Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

KVM 上の vSRX 仮想ファイアウォールの要件

このセクションでは、KVM 上に vSRX 仮想ファイアウォール インスタンスを導入するための要件の概要を示します。

ソフトウェアの仕様

#requirements-for-vsrx-on-kvm__software-req は、KVM 環境に vSRX 仮想ファイアウォールを導入する際のシステム ソフトウェア要件の仕様を示しています。表では、KVM 上に vSRX 仮想ファイアウォールを導入するための特定のソフトウェア仕様が導入された Junos OS リリースの概要を示しています。特定の機能を活用するには、特定のJunos OSリリースをダウンロードする必要があります。

注意:

KVM ホスト カーネルに関連する PML(ページ変更ロギング)の問題により、vSRX 仮想ファイアウォールが正常に起動できなくなる可能性があります。vSRX 仮想ファイアウォールでこの動作が発生した場合は、ホスト カーネル レベルで PML を無効にすることをお勧めします。ネストされた仮想化の有効化の一環として PML を無効にする方法の詳細については、 vSRX インストール用サーバーの準備 を参照してください。

表 1:vSRX 仮想ファイアウォールの機能サポート
機能 仕様 Junos OS リリースの導入
vCPU/メモリ

2 vCPU/4 GB RAM

Junos OS リリース 15.1X49-D15 および Junos OS リリース 17.3R1(vSRX 仮想ファイアウォール)

5 vCPU/ 8 GB RAM

Junos OS リリース 15.1X49-D70 および Junos OS リリース 17.3R1(vSRX 仮想ファイアウォール)

9 vCPU/16 GB RAM

Junos OS リリース 18.4R1(vSRX 仮想ファイアウォール)

Junos OS リリース 19.1R1(vSRX 仮想ファイアウォール 3.0)

17 vCPU/ 32 GB RAM

Junos OS リリース 18.4R1(vSRX 仮想ファイアウォール)

Junos OS リリース 19.1R1(vSRX 仮想ファイアウォール 3.0)

追加の vRAM による柔軟なフロー セッション容量の拡張

Na

Junos OS リリース 19.1R1(vSRX 仮想ファイアウォール)

Junos OS リリース 19.2R1(vSRX 仮想ファイアウォール 3.0)

マルチコア拡張のサポート(ソフトウェア RSS)

Na Junos OS リリース 19.3R1(vSRX 仮想ファイアウォール 3.0 のみ)

ルーティング エンジン(vSRX 仮想ファイアウォールおよび vSRX 仮想ファイアウォール 3.0)に追加の vCPU コアを予約する

Na  

Virtio(virtio-net、vhost-net)(vSRX 仮想ファイアウォールおよび vSRX 仮想ファイアウォール 3.0)

Na  
サポートされるハイパーバイザー

Linux KVMハイパーバイザーのサポート

Ubuntu 14.04.5、16.04、16.10

Junos OS リリース 18.4R1
Ubuntu 18.04および20.04 Junos OS リリース 20.4R1
Red Hat Enterprise Linux(RHEL)7.3 Junos OS リリース 18.4R1
Red Hat Enterprise Linux(RHEL)7.6 および 7.7 Junos OS リリース 19.2R1
Red Hat Enterprise Linux(RHEL)8.2 Junos OS リリース 20.4R1
CentOS 7.1、7.2、7.6、7.7 Junos OS リリース 19.2R1
その他の機能

Cloud-init

Na  

PMI(Powermode IPSec)

Na  

シャーシ クラスタ

Na  

ソフトウェアRSSを使用したGTPTEIDベースのセッション配信

Na ○(Junos OS リリース 19.3R1 以降)

オンデバイスアンチウィルススキャンエンジン(Avira)

Na ○(Junos OS リリース 19.4R1 以降)

Lldp

Na ○(Junos OS リリース 21.1R1 以降)

Junos Telemetry Interface

Na ○(Junos OS リリース 20.3R1 以降)
システム要件

ハイパーバイザーにおけるハードウェアアクセラレーション/対応VMX CPUフラグ

Na  

ディスク容量

16 GB(IDE または SCSI ドライブ)(vSRX 仮想ファイアウォール)

Junos OS リリース 15.1X49-D15 および Junos OS リリース 17.3R1

18 GB(vSRX 仮想ファイアウォール 3.0)

 
表2:vSRX仮想ファイアウォールでのvNICサポート
vNIC リリース導入
Virtio SA および HA  
SR-IOV SA および HA over Intel 82599/X520 シリーズ Junos OS リリース 15.1X49-D90 および Junos OS リリース 17.3R1
INTEL X710/XL710/XXV710 シリーズ上の SR-IOV SA および HA Junos OS リリース 15.1X49-D90
SR-IOV SA over Intel E810 シリーズ Junos OS リリース 18.1R1
SR-IOV HA over Intel E810 シリーズ unos OS リリース 18.1R1
SR-IOV SA および HA over Mellanox ConnectX-3 サポートされていません
SR-IOV SA および HA over Mellanox ConnectX-4/5/6(MLX5 ドライバのみ)

Junos OS リリース 18.1R1(vSRX 仮想ファイアウォール)

vSRX 仮想ファイアウォール 3.0 の Junos OS リリース 21.2R1 以降

Intel 82599/X520シリーズ上のPCIパススルー サポートされていません
Intel X710/XL710シリーズ上のPCIパススルー サポートされていません

データ プレーン開発キット(DPDK)バージョン 17.05

Junos OS リリース 18.2R1

データ プレーン開発キット(DPDK)バージョン 18.11

Junos OS リリース 19.4R1 以降、DPDK バージョン 18.11 は vSRX 仮想ファイアウォールでサポートされています。この機能により、vSRX仮想ファイアウォールのメラノックス接続ネットワークインターフェイスカード(NIC)がOSPFマルチキャストとVLANをサポートするようになりました。

Junos OS リリース 19.4R1

データ プレーン開発キット(DPDK)バージョン 20.11

Junos OS リリース 21.2R1 以降、データ プレーン開発キット(DPDK)をバージョン 18.11 からバージョン 20.11 にアップグレードしました。新しいバージョンは、vSRX仮想ファイアウォール3.0で物理的なIntel E810シリーズ100G NICサポートを有効にするICEポーリングモードドライバ(PMD)をサポートしています。
Junos OS リリース 21.2R1
メモ:

KVM の vSRX 仮想ファイアウォールを導入するには、Intel Virtualization Technology(VT)対応プロセッサーを搭載したホスト OS 上でハードウェアベースの仮想化を有効にする必要があります。ここでCPU互換性を確認できます: http://www.linux-kvm.org/page/Processor_support

#requirements-for-vsrx-on-kvm__vSRXFlavorsonKVM は、vSRX仮想ファイアウォールVMの仕様を示しています。

Junos OSリリース19.1R1以降、vSRX仮想ファイアウォールインスタンスは、Linux KVMハイパーバイザー上のIntel X710/XL710上でシングルルートI/O仮想化を使用し、9個または17個のvCPUを使用してゲストOSをサポートし、拡張性とパフォーマンスを向上させます。

vSRX 仮想ファイアウォールに関する KVM カーネルの推奨事項

表 3 は、KVM 上で vSRX 仮想ファイアウォールを導入する際に、Linux ホスト OS に推奨される Linux カーネル バージョンを示しています。この表では、特定の Linux カーネル バージョンのサポートが導入された Junos OS リリースの概要を示しています。

表 3:KVM に関するカーネルの推奨事項

Linuxディストリビューション

Linux カーネル バージョン

サポートされているJunos OSリリース

Centos

3.10.0.229

Linux カーネルをアップグレードして、推奨バージョンをキャプチャします。

Junos OS リリース 15.1X49-D15 および Junos OS リリース 17.3R1 以降のリリース

Ubuntu

3.16

Junos OS リリース 15.1X49-D15 および Junos OS リリース 17.3R1 以降のリリース

4.4

Junos OS リリース 15.1X49-D15 および Junos OS リリース 17.3R1 以降のリリース

18.04

Junos OS リリース 20.4R1 以降のリリース

20.04

Junos OS リリース 20.4R1 以降のリリース

Rhel

3.10

Junos OS リリース 15.1X49-D15 および Junos OS リリース 17.3R1 以降のリリース

KVM 上の vSRX 仮想ファイアウォール用の追加 Linux パッケージ

表 4 は、KVM で vSRX 仮想ファイアウォールを実行するために Linux ホスト OS に必要な追加パッケージを示しています。これらのパッケージがサーバーに存在しない場合は、これらのパッケージをインストールする方法について、ホスト OS のマニュアルを参照してください。

表 4:KVM 用の追加 Linux パッケージ

パッケージ

バージョン

リンクをダウンロード

Libvirt

0.10.0

libvirt のダウンロード

virt-manager(推奨)

0.10.0

virt-manager のダウンロード

ハードウェアの仕様

表 5 は、vSRX 仮想ファイアウォール VM を実行するホスト マシンのハードウェア仕様を示しています。

表 5:ホスト マシンのハードウェア仕様

コンポーネント

仕様

ホスト プロセッサー タイプ

Intel x86_64 マルチコア CPU

メモ:

DPDK では、CPU の Intel 仮想化 VT-x/VT-d のサポートが必要です。 『About Intel Virtualization Technology』をご覧ください。

vSRX 仮想ファイアウォールおよび vSRX 仮想ファイアウォール 3.0 の物理 NIC サポート

  • Virtio

  • SR-IOV(Intel X710/XL710、X520/540、82599)

  • SR-IOV(Mellanox ConnectX-3/ConnectX-3 Pro および Mellanox ConnectX-4 EN/ConnectX-4 Lx EN)

メモ:

Mellanox ConnectX-3 または ConnectX-4 ファミリー アダプターのいずれかで SR-IOV を使用している場合は、必要に応じて Linux ホストに最新MLNX_OFED Linux ドライバをインストールします。 Linux向け Mellanox OpenFabrics Enterprise Distribution(MLNX_OFED)をご覧ください。

メモ:

ゲストごとに物理デバイスを直接割り当てるためのハードウェアサポートを提供するには、Intel VT-d拡張を有効にする必要があります。 KVM 上の SR-IOV および PCI の設定を参照してください。

vSRX 仮想ファイアウォール 3.0 の物理 NIC サポート

Intel X710/XL710/XXV710、Intel E810 で SR-IOV をサポートします。

vSRX仮想ファイアウォールパフォーマンスを向上させるベストプラクティス

vSRX仮想ファイアウォールのパフォーマンスを向上させるために、以下のプラクティスを確認してください。

NUMA ノード

x86 サーバー アーキテクチャは、1 つのソケット内で複数のソケットと複数のコアで構成されています。各ソケットには、NIC からホストへの I/O 転送中にパケットを格納するために使用されるメモリがあります。メモリからパケットを効率的に読み取るために、ゲスト アプリケーションと関連する周辺機器(NIC など)は、1 つのソケット内に存在する必要があります。メモリ アクセスに対するスパニング CPU ソケットにペナルティが関連付けられているため、非決定的なパフォーマンスが発生する可能性があります。vSRX 仮想ファイアウォールでは、最適なパフォーマンスを実現するために、vSRX 仮想ファイアウォール VM のすべての vCPU が、同じ物理 NUMA(一様メモリ アクセス)ノードに存在することを推奨します。

注意:

vSRX 仮想ファイアウォール上のパケット転送エンジン(PFE)は、ハイパーバイザーで NUMA ノード トポロジーが構成されている場合、応答しなくなり、インスタンスの vCPU が複数のホスト NUMA ノードに分散するように構成されます。vSRX 仮想ファイアウォールでは、すべての vCPU が同じ NUMA ノード上に存在することを確認する必要があります。

NUMA ノード アフィニティを設定することで、vSRX 仮想ファイアウォール インスタンスを特定の NUMA ノードにバインドすることをお勧めします。NUMA ノード アフィニティは、指定された NUMA ノードのみに対して、vSRX 仮想ファイアウォール VM リソース のスケジューリングを制限します。

vSRX 仮想ファイアウォール VM への仮想インターフェイスのマッピング

LinuxホストOS上の仮想インターフェイスをvSRX仮想ファイアウォールVMにマッピングするかを決定するには、次の手順に基づきます。

  1. Linux ホスト OS で コマンド virsh list を使用して、実行中の VM を一覧表示します。

  2. コマンドを virsh domiflist vsrx-name 使用して、その vSRX 仮想ファイアウォール VM 上の仮想インターフェイスを一覧表示します。

    メモ:

    最初の仮想インターフェイスは、Junos OS の fxp0 インターフェイスにマッピングされます。

KVM 上 vSRX 仮想ファイアウォールのインターフェイス マッピング

vSRX 仮想ファイアウォール用に定義された各ネットワーク アダプターは、vSRX 仮想ファイアウォール インスタンスがスタンドアロン VM であるか、高可用性のクラスター ペアの 1 つであるかに応じて、特定のインターフェイスにマッピングされます。vSRX仮想ファイアウォールのインターフェイス名とマッピングを 表6 および 表7に示します。

以下の点に注意してください。

  • スタンドアロンモードの場合:

    • fxp0 は、アウトオブバンド管理インターフェイスです。

    • ge-0/0/0 は、最初のトラフィック(収益)インターフェイスです。

  • クラスタモードでは:

    • fxp0 は、アウトオブバンド管理インターフェイスです。

    • em0 は、両方のノードのクラスター制御リンクです。

    • ノード0のfab0のge-0/0/0、ノード1のfab1のge-7/0/0など、すべてのトラフィックインターフェイスをファブリックリンクとして指定できます。

表 6 は、スタンドアロン vSRX 仮想ファイアウォール VM のインターフェイス名とマッピングを示しています。

表 6:スタンドアロン vSRX 仮想ファイアウォール VM のインターフェイス名

ネットワーク アダプター

vSRX仮想ファイアウォール向けJunos OSのインターフェイス名

1

fxp0

2

ge-0/0/0

3

ge-0/0/1

4

ge-0/0/2

5

ge-0/0/3

6

ge-0/0/4

7

ge-0/0/5

8

ge-0/0/6

表 7 は、クラスター内の vSRX 仮想ファイアウォール VM のペア(ノード 0 とノード 1)のインターフェイス名とマッピングを示しています。

表 7:vSRX 仮想ファイアウォール クラスター ペアのインターフェイス名

ネットワーク アダプター

vSRX仮想ファイアウォール向けJunos OSのインターフェイス名

1

fxp0(ノード0および1)

2

em0(ノード0および1)

3

ge-0/0/0(ノード0)ge-7/0/0(ノード1)

4

ge-0/0/1(ノード0)ge-7/0/1(ノード1)

5

ge-0/0/2(ノード0)ge-7/0/2(ノード1)

6

ge-0/0/3(ノード0)ge-7/0/3(ノード1)

7

ge-0/0/4(ノード0)ge-7/0/4(ノード1)

8

ge-0/0/5(ノード0)ge-7/0/5(ノード1)

KVM 上 vSRX 仮想ファイアウォールのデフォルト設定

vSRX 仮想ファイアウォールには、以下の基本設定が必要です。

  • インターフェイスにはIPアドレスを割り当てる必要があります。

  • インターフェイスはゾーンにバインドされている必要があります。

  • トラフィックを許可または拒否するには、ゾーン間でポリシーを設定する必要があります。

表 8 は、vSRX 仮想ファイアウォールのセキュリティ ポリシーに関する工場出荷時のデフォルト設定を示しています。

表 8: セキュリティ ポリシーの工場出荷時のデフォルト設定

ソース ゾーン

宛先ゾーン

ポリシーアクション

信頼

untrust

許可

信頼

信頼

許可

untrust

信頼

拒否