vSRX ვირტუალური Firewall-ის განლაგება

„

პროდუქტის ინფორმაცია

სპეციფიკაციები

• პროდუქტის სახელი: vSRX ვირტუალური Firewall
• განლაგების გზამკვლევი კერძო და საჯარო ღრუბლოვანი პლატფორმებისთვის
• გამომცემელი: Juniper Networks, Inc.
• გამოქვეყნების თარიღი: 2023-11-09
• მდებარეობა: 1133 Innovation Way Sunnyvale, კალიფორნია 94089
  აშშ
• კონტაქტი: 408-745-2000
• Webსაიტი: www.juniper.net

პროდუქტის გამოყენების ინსტრუქცია

დასრულდაview

vSRX ვირტუალური Firewall უზრუნველყოფს უსაფრთხოების ფუნქციებს
ვირტუალიზებული გარემო. მიჰყევით ქვემოთ მოცემულ ნაბიჯებს განსათავსებლად და
მართეთ ვირტუალური ბუხარი.

ინსტალაცია

1. მოამზადეთ თქვენი სერვერი vSRX ვირტუალური Firewall-ისთვის
   ინსტალაცია:

• ჩართეთ ჩადგმული ვირტუალიზაცია
• განაახლეთ Linux Kernel Ubuntu-ზე

დააინსტალირეთ vSRX ვირტუალური Firewall KVM-ით:

• virt-manager-ის ან virt-install-ის გამოყენება

კონფიგურაცია

1. ჩატვირთეთ საწყისი კონფიგურაცია vSRX ვირტუალურ Firewall-ზე
   KVM
2. შექმენით vSRX ვირტუალური Firewall Bootstrap ISO სურათი
3. უზრუნველყოს vSRX ვირტუალური Firewall ISO Bootstrap გამოსახულების ჩართული
   KVM

მენეჯმენტი

1. vSRX ვირტუალური Firewall-ის კონფიგურაცია CLI-ის გამოყენებით
2. დაკავშირება vSRX ვირტუალური Firewall Management Console-თან
   KVM
3. დაამატეთ ვირტუალური ქსელი vSRX ვირტუალური Firewall VM-ით
   KVM
4. დაამატეთ Virtio ვირტუალური ინტერფეისი vSRX Virtual Firewall VM-ში
   KVM-ით

SR-IOV და PCI მხარდაჭერა

დეტალები SR-IOV ინტერფეისების კონფიგურაციისა და შეზღუდვების შესახებ.

ხშირად დასმული კითხვები (FAQ)

Q: არის თუ არა vSRX ვირტუალური Firewall თავსებადი ყველა ღრუბელთან
პლატფორმები?

პასუხი: vSRX ვირტუალური Firewall შექმნილია ორივესთან მუშაობისთვის
კერძო და საჯარო ღრუბლოვანი პლატფორმები. თუმცა, კონკრეტული მოთხოვნები
შეიძლება განსხვავდებოდეს.

კითხვა: შემიძლია vSRX ვირტუალური Firewall-ის ინიციალიზაციის ავტომატიზაცია?
შემთხვევები OpenStack-ის გარემოში?

პასუხი: დიახ, შეგიძლიათ გამოიყენოთ Cloud-Init OpenStack გარემოში
vSRX ვირტუალური Firewall-ის შემთხვევების ინიციალიზაციის ავტომატიზაცია.

„`

vSRX ვირტუალური Firewall-ის განლაგების გზამკვლევი კერძო და საჯარო ღრუბლოვანი პლატფორმებისთვის
გამოქვეყნდა
2023-11-09

ii
Juniper Networks, Inc. 1133 Innovation Way Sunnyvale, California 94089 USA 408-745-2000 www.juniper.net
Juniper Networks, Juniper Networks-ის ლოგო, Juniper და Junos არის Juniper Networks, Inc.-ის რეგისტრირებული სავაჭრო ნიშნები შეერთებულ შტატებში და სხვა ქვეყნებში. ყველა სხვა სავაჭრო ნიშანი, მომსახურების ნიშანი, რეგისტრირებული ან რეგისტრირებული სერვისის ნიშანი მათი შესაბამისი მფლობელების საკუთრებაა.
Juniper Networks არ იღებს პასუხისმგებლობას ამ დოკუმენტის უზუსტობებზე. Juniper Networks იტოვებს უფლებას შეცვალოს, შეცვალოს, გადაიტანოს ან სხვაგვარად გადახედოს ამ პუბლიკაციას შეტყობინების გარეშე.
vSRX ვირტუალური Firewall-ის განლაგების გზამკვლევი პირადი და საჯარო ღრუბლოვანი პლატფორმებისთვის საავტორო უფლება © 2023 Juniper Networks, Inc. ყველა უფლება დაცულია.
ამ დოკუმენტის ინფორმაცია აქტუალურია სათაურის გვერდზე მოცემული თარიღისთვის.
2000 წლის შეტყობინება
Juniper Networks-ის აპარატურა და პროგრამული პროდუქტები შეესაბამება 2000 წელს. Junos OS-ს არ აქვს ცნობილი დროთან დაკავშირებული შეზღუდვები 2038 წლამდე. თუმცა, ცნობილია, რომ NTP აპლიკაციას გარკვეული სირთულეები აქვს 2036 წელს.
საბოლოო მომხმარებლის სალიცენზიო ხელშეკრულება
Juniper Networks-ის პროდუქტი, რომელიც არის ამ ტექნიკური დოკუმენტაციის საგანი, შედგება (ან განკუთვნილია გამოსაყენებლად) Juniper Networks პროგრამული უზრუნველყოფისგან. ასეთი პროგრამული უზრუნველყოფის გამოყენება ექვემდებარება საბოლოო მომხმარებლის სალიცენზიო შეთანხმების („EULA“) პირობებს, რომელიც გამოქვეყნებულია https://support.juniper.net/support/eula/-ზე. ასეთი პროგრამული უზრუნველყოფის ჩამოტვირთვის, ინსტალაციის ან გამოყენებით თქვენ ეთანხმებით ამ EULA-ს პირობებს.

iii

სარჩევი

ამ სახელმძღვანელოს შესახებ | xvii

1

vSRX ვირტუალური Firewall-ის განლაგება KVM-სთვის

დასრულდაview | 2

გაიგე vSRX ვირტუალური Firewall KVM | 2

მოთხოვნები vSRX ვირტუალური Firewall-ისთვის KVM-ზე | 7

დააინსტალირეთ vSRX ვირტუალური Firewall KVM-ში | 19 მოამზადეთ თქვენი სერვერი vSRX ვირტუალური Firewall-ის ინსტალაციისთვის | 19
ჩართეთ Nested Virtualization | 19 განაახლეთ Linux Kernel Ubuntu-ზე | 21

დააინსტალირეთ vSRX ვირტუალური Firewall KVM | 21 დააინსტალირეთ vSRX ვირტუალური Firewall virt-manager | 22 დააინსტალირეთ vSRX ვირტუალური Firewall virt-install | 24

Example: დააინსტალირეთ და გაუშვით vSRX ვირტუალური Firewall Ubuntu-ზე | 27
მოთხოვნები | 28 დასრულდაview | 28 სწრაფი კონფიგურაცია – დააინსტალირეთ და გაუშვით vSRX ვირტუალური Firewall VM Ubuntu-ზე | 29 | 32 ნაბიჯ-ნაბიჯ კონფიგურაცია | 32

ჩატვირთეთ საწყისი კონფიგურაცია vSRX ვირტუალურ Firewall-ზე KVM | 45 შექმენით vSRX ვირტუალური Firewall Bootstrap ISO Image | 46 უზრუნველყოფა vSRX ვირტუალური Firewall ISO Bootstrap გამოსახულება KVM-ზე | 47

გამოიყენეთ Cloud-Init OpenStack გარემოში vSRX ვირტუალური Firewall-ის ინსტანციების ინიციალიზაციის ავტომატიზაციისთვის | 48
შეასრულეთ vSRX ვირტუალური Firewall ინსტანციის ავტომატური დაყენება OpenStack CommandLine ინტერფეისის გამოყენებით | 52
შეასრულეთ vSRX ვირტუალური Firewall ინსტანციის ავტომატური დაყენება OpenStack Dashboard-დან (Horizon) | 54

vSRX ვირტუალური Firewall VM მართვა KVM-ით | 62

iv
vSRX ვირტუალური Firewall-ის კონფიგურაცია CLI | 62
დაკავშირება vSRX ვირტუალური Firewall მართვის კონსოლთან KVM | 64
დაამატეთ ვირტუალური ქსელი vSRX Virtual Firewall VM-ში KVM | 65
დაამატეთ Virtio ვირტუალური ინტერფეისი vSRX ვირტუალური Firewall VM-ში KVM-ით | 67
SR-IOV და PCI | 69 SR-IOV მეტიview | 69 SR-IOV HA მხარდაჭერა Trust Mode გამორთულია (მხოლოდ KVM) | 70 გაგება SR-IOV HA მხარდაჭერით Trust Mode გამორთულია (მხოლოდ KVM) | 70 SR-IOV მხარდაჭერის კონფიგურაცია Trust Mode გამორთულია (მხოლოდ KVM) | 72 შეზღუდვები | 73 SR-IOV ინტერფეისის კონფიგურაცია KVM-ზე | 74
განაახლეთ Multi-core vSRX Virtual Firewall | 78 VSRX Virtual Firewall VM-ის რიგის მნიშვნელობის კონფიგურაცია KVM-ით | 78 vSRX ვირტუალური Firewall-ის ინსტანციის გამორთვა virt-manager-ით | 79 განაახლეთ vSRX ვირტუალური Firewall virt-manager-ით | 79
VSRX ვირტუალური Firewall VM-ის მონიტორინგი KVM-ში | 81
მართეთ vSRX ვირტუალური Firewall ინსტანცია KVM | 82 ჩართეთ vSRX ვირტუალური Firewall-ის მაგალითი virt-manager | 82 ჩართეთ vSRX ვირტუალური Firewall-ის მაგალითი virsh | 82 შეაჩერე vSRX ვირტუალური Firewall ინსტანცია virt-manager | 83 შეაჩერეთ vSRX ვირტუალური Firewall-ის მაგალითი virsh |-ით 83 vSRX ვირტუალური Firewall ინსტანციის გადატვირთვა virt-manager-ით | 83 გადატვირთეთ vSRX ვირტუალური Firewall ინსტანცია virsh | 83 გამორთეთ vSRX ვირტუალური Firewall-ის მაგალითი virt-manager | 84 გამორთეთ vSRX ვირტუალური Firewall-ის მაგალითი virsh | 84 vSRX ვირტუალური Firewall-ის ინსტანციის გამორთვა virt-manager-ით | 85 გამორთეთ vSRX ვირტუალური Firewall ინსტანცია virsh | 85 ამოიღეთ vSRX ვირტუალური Firewall ინსტანცია virsh | 86
vSRX ვირტუალური Firewall-ის ძირეული პაროლის აღდგენა KVM გარემოში | 87
vSRX ვირტუალური Firewall შასის კლასტერების კონფიგურაცია KVM-ზე | 89 vSRX ვირტუალური Firewall Cluster Staging and provisioning for KVM | 89

v

შასის კლასტერების უზრუნველყოფა vSRX ვირტუალურ Firewall-ზე | 89 შასის კლასტერული ვირტუალური ქსელების შექმნა virt-manager | 91 შასის კლასტერული ვირტუალური ქსელების შექმნა virsh | 91 კონტროლისა და ქსოვილის ინტერფეისების კონფიგურაცია virt-manager-თან | 93 კონტროლისა და ქსოვილის ინტერფეისების კონფიგურაცია virsh | 93 შასის კლასტერული ქსოვილის პორტების კონფიგურაცია | 93

vSRX ვირტუალური Firewall შასის კლასტერის კონფიგურაცია Junos OS |-ში 94 შასის კლასტერი დასრულდაview | 95 Chassis Cluster Formation | 96 შასის კლასტერის სწრაფი დაყენება J-ითWeb | 97 შასის კლასტერის ხელით კონფიგურაცია J-ითWeb | 98

შეამოწმეთ შასის კლასტერის კონფიგურაცია | 105

2

vSRX ვირტუალური Firewall-ის განლაგება VMware-ისთვის

დასრულდაview | 107

გაიგე vSRX ვირტუალური Firewall VMware | 107

მოთხოვნები vSRX ვირტუალური Firewall-ისთვის VMware | 115

დააინსტალირეთ vSRX ვირტუალური Firewall VMware | 124 დააინსტალირეთ vSRX ვირტუალური Firewall VMware vSphere-ით Web კლიენტი | 124

ჩატვირთეთ საწყისი კონფიგურაცია vSRX ვირტუალურ Firewall-ზე VMware | 128 შექმენით vSRX ვირტუალური Firewall Bootstrap ISO Image | 132 ISO სურათის ატვირთვა VMWare Datastore-ში | 133 უზრუნველყოფა vSRX ვირტუალური Firewall ISO Bootstrap გამოსახულება VMWare-ზე | 134

დაადასტურეთ vSRX ვირტუალური Firewall .ova File VMware-ისთვის | 135

vSRX ვირტუალური Firewall VM მენეჯმენტი VMware | 139 vSRX ვირტუალური Firewall ინტერფეისების დამატება | 139
დაამატეთ SR-IOV ინტერფეისები | 140 VMXNET 3 ინტერფეისების დამატება | 142

განაახლეთ Multicore vSRX ვირტუალური Firewall VMware | 142 გამორთეთ vSRX ვირტუალური Firewall VM VMware vSphere-ით Web კლიენტი | 143 განაახლეთ Multicore vSRX ვირტუალური Firewall VMware vSphere-ით Web კლიენტი | 143 vSRX ვირტუალური Firewall-ის მუშაობის ოპტიმიზაცია | 144

vi

vSRX ვირტუალური Firewall 3.0 ინსტანციების ავტომატიზაცია VMware Hypervisor-ზე VMware Tools-ის გამოყენებით | 145 მეტიview | 145 უზრუნველყოფა VMware Tools ავტოკონფიგურაციისთვის | 146

vSRX ვირტუალური Firewall შასის კლასტერების კონფიგურაცია VMware | 150 vSRX ვირტუალური Firewall Cluster Staging and provisioning for VMware | 150
VM-ების და დამატებითი ქსელური ინტერფეისების დაყენება | 150 საკონტროლო ბმული კავშირის შექმნა VMware | 151 Fabric Link კავშირის შექმნა VMware | 155 მონაცემთა ინტერფეისების შექმნა VMware | 158 პრესtagკონფიგურაციის კონსოლიდან | 159 S-ის დაკავშირება და ინსტალაციაtaging კონფიგურაცია | 160

vSRX ვირტუალური Firewall შასის კლასტერის კონფიგურაცია Junos OS |-ში 161 შასის კლასტერი დასრულდაview | 161 Chassis Cluster Formation | 162 შასის კლასტერის სწრაფი დაყენება J-ითWeb | 167 შასის კლასტერის ხელით კონფიგურაცია J-ითWeb | 168

განათავსეთ vSRX ვირტუალური Firewall შასის კლასტერული კვანძები სხვადასხვა ESXi ჰოსტებში dvSwitch-ის გამოყენებით | 174

3

vSRX ვირტუალური Firewall-ის დანერგვა Microsoft Hyper-V-სთვის

დასრულდაview | 179

გაიგეთ vSRX ვირტუალური Firewall Microsoft Hyper-V | 179

მოთხოვნები vSRX ვირტუალური Firewall-ისთვის Microsoft Hyper-V | 181

დააინსტალირეთ vSRX ვირტუალური Firewall Microsoft Hyper-V | 188 მომზადება vSRX ვირტუალური Firewall-ისთვის Microsoft Hyper-V-ში | 188

განათავსეთ vSRX ვირტუალური Firewall Hyper-V ჰოსტში Hyper-V მენეჯერის გამოყენებით | 189

განათავსეთ vSRX ვირტუალური Firewall Hyper-V ჰოსტში Windows PowerShell | 200

vSRX ვირტუალური Firewall VM მენეჯმენტი Microsoft Hyper-V | 205 vSRX ვირტუალური Firewall-ის კონფიგურაცია CLI | 205

vSRX ვირტუალური Firewall-ის კონფიგურაცია J-ის გამოყენებითWeb ინტერფეისი | 207 წვდომა J-Web ინტერფეისი და vSRX ვირტუალური Firewall-ის კონფიგურაცია | 207

vii

გამოიყენეთ კონფიგურაცია | 210 vSRX ვირტუალური Firewall-ის ფუნქციების ლიცენზიების დამატება | 210

vSRX ვირტუალური Firewall ინტერფეისების დამატება | 211 ვირტუალური გადამრთველების დამატება | 212 vSRX ვირტუალური Firewall-ის კონფიგურაცია VLAN | 219

გამორთეთ vSRX ვირტუალური Firewall VM Hyper-V | 221

vSRX ვირტუალური Firewall შასის კლასტერების კონფიგურაცია | 222 vSRX ვირტუალური Firewall Cluster Staging and provisioning in Hyper-V | 222
VM-ების და დამატებითი ქსელის ადაპტერების დაყენება Hyper-V | 223 საკონტროლო ბმული კავშირის შექმნა Hyper-V | 223 Fabric Link კავშირის შექმნა Hyper-V | 226 მონაცემთა ინტერფეისების შექმნა Hyper-V |-ის გამოყენებით 227 პრესtagკონფიგურაციის კონსოლიდან | 228 S-ის დაკავშირება და ინსტალაციაtaging კონფიგურაცია | 229

vSRX ვირტუალური Firewall შასის კლასტერის კონფიგურაცია Junos OS |-ში 230 შასის კლასტერი დასრულდაview | 230 Chassis Cluster Formation | 231 შასის კლასტერის სწრაფი დაყენება J-ითWeb | 237 შასის კლასტერის ხელით კონფიგურაცია J-ითWeb | 237

4

vSRX ვირტუალური Firewall-ის განლაგება Contrail-ისთვის

დასრულდაview vSRX ვირტუალური Firewall სერვისის ჯაჭვები Contrail-ში | 245

გაიგე vSRX ვირტუალური Firewall Contrail | 245

მოთხოვნები vSRX ვირტუალური Firewall-ისთვის Contrail | 247

დასრულდაview მომსახურების ჯაჭვების vSRX ვირტუალური Firewall | 256

Spawn vSRX ვირტუალური Firewall Contrail სერვისის ჯაჭვში | 259 სერვისის შაბლონის შექმნა | 259 მარცხენა და მარჯვენა ვირტუალური ქსელების შექმნა | 262 vSRX Virtual Firewall Service Instance-ის შექმნა | 263 შექმენით ქსელის პოლიტიკა | 263 დაამატეთ ქსელის პოლიტიკა ვირტუალურ ქსელში | 264

დააინსტალირეთ vSRX ვირტუალური Firewall Contrail | 267

viii

ჩართეთ Nested Virtualization | 267

შექმენით გამოსახულების არომატი OpenStack | 269 ​​შექმენით სურათის არომატი vSRX ვირტუალური Firewall-ისთვის Horizon | 269 ​​შექმენით გამოსახულების არომატი vSRX ვირტუალური Firewall-ისთვის Nova CLI-ით | 272

ატვირთეთ vSRX ვირტუალური Firewall სურათი | 273 ატვირთეთ vSRX ვირტუალური Firewall-ის სურათი OpenStack Horizon | 273 ატვირთეთ vSRX ვირტუალური Firewall-ის სურათი OpenStack Glance CLI-ით | 276

გამოიყენეთ Cloud-Init OpenStack გარემოში vSRX ვირტუალური Firewall-ის ინსტანციების ინიციალიზაციის ავტომატიზაციისთვის | 277
შეასრულეთ vSRX ვირტუალური Firewall ინსტანციის ავტომატური დაყენება OpenStack CommandLine ინტერფეისის გამოყენებით | 280
შეასრულეთ vSRX ვირტუალური Firewall ინსტანციის ავტომატური დაყენება OpenStack Dashboard-დან (Horizon) | 282

vSRX ვირტუალური Firewall VM მენეჯმენტი Contrail | 291 დაკავშირება vSRX Virtual Firewall Management Console-თან | 291
დაუკავშირდით vSRX Virtual Firewall Management Console-ს Horizon |-ით 291 დაუკავშირდით vSRX Virtual Firewall Management Console-ს Contrail | 291

მართეთ vSRX ვირტუალური Firewall VM | 292
ჩართეთ VM OpenStack | 292 შეაჩერე VM | 293 გადატვირთეთ VM | 293 გამორთეთ VM OpenStack-დან | 293 წაშალეთ vSRX ვირტუალური Firewall VM Contrail | 293

განაახლეთ Multicore vSRX ვირტუალური Firewall Contrail | 294 Multi-queue Virtio ინტერფეისის კონფიგურაცია vSRX ვირტუალური Firewall VM-ისთვის OpenStack-ით | 294 შეცვალეთ სურათის არომატი vSRX ვირტუალური Firewall-ისთვის Dashboard-ით | 295 სერვისის შაბლონის განახლება | 296

vSRX ვირტუალური Firewall-ის მონიტორინგი Contrail | 297

5

vSRX ვირტუალური Firewall-ის განლაგება Nutanix-ისთვის

დასრულდაview | 299

გაიგეთ vSRX ვირტუალური Firewall-ის განლაგება Nutanix | 299

Nutanix პლატფორმა დასრულდაview | 299

ix

vSRX ვირტუალური Firewall-ის განლაგება Nutanix Over-ითview | 302 გაიგე vSRX ვირტუალური Firewall-ის განლაგება Nutanix AHV | 304 სample vSRX ვირტუალური Firewall-ის განლაგება Nutanix AHV-ის გამოყენებით | 306

მოთხოვნები vSRX ვირტუალური Firewall-ისთვის Nutanix | 307 სისტემური მოთხოვნები Nutanix | 307 მითითების მოთხოვნები | 310

დააინსტალირეთ vSRX ვირტუალური Firewall Nutanix | 312 გაუშვით და განათავსეთ vSRX ვირტუალური Firewall Nutanix AHV კლასტერში | 312
შედით Nutanix Setup | 312 vSRX ვირტუალური Firewall სურათის დამატება | 314 ქსელის შექმნა | 314 შექმენით და განათავსეთ vSRX ვირტუალური Firewall VM | 315 ჩართეთ vSRX ვირტუალური Firewall VMs | 322 გაუშვით vSRX ვირტუალური Firewall VM Console | 323

განაახლეთ Junos OS vSRX Virtual Firewall Software Release | 324

6

vSRX ვირტუალური Firewall-ის განლაგება AWS-ისთვის

დასრულდაview | 326

გაიგეთ vSRX ვირტუალური Firewall AWS | 326

მოთხოვნები vSRX ვირტუალური Firewall-ისთვის AWS | 332

ვირტუალური Firewall-ის კონფიგურაცია და მართვა AWS | 337 ამაზონის ვირტუალური პირადი ღრუბლის კონფიგურაცია vSRX ვირტუალური Firewall-ისთვის | 337
ნაბიჯი 1: შექმენით Amazon VPC და ინტერნეტ კარიბჭე | 338 ნაბიჯი 2: დაამატეთ ქვექსელები vSRX ვირტუალური Firewall-ისთვის | 340 ნაბიჯი 3: მიამაგრეთ ინტერფეისი ქვექსელზე | 341 ნაბიჯი 4: დაამატეთ მარშრუტების ცხრილები vSRX ვირტუალური Firewall-ისთვის | 344 ნაბიჯი 5: დაამატეთ უსაფრთხოების ჯგუფები vSRX ვირტუალური Firewall-ისთვის | 345

გაუშვით vSRX ვირტუალური Firewall ინსტანცია Amazon-ის ვირტუალურ კერძო ღრუბელზე | 348
ნაბიჯი 1: შექმენით SSH გასაღების წყვილი | 348 ნაბიჯი 2: გაუშვით vSRX Virtual Firewall Instance | 350 ნაბიჯი 3: View AWS სისტემის ჟურნალები | 354 ნაბიჯი 4: დაამატეთ ქსელური ინტერფეისები vSRX ვირტუალური Firewall-ისთვის | 354 ნაბიჯი 5: ელასტიური IP მისამართების გამოყოფა | 356

x
ნაბიჯი 6: დაამატეთ vSRX ვირტუალური Firewall-ის პირადი ინტერფეისები მარშრუტების ცხრილებს | 356 ნაბიჯი 7: გადატვირთეთ vSRX Virtual Firewall Instance | 357 ნაბიჯი 8: შედით vSRX Virtual Firewall Instance | 357
დარეგისტრირდით vSRX ვირტუალური Firewall-ზე AWS-ზე Juniper ATP Cloud |-ით 359
Cloud-Init-ის გამოყენება vSRX ვირტუალური Firewall-ის ინსტანციების ინიციალიზაციის ავტომატიზაციისთვის AWS-ში | 364
AWS ელასტიური დატვირთვის დაბალანსება და ელასტიური ქსელის ადაპტერი | 366 მეტიview AWS ელასტიური დატვირთვის ბალანსირების | 367 მეტიview განაცხადის დატვირთვის ბალანსერი | 369 AWS Application Load Balancer-ის დანერგვა | 370 გამოძახებით Cloud Formation Template (CFT) Stack Creation for vSRX Virtual Firewall Behind AWS Application Load Balancer Deployment | 374 დასრულდაview AWS ელასტიური ქსელის ადაპტერი (ENA) vSRX ვირტუალური Firewall ინსტანციებისთვის | 383
მრავალბირთვიანი სკალირების მხარდაჭერა AWS-ზე SWRSS და ENA | 384
ცენტრალიზებული მონიტორინგი და პრობლემების მოგვარება AWS მახასიათებლების გამოყენებით | 385 ცენტრალიზებული მონიტორინგის გაგება Cloudwatch-ის გამოყენებით | 385 vSRX ვირტუალური Firewall-ის ინტეგრაცია AWS მონიტორინგისა და პრობლემების გადაჭრის ფუნქციებთან | 393 მიანიჭეთ ნებართვა vSRX ვირტუალურ Firewall-ზე AWS CloudWatch-სა და უსაფრთხოების ცენტრზე წვდომისათვის | 393 vSRX ვირტუალური Firewall-ის ინსტანციების მონიტორინგის ჩართვა AWS CloudWatch Metric-ით | 395 კოლექციონირება, შენახვა და View vSRX ვირტუალური Firewall ჟურნალი AWS CloudWatch | 396 უსაფრთხოების კერის ჩართვა და კონფიგურაცია vSRX ვირტუალურ Firewall-ზე | 397
vSRX ვირტუალური Firewall 3.0-ის დაყენება მონაცემთა დასაცავად AWS KMS-ის გამოყენებით | 398 AWS KMS-ის ინტეგრირება vSRX Virtual Firewall 3.0-თან | 398 AWS Cloud Formation Templates | 402
vSRX ვირტუალური Firewall-ის კონფიგურაცია CLI | 406 გაგება vSRX ვირტუალური Firewall AWS წინასწარი კონფიგურაციისა და ქარხნული ნაგულისხმევი | 406 დაამატეთ ძირითადი vSRX ვირტუალური Firewall კონფიგურაცია | 407 DNS სერვერების დამატება | 410 vSRX ვირტუალური Firewall-ის ფუნქციების ლიცენზიების დამატება | 410
vSRX ვირტუალური Firewall-ის კონფიგურაცია J-ის გამოყენებითWeb ინტერფეისი | 411 წვდომა J-Web ინტერფეისი და vSRX ვირტუალური Firewall | 411 გამოიყენეთ კონფიგურაციის პარამეტრები vSRX ვირტუალური Firewall-ისთვის | 413 vSRX ვირტუალური Firewall-ის ფუნქციების ლიცენზიების დამატება | 414

xi

განაახლეთ Junos OS პროგრამული უზრუნველყოფა vSRX Virtual Firewall Instance | 414 Junos OS-ის განახლება vSRX ვირტუალური Firewall-ის პროგრამული უზრუნველყოფის გამოშვებისთვის | 414 შეცვალეთ vSRX ვირტუალური Firewall ინსტანცია AWS-ზე | 415

წაშალეთ vSRX ვირტუალური Firewall ინსტანცია AWS-ზე | 416

Geneve Flow ინფრასტრუქტურა vSRX Virtual Firewall 3.0-ზე | 416
დასრულდაview | 417 უსაფრთხოების პოლიტიკის ჩართვა Geneve Packet Flow Tunnel Inspection | 418
მოთხოვნები | 419 დასრულდაview | 419 კონფიგურაცია (vSRX Virtual Firewall 3.0 როგორც გვირაბის ბოლო წერტილი) | 419 კონფიგურაცია (vSRX Virtual Firewall 3.0 როგორც Transit Router) | 426

AWS Gateway Load Balancing with Geneve | 433 მეტიview AWS Gateway Load Balancer | 433 AWS GWLB ერთად Geneve vSRX Virtual Firewall 3.0 დანერგვა | 435

ვირტუალური Firewall AWS გამოყენების შემთხვევაში | 437 მაგample: NAT-ის კონფიგურაცია vSRX ვირტუალური Firewall-ისთვის | 437
სანამ დაიწყებ | 437 მეტიview | 437 კონფიგურაცია | 438 NAT-ის კონფიგურაცია | 438

Example: VPN-ის კონფიგურაცია vSRX ვირტუალურ Firewall-ზე Amazon VPC-ებს შორის | 439 სანამ დაიწყებ | 440 მეტიview | 440 vSRX1 VPN კონფიგურაცია | 440 ვერიფიკაცია | 444

Example: კონფიგურაცია Juniper ATP Cloud for vSRX Virtual Firewall | 445 სანამ დაიწყებ | 445 მეტიview | 445 Juniper ATP Cloud Configuration | 445

7

vSRX ვირტუალური Firewall-ის განლაგება Microsoft Azure-სთვის

დასრულდაview | 449

გაიგეთ vSRX ვირტუალური Firewall Microsoft Azure Cloud | 449

xii
მოთხოვნები vSRX ვირტუალური Firewall-ისთვის Microsoft Azure-ზე | 453 განათავსეთ vSRX ვირტუალური Firewall Azure პორტალიდან | 461 სანამ განათავსებთ vSRX ვირტუალურ Firewall-ს Azure პორტალიდან | 461 რესურსების ჯგუფის შექმნა | 462 შექმენით საცავის ანგარიში | 466 ვირტუალური ქსელის შექმნა | 471 განათავსეთ vSRX ვირტუალური Firewall სურათი Azure Marketplace-დან | 476
განათავსეთ vSRX ვირტუალური Firewall Image | 476 შეამოწმეთ vSRX ვირტუალური Firewall-ის განთავსება Microsoft Azure-ში | 489 შედით vSRX ვირტუალურ Firewall-ში VM | 490 განათავსეთ vSRX ვირტუალური Firewall Azure CLI-დან | 493 სანამ განათავსებთ vSRX ვირტუალურ Firewall-ს Azure CLI-ის გამოყენებით | 493 განათავსეთ vSRX ვირტუალური Firewall Azure CLI-დან | 495 დააინსტალირეთ Microsoft Azure CLI | 496 ჩამოტვირთეთ vSRX Virtual Firewall Deployment Tools | 497 პარამეტრის მნიშვნელობების შეცვლა vSRX ვირტუალურ Firewall.parameter.json-ში File | 498 განათავსეთ vSRX ვირტუალური Firewall Shell Script-ის გამოყენებით | 502 შეამოწმეთ vSRX ვირტუალური Firewall-ის განთავსება Microsoft Azure-ში | 504 შედით vSRX ვირტუალურ Firewall Instance-ში | 507 vSRX ვირტუალური Firewall-ის კონფიგურაცია და მართვა Microsoft Azure-ისთვის | 509 vSRX ვირტუალური Firewall-ის კონფიგურაცია CLI | 509 vSRX ვირტუალური Firewall-ის კონფიგურაცია J-ის გამოყენებითWeb ინტერფეისი | 511 წვდომა J-Web ინტერფეისი და vSRX ვირტუალური Firewall-ის კონფიგურაცია | 512 გამოიყენეთ კონფიგურაცია | 514 vSRX Virtual Firewall-ის ფუნქციების ლიცენზიების დამატება | 515 წაშალეთ vSRX ვირტუალური Firewall ინსტანცია Microsoft Azure-დან | 515 Junos OS პროგრამული უზრუნველყოფის განახლება vSRX ვირტუალური Firewall ინსტანციზე | 515 Junos OS-ის განახლება vSRX ვირტუალური Firewall პროგრამული უზრუნველყოფის გამოშვებისთვის | 516 შეცვალეთ vSRX ვირტუალური Firewall ინსტანცია Azure | 516 Azure ფუნქციების კონფიგურაცია vSRX ვირტუალურ Firewall-ზე და გამოყენების შემთხვევები | 518

xiii

Microsoft Azure Hardware უსაფრთხოების მოდულის დაყენება vSRX Virtual Firewall 3.0-ზე | 518
Microsoft Azure Key Vault აპარატურის უსაფრთხოების მოდულის ინტეგრაცია დასრულდაview | 519 Microsoft Azure Key Vault HSM-ის კონფიგურაცია vSRX Virtual Firewall 3.0-ზე | 520 შეცვალეთ ძირითადი დაშიფვრის პაროლი | 524 შეამოწმეთ HSM-ის სტატუსი | 524 მოთხოვნა უსაფრთხოების hsm master-encryption-password | 525 უსაფრთხოების hsm სტატუსის ჩვენება | 526 VPN ფუნქციონირების გაგება Microsoft Azure Key Vault HSM სერვისით | 529 CLI ქცევა HSM-ით და მის გარეშე | 533 მოთხოვნა უსაფრთხოების pki ლოკალური სერთიფიკატი enroll scep | 534

Example: IPsec VPN-ის კონფიგურაცია ორ vSRX ვირტუალურ Firewall ინსტანციას შორის | 538 სანამ დაიწყებ | 538 მეტიview | 538 vSRX ვირტუალური Firewall IPsec VPN კონფიგურაცია | 539 ვერიფიკაცია | 542

Example: IPsec VPN-ის კონფიგურაცია vSRX ვირტუალურ Firewall-სა და Virtual Network Gateway-ს შორის Microsoft Azure-ში | 543
სანამ დაიწყებ | 544 მეტიview | 544 vSRX ვირტუალური Firewall IPsec VPN კონფიგურაცია | 544 Microsoft Azure ვირტუალური ქსელის კარიბჭის კონფიგურაცია | 546

Example: კონფიგურაცია Juniper ATP Cloud for vSRX Virtual Firewall | 548 სანამ დაიწყებ | 548 მეტიview | 548 Juniper ATP Cloud Configuration | 548

8

vSRX ვირტუალური Firewall-ის განლაგება Google Cloud Platform-ისთვის

დასრულდაview | 552

გაიგეთ vSRX ვირტუალური Firewall-ის განლაგება Google Cloud | 552

გაიგეთ vSRX ვირტუალური Firewall-ის განლაგება Google Cloud Platform-ით | 552

მოთხოვნები vSRX ვირტუალური Firewall-ისთვის Google Cloud Platform | 555 Google Compute Engine ინსტანციის ტიპები | 555 vSRX ვირტუალური Firewall მხარდაჭერა Google Cloud-ისთვის | 556 vSRX ვირტუალური Firewall-ის სპეციფიკაციები GCP-სთვის | 557

xiv

დააინსტალირეთ vSRX ვირტუალური Firewall Google Cloud | 560 მოემზადეთ vSRX Virtual Firewall Deployment GCP-ზე | 560
ნაბიჯი 1: Google Cloud Platform ანგარიშის დაგეგმვა | 562 ნაბიჯი 2: განსაზღვრეთ ქსელის ატრიბუტები და შექმენით SSH გასაღების წყვილი ავტორიზაციისთვის | 563 ნაბიჯი 3: დაგეგმეთ Google Virtual Private Cloud (VPC) ქსელი | 565

განათავსეთ vSRX ვირტუალური Firewall Google Cloud Platform-ში | 566
განათავსეთ vSRX ვირტუალური Firewall Firewall Marketplace Launcher | 566 განათავსეთ vSRX ვირტუალური Firewall ინსტანცია GCP პორტალიდან მორგებული პირადი სურათის გამოყენებით | 574
ატვირთეთ vSRX ვირტუალური Firewall-ის სურათი Google Cloud Storage-ში | 574 vSRX ვირტუალური Firewall სურათის შექმნა | 576 განათავსეთ vSRX ვირტუალური Firewall Firewall GCP პორტალიდან | 578 განათავსეთ vSRX ვირტუალური Firewall Firewall Cloud-init-ის გამოყენებით | 580

განაახლეთ Junos OS vSRX Virtual Firewall Software Release | 583

დაიცავით მონაცემები vSRX ვირტუალური Firewall 3.0-ით GCP KMS (HSM) გამოყენებით | 584 მეტიview | 584 ინტეგრირება GCP KMS vSRX ვირტუალური Firewall 3.0-თან | 586 შეამოწმეთ HSM-ის სტატუსი | 589 უსაფრთხოების hsm სტატუსის ჩვენება | 590 | 592 მოთხოვნა უსაფრთხოების hsm master-encryption-password | 592

9

vSRX ვირტუალური Firewall-ის განლაგება IBM Cloud-ისთვის

დასრულდაview | 595

vSRX ვირტუალური Firewall დასრულდაview | 595

Juniper vSRX ვირტუალური Firewall-ის დაწყება IBM Cloud | 598 მეტიview vSRX ვირტუალური Firewall-ის IBM Cloud | 598 vSRX ვირტუალური Firewall ლიცენზიის არჩევა | 600 vSRX ვირტუალური Firewall-ის შეკვეთა | 602

Junos OS-ის ფუნქციები მხარდაჭერილია vSRX ვირტუალურ Firewall-ზე | 604

vSRX ვირტუალური Firewall-ის ინსტალაცია და კონფიგურაცია IBM-ში | 618 vSRX ვირტუალური Firewall-ის საფუძვლების შესრულება IBM Cloud-ში | 618
Viewყველა კარიბჭე ტექნიკის შეყვანა | 619

xv
Viewing gateway მოწყობილობის დეტალები | 619 კარიბჭის მოწყობილობის სახელის გადარქმევა | 619 კარიბჭის მოწყობილობის გაუქმება | 620 დამატებითი vSRX ვირტუალური Firewall ამოცანების შესრულება | 620
vSRX ვირტუალური Firewall-ის მზადყოფნის შემოწმება IBM Cloud-ში | 623 vSRX ვირტუალური Firewall-ის მზადყოფნის შემოწმება | 623 მზადყოფნის სტატუსი | 624 მზადყოფნის შეცდომების გამოსწორება | 624
VLAN-ების მართვა კარიბჭის მოწყობილობით | 626 VLAN-ის დაკავშირება კარიბჭის მოწყობილობასთან | 626 ასოცირებული VLAN-ის მარშრუტიზაცია | 626 კარიბჭის მოწყობილობის მარშრუტის გვერდის ავლით VLAN-ისთვის | 627 VLAN-ის გამოყოფა კარიბჭის მოწყობილობიდან | 627
vSRX ვირტუალური Firewall-ის ნაგულისხმევი კონფიგურაციებით მუშაობა | 628 vSRX ვირტუალური Firewall-ის ნაგულისხმევი კონფიგურაციის გაგება | 628 vSRX ვირტუალური Firewall-ის კონფიგურაციის იმპორტი და ექსპორტი | 629 vSRX ვირტუალური Firewall-ის კონფიგურაციის ნაწილის ექსპორტი | 630 vSRX ვირტუალური Firewall-ის მთელი კონფიგურაციის იმპორტი | 631 vSRX ვირტუალური Firewall-ის კონფიგურაციის ნაწილის იმპორტი | 631
მემკვიდრეობითი კონფიგურაციების მიგრაცია მიმდინარე vSRX ვირტუალური Firewall-ის არქიტექტურაში | 633 მიგრირებადი 1G vSRX ვირტუალური Firewall დამოუკიდებელი კონფიგურაციები | 633 მიგრირებადი 1G vSRX ვირტუალური Firewall მაღალი ხელმისაწვდომობის კონფიგურაციები | 641
SSH-ისა და Ping-ის დაშვება საჯარო ქვექსელზე | 642 SSH-ისა და Ping-ის დაშვება საჯარო ქვექსელში | 642
vSRX Virtual Firewall Advanced Tasks-ის შესრულება IBM Cloud | 643 Firewall-ებთან მუშაობა | 643 ზონის პოლიტიკა | 644 Firewall ფილტრები | 645 მუშაობა sNAT-თან | 645 მუშაობა Failover-თან | 645 მარშრუტიზაციასთან მუშაობა | 647 VPN-თან მუშაობა | 648

xvi

ჰოსტის ოპერაციული სისტემის დაცვა | 654 მართვის ინტერფეისების კონფიგურაცია | 656

vSRX ვირტუალური Firewall-ის განახლება IBM Cloud | 657 განახლება | 657 ზოგადი განახლების მოსაზრებები | 660 განახლება OS Reload | 663 დაბრუნების პარამეტრები | 664 მხარდაჭერილი განახლებები | 664

vSRX ვირტუალური Firewall-ის მართვა IBM Cloud | 666 vSRX ვირტუალური Firewall-ის კონფიგურაციის და მართვის ინსტრუმენტები | 666

ვირტუალური მანქანების უსაფრთხოების პოლიტიკის მართვა Junos Space Security Director | 667

მონიტორინგი და პრობლემების მოგვარება | 669

ტექნიკური მხარდაჭერა | 669

10

vSRX ვირტუალური Firewall-ის განლაგება OCI-სთვის

დასრულდაview | 671

Oracle Cloud ინფრასტრუქტურაში vSRX ვირტუალური Firewall-ის განლაგების გაგება | 671

დასრულდაview Oracle VM Architecture | 671 vSRX ვირტუალური Firewall Oracle Cloud ინფრასტრუქტურით | 672 OCI ლექსიკონი | 672

მოთხოვნები vSRX ვირტუალური Firewall-ისთვის Oracle Cloud Infrastructure-ზე | 673 მინიმალური სისტემური მოთხოვნები OCI-სთვის | 674 vSRX ვირტუალური Firewall-ის ნაგულისხმევი პარამეტრები OCI-ით | 675 საუკეთესო პრაქტიკა vSRX ვირტუალური Firewall-ის განთავსებისთვის | 675

vSRX ვირტუალური Firewall-ის ინსტალაცია OCI-ში | 676 vSRX ვირტუალური Firewall-ის განლაგება Oracle Cloud ინფრასტრუქტურაში | 676
დასრულდაview | 676 გაუშვით vSRX ვირტუალური Firewall ინსტანციები OCI-ში | 678

განაახლეთ Junos OS vSRX Virtual Firewall Software Release | 692

vSRX ვირტუალური Firewall ლიცენზირება | 693 ლიცენზიები vSRX ვირტუალური Firewall-ისთვის | 693

xvii
ამ სახელმძღვანელოს შესახებ
vSRX Virtual Firewall არის Juniper Networks-ის შემდეგი თაობის firewall-ის ვირტუალური ფორმა. ის განლაგებულია ვირტუალურ ან ღრუბლოვან გარემოში გამოსაყენებლად, სადაც მას შეუძლია დაიცვას და უზრუნველყოს აღმოსავლეთ-დასავლეთ და ჩრდილოეთ-სამხრეთის მოძრაობა. ეს სახელმძღვანელო გთავაზობთ დეტალებს vSRX ვირტუალური Firewall-ის განლაგების შესახებ სხვადასხვა კერძო და საჯარო ღრუბლოვან პლატფორმებზე.

1 ნაწილი
vSRX ვირტუალური Firewall-ის განლაგება KVM-სთვის
დასრულდაview | 2 დააინსტალირეთ vSRX ვირტუალური Firewall KVM-ში | 19 vSRX ვირტუალური Firewall VM მართვა KVM-ით | 62 vSRX ვირტუალური Firewall შასის კლასტერების კონფიგურაცია KVM-ზე | 89

2
თავი 1
დასრულდაview
ამ თავში გაიგეთ vSRX ვირტუალური Firewall KVM-ით | 2 მოთხოვნები vSRX ვირტუალური Firewall-ისთვის KVM-ზე | 7
გაიგე vSRX ვირტუალური Firewall KVM-ით
ამ განყოფილებაში vSRX ვირტუალური Firewall KVM-ზე | 2 vSRX ვირტუალური Firewall შესრულების მასშტაბის გაზრდა | 3
ეს განყოფილება წარმოადგენს ზედსview vSRX ვირტუალური Firewall-ზე KVM-ზე.
vSRX ვირტუალური Firewall KVM-ზე
Linux-ის ბირთვი იყენებს ბირთვზე დაფუძნებულ ვირტუალურ მანქანას (KVM), როგორც ვირტუალიზაციის ინფრასტრუქტურას. KVM არის ღია კოდის პროგრამული უზრუნველყოფა, რომელიც შეგიძლიათ გამოიყენოთ მრავალი ვირტუალური აპარატის (VM) შესაქმნელად და უსაფრთხოების და ქსელური მოწყობილობების დასაყენებლად. KVM-ის ძირითადი კომპონენტები მოიცავს: · იტვირთებადი ბირთვის მოდული, რომელიც შედის Linux-ის ბირთვში, რომელიც უზრუნველყოფს ძირითად ვირტუალიზაციას
ინფრასტრუქტურა · პროცესორის სპეციფიკური მოდული Linux-ის ბირთვში ჩატვირთვისას, KVM პროგრამული უზრუნველყოფა მოქმედებს როგორც ჰიპერვიზორი. KVM მხარს უჭერს მრავალწლიანობას და გაძლევთ საშუალებას გაუშვათ მრავალი vSRX ვირტუალური Firewall VM მასპინძელ OS-ზე. KVM მართავს და აზიარებს სისტემის რესურსებს მასპინძელ OS-სა და მრავალ vSRX ვირტუალურ Firewall VM-ებს შორის.

3
შენიშვნა: vSRX ვირტუალური Firewall მოითხოვს, რომ ჩართოთ აპარატურაზე დაფუძნებული ვირტუალიზაცია მასპინძელ OS-ზე, რომელიც შეიცავს Intel ვირტუალიზაციის ტექნოლოგიის (VT) პროცესორს. მე-1 გვერდზე სურათი 3 ასახავს vSRX ვირტუალური Firewall-ის VM-ის ძირითად სტრუქტურას Ubuntu სერვერზე. სურათი 1: vSRX ვირტუალური Firewall VM Ubuntu-ზე

vSRX ვირტუალური Firewall-ის შესრულების მასშტაბირება

ცხრილი 1 მე-3 გვერდზე გვიჩვენებს vSRX ვირტუალური Firewall-ის ეფექტურობის გაფართოებას KVM-ზე განლაგებისას, vCPU-ების და vRAM-ის რაოდენობაზე დაყრდნობით, რომელიც გამოიყენება vSRX Virtual Firewall VM-ზე, Junos OS-ის გამოშვებასთან ერთად, რომელშიც შემოღებული იყო vSRX Virtual Firewall პროგრამული უზრუნველყოფის სპეციფიკაცია. .
ცხრილი 1: vSRX ვირტუალური Firewall-ის შესრულების მასშტაბის გაზრდა

vCPU-ები

vRAM

NIC

გამოშვება გააცნო

2 vCPU

4 GB

· ვირტიო
· SR-IOV (Intel 82599, X520/540)

Junos OS Release 15.1X49-D15 და Junos OS Release 17.3R1

4

ცხრილი 1: vSRX ვირტუალური Firewall-ის შესრულების მასშტაბის გაზრდა (გაგრძელება)

vCPU-ები

vRAM

NIC

გამოშვება გააცნო

5 vCPU

8 GB

· ვირტიო
· SR-IOV (Intel 82599, X520/540)

Junos OS Release 15.1X49-D70 და Junos OS Release 17.3R1

5 vCPU

8 GB

· SR-IOV (Intel X710/XL710)

Junos OS Release 15.1X49-D90 და Junos OS Release 17.3R1

1 vCPU 4 vCPU

4 GB 8 GB

SR-IOV Mellanox ConnectX-4 და ConnectX-5 ოჯახის გადამყვანებზე.

Junos OS გამოშვება 21.2R1

SR-IOV Mellanox ConnectX-4 და ConnectX-5 ოჯახის გადამყვანებზე.

Junos OS გამოშვება 21.2R1

8 vCPU

16 GB

SR-IOV Mellanox ConnectX-4 და ConnectX-5 ოჯახის გადამყვანებზე.

Junos OS გამოშვება 21.2R1

16 vCPU

32 GB

SR-IOV Mellanox ConnectX-4 და ConnectX-5 ოჯახის გადამყვანებზე.

Junos OS გამოშვება 21.2R1

თქვენ შეგიძლიათ გააფართოვოთ vSRX ვირტუალური Firewall-ის ინსტანციის შესრულება და მოცულობა vCPU-ების რაოდენობის და vSRX ვირტუალური Firewall-ისთვის გამოყოფილი vRAM-ის რაოდენობის გაზრდით. მრავალბირთვიანი vSRX ვირტუალური Firewall ავტომატურად ირჩევს შესაბამის vCPU-ს და vRAM მნიშვნელობებს ჩატვირთვის დროს, ასევე Receive Side Scaling (RSS) რიგების რაოდენობას NIC-ში. თუ vSRX ვირტუალური Firewall VM-ისთვის გამოყოფილი vCPU და vRAM პარამეტრები არ ემთხვევა ამჟამად არსებულს, vSRX ვირტუალური Firewall მცირდება, მაგალითად, უახლოეს მხარდაჭერილ მნიშვნელობამდე. მაგampთუ vSRX ვირტუალური Firewall VM-ს აქვს 3 vCPU და 8 GB vRAM, vSRX Virtual Firewall ჩატვირთულია უფრო პატარა vCPU ზომაზე, რაც მოითხოვს მინიმუმ 2 vCPU-ს. შეგიძლიათ გააფართოვოთ vSRX ვირტუალური Firewall-ის ინსტანცია vCPU-ების უფრო მეტ რაოდენობამდე

5
და vRAM-ის ოდენობა, მაგრამ თქვენ არ შეგიძლიათ შეამციროთ არსებული vSRX ვირტუალური Firewall ინსტანცია უფრო მცირე პარამეტრებამდე.
შენიშვნა: RSS რიგების რაოდენობა ჩვეულებრივ ემთხვევა vSRX ვირტუალური Firewall-ის ინსტანციის მონაცემთა სიბრტყის vCPU-ების რაოდენობას. მაგampსხვათა შორის, vSRX ვირტუალურ Firewall-ს 4 მონაცემთა სიბრტყის vCPU-ით უნდა ჰქონდეს 4 RSS რიგი.

vSRX ვირტუალური Firewall სესიის სიმძლავრის გაზრდა
vSRX ვირტუალური Firewall-ის გადაწყვეტა ოპტიმიზებულია სესიების რაოდენობის გაზრდის მიზნით მეხსიერების გაზრდით.
მეხსიერების გაზრდით სესიების ნომრების გაზრდის შესაძლებლობით, შეგიძლიათ ჩართოთ vSRX ვირტუალური Firewall:
· უზრუნველყოს უაღრესად მასშტაბირებადი, მოქნილი და მაღალი ხარისხის უსაფრთხოება მობილური ქსელის სტრატეგიულ ადგილებში.
· მიაწოდოს იმ შესრულებას, რაც სერვისის პროვაიდერებს სჭირდებათ მათი ქსელების მასშტაბურობისა და დასაცავად. გაუშვით შოუს უსაფრთხოების ნაკადის სესიის შეჯამება | grep მაქსიმალური ბრძანება view სესიების მაქსიმალური რაოდენობა.
Junos OS გამოშვებიდან 18.4R1 დაწყებული, vSRX ვირტუალური Firewall-ის ინსტანციაზე მხარდაჭერილი ნაკადის სესიების რაოდენობა იზრდება გამოყენებული vRAM ზომის მიხედვით.
Junos OS გამოშვებიდან 19.2R1-დან დაწყებული, vSRX Virtual Firewall 3.0 ინსტანციაზე მხარდაჭერილი ნაკადის სესიების რაოდენობა იზრდება გამოყენებული vRAM ზომის მიხედვით.

შენიშვნა: vSRX Virtual Firewall 28-ზე მხარდაჭერილია მაქსიმუმ 3.0 მილიონი სესია. თქვენ შეგიძლიათ განათავსოთ vSRX Virtual Firewall 3.0 64G-ზე მეტი მეხსიერებით, მაგრამ მაქსიმალური ნაკადის სესიები მაინც შეიძლება იყოს მხოლოდ 28M.

ცხრილი 2 მე-5 გვერდზე ჩამოთვლილია ნაკადის სესიის სიმძლავრე. ცხრილი 2: vSRX Virtual Firewall და vSRX Virtual Firewall 3.0 Flow Session Capacity დეტალები

vCPU-ები

მეხსიერება

ნაკადის სესიის მოცულობა

2

4 GB

0.5 მ

6

ცხრილი 2: vSRX Virtual Firewall და vSRX Virtual Firewall 3.0 Flow Session Capacity Details (გაგრძელება)

vCPU-ები

მეხსიერება

ნაკადის სესიის მოცულობა

2

6 GB

1 მ

2/5

8 GB

2 მ

2/5

10 GB

2 მ

2/5

12 GB

2.5 მ

2/5

14 GB

3 მ

2/5/9

16 GB

4 მ

2/5/9

20 GB

6 მ

2/5/9

24 GB

8 მ

2/5/9

28 GB

10 მ

2/5/9/17

32 GB

12 მ

2/5/9/17

40 GB

16 მ

2/5/9/17

48 GB

20 მ

2/5/9/17

56 GB

24 მ

2/5/9/17

64 GB

28 მ

7

გამოშვების ისტორიის ცხრილის გამოშვების აღწერა

19.2R1

Junos OS გამოშვებიდან 19.2R1-დან დაწყებული, vSRX Virtual Firewall 3.0 ინსტანციაზე მხარდაჭერილი ნაკადის სესიების რაოდენობა იზრდება გამოყენებული vRAM ზომის მიხედვით.

18.4R1

Junos OS გამოშვებიდან 18.4R1 დაწყებული, vSRX ვირტუალური Firewall-ის ინსტანციაზე მხარდაჭერილი ნაკადის სესიების რაოდენობა იზრდება გამოყენებული vRAM ზომის მიხედვით.

დაკავშირებული დოკუმენტაცია მოთხოვნები vSRX ვირტუალური Firewall-ისთვის KVM-ზე | 7 განაახლეთ Multi-core vSRX ვირტუალური Firewall | 78 დააინსტალირეთ vSRX ვირტუალური Firewall KVM-ით | 21
მოთხოვნები vSRX ვირტუალური Firewall-ისთვის KVM-ზე
ამ განყოფილებაში პროგრამული უზრუნველყოფის სპეციფიკაციები | 7 აპარატურის სპეციფიკაციები | 13 საუკეთესო პრაქტიკა vSRX ვირტუალური Firewall-ის მუშაობის გასაუმჯობესებლად | 14 ინტერფეისის რუქა vSRX ვირტუალური Firewall-ისთვის KVM-ზე | 16 vSRX ვირტუალური Firewall-ის ნაგულისხმევი პარამეტრები KVM-ზე | 18

ეს განყოფილება წარმოადგენს ზედსview მოთხოვნები KVM-ზე vSRX ვირტუალური Firewall-ის ინსტალაციისთვის;
პროგრამული უზრუნველყოფის სპეციფიკაციები
No Link Title ჩამოთვლის სისტემის პროგრამული უზრუნველყოფის მოთხოვნილებების სპეციფიკაციებს KVM გარემოში vSRX ვირტუალური Firewall-ის დაყენებისას. ცხრილი ასახავს Junos OS-ის გამოშვებას, რომელშიც წარმოდგენილი იყო სპეციალური პროგრამული უზრუნველყოფის სპეციფიკაცია KVM-ზე vSRX ვირტუალური Firewall-ის განთავსებისთვის. თქვენ დაგჭირდებათ Junos OS-ის კონკრეტული გამოშვების ჩამოტვირთვა, რომ მიიღოთ წინსვლაtagე გარკვეული თვისებები.

8

სიფრთხილე: გვერდის მოდიფიკაციის ჟურნალის (PML) პრობლემამ, რომელიც დაკავშირებულია KVM ჰოსტის ბირთვთან, შესაძლოა ხელი შეუშალოს vSRX ვირტუალური Firewall-ის წარმატებით ჩატვირთვას. თუ თქვენ განიცდით ამ ქცევას vSRX ვირტუალური Firewall-ით, გირჩევთ გამორთოთ PML ჰოსტის ბირთვის დონეზე. იხილეთ თქვენი სერვერის მომზადება vSRX ინსტალაციისთვის დეტალებისთვის PML-ის გამორთვის შესახებ, როგორც ჩადგმული ვირტუალიზაციის ჩართვის ნაწილი.

ცხრილი 3: ფუნქციების მხარდაჭერა vSRX ვირტუალურ Firewall-ზე

მახასიათებლები

სპეციფიკაცია

Junos OS გამოშვება შემოვიდა

vCPU / მეხსიერება

2 vCPU / 4 GB ოპერატიული მეხსიერება

Junos OS Release 15.1X49-D15 და Junos OS Release 17.3R1 (vSRX Virtual Firewall)

5 vCPU / 8 GB ოპერატიული მეხსიერება

Junos OS Release 15.1X49-D70 და Junos OS Release 17.3R1 (vSRX Virtual Firewall)

9 vCPU / 16 GB ოპერატიული მეხსიერება

Junos OS გამოშვება 18.4R1 (vSRX ვირტუალური Firewall)
Junos OS გამოშვება 19.1R1 (vSRX ვირტუალური Firewall 3.0)

17 vCPU / 32 GB ოპერატიული მეხსიერება

Junos OS გამოშვება 18.4R1 (vSRX ვირტუალური Firewall)
Junos OS გამოშვება 19.1R1 (vSRX ვირტუალური Firewall 3.0)

მოქნილი ნაკადის სესიის მოცულობა

NA

სკალირება დამატებითი vRAM-ით

Junos OS გამოშვება 19.1R1 (vSRX ვირტუალური Firewall)
Junos OS გამოშვება 19.2R1 (vSRX ვირტუალური Firewall 3.0)

მრავალბირთვიანი სკალირების მხარდაჭერა (პროგრამული უზრუნველყოფა NA RSS)

Junos OS გამოშვება 19.3R1 (მხოლოდ vSRX Virtual Firewall 3.0)

9

ცხრილი 3: ფუნქციების მხარდაჭერა vSRX ვირტუალურ Firewall-ზე (გაგრძელება)

მახასიათებლები

სპეციფიკაცია

დაჯავშნეთ დამატებითი vCPU ბირთვები NA Routing Engine-ისთვის (vSRX ვირტუალური Firewall და vSRX Virtual Firewall 3.0)

Junos OS გამოშვება შემოვიდა

Virtio (virtio-net, vhost-net) (vSRX NA Virtual Firewall და vSRX Virtual Firewall 3.0)

მხარდაჭერილი Hypervisors Linux KVM Hypervisor მხარდაჭერა

Ubuntu 14.04.5, 16.04 და 16.10 Junos OS გამოშვება 18.4R1

სხვა ფუნქციები Cloud-init

Ubuntu 18.04 და 20.04

Junos OS გამოშვება 20.4R1

Red Hat Enterprise Linux (RHEL) 7.3

Junos OS გამოშვება 18.4R1

Red Hat Enterprise Linux (RHEL) 7.6 და 7.7

Junos OS გამოშვება 19.2R1

Red Hat Enterprise Linux (RHEL) 8.2

Junos OS გამოშვება 20.4R1

CentOS 7.1, 7.2, 7.6 და 7.7

Junos OS გამოშვება 19.2R1

NA

Powermode IPSec (PMI)

NA

შასის კასეტური

NA

10

ცხრილი 3: ფუნქციების მხარდაჭერა vSRX ვირტუალურ Firewall-ზე (გაგრძელება)

მახასიათებლები

სპეციფიკაცია

GTP TEID დაფუძნებული სესია

NA

განაწილება პროგრამული RSS-ის გამოყენებით

Junos OS გამოშვება შემოვიდა
დიახ (Junos OS გამოშვება 19.3R1 შემდეგ)

მოწყობილობაზე ანტივირუსული სკანირების ძრავა

NA

(ავირა)

დიახ (Junos OS გამოშვება 19.4R1 შემდეგ)

LLDP

NA

Junos ტელემეტრიის ინტერფეისი

NA

სისტემის მოთხოვნები

აპარატურის აჩქარება/ჩართულია

NA

VMX CPU დროშა ჰიპერვიზორში

დიახ (Junos OS გამოშვება 21.1R1 შემდეგ)
დიახ (Junos OS გამოშვება 20.3R1 შემდეგ)

დისკის ადგილი

16 GB (IDE ან SCSI დისკები) (vSRX ვირტუალური Firewall)

Junos OS Release 15.1X49-D15 და Junos OS Release 17.3R1

18 GB (vSRX ვირტუალური Firewall 3.0)

ცხრილი 4: vNIC მხარდაჭერა vSRX ვირტუალურ Firewall-ზე

vNIC

გამოშვება გააცნო

Virtio SA და HA

SR-IOV SA და HA Intel 82599/X520 სერიაზე

Junos OS Release 15.1X49-D90 და Junos OS Release 17.3R1

SR-IOV SA და HA Intel X710/XL710/XXV710 სერიაზე

Junos OS გამოშვება 15.1X49-D90

SR-IOV SA Intel E810 სერიაზე

Junos OS გამოშვება 18.1R1

11

ცხრილი 4: vNIC მხარდაჭერა vSRX ვირტუალურ Firewall-ზე (გაგრძელება)

vNIC

გამოშვება გააცნო

SR-IOV HA Intel E810 სერიაზე

unos OS გამოშვება 18.1R1

SR-IOV SA და HA Mellanox ConnectX-3-ზე

არ არის მხარდაჭერილი

SR-IOV SA და HA Mellanox ConnectX-4/5/6-ზე (მხოლოდ MLX5 დრაივერი)

Junos OS გამოშვება 18.1R1 (vSRX ვირტუალური Firewall)
Junos OS გამოშვება 21.2R1 შემდეგ vSRX ვირტუალური Firewall 3.0-ზე

PCI გავლა Intel 82599/X520 სერიის PCI გავლა Intel X710/XL710 სერიის მონაცემთა თვითმფრინავის განვითარების ნაკრები (DPDK) ვერსია 17.05

არ არის მხარდაჭერილი არ არის მხარდაჭერილი Junos OS Release 18.2R1

მონაცემთა თვითმფრინავის განვითარების ნაკრები (DPDK) ვერსია 18.11

Junos OS გამოშვება 19.4R1

Junos OS Release 19.4R1-დან დაწყებული, DPDK ვერსია 18.11 მხარდაჭერილია vSRX ვირტუალურ Firewall-ზე. ამ ფუნქციით, Mellanox Connect ქსელის ინტერფეისის ბარათი (NIC) vSRX ვირტუალურ Firewall-ზე ახლა მხარს უჭერს OSPF Multicast და VLAN-ებს.

მონაცემთა თვითმფრინავის განვითარების ნაკრები (DPDK) ვერსია 20.11

Junos OS გამოშვება 21.2R1

Junos OS გამოშვებიდან 21.2R1 დაწყებული, ჩვენ განვაახლეთ მონაცემთა თვითმფრინავის განვითარების ნაკრები (DPDK) 18.11 ვერსიიდან 20.11 ვერსიამდე. ახალი ვერსია მხარს უჭერს ICE Poll Mode Driver-ს (PMD), რომელიც საშუალებას აძლევს ფიზიკურ Intel E810 სერიის 100G NIC მხარდაჭერას vSRX Virtual Firewall 3.0-ზე.

შენიშვნა: vSRX ვირტუალური Firewall KVM-ის დანერგვაზე მოითხოვს, რომ ჩართოთ აპარატურაზე დაფუძნებული ვირტუალიზაცია მასპინძელ OS-ზე, რომელიც შეიცავს Intel ვირტუალიზაციის ტექნოლოგიის (VT) პროცესორს. შეგიძლიათ გადაამოწმოთ CPU თავსებადობა აქ: http://www.linux-kvm.org/page/ Processor_support

12

No Link Title ჩამოთვლის სპეციფიკაციებს vSRX Virtual Firewall VM-ზე.
Junos OS გამოშვებიდან 19.1R1-დან დაწყებული, vSRX ვირტუალური Firewall-ის ინსტანცია მხარს უჭერს სტუმრის OS-ს 9 ან 17 vCPU-ს გამოყენებით ერთ-ძირიანი I/O ვირტუალიზაციით Intel X710/XL710 Linux KVM ჰიპერვიზორზე გაუმჯობესებული მასშტაბურობისა და მუშაობისთვის.

KVM ბირთვის რეკომენდაციები vSRX ვირტუალური Firewall-ისთვის
მე-5 გვერდზე ცხრილი 12 ჩამოთვლის Linux-ის ბირთვის რეკომენდებულ ვერსიას თქვენი Linux მასპინძელი OS-ისთვის vSRX ვირტუალური Firewall-ზე KVM-ზე დაყენებისას. ცხრილი ასახავს Junos OS-ის გამოშვებას, რომელშიც დაინერგა Linux-ის ბირთვის კონკრეტული ვერსიის მხარდაჭერა.
ცხრილი 5: ბირთვის რეკომენდაციები KVM-სთვის

Linux Distributi ჩართულია

Linux Kernel ვერსია

მხარდაჭერილი Junos OS გამოშვება

CentOS

3.10.0.229
განაახლეთ Linux-ის ბირთვი რეკომენდებული ვერსიის მისაღებად.

Junos OS Release 15.1X49-D15 და Junos OS Release 17.3R1 ან უფრო გვიან გამოშვება

უბუნტუ

3.16

Junos OS Release 15.1X49-D15 და Junos OS Release 17.3R1 ან უფრო გვიან გამოშვება

4.4

Junos OS Release 15.1X49-D15 და Junos OS

გამოშვება 17.3R1 ან უფრო გვიან

18.04

Junos OS გამოშვება 20.4R1 ან უფრო გვიანდელი გამოშვება

20.04

Junos OS გამოშვება 20.4R1 ან უფრო გვიანდელი გამოშვება

RHEL

3.10

Junos OS Release 15.1X49-D15 და Junos OS Release 17.3R1 ან უფრო გვიან გამოშვება

13

დამატებითი Linux პაკეტები vSRX ვირტუალური Firewall-ისთვის KVM-ზე
მე-6 გვერდზე მე-13 ცხრილი ჩამოთვლის დამატებით პაკეტებს, რომლებიც გჭირდებათ თქვენს Linux ჰოსტინგის OS-ზე vSRX ვირტუალური Firewall-ის გასაშვებად KVM-ზე. იხილეთ თქვენი მასპინძელი OS-ის დოკუმენტაცია, თუ როგორ დააინსტალიროთ ეს პაკეტები, თუ ისინი არ არის თქვენს სერვერზე.
ცხრილი 6: დამატებითი Linux პაკეტები KVM-სთვის

პაკეტი

ვერსია

ჩამოტვირთვის ლინკი

libvirt

0.10.0

libvirt ჩამოტვირთვა

virt-manager (რეკომენდებულია)

0.10.0

virt-manager ჩამოტვირთვა

აპარატურის სპეციფიკაციები

ცხრილი 7 მე-13 გვერდზე ჩამოთვლის ტექნიკის სპეციფიკაციებს მასპინძელი აპარატისთვის, რომელიც მართავს vSRX Virtual Firewall VM-ს.
ცხრილი 7: აპარატურის სპეციფიკაციები მასპინძელი მანქანისთვის

კომპონენტი

სპეციფიკაცია

მასპინძელი პროცესორის ტიპი

Intel x86_64 მრავალბირთვიანი პროცესორი
შენიშვნა: DPDK მოითხოვს Intel ვირტუალიზაციის VT-x/VT-d მხარდაჭერას CPU-ში. იხილეთ Intel-ის ვირტუალიზაციის ტექნოლოგიის შესახებ.

14

ცხრილი 7: აპარატურის სპეციფიკაციები მასპინძელი მანქანისთვის (გაგრძელება)

კომპონენტი

სპეციფიკაცია

ფიზიკური NIC მხარდაჭერა vSRX ვირტუალური Firewall-ისა და vSRX Virtual Firewall 3.0-ისთვის

· Virtio · SR-IOV (Intel X710/XL710, X520/540, 82599)

· SR-IOV (Mellanox ConnectX-3/ConnectX-3 Pro და Mellanox ConnectX-4 EN/ ConnectX-4 Lx EN)

შენიშვნა: თუ იყენებთ SR-IOV-ს Mellanox ConnectX-3 ან ConnectX-4 საოჯახო ადაპტერებთან, Linux ჰოსტზე, საჭიროების შემთხვევაში, დააინსტალირეთ უახლესი MLNX_OFED Linux დრაივერი. იხილეთ Mellanox OpenFabrics Enterprise Distribution for Linux (MLNX_OFED).

შენიშვნა: თქვენ უნდა ჩართოთ Intel VT-d გაფართოებები, რათა უზრუნველყონ ტექნიკის მხარდაჭერა თითოეული სტუმრისთვის ფიზიკური მოწყობილობების პირდაპირ მინიჭებისთვის. იხილეთ SR-IOV და PCI კონფიგურაცია KVM-ზე.

ფიზიკური NIC მხარდაჭერა vSRX ვირტუალური Firewall 3.0-ისთვის

SR-IOV-ის მხარდაჭერა Intel X710/XL710/XXV710-ზე და Intel E810-ზე.

საუკეთესო პრაქტიკა vSRX ვირტუალური Firewall-ის მუშაობის გასაუმჯობესებლად
Review შემდეგი პრაქტიკა vSRX ვირტუალური Firewall-ის მუშაობის გასაუმჯობესებლად.
NUMA კვანძები
x86 სერვერის არქიტექტურა შედგება მრავალი სოკეტისა და მრავალი ბირთვისგან სოკეტში. თითოეულ სოკეტს აქვს მეხსიერება, რომელიც გამოიყენება პაკეტების შესანახად NIC-დან ჰოსტში I/O გადაცემის დროს. მეხსიერებიდან პაკეტების ეფექტურად წასაკითხად, სტუმრის აპლიკაციები და მასთან დაკავშირებული პერიფერიული მოწყობილობები (როგორიცაა NIC) უნდა იყოს ერთ სოკეტში. ჯარიმა დაკავშირებულია CPU სოკეტებთან მეხსიერების წვდომისთვის, რამაც შეიძლება გამოიწვიოს არადეტერმინისტული შესრულება. vSRX ვირტუალური Firewall-ისთვის, ჩვენ გირჩევთ, რომ vSRX Virtual Firewall VM-ის ყველა vCPU იყოს იმავე ფიზიკურ არაერთგვაროვან მეხსიერებაში წვდომის (NUMA) კვანძში ოპტიმალური მუშაობისთვის.
სიფრთხილე: პაკეტის გადამისამართების ძრავა (PFE) vSRX ვირტუალურ Firewall-ზე არ რეაგირებს, თუ NUMA კვანძების ტოპოლოგია კონფიგურირებულია ჰიპერვიზორში, რათა გაავრცელოს ინსტანციის vCPU-ები მრავალ ჰოსტის NUMA კვანძში. vSRX ვირტუალური Firewall მოითხოვს, რომ უზრუნველყოთ, რომ ყველა vCPU მდებარეობს იმავე NUMA კვანძზე.

15

ჩვენ გირჩევთ, რომ დააკავშიროთ vSRX ვირტუალური Firewall ინსტანცია კონკრეტულ NUMA კვანძთან NUMA კვანძის მიახლოების დაყენებით. NUMA კვანძის მიახლოება ზღუდავს vSRX ვირტუალური Firewall VM რესურსის დაგეგმვას მხოლოდ მითითებულ NUMA კვანძზე.
ვირტუალური ინტერფეისების დახატვა vSRX ვირტუალურ Firewall-ზე VM-ზე იმის დასადგენად, თუ რომელი ვირტუალური ინტერფეისები თქვენს Linux მასპინძელ OS-ზე მიუთითებს vSRX Virtual Firewall VM-ზე: 1. გამოიყენეთ virsh list ბრძანება თქვენს Linux მასპინძელ OS-ზე, რათა ჩამოთვალოთ გაშვებული VM-ები.
hostOS# virsh სია

ID სახელი

სახელმწიფო

——————————————————

9 ცენტი 1

გაშვებული

15 ცენტი 2

გაშვებული

16 ცენტი 3

გაშვებული

48 vsrx

გაშვებული

50 1117-2 წწ

გაშვებული

51 1117-3 წწ

გაშვებული

2. გამოიყენეთ virsh domiflist vsrx-name ბრძანება, რომ ჩამოთვალოთ ვირტუალური ინტერფეისები ამ vSRX ვირტუალური Firewall VM-ზე.

hostOS# virsh domiflist vsrx

ინტერფეისის ტიპი

წყარო მოდელი

MAC

———————————————————

vnet1

ხიდი brem2

ვირტიო

52:54:00:8f:75:a5

vnet2

ხიდი br1

ვირტიო

52:54:00:12:37:62

vnet3

ხიდი brconnect virtio

52:54:00:b2:cd:f4

შენიშვნა: პირველი ვირტუალური ინტერფეისი ასახავს fxp0 ინტერფეისს Junos OS-ში.

16

ინტერფეისის რუქა vSRX ვირტუალური Firewall-ისთვის KVM-ზე

vSRX ვირტუალური Firewall-ისთვის განსაზღვრული თითოეული ქსელის ადაპტერი შედგენილია კონკრეტულ ინტერფეისზე, იმის მიხედვით, არის თუ არა vSRX ვირტუალური Firewall-ის ინსტანცია დამოუკიდებელი VM თუ კლასტერული წყვილის ერთ-ერთი მაღალი ხელმისაწვდომობისთვის. vSRX Virtual Firewall-ში ინტერფეისის სახელები და რუკებები ნაჩვენებია ცხრილში 8 მე-16 გვერდზე და ცხრილი 9 მე-17 გვერდზე.
გაითვალისწინეთ შემდეგი:
· დამოუკიდებელ რეჟიმში:
· fxp0 არის ჯგუფური მართვის ინტერფეისი.
· ge-0/0/0 არის პირველი ტრაფიკის (შემოსავლის) ინტერფეისი.
· კლასტერულ რეჟიმში:
· fxp0 არის ჯგუფური მართვის ინტერფეისი.
· em0 არის კლასტერული კონტროლის ბმული ორივე კვანძისთვის.
· ნებისმიერი ტრაფიკის ინტერფეისი შეიძლება იყოს მითითებული, როგორც ქსოვილის ბმულები, როგორიცაა ge-0/0/0 fab0-სთვის 0 კვანძზე და ge-7/0/0 fab1-ისთვის 1-ლ კვანძზე.
ცხრილი 8 მე-16 გვერდზე გვიჩვენებს ინტერფეისის სახელებს და რუკებს დამოუკიდებელი vSRX ვირტუალური Firewall VM-ისთვის. ცხრილი 8: ინტერფეისის სახელები დამოუკიდებელი vSRX ვირტუალური Firewall VM-ისთვის

ქსელის ადაპტერი

ინტერფეისის სახელი Junos OS-ში vSRX ვირტუალური Firewall-ისთვის

1

fxp0

2

ge-0/0/0

3

ge-0/0/1

4

ge-0/0/2

5

ge-0/0/3

17

ცხრილი 8: ინტერფეისის სახელები დამოუკიდებელი vSRX ვირტუალური Firewall-ისთვის (გაგრძელება)

ქსელის ადაპტერი

ინტერფეისის სახელი Junos OS-ში vSRX ვირტუალური Firewall-ისთვის

6

ge-0/0/4

7

ge-0/0/5

8

ge-0/0/6

ცხრილი 9 მე-17 გვერდზე გვიჩვენებს ინტერფეისის სახელებს და შედარებებს vSRX ვირტუალური Firewall-ის VM-ების წყვილისთვის კლასტერში (კვანძი 0 და კვანძი 1).
ცხრილი 9: ინტერფეისის სახელები vSRX ვირტუალური Firewall კლასტერული წყვილისთვის

ქსელის ადაპტერი

ინტერფეისის სახელი Junos OS-ში vSRX ვირტუალური Firewall-ისთვის

1

fxp0 (კვანძი 0 და 1)

2

em0 (კვანძი 0 და 1)

3

ge-0/0/0 (კვანძი 0)

ge-7/0/0 (კვანძი 1)

4

ge-0/0/1 (კვანძი 0)

ge-7/0/1 (კვანძი 1)

5

ge-0/0/2 (კვანძი 0)

ge-7/0/2 (კვანძი 1)

6

ge-0/0/3 (კვანძი 0)

ge-7/0/3 (კვანძი 1)

7

ge-0/0/4 (კვანძი 0)

ge-7/0/4 (კვანძი 1)

18

ცხრილი 9: ინტერფეისის სახელები vSRX ვირტუალური Firewall კლასტერული წყვილისთვის (გაგრძელება)

ქსელის ადაპტერი

ინტერფეისის სახელი Junos OS-ში vSRX ვირტუალური Firewall-ისთვის

8

ge-0/0/5 (კვანძი 0)

ge-7/0/5 (კვანძი 1)

vSRX ვირტუალური Firewall-ის ნაგულისხმევი პარამეტრები KVM-ზე

vSRX ვირტუალური Firewall მოითხოვს შემდეგ ძირითად კონფიგურაციის პარამეტრებს: · ინტერფეისებს უნდა მიენიჭოთ IP მისამართები. · ინტერფეისები უნდა იყოს მიბმული ზონებთან. · პოლიტიკა უნდა იყოს კონფიგურირებული ზონებს შორის, რათა დაუშვას ან აკრძალოს მოძრაობა. ცხრილი 10 მე-18 გვერდზე ჩამოთვლის უსაფრთხოების პოლიტიკის ქარხნულად ნაგულისხმევ პარამეტრებს vSRX ვირტუალურ Firewall-ზე. ცხრილი 10: უსაფრთხოების პოლიტიკის ქარხნული ნაგულისხმევი პარამეტრები

წყაროს ზონა

დანიშნულების ზონა

პოლიტიკის მოქმედება

ნდობა

უნდობლობა

ნებართვა

ნდობა

ნდობა

ნებართვა

უნდობლობა

ნდობა

უარყოფენ

დაკავშირებული დოკუმენტაცია Intel-ის ვირტუალიზაციის ტექნოლოგიის შესახებ DPDK გამოშვების შენიშვნები

19
თავი 2
დააინსტალირეთ vSRX ვირტუალური Firewall KVM-ში
ამ თავში მოამზადეთ თქვენი სერვერი vSRX ვირტუალური Firewall-ის ინსტალაციისთვის | 19 დააინსტალირეთ vSRX ვირტუალური Firewall KVM-ით | 21 მაგample: დააინსტალირეთ და გაუშვით vSRX ვირტუალური Firewall Ubuntu-ზე | 27 ჩატვირთეთ საწყისი კონფიგურაცია vSRX ვირტუალურ Firewall-ზე KVM-ით | 45 გამოიყენეთ Cloud-Init OpenStack გარემოში vSRX ვირტუალური Firewall-ის ინსტანციების ინიციალიზაციის ავტომატიზაციისთვის | 48
მოამზადეთ თქვენი სერვერი vSRX ვირტუალური Firewall-ის ინსტალაციისთვის
ამ განყოფილებაში ჩართეთ Nested Virtualization | 19 განაახლეთ Linux Kernel Ubuntu-ზე | 21
ჩართეთ ჩადგმული ვირტუალიზაცია
ჩვენ გირჩევთ, ჩართოთ ჩადგმული ვირტუალიზაცია თქვენს მასპინძელ OS-ზე ან OpenStack გამოთვლით კვანძზე. ჩადგმული ვირტუალიზაცია ჩართულია ნაგულისხმევად Ubuntu-ზე, მაგრამ ნაგულისხმევად გამორთულია CentOS-ზე. გამოიყენეთ შემდეგი ბრძანება იმის დასადგენად, ჩართულია თუ არა ჩადგმული ვირტუალიზაცია თქვენს მასპინძელ OS-ზე. შედეგი უნდა იყოს Y. hostOS# cat /sys/module/kvm_intel/parameters/neted hostOS# Y

20
შენიშვნა: APIC ვირტუალიზაცია (APICv) კარგად არ მუშაობს ჩადგმულ VM-ებთან, როგორიცაა KVM-ით გამოყენებული. Intel CPU-ებზე, რომლებიც მხარს უჭერენ APICv-ს (ჩვეულებრივ v2 მოდელებს, მაგample E5 v2 და E7 v2), თქვენ უნდა გამორთოთ APICv მასპინძელ სერვერზე vSRX ვირტუალური Firewall-ის დაყენებამდე.
მასპინძელ OS-ზე ჩასმული ვირტუალიზაციის ჩასართავად: 1. თქვენი ჰოსტის ოპერაციული სისტემის მიხედვით, შეასრულეთ შემდეგი:
· CentOS-ზე გახსენით /etc/modprobe.d/dist.conf file თქვენს ნაგულისხმევ რედაქტორში.
hostOS# vi /etc/modprobe.d/dist.conf · Ubuntu-ზე გახსენით /etc/modprobe.d/qemu-system-x86.conf file თქვენს ნაგულისხმევ რედაქტორში.
hostOS# vi /etc/modprobe.d/qemu-system-x86.conf 2. დაამატეთ შემდეგი ხაზი file:
hostOS# პარამეტრები kvm-intel nested=y enable_apicv=n
შენიშვნა: გვერდის მოდიფიკაციის ჟურნალის (PML) პრობლემა, რომელიც დაკავშირებულია KVM ჰოსტის ბირთვთან, შესაძლოა ხელი შეუშალოს vSRX ვირტუალური Firewall-ის წარმატებით ჩატვირთვას. ჩვენ გირჩევთ, რომ დაამატოთ შემდეგი ხაზი file ნაბიჯი 2-ში ზემოთ ჩამოთვლილი ხაზის ნაცვლად: hostOS# პარამეტრები kvm-intel nested=y enable_apicv=n pml=n
3. შეინახეთ file და გადატვირთეთ მასპინძელი OS. 4. (სურვილისამებრ) გადატვირთვის შემდეგ, დარწმუნდით, რომ ჩართულია ჩადგმული ვირტუალიზაცია.
hostOS# cat /sys/module/kvm_intel/parameters/nested
hostOS# Y

21
5. Intel CPU-ებზე, რომლებიც მხარს უჭერენ APICv-ს (მაგample, E5 v2 და E7 v2), გამორთეთ APICv მასპინძელ OS-ზე.
root@host# sudo rmmod kvm-intel root@host# sudo sh -c "echo 'options kvm-intel enable_apicv=n' >> /etc/modprobe.d/dist.conf" root@host# sudo modprobe kvm-intel 6. სურვილისამებრ, შეამოწმეთ, რომ APICv ახლა გამორთულია.
root@host# კატა /sys/module/kvm_intel/parameters/enable_apicv
N
განაახლეთ Linux Kernel Ubuntu-ზე
Ubuntu-ზე უახლესი სტაბილური Linux ბირთვის განახლება: 1. მიიღეთ და დააინსტალირეთ ხელმისაწვდომი განახლებული ბირთვი.
hostOS:$ sudo apt-get install linux-image-generic-lts-utopic 2. გადატვირთეთ მასპინძელი OS.
hostOS:$ reboot 3. სურვილისამებრ, აკრიფეთ uname -a ტერმინალში თქვენს მასპინძელ OS-ზე, რათა დაადასტუროთ, რომ მასპინძელი OS იყენებს უახლეს
ბირთვის ვერსია. hostOS:$ uname -a
3.16.0-48-ზოგადი
დააინსტალირეთ vSRX ვირტუალური Firewall KVM-ით
ამ განყოფილებაში დააინსტალირეთ vSRX ვირტუალური Firewall virt-manager-ით | 22 დააინსტალირეთ vSRX ვირტუალური Firewall virt-install | 24

22 თქვენ იყენებთ virt-manager-ს ან virt-install-ს vSRX ვირტუალური Firewall VM-ების დასაყენებლად. იხილეთ თქვენი მასპინძელი OS-ის დოკუმენტაცია ამ პაკეტების შესახებ სრული დეტალებისთვის.
შენიშვნა: არსებული vSRX ვირტუალური Firewall ინსტანციის განახლებისთვის იხილეთ მიგრაცია, განახლება და დაქვეითება vSRX ვირტუალური Firewall-ის გამოშვების შენიშვნებში.
დააინსტალირეთ vSRX ვირტუალური Firewall Virt-manager-ით
დარწმუნდით, რომ უკვე დააინსტალირეთ KVM, qemu, virt-manager და libvirt თქვენს მასპინძელ OS-ზე. თქვენ ასევე უნდა დააკონფიგურიროთ საჭირო ვირტუალური ქსელები და შენახვის აუზი მასპინძელ OS-ში vSRX Virtual Firewall VM-ისთვის. იხილეთ თქვენი მასპინძელი OS-ის დოკუმენტაცია დეტალებისთვის. შეგიძლიათ დააინსტალიროთ და გაუშვათ vSRX ვირტუალური Firewall KVM virt-manager GUI პაკეტით. vSRX Virtual Firewall-ის დასაყენებლად virt-manager-ით: 1. ჩამოტვირთეთ vSRX Virtual Firewall QCOW2 სურათი Juniper-ის პროგრამული უზრუნველყოფის ჩამოტვირთვის საიტიდან. 2. თქვენს მასპინძელ OS-ზე აკრიფეთ virt-manager. გამოჩნდება ვირტუალური მანქანის მენეჯერი. იხილეთ სურათი 2 გვერდზე
22. შენიშვნა: თქვენ უნდა გქონდეთ ადმინისტრატორის უფლებები მასპინძელ OS-ზე, რომ გამოიყენოთ virt-manager.
სურათი 2: ვირტ-მენეჯერი
3. დააწკაპუნეთ ახალი ვირტუალური მანქანის შექმნა, როგორც ეს ჩანს სურათზე 3, გვერდზე 23. გამოჩნდება ახალი VM ოსტატი.

23
სურათი 3: შექმენით ახალი ვირტუალური მანქანა
4. აირჩიეთ იმპორტი არსებული დისკის სურათი და დააწკაპუნეთ წინ. 5. დაათვალიერეთ გადმოწერილი vSRX Virtual Firewall QCOW2 სურათის მდებარეობა და აირჩიეთ
vSRX ვირტუალური Firewall სურათი. 6. აირჩიეთ Linux ოპერაციული სისტემის ტიპების სიიდან და აირჩიეთ OS-ის ყველა ვარიანტის ჩვენება ვერსიების სიიდან. 7. აირჩიეთ Red Hat Enterprise Linux 7 გაფართოებული ვერსიების სიიდან და დააწკაპუნეთ წინ. 8. დააყენეთ ოპერატიული მეხსიერება 4096 მბ-ზე და დააყენეთ CPU-ები 2-ზე. დააწკაპუნეთ წინ. 9. დააყენეთ დისკის გამოსახულების ზომა 16 GB და დააწკაპუნეთ Forward. 10. დაასახელეთ vSRX Virtual Firewall VM და აირჩიეთ ამ კონფიგურაციის მორგება ინსტალაციამდე
შეცვალეთ პარამეტრები VM-ის შექმნამდე და გაშვებამდე. დააწკაპუნეთ Finish. კონფიგურაციის დიალოგური ფანჯარა გამოჩნდება. 11. აირჩიეთ პროცესორი და გააფართოვეთ კონფიგურაციის სია. 12. აირჩიეთ Copy Host CPU Configuration. 13. დააყენეთ CPU Feature invtsc გამორთული პროცესორებზე, რომლებიც მხარს უჭერენ ამ ფუნქციას. დააყენეთ vmx საჭიროებისთვის ოპტიმალური გამტარუნარიანობისთვის. თქვენ შეგიძლიათ სურვილისამებრ დააყენოთ aes გაუმჯობესებული კრიპტოგრაფიული გამტარუნარიანობისთვის
შენიშვნა: თუ CPU-ის ფუნქციის ვარიანტი არ არის Virt-manager-ის თქვენს ვერსიაში, თქვენ უნდა დაიწყოთ და შეაჩეროთ VM ერთხელ და შემდეგ შეცვალოთ vSRX Virtual Firewall VM XML file, ჩვეულებრივ გვხვდება /etc/libvirt/qemu დირექტორიაში თქვენს მასპინძელ OS-ზე. გამოიყენეთ virsh edit VM XML-ის რედაქტირებისთვის file კონფიგურაციისთვის ქვეშ ელემენტი. ასევე დაამატეთ თუ თქვენი მასპინძელი OS მხარს უჭერს ამ CPU დროშას. გამოიყენეთ virsh capabilities ბრძანება თქვენს მასპინძელ OS-ზე, რათა ჩამოთვალოთ მასპინძელი OS და CPU ვირტუალიზაციის შესაძლებლობები. შემდეგი ყოფილიample აჩვენებს vSRX ვირტუალური Firewall XML-ის შესაბამის ნაწილს file CentOS ჰოსტზე:
SandyBridge ინტელი

24

14. აირჩიეთ დისკი და გააფართოვეთ Advanced Options. 15. აირჩიეთ IDE დისკის ავტობუსის სიიდან. 16. აირჩიეთ NIC და აირჩიეთ virtio მოწყობილობის მოდელის ველიდან. ეს პირველი NIC არის fpx0
(მართვის) ინტერფეისი vSRX ვირტუალური Firewall-ისთვის. 17. დააწკაპუნეთ ტექნიკის დამატებაზე მეტი ვირტუალური ქსელის დასამატებლად და აირჩიეთ virtio მოწყობილობის მოდელების სიიდან. 18. დააწკაპუნეთ Apply-ზე და დააჭირეთ x-ს დიალოგური ფანჯრის დასახურად. 19. დააწკაპუნეთ ინსტალაციის დაწყებაზე. VM მენეჯერი ქმნის და უშვებს vSRX Virtual Firewall VM-ს.
შენიშვნა: ნაგულისხმევი vSRX Virtual Firewall VM შესვლის ID არის root პაროლის გარეშე. ნაგულისხმევად, თუ DHCP სერვერი არის ქსელში, ის ანიჭებს IP მისამართს vSRX Virtual Firewall VM-ს.
დააინსტალირეთ vSRX ვირტუალური Firewall virt-install-ით
დარწმუნდით, რომ უკვე დააინსტალირეთ KVM, qemu, virt-install და libvirt თქვენს მასპინძელ OS-ზე. თქვენ ასევე უნდა დააკონფიგურიროთ საჭირო ვირტუალური ქსელები და შენახვის აუზი მასპინძელ OS-ში vSRX Virtual Firewall VM-ისთვის. იხილეთ თქვენი მასპინძელი OS-ის დოკუმენტაცია დეტალებისთვის.

25

შენიშვნა: თქვენ უნდა გქონდეთ root წვდომა მასპინძელ OS-ზე, რათა გამოიყენოთ virt-install ბრძანება.

virt-install და virsh ინსტრუმენტები არის CLI ალტერნატივები vSRX ვირტუალური Firewall VM-ების ინსტალაციისა და მართვისთვის Linux ჰოსტზე. vSRX Virtual Firewall-ის ინსტალაციისთვის virt-install-ით: 1. ჩამოტვირთეთ vSRX Virtual Firewall QCOW2 სურათი Juniper-ის პროგრამული უზრუნველყოფის ჩამოტვირთვის საიტიდან. 2. თქვენს მასპინძელ OS-ზე გამოიყენეთ virt-install ბრძანება სავალდებულო ვარიანტებით, რომლებიც ჩამოთვლილია ცხრილში 11 გვერდზე.
25.
შენიშვნა: იხილეთ Virt-Install-ის ოფიციალური დოკუმენტაცია ხელმისაწვდომი ვარიანტების სრული აღწერილობისთვის.

ცხრილი 11: virt-install Options

ბრძანების ვარიანტი

აღწერა

- სახელი

დაასახელეთ vSRX ვირტუალური Firewall VM.

- ram მეგაბაიტი

გამოყავით ოპერატიული მეხსიერება VM-სთვის, მეგაბაიტებში.

–cpu cpu-model, cpu-flags ჩართეთ vmx ფუნქცია ოპტიმალური გამტარუნარიანობისთვის. თქვენ ასევე შეგიძლიათ ჩართოთ aes გაუმჯობესებული კრიპტოგრაფიული გამტარუნარიანობისთვის.
შენიშვნა: CPU დროშის მხარდაჭერა დამოკიდებულია თქვენს მასპინძელ OS-სა და CPU-ზე.
გამოიყენეთ virsh შესაძლებლობები თქვენი მასპინძელი OS და CPU-ის ვირტუალიზაციის შესაძლებლობების ჩამოსათვლელად.

-vcpus ნომერი

გამოყავით vCPU-ების რაოდენობა vSRX ვირტუალური Firewall VM-ისთვის.

26

ცხრილი 11: virt-install Options (გაგრძელება)

ბრძანების ვარიანტი

აღწერა

- დისკის გზა

მიუთითეთ დისკის შენახვის მედია და ზომა VM-სთვის. ჩართეთ შემდეგი პარამეტრები:
· ზომა = გიგაბაიტი · მოწყობილობა = დისკი · ავტობუსი = იდეა · ფორმატი = qcow2

–os-type os-type –os-variant os-type

სტუმრის OS ტიპისა და ვარიანტის კონფიგურაცია.

- იმპორტი

შექმენით და ჩატვირთეთ vSRX ვირტუალური Firewall VM არსებული სურათიდან.

შემდეგი ყოფილიampქმნის vSRX ვირტუალურ Firewall VM-ს 4096 MB ოპერატიული მეხსიერებით, 2 vCPU და დისკის 16 გბ-მდე საცავებით:
hostOS# virt-install –name vSRXVM –ram 4096 –cpu SandyBridge,+vmx,-invtsc –vcpus=2 -arch=x86_64 –დისკის გზა=/mnt/vsrx.qcow2,size=16,device=disk,bus=ide ,format=qcow2 –os-type linux –os-variant rhel7 –იმპორტი
შემდეგი ყოფილიample აჩვენებს vSRX ვირტუალური Firewall XML-ის შესაბამის ნაწილს file CentOS ჰოსტზე:
SandyBridge ინტელი

27

შენიშვნა: ნაგულისხმევი vSRX Virtual Firewall VM შესვლის ID არის root პაროლის გარეშე. ნაგულისხმევად, თუ DHCP სერვერი არის ქსელში, ის ანიჭებს IP მისამართს vSRX Virtual Firewall VM-ს.
დაკავშირებული დოკუმენტაცია ვირტუალური მანქანის ინსტალაცია Virt-Install მიგრაციის, განახლებისა და Linux CPU-ის დროშების გამოყენებით
Example: დააინსტალირეთ და გაუშვით vSRX ვირტუალური Firewall Ubuntu-ზე
ამ განყოფილებაში მოთხოვნები | 28 დასრულდაview | 28 სწრაფი კონფიგურაცია – დააინსტალირეთ და გაუშვით vSRX ვირტუალური Firewall VM Ubuntu-ზე | 29 | 32 ნაბიჯ-ნაბიჯ კონფიგურაცია | 32

28 ეს ყოფილიample გვიჩვენებს, თუ როგორ უნდა დააინსტალიროთ და გაუშვათ vSRX ვირტუალური Firewall ინსტანცია Ubuntu სერვერზე KVM-ით.
მოთხოვნები
ეს ყოფილიample იყენებს შემდეგ აპარატურულ და პროგრამულ კომპონენტებს: · ზოგადი x86 სერვერი · Junos OS გამოშვება 15.1X49-D20 vSRX ვირტუალური Firewall-ისთვის · Ubuntu ვერსია 14.04.2 დაწყებამდე: · ეს ყოფილიample ვარაუდობს Ubuntu სერვერის პროგრამული უზრუნველყოფის ახალ ინსტალაციას. · დარწმუნდით, რომ თქვენი მასპინძელი OS აკმაყოფილებს vSRX-ის მოთხოვნები KVM-ზე მითითებულ მოთხოვნებს.
დასრულდაview
ეს ყოფილიampგვიჩვენებს, თუ როგორ უნდა დააყენოთ თქვენი Ubuntu ჰოსტის სერვერი და დააინსტალიროთ და გაუშვათ vSRX ვირტუალური Firewall VM. სურათი 4 28 გვერდზე გვიჩვენებს vSRX ვირტუალური Firewall VM-ის ძირითად სტრუქტურას Ubuntu სერვერზე.
სურათი 4: vSRX ვირტუალური Firewall VM Ubuntu-ზე
შენიშვნა: ეს ყოფილიampიყენებს სტატიკური IP მისამართებს. თუ თქვენ აკონფიგურირებთ vSRX ვირტუალური Firewall-ის ინსტანციას NFV გარემოში, უნდა გამოიყენოთ DHCP.

29
სწრაფი კონფიგურაცია – დააინსტალირეთ და გაუშვით vSRX ვირტუალური Firewall VM Ubuntu-ზე
ამ განყოფილებაში
CLI სწრაფი კონფიგურაცია | 29 პროცედურა | 29
CLI სწრაფი კონფიგურაცია
სწრაფად დააკონფიგურიროთ ეს ყოფილიampდააკოპირეთ შემდეგი ბრძანებები, ჩასვით ისინი ტექსტში file, წაშალეთ ნებისმიერი ხაზის წყვეტა, შეცვალეთ ნებისმიერი დეტალი, რომელიც აუცილებელია თქვენი ქსელის კონფიგურაციის შესატყვისად და დააკოპირეთ და ჩასვით ბრძანებები Ubuntu სერვერის ტერმინალში ან vSRX ვირტუალური Firewall კონსოლში, როგორც მითითებულია.
პროცედურა
ნაბიჯ-ნაბიჯ პროცედურა
1. თუ ნაგულისხმევი ვირტუალური ქსელი უკვე არ არსებობს, დააკოპირეთ შემდეგი ბრძანებები და ჩასვით ისინი Ubuntu სერვერის ტერმინალში ნაგულისხმევი ვირტუალური ქსელის შესაქმნელად.
კატა < /etc/libvirt/qemu/networks/default.xml ნაგულისხმევი
EOF virsh net-define /etc/libvirt/qemu/networks/default.xml virsh net-start ნაგულისხმევი

30
virsh net-autostart ნაგულისხმევი
2. შექმენით მარცხენა, ან სანდო, ვირტუალური ქსელი Ubuntu სერვერზე.
კატა < /etc/libvirt/qemu/networks/testleftnetwork.xml TestLeft
EOF virsh net-define /etc/libvirt/qemu/networks/testleftnetwork.xml virsh net-start TestLeft virsh net-autostart TestLeft
3. შექმენით სწორი, ან არასანდო, ვირტუალური ქსელი Ubuntu სერვერზე.
კატა < /etc/libvirt/qemu/networks/testrightnetwork.xml
TestRight
EOF virsh net-define /etc/libvirt/qemu/networks/testrightnetwork.xml virsh net-start TestRight

31
virsh net-ავტოსტარტი TestRight
4. ჩამოტვირთეთ vSRX Virtual Firewall KVM სურათი Juniper Networks-იდან webსაიტი https://www.juniper.net/support/downloads/?p=vsrx#sw.
5. დააკოპირეთ შემდეგი ბრძანებები და შეცვალეთ პროცესორის პარამეტრი და დროშები თქვენი Ubuntu სერვერის CPU-ის შესატყვისად. ჩასვით მიღებული ბრძანებები Ubuntu-ს სერვერის ტერმინალში, რათა დააკოპიროთ სურათი სამონტაჟო წერტილში და შექმნათ vSRX ვირტუალური Firewall VM.
cp junos-vsrx-vmdisk-15.1X49-D20.2.qcow2 /mnt/vsrx20one.qcow2 virt-install –name vSRX20One –ram 4096 –cpu SandyBridge,+vmx,-invtsk2, –86xc=disk64, –20xc= path=/mnt/vsrx2one.qcow16,size=2,device=disk,bus=ide,format=qcow7 –ostype linux –os-variant rhelXNUMX –import –network=network:default,model=virtio -network=network:TestLeft ,model=virtio –network=network:TestRight,model=virtio
შენიშვნა: CPU მოდელი და დროშები virt-install ბრძანებაში შეიძლება განსხვავდებოდეს CPU-სა და Ubuntu სერვერის ფუნქციებზე დაყრდნობით.
6. vSRX Virtual Firewall VM-ზე root პაროლის დასაყენებლად, დააკოპირეთ და ჩასვით ბრძანება vSRX Virtual Firewall CLI-ში [რედაქტირება] იერარქიის დონეზე.
სისტემის root-authentication plain-text-password-ის დაყენება
7. vSRX Virtual Firewall VM-ზე საბაზისო კონფიგურაციის შესაქმნელად, დააკოპირეთ შემდეგი ბრძანებები, ჩასვით ისინი ტექსტში file, წაშალეთ ნებისმიერი ხაზის წყვეტა, შეცვალეთ ნებისმიერი დეტალი, რომელიც აუცილებელია თქვენი ქსელის კონფიგურაციის შესატყვისად, დააკოპირეთ და ჩასვით შემდეგი ბრძანებები vSRX Virtual Firewall CLI-ში [რედაქტირება] იერარქიის დონეზე და შემდეგ შედით commit კონფიგურაციის რეჟიმიდან.
კომპლექტი ინტერფეისები fxp0 ერთეული 0 ოჯახი inet dhcp-კლიენტის კომპლექტი ინტერფეისები ge-0/0/0 ერთეული 0 ოჯახი inet მისამართი 192.168.123.254/24 კომპლექტი ინტერფეისები ge-0/0/1 ერთეული 0 ოჯახი inet dhcp-კლიენტის ნაკრები უსაფრთხოების ზონები უსაფრთხოება- ზონის ნდობის ინტერფეისები ge-0/0/0.0 მასპინძელი-შემავალი-ტრაფიკის სისტემებისერვისები უსაფრთხოების ყველა ნაკრები უსაფრთხოების ზონები უსაფრთხოების ზონის არასანდო ინტერფეისები ge-0/0/1.0 მასპინძელი-შემავალი ტრაფიკის სისტემებისერვისები dhcp კომპლექტი მარშრუტიზაციის შემთხვევები CUSTOMER-VR მაგალითების ტიპის ვირტუალური - როუტერის ნაკრები მარშრუტიზაციის შემთხვევები CUSTOMER-VR ინტერფეისი ge-0/0/0.0

32
დააყენეთ მარშრუტიზაციის შემთხვევები CUSTOMER-VR ინტერფეისი ge-0/0/1.0 დააყენეთ უსაფრთხოების nat წყარო წესები-ნაკრები წყარო-nat ზონიდან ნდობის ნაკრები უსაფრთხოების ნათ წყარო წესები-კომპლექტი წყარო-nat ზონაში არასანდო კომპლექტი უსაფრთხოების ნათ წყარო წესების ნაკრები წყარო- nat წესი nat1 ემთხვევა წყარო-მისამართი 0.0.0.0/0 უსაფრთხოების ნაკრები
ამ განყოფილებაში | 32
ნაბიჯ-ნაბიჯ პროცედურა
ნაბიჯ ნაბიჯ კონფიგურაცია
ამ განყოფილებაში დაამატეთ ვირტუალური ქსელები | 33 შეამოწმეთ ვირტუალური ქსელები | 36 vSRX ვირტუალური Firewall სურათის ჩამოტვირთვა და ინსტალაცია | 37 შეამოწმეთ vSRX ვირტუალური Firewall-ის ინსტალაცია | 37 შექმენით საბაზისო კონფიგურაცია vSRX ვირტუალური Firewall ინსტანციაზე | 40 გადაამოწმეთ ძირითადი კონფიგურაცია vSRX ვირტუალური Firewall ინსტანციაზე | 43
გამოიყენეთ შემდეგი სექციები პროცედურების უფრო დეტალური ნაკრებისთვის vSRX ვირტუალური Firewall VM-ის ინსტალაციისა და გაშვებისთვის.

33
დაამატეთ ვირტუალური ქსელები
ნაბიჯ-ნაბიჯ პროცედურა თქვენ უნდა შექმნათ ვირტუალური ქსელები Ubuntu სერვერზე, რათა უზრუნველყოთ ქსელური კავშირი ინტერფეისებთან vSRX Virtual Firewall VM-ზე. დააკოპირეთ და ჩასვით ეს ბრძანება ტერმინალში Ubuntu სერვერზე. ეს ყოფილიample იყენებს სამ ვირტუალურ ქსელს: · ნაგულისხმევი– აკავშირებს fxp0 მართვის ინტერფეისს.
შენიშვნა: ნაგულისხმევი ვირტუალური ქსელი უკვე უნდა არსებობდეს Ubuntu სერვერზე. გამოიყენეთ virsh net-list ბრძანება, რათა დაადასტუროთ ნაგულისხმევი ქსელის არსებობა და აქტიური.
· TestLeft– აკავშირებს ge-0/0/0 ინტერფეისს სანდო ზონასთან. · TestRight – აკავშირებს ge-0/0/1 ინტერფეისს არასანდო ზონასთან. 1. თუ ნაგულისხმევი ქსელი არ არსებობს, მიჰყევით ამ ნაბიჯებს:
ნაბიჯ-ნაბიჯ პროცედურა
ა. გახსენით ტექსტური რედაქტორი Ubuntu სერვერზე და შექმენით ნაგულისხმევი ქსელის XML (default.xml) file.
emacs /etc/libvirt/qemu/networks/default.xml
ბ. დააყენეთ გადამისამართების რეჟიმი nat-ზე, დააკონფიგურირეთ IP მისამართი და ქვექსელის ნიღაბი და ხიდის ინტერფეისი, და დააკონფიგურირეთ DHCP, რათა მიენიჭოს IP მისამართები ინტერფეისებს ამ ვირტუალურ ქსელში.
შენიშვნა: გამოიყენეთ libvirt-ის მიერ მითითებული XML ფორმატი.
ნაგულისხმევი

34


გ. განსაზღვრეთ და გაუშვით ნაგულისხმევი ვირტუალური ქსელი default.xml-ის საფუძველზე file შენ შექმენი.
virsh net-define /etc/libvirt/qemu/networks/default.xml virsh net-start ნაგულისხმევი virsh net-autostart ნაგულისხმევი
2. წაშალეთ ნებისმიერი ადრე კონფიგურირებული TestLeft ვირტუალური ქსელი.
virsh net-destroy TestLeft virsh net-undefine TestLeft
3. წაშალეთ ნებისმიერი ადრე კონფიგურირებული TestRight ვირტუალური ქსელი.
virsh net-destroy TestRight virsh net-undefine TestRight
4. გახსენით ტექსტური რედაქტორი Ubuntu სერვერზე და შექმენით TestLeft ქსელი XML (testleftnetwork.xml) file.
emacs /etc/libvirt/qemu/networks/testleftnetwork.xml
5. დააყენეთ გადამისამართების რეჟიმი მარშრუტად, დააკონფიგურირეთ IP მისამართი და ქვექსელის ნიღაბი და ხიდის ინტერფეისი და დააკონფიგურირეთ DHCP, რათა მიენიჭოს IP მისამართები ინტერფეისებს ამ ვირტუალურ ქსელში.

35
შენიშვნა: გამოიყენეთ libvirt-ის მიერ მითითებული XML ფორმატი.
TestLeft

6. გახსენით ტექსტური რედაქტორი Ubuntu სერვერზე და შექმენით TestRight ქსელი XML (testrightnetwork.xml) file.
emacs /etc/libvirt/qemu/networks/testrightnetwork.xml
7. დააყენეთ გადამისამართების რეჟიმი nat-ზე, დააკონფიგურირეთ IP მისამართი და ქვექსელის ნიღაბი და ხიდის ინტერფეისი და დააკონფიგურირეთ DHCP იმისათვის, რომ მიენიჭოს IP მისამართები ინტერფეისებს ამ ვირტუალურ ქსელში.
შენიშვნა: გამოიყენეთ libvirt-ის მიერ მითითებული XML ფორმატი.
TestRight

36
8. განსაზღვრეთ და გაუშვით TestLeft ვირტუალური ქსელი testleftnetwork.xml-ის საფუძველზე file შენ შექმენი.
virsh net-define /etc/libvirt/qemu/networks/testleftnetwork.xml virsh net-start TestLeft virsh net-autostart TestLeft
9. განსაზღვრეთ და გაუშვით TestRight ვირტუალური ქსელი testrightnetwork.xml-ზე დაყრდნობით file შენ შექმენი.
virsh net-define /etc/libvirt/qemu/networks/testrightnetwork.xml virsh net-start TestRight virsh net-autostart TestRight

გადაამოწმეთ ვირტუალური ქსელების მიზანი. შეამოწმეთ ახალი ვირტუალური ქსელის კონფიგურაცია Ubuntu სერვერზე. მოქმედება გამოიყენეთ virsh net-list ბრძანება Ubuntu სერვერზე, რათა დაადასტუროთ, რომ ახალი ვირტუალური ინტერფეისები აქტიურია და გადატვირთვისას დაყენებულია ავტომატური დაწყებაზე.
virsh net-list

სახელი

სახელმწიფო

ავტომატური დაწყება მუდმივი

———————————————————-

ნაგულისხმევი

აქტიური

დიახ

დიახ

TestLeft

აქტიური

დიახ

დიახ

TestRight

აქტიური

დიახ

დიახ

37
ჩამოტვირთეთ და დააინსტალირეთ vSRX ვირტუალური Firewall სურათი
ნაბიჯ-ნაბიჯ პროცედურა ჩამოტვირთეთ და დააინსტალირეთ vSRX ვირტუალური Firewall სურათი Ubuntu სერვერზე: 1. ჩამოტვირთეთ vSRX ვირტუალური Firewall KVM სურათი Juniper Networks-იდან webსაიტი: https://
www.juniper.net/support/downloads/?p=vsrx#sw 2. დააკოპირეთ vSRX ვირტუალური Firewall-ის სურათი შესაბამის სამონტაჟო წერტილში.
hostOS# cp junos-vsrx-vmdisk-15.1X49-D20.2.qcow2 /mnt/vsrx20one.qcow2
3. გამოიყენეთ virt-install ბრძანება vSRX Virtual Firewall VM-ის შესაქმნელად. შეცვალეთ პროცესორის პარამეტრი და დროშები, რათა შეესაბამებოდეს თქვენს Ubuntu სერვერის პროცესორს.
hostOS# virt-install –name vSRX20One –ram 4096 –cpu SandyBridge,+vmx,-invtsc, –vcpus=2 -arch=x86_64 –დისკის გზა=/mnt/vsrx20one.qcow2,size=16,device=disk,bus= ide,format=qcow2 –ostype linux –os-variant rhel7 –import –network=network:default,model=virtio -network=network:TestLeft,model=virtio –network=network:TestRight,model=virtio
შენიშვნა: CPU მოდელი და დროშები virt-install ბრძანებაში შეიძლება განსხვავდებოდეს CPU-სა და Ubuntu სერვერის ფუნქციებზე დაყრდნობით.
გადაამოწმეთ vSRX ვირტუალური Firewall-ის ინსტალაცია
მიზანი გადაამოწმეთ vSRX ვირტუალური Firewall-ის ინსტალაცია.

38
მოქმედება
1. გამოიყენეთ virsh კონსოლის ბრძანება Ubuntu სერვერზე, რათა შეხვიდეთ vSRX Virtual Firewall კონსოლზე და უყუროთ ინსტალაციის მიმდინარეობას. ინსტალაციის დასრულებას შეიძლება რამდენიმე წუთი დასჭირდეს.
hostOS# virsh კონსოლი vSRx200ne
იწყება ინსტალაცია… ERROR შიდა შეცდომა: პროცესი გავიდა მონიტორთან დაკავშირებისას: libust[11994/11994]: გაფრთხილება: HOME გარემოს ცვლადი არ არის დაყენებული. LTTng-UST თითო მომხმარებლის თვალყურის დევნების გამორთვა. (setup_local_apps()-ში lttng-ust-comm.c:305) libust[11994/11995]: შეცდომა: შეცდომა shm /lttng-ust-wait-5 გახსნისას (get_wait_shm() lttngust-comm.c:886) libust[11994/11995]: შეცდომა: შეცდომა shm /lttng-ust-wait-5 გახსნისას (get_wait_shm()-ში lttngust-comm.c:886)
"Juniper Linux"-ის ჩატვირთვა
იტვირთება Linux … კონსოლები: სერიული პორტი BIOS დისკი C: არის დისკი0 BIOS დისკი D: არის დისკი1 BIOS დრაივი E: არის დისკი2 BIOS დისკი F: არის დისკი3 BIOS 639kB/999416kB ხელმისაწვდომი მეხსიერება
FreeBSD/i386 bootstrap loader, რევიზია 1.2 (builder@example.com, Thu Jul 30 23:20:10 UTC 2015) Loading /boot/defaults/loader.conf /kernel text=0xa3a2c0 data=0x6219c+0x11f8e0 syms=[0x4+0xb2ed0+0x4+0x1061bb] /boot/modules/libmbpool.ko text=0xce8 data=0x114 /boot/modules/if_em_vsrx.ko text=0x184c4 data=0x7fc+0x20 /boot/modules/virtio.ko text=0x2168 data=0x208 syms=[0x4+0x7e0+0x4+0x972] /boot/modules/virtio_pci.ko text=0x2de8 data=0x200+0x8 syms=[0x4+0x8f0+0x4+0xb22] /boot/modules/virtio_blk.ko text=0x299c data=0x1dc+0xc syms=[0x4+0x960+0x4+0xa0f] /boot/modules/if_vtnet.ko text=0x5ff0 data=0x360+0x10 syms=[0x4+0xdf0+0x4+0xf19] /boot/modules/pci_hgcomm.ko text=0x12fc data=0x1a4+0x44 syms=[0x4+0x560+0x4+0x61d] /boot/modules/chassis.ko text=0x9bc data=0x1d0+0x10 syms=[0x4+0x390+0x4+0x399] Hit [Enter] to boot immediately, or space bar for command prompt.

39
ჩატვირთვა [/kernel]… platform_early_bootinit: Early Boot Initialization GDB: გამართვის პორტები: sio GDB: მიმდინარე პორტი: sio KDB: debugger backends: ddb gdb KDB: მიმდინარე backend: ddb Copyright (c) 1996-2015 Networks, Inc. უფლებები დაცულია. საავტორო უფლება (c) 1992-2007 FreeBSD პროექტი. საავტორო უფლება (გ) 1979, 1980, 1983, 1986, 1988, 1989, 1991, 1992, 1993, 1994 წ.
კალიფორნიის უნივერსიტეტის რეგენტები. Ყველა უფლება დაცულია. FreeBSD არის FreeBSD Foundation-ის რეგისტრირებული სავაჭრო ნიშანი. JUNOS 15.1X49-D15.4 #0: 2015-07-31 02:20:21 UTC

აპარატის ID ცარიელია. გასუფთავება… ხუთ აგვისტო 27 12:06:22 UTC 2015 აგვისტო 27 12:06:22 init: exec_command: /usr/sbin/dhcpd (PID 1422) დაიწყო 27 აგვისტო 12:06:22 init: dhcp (ID) 1422 აგვისტო 27:12:06 დაწყებული: exec_command: /usr/sbin/pppd (PID 23) დაიწყო
ამნეზია (ttyd0)
შესვლა:

40
2. vSRX Virtual Firewall-ის კონსოლზე შედით სისტემაში და გადაამოწმეთ vSRX Virtual Firewall-ის დაინსტალირებული ვერსია. შესვლა: root
— JUNOS 15.1X49-D15.4 აშენებული 2015-07-31 02:20:21 UTC root@%
root@% cli
root>
root> ჩვენების ვერსია
მოდელი: vSRX Junos: 15.1X49-D15.4 JUNOS პროგრამული უზრუნველყოფის გამოშვება [15.1X49-D15.4] შექმენით საბაზისო კონფიგურაცია vSRX ვირტუალურ Firewall-ზე მაგალითი ნაბიჯ-ნაბიჯ პროცედურა საბაზისო დაყენების კონფიგურაციისთვის vSrewall-ზე Virtance-ში. შეიტანეთ შემდეგი ნაბიჯები რედაქტირების რეჟიმში: 1. შექმენით root პაროლი.
[რედაქტირება] დააყენეთ სისტემის root-authentication plain-text-password

41
2. დააყენეთ IP მისამართების ოჯახი მართვის ინტერფეისისთვის და ჩართეთ DHCP კლიენტი ამ ინტერფეისისთვის.
დააყენეთ ინტერფეისები fxp0 ერთეული 0 ოჯახი inet dhcp-client
3. დააყენეთ IP მისამართი ge-0/0/0.0 ინტერფეისისთვის.
კომპლექტი ინტერფეისები ge-0/0/0 ერთეული 0 ოჯახი inet მისამართი 192.168.123.254/24
4. დააყენეთ IP მისამართების ოჯახი ge-0/0/1.0 ინტერფეისისთვის და ჩართეთ DHCP კლიენტი ამ ინტერფეისისთვის.
დააყენეთ ინტერფეისები ge-0/0/1 unit 0 ოჯახი inet dhcp-client
5. დაამატეთ ge-0/0/0.0 ინტერფეისი ნდობის უსაფრთხოების ზონაში და დაუშვით ყველა სისტემის სერვისი შემომავალი ტრაფიკიდან ამ ინტერფეისზე.
უსაფრთხოების ზონების დაყენება უსაფრთხოების ზონის ნდობის ინტერფეისები ge-0/0/0.0 host-inbound-traffic systemservices all
6. დაამატეთ ge-0/0/1.0 ინტერფეისი არასანდო უსაფრთხოების ზონაში და დაუშვით მხოლოდ DHCP სისტემის სერვისები შემომავალი ტრაფიკიდან ამ ინტერფეისზე.
უსაფრთხოების ზონების დაყენება უსაფრთხოების ზონის არასანდო ინტერფეისები ge-0/0/1.0 ჰოსტ-შემავალი-ტრაფიკის სისტემების სერვისები dhcp
7. შექმენით ვირტუალური როუტერის მარშრუტიზაციის მაგალითი და დაამატეთ ორი ინტერფეისი ამ მარშრუტიზაციის ინსტანციას.
მარშრუტიზაციის შემთხვევების დაყენება CUSTOMER-VR ინსტანციის ტიპის ვირტუალური როუტერის კომპლექტი მარშრუტიზაციის შემთხვევების CUSTOMER-VR ინტერფეისი ge-0/0/0.0 კომპლექტი მარშრუტიზაციის შემთხვევები CUSTOMER-VR ინტერფეისი ge-0/0/1.0
8. შექმენით წყარო NAT წესების ნაკრები.
უსაფრთხოების nat წყაროს დაყენება წესი-კომპლექტი წყარო-nat ზონიდან ნდობის დაყენება უსაფრთხოების ნათ წყაროს წესი-კომპლექტი წყარო-nat ზონაში არასანდო

42
9. დააკონფიგურირეთ წესი, რომელიც ემთხვევა პაკეტებს და თარგმნის წყაროს მისამართს egress ინტერფეისის მისამართზე.
დააყენეთ უსაფრთხოების nat წყარო წესი-კომპლექტი წყარო-nat წესი nat1 დამთხვევა წყარო-მისამართი 0.0.0.0/0 დააყენეთ უსაფრთხოების ნათ წყარო წესი-ნაკრები წყარო-nat წესი nat1 შემდეგ წყარო-ნატ ინტერფეისი
შედეგები
კონფიგურაციის რეჟიმიდან დაადასტურეთ თქვენი კონფიგურაცია show interfaces ბრძანების შეყვანით. თუ გამომავალი არ აჩვენებს დანიშნულ კონფიგურაციას, გაიმეორეთ ინსტრუქციები ამ მაგampკონფიგურაციის გამოსასწორებლად.
ინტერფეისების ჩვენება
კონფიგურაციის რეჟიმიდან დაადასტურეთ თქვენი უსაფრთხოების პოლიტიკა ბრძანების ჩვენების უსაფრთხოების პოლიტიკის შეყვანით. თუ გამომავალი არ აჩვენებს დანიშნულ კონფიგურაციას, გაიმეორეთ ინსტრუქციები ამ მაგampკონფიგურაციის გამოსასწორებლად.
უსაფრთხოების პოლიტიკის ჩვენება
from-zone trust to-zone trust { policy default-permit { match { source-address any; დანიშნულება-მისამართი ნებისმიერი; განაცხადი ნებისმიერი; } შემდეგ { ნებართვა; }}
} ზონიდან ნდობა ზონამდე უნდობლობა {
პოლიტიკა default-permit { match { source-address any; დანიშნულება-მისამართი ნებისმიერი; განაცხადი ნებისმიერი;

43
} შემდეგ {
ნებართვა; } } } from-zone untrust to-zone trust { პოლიტიკა ნაგულისხმევი-უარი { match {
წყარო-მისამართი ნებისმიერი; დანიშნულება-მისამართი ნებისმიერი; განაცხადი ნებისმიერი; } შემდეგ { უარყოფს; } }
თუ დაასრულეთ მოწყობილობის კონფიგურაცია, შედით commit კონფიგურაციის რეჟიმიდან.
შენიშვნა: როგორც საბოლოო ნაბიჯი, გამოდით კონფიგურაციის რეჟიმიდან და გამოიყენეთ მოთხოვნის სისტემის გადატვირთვის ბრძანება vSRX Virtual Firewall VM-ის გადატვირთვისთვის. თქვენ შეგიძლიათ გამოიყენოთ virsh კონსოლის ბრძანება Ubuntu სერვერზე, რათა ხელახლა დაუკავშირდეთ vSRX ვირტუალურ Firewall-ს გადატვირთვის შემდეგ.
გადაამოწმეთ ძირითადი კონფიგურაცია vSRX ვირტუალური Firewall ინსტანციაზე
მიზანი
გადაამოწმეთ ძირითადი კონფიგურაცია vSRX Virtual Firewall-ის ინსტანციაზე.

44
მოქმედება შეამოწმეთ, რომ ge-0/0/0.0 ინტერფეისს აქვს მინიჭებული IP მისამართი TestLeft ქსელის DHCP მისამართების დიაპაზონიდან და რომ ge-0/0/1.0 აქვს მინიჭებული IP მისამართი TestRight ქსელის DHCP მისამართების დიაპაზონიდან.
root> აჩვენე ინტერფეისები მოკლედ

Interface ge-0/0/0 ge-0/0/0.0 gr-0/0/0 ip-0/0/0 lsq-0/0/0 lt-0/0/0 mt-0/0/0 sp-0/0/0 sp-0/0/0.0
sp-0/0/0.16383 ge-0/0/1 ge-0/0/1.0 dsc em0 em0.0 em1 em1.32768 em2 fxp0 fxp0.0 ipip irb lo0 lo0.16384 lo0.16385
lo0.32768 lsi

Admin Link Proto up up up up inet up up up up up up up up up up up up up up up up inet
inet6 up inet up up up up inet up up up up up inet up up up inet up up inet up up up up inet up up up up up up up inet up inet
მაღლა მაღლა

ადგილობრივი

დისტანციური

192.168.123.254/24

192.168.124.238/24 128.0.0.1/2 192.168.1.2/24 192.168.2.1/24

127.0.0.1 10.0.0.1 10.0.0.16 128.0.0.1 128.0.0.4 128.0.1.16

–> 0/0 –> 0/0 –> 0/0 –> 0/0 –> 0/0 –> 0/0

45

მთუნ

მაღლა მაღლა

პიმდი

მაღლა მაღლა

პიმი

მაღლა მაღლა

pp0

მაღლა მაღლა

ppd0

მაღლა მაღლა

ppe0

მაღლა მაღლა

st0

მაღლა მაღლა

ჩამოსასხმელი

მაღლა მაღლა

ვლან

ზემოთ ქვემოთ

შესაბამისი დოკუმენტაცია libvirt ქსელის XML ფორმატი libvirt ბრძანების მითითება
ჩატვირთეთ საწყისი კონფიგურაცია vSRX ვირტუალურ Firewall-ზე KVM-ით
ამ განყოფილებაში შექმენით vSRX ვირტუალური Firewall Bootstrap ISO Image | 46 უზრუნველყოფა vSRX ვირტუალური Firewall ISO Bootstrap გამოსახულება KVM-ზე | 47

Junos OS Release 15.1X49-D40-დან და Junos OS Release 17.3R1-დან დაწყებული, შეგიძლიათ გამოიყენოთ დამონტაჟებული ISO სურათი, რათა გადასცეთ საწყისი Junos OS კონფიგურაცია vSRX Virtual Firewall VM-ზე. ეს ISO სურათი შეიცავს ა file root დირექტორიაში, რომელსაც ეწოდება juniper.conf. ეს file იყენებს სტანდარტულ Junos OS ბრძანების სინტაქსს კონფიგურაციის დეტალების დასადგენად, როგორიცაა root პაროლი, მართვის IP მისამართი, ნაგულისხმევი კარიბჭე და სხვა კონფიგურაციის განცხადებები. vSRX ვირტუალური Firewall VM-ის ჩატვირთვის პროცესი ISO კონფიგურაციის სურათით შემდეგია:
შენიშვნა: SNMPv3 კონფიგურაცია არ არის მხარდაჭერილი vSRX ვირტუალური Firewall-ის პლატფორმების ISO ჩატვირთვის გამოსახულების უზრუნველყოფისას.
1. შექმენით juniper.conf კონფიგურაცია file თქვენი Junos OS კონფიგურაციით.

46
2. შექმენით ISO სურათი, რომელიც მოიცავს juniper.conf file. 3. დააინსტალირეთ ISO სურათი vSRX ვირტუალური Firewall VM-ზე. 4. ჩატვირთეთ ან გადატვირთეთ vSRX ვირტუალური Firewall VM. vSRX ვირტუალური Firewall ჩაიტვირთება juniper.conf-ის გამოყენებით
file შედის დამონტაჟებული ISO სურათში. 5. ამოიღეთ ISO სურათი vSRX ვირტუალური Firewall VM-დან.
შენიშვნა: თუ არ გამორთავთ ISO სურათს საწყისი ჩატვირთვის ან გადატვირთვის შემდეგ, ყველა შემდგომი კონფიგურაციის ცვლილება vSRX ვირტუალურ Firewall-ში გადაიწერება ISO გამოსახულების მიერ მომდევნო გადატვირთვისას.
შექმენით vSRX ვირტუალური Firewall Bootstrap ISO სურათი
ეს ამოცანა იყენებს Linux სისტემას ISO გამოსახულების შესაქმნელად. vSRX ვირტუალური Firewall-ის ჩატვირთვის ISO სურათის შესაქმნელად: 1. შექმენით კონფიგურაცია file უბრალო ტექსტში Junos OS ბრძანების სინტაქსით და შეინახეთ a file დაურეკა
ღვია.კონფ. 2. შექმენით ახალი დირექტორია.
hostOS$ mkdir iso_dir
3. დააკოპირეთ juniper.conf ახალ ISO დირექტორიაში.
hostOS$ cp juniper.conf iso_dir
შენიშვნა: ღვია.conf file უნდა შეიცავდეს vSRX ვირტუალური Firewall-ის სრულ კონფიგურაციას. ISO ჩატვირთვის პროცესი გადაწერს ყველა არსებულ vSRX ვირტუალური Firewall-ის კონფიგურაციას.

47
4. გამოიყენეთ Linux mkisofs ბრძანება ISO გამოსახულების შესაქმნელად.
hostOS$ mkisofs -l -o test.iso iso_dir
I: -შეყვანის სიმბოლოების ნაკრები მითითებული არ არის, utf-8-ის გამოყენებით (გამოვლენილია ლოკალის პარამეტრებში) თარგმანის ცხრილის მთლიანი ზომა: 0 როკრიჯის ატრიბუტების მთლიანი ბაიტი: 0 სულ დირექტორია ბაიტი: 0 ბილიკების ცხრილის ზომა (ბაიტები): 10 მაქსიმალური brk სივრცე გამოყენებული 0 175 დაწერილი ზომები (0 მბ)
შენიშვნა: -l ოფცია იძლევა დიდხანს fileსახელი.
უზრუნველყოს vSRX ვირტუალური Firewall ISO Bootstrap სურათით KVM-ზე
vSRX ვირტუალური Firewall VM-ის ISO ჩატვირთვის გამოსახულების უზრუნველსაყოფად: 1. გამოიყენეთ virsh edit ბრძანება KVM მასპინძელ სერვერზე, სადაც vSRX Virtual Firewall VM მდებარეობს.
დაამატეთ ჩატვირთვის ISO სურათი, როგორც დისკის მოწყობილობა.
<disk type=’file'device='cdrom'> file='/home/test.iso'/>

2. ჩატვირთეთ ან გადატვირთეთ vSRX ვირტუალური Firewall VM.
user@host# virsh start ixvSRX
დაკავშირებულია დომენთან ixvSRX

48
3. სურვილისამებრ, გამოიყენეთ virsh domblklist Linux ბრძანება, რათა დაადასტუროთ, რომ ჩატვირთვის ISO სურათი არის VM-ის ნაწილი.
hostOS# virsh domblklist ixvSRX

სამიზნე წყარო

————————————————

ჰდა

/home/test/vsrx209.qcow2

HDC

/home/test/test.iso

4. გადაამოწმეთ კონფიგურაცია, შემდეგ გამორთეთ vSRX Virtual Firewall VM ISO სურათის მოსაშორებლად. 5. გამოიყენეთ virsh edit ბრძანება KVM მასპინძელ სერვერზე დამატებული ISO გამოსახულების xml განცხადებების წასაშლელად
ნაბიჯი 1 და შემდეგ გადატვირთეთ vSRX ვირტუალური Firewall VM.

გამოშვების ისტორიის ცხრილი

გათავისუფლება

აღწერა

15.1X49-D80

Junos OS Release 15.1X49-D40-დან და Junos OS Release 17.3R1-დან დაწყებული, შეგიძლიათ გამოიყენოთ დამონტაჟებული ISO სურათი, რათა გადასცეთ საწყისი Junos OS კონფიგურაცია vSRX Virtual Firewall VM-ზე. ეს ISO სურათი შეიცავს ა file root დირექტორიაში, რომელსაც ეწოდება juniper.conf. ეს file იყენებს სტანდარტულ Junos OS ბრძანების სინტაქსს კონფიგურაციის დეტალების დასადგენად, როგორიცაა root პაროლი, მართვის IP მისამართი, ნაგულისხმევი კარიბჭე და სხვა კონფიგურაციის განცხადებები.

დაკავშირებული დოკუმენტაცია Linux mkisofs ბრძანება
გამოიყენეთ Cloud-Init OpenStack გარემოში vSRX ვირტუალური Firewall-ის ინსტანციების ინიციალიზაციის ავტომატიზაციისთვის
ამ განყოფილებაში შეასრულეთ vSRX ვირტუალური Firewall ინსტანციის ავტომატური დაყენება OpenStack ბრძანების ხაზის ინტერფეისის გამოყენებით | 52

49
შეასრულეთ vSRX ვირტუალური Firewall ინსტანციის ავტომატური დაყენება OpenStack Dashboard-დან (Horizon) | 54
Junos OS Release 15.1X49-D100-დან და Junos OS Release 17.4R1-დან დაწყებული, cloud-init პაკეტი (ვერსია 0.7x) წინასწარ არის დაინსტალირებული vSRX Virtual Firewall-ის სურათზე, რათა გამარტივდეს ახალი vSRX ვირტუალური Firewall-ის კონფიგურაცია ანSstan-ში. მითითებული მომხმარებლის მონაცემების მიხედვით file. Cloud-init ხორციელდება vSRX ვირტუალური Firewall ინსტანციის პირველად ჩატვირთვისას.
Cloud-init არის OpenStack პროგრამული პაკეტი ჩატვირთვისას ღრუბლის ინსტანციის ინიციალიზაციის ავტომატიზაციისთვის. ის ხელმისაწვდომია Ubuntu-ში და Linux-ისა და FreeBSD-ის უმეტეს ოპერაციულ სისტემებში. Cloud-init შექმნილია მრავალი სხვადასხვა ღრუბლოვანი პროვაიდერის მხარდასაჭერად, რათა ერთი და იგივე ვირტუალური მანქანის (VM) გამოსახულება პირდაპირ იყოს გამოყენებული მრავალ ჰიპერვიზორში და ღრუბლოვან ინსტანციაში ყოველგვარი ცვლილების გარეშე. Cloud-init მხარდაჭერა VM ინსტანციაში მუშაობს ჩატვირთვის დროს (პირველად ჩატვირთვისას) და ახდენს VM ინსტანციის ინიციალიზებას მითითებული მომხმარებლის მონაცემების მიხედვით. file.
მომხმარებლის მონაცემები file არის სპეციალური გასაღები მეტამონაცემების სერვისში, რომელიც შეიცავს ა file რომ Cloud-aware აპლიკაციებს VM ინსტანციაში შეუძლიათ წვდომა პირველად ჩატვირთვისას. ამ შემთხვევაში, ეს არის დადასტურებული Junos OS კონფიგურაცია file რომ თქვენ აპირებთ ატვირთოთ vSRX ვირტუალური Firewall ინსტანციაში, როგორც აქტიური კონფიგურაცია. ეს file იყენებს სტანდარტულ Junos OS ბრძანების სინტაქსს კონფიგურაციის დეტალების დასადგენად, როგორიცაა root პაროლი, მართვის IP მისამართი, ნაგულისხმევი კარიბჭე და სხვა კონფიგურაციის განცხადებები.
როდესაც თქვენ შექმნით vSRX ვირტუალური Firewall-ის მაგალითს, შეგიძლიათ გამოიყენოთ Cloud-init დადასტურებული Junos OS კონფიგურაციით. file (juniper.conf) ახალი vSRX ვირტუალური Firewall ინსტანციების ინიციალიზაციის ავტომატიზაციისთვის. მომხმარებლის მონაცემები file იყენებს სტანდარტულ Junos OS სინტაქსს თქვენი vSRX ვირტუალური Firewall ინსტანციის ყველა კონფიგურაციის დეტალის დასადგენად. ნაგულისხმევი Junos OS კონფიგურაცია შეიცვლება vSRX ვირტუალური Firewall-ის ინსტანციის გაშვების დროს დადასტურებული Junos OS კონფიგურაციით, რომელსაც თქვენ მიაწვდით მომხმარებლის მონაცემების სახით. file.
შენიშვნა: თუ იყენებთ გამოცემას უფრო ადრე, ვიდრე Junos OS Release 15.1X49-D130 და Junos OS Release 18.4R1, მომხმარებლის მონაცემების კონფიგურაცია file არ შეიძლება აღემატებოდეს 16 კბ. თუ თქვენი მომხმარებლის მონაცემები file აღემატება ამ ლიმიტს, თქვენ უნდა შეკუმშოს file გამოიყენეთ gzip და გამოიყენეთ შეკუმშული file. მაგample, gzip junos.conf ბრძანება იწვევს junos.conf.gz file. დაწყებული Junos OS Release 15.1X49-D130 და Junos OS Release 18.4R1, თუ კონფიგურაციის დისკის მონაცემთა წყაროს იყენებთ OpenStack გარემოში, მომხმარებლის მონაცემების კონფიგურაცია file ზომა შეიძლება იყოს 64 მბ-მდე.
კონფიგურაცია უნდა იყოს დამოწმებული და შეიცავდეს დეტალებს fxp0 ინტერფეისის, შესვლისა და ავთენტიფიკაციისთვის. მას ასევე უნდა ჰქონდეს ნაგულისხმევი მარშრუტი ტრაფიკისთვის fxp0-ზე. თუ რომელიმე ეს ინფორმაცია აკლია ან არასწორია, ეგზემპლარი მიუწვდომელია და თქვენ უნდა გაუშვათ ახალი.

50
გაფრთხილება: დარწმუნდით, რომ მომხმარებლის მონაცემების კონფიგურაცია file არ არის კონფიგურირებული ინტერფეისებზე ავტოინსტალაციის შესასრულებლად Dynamic Host Configuration Protocol (DHCP) გამოყენებით vSRX Virtual Firewall-ისთვის IP მისამართის მინიჭებისთვის. DHCP-ით ავტომატური ინსტალაცია გამოიწვევს მომხმარებლის მონაცემების კონფიგურაციის „დასრულებას“ file.
Junos OS Release 15.1X49-D130-დან და Junos OS Release 18.4R1-დან დაწყებული, vSRX Virtual Firewall-ის ღრუბლოვანი ფუნქციონალობა გაფართოვდა კონფიგურაციის დისკის მონაცემთა წყაროს გამოყენების მხარდასაჭერად OpenStack გარემოში. კონფიგურაციის დისკი იყენებს მომხმარებლის მონაცემების ატრიბუტს Junos OS-ის დადასტურებული კონფიგურაციის გადასაცემად file vSRX ვირტუალური Firewall-ის მაგალითზე. მომხმარებლის მონაცემები შეიძლება იყოს მარტივი ტექსტი ან MIME file აკრიფეთ ტექსტი/უბრალო. კონფიგურაციის დისკი, როგორც წესი, გამოიყენება Compute სერვისთან ერთად და წარმოდგენილია ინსტანციისთვის, როგორც დისკის დანაყოფი, სახელწოდებით config-2. კონფიგურაციის დისკის მაქსიმალური ზომაა 64 მბ და უნდა იყოს ფორმატირებული vfat ან ISO 9660-ით. fileსისტემა.
კონფიგურაციის დისკის მონაცემთა წყარო ასევე იძლევა მოქნილობას ერთზე მეტის დასამატებლად file რომელიც შეიძლება გამოყენებულ იქნას კონფიგურაციისთვის. ტიპიური გამოყენების შემთხვევა იქნება Day0 კონფიგურაციის დამატება file და ლიცენზია file. ამ შემთხვევაში, არსებობს ორი მეთოდი, რომელიც შეიძლება გამოყენებულ იქნას კონფიგურაციის დისკის მონაცემთა წყაროს vSRX ვირტუალური Firewall ინსტანციით:
· მომხმარებლის მონაცემები (Junos OS კონფიგურაცია File) მარტო – ეს მიდგომა იყენებს მომხმარებლის მონაცემების ატრიბუტს Junos OS-ის კონფიგურაციის გადასაცემად file vSRX ვირტუალური Firewall-ის თითოეულ ინსტანციაზე. მომხმარებლის მონაცემები შეიძლება იყოს მარტივი ტექსტი ან MIME file აკრიფეთ ტექსტი/უბრალო.
· Junos OS კონფიგურაცია file და ლიცენზია file-ეს მიდგომა იყენებს კონფიგურაციის დისკის მონაცემთა წყაროს Junos OS-ის კონფიგურაციისა და ლიცენზიის გასაგზავნად file(s) vSRX ვირტუალური Firewall-ის თითოეულ ინსტანციაზე.
შენიშვნა: თუ ლიცენზია file უნდა იყოს კონფიგურირებული vSRX ვირტუალურ Firewall-ში, რეკომენდებულია მისი გამოყენებაfile ოფცია და არა მომხმარებლის მონაცემების ვარიანტი, რათა უზრუნველყოს კონფიგურაციის მოქნილობა files აღემატება მომხმარებლის მონაცემების 16 KB ლიმიტს.
კონფიგურაციის დისკის მონაცემთა წყაროს გამოყენება Junos OS-ის კონფიგურაციისა და ლიცენზიის გასაგზავნად file(s) vSRX ვირტუალური Firewall-ის მაგალითზე, files უნდა გაიგზავნოს კონკრეტული საქაღალდის სტრუქტურაში. ამ აპლიკაციაში, კონფიგურაციის დისკის მონაცემთა წყაროს საქაღალდის სტრუქტურა vSRX ვირტუალურ Firewall-ში შემდეგია:
– OpenStack – უახლესი – junos-config – configuration.txt – junos-license

51
- ლიცენზია_file_name.lic – ლიცენზია_file_name.lic
//OpenStack//latest/junos-config/configuration.txt //OpenStack//latest/junos-license/license.lic დაწყებამდე: · შექმენით კონფიგურაცია file Junos OS ბრძანების სინტაქსით და შეინახეთ იგი. კონფიგურაცია file შეუძლია
იყოს ჩვეულებრივი ტექსტი ან MIME file აკრიფეთ ტექსტი/უბრალო. სტრიქონი #junos-config უნდა იყოს მომხმარებლის მონაცემების კონფიგურაციის პირველი ხაზი file Junos OS-ის კონფიგურაციამდე.
შენიშვნა: #junos-config სტრიქონი სავალდებულოა მომხმარებლის მონაცემების კონფიგურაციაში file; თუ ის არ შედის, კონფიგურაცია არ იქნება გამოყენებული vSRX ვირტუალური Firewall-ის მაგალითზე, როგორც აქტიური კონფიგურაცია.
· განსაზღვრეთ vSRX ვირტუალური Firewall-ის სახელი, რომლის ინიციალიზაცია გსურთ დადასტურებული Junos OS-ის კონფიგურაციით file.
· განსაზღვრეთ თქვენი vSRX ვირტუალური Firewall ინსტანციის გემო, რომელიც განსაზღვრავს vSRX ვირტუალური Firewall-ის ინსტანციის გამოთვლას, მეხსიერებას და შენახვის მოცულობას.
· დაწყებული Junos OS Release 15.1X49-D130-დან და Junos OS Release 18.4R1-დან, თუ იყენებთ კონფიგურაციის დისკს, დარწმუნდით, რომ დაკმაყოფილებულია შემდეგი კრიტერიუმები კონფიგურაციის დისკის Cloud-init მხარდაჭერის გასააქტიურებლად OpenStack-ში: · კონფიგურაციის დისკი უნდა იყოს ფორმატირებული ან vfat ან iso9660 fileსისტემა.
შენიშვნა: კონფიგურაციის დისკის ნაგულისხმევი ფორმატი არის ISO 9660 file სისტემა. ISO 9660/vfat ფორმატის ცალსახად დასაზუსტებლად, დაამატეთ config_drive_format=iso9660/vfat ხაზი nova.conf-ში. file.
· კონფიგურაციის დისკს უნდა ჰქონდეს ა fileსისტემის ეტიკეტი config-2. · საქაღალდის ზომა არ უნდა იყოს 64 მბ-ზე მეტი.
თქვენი OpenStack გარემოდან გამომდინარე, შეგიძლიათ გამოიყენოთ OpenStack ბრძანების ხაზის ინტერფეისი (როგორიცაა nova boot ან openstack სერვერის შექმნა) ან OpenStack Dashboard („Horizon“) vSRX ვირტუალური Firewall ინსტანციის გასაშვებად და ინიციალიზაციისთვის.

52
შეასრულეთ vSRX ვირტუალური Firewall ინსტანციის ავტომატური დაყენება OpenStack ბრძანების ხაზის ინტერფეისის გამოყენებით
თქვენ შეგიძლიათ გაუშვათ და მართოთ vSRX ვირტუალური Firewall ინსტანცია ნოვა ჩატვირთვის ან openstack სერვერის შექმნის ბრძანებების გამოყენებით, რომელიც მოიცავს დადასტურებული Junos OS კონფიგურაციის მომხმარებლის მონაცემების გამოყენებას. file თქვენი ადგილობრივი დირექტორიადან სამიზნე vSRX ვირტუალური Firewall ინსტანციის აქტიური კონფიგურაციის ინიციალიზაციისთვის.
vSRX ვირტუალური Firewall-ის ინსტანციის ავტომატური დაყენების დასაწყებად OpenStack ბრძანების ხაზის კლიენტიდან:
1. თუ ეს უკვე არ გაგიკეთებიათ, შექმენით კონფიგურაცია file Junos OS ბრძანების სინტაქსით და შეინახეთ file. კონფიგურაცია file შეიძლება იყოს მარტივი ტექსტი ან MIME file აკრიფეთ ტექსტი/უბრალო. მომხმარებლის მონაცემების კონფიგურაცია file უნდა შეიცავდეს vSRX Virtual Firewall-ის სრულ კონფიგურაციას, რომელიც უნდა იყოს გამოყენებული როგორც აქტიური კონფიგურაცია vSRX Virtual Firewall-ის თითოეულ ინსტანციაზე და სტრიქონი #junos-config უნდა იყოს მომხმარებლის მონაცემების კონფიგურაციის პირველი ხაზი. file Junos OS-ის კონფიგურაციამდე.
შენიშვნა: #junos-config სტრიქონი სავალდებულოა მომხმარებლის მონაცემების კონფიგურაციაში file; თუ ის არ შედის, კონფიგურაცია არ იქნება გამოყენებული vSRX ვირტუალური Firewall-ის მაგალითზე, როგორც აქტიური კონფიგურაცია.
2. დააკოპირეთ Junos OS კონფიგურაცია file ხელმისაწვდომ ადგილას, საიდანაც შესაძლებელია მისი ამოღება vSRX ვირტუალური Firewall ინსტანციის გასაშვებად.
3. თქვენი OpenStack გარემოდან გამომდინარე, გამოიყენეთ nova boot ან openstack სერვერის შექმნის ბრძანება vSRX ვირტუალური Firewall-ის ინსტანციის გასაშვებად Junos OS-ის დადასტურებული კონფიგურაციით. file როგორც მითითებული მომხმარებლის მონაცემები.
შენიშვნა: თქვენ ასევე შეგიძლიათ გამოიყენოთ nova boot ექვივალენტი ორკესტრირების სერვისებში, როგორიცაა HEAT.
მაგample: · nova boot -user-data –image vSRX_image –flavor vSRX_flavor_instance · openstack სერვერის შექმნა -user-data –image vSRX_image –გემოვნება
vSRX_flavor_instance სად: -მომხმარებლის მონაცემები განსაზღვრავს Junos OS-ის კონფიგურაციის მდებარეობას file. მომხმარებლის მონაცემების კონფიგურაცია file ზომა შემოიფარგლება დაახლოებით 16,384 ბაიტით. –image vSRX_image განსაზღვრავს უნიკალური vSRX ვირტუალური Firewall სურათის სახელს. –flavor vSRX_flavor_instance განსაზღვრავს vSRX ვირტუალური Firewall-ის არომატს (ID ან სახელს).

53
დაწყებული Junos OS Release 15.1X49-D130-დან და Junos OS Release 18.4R1-დან, რომ ჩართოთ კონფიგურაციის დისკის გამოყენება კონკრეტული მოთხოვნისთვის OpenStack გამოთვლით გარემოში, ჩართეთ -configdrive true პარამეტრი nova boot-ში ან openstack server create ბრძანება.
შენიშვნა: შესაძლებელია კონფიგურაციის დისკის ავტომატურად ჩართვა ყველა ინსტანციაზე OpenStack Compute სერვისის კონფიგურაციით, რათა ყოველთვის შექმნას კონფიგურაციის დისკი. ამისათვის მიუთითეთ force_config_drive=True ვარიანტი nova.conf-ში file.
მაგample, მომხმარებლის მონაცემების ატრიბუტის გამოსაყენებლად Junos OS-ის კონფიგურაციის გადასაცემად თითოეულ vSRX ვირტუალური Firewall ინსტანციაზე: nova boot -config-drive true -flavor vSRX_flavor_instance -image vSRX_image -user-data სად: -მომხმარებლის მონაცემები განსაზღვრავს Junos OS-ის კონფიგურაციის მდებარეობას file. მომხმარებლის მონაცემების კონფიგურაცია file ზომა შემოიფარგლება დაახლოებით 64 მბ-ით. -image vSRX_image განსაზღვრავს უნიკალური vSRX ვირტუალური Firewall სურათის სახელს. -flavor vSRX_flavor_instance განსაზღვრავს vSRX ვირტუალური Firewall-ის არომატს (ID ან სახელი).
მაგample, რათა მიუთითოთ კონფიგურაციის დისკი მრავალჯერადი files (Junos OS კონფიგურაცია file და ლიცენზია file): nova boot -config-drive true -flavor vSRX_flavor_instance -image vSRX_image [-file /config/junos-config/ configuration.txt=/path/to/file] [-file /junos-license/license.lic=path/to/license] სად: [-file /config/junos-config/configuration.txt=/path/to/file] განსაზღვრავს Junos OS-ის კონფიგურაციის მდებარეობას file. [-file /config/junos-license/license.lic=path/to/license] განსაზღვრავს Junos OS-ის კონფიგურაციის მდებარეობას file. -image vSRX_image განსაზღვრავს უნიკალური vSRX ვირტუალური Firewall სურათის სახელს. -flavor vSRX_flavor_instance განსაზღვრავს vSRX ვირტუალური Firewall-ის არომატს (ID ან სახელი). 4. ჩატვირთეთ ან გადატვირთეთ vSRX ვირტუალური Firewall ინსტანცია. პირველადი ჩატვირთვის თანმიმდევრობის დროს, vSRX ვირტუალური Firewall-ის ინსტანცია ამუშავებს Cloud-init მოთხოვნას.

54
შენიშვნა: vSRX ვირტუალური Firewall-ის ინსტანციის ჩატვირთვის დრო შეიძლება გაიზარდოს ღრუბლოვანი-init პაკეტის გამოყენებით. ეს დამატებითი დრო საწყის ჩატვირთვის თანმიმდევრობაში განპირობებულია Cloud-init პაკეტის მიერ შესრულებული ოპერაციებით. ამ ოპერაციის დროს Cloud-init პაკეტი აჩერებს ჩატვირთვის თანმიმდევრობას და ახორციელებს კონფიგურაციის მონაცემების ძიებას მონაცემთა თითოეულ წყაროში, რომელიც იდენტიფიცირებულია cloud.cfg-ში. ღრუბლოვანი მონაცემების მოსაძებნად და შევსებისთვის საჭირო დრო პირდაპირპროპორციულია განსაზღვრული მონაცემთა წყაროების რაოდენობისა. მონაცემთა წყაროს არარსებობის შემთხვევაში, საძიებო პროცესი გრძელდება მანამ, სანამ არ მიაღწევს წინასწარ განსაზღვრულ ვადას 30 წამს თითოეული მონაცემთა წყაროსთვის.
5. როდესაც თავდაპირველი ჩატვირთვის თანმიმდევრობა განახლდება, მომხმარებლის მონაცემები file ცვლის ორიგინალური ქარხნულად ნაგულისხმევი Junos OS კონფიგურაციას, რომელიც ჩატვირთულია vSRX ვირტუალური Firewall-ის ინსტანციაზე. თუ ჩადენა წარმატებით დასრულდა, ქარხნული ნაგულისხმევი კონფიგურაცია სამუდამოდ შეიცვლება. თუ კონფიგურაცია არ არის მხარდაჭერილი ან ვერ გამოიყენება vSRX ვირტუალური Firewall ინსტანციისთვის, vSRX ვირტუალური Firewall ჩაიტვირთება ნაგულისხმევი Junos OS კონფიგურაციის გამოყენებით.
აგრეთვე იხილე
Cloud-Init Documentation OpenStack command-line clients გამოთვლითი სერვისი (nova) ბრძანების ხაზის კლიენტი Openstack Server შექმნა კონფიგურაციის დისკის (configdrive) ინსტანციების ჩართვა
შეასრულეთ vSRX ვირტუალური Firewall ინსტანციის ავტომატური დაყენება OpenStack Dashboard-იდან (Horizon)
Horizon არის OpenStack Dashboard-ის კანონიკური განხორციელება. ის უზრუნველყოფს ა Web-დაფუძნებული მომხმარებლის ინტერფეისი OpenStack სერვისებისთვის, მათ შორის Nova, Swift, Keystone და ა.შ. თქვენ შეგიძლიათ გაუშვათ და მართოთ vSRX ვირტუალური Firewall ინსტანცია OpenStack Dashboard-იდან, რომელიც მოიცავს დადასტურებული Junos OS კონფიგურაციის მომხმარებლის მონაცემების გამოყენებას file თქვენი ადგილობრივი დირექტორიადან სამიზნე vSRX ვირტუალური Firewall ინსტანციის აქტიური კონფიგურაციის ინიციალიზაციისთვის.
vSRX ვირტუალური Firewall ინსტანციის ავტომატური დაყენების დასაწყებად OpenStack Dashboard-იდან:
1. თუ ეს უკვე არ გაგიკეთებიათ, შექმენით კონფიგურაცია file Junos OS ბრძანების სინტაქსით და შეინახეთ file. კონფიგურაცია file შეიძლება იყოს მარტივი ტექსტი ან MIME file აკრიფეთ ტექსტი/უბრალო. მომხმარებლის მონაცემების კონფიგურაცია file უნდა შეიცავდეს vSRX Virtual Firewall-ის სრულ კონფიგურაციას, რომელიც უნდა იყოს გამოყენებული როგორც აქტიური კონფიგურაცია vSRX Virtual Firewall-ის თითოეულ ინსტანციაზე და სტრიქონი #junosconfig უნდა იყოს მომხმარებლის მონაცემების კონფიგურაციის პირველი ხაზი. file Junos OS-ის კონფიგურაციამდე.

55
შენიშვნა: #junos-config სტრიქონი სავალდებულოა მომხმარებლის მონაცემების კონფიგურაციაში file; თუ ის არ შედის, კონფიგურაცია არ იქნება გამოყენებული vSRX ვირტუალური Firewall-ის მაგალითზე, როგორც აქტიური კონფიგურაცია.
2. დააკოპირეთ Junos OS კონფიგურაცია file ხელმისაწვდომ ადგილას, საიდანაც შესაძლებელია მისი ამოღება vSRX ვირტუალური Firewall ინსტანციის გასაშვებად.
3. შედით OpenStack Dashboard-ში თქვენი შესვლის სერთიფიკატების გამოყენებით და შემდეგ აირჩიეთ შესაბამისი პროექტი ჩამოსაშლელი მენიუდან ზედა მარცხენა მხარეს.
4. პროექტის ჩანართზე დააწკაპუნეთ ჩანართზე Compute და აირჩიეთ Instances. დაფა აჩვენებს სხვადასხვა ინსტანციას მისი სურათის სახელით, მისი პირადი და მცურავი IP მისამართებით, ზომა, სტატუსი, ხელმისაწვდომობის ზონა, დავალება, დენის მდგომარეობა და ა.შ.
5. დააწკაპუნეთ Launch Instance. გაშვების ინსტანციის დიალოგური ფანჯარა გამოჩნდება. 6. დეტალების ჩანართიდან (იხილეთ სურათი 5 გვერდზე 55), შეიყვანეთ ინსტანციის სახელი vSRX Virtual-ისთვის
Firewall VM დაკავშირებულ ხელმისაწვდომობის ზონასთან ერთად (მაგample, Nova) და შემდეგ დააჭირეთ შემდეგი. ჩვენ გირჩევთ, შეინარჩუნოთ ეს სახელი იგივე, რაც vSRX ვირტუალური Firewall VM-ისთვის მინიჭებული ჰოსტის სახელი.
სურათი 5: გაშვების ინსტანციის დეტალების ჩანართი

56 7. წყაროს ჩანართიდან (იხილეთ სურათი 6 გვერდზე 56), აირჩიეთ vSRX ვირტუალური Firewall VM გამოსახულების წყარო file
ხელმისაწვდომი სიიდან და შემდეგ დააჭირეთ +(პლუს). არჩეული vSRX ვირტუალური Firewall სურათი გამოჩნდება გამოყოფილი ქვეშ. დააწკაპუნეთ შემდეგი. სურათი 6: ინსტანციის წყაროს ჩანართის გაშვება
8. არომატის ჩანართიდან (იხილეთ სურათი 7 გვერდი 57), აირჩიეთ vSRX ვირტუალური Firewall ინსტანცია კონკრეტული გამოთვლითი, მეხსიერებითა და შენახვის ტევადობით Available სიიდან და შემდეგ დააწკაპუნეთ +(პლუს ნიშანი). არჩეული vSRX ვირტუალური Firewall-ის არომატი გამოჩნდება გამოყოფილი ქვეშ. დააწკაპუნეთ შემდეგი.

57 სურათი 7: გაუშვით ინსტანციის არომატის ჩანართი
9. ქსელების ჩანართიდან (იხ. სურათი 8 გვერდი 58), აირჩიეთ vSRX ვირტუალური Firewall ინსტანციის კონკრეტული ქსელი Available სიიდან და შემდეგ დააწკაპუნეთ +(პლუს ნიშანი). არჩეული ქსელი გამოჩნდება გამოყოფილი ქვეშ. დააწკაპუნეთ შემდეგი. შენიშვნა: არ განაახლოთ არცერთი პარამეტრი ქსელის პორტების, უსაფრთხოების ჯგუფების ან გასაღების წყვილის ჩანართებში Launch Instance დიალოგურ ფანჯარაში.

58 ნახაზი 8: ინსტანციის ქსელების ჩანართის გაშვება
10. კონფიგურაციის ჩანართიდან (იხ. სურათი 9 გვერდი 59), დააწკაპუნეთ დათვალიერება და გადადით დადასტურებული Junos OS კონფიგურაციის ადგილას. file თქვენი ადგილობრივი დირექტორიადან, რომელიც გსურთ გამოიყენოთ როგორც მომხმარებლის მონაცემები file. დააჭირეთ შემდეგს.

59 სურათი 9: გაშვების ინსტანციის კონფიგურაციის ჩანართი
11. დაადასტურეთ, რომ ჩატვირთული Junos OS კონფიგურაცია შეიცავს #junos-config სტრიქონს მომხმარებლის მონაცემების კონფიგურაციის პირველ სტრიქონში. file (იხ. სურათი 10 გვერდზე 60) და შემდეგ დააწკაპუნეთ შემდეგი. შენიშვნა: არ განაახლოთ არცერთი პარამეტრი Launch Instance დიალოგური ფანჯრის მეტამონაცემების ჩანართში.

60 ნახაზი 10: გაუშვით ინსტანციის კონფიგურაციის ჩანართი ჩატვირთული Junos OS კონფიგურაციით
12. დააწკაპუნეთ Launch Instance. პირველადი ჩატვირთვის თანმიმდევრობის დროს, vSRX ვირტუალური Firewall-ის ინსტანცია ამუშავებს Cloud-init მოთხოვნას. შენიშვნა: vSRX ვირტუალური Firewall-ის ინსტანციის ჩატვირთვის დრო შეიძლება გაიზარდოს ღრუბლოვანი-init პაკეტის გამოყენებით. ეს დამატებითი დრო საწყის ჩატვირთვის თანმიმდევრობაში განპირობებულია Cloud-init პაკეტის მიერ შესრულებული ოპერაციებით. ამ ოპერაციის დროს Cloud-init პაკეტი აჩერებს ჩატვირთვის თანმიმდევრობას და ახორციელებს კონფიგურაციის მონაცემების ძიებას მონაცემთა თითოეულ წყაროში, რომელიც იდენტიფიცირებულია cloud.cfg-ში. ღრუბლოვანი მონაცემების მოსაძებნად და შევსებისთვის საჭირო დრო პირდაპირპროპორციულია განსაზღვრული მონაცემთა წყაროების რაოდენობისა. მონაცემთა წყაროს არარსებობის შემთხვევაში, საძიებო პროცესი გრძელდება მანამ, სანამ არ მიაღწევს წინასწარ განსაზღვრულ ვადას 30 წამს თითოეული მონაცემთა წყაროსთვის.
13. როდესაც თავდაპირველი ჩატვირთვის თანმიმდევრობა განახლდება, მომხმარებლის მონაცემები file ცვლის ორიგინალური ქარხნულად ნაგულისხმევი Junos OS კონფიგურაციას, რომელიც ჩატვირთულია vSRX ვირტუალური Firewall-ის ინსტანციაზე. თუ ჩადენა წარმატებით დასრულდა, ქარხნული ნაგულისხმევი კონფიგურაცია სამუდამოდ შეიცვლება. თუ კონფიგურაცია არ არის მხარდაჭერილი ან ვერ გამოიყენება vSRX ვირტუალური Firewall ინსტანციისთვის, vSRX ვირტუალური Firewall ჩაიტვირთება ნაგულისხმევი Junos OS კონფიგურაციის გამოყენებით.

61

აგრეთვე იხილე

Cloud-Init Documentation OpenStack Dashboard გაშვება და ინსტანციების მართვა Horizon: The OpenStack Dashboard Project

გამოშვების ისტორიის ცხრილი

გათავისუფლება

აღწერა

15.1X49D130

Junos OS Release 15.1X49-D130-დან და Junos OS Release 18.4R1-დან დაწყებული, vSRX Virtual Firewall-ის ღრუბლოვანი ფუნქციონალობა გაფართოვდა კონფიგურაციის დისკის მონაცემთა წყაროს გამოყენების მხარდასაჭერად OpenStack გარემოში. კონფიგურაციის დისკი იყენებს მომხმარებლის მონაცემების ატრიბუტს Junos OS-ის დადასტურებული კონფიგურაციის გადასაცემად file vSRX ვირტუალური Firewall-ის მაგალითზე.

15.1X49D100

Junos OS Release 15.1X49-D100-დან და Junos OS Release 17.4R1-დან დაწყებული, cloud-init პაკეტი (ვერსია 0.7x) წინასწარ არის დაინსტალირებული vSRX Virtual Firewall-ის სურათზე, რათა გამარტივდეს ახალი vSRX ვირტუალური Firewall-ის კონფიგურაცია ანSstan-ში. მითითებული მომხმარებლის მონაცემების მიხედვით file. Cloud-init ხორციელდება vSRX ვირტუალური Firewall ინსტანციის პირველად ჩატვირთვისას.

62
თავი 3
vSRX ვირტუალური Firewall VM მენეჯმენტი KVM-ით
ამ თავში vSRX ვირტუალური Firewall-ის კონფიგურაცია CLI-ის გამოყენებით | 62 დაკავშირება vSRX ვირტუალური Firewall მართვის კონსოლთან KVM-ზე | 64 დაამატეთ ვირტუალური ქსელი vSRX ვირტუალური Firewall VM-ში KVM-ით | 65 დაამატეთ Virtio ვირტუალური ინტერფეისი vSRX ვირტუალური Firewall VM-ში KVM-ით | 67 SR-IOV და PCI | 69 განაახლეთ Multi-core vSRX Virtual Firewall | 78 VSRX ვირტუალური Firewall VM-ის მონიტორინგი KVM-ში | 81 vSRX ვირტუალური Firewall-ის ინსტანციის მართვა KVM-ზე | 82 vSRX ვირტუალური Firewall-ის ძირეული პაროლის აღდგენა KVM გარემოში | 87
vSRX ვირტუალური Firewall-ის კონფიგურაცია CLI-ის გამოყენებით
vSRX ვირტუალური Firewall-ის ინსტანციის კონფიგურაციისთვის CLI-ის გამოყენებით: 1. დარწმუნდით, რომ vSRX ვირტუალური Firewall ჩართულია. 2. შედით, როგორც root მომხმარებელი. პაროლი არ არის. 3. გაუშვით CLI.
root#cli root@> 4. შედით კონფიგურაციის რეჟიმში.
კონფიგურაცია [რედაქტირება] root@#

63
5. დააყენეთ root ავტორიზაციის პაროლი წმინდა ტექსტის პაროლის, დაშიფრული პაროლის ან SSH საჯარო გასაღების სტრიქონის (DSA ან RSA) შეყვანით.
[რედაქტირება] root@# set system root-authentication plain-text-password ახალი პაროლი: პაროლი ხელახლა აკრიფეთ ახალი პაროლი: პაროლი 6. დააკონფიგურირეთ ჰოსტის სახელი.
[რედაქტირება] root@# set system host-name host-name 7. მართვის ინტერფეისის კონფიგურაცია.
[რედაქტირება] root@# კომპლექტი ინტერფეისები fxp0 unit 0 family inet dhcp-client 8. ტრაფიკის ინტერფეისების კონფიგურაცია.
[რედაქტირება] root@# კომპლექტი ინტერფეისები ge-0/0/0 ერთეული 0 ოჯახი inet dhcp-client 9. ძირითადი უსაფრთხოების ზონების კონფიგურაცია და მათი მიბმა ტრაფიკის ინტერფეისებთან.
[რედაქტირება] root@# დააყენეთ უსაფრთხოების ზონები უსაფრთხოების ზონის ნდობის ინტერფეისები ge-0/0/0.0 10. გადაამოწმეთ კონფიგურაცია.
[რედაქტირება] root@# commit check-ის კონფიგურაციის შემოწმება წარმატებით დასრულდა

64
11. ჩაატარეთ კონფიგურაცია, რომ გაააქტიუროთ ის vSRX ვირტუალური Firewall ინსტანციაზე.
[რედაქტირება] root@# commit commit დასრულებული 12. სურვილისამებრ, გამოიყენეთ show ბრძანება კონფიგურაციის საჩვენებლად, რათა გადაამოწმოთ მისი სისწორე.
შენიშვნა: Junos OS პროგრამული უზრუნველყოფის ზოგიერთი ფუნქცია საჭიროებს ლიცენზიას ფუნქციის გასააქტიურებლად. ლიცენზირებული ფუნქციის გასააქტიურებლად, თქვენ უნდა შეიძინოთ, დააინსტალიროთ, მართოთ და დაადასტუროთ ლიცენზიის გასაღები, რომელიც შეესაბამება თითოეულ ლიცენზირებულ ფუნქციას. პროგრამული უზრუნველყოფის ფუნქციების ლიცენზირების მოთხოვნებთან შესაბამისობისთვის, თქვენ უნდა შეიძინოთ ერთი ლიცენზია თითო ფუნქციაზე თითო მაგალითზე. თქვენს ვირტუალურ ინსტანციაზე შესაბამისი პროგრამული უზრუნველყოფის განბლოკვის გასაღების არსებობა საშუალებას გაძლევთ დააკონფიგურიროთ და გამოიყენოთ ლიცენზირებული ფუნქცია. იხილეთ vSRX ლიცენზიების მართვა დეტალებისთვის.
შესაბამისი დოკუმენტაცია CLI მომხმარებლის სახელმძღვანელო
დაკავშირება vSRX ვირტუალური Firewall მართვის კონსოლთან KVM-ზე
დარწმუნდით, რომ თქვენს მასპინძელ OS-ზე დაინსტალირებული გაქვთ virt-manager პაკეტი ან virsh. vSRX Virtual Firewall-ის მართვის კონსოლთან დასაკავშირებლად virt-manager-ის გამოყენებით: 1. გაუშვით virt-manager. 2. მონიშნეთ vSRX ვირტუალური Firewall VM, რომელთანაც გსურთ დაკავშირება ნაჩვენები VM-ების სიიდან. 3. დააჭირეთ გახსნას. 4. აირჩიეთ View>Text Consoles>Serial 1. გამოჩნდება vSRX ვირტუალური Firewall კონსოლი. vSRX ვირტუალური Firewall VM-თან დასაკავშირებლად virsh-ით:

65
1. გამოიყენეთ virsh კონსოლის ბრძანება Linux-ის მასპინძელ OS-ზე.
user@host# virsh კონსოლი vSRX-kvm-2
დაკავშირებულია vSRX-kvm-2 დომენთან
2. გამოჩნდება vSRX ვირტუალური Firewall კონსოლი.
დაამატეთ ვირტუალური ქსელი vSRX ვირტუალური Firewall VM-ში KVM-ით
თქვენ შეგიძლიათ გააფართოვოთ არსებული vSRX ვირტუალური Firewall VM დამატებითი ვირტუალური ქსელების გამოსაყენებლად. ვირტუალური ქსელის შესაქმნელად virt-manager-ით: 1. გაუშვით virt-manager და აირჩიეთ Edit>Connection Details. კავშირის დეტალების დიალოგური ფანჯარა გამოჩნდება. 2. აირჩიეთ ვირტუალური ქსელები. ჩნდება არსებული ვირტუალური ქსელების სია. 3. დააწკაპუნეთ + საკონტროლო ბმულისთვის ახალი ვირტუალური ქსელის შესაქმნელად. ახალი ვირტუალური ქსელის ოსტატის შექმნა
ჩნდება. 4. დააყენეთ ქვექსელი ამ ვირტუალური ქსელისთვის და დააწკაპუნეთ წინ. 5. სურვილისამებრ, აირჩიეთ Enable DHCP და დააწკაპუნეთ Forward. 6. აირჩიეთ ქსელის ტიპი სიიდან და დააწკაპუნეთ წინ. 7. გადაამოწმეთ პარამეტრები და დააწკაპუნეთ Finish ვირტუალური ქსელის შესაქმნელად. ვირტუალური ქსელის შესაქმნელად: 1. გამოიყენეთ virsh net-define ბრძანება მასპინძელ OS-ზე XML-ის შესაქმნელად. file რომელიც განსაზღვრავს ახალ ვირტუალურს
ქსელი. ჩართეთ XML ველები, რომლებიც აღწერილია ცხრილში 12, გვერდზე 66, რათა განისაზღვროს ეს ქსელი.
შენიშვნა: იხილეთ ოფიციალური virsh დოკუმენტაცია ხელმისაწვდომი ვარიანტების სრული აღწერილობისთვის, მათ შორის, როგორ დააკონფიგურიროთ IPv6 ქსელები.

66

ცხრილი 12: virsh net-define XML Fields

ველი

აღწერა

…

გამოიყენეთ ეს XML wrapper ელემენტი ვირტუალური ქსელის დასადგენად.

ქსელის სახელი

მიუთითეთ ვირტუალური ქსელის სახელი.

მიუთითეთ მასპინძელი ხიდის სახელი, რომელიც გამოიყენება ამ ვირტუალურ ქსელში.

მიუთითეთ routed ან nat. არ გამოიყენოთ ელემენტი იზოლირებული რეჟიმისთვის.

<ip address=”ip-address” netmask=”netmask”

მიუთითეთ IP მისამართი და ქვექსელის ნიღაბი, რომელსაც იყენებს ამ ვირტუალური ქსელი, DHCP მისამართების დიაპაზონთან ერთად.

შემდეგი ყოფილიampგვიჩვენებს როგორცample XML file რომელიც განსაზღვრავს ახალ ვირტუალურ ქსელს.
მგმტ
2. გამოიყენეთ virsh net-start ბრძანება მასპინძელ OS-ში ახალი ვირტუალური ქსელის დასაწყებად.
hostOS# virsh net-start mgmt
3. გამოიყენეთ virsh net-autostart ბრძანება მასპინძელ OS-ში, რათა ავტომატურად დაიწყოს ახალი ვირტუალური ქსელი მასპინძელი OS ჩატვირთვისას.
hostOS# virsh net-autostart mgmt

67

4. სურვილისამებრ, გამოიყენეთ virsh net-list all ბრძანება მასპინძელ OS-ში ახალი ვირტუალური ქსელის შესამოწმებლად.

HostOS# # virsh net-list –ყველა

სახელი

სახელმწიფო

ავტომატური დაწყება მუდმივი

———————————————————-

მგმტ

აქტიური დიახ

დიახ

ნაგულისხმევი

აქტიური დიახ

დიახ

შესაბამისი დოკუმენტაცია virt ინსტრუმენტები
დაამატეთ Virtio ვირტუალური ინტერფეისი vSRX ვირტუალური Firewall VM-ში KVM-ით
თქვენ შეგიძლიათ დაამატოთ დამატებითი ვირტუალური ვირტუალური ინტერფეისები არსებულ vSRX ვირტუალურ Firewall VM-ში KVM-ით. დამატებითი ვირტუალური ვირტუალური ინტერფეისების დასამატებლად vSRX Virtual Firewall VM-ში virt-manager-ის გამოყენებით: 1. virt-manager-ში ორჯერ დააწკაპუნეთ vSRX Virtual Firewall VM-ზე და აირჩიეთ View> დეტალები. vSRX ვირტუალური
Firewall Virtual Machine-ის დეტალების დიალოგური ფანჯარა გამოჩნდება. 2. დააჭირეთ Add Hardware. ჩნდება დიალოგური ფანჯარა დანადგარის დამატება. 3. აირჩიეთ ქსელი მარცხენა სანავიგაციო პანელიდან. 4. აირჩიეთ მასპინძელი მოწყობილობა ან ვირტუალური ქსელი, რომელზეც გსურთ ეს ახალი ვირტუალური ინტერფეისი
ქსელის წყაროების სია. 5. აირჩიეთ virtio მოწყობილობის მოდელების სიიდან და დააწკაპუნეთ Finish. 6. vSRX Virtual Firewall-ის კონსოლიდან გადატვირთეთ vSRX Virtual Firewall ინსტანცია.
vsrx# მოითხოვეთ სისტემის გადატვირთვა. vSRX ვირტუალური Firewall გადატვირთავს როგორც Junos OS-ს, ასევე vSRX Virtual Firewall-ს სტუმრის VM-ს.
შენიშვნა: DPDK ათავსებს 64 MAC მისამართების ლიმიტს Virtio NIC-ის ტიპზე. პროტოკოლის განლაგებისას, რომელიც წარმოქმნის დამატებით MAC მისამართს, მაგampგარდა VRRP, თქვენ უნდა უზრუნველყოთ, რომ არაუმეტეს 64 ქვე-ინტერფეისი კონფიგურირებულია Virtio NIC-ზე, რათა თავიდან აიცილოთ ტრაფიკის დაკარგვა.
დამატებითი ვირტუალური ვირტუალური ინტერფეისების დასამატებლად vSRX Virtual Firewall VM-ში virsh-ის გამოყენებით:

68

1. გამოიყენეთ virsh attach-interface ბრძანება მასპინძელ OS-ზე სავალდებულო ვარიანტებით, რომლებიც ჩამოთვლილია ცხრილში 13, გვერდზე 68.
შენიშვნა: იხილეთ ოფიციალური virsh დოკუმენტაცია ხელმისაწვდომი ვარიანტების სრული აღწერისთვის.

ცხრილი 13: virsh attach-interface Options ბრძანების ვარიანტის აღწერა

- დომენის სახელი

მიუთითეთ სტუმრის VM-ის სახელი.

- ტიპი

მიუთითეთ მასპინძელი OS კავშირის ტიპი, როგორც ხიდი ან ქსელი.

– წყარო ინტერფეისი მიუთითეთ ფიზიკური ან ლოგიკური ინტერფეისი მასპინძელ OS-ზე ამ vNIC-თან დასაკავშირებლად.

- სამიზნე vnic

მიუთითეთ ახალი vNIC-ის სახელი.

- მოდელი

მიუთითეთ vNIC მოდელი.

შემდეგი ყოფილიample ქმნის ახალ virtio vNIC-ს მასპინძელი OS virbr0 ხიდიდან.
user@host# virsh მიმაგრება-ინტერფეისი – დომენი vsrxVM – ხიდის ტიპი – წყარო virbr0 – სამიზნე vsrxmgmt – მოდელი virtio

ინტერფეისი წარმატებით იქნა მიმაგრებული

user@host# virsh dumpxml vsrxVM

69

2. vSRX Virtual Firewall-ის კონსოლიდან გადატვირთეთ vSRX Virtual Firewall ინსტანცია. vsrx# მოითხოვეთ სისტემის გადატვირთვა. vSRX ვირტუალური Firewall გადატვირთავს როგორც Junos OS-ს, ასევე vSRX Virtual Firewall-ს სტუმრის VM-ს.
შესაბამისი დოკუმენტაცია virt ინსტრუმენტები
SR-IOV და PCI
ამ განყოფილებაში SR-IOV დასრულდაview | 69 SR-IOV HA მხარდაჭერა Trust Mode გამორთულია (მხოლოდ KVM) | 70 SR-IOV ინტერფეისის კონფიგურაცია KVM-ზე | 74
ეს განყოფილება მოიცავს შემდეგ თემებს SR-IOV-ზე KVM-ზე განლაგებული vSRX ვირტუალური Firewall ინსტანციისთვის:
SR-IOV დასრულდაview
vSRX ვირტუალური Firewall KVM-ზე მხარს უჭერს ერთ-ძირიანი I/O ვირტუალიზაციის (SR-IOV) ინტერფეისის ტიპებს. SR-IOV არის სტანდარტი, რომელიც საშუალებას აძლევს ერთ ფიზიკურ NIC-ს წარმოაჩინოს თავი მრავალ vNIC-ად, ან ვირტუალურ ფუნქციად (VF), რომელსაც შეუძლია დაურთოს ვირტუალური მანქანა (VM). SR-IOV აერთიანებს ვირტუალიზაციის სხვა ტექნოლოგიებს, როგორიცაა Intel VT-d, VM-ის I/O მუშაობის გასაუმჯობესებლად. SR-IOV საშუალებას აძლევს თითოეულ VM-ს ჰქონდეს პირდაპირი წვდომა VM-ზე მიმაგრებული VF-ების რიგში მდგომ პაკეტებზე. თქვენ იყენებთ SR-IOV-ს, როდესაც გჭირდებათ I/O შესრულება, რომელიც უახლოვდება შიშველი ლითონის ფიზიკურ ინტერფეისებს.

70
SR-IOV ინტერფეისების გამოყენებით განლაგებისას, პაკეტები იშლება, როდესაც MAC მისამართი მინიჭებულია vSRX Virtual Firewall Junos OS ინტერფეისზე. ეს პრობლემა წარმოიქმნება იმის გამო, რომ SR-IOV არ იძლევა MAC მისამართის შეცვლას PF ან VF-ში.
შენიშვნა: SR-IOV KVM-ში არ ასახავს ინტერფეისის ნომრებს. ინტერფეისის თანმიმდევრობა vSRX ვირტუალური Firewall VM XML-ში file შეესაბამება ინტერფეისის თანმიმდევრობას, რომელიც ნაჩვენებია Junos OS CLI-ში vSRX Virtual Firewall-ის ინსტანციაზე.
SR-IOV იყენებს ორ PCI ფუნქციას: · ფიზიკური ფუნქციები (PFs)–სრული PCIe მოწყობილობები, რომლებიც მოიცავს SR-IOV შესაძლებლობებს. ფიზიკური ფუნქციებია
აღმოჩენილი, მართვა და კონფიგურაცია, როგორც ჩვეულებრივი PCI მოწყობილობები. ფიზიკური ფუნქციები აკონფიგურირებს და მართავს SR-IOV ფუნქციონირებას ვირტუალური ფუნქციების მინიჭებით. როდესაც SR-IOV გამორთულია, ჰოსტი ქმნის ერთ PF-ს ერთ ფიზიკურ NIC-ზე. · ვირტუალური ფუნქციები (VF) – მარტივი PCIe ფუნქციები, რომლებიც ამუშავებენ მხოლოდ I/O-ს. თითოეული ვირტუალური ფუნქცია მომდინარეობს ფიზიკური ფუნქციიდან. ვირტუალური ფუნქციების რაოდენობა შეიძლება ჰქონდეს მოწყობილობას შეზღუდულია მოწყობილობის აპარატურით. Ethernet-ის ერთი პორტი, ფიზიკური მოწყობილობა, შეიძლება მიუთითებდეს ბევრ ვირტუალურ ფუნქციაზე, რომელთა გაზიარებაც შესაძლებელია სტუმრებთან. როდესაც SR-IOV ჩართულია, ჰოსტი ქმნის ერთ PF-ს და მრავალ VF-ს ერთ ფიზიკურ NIC-ზე. VF-ების რაოდენობა დამოკიდებულია კონფიგურაციაზე და მძღოლის მხარდაჭერაზე.
SR-IOV HA მხარდაჭერა Trust რეჟიმი გამორთულია (მხოლოდ KVM)
ამ განყოფილებაში გაიგეთ SR-IOV HA მხარდაჭერა Trust Mode გამორთულია (მხოლოდ KVM) | 70 SR-IOV მხარდაჭერის კონფიგურაცია Trust Mode გამორთულია (მხოლოდ KVM) | 72 შეზღუდვები | 73
გაიგეთ SR-IOV HA მხარდაჭერით Trust Mode გამორთულია (მხოლოდ KVM)
ზედმეტი Ethernet ინტერფეისი (RETH) არის ვირტუალური ინტერფეისი, რომელიც შედგება თანაბარი რაოდენობის წევრი ინტერფეისებისგან SRX კლასტერის თითოეული მონაწილე კვანძიდან. ყველა ლოგიკური კონფიგურაცია, როგორიცაა IP მისამართი, QoS, ზონები და VPN, დაკავშირებულია ამ ინტერფეისთან. ფიზიკური თვისებები გამოიყენება წევრის ან ბავშვის ინტერფეისებზე. RETH ინტერფეისს აქვს ვირტუალური MAC მისამართი, რომელიც გამოითვლება კლასტერის ID-ის გამოყენებით. RETH განხორციელდა როგორც აგრეგირებული ინტერფეისი/LAG Junos OS-ში. LAG-ისთვის, მშობელი (ლოგიკური) IFD-ის MAC მისამართი კოპირებულია თითოეულ შვილობილ ინტერფეისზე. როდესაც თქვენ დააკონფიგურირებთ ბავშვის ინტერფეისს RETH ინტერფეისის ქვეშ, RETH ინტერფეისის ვირტუალური MAC გადაიწერება მიმდინარე MAC მისამართის ველზე.

71
ბავშვის ფიზიკური ინტერფეისი. ეს ასევე მოითხოვს ვირტუალური MAC მისამართის დაპროგრამებას შესაბამის NIC-ზე.
Junos OS მუშაობს როგორც VM vSRX ვირტუალურ Firewall-ზე. Junos OS-ს არ აქვს პირდაპირი წვდომა NIC-ზე და აქვს მხოლოდ ვირტუალური NIC წვდომა ჰიპერვიზორის მიერ, რომელიც შეიძლება იყოს გაზიარებული სხვა VM-ებთან, რომლებიც მუშაობენ იმავე მასპინძელ მანქანაზე. ამ ვირტუალურ წვდომას გააჩნია გარკვეული შეზღუდვები, როგორიცაა სპეციალური რეჟიმი, რომელსაც ეწოდება ნდობის რეჟიმი, რომელიც საჭიროა NIC-ზე ვირტუალური MAC მისამართის დასაპროგრამებლად. განლაგების დროს, ნდობის რეჟიმში წვდომის უზრუნველყოფა შესაძლოა შეუძლებელი იყოს უსაფრთხოების შესაძლო პრობლემების გამო. RETH მოდელის ასეთ გარემოში მუშაობის გასააქტიურებლად, MAC გადაწერის ქცევა შეცვლილია. მშობლის ვირტუალური MAC მისამართის ბავშვებისთვის კოპირების ნაცვლად, ჩვენ ხელუხლებლად ვინახავთ ბავშვების ფიზიკურ MAC მისამართს და ვაკოპირებთ კლასტერის აქტიურ კვანძს მიკუთვნებული ბავშვის ფიზიკურ MAC მისამართს reth ინტერფეისის მიმდინარე MAC-ში. ამ გზით, MAC გადაწერის წვდომა არ არის საჭირო, როდესაც ნდობის რეჟიმი გამორთულია.
vSRX ვირტუალური Firewall-ის შემთხვევაში, DPDK კითხულობს ჰიპერვიზორის მიერ მოწოდებულ ფიზიკურ MAC მისამართს და უზიარებს მას Junos OS-ის საკონტროლო სიბრტყეს. დამოუკიდებელ რეჟიმში, ეს ფიზიკური MAC მისამართი დაპროგრამებულია ფიზიკურ IFD-ებზე. მაგრამ იგივეს მხარდაჭერა მიუწვდომელია კლასტერულ რეჟიმში, რის გამოც ფიზიკური ინტერფეისის MAC მისამართი აღებულია Juniper-ის რეზერვირებული MAC აუზიდან. გარემოში, სადაც ნდობის რეჟიმი არ არის შესაძლებელი, ჰიპერვიზორს არ შეუძლია ფიზიკური MAC მისამართის მიწოდება.
ამ პრობლემის გადასაჭრელად, ჩვენ დავამატეთ მხარდაჭერა ჰიპერვიზორის მიერ მოწოდებული ფიზიკური MAC მისამართის გამოსაყენებლად, რეზერვირებული MAC ფონდიდან მისი გამოყოფის ნაცვლად. იხილეთ „SR-IOV მხარდაჭერის კონფიგურაცია Trust Mode გამორთულია (მხოლოდ KVM)“ გვერდზე 72.

72 SR-IOV მხარდაჭერის კონფიგურაცია Trust Mode გამორთულია (მხოლოდ KVM) ნახაზი 11: MAC მისამართის კოპირება აქტიური ბავშვის ინტერფეისიდან მშობელ RETH-ზე
Junos OS გამოშვებიდან 19.4R1 დაწყებული, SR-IOV HA მხარდაჭერილია ნდობის რეჟიმის გამორთვით. ამ რეჟიმის ჩართვა შეგიძლიათ use-active-child-mac-on-reth და use-actual-mac-on-physical-interfaces კონფიგურაციის განცხადებების კონფიგურაციით [შასის კლასტერის რედაქტირება] იერარქიის დონეზე. თუ თქვენ დააკონფიგურირებთ ბრძანებებს კლასტერში, ჰიპერვიზორი ანიჭებს ბავშვის ფიზიკურ ინტერფეისის MAC მისამართს და მშობლის RETH ინტერფეისის MAC მისამართი გადაიწერება აქტიური ბავშვის ფიზიკური ინტერფეისის MAC მისამართით.
შენიშვნა: შეგიძლიათ SR-IOV-ის კონფიგურაცია გამორთოთ ნდობის რეჟიმით, მხოლოდ იმ შემთხვევაში, თუ შემოსავლის ინტერფეისები არის SRIOV. ქსოვილის ინტერფეისები ან ბმულები ვერ გამოიყენებენ SR-IOV-ს ნდობის რეჟიმის გამორთვით, როდესაც რეალური MAC ფიზიკური ინტერფეისები კონფიგურირებულია. SRIOV-ის გამოყენება ნდობის რეჟიმით გამორთულია მხარდაჭერილი, თუ მხოლოდ შემოსავლის ინტერფეისებია SR-IOV. თქვენ უნდა გადატვირთოთ vSRX ვირტუალური Firewall ინსტანცია, რომ ჩართოთ ეს რეჟიმი. კლასტერში ორივე კვანძი უნდა გადაიტვირთოს ბრძანებების ამოქმედებისთვის. თქვენ უნდა დააკონფიგურიროთ ბრძანებები use-active-child-mac-on-reth და use-actual-mac-on-physical-interfaces ერთად, რათა ჩართოთ ეს ფუნქცია.

73
იხილე ასევე use-active-child-mac-on-reth use-actual-mac-on-physical-interfaces
შეზღუდვები
SR-IOV HA მხარდაჭერა KVM-ზე გამორთული ნდობის რეჟიმით აქვს შემდეგი შეზღუდვები:
· SR-IOV HA მხარდაჭერა ნდობის რეჟიმის გამორთვით მხარდაჭერილია მხოლოდ KVM-ზე დაფუძნებულ სისტემებზე.
· Reth ინტერფეისს შეიძლება ჰქონდეს მაქსიმუმ ერთი პორტი, როგორც წევრი თითოეული vSRX ვირტუალური Firewall კლასტერული კვანძისთვის.
· თქვენ არ შეგიძლიათ გამოიყენოთ უსაფრთხოების nat proxy-arp ფუნქცია NAT აუზებისთვის, რადგან G-ARP არ იგზავნება failover-ზე IP მისამართებისთვის NAT აუზებში. ამის ნაცვლად, შეგიძლიათ დააყენოთ მარშრუტები NAT აუზის დიაპაზონში ზედა დინების როუტერში, რათა მიუთითოთ vSRX ვირტუალური Firewall reth ინტერფეისის IP მისამართი, როგორც შემდეგი ჰოპ. ან, თუ პირდაპირ დაკავშირებულ ჰოსტებს სჭირდებათ წვდომა NAT აუზის მისამართებზე, ეს NAT აუზის მისამართები შეიძლება კონფიგურირებული იყოს პროქსი ARP-ისთვის reth ინტერფეისის ქვეშ.
· თუ reth ინტერფეისი კონფიგურირებულია მრავალი VLAN-ით, შესაძლოა გარკვეული დრო დასჭირდეს ყველა G-ARP-ის გაგზავნას ფაილვერზე. ამან შეიძლება გამოიწვიოს მოძრაობის შესამჩნევი შეფერხება.
· მონაცემთა სიბრტყის წარუმატებლობა გამოიწვევს reth ინტერფეისის MAC მისამართის შეცვლას. ამიტომ, ფაილვერი არ არის გამჭვირვალე პირდაპირ დაკავშირებული მეზობელი ფენის 3 მოწყობილობებისთვის (როუტერები ან სერვერები). vSRX ვირტუალური Firewall reth IP მისამართი უნდა იყოს შედგენილი ახალ MAC მისამართთან ARP ცხრილში მეზობელ მოწყობილობებზე. vSRX ვირტუალური Firewall გამოგიგზავნით G-ARP-ს, რომელიც დაეხმარება ამ მოწყობილობებს. იმ შემთხვევაში, თუ ეს მეზობელი მოწყობილობები არ მოქმედებენ vSRX ვირტუალური Firewall-დან მიღებულ G-ARP-ზე ან არ აჩვენებს ნელ პასუხს, ტრაფიკი შეიძლება შეწყდეს მანამ, სანამ მოწყობილობა სწორად არ განაახლებს თავის ARP ცხრილს.
· შემდეგი vSRX ვირტუალური Firewall ფუნქციები არ არის მხარდაჭერილი განლაგებებში, რომლებიც იყენებენ SR-IOV ინტერფეისებს:
ეს შეზღუდვები ვრცელდება იმ განლაგებებზე, სადაც PF დრაივერების განახლება ან კონტროლი შეუძლებელია. შეზღუდვები არ ვრცელდება, როდესაც vSRX ვირტუალური Firewall განლაგებულია Juniper Networks-ის მხარდაჭერილ მოწყობილობებზე.
· მაღალი ხელმისაწვდომობა (HA)
· IRB ინტერფეისები
· IPv6 მისამართი
· ჯუმბო ჩარჩოები
· ფენის 2 მხარდაჭერა

74
· Multicast სხვა ფუნქციებით, როგორიცაა OSPF და IPv6
· პაკეტის რეჟიმი
SR-IOV ინტერფეისის კონფიგურაცია KVM-ზე
თუ თქვენ გაქვთ ფიზიკური NIC, რომელიც მხარს უჭერს SR-IOV-ს, შეგიძლიათ დაურთოთ SR-IOV ჩართული vNIC-ები ან ვირტუალური ფუნქციები (VF) vSRX ვირტუალური Firewall ინსტანციაზე მუშაობის გასაუმჯობესებლად. ჩვენ გირჩევთ, რომ თუ იყენებთ SR-IOV, ყველა შემოსავლის პორტი კონფიგურირებული იყოს როგორც SR-IOV.
გაითვალისწინეთ შემდეგი SR-IOV მხარდაჭერის შესახებ vSRX ვირტუალური Firewall-ისთვის KVM-ზე:
· Junos OS Release 15.1X49-D90-დან და Junos OS Release 17.3R1-დან დაწყებული, KVM-ზე განლაგებული vSRX ვირტუალური Firewall-ის ინსტანცია მხარს უჭერს SR-IOV-ს Intel X710/XL710 NIC-ზე Intel 82599/X520-ის გარდა.
· Junos OS გამოშვებიდან 18.1R1 დაწყებული, KVM-ზე განლაგებული vSRX ვირტუალური Firewall-ის მაგალითი მხარს უჭერს SR-IOV-ს Mellanox ConnectX-3 და ConnectX-4 საოჯახო ადაპტერებზე.
შენიშვნა: იხილეთ vSRX ვირტუალური Firewall-ის შესრულების მასშტაბის დისკუსია Under Understand vSRX with KVM, vSRX ვირტუალური Firewall-ის მუშაობის გაზრდისას KVM-ზე განლაგებისას, vNIC-ზე დაფუძნებული და vCPU-ების და vRAM-ების რაოდენობაზე, რომლებიც გამოიყენება vSRX ვირტუალური Firewall VM-ზე.
სანამ შეძლებთ SR-IOV ჩართული VF-ის მიმაგრებას vSRX ვირტუალური Firewall-ის ინსტანციაზე, თქვენ უნდა შეასრულოთ შემდეგი ამოცანები:
· ჩადეთ SR-IOV-ის მქონე ფიზიკური ქსელის ადაპტერი ჰოსტ სერვერში.
· ჩართეთ Intel VT-d CPU ვირტუალიზაციის გაფართოებები BIOS-ში თქვენს მასპინძელ სერვერზე. Intel VT-d გაფართოებები უზრუნველყოფს ტექნიკის მხარდაჭერას სტუმრისთვის ფიზიკური მოწყობილობების პირდაპირ მინიჭებისთვის. გადაამოწმეთ პროცესი გამყიდველთან, რადგან სხვადასხვა სისტემას აქვს სხვადასხვა მეთოდი VT-d-ის გასააქტიურებლად.
· დარწმუნდით, რომ SR-IOV ჩართულია სისტემის/სერვერის BIOS-ის დონეზე, გადადით BIOS პარამეტრებში მასპინძელი სერვერის ჩატვირთვის თანმიმდევრობის დროს, რათა დაადასტუროთ SR-IOV პარამეტრი. სერვერის სხვადასხვა მწარმოებელს აქვს BIOS პარამეტრის დასახელების განსხვავებული კონვენცია, რომელიც გამოიყენება BIOS-ის დონეზე SR-IOV-ის გასააქტიურებლად. მაგampასევე, Dell სერვერისთვის დარწმუნდით, რომ SR-IOV გლობალური ჩართვა პარამეტრი დაყენებულია ჩართული.
შენიშვნა: ჩვენ გირჩევთ გამოიყენოთ virt-manager SR-IOV ინტერფეისების კონფიგურაციისთვის. იხილეთ virsh attach-device ბრძანების დოკუმენტაცია, თუ გსურთ გაიგოთ, როგორ დაამატოთ PCI მასპინძელი მოწყობილობა VM-ში virsh CLI ბრძანებებით. ასევე, თქვენ უნდა დააკონფიგურიროთ ინტერფეისები 1G, 10G, 40G და 100G თანმიმდევრობით. თუ ეს ბრძანება არ არის დაცული, მაშინ საჭიროა ქსელის გადამყვანების გადატვირთვა.

75
იმისათვის, რომ დაამატოთ SR-IOV VF vSRX Virtual Firewall VM-ში, Virt-manager გრაფიკული ინტერფეისის გამოყენებით: 1. Junos OS CLI-ში, გამორთეთ vSRX Virtual Firewall VM, თუ ის მუშაობს.
vsrx> მოითხოვეთ სისტემის გამორთვა
2. virt-manager-ში ორჯერ დააწკაპუნეთ vSRX Virtual Firewall VM-ზე და აირჩიეთ View> დეტალები. vSRX Virtual Firewall Virtual Machine-ის დეტალების დიალოგური ფანჯარა გამოჩნდება.
3. აირჩიეთ Hardware ჩანართი, შემდეგ დააჭირეთ Add Hardware. ჩნდება დიალოგური ფანჯარა დანადგარის დამატება. 4. აირჩიეთ PCI Host Device მარცხნივ არსებული აპარატურის სიიდან. 5. აირჩიეთ SR-IOV VF ამ ახალი ვირტუალური ინტერფეისისთვის მასპინძელი მოწყობილობების სიიდან. 6. დააწკაპუნეთ Finish-ზე ახალი მოწყობილობის დასამატებლად. დაყენება დასრულებულია და vSRX ვირტუალური Firewall VM-ს ახლა აქვს
პირდაპირი წვდომა მოწყობილობაზე. 7. virt-manager-ის ხატულას ზოლიდან ფანჯრის ზედა მარცხენა მხარეს დააწკაპუნეთ ჩართვაზე ისარს. The
vSRX ვირტუალური Firewall VM იწყება. როდესაც vSRX ვირტუალური Firewall ჩაირთვება, ფანჯარაში გამოჩნდება Running სტატუსი. თქვენ შეგიძლიათ დაუკავშირდეთ მართვის კონსოლს ჩატვირთვის თანმიმდევრობის საყურებლად.
შენიშვნა: ჩატვირთვის დაწყების შემდეგ, თქვენ უნდა აირჩიოთ View>Text Consoles>Serial 1 in virt-manager-ში vSRX Virtual Firewall-ის კონსოლთან დასაკავშირებლად.
იმისათვის, რომ დაამატოთ SR-IOV VF vSRX ვირტუალური Firewall VM-ში virsh CLI ბრძანებების გამოყენებით: 1. განსაზღვრეთ ოთხი ვირტუალური ფუნქცია eno2 ინტერფეისისთვის, განაახლეთ sriov_numvfs file 4 ნომრით.
root@LabHost:~# echo 4 > /sys/class/net/eno2/device/sriov_numvfs root@LabHost:~# მეტი /sys/class/net/eno2/device/sriov_numvfs
2. მოწყობილობის იდენტიფიცირება. იდენტიფიცირება PCI მოწყობილობა, რომელიც განკუთვნილია მოწყობილობის მინიჭებისთვის ვირტუალურ მანქანაზე. გამოიყენეთ lspci ბრძანება ხელმისაწვდომი PCI მოწყობილობების სიაში. თქვენ შეგიძლიათ დახვეწოთ lspci-ს გამომავალი grep.

76
გამოიყენეთ ბრძანება lspci VF ნომრის შესამოწმებლად VF ID-ის მიხედვით.
root@ kvmsrv:~# lspci | grep ეთერი
…… 83:00.0 Ethernet კონტროლერი: Intel Corporation Ethernet Controller XL710 for 40GbE QSFP+ (rev 02) – Physical Function 83:00.1 Ethernet Controller: Intel Corporation Ethernet Controller XL710 for 40GbE QSFPn02+rev. Intel Corporation Ethernet Virtual Function 83 Series (rev 02.0) 700:02 Ethernet Controller: Intel Corporation Ethernet Virtual Function 83 Series (rev 02.1) 700:02 Ethernet კონტროლერი: Intel Corporation Ethernet Virtual Function 83 Series. : Intel Corporation Ethernet Virtual Function 02.2 Series (rev 700) 02:83 Ethernet კონტროლერი: Intel Corporation Ethernet Virtual Function 02.3 Series (rev 700) 02:83 Ethernet კონტროლერი: Intel Corporation Ethernet Virtual Series .02.4:700 კონტროლერი: Intel Corporation Ethernet Virtual Function 02 Series (rev 83) 02.5:700 Ethernet Controller: Intel Corporation Ethernet Virtual Function 02 Series (rev 83) 02.6:700a.02 Ethernet კონტროლერი: Intel Corporation Ethernet Virtual Function 83 (rev 02.7) :700a.02 Ethernet კონტროლერი: Intel Corporation Ethernet Virtual Function 83 Series (rev 0) 0:700a.02 Ethernet კონტროლერი: Intel Corporation Ethernet Virtual Function 83 Series (rev 0) 1:700a.02 Ethernet კონტროლერი: Intel Corporation Function Ether 83 Series (rev 0) 2:700a.02 Ethernet კონტროლერი: Intel Corporation Ethernet Virtual Function 83 Series (rev 0) 3:700a.02 Ethernet controller: Intel Corporation Ethernet Virtual Function 83 Series (rev 0) 4 Ethernet. კონტროლერი: Intel Corporation Ethernet Virtual Function 700 Series (rev 02) 83:0a.5 Ethernet კონტროლერი: Intel Corporation Ethernet Virtual Function 700 Series (rev 02) ………
3. დაამატეთ SR-IOV მოწყობილობის დავალება vSRX Virtual Firewall XML pro-დანfile KVM-ზე და რეview მოწყობილობის ინფორმაცია.
დრაივერს შეუძლია გამოიყენოს vfio ან kvm, ეს დამოკიდებულია KVM სერვერის OS/კერნელის ვერსიაზე და დრაივერებზე ვირტუალიზაციის მხარდაჭერისთვის. მისამართის ტიპი მიუთითებს უნიკალურ PCI სლოტის ნომერზე თითოეული SR-IOV VF (ვირტუალური ფუნქციისთვის).
ინფორმაცია დომენის, ავტობუსის და ფუნქციის შესახებ ხელმისაწვდომია virsh nodedev-dumpxml ბრძანების გამოსვლიდან.

77

4. დაამატეთ PCI მოწყობილობა რედაქტირების პარამეტრებში და აირჩიეთ VF VF ნომრის მიხედვით.

შენიშვნა: ეს ოპერაცია უნდა გაკეთდეს, როდესაც VM გამორთულია. ასევე, ნუ კლონირებთ VM-ებს PCI მოწყობილობებით, რამაც შეიძლება გამოიწვიოს VF ან MAC კონფლიქტი.

5. გაუშვით VM ვირტუალური მანქანის ბრძანების # virsh start name-ის გამოყენებით.

გამოშვების ისტორიის ცხრილი

გათავისუფლება

აღწერა

18.1R1

Junos OS გამოშვებიდან 18.1R1 დაწყებული, KVM-ზე განლაგებული vSRX ვირტუალური Firewall-ის მაგალითი მხარს უჭერს SR-IOV-ს Mellanox ConnectX-3 და ConnectX-4 საოჯახო ადაპტერებზე.

15.1X49-D90

Junos OS Release 15.1X49-D90-დან და Junos OS Release 17.3R1-დან დაწყებული, KVM-ზე განლაგებული vSRX ვირტუალური Firewall-ის მაგალითი მხარს უჭერს SR-IOV-ს Intel X710/XL710 NIC-ზე Intel 82599/520 X540-ის გარდა.

დაკავშირებული დოკუმენტაცია
მოთხოვნები vSRX ვირტუალური Firewall-ისთვის KVM-ზე | 7 Intel SR-IOV განმარტება PCI-SIG SR-IOV Primer SR-IOV Intel – SR-IOV კონფიგურაციის სახელმძღვანელო Red Hat – SRIOV – PCI Devices

78
განაახლეთ Multi-core vSRX ვირტუალური Firewall
ამ განყოფილებაში დააკონფიგურირეთ რიგის მნიშვნელობა vSRX ვირტუალური Firewall VM-ისთვის KVM-ით | 78 vSRX ვირტუალური Firewall-ის ინსტანციის გამორთვა virt-manager-ით | 79 განაახლეთ vSRX ვირტუალური Firewall virt-manager-ით | 79
Junos OS Release 15.1X49-D70-დან და Junos OS Release 17.3R1-დან დაწყებული, შეგიძლიათ გამოიყენოთ virt-manager vSRX ვირტუალური Firewall-ის ინსტანციის მუშაობისა და სიმძლავრის გასაზომად vCPU-ების რაოდენობის ან vSRXrt-ზე გამოყოფილი vRAM-ის რაოდენობის გაზრდით. Firewall. იხილეთ მოთხოვნები vSRX-ისთვის KVM-ზე პროგრამული უზრუნველყოფის მოთხოვნების სპეციფიკაციებისთვის vSRX ვირტუალური Firewall VM-ისთვის. იხილეთ თქვენი მასპინძელი OS დოკუმენტაცია სრული დეტალებისთვის virt-manager პაკეტის შესახებ
შენიშვნა: თქვენ არ შეგიძლიათ შეამციროთ vCPU-ების რაოდენობა ან შეამციროთ vRAM-ის რაოდენობა არსებული vSRX ვირტუალური Firewall VM-ისთვის.
vSRX ვირტუალური Firewall VM-ის რიგის მნიშვნელობის კონფიგურაცია KVM-ით
სანამ გეგმავთ vSRX ვირტუალური Firewall-ის მუშაობის გაფართოებას, შეცვალეთ vSRX Virtual Firewall VM XML file ქსელის მრავალ რიგის კონფიგურაცია, როგორც vSRX ვირტუალური Firewall VM-ისთვის მონაცემთა პლანის vCPU-ების გაზრდილი რაოდენობის მხარდაჭერის საშუალება. ეს პარამეტრი განაახლებს libvirt-ის დრაივერს, რათა ჩართოს მრავალ რიგში ვირტიო-ნეტი, რათა ქსელის მუშაობის მასშტაბირება მოხდეს მონაცემთა პლანის vCPU-ების რაოდენობის გაზრდით. Multiqueue virtio არის მიდგომა, რომელიც საშუალებას აძლევს პაკეტების გაგზავნისა და მიღების დამუშავების მასშტაბირებას მოახდინოს სტუმრის ხელმისაწვდომი ვირტუალური პროცესორების (vCPUs) რაოდენობაზე, მრავალი რიგის გამოყენებით. თუმცა, მრავალ რიგში ვირტიო-ნეტის კონფიგურაცია შეიძლება შესრულდეს მხოლოდ XML-ში file. OpenStack არ უჭერს მხარს მრავალ რიგში. რიგის გასაახლებლად, ზე ხაზი vSRX ვირტუალური Firewall VM XML-ში file, შეადარეთ რიგების რაოდენობა მონაცემთა პლანის vCPU-ების რაოდენობას, რომელთა კონფიგურაციასაც გეგმავთ vSRX ვირტუალური Firewall VM-ისთვის. ნაგულისხმევი არის 4 მონაცემთა პლანის vCPU, მაგრამ შეგიძლიათ ეს რიცხვი გააფართოვოთ 4, 8 ან 16 vCPU-მდე.

79
შემდეგი XML file example აკონფიგურირებს 8 რიგს vSRX ვირტუალური Firewall VM-ისთვის 8 მონაცემთა პლანის vCPU-ით:



გამორთეთ vSRX ვირტუალური Firewall ინსტანცია virt-manager-ით
სიტუაციებში, როდესაც გსურთ vSRX ვირტუალური Firewall VM XML-ის რედაქტირება და შეცვლა file, თქვენ უნდა მთლიანად გამორთოთ vSRX ვირტუალური Firewall და მასთან დაკავშირებული VM. Virt-manager-ით vSRX ვირტუალური Firewall-ის ინსტანციის მოხდენილად გამორთვა: 1. გაუშვით virt-manager. 2. შეამოწმეთ vSRX ვირტუალური Firewall-ის ინსტანცია, რომლის გამორთვაც გსურთ. 3. აირჩიეთ გახსნა კონსოლის ფანჯრის გასახსნელად vSRX Virtual Firewall-ის მაგალითზე. 4. vSRX Virtual Firewall-ის კონსოლიდან გადატვირთეთ vSRX Virtual Firewall ინსტანცია.
vsrx# მოითხოვეთ სისტემის გამორთვა. 5. virt-manager-დან აირჩიეთ Shut Down VM-ის სრულად გამორთვისთვის, რათა XML-ის რედაქტირება შეძლოთ. file.
შენიშვნა: არ გამოიყენოთ Force Reset ან Force Off ნებისმიერ აქტიურ VM-ზე, როგორც ეს შეიძლება შექმნას file კორუფციები.
განაახლეთ vSRX ვირტუალური Firewall-ი virt-manager-ით
თქვენ უნდა გამორთოთ vSRX ვირტუალური Firewall VM, სანამ შეძლებთ vCPU ან vRAM მნიშვნელობების განახლებას VM-ისთვის. შეგიძლიათ განაახლოთ და გაუშვათ vSRX ვირტუალური Firewall KVM virt-manager GUI პაკეტით. vSRX ვირტუალური Firewall-ის VM-ის მასშტაბის გასადიდებლად virt-manager-ით უფრო მეტ vCPU-მდე ან vRAM-ის გაზრდილ რაოდენობამდე: 1. თქვენს მასპინძელ OS-ზე აკრიფეთ virt-manager. გამოჩნდება ვირტუალური მანქანის მენეჯერი. იხილეთ სურათი 12 გვერდზე
80.

80 შენიშვნა: თქვენ უნდა გქონდეთ ადმინისტრატორის უფლებები მასპინძელ OS-ზე, რომ გამოიყენოთ virt-manager. სურათი 12: ვირტ-მენეჯერი

2. აირჩიეთ გახსნა ჩართული vSRX Virtual Firewall VM-ის გასახსნელად და აირჩიეთ Edit Hardware Details ვირტუალური მანქანის დეტალების ფანჯრის გასახსნელად.
3. აირჩიეთ პროცესორი და დააყენეთ vCPU-ების რაოდენობა. დააწკაპუნეთ Apply. 4. აირჩიეთ მეხსიერება და დააყენეთ vRAM სასურველ ზომაზე. დააწკაპუნეთ Apply. 5. დააწკაპუნეთ ჩართვაზე. VM მენეჯერი იწყებს vSRX ვირტუალური Firewall VM-ს ახალი vCPU-ით და
vRAM პარამეტრები.

შენიშვნა: vSRX ვირტუალური Firewall მცირდება უახლოეს მხარდაჭერილ მნიშვნელობამდე, თუ vCPU ან vRAM პარამეტრები არ ემთხვევა იმას, რაც ამჟამად ხელმისაწვდომია.

გამოშვების ისტორიის ცხრილი

გათავისუფლება

აღწერა

15.1X49-D70

Junos OS Release 15.1X49-D70-დან და Junos OS Release 17.3R1-დან დაწყებული, შეგიძლიათ გამოიყენოთ virt-manager vSRX ვირტუალური Firewall-ის ინსტანციის მუშაობისა და სიმძლავრის გასაზომად vCPU-ების რაოდენობის ან vSRXrt-ზე გამოყოფილი vRAM-ის რაოდენობის გაზრდით. Firewall

შესაბამისი დოკუმენტაცია გაიგე vSRX ვირტუალური Firewall-ით KVM | 2

81
მოთხოვნები vSRX ვირტუალური Firewall-ისთვის KVM-ზე | 7 ვირტუალური მანქანის დაყენება virt-install-ის გამოყენებით

VSRX ვირტუალური Firewall VM-ის მონიტორინგი KVM-ში

თქვენ შეგიძლიათ აკონტროლოთ vSRX ვირტუალური Firewall VM-ის საერთო მდგომარეობა virt-manager-ით ან virsh-ით. vSRX ვირტუალური Firewall VM-ის მონიტორინგისთვის virt-მენეჯერით:
1. virt-manager GUI-დან აირჩიეთ vSRX Virtual Firewall VM, რომლის მონიტორინგიც გსურთ. 2. აირჩიეთ View> დახატეთ გრაფიკი და შეარჩიეთ სტატისტიკა, რომლის მონიტორინგიც გსურთ. ოფციები მოიცავს პროცესორს, მეხსიერებას, დისკს
I/O და ქსელის ინტერფეისის სტატისტიკა. ფანჯარა განახლდება თქვენ მიერ არჩეული სტატისტიკის მინიატურების გრაფიკებით. 3. სურვილისამებრ, ორჯერ დააწკაპუნეთ მინიატურულ გრაფიკზე, რათა გააფართოვოთ view.
vSRX ვირტუალური Firewall VM-ის virsh-ით მონიტორინგისთვის გამოიყენეთ ბრძანებები, რომლებიც ჩამოთვლილია ცხრილში 14, გვერდზე 81. ცხრილი 14: virsh Monitor ბრძანებები

ბრძანება

აღწერა

virsh cpu-stats vm-name

ჩამოთვლის CPU სტატისტიკას VM-ისთვის.

virsh domifstat vm-name interface-name

აჩვენებს vNIC სტატისტიკას VM-ისთვის.

virsh dommemstat vm-name

აჩვენებს VM მეხსიერების სტატისტიკას.

virsh vcpuinfo vm-სახელი

აჩვენებს vCPU დეტალებს VM-ისთვის.

ვირშ ნოდეკპუსტატები

აჩვენებს CPU სტატისტიკას მასპინძელი OS-ისთვის.

შესაბამისი დოკუმენტაცია virt ინსტრუმენტები

82
მართეთ vSRX ვირტუალური Firewall ინსტანცია KVM-ზე
ამ განყოფილებაში ჩართეთ vSRX ვირტუალური Firewall ინსტანცია virt-manager-ით | 82 ჩართეთ vSRX ვირტუალური Firewall-ის მაგალითი virsh | 82 შეაჩერე vSRX ვირტუალური Firewall ინსტანცია virt-manager | 83 შეაჩერეთ vSRX ვირტუალური Firewall-ის მაგალითი virsh |-ით 83 vSRX ვირტუალური Firewall ინსტანციის გადატვირთვა virt-manager-ით | 83 გადატვირთეთ vSRX ვირტუალური Firewall ინსტანცია virsh | 83 გამორთეთ vSRX ვირტუალური Firewall-ის მაგალითი virt-manager | 84 გამორთეთ vSRX ვირტუალური Firewall-ის მაგალითი virsh | 84 vSRX ვირტუალური Firewall-ის ინსტანციის გამორთვა virt-manager-ით | 85 გამორთეთ vSRX ვირტუალური Firewall ინსტანცია virsh | 85 ამოიღეთ vSRX ვირტუალური Firewall ინსტანცია virsh | 86
თითოეული vSRX ვირტუალური Firewall-ის ინსტანცია არის დამოუკიდებელი VM, რომელიც შეგიძლიათ ჩართოთ, შეაჩეროთ ან გამორთოთ. თქვენ შეგიძლიათ მართოთ vSRX ვირტუალური Firewall VM მრავალი ხელსაწყოთი, მათ შორის virt-manager და virsh.
ჩართეთ vSRX ვირტუალური Firewall-ის მაგალითი virt-manager-ით
ჩართეთ vSRX ვირტუალური Firewall-ის მაგალითი virt-manager-ით: 1. გაუშვით virt-manager. 2. შეამოწმეთ vSRX ვირტუალური Firewall-ის ინსტანცია, რომლის ჩართვაც გსურთ. 3. ხატულას ზოლიდან აირჩიეთ ჩართვის ისარი. vSRX ვირტუალური Firewall VM იწყება. შეგიძლიათ დაკავშირება
მართვის კონსოლში ჩატვირთვის თანმიმდევრობის საყურებლად.
შენიშვნა: ჩატვირთვის დაწყების შემდეგ, თქვენ უნდა აირჩიოთ View>Text Consoles>Serial 1 in virt-manager-ში vSRX Virtual Firewall-ის კონსოლთან დასაკავშირებლად.
ჩართეთ vSRX ვირტუალური Firewall-ის მაგალითი virsh-ით
ჩართეთ vSRX ვირტუალური Firewall-ის მაგალითი virsh-ით:

83
გამოიყენეთ virsh start ბრძანება მასპინძელ OS-ზე vSRX ვირტუალური Firewall VM-ის დასაწყებად.
user@host# virsh start vSRX-kvm-2
დომენი vSRX-kvm-2 დაიწყო
შეაჩერეთ vSRX ვირტუალური Firewall-ის მაგალითი virt-manager-ით
vSRX ვირტუალური Firewall-ის მაგალითის დასაპაუზებლად virt-manager-ით: 1. გაუშვით virt-manager. 2. შეამოწმეთ vSRX Virtual Firewall-ის მაგალითი, რომლის დაპაუზება გსურთ. 3. ხატულას ზოლიდან აირჩიეთ ჩართვის პაუზის ხატულა. vSRX ვირტუალური Firewall VM ჩერდება.
შეაჩერეთ vSRX ვირტუალური Firewall ინსტანცია virsh-ით
vSRX ვირტუალური Firewall-ის მაგალითის virsh-თან შესაჩერებლად: გამოიყენეთ virsh suspend ბრძანება მასპინძელ OS-ზე, რათა დააპაუზოთ vSRX ვირტუალური Firewall VM.
user@host# virsh შეაჩერე vSRX-kvm-2
დომენი vSRX-kvm-2 შეჩერებულია
vSRX ვირტუალური Firewall-ის ინსტანციის გადატვირთვა virt-manager-ით
vSRX ვირტუალური Firewall-ის ინსტანციის გადატვირთვა virt-manager-ით: 1. გაუშვით virt-manager. 2. შეამოწმეთ vSRX ვირტუალური Firewall-ის ინსტანცია, რომლის გადატვირთვაც გსურთ. 3. აირჩიეთ გახსნა კონსოლის ფანჯრის გასახსნელად vSRX Virtual Firewall-ის მაგალითზე. 4. vSRX Virtual Firewall-ის კონსოლიდან გადატვირთეთ vSRX Virtual Firewall ინსტანცია.
vsrx# მოითხოვეთ სისტემის გადატვირთვა. vSRX ვირტუალური Firewall გადატვირთავს როგორც Junos OS-ს, ასევე vSRX Virtual Firewall-ს სტუმრის VM-ს.
გადატვირთეთ vSRX ვირტუალური Firewall ინსტანცია virsh-ით
vSRX ვირტუალური Firewall VM-ის გადატვირთვა virsh-ით:

84
1. გამოიყენეთ virsh კონსოლის ბრძანება მასპინძელ OS-ზე, რათა დაუკავშირდეთ vSRX Virtual Firewall VM-ს. 2. vSRX ვირტუალური Firewall-ის კონსოლზე გამოიყენეთ მოთხოვნის სისტემის გადატვირთვის ბრძანება Junos OS-ის გადატვირთვისთვის და
vSRX ვირტუალური Firewall VM.
user@host# virsh კონსოლი vSRX-kvm-2
დაკავშირებულია vSRX-kvm-2 დომენთან
vsrx# მოითხოვეთ სისტემის გადატვირთვა
გამორთეთ vSRX ვირტუალური Firewall-ის მაგალითი virt-manager-ით
vSRX ვირტუალური Firewall-ის მაგალითის გამორთვა virt-manager-ით: 1. გაუშვით virt-manager. 2. შეამოწმეთ vSRX ვირტუალური Firewall-ის ინსტანცია, რომლის გამორთვაც გსურთ. 3. აირჩიეთ გახსნა კონსოლის ფანჯრის გასახსნელად vSRX Virtual Firewall-ის მაგალითზე. 4. vSRX Virtual Firewall-ის კონსოლიდან გამორთეთ vSRX Virtual Firewall ინსტანცია.
vsrx> მოითხოვეთ სისტემის გამორთვა
vSRX ვირტუალური Firewall გამორთავს როგორც Junos OS-ს, ასევე სტუმრის VM-ს.
გამორთეთ vSRX ვირტუალური Firewall-ის მაგალითი virsh-ით
vSRX ვირტუალური Firewall-ის მაგალითის გამორთვა virsh-ით: 1. გამოიყენეთ virsh კონსოლის ბრძანება მასპინძელ OS-ზე, რათა დაუკავშირდეთ vSRX Virtual Firewall VM-ს.

85
2. vSRX Virtual Firewall-ის კონსოლზე გამოიყენეთ მოთხოვნის სისტემის გამორთვის ბრძანება Junos OS და vSRX Virtual Firewall VM-ის გამორთვისთვის.
user@host# virsh კონსოლი vSRX-kvm-2
დაკავშირებულია vSRX-kvm-2 დომენთან
vsrx# მოითხოვეთ სისტემის გამორთვა
გამორთეთ vSRX ვირტუალური Firewall ინსტანცია virt-manager-ით
სიტუაციებში, როდესაც გსურთ vSRX ვირტუალური Firewall VM XML-ის რედაქტირება და შეცვლა file, თქვენ უნდა მთლიანად გამორთოთ vSRX ვირტუალური Firewall და მასთან დაკავშირებული VM. Virt-manager-ით vSRX ვირტუალური Firewall-ის ინსტანციის მოხდენილად გამორთვა: 1. გაუშვით virt-manager. 2. შეამოწმეთ vSRX ვირტუალური Firewall-ის ინსტანცია, რომლის გამორთვაც გსურთ. 3. აირჩიეთ გახსნა კონსოლის ფანჯრის გასახსნელად vSRX Virtual Firewall-ის მაგალითზე. 4. vSRX Virtual Firewall-ის კონსოლიდან გადატვირთეთ vSRX Virtual Firewall ინსტანცია.
vsrx# მოითხოვეთ სისტემის გამორთვა. 5. ძალით-

დოკუმენტები / რესურსები

Juniper vSRX ვირტუალური Firewall-ის განლაგება [pdf] ინსტრუქციის სახელმძღვანელო vSRX ვირტუალური Firewall-ის განლაგება, vSRX, ვირტუალური Firewall-ის განლაგება, Firewall-ის განლაგება, განლაგება

ცნობები

• მომხმარებლის სახელმძღვანელო