Microsoft Hyper-V에서의 vSRX 가상 방화벽 요구 사항

이 섹션에서는 Microsoft Hyper-V에서 vSRX 가상 방화벽 인스턴스를 구축하는 요구 사항에 대한 개요를 제시합니다.

소프트웨어 요구 사항

표 1 에는 Microsoft Hyper-V의 vSRX 가상 방화벽 인스턴스에 대한 소프트웨어 요구 사항이 나와 있습니다.

참고:

Microsoft Hyper-V에서는 vSRX 가상 방화벽 작은 맛만 지원됩니다. vSRX 가상 방화벽 3.0 멀티 CPU 버전은 Microsoft Hyper-V에서 지원됩니다.

표 1: Microsoft Hyper-V용 vSRX 가상 방화벽 및 vSRX 가상 방화벽 3.0 사양
구성 요소	사양
하이퍼바이저 지원	릴리스 15.1X49-D80 및 Junos OS 릴리스 17.3R1 Junos OS Microsoft Hyper-V Windows Server 2012 R2 또는 2012에서만 vSRX 가상 방화벽 구축할 수 있습니다. Junos OS 릴리스 15.1X49-D100 및 Junos OS 릴리스 17.4R1부터 Microsoft Hyper-V Windows Server 2016에 vSRX 가상 방화벽 구축할 수 있습니다. 릴리스 22.3R1 Junos OS Microsoft Hyper-V Windows Server 2019 및 2022 버전에 vSRX 가상 방화벽 3.0을 배포할 수 있습니다.
메모리	4gb
디스크 공간	16GB(IDE 또는 SCSI 드라이브)
vCPU	2
가상 네트워크 어댑터	Hyper-V 전용 네트워크 어댑터 8개

표 2: Microsoft Hyper-V의 vSRX 가상 방화벽 3.0 사양
구성 요소	사양
하이퍼바이저 지원	Microsoft Hyper-V Windows Server 2016 Microsoft Hyper-V Windows Server 2019
메모리	4gb
디스크 공간	18GB(IDE)
vCPU	2
가상 네트워크 어댑터	Hyper-V 전용 네트워크 어댑터 8개

Junos OS 릴리스 19.1R1부터 vSRX 가상 방화벽 3.0 인스턴스는 성능을 개선하기 위해 Microsoft Hyper-V 및 Azure에 vCPU 2개, 4GB 가상 RAM 및 18GB 디스크 공간을 갖춘 게스트 OS를 지원합니다.

하드웨어 요구 사항

표 3 에는 vSRX 가상 방화벽 VM을 실행하는 호스트 머신의 하드웨어 사양이 나와 있습니다.

표 3: 호스트 머신의 하드웨어 사양
구성 요소	사양
호스트 메모리 크기	최소 4GB
호스트 프로세서 유형	x86 또는 x64 기반 멀티코어 프로세서 참고: DPDK에는 CPU에서 인텔 가상화 VT-x/VT-d 지원이 필요합니다. 인텔 가상화 기술에 대해 알아보십시오.
기가비트(10/100/1000baseT) 이더넷 어댑터	1~4개의 네트워크 연결로 멀티포트 DEC 21140 10/100TX 100MB 이더넷 네트워크 어댑터를 에뮬레이트합니다.

vSRX 가상 방화벽 성능 향상을 위한 모범 사례

다음 사례를 검토하여 vSRX 가상 방화벽 성능을 향상합니다.

NUMA 노드

x86 서버 아키텍처는 소켓 내의 여러 소켓 및 여러 코어로 구성됩니다. 각 소켓에는 NIC에서 호스트로 I/O 전송 중에 패킷을 저장하는 데 사용되는 메모리도 있습니다. 메모리에서 패킷을 효율적으로 읽으려면 게스트 애플리케이션 및 관련 주변기기(예: NIC)가 단일 소켓 내에 위치해야 합니다. 페널티는 메모리 액세스에 대한 CPU 소켓 스패닝과 관련이 있으며, 이로 인해 결정되지 않는 성능이 발생할 수 있습니다. vSRX 가상 방화벽 경우, vSRX 가상 방화벽 VM에 대한 모든 vCPU는 최적의 성능을 위해 동일한 물리적 NUMA(Non-Uniform Memory Access) 노드에 있는 것이 좋습니다.

주의:

여러 호스트 NUMA 노드에 인스턴스의 vCPU를 분산하도록 하이퍼바이저에서 NUMA 노드 토폴로지 구성되면 vSRX 가상 방화벽 있는 패킷 전달 엔진(PFE)가 응답하지 않습니다. vSRX 가상 방화벽 모든 vCPU가 동일한 NUMA 노드에 있는지 확인해야 합니다.

NUMA 노드 선호도를 설정하여 vSRX 가상 방화벽 인스턴스를 특정 NUMA 노드와 바인딩하는 것이 좋습니다. NUMA 노드 선호도는 vSRX 가상 방화벽 VM 리소스 스케줄링을 지정된 NUMA 노드로만 제한합니다.

Microsoft Hyper-V에서 vSRX 가상 방화벽 대한 인터페이스 매핑

vSRX 가상 방화벽 대해 정의된 각 네트워크 어댑터는 vSRX 가상 방화벽 인스턴스가 독립 실행형 VM인지 아니면 고가용성을 위한 클러스터 쌍 중 하나인지에 따라 특정 인터페이스에 매핑됩니다.

참고:

vSRX 가상 방화벽 Junos OS 릴리스 15.1X49-D100부터는 Microsoft Hyper-V Server 2016 이상에서만 네트워크 노드 이중화를 제공하는 섀시 클러스터링을 지원합니다.

다음 사항을 참고하십시오.

독립형 모드:
- fxp0은 대역 외 관리 인터페이스입니다.
- ge-0/0/0은 최초의 트래픽(수익) 인터페이스입니다.
클러스터 모드에서:
- fxp0은 대역 외 관리 인터페이스입니다.
- em0은 두 노드 모두에 대한 클러스터 제어 링크입니다.
- 모든 트래픽 인터페이스는 패브릭 링크로 지정할 수 있습니다. 노드 0의 fab0에 대한 ge-0/0/0, 노드 1의 fab1에 대한 ge-7/0/0과 같은 것입니다.

표 4 는 독립 실행형 vSRX 가상 방화벽 VM에 대한 인터페이스 이름과 매핑을 보여줍니다.

표 4: 독립 실행형 vSRX 가상 방화벽 VM의 인터페이스 이름
네트워크 어댑터	Junos OS 인터페이스 이름
1	fxp0
2	ge-0/0/0
3	ge-0/0/1
4	ge-0/0/2
5	ge-0/0/3
6	ge-0/0/4
7	ge-0/0/5
8	ge-0/0/6

표 5 에는 클러스터(노드 0 및 노드 1)의 vSRX 가상 방화벽 VM 쌍에 대한 인터페이스 이름과 매핑이 표시됩니다.

표 5: vSRX 가상 방화벽 클러스터 쌍의 인터페이스 이름
네트워크 어댑터	Junos OS 인터페이스 이름
1	fxp0(노드 0 및 1)
2	em0(노드 0 및 1)
3	ge-0/0/0(노드 0)ge-7/0/0(노드 1)
4	ge-0/0/1(노드 0)ge-7/0/1(노드 1)
5	ge-0/0/2(노드 0)ge-7/0/2(노드 1)
6	ge-0/0/3(노드 0)ge-7/0/3(노드 1)
7	ge-0/0/4(노드 0)ge-7/0/4(노드 1)
8	ge-0/0/5(노드 0)ge-7/0/5(노드 1)

vSRX 가상 방화벽 Hyper-V에 대한 기본 설정

vSRX 가상 방화벽 다음과 같은 기본 구성 설정이 필요합니다.

인터페이스에 IP 주소가 할당되어야 합니다.
인터페이스는 영역에 바인딩되어야 합니다.
트래픽을 허용하거나 거부하려면 영역 간에 정책을 구성해야 합니다.

표 6 은 vSRX 가상 방화벽 보안 정책에 대한 공장 기본 설정을 나열합니다.

표 6: 보안 정책에 대한 공장 기본 설정
소스 영역	대상 영역	정책 작업
신뢰	신뢰할 수 없는	허용
신뢰	신뢰	허용
신뢰할 수 없는	신뢰	거부

릴리스 기록 테이블

릴리스

설명

19.1R1

15.1X49-D80

Junos OS 릴리스 15.1X49-D80 및 Junos OS 릴리스 17.3R1부터 Microsoft Hyper-V Server 2012 R2 또는 2012에서만 vSRX 가상 방화벽 구축할 수 있습니다.

15.1X49-D100

Junos OS 릴리스 15.1X49-D100 및 Junos OS 릴리스 17.4R1부터 Microsoft Hyper-V Server 2016에 vSRX 가상 방화벽 구축할 수 있습니다.