Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
NESTA PÁGINA
 

Requisitos para firewall virtual vSRX no Contrail

Requisitos de software

A Tabela 1 lista as especificações do requisito do software do sistema ao implantar o firewall virtual vSRX no Juniper Networks Contrail. A tabela descreve a versão do Junos OS na qual foi introduzida uma especificação de software específica para a implantação do firewall virtual vSRX no KVM. Você precisará baixar uma versão específica do Junos OS para aproveitar determinados recursos.

Tabela 1: Especificações para firewall virtual vSRX no Juniper Networks Contrail

Componente

Especificação

Versão do Junos OS introduzida

Suporte ao Hypervisor

Linux KVM

Versão Junos OS 15.1X49-D20 e Junos OS Versão 17.3R1

Memória

4 GB

Versão Junos OS 15.1X49-D20 e Junos OS Versão 17.3R1

8 GB

Versão Junos OS 15.1X49-D70 e Junos OS Versão 17.3R1

Espaço em disco

Unidade de IDE de 20 GB

Versão Junos OS 15.1X49-D20 e Junos OS Versão 17.3R1

vCPUs

2 vCPUs

Nota:

O nó de computação Contrail deve desnudar o metal, uma vez que o firewall virtual vSRX como uma VNF não oferece suporte à virtualização aninhada.

Versão Junos OS 15.1X49-D20 e Junos OS Versão 17.3R1

5 vCPUs

Nota:

O nó de computação Contrail deve desnudar o metal, uma vez que o firewall virtual vSRX como uma VNF não oferece suporte à virtualização aninhada.

Versão Junos OS 15.1X49-D70 e Junos OS Versão 17.3R1

vNICs

Até 16 vNICs

  • Virtio

  • SR-IOV

    Nota:

    Recomendamos os NICs físicos Intel X520/X540 para suporte SR-IOV no firewall virtual vSRX. Para limitações de SR-IOV, veja a seção De comportamento conhecido das notas de versão do firewall virtual vSRX.

Versão Junos OS 15.1X49-D20 e Junos OS Versão 17.3R1

A Tabela 2 lista as especificações de software no firewall virtual vSRX.

Tabela 2: Especificações de software para firewall virtual vSRX 3.0 no Juniper Networks Contrail

Nome do sabor

Vcpu

Versão do Junos OS introduzida

Suporte ao Hypervisor

Linux KVM

Versão 18.2R1 do Junos OS ou versão posterior

Memória

4 GB

Versão 18.2R1 do Junos OS ou versão posterior

8 GB

Versão 18.2R1 do Junos OS ou versão posterior

Espaço em disco

Unidade de IDE de 20 GB

Versão 18.2R1 do Junos OS ou versão posterior

vCPUs

2 vCPUs

Versão 18.2R1 do Junos OS ou versão posterior

5 vCPUs

Versão 18.2R1 do Junos OS ou versão posterior

vNICs

Até 16 vNICs

  • Virtio

  • SR-IOV

    Nota:

    Recomendamos os NICs físicos Intel X520 para suporte SR-IOV em firewall virtual vSRX de pequeno sabor, Intel X710 para firewall virtual vSRX de sabor médio.

Versão 18.2R1 do Junos OS ou versão posterior

Recomendações do Contrail para firewall virtual vSRX

A Tabela 3 lista as versões de software recomendadas para executar o firewall virtual vSRX no Contrail.

Tabela 3: Recomendações do Contrail para firewall virtual vSRX

Software

Versão

Versão com suporte

Contrail

2.20

Versão Junos OS 15.1X49-D20 e Junos OS Versão 17.3R1 ou posterior versão

3.1

Versão Junos OS 15.1X49-D60 e Junos OS Versão 17.3R1 ou posterior versão

3.5

Versão Junos OS 18.4R1

OpenStack

Juno ou Icehouse

Versão Junos OS 15.1X49-D20 e Junos OS Versão 17.3R1 ou posterior versão

Juno ou Kilo

Versão Junos OS 15.1X49-D60 e Junos OS Versão 17.3R1 ou posterior versão

Host OS

Ubuntu 14.04.2

Versão Junos OS 15.1X49-D20 e Junos OS Versão 17.3R1 ou posterior versão

Linux Kernel

3.16

Versão Junos OS 15.1X49-D20 e Junos OS Versão 17.3R1 ou posterior versão
Nota:

Recomendamos que você habilite a virtualização baseada em hardware na máquina de host. Você pode verificar a compatibilidade da CPU aqui: http://www.linux-kvm.org/page/Processor_support. Consulte o Contrail — Requisitos do servidor para revisar quaisquer requisitos adicionais para o Contrail.

A Tabela 4 lista as recomendações do contrail para o firewall virtual vSRX.

Tabela 4: Recomendações do Contrail para firewall virtual vSRX 3.0

Software

Versão

Versão com suporte

Contrail

3.1

Versão 18.2R1 do Junos OS ou versão posterior

3.2

Versão 18.2R1 do Junos OS ou versão posterior

5.X

Versão Junos OS 19.3R1 ou posterior

OpenStack

Centos 7 ou 8

Versão 18.2R1 do Junos OS ou versão posterior

Host OS

Ubuntu 14.04.2

Versão 18.2R1 do Junos OS ou versão posterior

Linux Kernel

Queens ou posteriores

Versão 18.2R1 do Junos OS ou versão posterior

Recomendações de hardware

A Tabela 5 lista as especificações de hardware para a máquina de host que executa o VM de firewall virtual vSRX.

Tabela 5: Especificações de hardware para a máquina de host

Componente

Especificação

Tamanho da memória do host

4 GB (mínimo) .

Tipo de processador de host

Intel x86_64 multicore CPU

Nota:

O DPDK requer suporte VT-x/VT-d de virtualização intel na CPU. Veja mais sobre a tecnologia de virtualização da Intel.

Adaptador de rede virtual

Dispositivo VMXNet3 ou VMWare Virtual NIC

Nota:

O canal de comunicação virtual machine communication interface (VMCI) é interno para o hipervisor ESXi e o VM de firewall virtual vSRX.

Melhores práticas para melhorar o desempenho do firewall virtual vSRX

Analise as seguintes práticas para melhorar o desempenho do firewall virtual vSRX.

Nós NUMA

A arquitetura do servidor x86 consiste em vários sockets e vários núcleos dentro de um socket. Cada tomada também tem memória usada para armazenar pacotes durante as transferências de E/S da NIC para o host. Para ler pacotes de memória com eficiência, aplicativos de convidados e periféricos associados (como o NIC) devem residir em uma única tomada. Uma penalidade está associada à abrangência de tomadas de CPU para acessos de memória, o que pode resultar em desempenho não determinado. Para o firewall virtual vSRX, recomendamos que todos os vCPUs para o vSRX Virtual Firewall VM estejam no mesmo nó físico de acesso de memória não uniforme (NUMA) para um desempenho ideal.

CUIDADO:

O mecanismo de encaminhamento de pacotes (PFE) no firewall virtual vSRX pode ficar sem resposta se as propriedades de topologia de nós NUMA no OpenStack incluirem a linha hw:numa_nodes=2 para espalhar as vCPUs da instância em vários nós NUMA do host. Recomendamos que você remova a hw:numa_nodes=2 linha do OpenStack para garantir que o PFE funcione corretamente.

Mapeamento de PCI NIC para VM

Se o nó em que o firewall virtual vSRX está sendo executado é diferente do nó ao qual o Intel PCI NIC está conectado, então os pacotes terão que atravessar um salto adicional no link QPI, e isso reduzirá a taxa de transferência geral. Em um sistema operacional host Linux, instale o hwloc pacote e use o lstopo comando para visualizar informações sobre locais físicos relativos de NIC. Em alguns servidores onde essas informações não estão disponíveis, consulte a documentação de hardware para a topologia de nós slot-to-NUMA.

Mapeamento de interfaces virtuais para um VM vM de firewall virtual vSRX

Para determinar quais interfaces virtuais em seu mapa de host OS do Linux para um VM de firewall virtual vSRX:

  1. Use o virsh list comando em seu sistema operacional host Linux para listar os VMs em execução.

  2. Use o virsh domiflist vsrx-name comando para listar as interfaces virtuais naquela VM de firewall virtual vSRX.

    Nota:

    A primeira interface virtual mapeia a interface do sistema operacional Junos.

Mapeamento de interface para firewall virtual vSRX no Contrail

Cada adaptador de rede definido para um firewall virtual vSRX é mapeado em uma interface específica, dependendo se a instância do firewall virtual vSRX é uma VM independente ou um de um par de clusters para alta disponibilidade. Os nomes e mapeamentos de interface no firewall virtual vSRX são mostrados na Tabela 6 e na Tabela 7.

Observe o seguinte:

  • No modo autônomo:

    • o switchp0 é a interface de gerenciamento fora da banda.

    • ge-0/0/0 é a primeira interface de tráfego (receita).

  • No modo cluster:

    • o switchp0 é a interface de gerenciamento fora da banda.

    • em0 é o link de controle de cluster para ambos os nós.

    • Qualquer uma das interfaces de tráfego pode ser especificada como links de malha, como ge-0/0/0 para fab0 no nó 0 e ge-7/0/0 para fab1 no nó 1.

A Tabela 6 mostra os nomes e mapeamentos de interface para uma VM vM de firewall virtual vSRX independente.

Tabela 6: Nomes de interface para um VM de firewall virtual vSRX autônomo

Adaptador de rede

Nome da interface no Junos OS para firewall virtual vSRX

1

fxp0

2

ge-0/0/0

3

ge-0/0/1

4

ge-0/0/2

5

ge-0/0/3

6

ge-0/0/4

7

ge-0/0/5

8

ge-0/0/6

A Tabela 7 mostra os nomes e mapeamentos da interface para um par de VMs de firewall virtual vSRX em um cluster (nó 0 e nó 1).

Tabela 7: Nomes de interface para um par de clusters de firewall virtual vSRX

Adaptador de rede

Nome da interface no Junos OS para firewall virtual vSRX

1

fxp0 (nó 0 e 1)

2

em0 (nó 0 e 1)

3

ge-0/0/0 (nó 0)ge-7/0/0 (nó 1)

4

ge-0/0/1 (nó 0)ge-7/0/1 (nó 1)

5

ge-0/0/2 (nó 0)ge-7/0/2 (nó 1)

6

ge-0/0/3 (nó 0)ge-7/0/3 (nó 1)

7

ge-0/0/4 (nó 0)ge-7/0/4 (nó 1)

8

ge-0/0/5 (nó 0)ge-7/0/5 (nó 1)

Configurações padrão do firewall virtual vSRX no Contrail

O firewall virtual vSRX requer as seguintes configurações básicas de configuração:

  • As interfaces devem ser atribuídas a endereços IP.

  • As interfaces devem estar vinculadas a zonas.

  • As políticas devem ser configuradas entre zonas para permitir ou negar tráfego.

A Tabela 8 lista as configurações padrão de fábrica para as políticas de segurança do firewall virtual vSRX.

Tabela 8: Configurações padrão de fábrica para políticas de segurança

Zona de origem

Zona de destino

Ação de política

Confiar

não confiável

Permitir

Confiar

Confiar

Permitir

não confiável

Confiar

Negar

Documentação relacionada