VMware上のvSRX仮想ファイアウォールの要件
ソフトウェア仕様
以下の表は、VMwareにvSRX仮想ファイアウォールを導入する際のシステムソフトウェア要件の仕様を示したものです。次の表は、VMwareにvSRX仮想ファイアウォールを展開するための特定のソフトウェア仕様が導入されたJunos OSリリースの概要を示しています。特定の機能を活用するには、特定の Junos OS リリースをダウンロードする必要があります。
| 機能 | 仕様 | Junos OS リリースの導入 |
|---|---|---|
| vCPU/メモリ | 2 vCPU/4 GB RAM |
Junos OS リリース 15.1X49-D15 および Junos OS リリース 17.3R1(vSRX仮想ファイアウォール) |
| 5 vCPU / 8 GB RAM |
Junos OS リリース 15.1X49-D70 および Junos OS リリース 17.3R1(vSRX仮想ファイアウォール) |
|
| 9 個の vCPU / 16 GB RAM |
Junos OS リリース 18.4R1(vSRX仮想ファイアウォール) Junos OS リリース 19.1R1(vSRX仮想ファイアウォール 3.0) |
|
| 17 vCPU/32 GB RAM |
Junos OS リリース 18.4R1(vSRX仮想ファイアウォール) Junos OS リリース 19.1R1(vSRX仮想ファイアウォール 3.0) |
|
| vRAMの追加による柔軟なフローセッション容量の拡張 |
該当なし | Junos OS リリース 19.1R1(vSRX仮想ファイアウォール) Junos OS リリース 19.2R1(vSRX仮想ファイアウォール 3.0) |
| マルチコアスケーリングサポート(ソフトウェアRSS) |
該当なし | Junos OS リリース 19.3R1(vSRX仮想ファイアウォール 3.0のみ) |
| ルーティングエンジン(vSRX仮想ファイアウォールおよびvSRX仮想ファイアウォール3.0)用の追加のvCPUコアを予約します |
該当なし | |
| Virtio(virtio-net、vhost-net)(vSRX仮想ファイアウォールおよびvSRX仮想ファイアウォール3.0) |
該当なし | |
| サポートされているハイパーバイザー | ||
| ハイパーバイザーのサポート |
VMware ESXi 5.1、5.5、6.0、6.5(vSRX仮想ファイアウォールおよびvSRX仮想ファイアウォール3.0) |
Junos OS リリース 18.4R1 |
| VMware ESXi 6.7および7.0(vSRX仮想ファイアウォール3.0のみ) | Junos OS リリース 19.3R1 以降 | |
| VMware ESXi 8.0(vSRX仮想ファイアウォール3.0のみ) | Junos OS リリース 24.2R2 以降 | |
| その他の機能 | ||
| cloud-init |
該当なし | |
| Powermode IPSec(PMI) |
該当なし | |
| シャーシ クラスタ |
該当なし | |
| ソフトウェアRSSを使用したGTP TEIDベースのセッション配信 |
該当なし | Junos OS リリース 19.3R1 以降 |
| デバイス上のウイルス対策スキャン エンジン (Avira) |
該当なし | Junos OS リリース 19.4R1 以降 |
| LLDP |
該当なし | Junos OS リリース 21.1R1 以降 |
| Junos Telemetry Interface |
該当なし | Junos OS リリース 20.3R1 以降 |
| システム要件 | ||
| ハードウェアアクセラレーション/ハイパーバイザーで有効なVMX CPUフラグ(vSRX仮想ファイアウォールのみ) |
該当なし | |
| ディスク容量 |
16 GB(IDEまたはSCSIドライブ)(vSRX仮想ファイアウォール) |
Junos OS リリース 15.1X49-D15 および Junos OS リリース 17.3R1 |
| 18 GB(vSRX仮想ファイアウォール3.0) |
||
| vNIC | Junos OS リリースの導入 |
|---|---|
| VMXNET3 SA と HA | |
| Intel X710/XL710/XXV710シリーズ(vSRX仮想ファイアウォール3.0)を介したSR-IOV SAおよびHA | Junos OS リリース 20.4R2 以降 |
| I40E(X710、X740、X722など)上のSR-IOV HA(vSRX仮想ファイアウォール3.0) | 未対応 |
| Intel E810シリーズ(vSRX仮想ファイアウォール3.0)を介したSR-IOV SAとHA | Junosリリース21.2R1以降 |
| Mellanox ConnectX-3 による SR-IOV SA と HA | 未対応 |
| Mellanox ConnectX-4/5/6 を介した SR-IOV SA および HA (MLX5 ドライバーのみ) | (Junos OS リリース 21.2R1 以降の SA) (Junos OS リリース 21.2R2 以降の HA) |
| Intel 82599/X520 シリーズ上の PCI パススルー | 未対応 |
| Intel X710/XL710シリーズ上のPCIパススルー | vSRX仮想ファイアウォール3.0ではサポートされていません |
| DPDK バージョンが 17.02 から 17.11.2 にアップグレードされ、Mellanox ファミリー アダプターがサポートされるようになりました。 |
Junos OS リリース 18.4R1 |
| データ プレーン開発キット (DPDK) バージョン 18.11 DPDKバージョン18.11は、vSRX仮想ファイアウォールでサポートされています。この機能により、vSRX仮想ファイアウォール上のMellanox Connectネットワークインターフェイスカード(NIC)でOSPFマルチキャストとVLANがサポートされるようになりました。 |
Junos OS リリース 19.4R1 |
vSRX仮想ファイアウォールのパフォーマンス向上のためのベストプラクティス
vSRX仮想ファイアウォールのパフォーマンスを向上させるには、以下の方法をご確認ください。
NUMA ノード
x86 サーバー アーキテクチャは、複数のソケットとソケット内の複数のコアで構成されます。各ソケットには、NIC からホストへの I/O 転送中にパケットを格納するために使用されるメモリもあります。メモリからパケットを効率的に読み取るには、ゲスト アプリケーションと関連する周辺機器 (NIC など) を 1 つのソケット内に配置する必要があります。ペナルティは、メモリ アクセスのために CPU ソケットをスパニングすることに関連付けられており、非決定論的なパフォーマンスになる可能性があります。vSRX仮想ファイアウォールの場合、最適なパフォーマンスを得るために、vSRX仮想ファイアウォール仮想マシンのすべてのvCPUを同じ物理不均一メモリアクセス(NUMA)ノードに配置することをお勧めします。
インスタンスのvCPUを複数のホストNUMAノードに分散するようにハイパーバイザーでNUMAノードトポロジーが設定されている場合、vSRX仮想ファイアウォール上のパケット転送エンジン(PFE)が応答しなくなります。vSRX仮想ファイアウォールでは、すべてのvCPUが同じNUMAノードに存在するようにする必要があります。
NUMAノードアフィニティを設定して、vSRX仮想ファイアウォールインスタンスを特定のNUMAノードにバインドすることをお勧めします。NUMA ノード アフィニティにより、vSRX仮想ファイアウォール仮想マシンのリソース スケジューリングは、指定された NUMA ノードのみに制限されます。
PCI NIC-to-VMマッピング
vSRX仮想ファイアウォールが実行されているノードが、Intel PCI NICが接続されているノードと異なる場合、パケットはQPIリンク内の追加のホップを通過する必要があり、これにより全体的なスループットが低下します。 esxtop コマンドを使用して、相対的な物理 NIC の場所に関する情報を表示します。この情報が利用できない一部のサーバーでは、スロットから NUMA ノードへのトポロジーに関するハードウェアのマニュアルを参照してください。
VMware上のvSRX仮想ファイアウォールのインターフェイスマッピング
vSRX仮想ファイアウォールに定義された各ネットワークアダプタは、vSRX仮想ファイアウォールインスタンスがスタンドアロン仮想マシンであるか、高可用性のためのクラスタペアの1つであるかに応じて、特定のインターフェイスにマッピングされます。vSRX仮想ファイアウォールのインターフェイス名とマッピングを 表3 と 表4に示します。
次の点に注意してください。
スタンドアロンモードの場合:
fxp0 はアウトオブバンド管理インターフェイスです。
ge-0/0/0 は、最初のトラフィック(収益)インターフェイスです。
クラスタモードの場合:
fxp0 はアウトオブバンド管理インターフェイスです。
em0 は、両ノードのクラスタ制御リンクです。
ノード 0 の fab0 の ge-0/0/0、ノード 1 の fab1 の ge-7/0/0 というように、どのトラフィック インターフェイスもファブリック リンクとして指定できます。
表 3 は、スタンドアロンの vSRX仮想ファイアウォール仮想マシンのインターフェイス名とマッピングを示しています。
ネットワーク アダプタ |
Junos OS のインターフェイス名 |
|---|---|
1 |
fxp0 |
2 |
ge-0/0/0 |
3 |
ge-0/0/1 |
4 |
ge-0/0/2 |
5 |
ge-0/0/3 |
6 |
ge-0/0/4 |
7 |
ge-0/0/5 |
8 |
ge-0/0/6 |
表 4 は、クラスタ内の vSRX仮想ファイアウォール仮想マシンのペア(ノード 0 とノード 1)のインターフェイス名とマッピングを示しています。
ネットワーク アダプタ |
Junos OS のインターフェイス名 |
|---|---|
1 |
fxp0(ノード0および1) |
2 |
em0 (ノード 0 と 1) |
3 |
ge-0/0/0(ノード0)ge-7/0/0(ノード1) |
4 |
ge-0/0/1(ノード0)ge-7/0/1(ノード1) |
5 |
ge-0/0/2(ノード0)ge-7/0/2(ノード1) |
6 |
ge-0/0/3(ノード0)ge-7/0/3(ノード1) |
7 |
ge-0/0/4(ノード0)ge-7/0/4(ノード1) |
8 |
ge-0/0/5(ノード0)ge-7/0/5(ノード1) |
VMwareのvSRX仮想ファイアウォールのデフォルト設定
vSRX仮想ファイアウォールには、以下の基本構成設定が必要です。
インターフェイスにはIPアドレスを割り当てる必要があります。
インターフェイスはゾーンにバインドする必要があります。
トラフィックを許可または拒否するには、ゾーン間でポリシーを設定する必要があります。
vSRX仮想ファイアウォールプラットフォームでは、VMwareはVMXNET 3 vNICを使用し、管理インターフェイスfxp0のvSwitchで無作為検出モードを必要とします。
表5 は、vSRX仮想ファイアウォールのセキュリティポリシーの工場出荷時のデフォルト設定を示しています。
送信元ゾーン |
ゾーンと宛先 |
ポリシー アクション |
|---|---|---|
信託 |
信頼できない |
許す |
信託 |
信託 |
許す |
信頼できない |
信託 |
打ち消す |