VMwareで実行されるvSRX仮想ファイアウォールの要件
ソフトウェアの仕様
以下の表は、VMwareにvSRX仮想ファイアウォールを導入する場合のシステムソフトウェア要件仕様を示しています。この表は、VMwareにvSRX仮想ファイアウォールを導入するための特定のソフトウェア仕様が導入されたJunos OSリリースの概要を示しています。特定の機能を利用するには、特定のJunos OSリリースをダウンロードする必要があります。
| 機能 | 仕様 | Junos OS リリースが導入されました |
|---|---|---|
| vCPU/メモリ | 2 vCPU / 4 GB RAM |
Junos OSリリース15.1X49-D15およびJunos OSリリース17.3R1(vSRX仮想ファイアウォール) |
| 5 vCPU / 8 GB RAM |
Junos OSリリース15.1X49-D70およびJunos OSリリース17.3R1(vSRX仮想ファイアウォール) |
|
| 9 個の vCPU / 16 GB RAM |
Junos OSリリース18.4R1(vSRX仮想ファイアウォール) Junos OSリリース19.1R1(vSRX仮想ファイアウォール3.0) |
|
| 17 個の vCPU / 32 GB RAM |
Junos OSリリース18.4R1(vSRX仮想ファイアウォール) Junos OSリリース19.1R1(vSRX仮想ファイアウォール3.0) |
|
| 追加のvRAMによる柔軟なフローセッション容量拡張 |
Na | Junos OSリリース19.1R1(vSRX仮想ファイアウォール) Junos OSリリース19.2R1(vSRX仮想ファイアウォール3.0) |
| マルチコアスケーリング対応(ソフトウェアRSS) |
Na | Junos OSリリース19.3R1(vSRX仮想ファイアウォール3.0のみ) |
| ルーティングエンジン(vSRX仮想ファイアウォールおよびvSRX仮想ファイアウォール3.0)用に追加のvCPUコアを予約する |
Na | |
| Virtio(virtio-net、vhost-net)(vSRX仮想ファイアウォールおよびvSRX仮想ファイアウォール3.0) |
Na | |
| サポートされているハイパーバイザー | ||
| ハイパーバイザーのサポート |
VMware ESXi 5.1、5.5、6.0、6.5(vSRX仮想ファイアウォールおよびvSRX仮想ファイアウォール3.0) |
Junos OSリリース18.4R1 |
| VMware ESXi 6.7(vSRX仮想ファイアウォール3.0のみ) | Junos OSリリース19.3R1 | |
| VMware ESXi 7.0(vSRX仮想ファイアウォール3.0のみ) | Junos OSリリース20.1R2 | |
| その他の機能 | ||
| Cloud-init |
Na | |
| パワーモード IPSec(PMI) |
Na | |
| シャーシ クラスタ |
Na | |
| ソフトウェアRSSを用いたGTP TEIDベースのセッション配信 |
Na | Junos OSリリース19.3R1以降 |
| オンデバイスウイルス対策スキャン エンジン (Avira) |
Na | Junos OSリリース19.4R1以降 |
| Lldp |
Na | Junos OSリリース21.1R1以降 |
| Junos Telemetry Interface |
Na | Junos OSリリース20.3R1以降 |
| システム要件 | ||
| ハイパーバイザーのハードウェアアクセラレーション/有効なVMX CPUフラグ(vSRX仮想ファイアウォールのみ) |
Na | |
| ディスク容量 |
16 GB(IDEまたはSCSIドライブ)(vSRX仮想ファイアウォール) |
Junos OSリリース15.1X49-D15およびJunos OSリリース17.3R1 |
| 18 GB(vSRX仮想ファイアウォール3.0) |
||
| vNIC | Junos OS リリースが導入されました |
|---|---|
| VMXNET3 SA および HA | |
| Intel X710/XL710/XXV710シリーズ(vSRX仮想ファイアウォール3.0)上でのSR-IOV SAおよびHA | Junos OSリリース20.4R2以降 |
| I40E上のSR-IOV HA(X710、X740、X722など)(vSRX仮想ファイアウォール3.0) | 未対応 |
| SR-IOV SA および HA over Intel E810 シリーズ(vSRX 仮想ファイアウォール 3.0) | Junosリリース21.2R1以降 |
| SR-IOV SA および HA over Mellanox ConnectX-3 | 未対応 |
| SR-IOV SA および HA over Mellanox ConnectX-4/5/6 (MLX5 ドライバーのみ) | (Junos OSリリース21.2R1以降のSA) (Junos OSリリース21.2R2以降のHA) |
| Intel 82599/X520 シリーズ上の PCI パススルー | 未対応 |
| Intel X710/XL710シリーズを介したPCIパススルー | vSRX仮想ファイアウォール3.0ではサポートされていません |
| DPDK バージョンが 17.02 から 17.11.2 にアップグレードされ、Mellanox ファミリ アダプタがサポートされるようになりました。 |
Junos OSリリース18.4R1 |
| データ プレーン開発キット(DPDK)バージョン 18.11 DPDKバージョン18.11は、vSRX仮想ファイアウォールでサポートされています。この機能により、vSRX仮想ファイアウォール上のMellanox Connectネットワークインターフェイスカード(NIC)は、OSPF、マルチキャスト、およびVLANをサポートするようになりました。 |
Junos OSリリース19.4R1 |
vSRX仮想ファイアウォールのパフォーマンスを向上させるためのベストプラクティス
vSRX仮想ファイアウォールのパフォーマンスを向上させるために、以下のプラクティスを確認してください。
NUMA ノード
x86 サーバー アーキテクチャは、複数のソケットとソケット内の複数のコアで構成されます。各ソケットには、NIC からホストへの I/O 転送中にパケットを格納するために使用されるメモリもあります。メモリからパケットを効率的に読み取るには、ゲスト アプリケーションと関連する周辺機器 (NIC など) を 1 つのソケット内に配置する必要があります。ペナルティは、メモリアクセスのためのスパンCPUソケットに関連しており、非決定的なパフォーマンスになる可能性があります。vSRX 仮想ファイアウォールでは、最適なパフォーマンスを得るために、vSRX 仮想ファイアウォール VM のすべての vCPU を同じ NUMA(物理不均一メモリアクセス)ノードに配置することをお勧めします。
ハイパーバイザーでNUMAノードトポロジがインスタンスのvCPUを複数のホストNUMAノードに分散するように設定されている場合、vSRX仮想ファイアウォール上のパケット転送エンジン(PFE)は応答しなくなります。vSRX仮想ファイアウォールでは、すべてのvCPUが同じNUMAノードに存在することを確認する必要があります。
NUMAノードアフィニティを設定して、vSRX仮想ファイアウォールインスタンスを特定のNUMAノードにバインドすることをお勧めします。NUMAノードアフィニティは、vSRX仮想ファイアウォールVMリソースのスケジューリングを、指定されたNUMAノードのみに制限します。
PCI NIC から VM へのマッピング
vSRX 仮想ファイアウォールが実行されているノードが、Intel PCI NIC が接続されているノードと異なる場合、パケットは QPI リンク内の追加ホップをトラバースする必要があり、全体のスループットが低下します。 esxtop コマンドを使用して、相対的な物理 NIC の位置に関する情報を表示します。この情報が利用できない一部のサーバーでは、スロットから NUMA へのノード トポロジに関するハードウェアのドキュメントを参照してください。
VMware上のvSRX仮想ファイアウォールのインターフェイスマッピング
vSRX仮想ファイアウォール用に定義された各ネットワークアダプタは、vSRX仮想ファイアウォールインスタンスがスタンドアロンVMであるか、高可用性のためのクラスタペアの1つであるかに応じて、特定のインターフェイスにマッピングされます。vSRX仮想ファイアウォールのインターフェイス名とマッピングを 表3 と 表4に示します。
次の点に注意してください。
スタンドアロンモードの場合:
fxp0 はアウトオブバンド管理インターフェイスです。
ge-0/0/0は、最初のトラフィック(収益)インターフェイスです。
クラスタ モードの場合:
fxp0 はアウトオブバンド管理インターフェイスです。
em0 は、両方のノードのクラスタ制御リンクです。
ノード 0 の fab0 の ge-0/0/0 や、ノード 1 の fab1 の ge-7/0/0 のように、どのトラフィック インターフェイスもファブリック リンクとして指定できます。
表3 に、スタンドアロンvSRX仮想ファイアウォールVMのインターフェイス名とマッピングを示します。
ネットワーク アダプタ |
Junos OSのインターフェイス名 |
|---|---|
1 |
fxp0: |
2 |
ge-0/0/0 |
3 |
ge-0/0/1 |
4 |
ge-0/0/2 |
5 |
ge-0/0/3 |
6 |
ge-0/0/4 |
7 |
ge-0/0/5 |
8 |
ge-0/0/6 |
表4 は、クラスタ内のvSRX仮想ファイアウォールVMのペア(ノード0とノード1)のインターフェイス名とマッピングを示しています。
ネットワーク アダプタ |
Junos OSのインターフェイス名 |
|---|---|
1 |
fxp0(ノード 0 および 1) |
2 |
em0(ノード0および1) |
3 |
ge-0/0/0 (ノード 0)ge-7/0/0 (ノード 1) |
4 |
ge-0/0/1 (ノード 0)ge-7/0/1 (ノード 1) |
5 |
ge-0/0/2 (ノード 0)ge-7/0/2 (ノード 1) |
6 |
ge-0/0/3 (ノード 0)ge-7/0/3 (ノード 1) |
7 |
ge-0/0/4 (ノード 0)ge-7/0/4 (ノード 1) |
8 |
ge-0/0/5 (ノード 0)ge-7/0/5 (ノード 1) |
VMwareのvSRX仮想ファイアウォールのデフォルト設定
vSRX仮想ファイアウォールには、次の基本構成設定が必要です。
インターフェイスには IP アドレスを割り当てる必要があります。
インターフェイスはゾーンにバインドされている必要があります。
トラフィックを許可または拒否するには、ゾーン間でポリシーを構成する必要があります。
vSRX 仮想ファイアウォール プラットフォームでは、VMware は VMXNET 3 vNIC を使用し、管理インターフェイス fxp0 用に vSwitch 上で無作為検出モードが必要です。
表5 は、vSRX仮想ファイアウォールのセキュリティポリシーの工場出荷時のデフォルト設定を示しています。
ソースゾーン |
宛先ゾーン |
ポリシーアクション |
|---|---|---|
信頼 |
信頼できない |
許可 |
信頼 |
信頼 |
許可 |
信頼できない |
信頼 |
拒否 |