Contrail での vSRX 仮想ファイアウォールの要件
ソフトウェア要件
表 1 は、ジュニパーネットワークス Contrail で vSRX 仮想ファイアウォールを導入する場合のシステム ソフトウェア要件の仕様を示しています。表では、KVM 上に vSRX 仮想ファイアウォールを導入するための特定のソフトウェア仕様が導入された Junos OS リリースの概要を示しています。特定の機能を活用するには、特定のJunos OSリリースをダウンロードする必要があります。
コンポーネント |
仕様 |
Junos OS リリースが導入されました |
|---|---|---|
ハイパーバイザーサポート |
Linux KVM |
Junos OS リリース 15.1X49-D20 および Junos OS リリース 17.3R1 |
メモリ |
4 GB |
Junos OS リリース 15.1X49-D20 および Junos OS リリース 17.3R1 |
8 GB |
Junos OS リリース 15.1X49-D70 および Junos OS リリース 17.3R1 |
|
ディスク容量 |
20 GB IDEドライブ |
Junos OS リリース 15.1X49-D20 および Junos OS リリース 17.3R1 |
Vcpu |
vCPU x 2
メモ:
VNF としての vSRX 仮想ファイアウォールはネストされた仮想化をサポートしていないため、Contrail コンピューティング ノードはベア メタルである必要があります。 |
Junos OS リリース 15.1X49-D20 および Junos OS リリース 17.3R1 |
vCPU x 5
メモ:
VNF としての vSRX 仮想ファイアウォールはネストされた仮想化をサポートしていないため、Contrail コンピューティング ノードはベア メタルである必要があります。 |
Junos OS リリース 15.1X49-D70 および Junos OS リリース 17.3R1 |
|
vNIC |
最大 16 個の vNIC
|
Junos OS リリース 15.1X49-D20 および Junos OS リリース 17.3R1 |
表 2 は、vSRX 仮想ファイアウォールのソフトウェア仕様を示しています。
フレーバー名 |
vCPU |
Junos OS リリースが導入されました |
|---|---|---|
ハイパーバイザーサポート |
Linux KVM |
Junos OS リリース 18.2R1 以降のリリース |
メモリ |
4 GB |
Junos OS リリース 18.2R1 以降のリリース |
8 GB |
Junos OS リリース 18.2R1 以降のリリース |
|
ディスク容量 |
20 GB IDEドライブ |
Junos OS リリース 18.2R1 以降のリリース |
Vcpu |
vCPU x 2 |
Junos OS リリース 18.2R1 以降のリリース |
vCPU x 5 |
Junos OS リリース 18.2R1 以降のリリース |
|
vNIC |
最大 16 個の vNIC
|
Junos OS リリース 18.2R1 以降のリリース |
vSRX 仮想ファイアウォールに関する Contrail の推奨事項
表 3 は、Contrail で vSRX 仮想ファイアウォールを実行するために推奨されるソフトウェア バージョンを示しています。
ソフトウェア |
バージョン |
サポートされているリリース |
|---|---|---|
Contrail |
2.20 |
Junos OS リリース 15.1X49-D20 および Junos OS リリース 17.3R1 以降のリリース |
3.1 |
Junos OS リリース 15.1X49-D60 および Junos OS リリース 17.3R1 以降のリリース |
|
3.5 |
Junos OS リリース 18.4R1 |
|
Openstack |
Juno または Icehouse |
Junos OS リリース 15.1X49-D20 および Junos OS リリース 17.3R1 以降のリリース |
Juno またはキロ |
Junos OS リリース 15.1X49-D60 および Junos OS リリース 17.3R1 以降のリリース |
|
ホストOS |
Ubuntu 14.04.2 |
Junos OS リリース 15.1X49-D20 および Junos OS リリース 17.3R1 以降のリリース |
Linux カーネル |
3.16 |
Junos OS リリース 15.1X49-D20 および Junos OS リリース 17.3R1 以降のリリース |
ホストマシン上でハードウェアベースの仮想化を有効にすることをお勧めします。ここでCPU互換性を確認できます: http://www.linux-kvm.org/page/Processor_support。Contrail の追加要件については、「 Contrail - サーバー の要件」を参照してください。
表 4 は、vSRX 仮想ファイアウォールに対する Contrail の推奨事項を示しています。
ソフトウェア |
バージョン |
サポートされているリリース |
|---|---|---|
Contrail |
3.1 |
Junos OS リリース 18.2R1 以降のリリース |
3.2 |
Junos OS リリース 18.2R1 以降のリリース |
|
5.X |
Junos OS リリース 19.3R1 以降のリリース |
|
Openstack |
Centos 7または8 |
Junos OS リリース 18.2R1 以降のリリース |
ホストOS |
Ubuntu 14.04.2 |
Junos OS リリース 18.2R1 以降のリリース |
Linux カーネル |
クイーンズ以降 |
Junos OS リリース 18.2R1 以降のリリース |
ハードウェアに関する推奨事項
表 5 は、vSRX 仮想ファイアウォール VM を実行するホスト マシンのハードウェア仕様を示しています。
コンポーネント |
仕様 |
|---|---|
ホスト メモリ サイズ |
4 GB(最小) |
ホスト プロセッサー タイプ |
Intel x86_64 マルチコア CPU
メモ:
DPDK では、CPU の Intel 仮想化 VT-x/VT-d のサポートが必要です。 『About Intel Virtualization Technology』をご覧ください。 |
仮想ネットワーク アダプター |
VMXNet3デバイスまたはVMware仮想NIC
メモ:
VMCI(仮想マシン通信インターフェイス)通信チャネルは、ESXiハイパーバイザーとvSRX仮想ファイアウォールVMの内部です。 |
vSRX仮想ファイアウォールパフォーマンスを向上させるベストプラクティス
vSRX仮想ファイアウォールのパフォーマンスを向上させるために、以下のプラクティスを確認してください。
NUMA ノード
x86 サーバー アーキテクチャは、1 つのソケット内で複数のソケットと複数のコアで構成されています。各ソケットには、NIC からホストへの I/O 転送中にパケットを格納するために使用されるメモリもあります。メモリからパケットを効率的に読み取るために、ゲスト アプリケーションと関連する周辺機器(NIC など)は、1 つのソケット内に存在する必要があります。メモリ アクセスに対するスパニング CPU ソケットにペナルティが関連付けられているため、非決定的なパフォーマンスが発生する可能性があります。vSRX 仮想ファイアウォールでは、最適なパフォーマンスを実現するために、vSRX 仮想ファイアウォール VM のすべての vCPU が、同じ物理 NUMA(一様メモリ アクセス)ノードに存在することを推奨します。
OpenStack の NUMA ノード トポロジー プロパティに複数のホスト NUMA ノード間でインスタンスの vCPU を分散させる行 hw:numa_nodes=2 が含まれている場合、vSRX 仮想ファイアウォール上のパケット転送エンジン(PFE)が応答しなくなる可能性があります。PFE が正しく機能するように OpenStack から行を削除 hw:numa_nodes=2 することをお勧めします。
PCI NIC-to-VM マッピング
vSRX仮想ファイアウォールが実行されているノードがIntel PCI NICが接続されているノードと異なる場合、パケットはQPIリンクの追加ホップを通過する必要があり、これにより全体的なスループットが低下します。Linux ホスト OS で、パッケージを hwloc インストールし、 コマンドを lstopo 使用して、物理 NIC の相対的な場所に関する情報を表示します。この情報が利用できない一部のサーバーでは、スロットから NUMA ノードトポロジーのハードウェアドキュメントを参照してください。
vSRX 仮想ファイアウォール VM への仮想インターフェイスのマッピング
LinuxホストOS上の仮想インターフェイスをvSRX仮想ファイアウォールVMにマッピングするかを決定するには、次の手順に基づきます。
Linux ホスト OS で コマンド
virsh listを使用して、実行中の VM を一覧表示します。hostOS# virsh list
Id Name State ---------------------------------------------------- 25 instance-00000060 running 31 instance-0000005b running 34 instance-000000bd running 35 instance-000000bc running
コマンドを
virsh domiflist vsrx-name使用して、その vSRX 仮想ファイアウォール VM 上の仮想インターフェイスを一覧表示します。hostOS# virsh domiflist 31
Interface Type Source Model MAC ------------------------------------------------------- tapd3d9639c-d5 ethernet - virtio 02:d3:d9:63:9c:d5 tapc3c3751a-37 ethernet - virtio 02:c3:c3:75:1a:37 tap8af29333-1b ethernet - virtio 02:8a:f2:93:33:1b tapf0387bee-9b ethernet - virtio 02:f0:38:7b:ee:9b tap04e4b59a-91 ethernet - virtio 02:04:e4:b5:9a:91
メモ:最初の仮想インターフェイスは、Junos OS の fxp0 インターフェイスにマッピングされます。
Contrail での vSRX 仮想ファイアウォールのインターフェイス マッピング
vSRX 仮想ファイアウォール用に定義された各ネットワーク アダプターは、vSRX 仮想ファイアウォール インスタンスがスタンドアロン VM であるか、高可用性のクラスター ペアの 1 つであるかに応じて、特定のインターフェイスにマッピングされます。vSRX仮想ファイアウォールのインターフェイス名とマッピングを 表6 および 表7に示します。
以下の点に注意してください。
スタンドアロンモードの場合:
fxp0 は、アウトオブバンド管理インターフェイスです。
ge-0/0/0 は、最初のトラフィック(収益)インターフェイスです。
クラスタモードでは:
fxp0 は、アウトオブバンド管理インターフェイスです。
em0 は、両方のノードのクラスター制御リンクです。
ノード0のfab0のge-0/0/0、ノード1のfab1のge-7/0/0など、すべてのトラフィックインターフェイスをファブリックリンクとして指定できます。
表 6 は、スタンドアロン vSRX 仮想ファイアウォール VM のインターフェイス名とマッピングを示しています。
ネットワーク アダプター |
vSRX仮想ファイアウォール向けJunos OSのインターフェイス名 |
|---|---|
1 |
fxp0 |
2 |
ge-0/0/0 |
3 |
ge-0/0/1 |
4 |
ge-0/0/2 |
5 |
ge-0/0/3 |
6 |
ge-0/0/4 |
7 |
ge-0/0/5 |
8 |
ge-0/0/6 |
表 7 は、クラスター内の vSRX 仮想ファイアウォール VM のペア(ノード 0 とノード 1)のインターフェイス名とマッピングを示しています。
ネットワーク アダプター |
vSRX仮想ファイアウォール向けJunos OSのインターフェイス名 |
|---|---|
1 |
fxp0(ノード0および1) |
2 |
em0(ノード0および1) |
3 |
ge-0/0/0(ノード0)ge-7/0/0(ノード1) |
4 |
ge-0/0/1(ノード0)ge-7/0/1(ノード1) |
5 |
ge-0/0/2(ノード0)ge-7/0/2(ノード1) |
6 |
ge-0/0/3(ノード0)ge-7/0/3(ノード1) |
7 |
ge-0/0/4(ノード0)ge-7/0/4(ノード1) |
8 |
ge-0/0/5(ノード0)ge-7/0/5(ノード1) |
ContrailのvSRX仮想ファイアウォールデフォルト設定
vSRX 仮想ファイアウォールには、以下の基本設定が必要です。
インターフェイスにはIPアドレスを割り当てる必要があります。
インターフェイスはゾーンにバインドされている必要があります。
トラフィックを許可または拒否するには、ゾーン間でポリシーを設定する必要があります。
表 8 は、vSRX 仮想ファイアウォール セキュリティ ポリシーの工場出荷時のデフォルト設定を示しています。
ソース ゾーン |
宛先ゾーン |
ポリシーアクション |
|---|---|---|
信頼 |
untrust |
許可 |
信頼 |
信頼 |
許可 |
untrust |
信頼 |
拒否 |