Contrail 上的 vSRX 虚拟防火墙要求
软件要求
表 1 列出了在瞻博网络 Contrail 上部署 vSRX 虚拟防火墙时的系统软件要求规范。该表概述了 Junos OS 版本,其中引入了用于在 KVM 上部署 vSRX 虚拟防火墙的特定软件规范。您需要下载特定的 Junos OS 版本才能使用某些功能。
元件 |
规范 |
Junos OS 版本推出 |
|---|---|---|
虚拟机管理程序支持 |
Linux KVM |
Junos OS 版本 15.1X49-D20 和 Junos OS 版本 17.3R1 |
记忆 |
4 GB |
Junos OS 版本 15.1X49-D20 和 Junos OS 版本 17.3R1 |
8 千兆字节 |
Junos OS 版本 15.1X49-D70 和 Junos OS 版本 17.3R1 |
|
磁盘空间 |
20 GB IDE 驱动器 |
Junos OS 版本 15.1X49-D20 和 Junos OS 版本 17.3R1 |
虚拟CPU |
2 个 vCPU
注意:
Contrail 计算节点必须裸机,因为作为 VNF 的 vSRX 虚拟防火墙不支持嵌套虚拟化。 |
Junos OS 版本 15.1X49-D20 和 Junos OS 版本 17.3R1 |
5 个 vCPU
注意:
Contrail 计算节点必须裸机,因为作为 VNF 的 vSRX 虚拟防火墙不支持嵌套虚拟化。 |
Junos OS 版本 15.1X49-D70 和 Junos OS 版本 17.3R1 |
|
虚拟网卡 |
多达 16 个虚拟网卡
|
Junos OS 版本 15.1X49-D20 和 Junos OS 版本 17.3R1 |
表 2 列出了 vSRX 虚拟防火墙上的软件规格。
口味名称 |
虚拟CPU |
Junos OS 版本推出 |
|---|---|---|
虚拟机管理程序支持 |
Linux KVM |
Junos OS 18.2R1 或更高版本 |
记忆 |
4 GB |
Junos OS 18.2R1 或更高版本 |
8 千兆字节 |
Junos OS 18.2R1 或更高版本 |
|
磁盘空间 |
20 GB IDE 驱动器 |
Junos OS 18.2R1 或更高版本 |
虚拟CPU |
2 个 vCPU |
Junos OS 18.2R1 或更高版本 |
5 个 vCPU |
Junos OS 18.2R1 或更高版本 |
|
虚拟网卡 |
多达 16 个虚拟网卡
|
Junos OS 18.2R1 或更高版本 |
针对 vSRX 虚拟防火墙的 Contrail 建议
表 3 列出了在 Contrail 上运行 vSRX 虚拟防火墙的推荐软件版本。
软件 |
版本 |
支持的版本 |
|---|---|---|
轨迹 |
2.20 |
Junos OS 版本 15.1X49-D20 和 Junos OS 版本 17.3R1 或更高版本 |
3.1 |
Junos OS 版本 15.1X49-D60 和 Junos OS 版本 17.3R1 或更高版本 |
|
3.5 |
Junos OS 18.4R1 版 |
|
OpenStack |
朱诺或冰屋 |
Junos OS 版本 15.1X49-D20 和 Junos OS 版本 17.3R1 或更高版本 |
朱诺或基洛 |
Junos OS 版本 15.1X49-D60 和 Junos OS 版本 17.3R1 或更高版本 |
|
主机操作系统 |
乌班图 14.04.2 |
Junos OS 版本 15.1X49-D20 和 Junos OS 版本 17.3R1 或更高版本 |
Linux 内核 |
3.16 |
Junos OS 版本 15.1X49-D20 和 Junos OS 版本 17.3R1 或更高版本 |
我们建议您在主机上启用基于硬件的虚拟化。您可以在此处验证 CPU 兼容性: http://www.linux-kvm.org/page/Processor_support。请参阅 Contrail - 服务器要求 以查看 Contrail 的任何其他要求。
表 4 列出了针对 vSRX 虚拟防火墙的 Contrail 建议。
软件 |
版本 |
支持的版本 |
|---|---|---|
轨迹 |
3.1 |
Junos OS 18.2R1 或更高版本 |
3.2 |
Junos OS 18.2R1 或更高版本 |
|
5.X |
Junos OS 19.3R1 或更高版本 |
|
OpenStack |
Centos 7 或 8 |
Junos OS 18.2R1 或更高版本 |
主机操作系统 |
乌班图 14.04.2 |
Junos OS 18.2R1 或更高版本 |
Linux 内核 |
皇后区或更晚 |
Junos OS 18.2R1 或更高版本 |
硬件建议
表 5 列出了运行 vSRX 虚拟防火墙虚拟机的主机的硬件规格。
元件 |
规范 |
|---|---|
主机内存大小 |
4 GB(最小)。 |
主机处理器类型 |
英特尔x86_64多核 CPU
注意:
DPDK 要求在 CPU 中支持英特尔虚拟化 VT-x/VT-d。请参阅 关于英特尔虚拟化技术。 |
虚拟网络适配器 |
VMXNet3 设备或 VMWare 虚拟网卡
注意:
虚拟机通信接口 (VMCI) 通信通道位于 ESXi 虚拟机管理程序和 vSRX 虚拟防火墙虚拟机的内部。 |
提高 vSRX 虚拟防火墙性能的最佳实践
查看以下实践以提高 vSRX 虚拟防火墙性能。
NUMA 节点
x86 服务器体系结构由多个套接字和一个套接字内的多个内核组成。每个套接字还具有内存,用于在从 NIC 到主机的 I/O 传输期间存储数据包。为了有效地从内存中读取数据包,来宾应用程序和关联的外围设备(如 NIC)应驻留在单个套接字内。跨越 CPU 插槽进行内存访问会产生损失,这可能会导致性能不确定。对于 vSRX 虚拟防火墙,我们建议 vSRX 虚拟防火墙虚拟机的所有 vCPU 都位于同一物理非一致性内存访问 (NUMA) 节点中,以获得最佳性能。
如果 OpenStack 中的 NUMA 节点拓扑属性包含将实例的 vCPU 分布在多个主机 NUMA 节点上的行 hw:numa_nodes=2 ,则 vSRX 虚拟防火墙上的数据包转发引擎 (PFE) 可能会变得无响应。我们建议您从 OpenStack 中删除该 hw:numa_nodes=2 行,以确保 PFE 正常运行。
PCI 网卡到虚拟机的映射
如果运行 vSRX 虚拟防火墙的节点与英特尔 PCI NIC 连接的节点不同,则数据包必须遍历 QPI 链路中的额外跃点,这将降低整体吞吐量。在 Linux 主机操作系统上,安装 hwloc 软件包并使用命令查看 lstopo 有关相对物理网卡位置的信息。在某些没有此信息的服务器上,请参阅插槽到 NUMA 节点拓扑的硬件文档。
将虚拟接口映射到 vSRX 虚拟防火墙虚拟机
要确定 Linux 主机操作系统上的哪些虚拟接口映射到 vSRX 虚拟防火墙虚拟机,请执行以下操作:
virsh list在 Linux 主机操作系统上使用命令列出正在运行的虚拟机。hostOS# virsh list
Id Name State ---------------------------------------------------- 25 instance-00000060 running 31 instance-0000005b running 34 instance-000000bd running 35 instance-000000bc running
使用
virsh domiflist vsrx-name命令列出该 vSRX 虚拟防火墙虚拟机上的虚拟接口。hostOS# virsh domiflist 31
Interface Type Source Model MAC ------------------------------------------------------- tapd3d9639c-d5 ethernet - virtio 02:d3:d9:63:9c:d5 tapc3c3751a-37 ethernet - virtio 02:c3:c3:75:1a:37 tap8af29333-1b ethernet - virtio 02:8a:f2:93:33:1b tapf0387bee-9b ethernet - virtio 02:f0:38:7b:ee:9b tap04e4b59a-91 ethernet - virtio 02:04:e4:b5:9a:91
注意:第一个虚拟接口映射到 Junos OS 中的 fxp0 接口。
Contrail 上 vSRX 虚拟防火墙的接口映射
为 vSRX 虚拟防火墙定义的每个网络适配器都映射到特定接口,具体取决于 vSRX 虚拟防火墙实例是独立虚拟机还是群集对之一,以实现高可用性。vSRX 虚拟防火墙中的接口名称和映射如 表 6 和 表 7 所示。
请注意以下几点:
在独立模式下:
FXP0 是带外管理接口。
ge-0/0/0 是第一个流量(收入)接口。
在群集模式下:
FXP0 是带外管理接口。
em0 是两个节点的群集控制链路。
可以将任何流量接口指定为结构链路,例如节点 0 上的 fab0 为 ge-0/0/0,节点 1 上的 fab1 为 ge-7/0/0。
表 6 显示了独立 vSRX 虚拟防火墙虚拟机的接口名称和映射。
网络 适配器 |
用于 vSRX 虚拟防火墙的 Junos OS 中的接口名称 |
|---|---|
1 |
FXP0 |
2 |
ge-0/0/0 |
3 |
ge-0/0/1 |
4 |
ge-0/0/2 |
5 |
ge-0/0/3 |
6 |
ge-0/0/4 |
7 |
ge-0/0/5 |
8 |
ge-0/0/6 |
表 7 显示了群集(节点 0 和节点 1)中一对 vSRX 虚拟防火墙虚拟机的接口名称和映射。
网络 适配器 |
用于 vSRX 虚拟防火墙的 Junos OS 中的接口名称 |
|---|---|
1 |
FXP0(节点 0 和 1) |
2 |
em0(节点 0 和 1) |
3 |
ge-0/0/0 (节点 0)ge-7/0/0 (节点 1) |
4 |
ge-0/0/1 (节点 0)ge-7/0/1 (节点 1) |
5 |
ge-0/0/2(节点 0)ge-7/0/2(节点 1) |
6 |
ge-0/0/3 (节点 0)ge-7/0/3 (节点 1) |
7 |
ge-0/0/4(节点 0)ge-7/0/4(节点 1) |
8 |
ge-0/0/5(节点 0)ge-7/0/5(节点 1) |
Contrail 上的 vSRX 虚拟防火墙默认设置
vSRX 虚拟防火墙需要以下基本配置设置:
必须为接口分配 IP 地址。
接口必须绑定到区域。
必须在区域之间配置策略以允许或拒绝流量。
表 8 列出了 vSRX 虚拟防火墙安全策略的出厂默认设置。
源区域 |
目标区域 |
策略操作 |
|---|---|---|
信任 |
不信任 |
许可证 |
信任 |
信任 |
许可证 |
不信任 |
信任 |
否认 |