KVMを使用したvSRX仮想ファイアウォールの理解
このセクションでは、KVMでのvSRX仮想ファイアウォールの概要について説明します。
KVM上のvSRX仮想ファイアウォール
Linuxカーネルは、カーネルベースの仮想マシン(KVM)を仮想化インフラストラクチャとして使用します。KVMは、複数の仮想マシン(VM)を作成したり、セキュリティアプライアンスやネットワークアプライアンスをインストールしたりするために使用できるオープンソースソフトウェアです。
KVMの基本コンポーネントは次のとおりです。
基本的な仮想化インフラストラクチャを提供するLinuxカーネルに含まれるロード可能なカーネルモジュール
プロセッサ固有のモジュール
Linuxカーネルにロードされると、KVMソフトウェアは ハイパーバイザーとして機能します。KVMは マルチテナント機能 をサポートしており、 ホスト OS上で複数のvSRX仮想ファイアウォールVMを実行できます。KVMは、ホストOSと複数のvSRX仮想ファイアウォールVM間でシステムリソースを管理および共有します。
vSRX仮想ファイアウォールでは、インテル仮想化テクノロジー(VT)対応プロセッサを搭載したホストOS上でハードウェアベースの仮想化を有効にする必要があります。
図1 は、Ubuntuサーバー上のvSRX仮想ファイアウォールVMの基本構造を示しています。
vSRX仮想ファイアウォールのスケールアップパフォーマンス
表1 は、vSRX仮想ファイアウォールVMに適用されるvCPUとvRAMの数と、特定のvSRX仮想ファイアウォールソフトウェア仕様が導入されたJunos OSリリースに基づく、KVMに展開した場合のvSRX仮想ファイアウォールのスケールアップパフォーマンスを示しています。
Vcpu |
Vram |
Nic |
導入されたリリース |
---|---|---|---|
vCPU x 2 |
4GB |
|
Junos OSリリース15.1X49-D15およびJunos OSリリース17.3R1 |
5 vCPU |
8GB |
|
Junos OSリリース15.1X49-D70およびJunos OSリリース17.3R1 |
5 vCPU |
8GB |
|
Junos OSリリース15.1X49-D90およびJunos OSリリース17.3R1 |
1 vCPU | 4GB |
Mellanox ConnectX-4 および ConnectX-5 ファミリー アダプター上の SR-IOV。 |
Junos OSリリース21.2R1 |
4個のvCPU | 8GB |
Mellanox ConnectX-4 および ConnectX-5 ファミリー アダプター上の SR-IOV。 |
Junos OSリリース21.2R1 |
8 個の vCPU | 16GB |
Mellanox ConnectX-4 および ConnectX-5 ファミリー アダプター上の SR-IOV。 |
Junos OSリリース21.2R1 |
16個のvCPU | 32GB |
Mellanox ConnectX-4 および ConnectX-5 ファミリー アダプター上の SR-IOV。 |
Junos OSリリース21.2R1 |
vSRX仮想ファイアウォールインスタンスのパフォーマンスと容量は、vCPUの数とvSRX仮想ファイアウォールに割り当てるvRAMの量を増やすことで拡張できます。マルチコアvSRX仮想ファイアウォールは、起動時に適切なvCPUとvRAMの値、およびNIC内の受信側スケーリング(RSS)キューの数を自動的に選択します。vSRX仮想ファイアウォール仮想マシンに割り当てられたvCPUとvRAMの設定が現在利用可能な設定と一致しない場合、vSRX仮想ファイアウォールはインスタンスでサポートされている最も近い値にスケールダウンします。たとえば、vSRX仮想ファイアウォール仮想マシンに3つのvCPUと8GBのvRAMが搭載されている場合、vSRX仮想ファイアウォールは小さい方のvCPUサイズで起動し、最低2つのvCPUが必要になります。vSRX仮想ファイアウォールインスタンスをより多くのvCPU数と容量のvRAMにスケールアップすることはできますが、既存のvSRX仮想ファイアウォールインスタンスをより小さい設定にスケールダウンすることはできません。
通常、RSSキューの数は、vSRX仮想ファイアウォールインスタンスのデータプレーンvCPUの数と一致します。たとえば、4つのデータプレーンvCPUを持つvSRX仮想ファイアウォールには、4つのRSSキューが必要です。
vSRX仮想ファイアウォールのセッション容量増加
vSRX仮想ファイアウォールソリューションは、メモリを増やすことでセッション数を増やすように最適化されています。
メモリを増やしてセッション数を増やす機能により、vSRX仮想ファイアウォールを有効にして次のことが可能になります。
-
モバイル ネットワークの戦略的な拠点で、拡張性、柔軟性、ハイパフォーマンスに優れたセキュリティを提供します。
-
サービスプロバイダがネットワークの拡張と保護に必要とするパフォーマンスを提供します。
show security flow session summary | grep maximum
コマンドを実行して、セッションの最大数を表示します。
Junos OSリリース18.4R1以降、vSRX仮想ファイアウォールインスタンスでサポートされるフローセッションの数は、使用するvRAMサイズに基づいて増加します。
Junos OSリリース19.2R1以降、vSRX仮想ファイアウォール3.0インスタンスでサポートされるフローセッションの数は、使用するvRAMサイズに基づいて増加します。
vSRX仮想ファイアウォール3.0では、最大28Mセッションがサポートされています。64G以上のメモリを搭載したvSRX仮想ファイアウォール3.0を導入できますが、最大フローセッション数は28Mにすぎません。
表 2 に、フロー セッションの容量を示します。
Vcpu |
メモリ |
フロー セッションの容量 |
---|---|---|
2 |
4GB |
0.5メートル |
2 |
6GB |
1メートル |
2/5 |
8GB |
2メートル |
2/5 |
10GB |
2メートル |
2/5 |
12GB |
2.5メートル |
2/5 |
14GB |
3メートル |
2/5/9 |
16GB |
4メートル |
2/5/9 |
20GB |
6メートル |
2/5/9 |
24GB |
8メートル |
2/5/9 |
28GB |
10メートル |
2/5/9/17 |
32GB |
12メートル |
2/5/9/17 |
40GB |
16メートル |
2/5/9/17 |
48GB |
20メートル |
2/5/9/17 |
56GB |
24メートル |
2/5/9/17 |
64GB |
28メートル |
変更履歴テーブル
機能のサポートは、使用しているプラットフォームとリリースによって決まります。 機能エクスプローラー を使用して、機能がプラットフォームでサポートされているかどうかを判断します。