vSRX de déploiement pour les plates-formes de cloud privé et public

Spécifications logicielles

Le Tableau 1 répertorie les spécifications requises par le logiciel système lors du déploiement vSRX sur VMware. Le tableau présente la version Junos OS dans laquelle une spécification logicielle particulière pour le déploiement de vSRX sur VMware a été introduite. Pour bénéficier de certaines fonctionnalités, vous devez Junos OS une version spécifique.

Tableau 1: Spécifications pour vSRX et vSRX 3.0 sur VMware
Composant	Spécification	Junos OS version publiée
Prise en charge de l'hyperviseur	VMware ESXi 5.1, 5.5 ou 6.0	Junos OS version 15.1X49-D15 et Junos OS version 17.3R1
	VMware ESXi 5.5, 6.0, 6.5	Junos OS version 17.4R1, 18.1R1, 18.2R1, 18.3R1
	VMware ESXi 6.5	Junos OS version 18.4R1
	VMware ESXi 6.5 et 6.7 (pour vSRX 3.0 uniquement)	Junos OS version 19.3R1
Mémoire	4 Go	Junos OS version 15.1X49-D15 et Junos OS version 17.3R1
	8 gb	Junos OS version 15.1X49-D70 et version Junos OS version 17.3R1
	16 Go	Junos OS version 18.4R1
	32 Go	Junos OS version 18.4R1
Espace disque	16 Go (disques IDE ou SCSI)	Junos OS version 15.1X49-D15 et Junos OS version 17.3R1
CFP (vCPUs)	2 CFP (vCP)	Junos OS version 15.1X49-D15 et Junos OS version 17.3R1
	5 CFP (vCP)	Junos OS version 15.1X49-D70 et version Junos OS version 17.3R1
	9 CFP (vCP)	Junos OS version 18.4R1
	17 CFP (vCP)	Junos OS version 18.4R1
VNIC	Jusqu'à 10 vNIC SR-IOV Remarque: Nous recommandons les PROCESSEURs physiques Intel X520/X540 pour la prise en charge de SR-IOV sur vSRX. Pour connaître les limites de SR-IOV, consultez la section Known Behavior (Comportement connu) des Notes vSRX de mise à disposition. VMNET3 Remarque: Les conducteurs Intel DPDK utilisent un mode d'interrogation pour tous les vNIC. Ainsi, les fonctionnalités NAPI et mode d'interruption du VMXNET3 ne sont actuellement pas prise en charge. Remarque: À partir de Junos OS Version 15.1X49-D20, dans les déploiements vSRX avec VMware ESX, la modification de la vitesse par défaut (1 000 Mbits/s) ou du mode de liaison par défaut (full duplex) n'est pas prise en charge sur les vNIC VMXNET3.	Junos OS version 15.1X49-D15 et Junos OS version 17.3R1
	À partir de Junos OS version 18.4R1: SR-IOV (Mellanox ConnectX-3/ConnectX-3 Pro et Mellanox ConnectX-4 EN/ConnectX-4 Lx EN) est requis si vous souhaitez faire entrer les performances et la capacité d'une VM de vSRX à 9 ou 17 CPC et 16 ou 32 Go de vRAM. Remarque: Les cartes NIC Mellanox (toutes les cartes ConnectX) ne sont pas prise en charge sur VMWare. La version DPDK a été mise à niveau de 17.02 à 17.11.2 pour prendre en charge les adaptateurs de la famille Mellanox.	Junos OS version 18.4R1
	À partir Junos OS version 19.4R1, la version 18.11 de DPDK est prise en charge par vSRX. Grâce à cette fonctionnalité, la carte d'interface réseau Mellanox Connect (NIC) sur vSRX prend désormais OSPF multicast et VLAN.	Junos OS version 19.4R1

Le tableau 2 répertorie les spécifications de vSRX machine virtuelle 3.0.

Tableau 2: Spécifications pour vSRX 3.0 sur VMware
Processeur vCPU	Vram	DPDK	Page énorme	VNIC	vDisk	Junos OS version publiée
2	La 4G	17.05	2G	2-10	20G	Junos OS version 18.2R1
5	8G	17.05	6G	2–10 vSRX sur VMWare prend en charge VMXNET3 via DPDK, PMD et SR-IOV (82599). Un nombre maximal de huit interfaces sont prise en charge. DPDK utilise HugePage pour de hautes performances.	20G	Junos OS version 18.4R1

Spécifications matérielles

Le tableau 3 répertorie les spécifications matérielles de la machine hôte qui exécute l vSRX VM.

Tableau 3: Spécifications matérielles pour la machine hôte
Composant	Spécification
Type de processeur hôte	Processeur Intel x86_64 multicœur Remarque: DPDK nécessite une prise en charge de la virtualisation Intel VT-x/VT-d dans le processeur. Découvrez la technologie de virtualisation d'Intel.
Adaptateur réseau virtuel	Équipement VMXNet3 ou VMware Virtual NIC Remarque: Le canal de communication de l'interface de communication de la machine virtuelle (VMCI) est interne à l'hyperviseur ESXi et vSRX VM.
Assistance NIC physique sur vSRX 3.0	Prise en charge de SR-IOV sur X710/XL710 Les HA vSRX3.0 SR-IOV sur I40E (X710,X740,X722, etc.) ne sont pas pris en charge sur VMware. Les cartes NIC Mellanox (toutes les cartes ConnectX) ne sont pas prise en charge sur VMWare. Le cluster de châssis n'est pas pris en charge avec les adaptateurs d'interface SRIOV.

Meilleures pratiques pour améliorer les performances vSRX de l'entreprise

Examinez les pratiques suivantes afin d'améliorer vSRX performances.

NUMA Nodes
Mise en correspondance NIC PCI vers VM

NUMA Nodes

L'architecture serveur x86 se compose de plusieurs connecteurs et de plusieurs cœurs dans une prise. Chaque connecteur dispose également d'une mémoire qui permet de stocker les paquets pendant les transferts d'NIC de l'hôte. Pour lire efficacement les paquets à partir de la mémoire, les applications invitées et les périphériques associés (NIC) doivent résider dans une seule prise. Une pénalité est associée à des connecteurs de processeurs s'étendant à plusieurs connecteurs de processeurs pour les accès à la mémoire, ce qui peut entraîner des performances nondéterministes. Pour vSRX, nous recommandons que tous les vCPUs pour les vSRX VM se soient eux-mêmes dans le même nœud d'accès mémoire non uniforme (NUMA) pour des performances optimales.

Attention:

L'moteur de transfert de paquets (PFE) du vSRX ne sera plus redessinable si la topologie de nodes NUMA est configurée dans l'hyperviseur pour propager les civismes de l'instance sur plusieurs points NUMA hôtes. vSRX vous assurez que tous les vCPUs sont sur le même nœud NUMA.

Nous vous recommandons de lier l'instance vSRX à un nœud NUMA spécifique en établissant une affinité pour le nœud NUMA. L'affinité de nœud NUMA vSRX la planification des ressources VM au seul nœud NUMA spécifié.

Mise en correspondance NIC PCI vers VM

Si le nœud sur lequel fonctionne une vSRX est différent du nœud auquel est connecté le NIC Intel PCI, alors les paquets devront traverser un saut supplémentaire dans la liaison QPI, ce qui permettra de réduire le débit global. Utilisez la esxtop commande pour afficher les informations relatives aux NIC physiques relatifs. Sur certains serveurs où ces informations ne sont pas disponibles, reportez-vous à la documentation matérielle pour obtenir la topologie de nœud NUMA d'emplacement à NUMA.

Mappage d'interfaces pour vSRX sur VMware

Chaque adaptateur réseau défini pour une vSRX est associé à une interface spécifique, selon que l'instance vSRX est une VM autonome ou une paire de cluster pour la haute disponibilité. Les noms et mappages d'interfaces dans vSRX sont indiqués dans les tableaux 4 et 5.

Notez les remarques suivantes:

En mode autonome:
- fxp0 est l'interface de gestion hors bande.
- ge-0/0/0 est la première interface de trafic (chiffre d'affaires).
En mode cluster:
- fxp0 est l'interface de gestion hors bande.
- l'em0 est la liaison de contrôle de cluster pour les deux nodes.
- N'importe quelle interface de trafic peut être spécifiée comme liaisons de structure, telles que ge-0/0/0 pour « fab0 » sur nœud 0 et ge-7/0/0 pour « fab1 » sur nœud 1.

Le tableau 4 indique les noms et mappages d'interfaces pour une vSRX VM autonome.

vSRX VM autonome

Tableau 4: Noms d'interface pour une
Réseau Adaptateur	Nom de l'interface dans Junos OS
1	fxp0
2	ge-0/0/0
3	ge-0/0/1
4	ge-0/0/2
5	ge-0/0/3
6	ge-0/0/4
7	ge-0/0/5
8	ge-0/0/6

Le tableau 5 montre les noms et les mappages d'interfaces pour une paire vSRX VM dans un cluster (nœud 0 et nœud 1).

paire vSRX cluster

Tableau 5: Noms d'interface pour une
Réseau Adaptateur	Nom de l'interface dans Junos OS
1	fxp0 (nœuds 0 et 1)
2	em0 (nœuds 0 et 1)
3	ge-0/0/0 (nœud 0) ge-7/0/0 (nœud 1)
4	ge-0/0/1 (nœud 0) ge-7/0/1 (nœud 1)
5	ge-0/0/2 (nœud 0) ge-7/0/2 (nœud 1)
6	ge-0/0/3 (nœud 0) ge-7/0/3 (nœud 1)
7	ge-0/0/4 (nœud 0) ge-7/0/4 (nœud 1)
8	ge-0/0/5 (nœud 0) ge-7/0/5 (nœud 1)

vSRX paramètres par défaut sur VMware

vSRX les paramètres de configuration de base suivants:

Vous devez attribuer des adresses IP aux interfaces.
Les interfaces doivent être liées aux zones.
Des stratégies doivent être configurées entre les zones pour autoriser ou refuser le trafic.

Remarque:

Pour l'interface de gestion Fxp0, VMware utilise le vNIC VMXNET 3 et nécessite un mode promiscuous sur le vSwitch.

Le tableau 6 répertorie les paramètres par défaut en usine pour les stratégies vSRX de sécurité en usine.

Tableau 6: Paramètres par défaut définir en usine pour les stratégies de sécurité
Source Zone	Destination Zone	Action de stratégie
Confiance	Untrust	Permis
Confiance	Confiance	Permis
Untrust	Confiance	Nier

SUR CETTE PAGE

Conditions d'vSRX sur VMware

Spécifications logicielles

Spécifications matérielles

Meilleures pratiques pour améliorer les performances vSRX de l'entreprise

NUMA Nodes

Mise en correspondance NIC PCI vers VM

Mappage d'interfaces pour vSRX sur VMware

vSRX paramètres par défaut sur VMware

SUR CETTE PAGE

Conditions d'vSRX sur VMware

Spécifications logicielles

Spécifications matérielles

Meilleures pratiques pour améliorer les performances vSRX de l'entreprise

NUMA Nodes

Mise en correspondance NIC PCI vers VM

Mappage d'interfaces pour vSRX sur VMware

vSRX paramètres par défaut sur VMware

Documentation connexe