Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

KVM上のvSRX仮想ファイアウォールの要件

このセクションでは、KVMにvSRX仮想ファイアウォールインスタンスを導入するための要件の概要について説明します。

ソフトウェアの仕様

KVM環境にvSRX仮想ファイアウォールを導入する場合のシステムソフトウェア要件仕様を下表に示します。この表は、KVMにvSRX仮想ファイアウォールを導入するための特定のソフトウェア仕様が導入されたJunos OSリリースの概要を示しています。特定の機能を利用するには、特定のJunos OSリリースをダウンロードする必要があります。

注意:

KVMホストカーネルに関連するページ変更ログ(PML)の問題により、vSRX仮想ファイアウォールが正常に起動しない可能性があります。vSRX 仮想ファイアウォールでこのような動作が発生した場合は、ホスト カーネル レベルで PML を無効にすることをお勧めします。ネストされた仮想化の有効化の一環として PML を無効にする方法の詳細については、 vSRX インストールのためのサーバーの準備 を参照してください。

表1:vSRX仮想ファイアウォールでサポートされる機能
機能 仕様 Junos OS リリースが導入されました
vCPU/メモリ

2 vCPU / 4 GB RAM

Junos OSリリース15.1X49-D15およびJunos OSリリース17.3R1(vSRX仮想ファイアウォール)

5 vCPU / 8 GB RAM

Junos OSリリース15.1X49-D70およびJunos OSリリース17.3R1(vSRX仮想ファイアウォール)

9 vCPU / 16 GB RAM

Junos OSリリース18.4R1(vSRX仮想ファイアウォール)

Junos OSリリース19.1R1(vSRX仮想ファイアウォール3.0)

17 vCPU / 32 GB RAM

Junos OSリリース18.4R1(vSRX仮想ファイアウォール)

Junos OSリリース19.1R1(vSRX仮想ファイアウォール3.0)

追加のvRAMによる柔軟なフローセッション容量拡張

該当なし

Junos OSリリース19.1R1(vSRX仮想ファイアウォール)

Junos OSリリース19.2R1(vSRX仮想ファイアウォール3.0)

マルチコアスケーリング対応(ソフトウェアRSS)

該当なし Junos OSリリース19.3R1(vSRX仮想ファイアウォール3.0のみ)

ルーティングエンジン(vSRX仮想ファイアウォールおよびvSRX仮想ファイアウォール3.0)用に追加のvCPUコアを予約する

該当なし  

Virtio(virtio-net、vhost-net)(vSRX仮想ファイアウォールおよびvSRX仮想ファイアウォール3.0)

該当なし  
サポートされているハイパーバイザー

Linux KVM ハイパーバイザーのサポート

手記:

ここで説明した特定の Junos OS リリース以降、後続のすべての Junos OS リリースでも、これらの RHEL バージョン以降のリリースがサポートされています。

Ubuntu 14.04.5、16.04、および16.10

Junos OSリリース18.4R1
Ubuntu 18.04および20.04 Junos OSリリース20.4R1
Red Hat Enterprise Linux (RHEL) 7.3、7.6、7.7 Junos OSリリース18.4R1
Red Hat Enterprise Linux(RHEL)8.2 Junos OSリリース19.2R1
Red Hat Enterprise Linux(RHEL)9 Junos OSリリース23.4R1
CentOS 7.1、7.2、7.6、および7.7 Junos OSリリース20.4R1
その他の機能

Cloud-init

該当なし  

パワーモード IPSec(PMI)

該当なし  

シャーシ クラスタ

該当なし  

ソフトウェアRSSを用いたGTP TEIDベースのセッション配信

該当なし ○(Junos OSリリース19.3R1以降)

オンデバイスウイルス対策スキャン エンジン (Avira)

該当なし ○(Junos OSリリース19.4R1以降)

ティッカー

該当なし ○(Junos OSリリース21.1R1以降)

Junos Telemetry Interface

該当なし ○(Junos OSリリース20.3R1以降)
システム要件

ハイパーバイザーのハードウェアアクセラレーション/有効なVMX CPUフラグ

該当なし  

ディスク容量

16 GB(IDEまたはSCSIドライブ)(vSRX仮想ファイアウォール)

Junos OSリリース15.1X49-D15およびJunos OSリリース17.3R1

18 GB(vSRX仮想ファイアウォール3.0)

 
表2:vSRX仮想ファイアウォールでのvNICサポート
vNIC リリースの導入
Virtio SA および HA  
SR-IOV SA および HA over Intel 82599/X520 シリーズ Junos OSリリース15.1X49-D90およびJunos OSリリース17.3R1
SR-IOV SA および HA over Intel X710/XL710/XXV710 シリーズ Junos OSリリース15.1X49-D90
SR-IOV SA および HA over Intel E810 シリーズ Junos OSリリース21.2R1
手記:

Junos OSリリース23.2R2以降、ICEドライバ1.12.7のみがe810とvSRX 3.0と互換性があります。1.12.7より前のバージョンでは互換性の問題が発生し、FPCがオンラインで表示されません。

SR-IOV SA および HA over Mellanox ConnectX-3 未対応
SR-IOV SA および HA over Mellanox ConnectX-4/5/6 (MLX5 ドライバーのみ)

Junos OSリリース18.1R1(vSRX仮想ファイアウォール)

vSRX仮想ファイアウォール3.0のJunos OSリリース21.2R1以降

Intel 82599/X520 シリーズ上の PCI パススルー 未対応
Intel X710/XL710シリーズを介したPCIパススルー 未対応

データ プレーン開発キット(DPDK)バージョン 17.05

Junos OSリリース18.2R1

データ プレーン開発キット(DPDK)バージョン 18.11

Junos OSリリース19.4R1以降、DPDKバージョン18.11がvSRX仮想ファイアウォールでサポートされます。この機能により、vSRX仮想ファイアウォール上のMellanox Connectネットワークインターフェイスカード(NIC)は、OSPF、マルチキャスト、およびVLANをサポートするようになりました。

Junos OSリリース19.4R1

データ プレーン開発キット(DPDK)バージョン 20.11

Junos OSリリース21.2R1以降、データプレーン開発キット(DPDK)をバージョン18.11からバージョン20.11にアップグレードしました。新しいバージョンは、vSRX仮想ファイアウォール3.0で物理的なIntel E810シリーズ100G NICサポートを有効にするICEポーリングモードドライバー(PMD)をサポートしています。
Junos OSリリース21.2R1
手記:

KVMにvSRX仮想ファイアウォールを導入するには、インテルVT(バーチャライゼーションテクノロジー)対応プロセッサを搭載したホストOS上でハードウェアベースの仮想化を有効にする必要があります。ここでCPUの互換性を確認できます: http://www.linux-kvm.org/page/Processor_support

以下の表は、vSRX仮想ファイアウォールVMの仕様を示しています。

Junos OSリリース19.1R1以降、vSRX仮想ファイアウォールインスタンスは、拡張性とパフォーマンス向上のため、Linux KVMハイパーバイザー上のIntel X710/XL710上で、シングルルートI/O仮想化で9個または17個のvCPUを使用するゲストOSをサポートします。

vSRX仮想ファイアウォールに対するKVMカーネルの推奨事項

表3 は、KVMにvSRX仮想ファイアウォールを導入する場合に、LinuxホストOSに推奨されるLinuxカーネルバージョンを示しています。この表は、特定のLinuxカーネルバージョンに対するサポートが導入されたJunos OSリリースの概要を示しています。

表 3: KVM に対するカーネルの推奨事項

Linux ディストリビューション

Linux カーネル バージョン

サポートされている Junos OS リリース

CentOS

3.10.0.229

Linux カーネルをアップグレードして、推奨バージョンをキャプチャします。

Junos OS リリース 15.1X49-D15 および Junos OS リリース 17.3R1 以降のリリース

ウブンツ

3.16

Junos OS リリース 15.1X49-D15 および Junos OS リリース 17.3R1 以降のリリース

4.4

Junos OS リリース 15.1X49-D15 および Junos OS リリース 17.3R1 以降のリリース

18.04

Junos OS リリース 20.4R1 以降のリリース

20.04

Junos OS リリース 20.4R1 以降のリリース

レル

3.10

Junos OS リリース 15.1X49-D15 および Junos OS リリース 17.3R1 以降のリリース

KVM上のvSRX仮想ファイアウォール用の追加Linuxパッケージ

表4 は、KVMでvSRX仮想ファイアウォールを実行するためにLinuxホストOSで必要な追加パッケージを示しています。これらのパッケージがサーバーに存在しない場合にインストールする方法については、ホストOSのドキュメントを参照してください。

表 4: KVM 用の追加の Linux パッケージ

パッケージ

バージョン

ダウンロードリンク

libvirt

0.10.0

libvirt のダウンロード

virt-manager (推奨)

0.10.0

virt-manager のダウンロード

ハードウェアの仕様

表5 に、vSRX仮想ファイアウォールVMを実行するホストマシンのハードウェア仕様を示します。

表 5: ホスト マシンのハードウェア仕様

コンポーネント

仕様

ホスト・プロセッサ・タイプ

Intel x86_64 マルチコア CPU

手記:

DPDK を使用するには、CPU でインテル バーチャライゼーション VT-x/VT-d をサポートする必要があります。 インテル(R) バーチャライゼーション・テクノロジーについてを参照してください。

vSRX仮想ファイアウォールおよびvSRX仮想ファイアウォール3.0の物理NICサポート

  • ヴィルティオ

  • SR-IOV(Intel X710/XL710、X520/540、82599)

  • SR-IOV(Mellanox ConnectX-3/ConnectX-3 Pro および Mellanox ConnectX-4 EN/ConnectX-4 Lx EN)

手記:

Mellanox ConnectX-3 または ConnectX-4 ファミリ アダプターと共に SR-IOV を使用する場合は、必要に応じて、Linux ホストに最新の MLNX_OFED Linux ドライバーをインストールします。 Mellanox OpenFabrics Enterprise Distribution for Linux (MLNX_OFED)を参照してください。

手記:

ゲストごとに物理デバイスを直接割り当てるためのハードウェアサポートを提供するには、Intel VT-d 拡張機能を有効にする必要があります。 KVMでのSR-IOVとPCIの設定を参照してください。

vSRX仮想ファイアウォール3.0の物理NICサポート

Intel X710/XL710/XXV710およびIntel E810でSR-IOVをサポートします。

vSRX仮想ファイアウォールのパフォーマンスを向上させるためのベストプラクティス

vSRX仮想ファイアウォールのパフォーマンスを向上させるために、以下のプラクティスを確認してください。

NUMA ノード

x86 サーバー アーキテクチャは、複数のソケットとソケット内の複数のコアで構成されます。各ソケットには、NIC からホストへの I/O 転送中にパケットを格納するために使用されるメモリがあります。メモリからパケットを効率的に読み取るには、ゲスト アプリケーションと関連する周辺機器 (NIC など) を 1 つのソケット内に配置する必要があります。ペナルティは、メモリアクセスのためのスパンCPUソケットに関連しており、非決定的なパフォーマンスになる可能性があります。vSRX 仮想ファイアウォールでは、最適なパフォーマンスを得るために、vSRX 仮想ファイアウォール VM のすべての vCPU を同じ NUMA(物理不均一メモリアクセス)ノードに配置することをお勧めします。

注意:

ハイパーバイザーでNUMAノードトポロジがインスタンスのvCPUを複数のホストNUMAノードに分散するように設定されている場合、vSRX仮想ファイアウォール上のパケット転送エンジン(PFE)は応答しなくなります。vSRX仮想ファイアウォールでは、すべてのvCPUが同じNUMAノードに存在することを確認する必要があります。

NUMAノードアフィニティを設定して、vSRX仮想ファイアウォールインスタンスを特定のNUMAノードにバインドすることをお勧めします。NUMAノードアフィニティは、vSRX仮想ファイアウォールVMリソースのスケジューリングを、指定されたNUMAノードのみに制限します。

vSRX仮想ファイアウォールVMへの仮想インターフェイスのマッピング

LinuxホストOS上のどの仮想インターフェイスがvSRX仮想ファイアウォールVMにマッピングされているかを確認するには、次の手順に従います。

  1. Linux ホスト OS で virsh list コマンドを使用して、実行中の VM を一覧表示します。

  2. virsh domiflist vsrx-name コマンドを使用して、vSRX 仮想ファイアウォール VM 上の仮想インターフェイスを一覧表示します。

    手記:

    最初の仮想インターフェイスは、Junos OS の fxp0 インターフェイスにマップされます。

KVM上のvSRX仮想ファイアウォールのインターフェイスマッピング

vSRX仮想ファイアウォール用に定義された各ネットワークアダプタは、vSRX仮想ファイアウォールインスタンスがスタンドアロンVMであるか、高可用性のためのクラスタペアの1つであるかに応じて、特定のインターフェイスにマッピングされます。vSRX仮想ファイアウォールのインターフェイス名とマッピングを 表6表7に示します。

次の点に注意してください。

  • スタンドアロンモードの場合:

    • fxp0 はアウトオブバンド管理インターフェイスです。

    • ge-0/0/0は、最初のトラフィック(収益)インターフェイスです。

  • クラスタ モードの場合:

    • fxp0 はアウトオブバンド管理インターフェイスです。

    • em0 は、両方のノードのクラスタ制御リンクです。

    • ノード 0 の fab0 の ge-0/0/0 や、ノード 1 の fab1 の ge-7/0/0 のように、どのトラフィック インターフェイスもファブリック リンクとして指定できます。

表6 に、スタンドアロンvSRX仮想ファイアウォールVMのインターフェイス名とマッピングを示します。

表 6: スタンドアロン vSRX 仮想ファイアウォール VM のインターフェイス名

ネットワーク アダプタ

vSRX仮想ファイアウォール向けJunos OSのインターフェイス名

1

fxp0:

2

ge-0/0/0

3

ge-0/0/1

4

ge-0/0/2

5

ge-0/0/3

6

ge-0/0/4

7

ge-0/0/5

8

ge-0/0/6

表7 は、クラスター内のvSRX仮想ファイアウォールVMのペア(ノード0とノード1)のインターフェイス名とマッピングを示しています。

表7:vSRX仮想ファイアウォールクラスターペアのインターフェイス名

ネットワーク アダプタ

vSRX仮想ファイアウォール向けJunos OSのインターフェイス名

1

fxp0(ノード 0 および 1)

2

em0(ノード0および1)

3

ge-0/0/0 (ノード 0)ge-7/0/0 (ノード 1)

4

ge-0/0/1 (ノード 0)ge-7/0/1 (ノード 1)

5

ge-0/0/2 (ノード 0)ge-7/0/2 (ノード 1)

6

ge-0/0/3 (ノード 0)ge-7/0/3 (ノード 1)

7

ge-0/0/4 (ノード 0)ge-7/0/4 (ノード 1)

8

ge-0/0/5 (ノード 0)ge-7/0/5 (ノード 1)

KVMのvSRX仮想ファイアウォールのデフォルト設定

vSRX仮想ファイアウォールには、次の基本構成設定が必要です。

  • インターフェイスには IP アドレスを割り当てる必要があります。

  • インターフェイスはゾーンにバインドされている必要があります。

  • トラフィックを許可または拒否するには、ゾーン間でポリシーを構成する必要があります。

表8 は、vSRX仮想ファイアウォールのセキュリティポリシーの工場出荷時のデフォルト設定を示しています。

表 8: セキュリティ ポリシーの工場出荷時のデフォルト設定

ソースゾーン

宛先ゾーン

ポリシーアクション

信託

信頼できない

許す

信託

信託

許す

信頼できない

信託

打ち消す