’Explorateur de fonctionnalités pour déterminer si une fonctionnalité est prise en charge sur votre plateforme.