Microsoft Hyper-V 上 vSRX 仮想ファイアウォールの要件
このセクションでは、Microsoft Hyper-V で vSRX 仮想ファイアウォール インスタンスを導入するための要件の概要を示します。
ソフトウェア要件
表 1 は、Microsoft Hyper-V 上の vSRX 仮想ファイアウォール インスタンスのソフトウェア要件を示しています。
Microsoft Hyper-V では、vSRX 仮想ファイアウォールの小さなフレーバーのみがサポートされています。Microsoft Hyper-V では、vSRX 仮想ファイアウォール 3.0 マルチ CPU バージョンがサポートされています。
コンポーネント |
仕様 |
|---|---|
ハイパーバイザーサポート |
|
メモリ |
4 GB |
ディスク容量 |
16 GB(IDE または SCSI ドライブ) |
Vcpu |
2 |
仮想ネットワーク アダプター |
Hyper-V 固有のネットワーク アダプター 8 個 |
コンポーネント |
仕様 |
|---|---|
ハイパーバイザーサポート |
|
メモリ |
4 GB |
ディスク容量 |
18 GB(IDE) |
Vcpu |
2 |
仮想ネットワーク アダプター |
Hyper-V 固有のネットワーク アダプター 8 個 |
Junos OS リリース 19.1R1 以降、vSRX 仮想ファイアウォール 3.0 インスタンスは、2 個の vCPU、4 GB の仮想 RAM、Microsoft Hyper-V と Azure の 18 GB のディスク容量を備えたゲスト OS をサポートし、パフォーマンスを向上させます。
ハードウェア要件
表 3 は、vSRX 仮想ファイアウォール VM を実行するホスト マシンのハードウェア仕様を示しています。
コンポーネント |
仕様 |
|---|---|
ホスト メモリ サイズ |
4 GB 以上 |
ホスト プロセッサー タイプ |
x86 または x64 ベースのマルチコア プロセッサー
メモ:
DPDK では、CPU の Intel 仮想化 VT-x/VT-d のサポートが必要です。 『About Intel Virtualization Technology』をご覧ください。 |
ギガビット(10/100/1000baseT)イーサネット アダプター |
マルチポート DEC 21140 10/100TX 100 MB イーサネット ネットワーク アダプターを 1~4 個のネットワーク接続でエミュレートします。 |
vSRX仮想ファイアウォールパフォーマンスを向上させるベストプラクティス
vSRX仮想ファイアウォールのパフォーマンスを向上させるために、以下のプラクティスを確認してください。
NUMA ノード
x86 サーバー アーキテクチャは、1 つのソケット内で複数のソケットと複数のコアで構成されています。各ソケットには、NIC からホストへの I/O 転送中にパケットを格納するために使用されるメモリもあります。メモリからパケットを効率的に読み取るために、ゲスト アプリケーションと関連する周辺機器(NIC など)は、1 つのソケット内に存在する必要があります。メモリ アクセスに対するスパニング CPU ソケットにペナルティが関連付けられているため、非決定的なパフォーマンスが発生する可能性があります。vSRX 仮想ファイアウォールでは、最適なパフォーマンスを実現するために、vSRX 仮想ファイアウォール VM のすべての vCPU が、同じ物理 NUMA(一様メモリ アクセス)ノードに存在することを推奨します。
vSRX 仮想ファイアウォール上のパケット転送エンジン(PFE)は、ハイパーバイザーで NUMA ノード トポロジーが構成されている場合、応答しなくなり、インスタンスの vCPU が複数のホスト NUMA ノードに分散するように構成されます。vSRX 仮想ファイアウォールでは、すべての vCPU が同じ NUMA ノード上に存在することを確認する必要があります。
NUMA ノード アフィニティを設定することで、vSRX 仮想ファイアウォール インスタンスを特定の NUMA ノードにバインドすることをお勧めします。NUMA ノード アフィニティは、指定された NUMA ノードのみに対して、vSRX 仮想ファイアウォール VM リソース のスケジューリングを制限します。
Microsoft Hyper-V における vSRX 仮想ファイアウォールのインターフェイス マッピング
vSRX 仮想ファイアウォール用に定義された各ネットワーク アダプターは、vSRX 仮想ファイアウォール インスタンスがスタンドアロン VM であるか、高可用性のクラスター ペアの 1 つであるかに応じて、特定のインターフェイスにマッピングされます。
Junos OS リリース 15.1X49-D100 for vSRX 仮想ファイアウォール以降、ネットワーク ノードの冗長性を提供するシャーシ クラスタリングのサポートは、Microsoft Hyper-V Server 2016 以降でのみ使用できます。
以下の点に注意してください。
スタンドアロンモードの場合:
fxp0 は、アウトオブバンド管理インターフェイスです。
ge-0/0/0 は、最初のトラフィック(収益)インターフェイスです。
クラスタモードでは:
fxp0 は、アウトオブバンド管理インターフェイスです。
em0 は、両方のノードのクラスター制御リンクです。
ノード0のfab0のge-0/0/0、ノード1のfab1のge-7/0/0など、すべてのトラフィックインターフェイスをファブリックリンクとして指定できます。
表 4 は、スタンドアロン vSRX 仮想ファイアウォール VM のインターフェイス名とマッピングを示しています。
ネットワーク アダプター |
Junos OS のインターフェイス名 |
|---|---|
1 |
fxp0 |
2 |
ge-0/0/0 |
3 |
ge-0/0/1 |
4 |
ge-0/0/2 |
5 |
ge-0/0/3 |
6 |
ge-0/0/4 |
7 |
ge-0/0/5 |
8 |
ge-0/0/6 |
表 5 は、クラスター内の vSRX 仮想ファイアウォール VM のペア(ノード 0 とノード 1)のインターフェイス名とマッピングを示しています。
ネットワーク アダプター |
Junos OS のインターフェイス名 |
|---|---|
1 |
fxp0(ノード0および1) |
2 |
em0(ノード0および1) |
3 |
ge-0/0/0(ノード0)ge-7/0/0(ノード1) |
4 |
ge-0/0/1(ノード0)ge-7/0/1(ノード1) |
5 |
ge-0/0/2(ノード0)ge-7/0/2(ノード1) |
6 |
ge-0/0/3(ノード0)ge-7/0/3(ノード1) |
7 |
ge-0/0/4(ノード0)ge-7/0/4(ノード1) |
8 |
ge-0/0/5(ノード0)ge-7/0/5(ノード1) |
Microsoft Hyper-V の vSRX 仮想ファイアウォールのデフォルト設定
vSRX 仮想ファイアウォールには、以下の基本設定が必要です。
インターフェイスにはIPアドレスを割り当てる必要があります。
インターフェイスはゾーンにバインドされている必要があります。
トラフィックを許可または拒否するには、ゾーン間でポリシーを設定する必要があります。
表 6 は、vSRX 仮想ファイアウォールのセキュリティ ポリシーに関する工場出荷時のデフォルト設定を示しています。
ソース ゾーン |
宛先ゾーン |
ポリシーアクション |
|---|---|---|
信頼 |
untrust |
許可 |
信頼 |
信頼 |
許可 |
untrust |
信頼 |
拒否 |