이 페이지의 내용
KVM을 사용하는 vSRX 가상 방화벽 이해
이 섹션에서는 KVM의 vSRX 가상 방화벽에 대한 개요를 제공합니다.
KVM 기반 vSRX 가상 방화벽
Linux 커널은 KVM(커널 기반 가상 머신)을 가상화 인프라로 사용합니다. KVM은 여러 VM(가상 머신)을 생성하고 보안 및 네트워킹 어플라이언스를 설치하는 데 사용할 수 있는 오픈 소스 소프트웨어입니다.
KVM의 기본 구성 요소는 다음과 같습니다.
기본 가상화 인프라를 제공하는 Linux 커널에 포함된 로드 가능한 커널 모듈
프로세서별 모듈
Linux 커널에 로드되면 KVM 소프트웨어가 하이퍼바이저 역할을 합니다. KVM은 멀티테넌시 를 지원하며 호스트 OS에서 여러 vSRX 가상 방화벽 VM을 실행할 수 있습니다. KVM은 호스트 OS와 여러 vSRX 가상 방화벽 VM 간에 시스템 리소스를 관리하고 공유합니다.
vSRX 가상 방화벽을 사용하려면 Intel VT(가상화 기술) 지원 프로세서가 포함된 호스트 OS에서 하드웨어 기반 가상화를 활성화해야 합니다.
그림 1 은 Ubuntu 서버에 있는 vSRX 가상 방화벽 VM의 기본 구조를 보여줍니다.
의 vSRX 가상 방화벽 VM
vSRX 가상 방화벽 스케일업 성능
표 1 은 특정 vSRX 가상 방화벽 소프트웨어 사양이 도입된 Junos OS 릴리스와 함께 vSRX 가상 방화벽 VM에 적용된 vCPU 및 vRAM의 수를 기반으로 KVM에 구축되었을 때 vSRX 가상 방화벽 스케일 업 성능을 보여줍니다.
vCPU |
Vram |
Nic |
릴리스 소개 |
|---|---|---|---|
vCPU 2개 |
4gb |
|
Junos OS 릴리스 15.1X49-D15 및 Junos OS 릴리스 17.3R1 |
vCPU 5개 |
8 기가바이트 |
|
Junos OS 릴리스 15.1X49-D70 및 Junos OS 릴리스 17.3R1 |
vCPU 5개 |
8 기가바이트 |
|
Junos OS 릴리스 15.1X49-D90 및 Junos OS 릴리스 17.3R1 |
| vCPU 1개 | 4gb |
Mellanox ConnectX-4 및 ConnectX-5 제품군 어댑터의 SR-IOV. |
Junos OS 릴리스 21.2R1 |
| vCPU 4개 | 8 기가바이트 |
Mellanox ConnectX-4 및 ConnectX-5 제품군 어댑터의 SR-IOV. |
Junos OS 릴리스 21.2R1 |
| vCPU 8개 | 16 기가바이트 |
Mellanox ConnectX-4 및 ConnectX-5 제품군 어댑터의 SR-IOV. |
Junos OS 릴리스 21.2R1 |
| vCPU 16개 | 32gb |
Mellanox ConnectX-4 및 ConnectX-5 제품군 어댑터의 SR-IOV. |
Junos OS 릴리스 21.2R1 |
vSRX 가상 방화벽에 할당된 vCPU 수와 vRAM 양을 늘려 vSRX 가상 방화벽 인스턴스의 성능과 용량을 확장할 수 있습니다. 멀티코어 vSRX 가상 방화벽은 부팅 시 적절한 vCPU 및 vRAM 값과 NIC의 RSS(Receive Side Scaling) 대기열 수를 자동으로 선택합니다. vSRX 가상 방화벽 VM에 할당된 vCPU 및 vRAM 설정이 현재 사용 가능한 설정과 일치하지 않는 경우 vSRX 가상 방화벽은 인스턴스에 대해 지원되는 가장 가까운 값으로 축소됩니다. 예를 들어 vSRX 가상 방화벽 VM에 3개의 vCPU와 8GB의 vRAM이 있는 경우 vSRX 가상 방화벽은 최소 2개의 vCPU가 필요한 더 작은 vCPU 크기로 부팅됩니다. vSRX 가상 방화벽 인스턴스를 더 많은 수의 vCPU와 vRAM 양으로 확장할 수 있지만 기존 vSRX 가상 방화벽 인스턴스를 더 작은 설정으로 축소할 수는 없습니다.
RSS 대기열 수는 일반적으로 vSRX 가상 방화벽 인스턴스의 데이터 플레인 vCPU 수와 일치합니다. 예를 들어 4개의 데이터 플레인 vCPU가 있는 vSRX 가상 방화벽에는 4개의 RSS 대기열이 있어야 합니다.
vSRX 가상 방화벽 세션 용량 증가
vSRX 가상 방화벽 솔루션은 메모리를 늘려 세션 수를 늘리도록 최적화되어 있습니다.
메모리를 늘려 세션 수를 늘릴 수 있는 기능을 통해 vSRX 가상 방화벽을 활성화하면 다음과 같은 작업을 수행할 수 있습니다.
-
모바일 네트워크의 전략적 위치에서 확장성과 유연성이 뛰어난 고성능 보안을 제공합니다.
-
서비스 프로바이더가 네트워크를 확장하고 보호하는 데 필요한 성능을 제공합니다.
show security flow session summary | grep maximum 명령을 실행하여 최대 세션 수를 확인합니다.
Junos OS 릴리스 18.4R1부터 사용된 vRAM 크기에 따라 vSRX 가상 방화벽 인스턴스에서 지원되는 플로우 세션 수가 증가합니다.
Junos OS 릴리스 19.2R1부터 사용된 vRAM 크기에 따라 vSRX 가상 방화벽 3.0 인스턴스에서 지원되는 플로우 세션 수가 증가합니다.
vSRX 가상 방화벽 3.0에서는 최대 28M 세션이 지원됩니다. 64G 이상의 메모리로 vSRX Virtual Firewall 3.0을 구축할 수 있지만 최대 플로우 세션은 여전히 28M에 불과할 수 있습니다.
표 2 에는 플로우 세션 용량이 나와 있습니다.
| vCPU |
메모리 |
플로우 세션 용량 |
|---|---|---|
| 2 |
4gb |
0.5 미터 |
| 2 |
6 기가바이트 |
1 미터 |
| 2/5 |
8 기가바이트 |
2 미터 |
| 2/5 |
10 기가바이트 |
2 미터 |
| 2/5 |
12 기가바이트 |
2.5 미터 |
| 2/5 |
14 기가바이트 |
3 미터 |
| 2/5/9 |
16 기가바이트 |
4미터 |
| 2/5/9 |
20 기가바이트 |
6미터 |
| 2/5/9 |
24 기가바이트 |
8m 거리 |
| 2/5/9 |
28 기가바이트 |
10m 거리 |
| 2/5/9/17 |
32gb |
12m 거리 |
| 2/5/9/17 |
40 기가바이트 |
16m 거리 |
| 2/5/9/17 |
48 기가바이트 |
20m 거리 |
| 2/5/9/17 |
56 기가바이트 |
24m 거리 |
| 2/5/9/17 |
64gb |
28m 거리 |
변경 내역 테이블
기능 지원은 사용 중인 플랫폼 및 릴리스에 따라 결정됩니다. 기능 탐색기 를 사용하여 플랫폼에서 기능이 지원되는지 확인합니다.