KVM上のvSRX仮想ファイアウォールの要件
このセクションでは、KVMにvSRX仮想ファイアウォールインスタンスを導入するための要件の概要について説明します。
ソフトウェアの仕様
KVM環境にvSRX仮想ファイアウォールを導入する場合のシステムソフトウェア要件仕様を下表に示します。この表は、KVMにvSRX仮想ファイアウォールを導入するための特定のソフトウェア仕様が導入されたJunos OSリリースの概要を示しています。特定の機能を利用するには、特定のJunos OSリリースをダウンロードする必要があります。
KVMホストカーネルに関連するページ変更ログ(PML)の問題により、vSRX仮想ファイアウォールが正常に起動しない可能性があります。vSRX 仮想ファイアウォールでこのような動作が発生した場合は、ホスト カーネル レベルで PML を無効にすることをお勧めします。ネストされた仮想化の有効化の一環として PML を無効にする方法の詳細については、 vSRX インストールのためのサーバーの準備 を参照してください。
| 機能 | 仕様 | Junos OS リリースが導入されました |
|---|---|---|
| vCPU/メモリ | 2 vCPU / 4 GB RAM |
Junos OSリリース15.1X49-D15およびJunos OSリリース17.3R1(vSRX仮想ファイアウォール) |
| 5 vCPU / 8 GB RAM |
Junos OSリリース15.1X49-D70およびJunos OSリリース17.3R1(vSRX仮想ファイアウォール) |
|
| 9 vCPU / 16 GB RAM |
Junos OSリリース18.4R1(vSRX仮想ファイアウォール) Junos OSリリース19.1R1(vSRX仮想ファイアウォール3.0) |
|
| 17 vCPU / 32 GB RAM |
Junos OSリリース18.4R1(vSRX仮想ファイアウォール) Junos OSリリース19.1R1(vSRX仮想ファイアウォール3.0) |
|
| 追加のvRAMによる柔軟なフローセッション容量拡張 |
Na | Junos OSリリース19.1R1(vSRX仮想ファイアウォール) Junos OSリリース19.2R1(vSRX仮想ファイアウォール3.0) |
| マルチコアスケーリング対応(ソフトウェアRSS) |
Na | Junos OSリリース19.3R1(vSRX仮想ファイアウォール3.0のみ) |
| ルーティングエンジン(vSRX仮想ファイアウォールおよびvSRX仮想ファイアウォール3.0)用に追加のvCPUコアを予約する |
Na | |
| Virtio(virtio-net、vhost-net)(vSRX仮想ファイアウォールおよびvSRX仮想ファイアウォール3.0) |
Na | |
| サポートされているハイパーバイザー | ||
| Linux KVM ハイパーバイザーのサポート |
Ubuntu 14.04.5、16.04、および16.10 |
Junos OSリリース18.4R1 |
| Ubuntu 18.04および20.04 | Junos OSリリース20.4R1 | |
| Red Hat Enterprise Linux (RHEL) 7.3 | Junos OSリリース18.4R1 | |
| Red Hat Enterprise Linux (RHEL) 7.6 および 7.7 | Junos OSリリース19.2R1 | |
| Red Hat Enterprise Linux(RHEL)8.2 | Junos OSリリース20.4R1 | |
| CentOS 7.1、7.2、7.6、および7.7 | Junos OSリリース19.2R1 | |
| その他の機能 | ||
| Cloud-init |
Na | |
| パワーモード IPSec(PMI) |
Na | |
| シャーシ クラスタ |
Na | |
| ソフトウェアRSSを用いたGTP TEIDベースのセッション配信 |
Na | ○(Junos OSリリース19.3R1以降) |
| オンデバイスウイルス対策スキャン エンジン (Avira) |
Na | ○(Junos OSリリース19.4R1以降) |
| Lldp |
Na | ○(Junos OSリリース21.1R1以降) |
| Junos Telemetry Interface |
Na | ○(Junos OSリリース20.3R1以降) |
| システム要件 | ||
| ハイパーバイザーのハードウェアアクセラレーション/有効なVMX CPUフラグ |
Na | |
| ディスク容量 |
16 GB(IDEまたはSCSIドライブ)(vSRX仮想ファイアウォール) |
Junos OSリリース15.1X49-D15およびJunos OSリリース17.3R1 |
| 18 GB(vSRX仮想ファイアウォール3.0) |
||
| vNIC | リリースの導入 |
|---|---|
| Virtio SA および HA | |
| SR-IOV SA および HA over Intel 82599/X520 シリーズ | Junos OSリリース15.1X49-D90およびJunos OSリリース17.3R1 |
| SR-IOV SA および HA over Intel X710/XL710/XXV710 シリーズ | Junos OSリリース15.1X49-D90 |
| SR-IOV SA over Intel E810 シリーズ | Junos OSリリース18.1R1 |
| SR-IOV HA over Intel E810シリーズ | Junos OSリリース18.1R1 |
| SR-IOV SA および HA over Mellanox ConnectX-3 | 未対応 |
| SR-IOV SA および HA over Mellanox ConnectX-4/5/6 (MLX5 ドライバーのみ) | Junos OSリリース18.1R1(vSRX仮想ファイアウォール) vSRX仮想ファイアウォール3.0のJunos OSリリース21.2R1以降 |
| Intel 82599/X520 シリーズ上の PCI パススルー | 未対応 |
| Intel X710/XL710シリーズを介したPCIパススルー | 未対応 |
| データ プレーン開発キット(DPDK)バージョン 17.05 |
Junos OSリリース18.2R1 |
| データ プレーン開発キット(DPDK)バージョン 18.11 Junos OSリリース19.4R1以降、DPDKバージョン18.11がvSRX仮想ファイアウォールでサポートされます。この機能により、vSRX仮想ファイアウォール上のMellanox Connectネットワークインターフェイスカード(NIC)は、OSPF、マルチキャスト、およびVLANをサポートするようになりました。 |
Junos OSリリース19.4R1 |
データ プレーン開発キット(DPDK)バージョン 20.11 Junos OSリリース21.2R1以降、データプレーン開発キット(DPDK)をバージョン18.11からバージョン20.11にアップグレードしました。新しいバージョンは、vSRX仮想ファイアウォール3.0で物理的なIntel E810シリーズ100G NICサポートを有効にするICEポーリングモードドライバー(PMD)をサポートしています。 |
Junos OSリリース21.2R1 |
KVMにvSRX仮想ファイアウォールを導入するには、インテルVT(バーチャライゼーションテクノロジー)対応プロセッサを搭載したホストOS上でハードウェアベースの仮想化を有効にする必要があります。ここでCPUの互換性を確認できます: http://www.linux-kvm.org/page/Processor_support
以下の表は、vSRX仮想ファイアウォールVMの仕様を示しています。
Junos OSリリース19.1R1以降、vSRX仮想ファイアウォールインスタンスは、拡張性とパフォーマンス向上のため、Linux KVMハイパーバイザー上のIntel X710/XL710上で、シングルルートI/O仮想化で9個または17個のvCPUを使用するゲストOSをサポートします。
vSRX仮想ファイアウォールに対するKVMカーネルの推奨事項
表3 は、KVMにvSRX仮想ファイアウォールを導入する場合に、LinuxホストOSに推奨されるLinuxカーネルバージョンを示しています。この表は、特定のLinuxカーネルバージョンに対するサポートが導入されたJunos OSリリースの概要を示しています。
| Linux ディストリビューション |
Linux カーネル バージョン |
サポートされている Junos OS リリース |
|---|---|---|
| Centos |
3.10.0.229 Linux カーネルをアップグレードして、推奨バージョンをキャプチャします。 |
Junos OS リリース 15.1X49-D15 および Junos OS リリース 17.3R1 以降のリリース |
| Ubuntu |
3.16 |
Junos OS リリース 15.1X49-D15 および Junos OS リリース 17.3R1 以降のリリース |
| 4.4 |
Junos OS リリース 15.1X49-D15 および Junos OS リリース 17.3R1 以降のリリース |
|
| 18.04 | Junos OS リリース 20.4R1 以降のリリース |
|
| 20.04 | Junos OS リリース 20.4R1 以降のリリース |
|
| Rhel |
3.10 |
Junos OS リリース 15.1X49-D15 および Junos OS リリース 17.3R1 以降のリリース |
KVM上のvSRX仮想ファイアウォール用の追加Linuxパッケージ
表4 は、KVMでvSRX仮想ファイアウォールを実行するためにLinuxホストOSで必要な追加パッケージを示しています。これらのパッケージがサーバーに存在しない場合にインストールする方法については、ホストOSのドキュメントを参照してください。
| パッケージ |
バージョン |
ダウンロードリンク |
|---|---|---|
| Libvirt |
0.10.0 |
|
| virt-manager (推奨) |
0.10.0 |
ハードウェアの仕様
表5 に、vSRX仮想ファイアウォールVMを実行するホストマシンのハードウェア仕様を示します。
コンポーネント |
仕様 |
|---|---|
ホスト・プロセッサ・タイプ |
Intel x86_64 マルチコア CPU
メモ:
DPDK を使用するには、CPU でインテル バーチャライゼーション VT-x/VT-d をサポートする必要があります。 インテル(R) バーチャライゼーション・テクノロジーについてを参照してください。 |
vSRX仮想ファイアウォールおよびvSRX仮想ファイアウォール3.0の物理NICサポート |
メモ:
Mellanox ConnectX-3 または ConnectX-4 ファミリ アダプターと共に SR-IOV を使用する場合は、必要に応じて、Linux ホストに最新の MLNX_OFED Linux ドライバーをインストールします。 Mellanox OpenFabrics Enterprise Distribution for Linux (MLNX_OFED)を参照してください。
メモ:
ゲストごとに物理デバイスを直接割り当てるためのハードウェアサポートを提供するには、Intel VT-d 拡張機能を有効にする必要があります。 KVMでのSR-IOVとPCIの設定を参照してください。 |
vSRX仮想ファイアウォール3.0の物理NICサポート |
Intel X710/XL710/XXV710およびIntel E810でSR-IOVをサポートします。 |
vSRX仮想ファイアウォールのパフォーマンスを向上させるためのベストプラクティス
vSRX仮想ファイアウォールのパフォーマンスを向上させるために、以下のプラクティスを確認してください。
NUMA ノード
x86 サーバー アーキテクチャは、複数のソケットとソケット内の複数のコアで構成されます。各ソケットには、NIC からホストへの I/O 転送中にパケットを格納するために使用されるメモリがあります。メモリからパケットを効率的に読み取るには、ゲスト アプリケーションと関連する周辺機器 (NIC など) を 1 つのソケット内に配置する必要があります。ペナルティは、メモリアクセスのためのスパンCPUソケットに関連しており、非決定的なパフォーマンスになる可能性があります。vSRX 仮想ファイアウォールでは、最適なパフォーマンスを得るために、vSRX 仮想ファイアウォール VM のすべての vCPU を同じ NUMA(物理不均一メモリアクセス)ノードに配置することをお勧めします。
ハイパーバイザーでNUMAノードトポロジがインスタンスのvCPUを複数のホストNUMAノードに分散するように設定されている場合、vSRX仮想ファイアウォール上のパケット転送エンジン(PFE)は応答しなくなります。vSRX仮想ファイアウォールでは、すべてのvCPUが同じNUMAノードに存在することを確認する必要があります。
NUMAノードアフィニティを設定して、vSRX仮想ファイアウォールインスタンスを特定のNUMAノードにバインドすることをお勧めします。NUMAノードアフィニティは、vSRX仮想ファイアウォールVMリソースのスケジューリングを、指定されたNUMAノードのみに制限します。
vSRX仮想ファイアウォールVMへの仮想インターフェイスのマッピング
LinuxホストOS上のどの仮想インターフェイスがvSRX仮想ファイアウォールVMにマッピングされているかを確認するには、次の手順に従います。
virsh listLinux ホスト OS でコマンドを使用して、実行中の VM を一覧表示します。hostOS# virsh list
Id Name State ---------------------------------------------------- 9 centos1 running 15 centos2 running 16 centos3 running 48 vsrx running 50 1117-2 running 51 1117-3 running
-
virsh domiflist vsrx-nameコマンドを使用して、そのvSRX仮想ファイアウォールVM上の仮想インターフェイスを一覧表示します。hostOS# virsh domiflist vsrx
Interface Type Source Model MAC ------------------------------------------------------- vnet1 bridge brem2 virtio 52:54:00:8f:75:a5 vnet2 bridge br1 virtio 52:54:00:12:37:62 vnet3 bridge brconnect virtio 52:54:00:b2:cd:f4
メモ:最初の仮想インターフェイスは、Junos OS の fxp0 インターフェイスにマップされます。
KVM上のvSRX仮想ファイアウォールのインターフェイスマッピング
vSRX仮想ファイアウォール用に定義された各ネットワークアダプタは、vSRX仮想ファイアウォールインスタンスがスタンドアロンVMであるか、高可用性のためのクラスタペアの1つであるかに応じて、特定のインターフェイスにマッピングされます。vSRX仮想ファイアウォールのインターフェイス名とマッピングを 表6 と 表7に示します。
次の点に注意してください。
スタンドアロンモードの場合:
fxp0 はアウトオブバンド管理インターフェイスです。
ge-0/0/0は、最初のトラフィック(収益)インターフェイスです。
クラスタ モードの場合:
fxp0 はアウトオブバンド管理インターフェイスです。
em0 は、両方のノードのクラスタ制御リンクです。
ノード 0 の fab0 の ge-0/0/0 や、ノード 1 の fab1 の ge-7/0/0 のように、どのトラフィック インターフェイスもファブリック リンクとして指定できます。
表6 に、スタンドアロンvSRX仮想ファイアウォールVMのインターフェイス名とマッピングを示します。
ネットワーク アダプタ |
vSRX仮想ファイアウォール向けJunos OSのインターフェイス名 |
|---|---|
1 |
fxp0: |
2 |
ge-0/0/0 |
3 |
ge-0/0/1 |
4 |
ge-0/0/2 |
5 |
ge-0/0/3 |
6 |
ge-0/0/4 |
7 |
ge-0/0/5 |
8 |
ge-0/0/6 |
表7 は、クラスター内のvSRX仮想ファイアウォールVMのペア(ノード0とノード1)のインターフェイス名とマッピングを示しています。
ネットワーク アダプタ |
vSRX仮想ファイアウォール向けJunos OSのインターフェイス名 |
|---|---|
1 |
fxp0(ノード 0 および 1) |
2 |
em0(ノード0および1) |
3 |
ge-0/0/0 (ノード 0)ge-7/0/0 (ノード 1) |
4 |
ge-0/0/1 (ノード 0)ge-7/0/1 (ノード 1) |
5 |
ge-0/0/2 (ノード 0)ge-7/0/2 (ノード 1) |
6 |
ge-0/0/3 (ノード 0)ge-7/0/3 (ノード 1) |
7 |
ge-0/0/4 (ノード 0)ge-7/0/4 (ノード 1) |
8 |
ge-0/0/5 (ノード 0)ge-7/0/5 (ノード 1) |
KVMのvSRX仮想ファイアウォールのデフォルト設定
vSRX仮想ファイアウォールには、次の基本構成設定が必要です。
インターフェイスには IP アドレスを割り当てる必要があります。
インターフェイスはゾーンにバインドされている必要があります。
トラフィックを許可または拒否するには、ゾーン間でポリシーを構成する必要があります。
表8 は、vSRX仮想ファイアウォールのセキュリティポリシーの工場出荷時のデフォルト設定を示しています。
ソースゾーン |
宛先ゾーン |
ポリシーアクション |
|---|---|---|
信頼 |
信頼できない |
許可 |
信頼 |
信頼 |
許可 |
信頼できない |
信頼 |
拒否 |