Entenda o firewall virtual vSRX com KVM
Esta seção apresenta uma visão geral do firewall virtual vSRX no KVM.
Firewall virtual vSRX no KVM
O kernel linux usa a máquina virtual baseada em kernel (KVM) como uma infraestrutura de virtualização. KVM é um software de código aberto que você pode usar para criar várias máquinas virtuais (VMs) e instalar dispositivos de segurança e rede.
Os componentes básicos do KVM incluem:
Um módulo de kernel carregável incluído no kernel do Linux que oferece a infraestrutura básica de virtualização
Um módulo específico do processador
Quando carregado no kernel do Linux, o software KVM funciona como um hipervisor. O KVM oferece suporte à multitenancy e permite que você execute vários VMs de firewall virtual vSRX no host OS. O KVM gerencia e compartilha os recursos do sistema entre o sistema operacional host e os VMs de firewall virtual vSRX múltiplos.
O firewall virtual vSRX exige que você habilite a virtualização baseada em hardware em um SISTEMA OPERACIONAL de host que contenha um processador com capacidade de Tecnologia de Virtualização Intel (VT).
A Figura 1 ilustra a estrutura básica de um VM vM de firewall virtual vSRX em um servidor Ubuntu.
Firewall virtual vSRX amplia o desempenho
A Tabela 1 mostra que o firewall virtual vSRX amplia o desempenho quando implantado no KVM, com base no número de vCPUs e vRAM aplicados a um VM de firewall virtual vSRX, juntamente com o lançamento do Junos OS no qual uma especificação específica do software vSRX Virtual Firewall foi introduzida.
vCPUs |
Vram |
Nics |
Versão introduzida |
|---|---|---|---|
2 vCPUs |
4 GB |
|
Versão Junos OS 15.1X49-D15 e Junos OS Versão 17.3R1 |
5 vCPUs |
8 GB |
|
Versão Junos OS 15.1X49-D70 e Junos OS Versão 17.3R1 |
5 vCPUs |
8 GB |
|
Versão Junos OS 15.1X49-D90 e Junos OS Versão 17.3R1 |
| 1 vCPU | 4 GB |
SR-IOV nos adaptadores da família Mellanox ConnectX-4 e ConnectX-5. |
Versão Junos OS 21.2R1 |
| 4 vCPUs | 8 GB |
SR-IOV nos adaptadores da família Mellanox ConnectX-4 e ConnectX-5. |
Versão Junos OS 21.2R1 |
| 8 vCPUs | 16GB |
SR-IOV nos adaptadores da família Mellanox ConnectX-4 e ConnectX-5. |
Versão Junos OS 21.2R1 |
| 16 vCPUs | 32 GB |
SR-IOV nos adaptadores da família Mellanox ConnectX-4 e ConnectX-5. |
Versão Junos OS 21.2R1 |
Você pode dimensionar o desempenho e a capacidade de uma instância de firewall virtual vSRX aumentando o número de vCPUs e a quantidade de vRAM alocada para o firewall virtual vSRX. O firewall virtual vSRX multi-core seleciona automaticamente os valores apropriados para vCPUs e vRAM no momento do inicialização, bem como o número de filas de escala lateral de recebimento (RSS) na NIC. Se as configurações de vCPU e vRAM alocadas em um VM de firewall virtual vSRX não corresponderem ao que está disponível atualmente, o firewall virtual vSRX se reduz ao valor mais próximo suportado para a instância. Por exemplo, se um VM vM de firewall virtual vSRX tiver 3 vCPUs e 8 GB de vRAM, o firewall virtual vSRX vai até o tamanho menor de vCPU, o que requer um mínimo de 2 vCPUs. Você pode escalar uma instância de firewall virtual vSRX para um número maior de vCPUs e quantidade de vRAM, mas não pode reduzir uma instância de firewall virtual vSRX existente para uma configuração menor.
O número de filas RSS normalmente combina com o número de vCPUs de plano de dados de uma instância de firewall virtual vSRX. Por exemplo, um firewall virtual vSRX com 4 vCPUs de plano de dados deve ter 4 filas RSS.
Aumento da capacidade da sessão de firewall virtual vSRX
A solução de firewall virtual vSRX é otimizada para aumentar os números da sessão aumentando a memória.
Com a capacidade de aumentar os números de sessão aumentando a memória, você pode habilitar o firewall virtual vSRX para:
-
Ofereça segurança altamente escalável, flexível e de alto desempenho em locais estratégicos da rede móvel.
-
Entregue o desempenho que os provedores de serviços precisam para dimensionar e proteger suas redes.
Execute o show security flow session summary | grep maximum comando para visualizar o número máximo de sessões.
A partir do Junos OS Release 18.4R1, o número de sessões de fluxo suportadas em uma instância de firewall virtual vSRX é aumentado com base no tamanho vRAM usado.
A partir do Junos OS Release 19.2R1, o número de sessões de fluxo suportadas em uma instância 3.0 do firewall virtual vSRX é aumentado com base no tamanho da vRAM usada.
O máximo de sessões de 28M é suportado no firewall virtual vSRX 3.0. Você pode implantar o firewall virtual vSRX 3.0 com mais de memória 64G, mas as sessões de fluxo máximo ainda podem ser apenas 28M.
A Tabela 2 lista a capacidade da sessão de fluxo.
| vCPUs |
Memória |
Capacidade de sessão de fluxo |
|---|---|---|
| 2 |
4 GB |
0,5 M |
| 2 |
6 GB |
1 M |
| 2/5 |
8 GB |
2 M |
| 2/5 |
10 GB |
2 M |
| 2/5 |
12 GB |
2,5 M |
| 2/5 |
14 GB |
3 M |
| 2/5/9 |
16 GB |
4 M |
| 2/5/9 |
20 GB |
6 M |
| 2/5/9 |
24 GB |
8 M |
| 2/5/9 |
28 GB |
10 M |
| 2/5/9/17 |
32 GB |
12 M |
| 2/5/9/17 |
40 GB |
16 M |
| 2/5/9/17 |
48 GB |
20 M |
| 2/5/9/17 |
56 GB |
24 M |
| 2/5/9/17 |
64 GB |
28 M |
Tabela de histórico de mudanças
O suporte de recursos é determinado pela plataforma e versão que você está usando. Use o Feature Explorer para determinar se um recurso é suportado em sua plataforma.