Brána Brána SD-WAN Gateway běží na standardním hypervizoru (KVM nebo VMware ESXi).

Poznámka: Od verze 6.0.0 je pro vysokou propustnost datové roviny podporována karta Intel E810 NIC na bráně používající SR-IOV na KVM 22.04.

Minimální požadavky na server

Spuštění hypervizoru:

  • CPU: Pro dosažení maximálního výkonu je vyžadován Intel XEON (minimálně 10 jader pro provoz jednoho 8jádrového virtuálního počítače s bránou) s minimální taktovací frekvencí 2,0 GHz.
    • Funkce plánování sítě ESXi vmxnet3 musí mít vyhrazena 2 jádra na virtuální stroj brány (VM), bez ohledu na počet jader přiřazených k bráně.
      • Příklad: předpokládejme, že je spuštěn 24jádrový server ESXi+vmxnet3. Můžete nasadit 2 (8jádrové) brány. Tj. 2 brány vynásobené 8 jádry vyžadují 16 jader vyhrazených pro aplikaci brány, takže zbývá 8 volných jader. Podle výše uvedeného vzorce, aby systém ESXi/vmxnet3 podporoval tyto dvě brány běžící na špičkovém výkonu, vyžaduje další 4 jádra (dvě jádra pro každou ze dvou nasazených bran). To je celkem 20 jader nutných ke spuštění 2 bran v 24jádrovém systému.
        Poznámka: Při použití SR-IOV se funkce síťového plánování přesune na pNIC, aby se dosáhlo vyššího výkonu. Hypervizor však musí stále provádět další funkce plánování, jako je CPU, paměť, správa alokace NUMA. Pro použití hypervizoru je vždy třeba ponechat dvě volná jádra.
  • Procesor musí podporovat a povolovat následující instrukční sady: AES-NI, SSSE3, SSE4, RDTSC, RDSEED, RDRAND, AVX/AVX2/AVX512.
  • Server musí mít alespoň 4 GB paměti RAM kromě paměti přiřazené virtuálním počítačům PGW. Jedna brána virtuálního počítače vyžaduje 16 GB RAM nebo 32 GB RAM, pokud je aktivována autentizace na základě certifikátu.
  • Nejméně 150 GB volného místa na magnetickém nebo SSD disku, trvalý svazek disku (jedna brána virtuálního počítače vyžaduje 64 GB nebo 96 GB svazku disku, pokud je aktivována autentizace na základě certifikátu).
  • Minimální požadovaný výkon IOPS: 200 IOPS.
  • Při aktivaci rozhraní pro předávání partnerů brány je vyžadován minimálně 1 10Ge port síťového rozhraní. Preferovány jsou 2 porty (1Ge NIC je podporován, ale bude to brzdit výkon). Fyzické karty NIC podporující SR-IOV jsou čipové sady Intel 82599/82599ES a Intel X710/XL710. (Viz příručku „Aktivace SR-IOV“).
    Poznámka: SR-IOV nepodporuje bonding NIC. Pro redundantní uplinky použijte ESXi vSwitch.
  • Brána VMware SD-WAN Gateway je náročné zatížení na datové rovině, které vyžaduje vyhrazené cykly CPU pro zajištění optimálního výkonu a spolehlivosti. Splnění těchto definovaných nastavení je vyžadováno, aby se zajistilo, že virtuální počítač brány nebude nadměrně využívat základní hardware a nezpůsobí akce, které mohou destabilizovat službu brány (např. překročení hranic NUMA, nadměrné využití paměti a/nebo vCPU).
  • Ujistěte se, že se virtuální počítač brány partnera SD-WAN a prostředky používané k jeho podpoře (např. síťové rozhraní, paměť, fyzické procesory) vejdou do uzlu NUMA.
  • Poznámka: Nakonfigurujte nastavení BIOS hostitele následujícím způsobem:
    • Hyper-threading – vypnuto
    • Úspora energie – vypnuto
    • Turbo CPU – aktivováno
    • AES-NI – aktivováno
    • Prolínání uzlu NUMA – vypnuto

Příklad specifikace serveru

Čipová sada NIC Hardware Specifikace
Intel 82599/82599ES HP DL380G9 http://www.hp.com/hpinfo/newsroom/press_kits/2014/ComputeEra/HP_ProLiantDL380_DataSheet.pdf
Intel X710/XL710 Dell PowerEdge R640 https://www.dell.com/en-us/work/shop/povw/poweredge-r640
  • Model procesoru a jádra – dvousocketový procesor Intel(R) Xeon(R) Gold 5218 při 2,30 GHz každý s 16 jádry
  • Paměť – 384 GB RAM
Intel X710/XL710 Supermicro SYS-6018U-TRTP+ https://www.supermicro.com/en/products/system/1U/6018/SYS-6018U-TRTP_.cfm
  • Model procesoru a jádra – dvousocketový procesor Intel(R) Xeon(R) CPU E5-2630 v4 při 2,20 GHz každý s 10 jádry
  • Paměť – 256 GB RAM
Intel E810-CQDA2 Dell PowerEdge R640 https://www.dell.com/en-us/work/shop/povw/poweredge-r640
    • Model procesoru a jádra – dvousocketový procesor Intel(R) Xeon(R) Gold 5218 při 2,30 GHz každý s 16 jádry
    • Paměť – 384 GB RAM

Požadované požadavky NIC pro podporu SR-IOV

Výrobce hardwaru Verze firmwaru Ovladač hostitele pro Ubuntu 20.04.6 Ovladač hostitele pro Ubuntu 22.04.2 Ovladač hostitele pro ESXi 7.0U3 Ovladač hostitele pro ESXi 8.0U1a
Síťový řadič Intel Corporation pro síť Ethernet se dvěma porty XL710 pro 40 GbE QSFP+ 7.10 2.20.12 2.20.12 1.11.2.5 a 1.11.3.5 1.11.2.5 a 1.11.3.5
Síťový řadič Intel Corporation pro síť Ethernet se dvěma porty X710 pro 10 GbE SFP+ 7.10 2.20.12 2.20.12 1.11.2.5 a 1.11.3.5 1.11.2.5 a 1.11.3.5
Síťový řadič Intel Corporation pro síť Ethernet se čtyřmi porty X710 pro 10 GbE SFP+ 7.10 2.20.12 2.20.12 1.11.2.5 a 1.11.3.5 1.11.2.5 a 1.11.3.5
Karta Dell rNDC X710/350 nvm 7.10 a FW 19.0.12 2.20.12 2.20.12 1.11.2.5 a 1.11.3.5 1.11.2.5 a 1.11.3.5
Síťový řadič Intel Corporation pro síť Ethernet se dvěma porty E810-CQDA2 pro 100GbE QSFP 4.20 ICE 1.11.14 ICE 1.11.14 Zatím není podporováno Zatím není podporováno

Podporované verze hypervizoru

Hypervizor Podporované verze
VMware
  • Intel 82599/82599ES – ESXi 6.7 U3, ESXi 7.0U3, ESXi 8.0U1a. K použití SR-IOV jsou požadovány licence vCenter a vSphere Enterprise Plus.
  • Intel X710/XL710 – ESXi 6.7 U3 s webovým klientem VMware vSphere Web Client 6.7.0 až ESXi 8.0 U1a s webovým klientem VMware vSphere Web Client 8.0
KVM
  • Intel 82599/82599ES – Ubuntu 20.04.6 LTS, Ubuntu 22.04.2
  • Intel X710/XL710 – Ubuntu 20.04.6 LTS, Ubuntu 22.04.2
  • Intel E810-CQDA2 – Ubuntu 22.04.2

Brána SD-WAN Gateway Specifikace virtuálního počítače (VM)

V případě VMware již OVA minimální specifikace virtuálního hardwaru uvádí. Pro KVM je poskytnut ukázkový soubor XML. Minimální specifikace virtuálního hardwaru:
  • Pokud používáte VMware ESXi:
    • Citlivost na latenci musí být nastavena na hodnotu „Vysoká“.
      • Postup (úprava citlivosti latence)
        1. V klientovi vSphere přejděte do virtuálního počítače.
          1. Chcete-li vyhledat virtuální počítač, vyberte datové centrum, složku, cluster, fond zdrojů nebo hostitele.
          2. Klikněte na kartu VM.
        2. Pravým tlačítkem myši klikněte na virtuální počítač a klikněte na možnost Upravit nastavení (Edit Settings).
        3. Klikněte na Možnosti virtuálního počítače (VM Options) a klikněte na volbu Rozšířené (Advanced).
        4. Vyberte nastavení z rozbalovací nabídky Citlivost latence (Latency Sensitivity).
        5. Klikněte na tlačítko OK.
      • Rezervace procesoru je nastavena na 100 %.
      • Sdílení CPU je nastaveno na vysoké (high).
      • Limit CPU musí být nastaven na Neomezený (Unlimited).
      • 8× vCPU (podporovány 4 vCPU, ale očekáváme nižší výkon).
        Důležité: Všechna jádra vCPU by měla být namapována na stejný soket s parametrem jader na soket nastaveným na 8 s 8 vCPU, nebo na 4, přičemž jsou použity 4 vCPU.
        Poznámka: Chcete-li dosáhnout maximálního výkonu, musí být hyperthreading deaktivován.
      • Postup přidělování zdrojů CPU:
        1. Klikněte na možnost Virtuální počítače (Virtual Machines) v inventáři VMware Host Client.
        2. Klikněte pravým tlačítkem myši na virtuální počítač ze seznamu a z rozbalovací nabídky vyberte nastavení Upravit (Edit).
        3. Na kartě Virtuální hardware (Virtual Hardware) rozbalte procesor a přiřaďte kapacitu procesoru virtuálního počítače.
        Možnost Popis
        Rezervace (Reservation) Garantované přiřazení CPU pro tento virtuální počítač.
        Limit Horní limit pro přiřazení CPU tohoto virtuálního počítače. Vyberte možnost Neomezeně (Unlimited) pro nastavení bez horního limitu.
        Sdílení (Shares) Sdílení CPU pro tento virtuální počítač ve vztahu k celkovému nadřazení. Virtuální počítače na stejné úrovni sdílejí zdroje podle hodnot relativního sdílení, které jsou vázány rezervací a limitem. Vyberte z možností Nízké (Low), Normální (Normal) nebo Vysoké (High), které určují hodnoty sdílení v poměru 1:2:4. Vyberte možnost Vlastní (Custom), abyste každému virtuálnímu počítači poskytli konkrétní objem sdílení, které vyjádří poměrnou váhu.
    • Je nutné aktivovat afinitu CPU. Postupujte podle níže uvedených kroků:
      1. Ve webovém klientovi vSphere přejděte na kartu Nastavení virtuálního počítače (VM Settings).
      2. Vyberte kartu Možnosti (Options) a klikněte na volby Rozšířené obecné (Advanced General) >Parametry konfigurace (Configuration Parameters).
      3. Přidejte položky pro numa.nodeAffinity=0, 1, ..., kde 0 a 1 jsou čísla soketu procesoru.
    • vNIC musí být typu „vmxnet3“ (nebo SR-IOV, podrobnosti o podpoře naleznete v článku SR-IOV).
    • Alespoň jedna z následujících vNIC:
      • První karta vNIC je pro veřejné (vnější) rozhraní, které musí být bez označení.
      • Druhá karta vNIC je volitelná a funguje jako privátní (vnitřní) rozhraní, které může podporovat značkování VLAN dot1q a Q-in-Q. Toto rozhraní je obvykle orientované na směrovač PE nebo přepínač L3.
    • Volitelná karta vNIC (je-li vyžadováno samostatné rozhraní správy/OAM).
    • Rezervace v paměti je nastavena na hodnotu „maximální“ (maximum).
      • 16 GB paměti (při aktivaci autentizace na základě certifikátu je vyžadováno 32 GB RAM).
    • 64 GB virtuálního disku (při aktivaci autentizace na základě certifikátu je vyžadován disk 96 GB).
      Poznámka: VMware používá ke škálování měřítka a výkonu výše definovaná nastavení. Nastavení, která nejsou v souladu s výše uvedenými požadavky, nejsou VMware testována a mohou vést k nepředvídatelnému výkonu a výsledkům škálování.
  • Pokud používáte KVM:
    • vNIC musí mít typ „Linux Bridge“. (Funkce SR-IOV je nutná pro vysokou výkonnost, další informace o podpoře naleznete v sekci SR-IOV.)
    • 8× vCPU (podporovány 4 vCPU, ale očekáváme nižší výkon).
      Důležité: Všechna jádra vCPU by měla být namapována na stejný soket s parametrem jader na soket nastaveným na 8 s 8 vCPU, nebo na 4, přičemž jsou použity 4 vCPU.
      Poznámka: Chcete-li dosáhnout maximálního výkonu, musí být hyperthreading deaktivován.
    • 16 GB paměti (při aktivaci autentizace na základě certifikátu je vyžadováno 32 GB RAM).
    • Alespoň jedna z následujících vNIC:
      • První karta vNIC je pro veřejné (vnější) rozhraní, které musí být bez označení.
      • Druhá karta vNIC je volitelná a funguje jako privátní (vnitřní) rozhraní, které může podporovat značkování VLAN dot1q a Q-in-Q. Toto rozhraní je obvykle orientované na směrovač PE nebo přepínač L3.
    • Volitelná karta vNIC (je-li vyžadováno samostatné rozhraní správy/OAM).
    • 64 GB virtuálního disku (při aktivaci autentizace na základě certifikátu je vyžadován disk 96 GB).

Požadavky na bránu firewall / zařízení NAT

Poznámka: Tyto požadavky platí, pokud je brána Brána SD-WAN Gateway zavedena za bránou firewall nebo zařízením NAT.
  • Brána firewall musí povolovat odchozí přenosy z brány Brána SD-WAN Gateway na TCP/443 (pro komunikaci se systémem SASE Orchestrator).
  • Brána firewall musí povolovat příchozí přenosy z internetu na UDP/2426 (VCMP), UDP/4500 a UDP/500. Pokud se nepoužívá zařízení NAT, musí brána firewall povolovat také IP/50 (ESP).
  • Pokud se zařízení NAT používá, musí být tyto porty přeloženy na externě dosažitelnou IP adresu. Je podporován překlad NAT 1:1 i překlad portů.

Úložiště Git se šablonami a vzorky

Toto úložiště Git obsahuje šablony a vzorky.

git clone https://gitlab.eng.vmware.com/velocloud/velocloud.src.git
Poznámka: Další informace naleznete v  technickém listu o výkonu a škálování řešení VMware SD-WAN, který byl publikován na portálu Partner Connect. Chcete-li k tomuto technickému listu získat přístup, musíte se na portálu Partner Connect přihlásit pomocí přihlašovacích údajů partnera (uživatelské jméno a heslo).

Použití sady DPDK v bráně Brány SD-WAN Gateway

Brány Brány SD-WAN Gateway používají kvůli lepší propustnosti paketů technologii DPDK (Data Plane Development Kit). DPDK je sada knihoven a ovladačů datových rovin od společnosti Intel, s cílem přenést zpracování paketů TCP z jádra operačního systému do procesů běžících v uživatelském prostoru, což vede k vyšší propustnosti paketů. Další podrobnosti najdete na stránkách https://www.dpdk.org/.

Sada DPDK se u bran hostovaných řešením VMware a bran partnera používá v rozhraních, která spravují provoz datové roviny. Nepoužívá se v rozhraních vyhrazených pro provoz roviny správy. Například na typické bráně hostované řešením VMware se eth0 používá pro provoz roviny správy a v tomto případě by se DPDK nepoužívala. Oproti tomu eth1, eth2 a eth3 se používají pro provoz datové roviny a zde se sada DPDK používá.