SD-WAN Gateway se ejecuta en un hipervisor estándar (KVM o VMware ESXi).
Nota: A partir de la versión 6.0.0, la NIC Intel E810 se admite en una puerta de enlace que use SR-IOV en KVM 22.04 para obtener una capacidad de plano de datos de alto rendimiento.
Requisitos mínimos del servidor
Para ejecutar el hipervisor, se deben cumplir los siguientes requisitos de infraestructura:
- CPU: se requiere Intel XEON (mínimo de 10 núcleos para ejecutar una única máquina virtual de puerta de enlace de 8 núcleos) con una velocidad de reloj mínima de 2,0 GHz para alcanzar el máximo rendimiento.
- Las funciones de programación de red vmxnet3 de ESXi deben tener 2 núcleos reservados por máquina virtual (VM) de puerta de enlace, independientemente del número de núcleos asignados a la puerta de enlace.
- Ejemplo: supongamos que hay un servidor de 24 núcleos que ejecuta ESXi+vmxnet3. Puede implementar entre 2 y (8 núcleos) instancias de puerta de enlace. Es decir, 2 puertas de enlace multiplicadas por 8 núcleos requieren 16 núcleos reservados para la aplicación de puerta de enlace y dejan 8 núcleos libres. Mediante la fórmula anterior, para admitir estas dos puertas de enlace en ejecución a una escala de rendimiento máxima, el sistema ESXi/vmxnet3 requiere 4 núcleos adicionales (dos núcleos para cada una de las dos puertas de enlace implementadas). Esto equivale a un total de 20 núcleos necesarios para ejecutar 2 puertas de enlace en un sistema de 24 núcleos.
Nota: Cuando se utiliza SR-IOV, la función de programación de red se descarga en la pNIC para lograr un mayor rendimiento. Sin embargo, el hipervisor aún debe realizar otras funciones de programación, como la administración de asignación de NUMA, CPU y memoria. Es necesario mantener siempre dos núcleos libres para el uso del hipervisor.
- Ejemplo: supongamos que hay un servidor de 24 núcleos que ejecuta ESXi+vmxnet3. Puede implementar entre 2 y (8 núcleos) instancias de puerta de enlace. Es decir, 2 puertas de enlace multiplicadas por 8 núcleos requieren 16 núcleos reservados para la aplicación de puerta de enlace y dejan 8 núcleos libres. Mediante la fórmula anterior, para admitir estas dos puertas de enlace en ejecución a una escala de rendimiento máxima, el sistema ESXi/vmxnet3 requiere 4 núcleos adicionales (dos núcleos para cada una de las dos puertas de enlace implementadas). Esto equivale a un total de 20 núcleos necesarios para ejecutar 2 puertas de enlace en un sistema de 24 núcleos.
- Las funciones de programación de red vmxnet3 de ESXi deben tener 2 núcleos reservados por máquina virtual (VM) de puerta de enlace, independientemente del número de núcleos asignados a la puerta de enlace.
- La CPU debe admitir y activar los siguientes conjuntos de instrucciones: AES-NI, SSSE3, SSE4, RDTSC, RDSEED, RDRAND, AVX/AVX2/AVX512.
- Aparte de la memoria asignada a las máquinas virtuales de PGW, debe haber un mínimo de 4 GB de RAM libre disponible para el sistema del servidor. Una máquina virtual de puerta de enlace requiere 16 GB de RAM, o bien 32 GB de RAM si la autenticación basada en certificados está activada.
- Volumen de disco persistente, magnético o SSD de 150 GB como mínimo (una máquina virtual de puerta de enlace requiere un volumen de disco de 64 GB o 96 GB, si la autenticación basada en certificados está activada).
- Rendimiento mínimo requerido de IOPS: 200 IOPS.
- Se prefiere un mínimo de puertos de interfaz de red de 1x10Ge y 2 al habilitar la interfaz de entrega de socio de puerta de enlace (se admiten NIC de 1Ge, pero se producirá un cuello de botella de rendimiento). Las tarjetas NIC físicas compatibles con SR-IOV son los conjuntos de chip de Intel 82599/82599ES e Intel X710/XL710. (Consulte la guía "Habilitar SR-IOV").
Nota: SR-IOV no admite la vinculación de NIC. Para vínculos superiores redundantes, utilice vSwitch de ESXi.
- VMware SD-WAN Gateway es una carga de trabajo de uso intensivo del plano de datos que requiere ciclos de CPU dedicados para garantizar un rendimiento y una fiabilidad óptimos. Para cumplir con esta configuración definida, es necesario asegurarse de que la máquina virtual de puerta de enlace no suscriba en exceso el hardware subyacente y provoque acciones que puedan desestabilizar el servicio de puerta de enlace (por ejemplo, superar el límite de NUMA, o un exceso de suscripciones de vCPU y/o memoria).
- Asegúrese de que la máquina virtual de puerta de enlace de socio de SD-WAN y los recursos (como interfaces de red, memoria y CPU físicas) empleados para admitirla caben en un mismo nodo NUMA.
-
Nota: Realice la configuración del BIOS del host de la siguiente manera:
- Hiperproceso: activado
- Ahorro de energía: desactivado
- CPU Turbo: habilitado
- AES-NI: habilitado
- Intercalación de nodos NUMA: desactivado
Especificaciones de servidor de ejemplo
| Conjunto de chips NIC | Hardware | Especificación |
|---|---|---|
| Intel 82599/82599ES | HP DL380G9 | http://www.hp.com/hpinfo/newsroom/press_kits/2014/ComputeEra/HP_ProLiantDL380_DataSheet.pdf |
| Intel X710/XL710 | Dell PowerEdge R640 | https://www.dell.com/en-us/work/shop/povw/poweredge-r640
|
| Intel X710/XL710 | Supermicro SYS-6018U-TRTP+ | https://www.supermicro.com/en/products/system/1U/6018/SYS-6018U-TRTP_.cfm
|
| Intel E810-CQDA2 | Dell PowerEdge R640 | https://www.dell.com/en-us/work/shop/povw/poweredge-r640
|
Especificaciones de NIC necesarias para la compatibilidad con SR-IOV
| Fabricante de hardware | Versión de firmware | Controlador de host para Ubuntu 20.04.6 | Controlador de host para Ubuntu 22.04.2 | Controlador de host para ESXi 7.0U3 | Controlador de host para ESXi 8.0U1a |
|---|---|---|---|---|---|
| Controlador Ethernet de puerto dual XL710 Intel Corporation para 40 GbE QSFP+ | 7.10 | 2.20.12 | 2.20.12 | 1.11.2.5 y 1.11.3.5 | 1.11.2.5 y 1.11.3.5 |
| Controlador Ethernet de puerto dual X710 Intel Corporation para 10 GbE SFP+ | 7.10 | 2.20.12 | 2.20.12 | 1.11.2.5 y 1.11.3.5 | 1.11.2.5 y 1.11.3.5 |
| Controlador Ethernet de puerto cuádruple X710 Intel Corporation para 10 GbE SFP+ | 7.10 | 2.20.12 | 2.20.12 | 1.11.2.5 y 1.11.3.5 | 1.11.2.5 y 1.11.3.5 |
| Tarjeta Dell rNDC X710/350 | nvm 7.10 y FW 19.0.12 | 2.20.12 | 2.20.12 | 1.11.2.5 y 1.11.3.5 | 1.11.2.5 y 1.11.3.5 |
| Controlador Ethernet de puerto dual E810-CQDA2 para 100 GbE QSFP | 4.20 | ICE 1.11.14 | ICE 1.11.14 | No admitido aún | No admitido aún |
Versiones de hipervisor admitidas
| Hipervisor | Versiones compatibles |
|---|---|
| VMware |
|
| KVM |
|
Especificación de máquina virtual de SD-WAN Gateway
Para VMware, en el archivo OVA se indica la especificación de hardware virtual mínima. Para KVM, se proporciona un archivo XML de ejemplo. Las especificaciones de hardware virtual mínimas son las siguientes:
- Si utiliza VMware ESXi:
- La sensibilidad de latencia debe establecerse en 'Alta'.
- Procedimiento (Ajustar sensibilidad de latencia)
- Desplácese hasta la máquina virtual en vSphere Client.
- Para buscar una máquina virtual, seleccione un centro de datos, una carpeta, un clúster, un grupo de recursos o un host.
- Haga clic en la pestaña Máquinas virtuales (VMs).
- Haga clic con el botón secundario en la máquina virtual y haga clic en Editar configuración (Edit Settings).
- Haga clic en Opciones de máquina virtual (VM Options) y haga clic en Avanzado (Advanced).
- Seleccione una configuración en el menú desplegable Sensibilidad de latencia (Latency Sensitivity).
- Haga clic en Aceptar (OK).
- Desplácese hasta la máquina virtual en vSphere Client.
- Reserva de CPU establecida en 100 %.
- Recursos compartidos de CPU establecidos en Alto (High).
- El límite de CPU debe establecerse en Ilimitado (Unlimited).
- 8 vCPU (se admiten 4 vCPU, pero se espera un rendimiento menor).
Importante: Todos los núcleos de vCPU deben asignarse al mismo socket con el parámetro Núcleos por socket (Cores per Socket) establecido en 8 con 8 vCPU o 4 donde se utilizan 4 vCPU.Nota: Se debe desactivar el hiperproceso para alcanzar el máximo rendimiento.
- Procedimiento para asignar recursos de CPU:
- Haga clic en Máquinas virtuales (Virtual Machines) en el inventario de VMware Host Client.
- Haga clic con el botón secundario en una máquina virtual de la lista y seleccione la opción Editar (Edit) en el menú emergente.
- En la pestaña Hardware virtual (Virtual Hardware), expanda CPU y asigne capacidad de CPU para la máquina virtual.
Opción Descripción Reserva (Reservation) Asignación de CPU garantizada para esta máquina virtual. Límite (Limit) Límite superior para la asignación de CPU de esta máquina virtual. Seleccione Ilimitado (Unlimited) para no especificar ningún límite superior. Recursos compartidos (Shares) Recursos compartidos de CPU para esta máquina virtual en relación con el total del elemento principal. Las máquinas virtuales del mismo nivel comparten recursos de acuerdo con sus valores de recursos compartidos relativos limitados por la reserva y el límite. Seleccione Bajo (Low), Normal o Alto (High), que especifican los valores de recursos compartidos respectivamente en una relación de 1:2:4. Seleccione Personalizado (Custom) para otorgar a cada máquina virtual una cantidad específica de recursos compartidos que expresan una ponderación proporcional.
- Procedimiento (Ajustar sensibilidad de latencia)
- La afinidad de CPU debe estar activada. Siga los pasos que aparecen a continuación:
- En vSphere Web Client, vaya a la pestaña Configuración de máquina virtual (VM Settings).
- Elija la pestaña Opciones (Options) y haga clic en General avanzado (Advanced General) > Parámetros de configuración (Configuration Parameters).
- Agregue entradas para numa.nodeAffinity=0, 1, etc, donde 0 y 1 son los números de socket del procesador.
- La vNIC debe ser del tipo 'vmxnet3' (o SR-IOV; consulte la sección SR-IOV para obtener más información sobre la compatibilidad).
- Mínimo de cualquiera de las siguientes vNIC:
- La primera vNIC es la interfaz pública (externa) sin etiquetas.
- La segunda vNIC es opcional y actúa como la interfaz privada (interna) que puede admitir el etiquetado de VLAN dot1q y Q-in-Q. Esta interfaz suele estar orientada al enrutador de PE o al conmutador de capa 3.
- vNIC opcional (si se requiere una interfaz de administración u OAM independiente).
- La reserva de memoria se establece en 'maximum'.
- 16 GB de memoria (se requieren 32 GB de RAM al habilitar la autenticación basada en certificados).
- 64 GB de disco virtual (se requiere un disco de 96 GB al habilitar la autenticación basada en certificados).
Nota: VMware utiliza la configuración definida anteriormente para obtener números de escala y rendimiento. VMware no comprueba los ajustes que no sean acordes a los requisitos anteriores y, por lo tanto, pueden producir resultados impredecibles de rendimiento y escala.
- La sensibilidad de latencia debe establecerse en 'Alta'.
- Si utiliza KVM:
- La vNIC debe ser del tipo 'Puente de Linux'. (SR-IOV es necesario para un alto rendimiento; consulte la sección SR-IOV para obtener más información sobre la compatibilidad).
- 8 vCPU (se admiten 4 vCPU, pero se espera un rendimiento menor).
Importante: Todos los núcleos de vCPU deben asignarse al mismo socket con el parámetro Núcleos por socket (Cores per Socket) establecido en 8 con 8 vCPU o 4 donde se utilizan 4 vCPU.Nota: Se debe desactivar el hiperproceso para alcanzar el máximo rendimiento.
- 16 GB de memoria (se requieren 32 GB de RAM al habilitar la autenticación basada en certificados)
- Mínimo de cualquiera de las siguientes vNIC:
- La primera vNIC es la interfaz pública (externa) sin etiquetas.
- La segunda vNIC es opcional y actúa como la interfaz privada (interna) que puede admitir el etiquetado de VLAN dot1q y Q-in-Q. Esta interfaz suele estar orientada al enrutador de PE o al conmutador de capa 3.
- vNIC opcional (si se requiere una interfaz de administración u OAM independiente).
- 64 GB de disco virtual (se requiere un disco de 96 GB al habilitar la autenticación basada en certificados).
Requisitos de firewall/NAT
Nota: Estos requisitos se aplican si
SD-WAN Gateway se implementa detrás de un firewall o un dispositivo NAT.
- El firewall debe permitir el tráfico saliente desde SD-WAN Gateway hasta el puerto TCP/443 (para la comunicación con SASE Orchestrator).
- El firewall debe permitir el tráfico entrante desde Internet hasta los puertos UDP/2426 (VCMP), UDP/4500 y UDP/500. Si no se utiliza NAT, el firewall también debe permitir el protocolo IP/50 (ESP).
- Si se utiliza NAT, los puertos indicados anteriormente deben traducirse a una dirección IP a la que se pueda acceder de forma externa. Se admiten las traducciones de puertos y NAT 1:1.
Repositorio de Git con plantillas y ejemplos
El repositorio de Git siguiente contiene plantillas y ejemplos:
git clone https://gitlab.eng.vmware.com/velocloud/velocloud.src.git
Nota: Para obtener más información, consulte la
hoja de cálculo de rendimiento y escala de VMware SD-WAN publicada en el portal Partner Connect. Para acceder a la hoja de cálculo, debe iniciar sesión en el portal Partner Connect con sus credenciales de socio (nombre de usuario y contraseña).
Uso de DPDK en Instancias de SD-WAN Gateway
Para mejorar el rendimiento de los paquetes, las instancias de Instancias de SD-WAN Gateway aprovechan la tecnología del kit de desarrollo de plano de datos (DPDK). DPDK es un conjunto de controladores y bibliotecas de plano de datos proporcionados por Intel para descargar el procesamiento de paquetes TCP desde el kernel del sistema operativo a los procesos que se ejecutan en el espacio de usuario y da como resultado una mayor capacidad de proceso de paquetes. Para obtener más detalles, consulte https://www.dpdk.org/.
En las puertas de enlace alojadas en VMware y puertas de enlace de socios, DPDK se utiliza en las interfaces que administran el tráfico del plano de datos y no se utiliza en las interfaces reservadas para el tráfico del plano de administración. Por ejemplo, en una puerta de enlace alojada en VMware típica, eth0 se utiliza para el tráfico del plano de administración, y no se utiliza DPDK. Por el contrario, eth1, eth2 y eth3 se utilizan para el tráfico del plano de datos y utilizan DPDK.
