Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
項目一覧
 

KVM上のvSRX仮想ファイアウォールの要件

このセクションでは、KVMにvSRX仮想ファイアウォールインスタンスを導入するための要件の概要を説明します。

ソフトウェア仕様

以下の表は、KVM環境にvSRX仮想ファイアウォールを展開する場合のシステムソフトウェア要件の仕様を示しています。次の表は、KVMにvSRX仮想ファイアウォールを展開するための特定のソフトウェア仕様が導入されたJunos OSリリースの概要を示しています。特定の機能を活用するには、特定のJunos OSリリースをダウンロードする必要があります。

注意:

KVMホストカーネルに関連するページ変更ログ(PML)の問題により、vSRX仮想ファイアウォールが正常に起動しなくなる可能性があります。vSRX仮想ファイアウォールでこの動作が発生した場合は、ホストカーネルレベルでPMLを無効にすることをお勧めします。ネスト仮想化を有効にする一環として PML を無効にする方法について詳しくは、 vSRX インストールのためのサーバーの準備 を参照してください。

表1:vSRX仮想ファイアウォールの機能サポート
機能 仕様 Junos OS リリースの導入
vCPU/メモリ

2 vCPU / 4 GB RAM

Junos OS リリース 15.1X49-D15 および Junos OS リリース 17.3R1(vSRX仮想ファイアウォール)

5 vCPU / 8 GB RAM

Junos OS リリース 15.1X49-D70 および Junos OS リリース 17.3R1(vSRX仮想ファイアウォール)

9 vCPU / 16 GB RAM

Junos OS リリース 18.4R1(vSRX仮想ファイアウォール)

Junos OS リリース 19.1R1(vSRX仮想ファイアウォール 3.0)

17 vCPU / 32 GB RAM

Junos OS リリース 18.4R1(vSRX仮想ファイアウォール)

Junos OS リリース 19.1R1(vSRX仮想ファイアウォール 3.0)

vRAMの追加による柔軟なフローセッション容量の拡張

該当なし

Junos OS リリース 19.1R1(vSRX仮想ファイアウォール)

Junos OS リリース 19.2R1(vSRX仮想ファイアウォール 3.0)

マルチコアスケーリングサポート(ソフトウェアRSS)

該当なし Junos OS リリース 19.3R1(vSRX仮想ファイアウォール 3.0のみ)

ルーティングエンジン(vSRX仮想ファイアウォールおよびvSRX仮想ファイアウォール3.0)用の追加のvCPUコアを予約します

 該当なし  

Virtio(virtio-net、vhost-net)(vSRX仮想ファイアウォールおよびvSRX仮想ファイアウォール3.0)

 該当なし  
サポートされているハイパーバイザー

Linux KVM ハイパーバイザーのサポート

手記:

ここで説明した指定のJunos OS OSリリース以降、それ以降のすべてのJunos OSリリースもこれらのRHELバージョン以降のリリースをサポートします。

Ubuntu 14.04.5、16.04、および16.10

 Junos OS リリース 18.4R1
Ubuntu 18.04および20.04 Junos OS リリース 20.4R1
Red Hat Enterprise Linux (RHEL) 7.3、7.6、および 7.7 Junos OS リリース 18.4R1
Red Hat Enterprise Linux (RHEL) 8.2 Junos OS リリース 19.2R1
Red Hat Enterprise Linux(RHEL)9 Junos OS リリース 23.4R1
CentOS 7.1、7.2、7.6、および7.7 Junos OS リリース 20.4R1
その他の機能

cloud-init

 該当なし ○(Junos OS リリース 15.1X49-D100 および Junos OS リリース 17.4R1 以降)

Powermode IPSec(PMI)

該当なし  

シャーシ クラスタ

該当なし ○(Junos OS 12.1X46-D10以降)

ソフトウェアRSSを使用したGTP TEIDベースのセッション配信

該当なし ○(Junos OS リリース 19.3R1 以降)

デバイス上のウイルス対策スキャン エンジン (Avira)

該当なし ○(Junos OS リリース 19.4R1 以降)

LLDP

該当なし ○(Junos OS リリース 21.1R1 以降)

Junos Telemetry Interface

 該当なし ○(Junos OS リリース 20.3R1 以降)
システム要件

ハイパーバイザーのハードウェアアクセラレーション/有効なVMX CPUフラグ

該当なし  

ディスク容量

16 GB(IDEまたはSCSIドライブ)(vSRX仮想ファイアウォール)

Junos OS リリース 15.1X49-D15 および Junos OS リリース 17.3R1

18 GB(vSRX仮想ファイアウォール3.0)

  
表2:vSRX仮想ファイアウォールでのvNICサポート
vNIC リリースの導入
Virtio SA と HA  
Intel 82599/X520 シリーズを介した SR-IOV SA と HA Junos OS リリース 15.1X49-D90 および Junos OS リリース 17.3R1
Intel X710/XL710/XXV710シリーズを介したSR-IOV SAおよびHA Junos OS リリース 15.1X49-D90
Intel E810 シリーズを介した SR-IOV SA と HA Junos OS リリース 21.2R1
手記:

Junos OS リリース 23.2R2 以降では、ICE ドライバ 1.12.7 のみが vSRX 3.0 の E810 と互換性があります。1.12.7より前のバージョンでは互換性の問題が発生し、FPCがオンラインになりません。
Mellanox ConnectX-3 による SR-IOV SA と HA 未対応
Mellanox ConnectX-4/5/6 を介した SR-IOV SA および HA (MLX5 ドライバーのみ)

Junos OS リリース 18.1R1(vSRX仮想ファイアウォール)

vSRX仮想ファイアウォール3.0のJunos OS リリース21.2R1以降
Intel 82599/X520 シリーズ上の PCI パススルー 未対応
Intel X710/XL710シリーズ上のPCIパススルー 未対応

データ プレーン開発キット (DPDK) バージョン 17.05

 Junos OS リリース 18.2R1

データ プレーン開発キット (DPDK) バージョン 18.11

Junos OS リリース 19.4R1 以降、DPDK バージョン 18.11 は vSRX仮想ファイアウォールでサポートされています。この機能により、vSRX仮想ファイアウォール上のMellanox Connectネットワークインターフェイスカード(NIC)でOSPFマルチキャストとVLANがサポートされるようになりました。

 Junos OS リリース 19.4R1

データ プレーン開発キット (DPDK) バージョン 20.11

Junos OS リリース 21.2R1 以降、データ プレーン開発キット(DPDK)をバージョン 18.11 からバージョン 20.11 にアップグレードしました。新しいバージョンは、vSRX仮想ファイアウォール3.0で物理的なIntel E810シリーズ100G NICサポートを有効にするICEポーリングモードドライバー(PMD)をサポートしています。		 Junos OS リリース 21.2R1
手記:

KVM導入時にvSRX仮想ファイアウォールを使用するには、Intel Virtualization Technology(VT)対応プロセッサを搭載したホストOS上でハードウェアベースの仮想化を有効にする必要があります。CPUの互換性は、http://www.linux-kvm.org/page/Processor_support で確認できます。

以下の表は、vSRX仮想ファイアウォールVMの仕様の一覧です。

Junos OS リリース 19.1R1 以降、vSRX仮想ファイアウォールインスタンスは、拡張性とパフォーマンスを向上させるため、Linux KVM ハイパーバイザー上の Intel X710/XL710 上でシングルルート I/O 仮想化により、9 または 17 個の vCPU を使用するゲスト OS をサポートします。

vSRX仮想ファイアウォールに対するKVMカーネル推奨事項

表3 は、KVMにvSRX仮想ファイアウォールを展開する際に、LinuxホストOSに推奨されるLinuxカーネルバージョンを示しています。次の表は、特定のLinuxカーネルバージョンに対するサポートが導入されたJunos OSリリースの概要を示しています。

表3:KVMに対するカーネルの推奨事項

Linuxディストリビューション

Linux カーネルのバージョン

サポートされている Junos OS リリース

CentOSの

3.10.0.229

Linux カーネルをアップグレードして、推奨バージョンをキャプチャします。

Junos OS リリース 15.1X49-D15 および Junos OS リリース 17.3R1 以降のリリース

Ubuntuの

3.16

Junos OS リリース 15.1X49-D15 および Junos OS リリース 17.3R1 以降のリリース

4.4

Junos OS リリース 15.1X49-D15 および Junos OS リリース 17.3R1 以降のリリース
18.04

Junos OS リリース 20.4R1 以降のリリース
20.04

Junos OS リリース 20.4R1 以降のリリース

RHELの

3.10

Junos OS リリース 15.1X49-D15 および Junos OS リリース 17.3R1 以降のリリース

KVM上のvSRX仮想ファイアウォール用の追加Linuxパッケージ

表4 は、KVMでvSRX仮想ファイアウォールを実行するためにLinuxホストOSで必要な追加パッケージを示しています。これらのパッケージがサーバーに存在しない場合のインストール方法については、ホストOSのドキュメントを参照してください。

表4:KVM用の追加Linuxパッケージ

パッケージ

バージョン

ダウンロードリンク

libvirt

0.10.0

libvirt ダウンロード

virt-manager (推奨)

0.10.0

virt-manager のダウンロード

ハードウェアの仕様

表 5 は、vSRX仮想ファイアウォール仮想マシンを実行するホスト マシンのハードウェア仕様を示しています。

表5:ホストマシンのハードウェア仕様

コンポーネント

仕様

ホストプロセッサの種類

Intel x86_64 マルチコア CPU

手記:

DPDK には、CPU での Intel 仮想化 VT-x/VT-d サポートが必要です。 インテル・バーチャライゼーション・テクノロジーについてを参照してください。

vSRX仮想ファイアウォールおよびvSRX仮想ファイアウォール3.0の物理NICサポート

  • ヴィルティオ

  • SR-IOV(Intel X710/XL710、X520/540、82599)

  • SR-IOV(Mellanox ConnectX-3/ConnectX-3 Pro および Mellanox ConnectX-4 EN/ConnectX-4 Lx EN)

手記:

Mellanox ConnectX-3 または ConnectX-4 ファミリ アダプタで SR-IOV を使用する場合、Linux ホストで、必要に応じて最新の MLNX_OFED Linux ドライバをインストールします。
手記:

ゲストごとに物理デバイスを直接割り当てるためのハードウェア サポートを提供するためには、Intel VT-d 拡張を有効にする必要があります。 KVM での SR-IOV と PCI の設定を参照してください。

vSRX仮想ファイアウォール3.0の物理NICサポート

Intel X710/XL710/XXV710、Intel E810 で SR-IOV をサポートします。

vSRX仮想ファイアウォールのパフォーマンス向上のためのベストプラクティス

vSRX仮想ファイアウォールのパフォーマンスを向上させるには、以下の方法をご確認ください。

NUMA ノード

x86 サーバー アーキテクチャは、複数のソケットとソケット内の複数のコアで構成されます。各ソケットには、NIC からホストへの I/O 転送中にパケットを格納するために使用されるメモリがあります。メモリからパケットを効率的に読み取るには、ゲスト アプリケーションと関連する周辺機器 (NIC など) を 1 つのソケット内に配置する必要があります。ペナルティは、メモリ アクセスのために CPU ソケットをスパニングすることに関連付けられており、非決定論的なパフォーマンスになる可能性があります。vSRX仮想ファイアウォールの場合、最適なパフォーマンスを得るために、vSRX仮想ファイアウォール仮想マシンのすべてのvCPUを同じ物理不均一メモリアクセス(NUMA)ノードに配置することをお勧めします。

注意:

インスタンスのvCPUを複数のホストNUMAノードに分散するようにハイパーバイザーでNUMAノードトポロジーが設定されている場合、vSRX仮想ファイアウォール上のパケット転送エンジン(PFE)が応答しなくなります。vSRX仮想ファイアウォールでは、すべてのvCPUが同じNUMAノードに存在するようにする必要があります。

NUMAノードアフィニティを設定して、vSRX仮想ファイアウォールインスタンスを特定のNUMAノードにバインドすることをお勧めします。NUMA ノード アフィニティにより、vSRX仮想ファイアウォール仮想マシンのリソース スケジューリングは、指定された NUMA ノードのみに制限されます。

vSRX仮想ファイアウォールVMへの仮想インターフェイスのマッピング

LinuxホストOS上のどの仮想インターフェイスがvSRX仮想ファイアウォールVMにマッピングされているかを確認するには、以下を行います。

  1. Linux ホスト OS で virsh list コマンドを使用して、実行中の VM を一覧表示します。

  2. virsh domiflist vsrx-name コマンドを使用して、そのvSRX仮想ファイアウォール VM 上の仮想インターフェイスを一覧表示します。

    手記:

    最初の仮想インターフェイスは、Junos OS の fxp0 インターフェイスにマッピングされます。

KVM上のvSRX仮想ファイアウォールのインターフェイスマッピング

vSRX仮想ファイアウォールに定義された各ネットワークアダプタは、vSRX仮想ファイアウォールインスタンスがスタンドアロン仮想マシンであるか、高可用性のためのクラスタペアの1つであるかに応じて、特定のインターフェイスにマッピングされます。vSRX仮想ファイアウォールのインターフェイス名とマッピングを 表6表7に示します。

次の点に注意してください。

  • スタンドアロンモードの場合:

    • fxp0 はアウトオブバンド管理インターフェイスです。

    • ge-0/0/0 は、最初のトラフィック(収益)インターフェイスです。

  • クラスタモードの場合:

    • fxp0 はアウトオブバンド管理インターフェイスです。

    • em0 は、両ノードのクラスタ制御リンクです。

    • ノード 0 の fab0 の ge-0/0/0、ノード 1 の fab1 の ge-7/0/0 というように、どのトラフィック インターフェイスもファブリック リンクとして指定できます。

表 6 は、スタンドアロンの vSRX仮想ファイアウォールVM のインターフェイス名とマッピングを示しています。

表6:スタンドアロンvSRX仮想ファイアウォールVMのインターフェイス名

ネットワーク アダプタ

vSRX仮想ファイアウォール用Junos OSのインターフェイス名

1

fxp0

2

ge-0/0/0

3

ge-0/0/1

4

ge-0/0/2

5

ge-0/0/3

6

ge-0/0/4

7

ge-0/0/5

8

ge-0/0/6

表 7 は、クラスタ内の vSRX仮想ファイアウォール仮想マシンのペア(ノード 0 とノード 1)のインターフェイス名とマッピングを示しています。

表7:vSRX仮想ファイアウォールクラスターペアのインターフェイス名

ネットワーク アダプタ

vSRX仮想ファイアウォール用Junos OSのインターフェイス名

1

fxp0(ノード0および1)

2

em0 (ノード 0 と 1)

3

ge-0/0/0(ノード0)ge-7/0/0(ノード1)

4

ge-0/0/1(ノード0)ge-7/0/1(ノード1)

5

ge-0/0/2(ノード0)ge-7/0/2(ノード1)

6

ge-0/0/3(ノード0)ge-7/0/3(ノード1)

7

ge-0/0/4(ノード0)ge-7/0/4(ノード1)

8

ge-0/0/5(ノード0)ge-7/0/5(ノード1)

KVMのvSRX仮想ファイアウォールデフォルト設定

vSRX仮想ファイアウォールには、以下の基本構成設定が必要です。

  • インターフェイスにはIPアドレスを割り当てる必要があります。

  • インターフェイスはゾーンにバインドする必要があります。

  • トラフィックを許可または拒否するには、ゾーン間でポリシーを設定する必要があります。

表8 は、vSRX仮想ファイアウォールのセキュリティポリシーの工場出荷時のデフォルト設定を示しています。

表8:セキュリティ ポリシーの工場出荷時のデフォルト設定

送信元ゾーン

ゾーンと宛先

ポリシー アクション

信託

信頼できない

許す

信託

信託

許す

信頼できない

信託

打ち消す

関連資料