Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

KVMを使用したvSRX仮想ファイアウォールの理解

このセクションでは、KVMでのvSRX仮想ファイアウォールの概要について説明します。

KVM上のvSRX仮想ファイアウォール

Linuxカーネルは、カーネルベースの仮想マシン(KVM)を仮想化インフラストラクチャとして使用します。KVMは、複数の仮想マシン(VM)を作成したり、セキュリティアプライアンスやネットワークアプライアンスをインストールしたりするために使用できるオープンソースソフトウェアです。

KVMの基本コンポーネントは次のとおりです。

  • 基本的な仮想化インフラストラクチャを提供するLinuxカーネルに含まれるロード可能なカーネルモジュール

  • プロセッサ固有のモジュール

Linuxカーネルにロードされると、KVMソフトウェアは ハイパーバイザーとして機能します。KVMは マルチテナント機能 をサポートしており、 ホスト OS上で複数のvSRX仮想ファイアウォールVMを実行できます。KVMは、ホストOSと複数のvSRX仮想ファイアウォールVM間でシステムリソースを管理および共有します。

メモ:

vSRX仮想ファイアウォールでは、インテル仮想化テクノロジー(VT)対応プロセッサを搭載したホストOS上でハードウェアベースの仮想化を有効にする必要があります。

図1 は、Ubuntuサーバー上のvSRX仮想ファイアウォールVMの基本構造を示しています。

図1:Ubuntu vSRX Virtual Firewall VM on Ubuntu上のvSRX仮想ファイアウォールVM

vSRX仮想ファイアウォールのスケールアップパフォーマンス

表1 は、vSRX仮想ファイアウォールVMに適用されるvCPUとvRAMの数と、特定のvSRX仮想ファイアウォールソフトウェア仕様が導入されたJunos OSリリースに基づく、KVMに展開した場合のvSRX仮想ファイアウォールのスケールアップパフォーマンスを示しています。

表1:vSRX仮想ファイアウォールのスケールアップパフォーマンス

Vcpu

Vram

Nic

導入されたリリース

vCPU x 2

4GB

  • ヴィルティオ

  • SR-IOV(Intel 82599、X520/540)

Junos OSリリース15.1X49-D15およびJunos OSリリース17.3R1

5 vCPU

8GB

  • ヴィルティオ

  • SR-IOV(Intel 82599、X520/540)

Junos OSリリース15.1X49-D70およびJunos OSリリース17.3R1

5 vCPU

8GB

  • SR-IOV(Intel X710/XL710)

Junos OSリリース15.1X49-D90およびJunos OSリリース17.3R1

1 vCPU

4GB

Mellanox ConnectX-4 および ConnectX-5 ファミリー アダプター上の SR-IOV。

Junos OSリリース21.2R1

4個のvCPU

8GB

Mellanox ConnectX-4 および ConnectX-5 ファミリー アダプター上の SR-IOV。

Junos OSリリース21.2R1

8 個の vCPU

16GB

Mellanox ConnectX-4 および ConnectX-5 ファミリー アダプター上の SR-IOV。

Junos OSリリース21.2R1

16個のvCPU

32GB

Mellanox ConnectX-4 および ConnectX-5 ファミリー アダプター上の SR-IOV。

Junos OSリリース21.2R1

vSRX仮想ファイアウォールインスタンスのパフォーマンスと容量は、vCPUの数とvSRX仮想ファイアウォールに割り当てるvRAMの量を増やすことで拡張できます。マルチコアvSRX仮想ファイアウォールは、起動時に適切なvCPUとvRAMの値、およびNIC内の受信側スケーリング(RSS)キューの数を自動的に選択します。vSRX仮想ファイアウォール仮想マシンに割り当てられたvCPUとvRAMの設定が現在利用可能な設定と一致しない場合、vSRX仮想ファイアウォールはインスタンスでサポートされている最も近い値にスケールダウンします。たとえば、vSRX仮想ファイアウォール仮想マシンに3つのvCPUと8GBのvRAMが搭載されている場合、vSRX仮想ファイアウォールは小さい方のvCPUサイズで起動し、最低2つのvCPUが必要になります。vSRX仮想ファイアウォールインスタンスをより多くのvCPU数と容量のvRAMにスケールアップすることはできますが、既存のvSRX仮想ファイアウォールインスタンスをより小さい設定にスケールダウンすることはできません。

メモ:

通常、RSSキューの数は、vSRX仮想ファイアウォールインスタンスのデータプレーンvCPUの数と一致します。たとえば、4つのデータプレーンvCPUを持つvSRX仮想ファイアウォールには、4つのRSSキューが必要です。

vSRX仮想ファイアウォールのセッション容量増加

vSRX仮想ファイアウォールソリューションは、メモリを増やすことでセッション数を増やすように最適化されています。

メモリを増やしてセッション数を増やす機能により、vSRX仮想ファイアウォールを有効にして次のことが可能になります。

  • モバイル ネットワークの戦略的な拠点で、拡張性、柔軟性、ハイパフォーマンスに優れたセキュリティを提供します。

  • サービスプロバイダがネットワークの拡張と保護に必要とするパフォーマンスを提供します。

show security flow session summary | grep maximumコマンドを実行して、セッションの最大数を表示します。

Junos OSリリース18.4R1以降、vSRX仮想ファイアウォールインスタンスでサポートされるフローセッションの数は、使用するvRAMサイズに基づいて増加します。

Junos OSリリース19.2R1以降、vSRX仮想ファイアウォール3.0インスタンスでサポートされるフローセッションの数は、使用するvRAMサイズに基づいて増加します。

メモ:

vSRX仮想ファイアウォール3.0では、最大28Mセッションがサポートされています。64G以上のメモリを搭載したvSRX仮想ファイアウォール3.0を導入できますが、最大フローセッション数は28Mにすぎません。

表 2 に、フロー セッションの容量を示します。

表2: vSRX仮想ファイアウォールとvSRX仮想ファイアウォール3.0フローセッション容量の詳細

Vcpu

メモリ

フロー セッションの容量

2

4GB

0.5メートル

2

6GB

1メートル

2/5

8GB

2メートル

2/5

10GB

2メートル

2/5

12GB

2.5メートル

2/5

14GB

3メートル

2/5/9

16GB

4メートル

2/5/9

20GB

6メートル

2/5/9

24GB

8メートル

2/5/9

28GB

10メートル

2/5/9/17

32GB

12メートル

2/5/9/17

40GB

16メートル

2/5/9/17

48GB

20メートル

2/5/9/17

56GB

24メートル

2/5/9/17

64GB

28メートル

変更履歴テーブル

機能のサポートは、使用しているプラットフォームとリリースによって決まります。 機能エクスプローラー を使用して、機能がプラットフォームでサポートされているかどうかを判断します。

リリース
説明
19.2R1
Junos OSリリース19.2R1以降、vSRX仮想ファイアウォール3.0インスタンスでサポートされるフローセッションの数は、使用するvRAMサイズに基づいて増加します。
18.4R1
Junos OSリリース18.4R1以降、vSRX仮想ファイアウォールインスタンスでサポートされるフローセッションの数は、使用するvRAMサイズに基づいて増加します。