Requisitos para firewall virtual vSRX no Contrail
Requisitos de software
A Tabela 1 lista as especificações do requisito do software do sistema ao implantar o firewall virtual vSRX no Juniper Networks Contrail. A tabela descreve a versão do Junos OS na qual foi introduzida uma especificação de software específica para a implantação do firewall virtual vSRX no KVM. Você precisará baixar uma versão específica do Junos OS para aproveitar determinados recursos.
Componente |
Especificação |
Versão do Junos OS introduzida |
---|---|---|
Suporte ao Hypervisor |
Linux KVM |
Versão Junos OS 15.1X49-D20 e Junos OS Versão 17.3R1 |
Memória |
4 GB |
Versão Junos OS 15.1X49-D20 e Junos OS Versão 17.3R1 |
8 GB |
Versão Junos OS 15.1X49-D70 e Junos OS Versão 17.3R1 |
|
Espaço em disco |
Unidade de IDE de 20 GB |
Versão Junos OS 15.1X49-D20 e Junos OS Versão 17.3R1 |
vCPUs |
2 vCPUs
Nota:
O nó de computação Contrail deve desnudar o metal, uma vez que o firewall virtual vSRX como uma VNF não oferece suporte à virtualização aninhada. |
Versão Junos OS 15.1X49-D20 e Junos OS Versão 17.3R1 |
5 vCPUs
Nota:
O nó de computação Contrail deve desnudar o metal, uma vez que o firewall virtual vSRX como uma VNF não oferece suporte à virtualização aninhada. |
Versão Junos OS 15.1X49-D70 e Junos OS Versão 17.3R1 |
|
vNICs |
Até 16 vNICs
|
Versão Junos OS 15.1X49-D20 e Junos OS Versão 17.3R1 |
A Tabela 2 lista as especificações de software no firewall virtual vSRX.
Nome do sabor |
Vcpu |
Versão do Junos OS introduzida |
---|---|---|
Suporte ao Hypervisor |
Linux KVM |
Versão 18.2R1 do Junos OS ou versão posterior |
Memória |
4 GB |
Versão 18.2R1 do Junos OS ou versão posterior |
8 GB |
Versão 18.2R1 do Junos OS ou versão posterior |
|
Espaço em disco |
Unidade de IDE de 20 GB |
Versão 18.2R1 do Junos OS ou versão posterior |
vCPUs |
2 vCPUs |
Versão 18.2R1 do Junos OS ou versão posterior |
5 vCPUs |
Versão 18.2R1 do Junos OS ou versão posterior |
|
vNICs |
Até 16 vNICs
|
Versão 18.2R1 do Junos OS ou versão posterior |
Recomendações do Contrail para firewall virtual vSRX
A Tabela 3 lista as versões de software recomendadas para executar o firewall virtual vSRX no Contrail.
Software |
Versão |
Versão com suporte |
---|---|---|
Contrail |
2.20 |
Versão Junos OS 15.1X49-D20 e Junos OS Versão 17.3R1 ou posterior versão |
3.1 |
Versão Junos OS 15.1X49-D60 e Junos OS Versão 17.3R1 ou posterior versão |
|
3.5 |
Versão Junos OS 18.4R1 |
|
OpenStack |
Juno ou Icehouse |
Versão Junos OS 15.1X49-D20 e Junos OS Versão 17.3R1 ou posterior versão |
Juno ou Kilo |
Versão Junos OS 15.1X49-D60 e Junos OS Versão 17.3R1 ou posterior versão |
|
Host OS |
Ubuntu 14.04.2 |
Versão Junos OS 15.1X49-D20 e Junos OS Versão 17.3R1 ou posterior versão |
Linux Kernel |
3.16 |
Versão Junos OS 15.1X49-D20 e Junos OS Versão 17.3R1 ou posterior versão |
Recomendamos que você habilite a virtualização baseada em hardware na máquina de host. Você pode verificar a compatibilidade da CPU aqui: http://www.linux-kvm.org/page/Processor_support. Consulte o Contrail — Requisitos do servidor para revisar quaisquer requisitos adicionais para o Contrail.
A Tabela 4 lista as recomendações do contrail para o firewall virtual vSRX.
Software |
Versão |
Versão com suporte |
---|---|---|
Contrail |
3.1 |
Versão 18.2R1 do Junos OS ou versão posterior |
3.2 |
Versão 18.2R1 do Junos OS ou versão posterior |
|
5.X |
Versão Junos OS 19.3R1 ou posterior |
|
OpenStack |
Centos 7 ou 8 |
Versão 18.2R1 do Junos OS ou versão posterior |
Host OS |
Ubuntu 14.04.2 |
Versão 18.2R1 do Junos OS ou versão posterior |
Linux Kernel |
Queens ou posteriores |
Versão 18.2R1 do Junos OS ou versão posterior |
Recomendações de hardware
A Tabela 5 lista as especificações de hardware para a máquina de host que executa o VM de firewall virtual vSRX.
Componente |
Especificação |
---|---|
Tamanho da memória do host |
4 GB (mínimo) . |
Tipo de processador de host |
Intel x86_64 multicore CPU
Nota:
O DPDK requer suporte VT-x/VT-d de virtualização intel na CPU. Veja mais sobre a tecnologia de virtualização da Intel. |
Adaptador de rede virtual |
Dispositivo VMXNet3 ou VMWare Virtual NIC
Nota:
O canal de comunicação virtual machine communication interface (VMCI) é interno para o hipervisor ESXi e o VM de firewall virtual vSRX. |
Melhores práticas para melhorar o desempenho do firewall virtual vSRX
Analise as seguintes práticas para melhorar o desempenho do firewall virtual vSRX.
- Nós NUMA
- Mapeamento de PCI NIC para VM
- Mapeamento de interfaces virtuais para um VM vM de firewall virtual vSRX
Nós NUMA
A arquitetura do servidor x86 consiste em vários sockets e vários núcleos dentro de um socket. Cada tomada também tem memória usada para armazenar pacotes durante as transferências de E/S da NIC para o host. Para ler pacotes de memória com eficiência, aplicativos de convidados e periféricos associados (como o NIC) devem residir em uma única tomada. Uma penalidade está associada à abrangência de tomadas de CPU para acessos de memória, o que pode resultar em desempenho não determinado. Para o firewall virtual vSRX, recomendamos que todos os vCPUs para o vSRX Virtual Firewall VM estejam no mesmo nó físico de acesso de memória não uniforme (NUMA) para um desempenho ideal.
O mecanismo de encaminhamento de pacotes (PFE) no firewall virtual vSRX pode ficar sem resposta se as propriedades de topologia de nós NUMA no OpenStack incluirem a linha hw:numa_nodes=2
para espalhar as vCPUs da instância em vários nós NUMA do host. Recomendamos que você remova a hw:numa_nodes=2
linha do OpenStack para garantir que o PFE funcione corretamente.
Mapeamento de PCI NIC para VM
Se o nó em que o firewall virtual vSRX está sendo executado é diferente do nó ao qual o Intel PCI NIC está conectado, então os pacotes terão que atravessar um salto adicional no link QPI, e isso reduzirá a taxa de transferência geral. Em um sistema operacional host Linux, instale o hwloc
pacote e use o lstopo
comando para visualizar informações sobre locais físicos relativos de NIC. Em alguns servidores onde essas informações não estão disponíveis, consulte a documentação de hardware para a topologia de nós slot-to-NUMA.
Mapeamento de interfaces virtuais para um VM vM de firewall virtual vSRX
Para determinar quais interfaces virtuais em seu mapa de host OS do Linux para um VM de firewall virtual vSRX:
Use o
virsh list
comando em seu sistema operacional host Linux para listar os VMs em execução.hostOS# virsh list
Id Name State ---------------------------------------------------- 25 instance-00000060 running 31 instance-0000005b running 34 instance-000000bd running 35 instance-000000bc running
Use o
virsh domiflist vsrx-name
comando para listar as interfaces virtuais naquela VM de firewall virtual vSRX.hostOS# virsh domiflist 31
Interface Type Source Model MAC ------------------------------------------------------- tapd3d9639c-d5 ethernet - virtio 02:d3:d9:63:9c:d5 tapc3c3751a-37 ethernet - virtio 02:c3:c3:75:1a:37 tap8af29333-1b ethernet - virtio 02:8a:f2:93:33:1b tapf0387bee-9b ethernet - virtio 02:f0:38:7b:ee:9b tap04e4b59a-91 ethernet - virtio 02:04:e4:b5:9a:91
Nota:A primeira interface virtual mapeia a interface do sistema operacional Junos.
Mapeamento de interface para firewall virtual vSRX no Contrail
Cada adaptador de rede definido para um firewall virtual vSRX é mapeado em uma interface específica, dependendo se a instância do firewall virtual vSRX é uma VM independente ou um de um par de clusters para alta disponibilidade. Os nomes e mapeamentos de interface no firewall virtual vSRX são mostrados na Tabela 6 e na Tabela 7.
Observe o seguinte:
No modo autônomo:
o switchp0 é a interface de gerenciamento fora da banda.
ge-0/0/0 é a primeira interface de tráfego (receita).
No modo cluster:
o switchp0 é a interface de gerenciamento fora da banda.
em0 é o link de controle de cluster para ambos os nós.
Qualquer uma das interfaces de tráfego pode ser especificada como links de malha, como ge-0/0/0 para fab0 no nó 0 e ge-7/0/0 para fab1 no nó 1.
A Tabela 6 mostra os nomes e mapeamentos de interface para uma VM vM de firewall virtual vSRX independente.
Adaptador de rede |
Nome da interface no Junos OS para firewall virtual vSRX |
---|---|
1 |
fxp0 |
2 |
ge-0/0/0 |
3 |
ge-0/0/1 |
4 |
ge-0/0/2 |
5 |
ge-0/0/3 |
6 |
ge-0/0/4 |
7 |
ge-0/0/5 |
8 |
ge-0/0/6 |
A Tabela 7 mostra os nomes e mapeamentos da interface para um par de VMs de firewall virtual vSRX em um cluster (nó 0 e nó 1).
Adaptador de rede |
Nome da interface no Junos OS para firewall virtual vSRX |
---|---|
1 |
fxp0 (nó 0 e 1) |
2 |
em0 (nó 0 e 1) |
3 |
ge-0/0/0 (nó 0)ge-7/0/0 (nó 1) |
4 |
ge-0/0/1 (nó 0)ge-7/0/1 (nó 1) |
5 |
ge-0/0/2 (nó 0)ge-7/0/2 (nó 1) |
6 |
ge-0/0/3 (nó 0)ge-7/0/3 (nó 1) |
7 |
ge-0/0/4 (nó 0)ge-7/0/4 (nó 1) |
8 |
ge-0/0/5 (nó 0)ge-7/0/5 (nó 1) |
Configurações padrão do firewall virtual vSRX no Contrail
O firewall virtual vSRX requer as seguintes configurações básicas de configuração:
As interfaces devem ser atribuídas a endereços IP.
As interfaces devem estar vinculadas a zonas.
As políticas devem ser configuradas entre zonas para permitir ou negar tráfego.
A Tabela 8 lista as configurações padrão de fábrica para as políticas de segurança do firewall virtual vSRX.
Zona de origem |
Zona de destino |
Ação de política |
---|---|---|
Confiar |
não confiável |
Permitir |
Confiar |
Confiar |
Permitir |
não confiável |
Confiar |
Negar |