VMware 기반 vSRX 가상 방화벽에 대한 요구 사항
소프트웨어 사양
아래 표에는 VMware에 vSRX 가상 방화벽을 구축할 때의 시스템 소프트웨어 요구 사항 사양이 나와 있습니다. 이 표에는 VMware에 vSRX 가상 방화벽을 구축하기 위한 특정 소프트웨어 사양이 도입된 Junos OS 릴리스가 요약되어 있습니다. 특정 기능을 이용하려면 특정 Junos OS 릴리스를 다운로드해야 합니다.
| 기능 | 사양 | Junos OS 릴리스 발표 |
|---|---|---|
| vCPU/메모리 | vCPU 2개/4GB RAM |
Junos OS 릴리스 15.1X49-D15 및 Junos OS 릴리스 17.3R1(vSRX 가상 방화벽) |
| vCPU 5개/8GB RAM |
Junos OS 릴리스 15.1X49-D70 및 Junos OS 릴리스 17.3R1(vSRX 가상 방화벽) |
|
| vCPU 9개/16GB RAM |
Junos OS 릴리스 18.4R1(vSRX 가상 방화벽) Junos OS 릴리스 19.1R1(vSRX 가상 방화벽 3.0) |
|
| vCPU 17개/32GB RAM |
Junos OS 릴리스 18.4R1(vSRX 가상 방화벽) Junos OS 릴리스 19.1R1(vSRX 가상 방화벽 3.0) |
|
| 추가 vRAM을 통한 유연한 플로우 세션 용량 확장 |
해당 없음 | Junos OS 릴리스 19.1R1(vSRX 가상 방화벽) Junos OS 릴리스 19.2R1(vSRX 가상 방화벽 3.0) |
| 멀티코어 확장 지원(소프트웨어 RSS) |
해당 없음 | Junos OS 릴리스 19.3R1(vSRX 가상 방화벽 3.0 전용) |
| 라우팅 엔진(vSRX 가상 방화벽 및 vSRX 가상 방화벽 3.0)을 위한 추가 vCPU 코어 예약하기 |
해당 없음 | |
| Virtio(virtio-net, vhost-net) (vSRX 가상 방화벽 및 vSRX 가상 방화벽 3.0) |
해당 없음 | |
| 지원되는 하이퍼바이저 | ||
| 하이퍼바이저 지원 |
VMware ESXi 5.1, 5.5, 6.0 및 6.5(vSRX 가상 방화벽 및 vSRX 가상 방화벽 3.0) |
Junos OS 릴리스 18.4R1 |
| VMware ESXi 6.7 및 7.0(vSRX 가상 방화벽 3.0 전용) | Junos OS 릴리스 19.3R1 이후 | |
| VMware ESXi 8.0(vSRX 가상 방화벽 3.0 전용) | Junos OS 릴리스 24.2R2 이후 | |
| 다른 기능들 | ||
| 클라우드 초기화 |
해당 없음 | |
| 파워 모드 IPSec (PMI) |
해당 없음 | |
| 섀시 클러스터 |
해당 없음 | |
| 소프트웨어 RSS를 이용한 GTP TEID 기반 세션 배포 |
해당 없음 | Junos OS 릴리스 19.3R1 이후 |
| 장치 내 바이러스 백신 검색 엔진(Avira) |
해당 없음 | Junos OS 릴리스 19.4R1 이후 |
| LLDP (영문) |
해당 없음 | Junos OS 릴리스 21.1R1 이후 |
| Junos Telemetry Interface |
해당 없음 | Junos OS 릴리스 20.3R1 이후 |
| 시스템 요구 사항 | ||
| 하이퍼바이저의 하드웨어 가속/활성화된 VMX CPU 플래그(vSRX 가상 방화벽만 해당) |
해당 없음 | |
| 디스크 공간 |
16GB(IDE 또는 SCSI 드라이브)(vSRX 가상 방화벽) |
Junos OS 릴리스 15.1X49-D15 및 Junos OS 릴리스 17.3R1 |
| 18GB(vSRX 가상 방화벽 3.0) |
||
| vNIC | Junos OS 릴리스 도입 |
|---|---|
| VMXNET3 SA 및 HA | |
| Intel X710/XL710/XXV710 시리즈(vSRX 가상 방화벽 3.0)를 통한 SR-IOV SA 및 HA | Junos OS 릴리스 20.4R2 이후 |
| I40E의 SR-IOV HA(X710,X740,X722 등)(vSRX 가상 방화벽 3.0) | 지원되지 않음 |
| Intel E810 시리즈를 통한 SR-IOV SA 및 HA(vSRX 가상 방화벽 3.0) | Junos 릴리스 21.2R1 이후 |
| Mellanox ConnectX-3를 통한 SR-IOV SA 및 HA | 지원되지 않음 |
| Mellanox ConnectX-4/5/6을 통한 SR-IOV SA 및 HA(MLX5 드라이버만 해당) | (Junos OS 릴리스 21.2R1부터 SA) (Junos OS 릴리스 21.2R2부터 HA) |
| Intel 82599/X520 시리즈를 통한 PCI 패스스루 | 지원되지 않음 |
| Intel X710/XL710 시리즈를 통한 PCI 패스스루 | vSRX 가상 방화벽 3.0에서는 지원되지 않음 |
| Mellanox 제품군 어댑터를 지원하기 위해 DPDK 버전이 17.02에서 17.11.2로 업그레이드되었습니다. |
Junos OS 릴리스 18.4R1 |
| DPDK(Data Plane Development Kit) 버전 18.11 DPDK 버전 18.11은 vSRX 가상 방화벽에서 지원됩니다. 이 기능을 통해 vSRX 가상 방화벽의 Mellanox Connect 네트워크 인터페이스 카드(NIC)는 이제 OSPF, 멀티캐스트 및 VLAN을 지원합니다. |
Junos OS 릴리스 19.4R1 |
vSRX 가상 방화벽 성능 향상을 위한 모범 사례
vSRX 가상 방화벽 성능을 개선하기 위한 다음 사례를 검토하십시오.
NUMA 노드
x86 서버 아키텍처는 여러 소켓과 소켓 내의 여러 코어로 구성됩니다. 각 소켓에는 NIC에서 호스트로 I/O를 전송하는 동안 패킷을 저장하는 데 사용되는 메모리도 있습니다. 메모리에서 패킷을 효율적으로 읽으려면 게스트 애플리케이션 및 관련 주변 장치(예: NIC)가 단일 소켓 내에 있어야 합니다. 페널티는 메모리 액세스에 대한 CPU 소켓 확장과 관련이 있으며, 이로 인해 비결정적 성능이 발생할 수 있습니다. vSRX 가상 방화벽의 경우 최적의 성능을 위해 vSRX 가상 방화벽 VM의 모든 vCPU를 동일한 물리적 NUMA(Non-Uniform Memory Access) 노드에 설치하는 것이 좋습니다.
하이퍼바이저에서 NUMA 노드 토폴로지가 인스턴스의 vCPU를 여러 호스트 NUMA 노드로 분산하도록 구성된 경우 vSRX 가상 방화벽의 패킷 포워딩 엔진(PFE)이 응답하지 않습니다. vSRX 가상 방화벽을 사용하려면 모든 vCPU가 동일한 NUMA 노드에 있는지 확인해야 합니다.
NUMA 노드 선호도를 설정하여 vSRX 가상 방화벽 인스턴스를 특정 NUMA 노드와 바인딩하는 것이 좋습니다. NUMA 노드 선호도는 vSRX 가상 방화벽 VM 리소스 스케줄링을 지정된 NUMA 노드로만 제한합니다.
PCI NIC와 VM 간 매핑
vSRX 가상 방화벽이 실행 중인 노드가 인텔 PCI NIC가 연결된 노드와 다른 경우 패킷은 QPI 링크의 추가 홉을 통과해야 하므로 전체 처리량이 감소합니다. esxtop 명령을 사용하여 상대적인 물리적 NIC 위치에 대한 정보를 볼 수 있습니다. 이 정보를 사용할 수 없는 일부 서버에서는 슬롯-NUMA 노드 토폴로지에 대한 하드웨어 설명서를 참조하십시오.
VMware 기반 vSRX 가상 방화벽에 대한 인터페이스 매핑
vSRX 가상 방화벽에 대해 정의된 각 네트워크 어댑터는 vSRX 가상 방화벽 인스턴스가 독립형 VM인지 아니면 고가용성을 위한 클러스터 쌍 중 하나인지에 따라 특정 인터페이스에 매핑됩니다. vSRX 가상 방화벽의 인터페이스 이름과 매핑은 표 3 과 표 4에 나와 있습니다.
다음 사항에 유의하세요.
독립형 모드:
fxp0은 대역 외 관리 인터페이스입니다.
ge-0/0/0은 첫 번째 트래픽(수익) 인터페이스입니다.
클러스터 모드에서:
fxp0은 대역 외 관리 인터페이스입니다.
em0은 두 노드에 대한 클러스터 제어 링크입니다.
노드 0의 fab0에 대한 ge-0/0/0 및 노드 1의 fab1에 대한 ge-7/0/0과 같은 모든 트래픽 인터페이스를 패브릭 링크로 지정할 수 있습니다.
표 3 에는 독립형 vSRX 가상 방화벽 VM의 인터페이스 이름과 매핑이 나와 있습니다.
네트워크 어댑터 |
Junos OS의 인터페이스 이름 |
|---|---|
1 |
fxp0입니다 |
2 |
ge-0/0/0 |
3 |
ge-0/0/1 |
4 |
ge-0/0/2 |
5 |
ge-0/0/3 |
6 |
ge-0/0/4 |
7 |
ge-0/0/5 |
8 |
ge-0/0/6 |
표 4 에는 클러스터(노드 0 및 노드 1)의 vSRX 가상 방화벽 VM 한 쌍에 대한 인터페이스 이름과 매핑이 나와 있습니다.
네트워크 어댑터 |
Junos OS의 인터페이스 이름 |
|---|---|
1 |
fxp0(노드 0 및 1) |
2 |
em0(노드 0 및 1) |
3 |
ge-0/0/0 (노드 0)ge-7/0/0 (노드 1) |
4 |
ge-0/0/1(노드 0)ge-7/0/1(노드 1) |
5 |
ge-0/0/2(노드 0)ge-7/0/2(노드 1) |
6 |
ge-0/0/3(노드 0)ge-7/0/3(노드 1) |
7 |
ge-0/0/4(노드 0)ge-7/0/4(노드 1) |
8 |
ge-0/0/5(노드 0)ge-7/0/5(노드 1) |
VMware의 vSRX 가상 방화벽 기본 설정
vSRX 가상 방화벽에는 다음과 같은 기본 구성 설정이 필요합니다.
인터페이스에는 IP 주소를 할당해야 합니다.
인터페이스는 영역에 바인딩되어야 합니다.
트래픽을 허용하거나 거부하려면 영역 간에 정책을 구성해야 합니다.
vSRX 가상 방화벽 플랫폼에서 VMware는 VMXNET 3 vNIC를 사용하며 관리 인터페이스인 fxp0에 대해 vSwitch에서 무차별 모드가 필요합니다.
표 5 에는 vSRX 가상 방화벽 보안 정책에 대한 공장 기본 설정이 나와 있습니다.
소스 영역 |
대상 영역 |
정책 작업 |
|---|---|---|
트러스트 |
불신(untrust) |
허락하다 |
트러스트 |
트러스트 |
허락하다 |
불신(untrust) |
트러스트 |
거절하다 |