Descripción del firewall virtual vSRX con KVM
En esta sección se presenta una descripción general del firewall virtual vSRX en KVM.
Firewall virtual vSRX en KVM
El kernel de Linux utiliza la máquina virtual basada en kernel (KVM) como infraestructura de virtualización. KVM es un software de código abierto que puede utilizar para crear varias máquinas virtuales (VM) e instalar dispositivos de seguridad y redes.
Los componentes básicos de KVM incluyen:
Un módulo de kernel cargable incluido en el kernel de Linux que proporciona la infraestructura básica de virtualización
Un módulo específico del procesador
Cuando se carga en el kernel de Linux, el software KVM actúa como un hipervisor. KVM admite multitenencia y le permite ejecutar varias máquinas virtuales vSRX Virtual Firewall en el SO host . KVM administra y comparte los recursos del sistema entre el sistema operativo host y las múltiples máquinas virtuales vSRX Virtual Firewall.
El Firewall virtual vSRX requiere que habilite la virtualización basada en hardware en un sistema operativo host que contenga un procesador compatible con la Tecnología de virtualización Intel (VT).
La figura 1 ilustra la estructura básica de una máquina virtual vSRX Virtual Firewall en un servidor Ubuntu.
Rendimiento de escalabilidad vertical del firewall virtual vSRX
En la Tabla 1 se muestra el rendimiento de escalabilidad vertical del firewall virtual vSRX cuando se implementa en KVM, según el número de vCPU y vRAM aplicadas a una máquina virtual vSRX Virtual Firewall junto con la versión de Junos OS en la que se introdujo una especificación de software vSRX Virtual Firewall determinada.
vCPU |
Vram |
Nics |
Lanzamiento introducido |
|---|---|---|---|
2 vCPU |
4 GB |
|
Junos OS versión 15.1X49-D15 y Junos OS versión 17.3R1 |
5 vCPU |
8 GB |
|
Junos OS versión 15.1X49-D70 y Junos OS versión 17.3R1 |
5 vCPU |
8 GB |
|
Junos OS versión 15.1X49-D90 y Junos OS versión 17.3R1 |
| 1 vCPU | 4 GB |
SR-IOV en los adaptadores de las familias Mellanox ConnectX-4 y ConnectX-5. |
Junos OS versión 21.2R1 |
| 4 vCPU | 8 GB |
SR-IOV en los adaptadores de las familias Mellanox ConnectX-4 y ConnectX-5. |
Junos OS versión 21.2R1 |
| 8 vCPU | 16 Gb |
SR-IOV en los adaptadores de las familias Mellanox ConnectX-4 y ConnectX-5. |
Junos OS versión 21.2R1 |
| 16 vCPU | 32 GB |
SR-IOV en los adaptadores de las familias Mellanox ConnectX-4 y ConnectX-5. |
Junos OS versión 21.2R1 |
Puede escalar el rendimiento y la capacidad de una instancia de firewall virtual vSRX aumentando la cantidad de vCPU y la cantidad de vRAM asignada al firewall virtual vSRX. El firewall virtual vSRX multinúcleo selecciona automáticamente los valores adecuados de vCPU y vRAM en el momento del arranque, así como el número de colas de escala en lado de recepción (RSS) en la NIC. Si la configuración de vCPU y vRAM asignada a una máquina virtual de vSRX Virtual Firewall no coincide con la que está disponible actualmente, vSRX Virtual Firewall se reduce al valor admitido más cercano para la instancia. Por ejemplo, si una máquina virtual de vSRX Virtual Firewall tiene 3 vCPU y 8 GB de vRAM, vSRX Virtual Firewall arranca en el tamaño de vCPU más pequeño, que requiere un mínimo de 2 vCPU. Puede escalar verticalmente una instancia de vSRX Virtual Firewall a un mayor número de vCPU y cantidad de vRAM, pero no puede reducir una instancia de vSRX Virtual Firewall existente a una configuración más pequeña.
El número de colas RSS suele coincidir con el número de vCPU del plano de datos de una instancia de vSRX Virtual Firewall. Por ejemplo, un firewall virtual vSRX con 4 vCPU de plano de datos debe tener 4 colas RSS.
Aumento de la capacidad de la sesión del firewall virtual vSRX
La solución de firewall virtual vSRX está optimizada para aumentar el número de sesiones mediante el aumento de la memoria.
Con la capacidad de aumentar el número de sesiones aumentando la memoria, puede habilitar el Firewall virtual vSRX para:
-
Proporcione seguridad altamente escalable, flexible y de alto rendimiento en ubicaciones estratégicas de la red móvil.
-
Ofrezca el rendimiento que los proveedores de servicios requieren para escalar y proteger sus redes.
Ejecute el show security flow session summary | grep maximum comando para ver el número máximo de sesiones.
A partir de Junos OS versión 18.4R1, la cantidad de sesiones de flujo admitidas en una instancia de firewall virtual vSRX aumenta en función del tamaño de vRAM utilizado.
A partir de Junos OS versión 19.2R1, el número de sesiones de flujo admitidas en una instancia de vSRX Virtual Firewall 3.0 aumenta en función del tamaño de vRAM utilizado.
Se admite un máximo de 28 millones de sesiones en vSRX Virtual Firewall 3.0. Puede implementar vSRX Virtual Firewall 3.0 con más de 64 G de memoria, pero las sesiones de flujo máximo pueden seguir siendo de solo 28 M.
La Tabla 2 muestra la capacidad de la sesión de flujo.
| vCPU |
Memoria |
Capacidad de sesión de flujo |
|---|---|---|
| 2 |
4 GB |
0.5M |
| 2 |
6 GB |
1 M |
| 2/5 |
8 GB |
2 M |
| 2/5 |
10 GB |
2 M |
| 2/5 |
12 GB |
2.5M |
| 2/5 |
14 GB |
3 M |
| 2/5/9 |
16 GB |
4 M |
| 2/5/9 |
20 GB |
6 M |
| 2/5/9 |
24 GB |
8 M |
| 2/5/9 |
28 GB |
10 M |
| 2/5/9/17 |
32 GB |
12 M |
| 2/5/9/17 |
40 GB |
16 metros |
| 2/5/9/17 |
48 GB |
20 m |
| 2/5/9/17 |
56 GB |
24 metros |
| 2/5/9/17 |
64 GB |
28 metros |
Tabla de historial de cambios
La compatibilidad con las funciones viene determinada por la plataforma y la versión que esté utilizando. Utilice el Explorador de características para determinar si una característica es compatible con su plataforma.