vSRX ការដាក់ពង្រាយជញ្ជាំងភ្លើងនិម្មិត

“

ព័ត៌មានអំពីផលិតផល

លក្ខណៈបច្ចេកទេស

• ឈ្មោះផលិតផល៖ vSRX ជញ្ជាំងភ្លើងនិម្មិត
• ការណែនាំអំពីការដាក់ឱ្យប្រើប្រាស់សម្រាប់វេទិកាពពកឯកជន និងសាធារណៈ
• អ្នកបោះពុម្ពផ្សាយ៖ Juniper Networks, Inc.
• កាលបរិច្ឆេទចេញផ្សាយ៖ 2023-11-09
• ទីតាំង៖ 1133 Innovation Way Sunnyvale, California 94089
  សហរដ្ឋអាមេរិក
• ទំនាក់ទំនង៖ ៨៦៦-៤៤៧-២១៩៤
• Webគេហទំព័រ៖ www.juniper.net

ការណែនាំអំពីការប្រើប្រាស់ផលិតផល

ជាងview

ជញ្ជាំងភ្លើងនិម្មិត vSRX ផ្តល់នូវលក្ខណៈពិសេសសុវត្ថិភាពសម្រាប់
បរិស្ថាននិម្មិត។ អនុវត្តតាមជំហានខាងក្រោមដើម្បីដាក់ពង្រាយ និង
គ្រប់គ្រងជញ្ជាំងភ្លើងនិម្មិត។

ការដំឡើង

1. រៀបចំ Server របស់អ្នកសម្រាប់ vSRX Virtual Firewall
   ការដំឡើង៖

• បើកដំណើរការ Nested Virtualization
• ដំឡើងកំណែ Linux Kernel នៅលើ Ubuntu

ដំឡើង vSRX Virtual Firewall ជាមួយ KVM៖

• ដោយប្រើ virt-manager ឬ virt-install

ការកំណត់រចនាសម្ព័ន្ធ

1. ផ្ទុកការកំណត់រចនាសម្ព័ន្ធដំបូងនៅលើ vSRX Virtual Firewall ជាមួយ
   KVM
2. បង្កើតរូបភាព vSRX Virtual Firewall Bootstrap ISO
3. ការផ្តល់ vSRX Virtual Firewall ជាមួយនឹងរូបភាព ISO Bootstrap ត្រូវបានបើក
   KVM

ការគ្រប់គ្រង

1. កំណត់រចនាសម្ព័ន្ធជញ្ជាំងភ្លើងនិម្មិត vSRX ដោយប្រើ CLI
2. ភ្ជាប់ទៅកុងសូលគ្រប់គ្រងជញ្ជាំងភ្លើងនិម្មិត vSRX បើក
   KVM
3. បន្ថែមបណ្តាញនិម្មិតទៅ vSRX Virtual Firewall VM ជាមួយ
   KVM
4. បន្ថែមចំណុចប្រទាក់និម្មិត Virtio ទៅ vSRX Virtual Firewall VM
   ជាមួយ KVM

ការគាំទ្រ SR-IOV និង PCI

ព័ត៌មានលម្អិតអំពីការកំណត់រចនាសម្ព័ន្ធចំណុចប្រទាក់ SR-IOV និងដែនកំណត់។

សំណួរដែលសួរញឹកញាប់ (FAQ)

សំណួរ៖ តើ vSRX Virtual Firewall អាចប្រើជាមួយ cloud ទាំងអស់។
វេទិកា?

ចម្លើយ៖ ជញ្ជាំងភ្លើងនិម្មិត vSRX ត្រូវបានរចនាឡើងដើម្បីធ្វើការជាមួយទាំងពីរ
វេទិកាពពកឯកជន និងសាធារណៈ។ ទោះយ៉ាងណាក៏ដោយតម្រូវការជាក់លាក់
អាចប្រែប្រួល។

សំណួរ៖ តើខ្ញុំអាចធ្វើស្វ័យប្រវត្តិកម្មការចាប់ផ្តើមនៃ vSRX Virtual Firewall បានទេ?
ឧទាហរណ៍នៅក្នុងបរិស្ថាន OpenStack?

ចម្លើយ៖ បាទ អ្នកអាចប្រើ Cloud-Init នៅក្នុងបរិស្ថាន OpenStack ដើម្បី
ធ្វើស្វ័យប្រវត្តិកម្មការចាប់ផ្តើមនៃ vSRX Virtual Firewall instances ។

“`

vSRX ការណែនាំអំពីការដាក់ឱ្យប្រើប្រាស់ជញ្ជាំងភ្លើងនិម្មិតសម្រាប់វេទិកាឯកជន និងសាធារណៈ
បោះពុម្ពផ្សាយ
៨៦៦-៤៤៧-២១៩៤

ii
Juniper Networks, Inc. 1133 Innovation Way Sunnyvale, California 94089 USA ៨៦៦-៤៤៧-២១៩៤ www.juniper.net
Juniper Networks និមិត្តសញ្ញា Juniper Networks Juniper និង Junos គឺជាពាណិជ្ជសញ្ញាដែលបានចុះបញ្ជីរបស់ Juniper Networks, Inc. នៅសហរដ្ឋអាមេរិក និងប្រទេសដទៃទៀត។ រាល់ពាណិជ្ជសញ្ញា សញ្ញាសេវាកម្ម ម៉ាកដែលបានចុះបញ្ជី ឬសញ្ញាសម្គាល់សេវាកម្មដែលបានចុះបញ្ជី គឺជាកម្មសិទ្ធិរបស់ម្ចាស់រៀងៗខ្លួន។
Juniper Networks មិនទទួលខុសត្រូវចំពោះភាពមិនត្រឹមត្រូវណាមួយនៅក្នុងឯកសារនេះទេ។ Juniper Networks រក្សាសិទ្ធិក្នុងការផ្លាស់ប្តូរ កែប្រែ ផ្ទេរ ឬកែប្រែការបោះពុម្ពនេះដោយមិនមានការជូនដំណឹងជាមុន។
vSRX ការណែនាំអំពីការដាក់ឱ្យប្រើប្រាស់ជញ្ជាំងភ្លើងនិម្មិតសម្រាប់វេទិកាឯកជន និងសាធារណៈ រក្សាសិទ្ធិ © 2023 Juniper Networks, Inc. រក្សាសិទ្ធិគ្រប់យ៉ាង។
ព័ត៌មាននៅក្នុងឯកសារនេះគឺបច្ចុប្បន្នគិតត្រឹមកាលបរិច្ឆេទនៅលើទំព័រចំណងជើង។
សេចក្តីជូនដំណឹងឆ្នាំ 2000
ផលិតផលផ្នែករឹង និងសូហ្វវែរ Juniper Networks គឺស្របតាមឆ្នាំ 2000 ។ Junos OS មិនមានការកំណត់ទាក់ទងនឹងពេលវេលាដែលគេស្គាល់រហូតដល់ឆ្នាំ 2038។ ទោះជាយ៉ាងណាក៏ដោយ កម្មវិធី NTP ត្រូវបានគេដឹងថាមានការលំបាកខ្លះក្នុងឆ្នាំ 2036។
បញ្ចប់កិច្ចព្រមព្រៀងអាជ្ញាប័ណ្ណអ្នកប្រើប្រាស់
ផលិតផល Juniper Networks ដែលជាកម្មវត្ថុនៃឯកសារបច្ចេកទេសនេះមាន (ឬត្រូវបានបម្រុងទុកសម្រាប់ប្រើជាមួយ) កម្មវិធី Juniper Networks ។ ការប្រើប្រាស់កម្មវិធីបែបនេះគឺស្ថិតនៅក្រោមលក្ខខណ្ឌនៃកិច្ចព្រមព្រៀងអាជ្ញាប័ណ្ណអ្នកប្រើប្រាស់ចុងក្រោយ ("EULA") ដែលបានបង្ហោះនៅ https://support.juniper.net/support/eula/ ។ តាមរយៈការទាញយក ដំឡើង ឬប្រើប្រាស់កម្មវិធីបែបនេះ អ្នកយល់ព្រមនឹងលក្ខខណ្ឌនៃ EULA នោះ។

iii

តារាងមាតិកា

អំពីមគ្គុទ្ទេសក៍នេះ | xvii

1

vSRX ការដាក់ពង្រាយជញ្ជាំងភ្លើងនិម្មិតសម្រាប់ KVM

ជាងview | ៦២៩.២០២.៦៧៩០

ស្វែងយល់ vSRX Virtual Firewall ជាមួយ KVM | ២

តម្រូវការសម្រាប់ vSRX Virtual Firewall នៅលើ KVM | ៧

ដំឡើង vSRX Virtual Firewall ក្នុង KVM | 19 រៀបចំ Server របស់អ្នកសម្រាប់ការដំឡើង vSRX Virtual Firewall | ១៩
បើកដំណើរការ Nested Virtualization | 19 ដំឡើងកំណែ Linux Kernel នៅលើ Ubuntu | ២១

ដំឡើង vSRX Virtual Firewall ជាមួយ KVM | 21 ដំឡើង vSRX Virtual Firewall ជាមួយ virt-manager | 22 ដំឡើង vSRX Virtual Firewall ជាមួយ virt-install | ២៤

Example: ដំឡើង និងបើកដំណើរការ vSRX Virtual Firewall នៅលើ Ubuntu | ២៧
តម្រូវការ | 28 ជាងview | 28 ការកំណត់រចនាសម្ព័ន្ធរហ័ស – ដំឡើង និងបើកដំណើរការ vSRX Virtual Firewall VM នៅលើអ៊ូប៊ុនទូ | ២៩ | 29 ជំហានដោយជំហានកំណត់រចនាសម្ព័ន្ធ | ៣២

ផ្ទុកការកំណត់រចនាសម្ព័ន្ធដំបូងនៅលើ vSRX Virtual Firewall ជាមួយ KVM | 45 បង្កើត vSRX Virtual Firewall Bootstrap ISO Image | 46 ការផ្តល់ vSRX Virtual Firewall ជាមួយនឹងរូបភាព ISO Bootstrap នៅលើ KVM | ៤៧

ប្រើ Cloud-Init នៅក្នុងបរិយាកាស OpenStack ដើម្បីធ្វើស្វ័យប្រវត្តិកម្មការចាប់ផ្តើមនៃ vSRX Virtual Firewall Instances | ៤៨
អនុវត្តការដំឡើងដោយស្វ័យប្រវត្តិនៃ vSRX Virtual Firewall Instance ដោយប្រើ OpenStack CommandLine Interface | ៥២
អនុវត្តការដំឡើងដោយស្វ័យប្រវត្តិនៃ vSRX Virtual Firewall Instance ពី OpenStack Dashboard (Horizon) | ៥៤

vSRX Virtual Firewall VM Management ជាមួយ KVM | ៦២

iv
កំណត់រចនាសម្ព័ន្ធជញ្ជាំងភ្លើងនិម្មិត vSRX ដោយប្រើ CLI | ៦២
ភ្ជាប់ទៅកុងសូលគ្រប់គ្រងជញ្ជាំងភ្លើងនិម្មិត vSRX នៅលើ KVM | ៦៤
បន្ថែមបណ្តាញនិម្មិតទៅ vSRX Virtual Firewall VM ជាមួយ KVM | ៦៥
បន្ថែម Virtio Virtual Interface ទៅ vSRX Virtual Firewall VM ជាមួយ KVM | ៦៧
SR-IOV និង PCI | 69 SR-IOV ជាងview | 69 ការគាំទ្រ SR-IOV HA ជាមួយ Trust Mode Disabled (KVM only) | 70 ស្វែងយល់អំពីការគាំទ្រ SR-IOV HA ជាមួយ Trust Mode Disabled (KVM only) | 70 កំណត់រចនាសម្ព័ន្ធការគាំទ្រ SR-IOV ជាមួយ Trust Mode Disabled (KVM only) | 72 ដែនកំណត់ | 73 កំណត់រចនាសម្ព័ន្ធចំណុចប្រទាក់ SR-IOV នៅលើ KVM | ៧៤
ដំឡើងកំណែ Multi-core vSRX Virtual Firewall | 78 កំណត់រចនាសម្ព័ន្ធតម្លៃជួរសម្រាប់ vSRX Virtual Firewall VM ជាមួយ KVM | 78 បិទ vSRX Virtual Firewall Instance ជាមួយ virt-manager | 79 ដំឡើងកំណែ vSRX Virtual Firewall ជាមួយ virt-manager | ៧៩
ត្រួតពិនិត្យ vSRX Virtual Firewall VM ក្នុង KVM | ៨១
គ្រប់គ្រង vSRX Virtual Firewall Instance នៅលើ KVM | 82 Power On the vSRX Virtual Firewall Instance with virt-manager | 82 Power On the vSRX Virtual Firewall Instance with virsh | 82 ផ្អាក vSRX Virtual Firewall Instance ជាមួយ virt-manager | 83 ផ្អាក vSRX Virtual Firewall Instance ជាមួយ virsh | 83 ការចាប់ផ្ដើម vSRX Virtual Firewall Instance ជាមួយ virt-manager | 83 ចាប់ផ្ដើម vSRX Virtual Firewall Instance ឡើងវិញដោយប្រើ virsh | 83 បិទកម្មវិធី vSRX Virtual Firewall Instance ជាមួយ virt-manager | 84 បិទកម្មវិធីជញ្ជាំងភ្លើងនិម្មិត vSRX ដោយប្រើ virsh | 84 បិទ vSRX Virtual Firewall Instance ជាមួយ virt-manager | 85 បិទ vSRX Virtual Firewall Instance ជាមួយ virsh | 85 យក vSRX Virtual Firewall Instance ចេញជាមួយ virsh | ៨៦
សង្គ្រោះពាក្យសម្ងាត់ Root សម្រាប់ vSRX Virtual Firewall នៅក្នុងបរិស្ថាន KVM | ៨៧
កំណត់រចនាសម្ព័ន្ធ vSRX Virtual Firewall Chassis Clusters នៅលើ KVM | 89 vSRX Virtual Firewall Cluster Staging និងការផ្តល់សម្រាប់ KVM | ៨៩

v

ការផ្តល់ចង្កោម Chassis នៅលើ vSRX Virtual Firewall | 89 ការបង្កើត Chassis Cluster Virtual Networks ជាមួយ virt-manager | 91 ការបង្កើត Chassis Cluster Virtual Networks ជាមួយ virsh | 91 ការកំណត់រចនាសម្ព័ន្ធការគ្រប់គ្រង និងចំណុចប្រទាក់ក្រណាត់ជាមួយ virt-manager | 93 ការកំណត់រចនាសម្ព័ន្ធចំណុចប្រទាក់ការគ្រប់គ្រង និងក្រណាត់ជាមួយ virsh | 93 ការកំណត់រចនាសម្ព័ន្ធច្រកក្រណាត់ចង្កោម | ៩៣

កំណត់រចនាសម្ព័ន្ធ vSRX Virtual Firewall Chassis Cluster នៅក្នុង Junos OS | 94 Chassis Cluster Overview | 95 បើកដំណើរការការបង្កើតចង្កោម Chassis | ការដំឡើងរហ័ស 96 Chassis Cluster ជាមួយ J-Web | 97 កំណត់រចនាសម្ព័ន្ធចង្កោម Chassis ដោយដៃជាមួយ J-Web | ៦២៩.២០២.៦៧៩០

ផ្ទៀងផ្ទាត់ការកំណត់រចនាសម្ព័ន្ធចង្កោម | ១០៥

2

vSRX ការដាក់ពង្រាយជញ្ជាំងភ្លើងនិម្មិតសម្រាប់ VMware

ជាងview | ៦២៩.២០២.៦៧៩០

ស្វែងយល់ vSRX Virtual Firewall ជាមួយ VMware | ១០៧

តម្រូវការសម្រាប់ vSRX Virtual Firewall នៅលើ VMware | ១១៥

ដំឡើង vSRX Virtual Firewall នៅក្នុង VMware | 124 ដំឡើង vSRX Virtual Firewall ជាមួយ VMware vSphere Web អតិថិជន | ១២៤

ផ្ទុកការកំណត់រចនាសម្ព័ន្ធដំបូងនៅលើ vSRX Virtual Firewall ជាមួយ VMware | 128 បង្កើត vSRX Virtual Firewall Bootstrap ISO Image | 132 បង្ហោះរូបភាព ISO ទៅកាន់ VMWare Datastore | 133 Provision vSRX Virtual Firewall ជាមួយនឹងរូបភាព ISO Bootstrap នៅលើ VMWare | ១៣៤

ធ្វើឱ្យមានសុពលភាព vSRX Virtual Firewall .ova File សម្រាប់ VMware | ១៣៥

vSRX Virtual Firewall VM Management ជាមួយ VMware | 139 បន្ថែម vSRX Virtual Firewall Interfaces | ១៣៩
បន្ថែមចំណុចប្រទាក់ SR-IOV | 140 បន្ថែមចំណុចប្រទាក់ VMXNET 3 | ១៤២

ដំឡើងកំណែ Multicore vSRX Virtual Firewall ជាមួយ VMware | 142 Power Down vSRX Virtual Firewall VM ជាមួយ VMware vSphere Web អតិថិជន | 143 ដំឡើងកំណែ Multicore vSRX Virtual Firewall ជាមួយ VMware vSphere Web អតិថិជន | 143 បង្កើនប្រសិទ្ធភាពប្រតិបត្តិការរបស់ vSRX Virtual Firewall | ១៤៤

vi

ស្វ័យប្រវត្តិកម្មការចាប់ផ្តើមនៃ vSRX Virtual Firewall 3.0 Instances នៅលើ VMware Hypervisor ដោយប្រើ VMware Tools | 145 ជាងview | 145 ការផ្តល់ឧបករណ៍ VMware សម្រាប់ការកំណត់រចនាសម្ព័ន្ធស្វ័យប្រវត្តិ | ១៤៦

កំណត់រចនាសម្ព័ន្ធ vSRX Virtual Firewall Chassis Clusters នៅក្នុង VMware | 150 vSRX Virtual Firewall Cluster Staging និងការផ្តល់សម្រាប់ VMware | ១៥០
ការដាក់ពង្រាយ VMs និងចំណុចប្រទាក់បណ្តាញបន្ថែម | 150 ការបង្កើតការតភ្ជាប់ Control Link ដោយប្រើ VMware | 151 ការបង្កើតការតភ្ជាប់ Fabric Link ដោយប្រើ VMware | 155 ការបង្កើតចំណុចប្រទាក់ទិន្នន័យដោយប្រើ VMware | 158 បtagការកំណត់រចនាសម្ព័ន្ធពីកុងសូល | 159 ការភ្ជាប់ និងដំឡើង Stagការកំណត់រចនាសម្ព័ន្ធ | ១៦០

កំណត់រចនាសម្ព័ន្ធ vSRX Virtual Firewall Chassis Cluster នៅក្នុង Junos OS | 161 Chassis Cluster Overview | 161 បើកដំណើរការការបង្កើតចង្កោម Chassis | ការដំឡើងរហ័ស 162 Chassis Cluster ជាមួយ J-Web | 167 កំណត់រចនាសម្ព័ន្ធចង្កោម Chassis ដោយដៃជាមួយ J-Web | ៦២៩.២០២.៦៧៩០

ដាក់ពង្រាយ vSRX Virtual Firewall Chassis Nodes នៅទូទាំង ESXi Hosts ផ្សេងៗគ្នាដោយប្រើ dvSwitch | ១៧៤

3

vSRX ការដាក់ពង្រាយជញ្ជាំងភ្លើងនិម្មិតសម្រាប់ Microsoft Hyper-V

ជាងview | ៦២៩.២០២.៦៧៩០

ស្វែងយល់ vSRX Virtual Firewall ជាមួយ Microsoft Hyper-V | ១៧៩

តម្រូវការសម្រាប់ vSRX Virtual Firewall នៅលើ Microsoft Hyper-V | ១៨១

ដំឡើង vSRX Virtual Firewall នៅក្នុង Microsoft Hyper-V | 188 រៀបចំសម្រាប់ការដាក់ពង្រាយជញ្ជាំងភ្លើងនិម្មិត vSRX នៅក្នុង Microsoft Hyper-V | ១៨៨

ដាក់ពង្រាយ vSRX Virtual Firewall នៅក្នុង Hyper-V Host ដោយប្រើ Hyper-V Manager | ១៨៩

ដាក់ពង្រាយ vSRX Virtual Firewall នៅក្នុង Hyper-V Host ដោយប្រើ Windows PowerShell | ២០០

vSRX Virtual Firewall VM Management ជាមួយ Microsoft Hyper-V | 205 កំណត់រចនាសម្ព័ន្ធជញ្ជាំងភ្លើងនិម្មិត vSRX ដោយប្រើ CLI | ២០៥

កំណត់រចនាសម្ព័ន្ធជញ្ជាំងភ្លើងនិម្មិត vSRX ដោយប្រើ J-Web ចំណុចប្រទាក់ | 207 ចូលទៅកាន់ J-Web ចំណុចប្រទាក់ និងការកំណត់រចនាសម្ព័ន្ធ vSRX Virtual Firewall | ២០៧

vii

អនុវត្តការកំណត់រចនាសម្ព័ន្ធ | 210 បន្ថែមអាជ្ញាប័ណ្ណមុខងារជញ្ជាំងភ្លើងនិម្មិត vSRX | ២១០

បន្ថែម vSRX ចំណុចប្រទាក់ជញ្ជាំងភ្លើងនិម្មិត | 211 Add Virtual Switches | 212 កំណត់រចនាសម្ព័ន្ធ vSRX Virtual Firewall ដើម្បីប្រើ VLAN | ២១៩

បិទភ្លើង vSRX Virtual Firewall VM ជាមួយ Hyper-V | ២២១

កំណត់រចនាសម្ព័ន្ធ vSRX Virtual Firewall Chassis Clusters | 222 vSRX Virtual Firewall Cluster Staging និងការផ្តល់នៅក្នុង Hyper-V | ២២២
ការដាក់ពង្រាយ VMs និងអាដាប់ទ័របណ្តាញបន្ថែមនៅក្នុង Hyper-V | 223 ការបង្កើតការភ្ជាប់ Control Link នៅក្នុង Hyper-V | 223 ការបង្កើតតំណភ្ជាប់ Fabric Link ក្នុង Hyper-V | 226 ការបង្កើតចំណុចប្រទាក់ទិន្នន័យដោយប្រើ Hyper-V | 227 បtagការកំណត់រចនាសម្ព័ន្ធពីកុងសូល | 228 ការភ្ជាប់ និងដំឡើង Stagការកំណត់រចនាសម្ព័ន្ធ | ១៦០

កំណត់រចនាសម្ព័ន្ធ vSRX Virtual Firewall Chassis Cluster នៅក្នុង Junos OS | 230 Chassis Cluster Overview | 230 បើកដំណើរការការបង្កើតចង្កោម Chassis | ការដំឡើងរហ័ស 231 Chassis Cluster ជាមួយ J-Web | 237 កំណត់រចនាសម្ព័ន្ធចង្កោម Chassis ដោយដៃជាមួយ J-Web | ៦២៩.២០២.៦៧៩០

4

vSRX ការដាក់ពង្រាយជញ្ជាំងភ្លើងនិម្មិតសម្រាប់ Contrail

ជាងview នៃ vSRX Virtual Firewall Service Chains in Contrail | ២៤៥

ស្វែងយល់ vSRX Virtual Firewall ជាមួយ Contrail | ២៤៥

តម្រូវការសម្រាប់ vSRX Virtual Firewall នៅលើ Contrail | ២៤៧

ជាងview ខ្សែសង្វាក់សេវាកម្មជាមួយ vSRX Virtual Firewall | ២៥៦

Spawn vSRX Virtual Firewall in a Contrail Service Chain | 259 បង្កើតទម្រង់សេវាកម្ម | 259 បង្កើតបណ្តាញនិម្មិតឆ្វេង និងស្តាំ | 262 បង្កើត vSRX Virtual Firewall Service Instance | 263 បង្កើតគោលការណ៍បណ្តាញ | 263 បន្ថែមគោលការណ៍បណ្តាញទៅបណ្តាញនិម្មិត | ២៦៤

ដំឡើង vSRX Virtual Firewall នៅក្នុង Contrail | ២៦៧

vii

បើកដំណើរការ Nested Virtualization | ២៦៧

បង្កើតរសជាតិរូបភាពជាមួយ OpenStack | 269 ​​បង្កើតរសជាតិរូបភាពសម្រាប់ vSRX Virtual Firewall with Horizon | 269 ​​បង្កើតរសជាតិរូបភាពសម្រាប់ vSRX Virtual Firewall ជាមួយ Nova CLI | ២៧២

បង្ហោះរូបភាព vSRX Virtual Firewall | 273 បង្ហោះរូបភាពជញ្ជាំងភ្លើងនិម្មិត vSRX ជាមួយ OpenStack Horizon | 273 បង្ហោះរូបភាពជញ្ជាំងភ្លើងនិម្មិត vSRX ជាមួយ OpenStack Glance CLI | ២៧៦

ប្រើ Cloud-Init នៅក្នុងបរិយាកាស OpenStack ដើម្បីធ្វើស្វ័យប្រវត្តិកម្មការចាប់ផ្តើមនៃ vSRX Virtual Firewall Instances | ៤៨
អនុវត្តការដំឡើងដោយស្វ័យប្រវត្តិនៃ vSRX Virtual Firewall Instance ដោយប្រើ OpenStack CommandLine Interface | ៥២
អនុវត្តការដំឡើងដោយស្វ័យប្រវត្តិនៃ vSRX Virtual Firewall Instance ពី OpenStack Dashboard (Horizon) | ៥៤

vSRX Virtual Firewall VM Management with Contrail | 291 ភ្ជាប់ទៅកុងសូលគ្រប់គ្រងជញ្ជាំងភ្លើងនិម្មិត vSRX | ២៩១
ភ្ជាប់ទៅកុងសូលគ្រប់គ្រងជញ្ជាំងភ្លើងនិម្មិត vSRX ជាមួយ Horizon | 291 ភ្ជាប់ទៅកុងសូលគ្រប់គ្រងជញ្ជាំងភ្លើងនិម្មិត vSRX ជាមួយ Contrail | ២៩១

គ្រប់គ្រង vSRX Virtual Firewall VM | ២៩២
Power On the VM ពី OpenStack | 292 ផ្អាក VM | 293 ចាប់ផ្តើម VM ឡើងវិញ | 293 បិទ VM ពី OpenStack | 293 លុប vSRX Virtual Firewall VM ចេញពី Contrail | ២៩៣

ដំឡើងកំណែ Multicore vSRX Virtual Firewall ជាមួយ Contrail | 294 កំណត់រចនាសម្ព័ន្ធ Multi-queue Virtio Interface សម្រាប់ vSRX Virtual Firewall VM ជាមួយ OpenStack | 294 កែប្រែរសជាតិរូបភាពសម្រាប់ vSRX Virtual Firewall ជាមួយ Dashboard | 295 អាប់ដេតគំរូសេវាកម្ម | ២៩៦

Monitor vSRX Virtual Firewall with Contrail | ២៩៧

5

vSRX ការដាក់ពង្រាយជញ្ជាំងភ្លើងនិម្មិតសម្រាប់ Nutanix

ជាងview | ៦២៩.២០២.៦៧៩០

ស្វែងយល់អំពីការដាក់ពង្រាយជញ្ជាំងភ្លើងនិម្មិត vSRX ជាមួយ Nutanix | ២៩៩

វេទិកា Nutanix ចប់view | ៦២៩.២០២.៦៧៩០

ix

vSRX ការដាក់ពង្រាយជញ្ជាំងភ្លើងនិម្មិតជាមួយ Nutanix ជាងview | 302 ស្វែងយល់អំពីការដាក់ពង្រាយជញ្ជាំងភ្លើងនិម្មិត vSRX ជាមួយ Nutanix AHV | ៣០៤ សample vSRX ការដាក់ពង្រាយជញ្ជាំងភ្លើងនិម្មិតដោយប្រើ Nutanix AHV | ៣០៦

តម្រូវការសម្រាប់ vSRX Virtual Firewall នៅលើ Nutanix | 307 តម្រូវការប្រព័ន្ធសម្រាប់ Nutanix | 307 តម្រូវការយោង | ៣១០

ដំឡើង vSRX Virtual Firewall នៅក្នុង Nutanix | 312 បើកដំណើរការ និងដាក់ពង្រាយ vSRX Virtual Firewall នៅក្នុង Nutanix AHV Cluster | ៣១២
ចូលទៅ Nutanix Setup | 312 ការបន្ថែមរូបភាព vSRX Virtual Firewall | 314 ការបង្កើតបណ្តាញ | 314 បង្កើត និងដាក់ពង្រាយ vSRX Virtual Firewall VM | 315 ថាមពលនៅលើ vSRX Virtual Firewall VMs | 322 បើកដំណើរការ vSRX Virtual Firewall VM Console | ៣២៣

ដំឡើងកំណែ Junos OS សម្រាប់ vSRX Virtual Firewall Software Release | ៣២៤

6

vSRX ការដាក់ពង្រាយជញ្ជាំងភ្លើងនិម្មិតសម្រាប់ AWS

ជាងview | ៦២៩.២០២.៦៧៩០

ស្វែងយល់ vSRX Virtual Firewall ជាមួយ AWS | ៣២៦

តម្រូវការសម្រាប់ vSRX Virtual Firewall នៅលើ AWS | ៣៣២

កំណត់រចនាសម្ព័ន្ធ និងគ្រប់គ្រង Virtual Firewall នៅក្នុង AWS | 337 កំណត់រចនាសម្ព័ន្ធ Amazon Virtual Private Cloud សម្រាប់ vSRX Virtual Firewall | ៣៣៧
ជំហានទី 1: បង្កើត Amazon VPC និង Internet Gateway | 338 ជំហានទី 2៖ បន្ថែមបណ្តាញរងសម្រាប់ vSRX Virtual Firewall | 340 ជំហានទី 3៖ ភ្ជាប់ចំណុចប្រទាក់ទៅបណ្តាញរង | 341 ជំហានទី 4៖ បន្ថែមតារាងផ្លូវសម្រាប់ vSRX Virtual Firewall | 344 ជំហានទី 5៖ បន្ថែមក្រុមសុវត្ថិភាពសម្រាប់ vSRX Virtual Firewall | ៣៤៥

បើកដំណើរការ vSRX Virtual Firewall Instance នៅលើ Amazon Virtual Private Cloud | ៣៤៨
ជំហានទី 1: បង្កើត SSH Key Pair | 348 ជំហានទី 2៖ បើកដំណើរការ vSRX Virtual Firewall Instance | 350 ជំហានទី 3៖ View កំណត់ហេតុប្រព័ន្ធ AWS | 354 ជំហានទី 4៖ បន្ថែមចំណុចប្រទាក់បណ្តាញសម្រាប់ vSRX Virtual Firewall | 354 ជំហានទី 5៖ បែងចែកអាសយដ្ឋាន IP យឺត | ៣៥៦

x
ជំហានទី 6: បន្ថែម vSRX Virtual Firewall Private Interfaces ទៅកាន់ Route Tables | 356 ជំហានទី 7៖ ចាប់ផ្ដើម vSRX Virtual Firewall Instance | 357 ជំហានទី 8៖ ចូលទៅ vSRX Virtual Firewall Instance | ៣៥៧
ចុះឈ្មោះ vSRX Virtual Firewall នៅលើ AWS ជាមួយ Juniper ATP Cloud | ៣៥៩
ការប្រើប្រាស់ Cloud-Init ដើម្បីធ្វើស្វ័យប្រវត្តិកម្មការចាប់ផ្តើមនៃ vSRX Virtual Firewall Instances នៅក្នុង AWS | ៣៦៤
AWS Elastic Load Balancing and Elastic Network Adapter | 366 ជាងview នៃ AWS Elastic Load Balancing | 367 ជាងview នៃកម្មវិធី Load Balancer | 369 ការដាក់ពង្រាយ AWS Application Load Balancer | 370 Invoking Cloud Formation Template (CFT) Stack Creation for vSRX Virtual Firewall Behind AWS Application Load Balancer Deployment | 374 ជាងview នៃ AWS Elastic Network Adapter (ENA) សម្រាប់ vSRX Virtual Firewall Instances | ៣៨៣
Multi-Core Scaling Support លើ AWS ជាមួយ SRSSS និង ENA | ៣៨៤
ការត្រួតពិនិត្យមជ្ឈិម និងការដោះស្រាយបញ្ហាដោយប្រើលក្ខណៈពិសេស AWS | 385 ការយល់ដឹងអំពីការត្រួតពិនិត្យកណ្តាលដោយប្រើ Cloudwatch | 385 ការរួមបញ្ចូល vSRX Virtual Firewall ជាមួយនឹងមុខងារត្រួតពិនិត្យ និងដោះស្រាយបញ្ហា AWS | 393 ផ្តល់ការអនុញ្ញាតសម្រាប់ vSRX Virtual Firewall ដើម្បីចូលប្រើ AWS CloudWatch និង Security Hub | 393 បើកការត្រួតពិនិត្យនៃ vSRX Virtual Firewall Instances ជាមួយ AWS CloudWatch Metric | 395 ប្រមូល រក្សាទុក និង View vSRX Virtual Firewall ចូលទៅក្នុង AWS CloudWatch | 396 បើក និងកំណត់រចនាសម្ព័ន្ធ Security Hub នៅលើ vSRX Virtual Firewall | ៣៩៧
ការដាក់ពង្រាយ vSRX Virtual Firewall 3.0 សម្រាប់សុវត្ថិភាពទិន្នន័យដោយប្រើ AWS KMS | 398 រួមបញ្ចូល AWS KMS ជាមួយ vSRX Virtual Firewall 3.0 | 398 AWS Cloud Formation Templates | ៤០២
កំណត់រចនាសម្ព័ន្ធជញ្ជាំងភ្លើងនិម្មិត vSRX ដោយប្រើ CLI | 406 ស្វែងយល់ vSRX Virtual Firewall លើការកំណត់រចនាសម្ព័ន្ធ AWS និងលំនាំដើមរបស់រោងចក្រ | 406 បន្ថែមការកំណត់រចនាសម្ព័ន្ធជញ្ជាំងភ្លើងនិម្មិត vSRX មូលដ្ឋាន | 407 បន្ថែម DNS Servers | 410 បន្ថែមអាជ្ញាប័ណ្ណមុខងារជញ្ជាំងភ្លើងនិម្មិត vSRX | ៤១០
កំណត់រចនាសម្ព័ន្ធជញ្ជាំងភ្លើងនិម្មិត vSRX ដោយប្រើ J-Web ចំណុចប្រទាក់ | 411 ចូលទៅកាន់ J-Web ចំណុចប្រទាក់ និងកំណត់រចនាសម្ព័ន្ធ vSRX Virtual Firewall | 411 អនុវត្តការកំណត់រចនាសម្ព័ន្ធសម្រាប់ vSRX Virtual Firewall | 413 បន្ថែមអាជ្ញាប័ណ្ណមុខងារជញ្ជាំងភ្លើងនិម្មិត vSRX | ៤១៤

xi

ដំឡើងកំណែកម្មវិធី Junos OS នៅលើ vSRX Virtual Firewall Instance | 414 ដំឡើងកំណែ Junos OS សម្រាប់ vSRX Virtual Firewall Software Release | 414 ជំនួស vSRX Virtual Firewall Instance នៅលើ AWS | ៤១៥

យក vSRX Virtual Firewall Instance នៅលើ AWS | ៤១៦

Geneve Flow Infrastructure នៅលើ vSRX Virtual Firewall 3.0 | ៤១៦
ជាងview | 417 បើកដំណើរការគោលការណ៍សុវត្ថិភាពសម្រាប់ការត្រួតពិនិត្យលំហូរនៃកញ្ចប់ព័ត៌មាន Geneve | ៤១៨
តម្រូវការ | 419 ជាងview | 419 ការកំណត់រចនាសម្ព័ន្ធ (vSRX Virtual Firewall 3.0 ជា Tunnel Endpoint) | 419 ការកំណត់រចនាសម្ព័ន្ធ (vSRX Virtual Firewall 3.0 ជា Transit Router) | ៤២៦

AWS Gateway Load Balancing with Geneve | 433 ជាងview នៃ AWS Gateway Load Balancer | 433 AWS GWLB ជាមួយ Geneve vSRX Virtual Firewall 3.0 ការដាក់ពង្រាយ | ៤៣៥

Virtual Firewall ក្នុង AWS Use Cases | ៤៣៧ ឧample៖ កំណត់រចនាសម្ព័ន្ធ NAT សម្រាប់ vSRX Virtual Firewall | ៤៣៧
មុនពេលអ្នកចាប់ផ្តើម | 437 ជាងview | 437 ការកំណត់រចនាសម្ព័ន្ធ | 438 ការកំណត់រចនាសម្ព័ន្ធ NAT | ៤៣៨

Example៖ កំណត់រចនាសម្ព័ន្ធ VPN នៅលើ vSRX Virtual Firewall រវាង Amazon VPCs | 439 មុនពេលអ្នកចាប់ផ្តើម | 440 ជាងview | ការកំណត់រចនាសម្ព័ន្ធ VPN 440 vSRX1 | 440 ការផ្ទៀងផ្ទាត់ | ៤៤៤

Example៖ កំណត់រចនាសម្ព័ន្ធ Juniper ATP Cloud សម្រាប់ vSRX Virtual Firewall | 445 មុនពេលអ្នកចាប់ផ្តើម | 445 ជាងview | 445 Juniper ATP Cloud Configuration | ៤៤៥

7

vSRX ការដាក់ពង្រាយជញ្ជាំងភ្លើងនិម្មិតសម្រាប់ Microsoft Azure

ជាងview | ៦២៩.២០២.៦៧៩០

ស្វែងយល់ vSRX Virtual Firewall ជាមួយ Microsoft Azure Cloud | ៤៤៩

ស៊ី
តម្រូវការសម្រាប់ vSRX Virtual Firewall នៅលើ Microsoft Azure | 453 ដាក់ពង្រាយ vSRX Virtual Firewall ពី Azure Portal | 461 មុនពេលអ្នកដាក់ពង្រាយ vSRX Virtual Firewall ពី Azure Portal | 461 បង្កើតក្រុមធនធាន | 462 បង្កើតគណនីផ្ទុកទិន្នន័យ | 466 បង្កើតបណ្តាញនិម្មិត | 471 ដាក់ពង្រាយរូបភាពជញ្ជាំងភ្លើងនិម្មិត vSRX ពី Azure Marketplace | ៤៧៦
ដាក់ពង្រាយរូបភាពជញ្ជាំងភ្លើងនិម្មិត vSRX | 476 ផ្ទៀងផ្ទាត់ការដាក់ពង្រាយ vSRX Virtual Firewall ទៅ Microsoft Azure | 489 ចូលទៅ vSRX Virtual Firewall VM | 490 ដាក់ពង្រាយ vSRX Virtual Firewall ពី Azure CLI | 493 មុនពេលអ្នកដាក់ពង្រាយ vSRX Virtual Firewall ដោយប្រើ Azure CLI | 493 ដាក់ពង្រាយ vSRX Virtual Firewall ពី Azure CLI | 495 ដំឡើង Microsoft Azure CLI | 496 ទាញយក vSRX Virtual Firewall Deployment Tools | 497 ផ្លាស់ប្តូរតម្លៃប៉ារ៉ាម៉ែត្រនៅក្នុង vSRX Virtual Firewall.parameter.json File | 498 ដាក់ពង្រាយ vSRX Virtual Firewall ដោយប្រើស្គ្រីប Shell | 502 ផ្ទៀងផ្ទាត់ការដាក់ឱ្យប្រើប្រាស់ vSRX Virtual Firewall ទៅ Microsoft Azure | 504 ចូលទៅ vSRX Virtual Firewall Instance | 507 កំណត់រចនាសម្ព័ន្ធ និងគ្រប់គ្រង vSRX Virtual Firewall សម្រាប់ Microsoft Azure | 509 កំណត់រចនាសម្ព័ន្ធជញ្ជាំងភ្លើងនិម្មិត vSRX ដោយប្រើ CLI | 509 កំណត់រចនាសម្ព័ន្ធជញ្ជាំងភ្លើងនិម្មិត vSRX ដោយប្រើ J-Web ចំណុចប្រទាក់ | 511 ចូលទៅកាន់ J-Web ចំណុចប្រទាក់ និងការកំណត់រចនាសម្ព័ន្ធ vSRX Virtual Firewall | 512 អនុវត្តការកំណត់រចនាសម្ព័ន្ធ | 514 បន្ថែមអាជ្ញាប័ណ្ណមុខងារជញ្ជាំងភ្លើងនិម្មិត vSRX | 515 យក vSRX Virtual Firewall Instance ចេញពី Microsoft Azure | 515 ដំឡើងកំណែកម្មវិធី Junos OS នៅលើ vSRX Virtual Firewall Instance | 515 ដំឡើងកំណែ Junos OS សម្រាប់ vSRX Virtual Firewall Software Release | 516 ជំនួស vSRX Virtual Firewall Instance នៅលើ Azure | 516 កំណត់រចនាសម្ព័ន្ធមុខងារ Azure នៅលើ vSRX Virtual Firewall និងករណីប្រើប្រាស់ | ៥១៨

xiii

ការដាក់ពង្រាយម៉ូឌុលសុវត្ថិភាពផ្នែករឹងរបស់ Microsoft Azure នៅលើ vSRX Virtual Firewall 3.0 | ៥១៨
ការរួមបញ្ចូលម៉ូឌុលសន្តិសុខផ្នែករឹងរបស់ Microsoft Azure Key Vaultview | 519 កំណត់រចនាសម្ព័ន្ធ Microsoft Azure Key Vault HSM នៅលើ vSRX Virtual Firewall 3.0 | 520 ផ្លាស់ប្តូរពាក្យសម្ងាត់ Master Encryption | 524 ផ្ទៀងផ្ទាត់ស្ថានភាពនៃ HSM | 524 ស្នើសុំសុវត្ថិភាព hsm master-encryption-password | 525 បង្ហាញស្ថានភាពសុវត្ថិភាព hsm | 526 ការយល់ដឹងអំពីមុខងារ VPN ជាមួយ Microsoft Azure Key Vault HSM Service | 529 អាកប្បកិរិយា CLI ដោយមាន និងគ្មាន HSM | 533 ស្នើសុំសុវត្ថិភាព pki local-certificate enroll scep | ៥៣៤

Example៖ កំណត់រចនាសម្ព័ន្ធ IPsec VPN រវាង vSRX Virtual Firewall Instances ពីរ | 538 មុនពេលអ្នកចាប់ផ្តើម | 538 ជាងview | 538 vSRX Virtual Firewall IPsec VPN Configuration | 539 ការផ្ទៀងផ្ទាត់ | ៥៤២

Example: កំណត់រចនាសម្ព័ន្ធ IPsec VPN រវាង vSRX Virtual Firewall និង Virtual Network Gateway នៅក្នុង Microsoft Azure | ៥៤៣
មុនពេលអ្នកចាប់ផ្តើម | 544 ជាងview | 544 vSRX Virtual Firewall IPsec VPN Configuration | 544 Microsoft Azure Virtual Network Gateway Configuration | ៥៤៦

Example៖ កំណត់រចនាសម្ព័ន្ធ Juniper ATP Cloud សម្រាប់ vSRX Virtual Firewall | 548 មុនពេលអ្នកចាប់ផ្តើម | 548 ជាងview | 548 Juniper ATP Cloud Configuration | ៤៤៥

8

vSRX ការដាក់ពង្រាយជញ្ជាំងភ្លើងនិម្មិតសម្រាប់ Google Cloud Platform

ជាងview | ៦២៩.២០២.៦៧៩០

ស្វែងយល់អំពីការដាក់ពង្រាយជញ្ជាំងភ្លើងនិម្មិត vSRX ជាមួយ Google Cloud | ៥៥២

ស្វែងយល់អំពីការដាក់ពង្រាយជញ្ជាំងភ្លើងនិម្មិត vSRX ជាមួយ Google Cloud Platform | ៥៥២

តម្រូវការសម្រាប់ vSRX Virtual Firewall នៅលើ Google Cloud Platform | 555 Google Compute Engine Instance Types | ការគាំទ្រជញ្ជាំងភ្លើងនិម្មិត 555 vSRX សម្រាប់ Google Cloud | 556 vSRX Virtual Firewall Specifications for GCP | ៥៥៧

xiv

ដំឡើង vSRX Virtual Firewall នៅក្នុង Google Cloud | 560 រៀបចំដំឡើង vSRX Virtual Firewall Deployment នៅលើ GCP | ៥៦០
ជំហានទី 1៖ ការធ្វើផែនការគណនី Google Cloud Platform | 562 ជំហានទី 2៖ កំណត់គុណលក្ខណៈបណ្តាញ និងបង្កើត SSH Key Pair សម្រាប់ការផ្ទៀងផ្ទាត់ | 563 ជំហានទី 3៖ រៀបចំផែនការ Google Virtual Private Cloud (VPC) Network | ៥៦៥

ដាក់ពង្រាយ vSRX Virtual Firewall នៅក្នុង Google Cloud Platform | ៥៦៦
ដាក់ពង្រាយ vSRX Virtual Firewall Firewall ពី Marketplace Launcher | 566 ដាក់ពង្រាយ vSRX Virtual Firewall Instance ពី GCP Portal ដោយប្រើរូបភាពឯកជនផ្ទាល់ខ្លួន | ៥៧៤
បង្ហោះរូបភាពជញ្ជាំងភ្លើងនិម្មិត vSRX ទៅកាន់ Google Cloud Storage | 574 បង្កើតរូបភាពជញ្ជាំងភ្លើងនិម្មិត vSRX | 576 ដាក់ពង្រាយ vSRX Virtual Firewall Firewall ពី GCP Portal | 578 ដាក់ពង្រាយ vSRX Virtual Firewall Firewall ដោយប្រើ Cloud-init | ៥៨០

ដំឡើងកំណែ Junos OS សម្រាប់ vSRX Virtual Firewall Software Release | ៣២៤

សុវត្ថិភាពទិន្នន័យជាមួយ vSRX Virtual Firewall 3.0 ដោយប្រើ GCP KMS (HSM) | 584 ជាងview | 584 រួមបញ្ចូល GCP KMS ជាមួយ vSRX Virtual Firewall 3.0 | 586 ផ្ទៀងផ្ទាត់ស្ថានភាពនៃ HSM | 589 បង្ហាញស្ថានភាពសុវត្ថិភាព hsm | 590 | 592 ស្នើសុំសុវត្ថិភាព hsm master-encryption-password | ៥៩២

9

vSRX ការដាក់ពង្រាយជញ្ជាំងភ្លើងនិម្មិតសម្រាប់ IBM Cloud

ជាងview | ៦២៩.២០២.៦៧៩០

vSRX Virtual Firewall ចប់view | ៦២៩.២០២.៦៧៩០

ការចាប់ផ្តើមជាមួយ Juniper vSRX Virtual Firewall នៅលើ IBM Cloud | 598 ជាងview នៃ vSRX Virtual Firewall នៅក្នុង IBM Cloud | 598 ការជ្រើសរើសអាជ្ញាប័ណ្ណ vSRX Virtual Firewall | 600 បញ្ជាទិញ vSRX Virtual Firewall | ៦០២

លក្ខណៈពិសេស Junos OS ដែលគាំទ្រនៅលើ vSRX Virtual Firewall | ៦០៤

ការដំឡើង និងកំណត់រចនាសម្ព័ន្ធ vSRX Virtual Firewall នៅក្នុង IBM | 618 កំពុងអនុវត្ត vSRX Virtual Firewall Basics នៅក្នុង IBM Cloud | ៦១៨
Viewប្រើប្រាស់ឧបករណ៍ច្រកទ្វារទាំងអស់ | ៦១៩

xv
Viewing gateway appliance details | 619 ការប្តូរឈ្មោះឧបករណ៍ច្រកចេញចូល | 619 ការលុបចោលឧបករណ៍ច្រកចេញចូល | 620 អនុវត្តកិច្ចការបន្ថែម vSRX Virtual Firewall | ៦២០
vSRX Virtual Firewall ពិនិត្យការត្រៀមខ្លួននៅក្នុង IBM Cloud | 623 កំពុងពិនិត្យមើលការត្រៀមខ្លួន vSRX Virtual Firewall | 623 ស្ថានភាពត្រៀមខ្លួន | 624 ការកែកំហុសការត្រៀមខ្លួន | ៦២៤
ការគ្រប់គ្រង VLANs ដោយប្រើឧបករណ៍ gateway | 626 ការភ្ជាប់ VLAN ទៅនឹងឧបករណ៍ gateway | 626 កំណត់ផ្លូវ VLAN ដែលពាក់ព័ន្ធ | 626 ផ្លូវកាត់ឧបករណ៍ច្រកផ្លូវសម្រាប់ VLAN | 627 ការផ្តាច់ VLAN ពីឧបករណ៍ច្រកចេញចូល | ៦២៧
ធ្វើការជាមួយ vSRX Virtual Firewall Default Configurations | 628 ការយល់ដឹងអំពីការកំណត់រចនាសម្ព័ន្ធលំនាំដើម vSRX Virtual Firewall | 628 ការនាំចូល និងនាំចេញ ការកំណត់រចនាសម្ព័ន្ធជញ្ជាំងភ្លើងនិម្មិត vSRX | 629 ការនាំចេញផ្នែកនៃការកំណត់រចនាសម្ព័ន្ធ vSRX Virtual Firewall | 630 ការនាំចូលការកំណត់រចនាសម្ព័ន្ធជញ្ជាំងភ្លើងនិម្មិត vSRX ទាំងមូល | 631 ការនាំចូលផ្នែកនៃ vSRX Virtual Firewall configuration | ៦៣១
ការផ្ទេរការកំណត់រចនាសម្ព័ន្ធកេរ្តិ៍ដំណែលទៅបច្ចុប្បន្ន vSRX Virtual Firewall Architecture | 633 ការធ្វើចំណាកស្រុក 1G vSRX Virtual Firewall Configurations Standalone | 633 ការធ្វើចំណាកស្រុក 1G vSRX Virtual Firewall ការកំណត់រចនាសម្ព័ន្ធដែលមានស្រាប់ខ្ពស់ | ៦៤១
អនុញ្ញាតឱ្យ SSH និង Ping ទៅកាន់បណ្តាញរងសាធារណៈ | 642 អនុញ្ញាតឱ្យ SSH និង Ping ទៅកាន់បណ្តាញរងសាធារណៈ | ៦៤២
ការអនុវត្ត vSRX Virtual Firewall Advanced Tasks នៅក្នុង IBM Cloud | 643 ធ្វើការជាមួយជញ្ជាំងភ្លើង | 643 គោលនយោបាយតំបន់ | 644 តម្រងជញ្ជាំងភ្លើង | 645 ធ្វើការជាមួយ sNAT | 645 ធ្វើការជាមួយ Failover | 645 ធ្វើការជាមួយការនាំផ្លូវ | 647 ធ្វើការជាមួយ VPN | ៦៤៨

xvi

ការធានាប្រព័ន្ធប្រតិបត្តិការម៉ាស៊ីន | 654 ការកំណត់រចនាសម្ព័ន្ធចំណុចប្រទាក់គ្រប់គ្រង | ៦៥៦

ការអាប់ដេត vSRX Virtual Firewall នៅក្នុង IBM Cloud | 657 អាប់ដេត | 657 ការពិចារណាលើការធ្វើឱ្យប្រសើរឡើងទូទៅ | 660 ការអាប់ដេតដោយប្រើ OS Reload | 663 Rollback Options | 664 ការអាប់ដេតដែលមិនគាំទ្រ | ៦៦៤

ការគ្រប់គ្រង vSRX Virtual Firewall នៅក្នុង IBM Cloud | 666 vSRX Virtual Firewall Configuration and Management Tools | ៦៦៦

ការគ្រប់គ្រងគោលនយោបាយសុវត្ថិភាពសម្រាប់ម៉ាស៊ីននិម្មិតដោយប្រើប្រាស់ Junos Space Security Director | ៦៦៧

ការត្រួតពិនិត្យ និងការដោះស្រាយបញ្ហា | ៦៦៩

ជំនួយបច្ចេកទេស | ៦៦៩

10

vSRX ការដាក់ពង្រាយជញ្ជាំងភ្លើងនិម្មិតសម្រាប់ OCI

ជាងview | ៦២៩.២០២.៦៧៩០

ការយល់ដឹងអំពីការដាក់ពង្រាយជញ្ជាំងភ្លើងនិម្មិត vSRX នៅក្នុង Oracle Cloud Infrastructure | ៦៧១

ជាងview នៃស្ថាបត្យកម្ម Oracle VM | 671 vSRX Virtual Firewall ជាមួយ Oracle Cloud Infrastructure | 672 OCI សទ្ទានុក្រម | ៦៧២

តម្រូវការសម្រាប់ vSRX Virtual Firewall នៅលើ Oracle Cloud Infrastructure | 673 តម្រូវការប្រព័ន្ធអប្បបរមាសម្រាប់ OCI | 674 vSRX ការកំណត់លំនាំដើមជញ្ជាំងភ្លើងនិម្មិតជាមួយ OCI | 675 ការអនុវត្តល្អបំផុតសម្រាប់ការដាក់ពង្រាយ vSRX Virtual Firewall | ៦៧៥

ការដំឡើង vSRX Virtual Firewall នៅក្នុង OCI | ការដាក់ពង្រាយជញ្ជាំងភ្លើងនិម្មិត 676 vSRX នៅក្នុង Oracle Cloud Infrastructure | ៦៧៦
ជាងview | 676 បើកដំណើរការ vSRX Virtual Firewall Instances នៅក្នុង OCI | ៦៧៨

ដំឡើងកំណែ Junos OS សម្រាប់ vSRX Virtual Firewall Software Release | ៣២៤

vSRX អាជ្ញាប័ណ្ណជញ្ជាំងភ្លើងនិម្មិត | អាជ្ញាប័ណ្ណ 693 សម្រាប់ vSRX Virtual Firewall | ៦៩៣

xvii
អំពីការណែនាំនេះ
vSRX Virtual Firewall គឺជាទម្រង់និម្មិតនៃជញ្ជាំងភ្លើងជំនាន់ក្រោយ Juniper Networks ។ វាត្រូវបានដាក់សម្រាប់ប្រើប្រាស់ក្នុងបរិយាកាសនិម្មិត ឬពពក ដែលវាអាចការពារ និងធានាសុវត្ថិភាពចរាចរណ៍ពីខាងកើត ខាងលិច និងខាងជើងទៅខាងត្បូង។ មគ្គុទ្ទេសក៍នេះផ្តល់ឱ្យអ្នកនូវព័ត៌មានលម្អិតស្តីពីការដាក់ឱ្យប្រើប្រាស់ vSRX Virtual Firewall នៅលើវេទិកាពពកឯកជន និងសាធារណៈផ្សេងៗ។

០១ ផ្នែក
vSRX ការដាក់ពង្រាយជញ្ជាំងភ្លើងនិម្មិតសម្រាប់ KVM
ជាងview | 2 ដំឡើង vSRX Virtual Firewall ក្នុង KVM | 19 vSRX Virtual Firewall VM Management ជាមួយ KVM | 62 កំណត់រចនាសម្ព័ន្ធ vSRX Virtual Firewall Chassis Clusters នៅលើ KVM | ៨៩

2
ជំពូកទី 1
ជាងview
នៅក្នុងជំពូកនេះ ស្វែងយល់អំពី vSRX Virtual Firewall ជាមួយ KVM | 2 តម្រូវការសម្រាប់ vSRX Virtual Firewall នៅលើ KVM | ៧
ស្វែងយល់ vSRX Virtual Firewall ជាមួយ KVM
នៅក្នុងផ្នែកនេះ vSRX Virtual Firewall នៅលើ KVM | 2 vSRX Virtual Firewall ពង្រីកការអនុវត្ត | ៣
ផ្នែកនេះបង្ហាញពីការបញ្ចប់view នៃ vSRX Virtual Firewall នៅលើ KVM ។
vSRX ជញ្ជាំងភ្លើងនិម្មិតនៅលើ KVM
ខឺណែលលីនុចប្រើម៉ាស៊ីននិម្មិតដែលមានមូលដ្ឋានលើខឺណែល (KVM) ជាហេដ្ឋារចនាសម្ព័ន្ធនិម្មិត។ KVM គឺជាកម្មវិធីប្រភពបើកចំហដែលអ្នកអាចប្រើដើម្បីបង្កើតម៉ាស៊ីននិម្មិតជាច្រើន (VMs) និងដើម្បីដំឡើងឧបករណ៍សុវត្ថិភាព និងបណ្តាញ។ សមាសធាតុជាមូលដ្ឋាននៃ KVM រួមមានៈ · ម៉ូឌុលខឺណែលដែលអាចផ្ទុកបានរួមបញ្ចូលនៅក្នុងខឺណែលលីនុច ដែលផ្តល់នូវនិម្មិតជាមូលដ្ឋាន
ហេដ្ឋារចនាសម្ព័ន្ធ · ម៉ូឌុលជាក់លាក់របស់ខួរក្បាល នៅពេលផ្ទុកទៅក្នុងខឺណែលលីនុច កម្មវិធី KVM ដើរតួនាទីជាអ្នកត្រួតពិនិត្យខ្ពស់។ KVM គាំទ្រការជួលច្រើន និងអនុញ្ញាតឱ្យអ្នកដំណើរការ vSRX Virtual Firewall VMs ជាច្រើននៅលើប្រព័ន្ធប្រតិបត្តិការម៉ាស៊ីន។ KVM គ្រប់គ្រង និងចែករំលែកធនធានប្រព័ន្ធរវាង host OS និង vSRX Virtual Firewall VMs ច្រើន។

3
ចំណាំ៖ vSRX Virtual Firewall តម្រូវឱ្យអ្នកបើកដំណើរការនិម្មិតផ្អែកលើ hardware នៅលើ host OS ដែលមាន processor ដែលមានសមត្ថភាព Intel Virtualization Technology (VT)។ រូបភាពទី 1 នៅទំព័រទី 3 បង្ហាញពីរចនាសម្ព័ន្ធមូលដ្ឋាននៃ vSRX Virtual Firewall VM នៅលើម៉ាស៊ីនមេ Ubuntu ។ រូបភាពទី 1៖ vSRX Virtual Firewall VM នៅលើអ៊ូប៊ុនទូ

vSRX Virtual Firewall ពង្រីកការអនុវត្ត

តារាងទី 1 នៅទំព័រទី 3 បង្ហាញពីការបង្កើនប្រសិទ្ធភាពរបស់ vSRX Virtual Firewall នៅពេលដាក់ពង្រាយនៅលើ KVM ដោយផ្អែកលើចំនួន vCPU និង vRAM ដែលបានអនុវត្តចំពោះ vSRX Virtual Firewall VM រួមជាមួយនឹងការចេញផ្សាយ Junos OS ដែលការបញ្ជាក់ផ្នែកទន់ vSRX Virtual Firewall ត្រូវបានណែនាំ។ .
តារាងទី 1៖ vSRX Virtual Firewall ពង្រីកការអនុវត្ត

vCPUs

vRAM

អិនស៊ី

ការចេញផ្សាយត្រូវបានណែនាំ

2 vCPUs

4 ជីកាបៃ

· និម្មិត
· SR-IOV (Intel 82599, X520/540)

Junos OS Release 15.1X49-D15 និង Junos OS Release 17.3R1

4

តារាងទី 1៖ vSRX Virtual Firewall ពង្រីកការអនុវត្ត (ត)

vCPUs

vRAM

អិនស៊ី

ការចេញផ្សាយត្រូវបានណែនាំ

5 vCPUs

8 ជីកាបៃ

· និម្មិត
· SR-IOV (Intel 82599, X520/540)

Junos OS Release 15.1X49-D70 និង Junos OS Release 17.3R1

5 vCPUs

8 ជីកាបៃ

· SR-IOV (Intel X710/ XL710)

Junos OS Release 15.1X49-D90 និង Junos OS Release 17.3R1

1 vCPU 4 vCPUs

២៥៦ ជីកាបៃ ៨ ជីកាបៃ

SR-IOV នៅលើអាដាប់ទ័រគ្រួសារ Mellanox ConnectX-4 និង ConnectX-5 ។

Junos OS ចេញផ្សាយ 21.2R1

SR-IOV នៅលើអាដាប់ទ័រគ្រួសារ Mellanox ConnectX-4 និង ConnectX-5 ។

Junos OS ចេញផ្សាយ 21.2R1

8 vCPUs

16GB

SR-IOV នៅលើអាដាប់ទ័រគ្រួសារ Mellanox ConnectX-4 និង ConnectX-5 ។

Junos OS ចេញផ្សាយ 21.2R1

16 vCPUs

32 ជីកាបៃ

SR-IOV នៅលើអាដាប់ទ័រគ្រួសារ Mellanox ConnectX-4 និង ConnectX-5 ។

Junos OS ចេញផ្សាយ 21.2R1

You can scale the performance and capacity of a vSRX Virtual Firewall instance by increasing the number of vCPUs and the amount of vRAM allocated to the vSRX Virtual Firewall. The multi-core vSRX Virtual Firewall automatically selects the appropriate vCPUs and vRAM values at boot time, as well as the number of Receive Side Scaling (RSS) queues in the NIC. If the vCPU and vRAM settings allocated to a vSRX Virtual Firewall VM do not match what is currently available, the vSRX Virtual Firewall scales down to the closest supported value for the instance. For exampដូច្នេះ ប្រសិនបើ vSRX Virtual Firewall VM មាន vCPU 3 និង vRAM 8 GB នោះ vSRX Virtual Firewall ចាប់ផ្ដើមទៅទំហំ vCPU តូចជាង ដែលទាមទារ vCPU យ៉ាងតិច 2 ។ អ្នកអាចធ្វើមាត្រដ្ឋាន vSRX Virtual Firewall instance ទៅចំនួន vCPUs ខ្ពស់ជាងនេះ។

5
និងចំនួន vRAM ប៉ុន្តែអ្នកមិនអាចកាត់បន្ថយឧទាហរណ៍ vSRX Virtual Firewall ដែលមានស្រាប់ទៅការកំណត់តូចជាងនេះ។
ចំណាំ៖ ចំនួននៃជួរ RSS ជាធម្មតាត្រូវគ្នាជាមួយនឹងចំនួននៃ vCPUs យន្តហោះទិន្នន័យនៃ vSRX Virtual Firewall instance ។ សម្រាប់អតីតample, vSRX Virtual Firewall ដែលមាន 4 data plane vCPUs គួរតែមាន 4 RSS ជួរ។

vSRX បង្កើនសមត្ថភាពសម័យជញ្ជាំងភ្លើងនិម្មិត
vSRX Virtual Firewall solution is optimized to increase the session numbers by increasing ការចងចាំ។
With the ability to increase the session numbers by increasing the memory, you can enable vSRX Virtual Firewall to:
· ផ្តល់នូវសុវត្ថិភាពដែលអាចធ្វើមាត្រដ្ឋានបាន បត់បែន និងដំណើរការខ្ពស់នៅទីតាំងយុទ្ធសាស្ត្រក្នុងបណ្តាញទូរស័ព្ទចល័ត។
· ផ្តល់នូវការអនុវត្តដែលអ្នកផ្តល់សេវាតម្រូវឱ្យធ្វើមាត្រដ្ឋាន និងការពារបណ្តាញរបស់ពួកគេ។ ដំណើរការសង្ខេបវគ្គលំហូរសុវត្ថិភាពបង្ហាញ | grep ពាក្យបញ្ជាអតិបរមាទៅ view ចំនួនអតិបរមានៃវគ្គ។
ចាប់ផ្តើមនៅក្នុង Junos OS Release 18.4R1 ចំនួននៃវគ្គលំហូរដែលត្រូវបានគាំទ្រនៅលើ vSRX Virtual Firewall instance ត្រូវបានកើនឡើងដោយផ្អែកលើទំហំ vRAM ដែលបានប្រើ។
ចាប់ផ្តើមនៅក្នុង Junos OS Release 19.2R1 ចំនួននៃវគ្គលំហូរដែលបានគាំទ្រនៅលើ vSRX Virtual Firewall 3.0 instance ត្រូវបានកើនឡើងដោយផ្អែកលើទំហំ vRAM ដែលបានប្រើ។

ចំណាំ៖ វគ្គអតិបរមា 28M ត្រូវបានគាំទ្រនៅលើ vSRX Virtual Firewall 3.0។ អ្នកអាចដាក់ពង្រាយ vSRX Virtual Firewall 3.0 ជាមួយនឹងអង្គចងចាំច្រើនជាង 64G ប៉ុន្តែវគ្គលំហូរអតិបរមានៅតែអាចត្រឹមតែ 28M ប៉ុណ្ណោះ។

តារាងទី 2 នៅទំព័រទី 5 រាយបញ្ជីសមត្ថភាពលំហូរ។ តារាងទី 2៖ vSRX Virtual Firewall និង vSRX Virtual Firewall 3.0 Flow Session Capacity

vCPUs

ការចងចាំ

សមត្ថភាពនៃវគ្គលំហូរ

2

4 ជីកាបៃ

១៦.៧ ម

6

តារាងទី 2៖ vSRX Virtual Firewall និង vSRX Virtual Firewall 3.0 Flow Session Capacity Details (បន្ត)

vCPUs

ការចងចាំ

សមត្ថភាពនៃវគ្គលំហូរ

2

6 ជីកាបៃ

១៦.៧ ម

៥/៥

8 ជីកាបៃ

១៦.៧ ម

៥/៥

10 ជីកាបៃ

១៦.៧ ម

៥/៥

12 ជីកាបៃ

១៦.៧ ម

៥/៥

14 ជីកាបៃ

១៦.៧ ម

១០/១០/២០២៣

16 ជីកាបៃ

១៦.៧ ម

១០/១០/២០២៣

20 ជីកាបៃ

១៦.៧ ម

១០/១០/២០២៣

24 ជីកាបៃ

១៦.៧ ម

១០/១០/២០២៣

28 ជីកាបៃ

១៦.៧ ម

២/៥/១០/៥០

32 ជីកាបៃ

១៦.៧ ម

២/៥/១០/៥០

40 ជីកាបៃ

១៦.៧ ម

២/៥/១០/៥០

48 ជីកាបៃ

១៦.៧ ម

២/៥/១០/៥០

56 ជីកាបៃ

១៦.៧ ម

២/៥/១០/៥០

64 ជីកាបៃ

១៦.៧ ម

7

ការចេញផ្សាយតារាងប្រវត្តិសាស្រ្តចេញផ្សាយការពិពណ៌នា

19.2R1

ចាប់ផ្តើមនៅក្នុង Junos OS Release 19.2R1 ចំនួននៃវគ្គលំហូរដែលបានគាំទ្រនៅលើ vSRX Virtual Firewall 3.0 instance ត្រូវបានកើនឡើងដោយផ្អែកលើទំហំ vRAM ដែលបានប្រើ។

18.4R1

ចាប់ផ្តើមនៅក្នុង Junos OS Release 18.4R1 ចំនួននៃវគ្គលំហូរដែលត្រូវបានគាំទ្រនៅលើ vSRX Virtual Firewall instance ត្រូវបានកើនឡើងដោយផ្អែកលើទំហំ vRAM ដែលបានប្រើ។

តម្រូវការឯកសារពាក់ព័ន្ធសម្រាប់ vSRX Virtual Firewall នៅលើ KVM | 7 ធ្វើឱ្យប្រសើរឡើងនូវ Multi-core vSRX Virtual Firewall | 78 ដំឡើង vSRX Virtual Firewall ជាមួយ KVM | ២១
តម្រូវការសម្រាប់ vSRX Virtual Firewall នៅលើ KVM
នៅក្នុងផ្នែកនេះ ការកំណត់កម្មវិធី | 7 Hardware Specifications | ការអនុវត្តល្អបំផុតចំនួន 13 សម្រាប់ការកែលម្អដំណើរការជញ្ជាំងភ្លើងនិម្មិត vSRX | 14 ការគូសផែនទីចំណុចប្រទាក់សម្រាប់ vSRX Virtual Firewall នៅលើ KVM | 16 vSRX ការកំណត់លំនាំដើមជញ្ជាំងភ្លើងនិម្មិតនៅលើ KVM | ១៨

ផ្នែកនេះបង្ហាញពីការបញ្ចប់view តម្រូវការសម្រាប់ដាក់ពង្រាយ vSRX Virtual Firewall លើ KVM;
លក្ខណៈបច្ចេកទេសកម្មវិធី
គ្មានចំណងជើងតំណរាយបញ្ជីជាក់លាក់នៃតម្រូវការកម្មវិធីប្រព័ន្ធ នៅពេលដាក់ពង្រាយ vSRX Virtual Firewall នៅក្នុងបរិស្ថាន KVM ។ តារាងបង្ហាញពីការចេញផ្សាយ Junos OS ដែលការបញ្ជាក់ផ្នែកទន់ជាក់លាក់មួយសម្រាប់ដាក់ពង្រាយ vSRX Virtual Firewall នៅលើ KVM ត្រូវបានណែនាំ។ អ្នកនឹងត្រូវទាញយកការចេញផ្សាយ Junos OS ជាក់លាក់ដើម្បីយក advantage នៃលក្ខណៈពិសេសមួយចំនួន។

8

ការប្រុងប្រយ័ត្ន៖ បញ្ហាការកត់ត្រាការកែប្រែទំព័រ (PML) ដែលទាក់ទងនឹងខឺណែលម៉ាស៊ីន KVM អាចរារាំង vSRX Virtual Firewall ពីការចាប់ផ្ដើមដោយជោគជ័យ។ ប្រសិនបើអ្នកជួបប្រទះអាកប្បកិរិយានេះជាមួយ vSRX Virtual Firewall យើងសូមណែនាំឱ្យអ្នកបិទ PML នៅកម្រិតខឺណែលម៉ាស៊ីន។ សូមមើលរៀបចំ Server របស់អ្នកសម្រាប់ការដំឡើង vSRX សម្រាប់ព័ត៌មានលម្អិតអំពីការបិទ PML ដែលជាផ្នែកមួយនៃការបើកដំណើរការនិម្មិតដែលបានដាក់។

តារាងទី 3៖ មុខងារគាំទ្រនៅលើ vSRX Virtual Firewall

លក្ខណៈពិសេស

ការបញ្ជាក់

ការចេញផ្សាយ Junos OS ត្រូវបានណែនាំ

vCPUs/Memory

2 vCPU / RAM 4 GB

Junos OS Release 15.1X49-D15 និង Junos OS Release 17.3R1 (vSRX Virtual Firewall)

5 vCPU / RAM 8 GB

Junos OS Release 15.1X49-D70 និង Junos OS Release 17.3R1 (vSRX Virtual Firewall)

9 vCPU / RAM 16 GB

Junos OS ចេញផ្សាយ 18.4R1 (vSRX Virtual Firewall)
Junos OS ចេញផ្សាយ 19.1R1 (vSRX Virtual Firewall 3.0)

17 vCPU / RAM 32 GB

Junos OS ចេញផ្សាយ 18.4R1 (vSRX Virtual Firewall)
Junos OS ចេញផ្សាយ 19.1R1 (vSRX Virtual Firewall 3.0)

សមត្ថភាពវេនលំហូរដែលអាចបត់បែនបាន។

NA

ធ្វើមាត្រដ្ឋានដោយ vRAM បន្ថែម

Junos OS ចេញផ្សាយ 19.1R1 (vSRX Virtual Firewall)
Junos OS ចេញផ្សាយ 19.2R1 (vSRX Virtual Firewall 3.0)

ការគាំទ្រការធ្វើមាត្រដ្ឋានពហុស្នូល (កម្មវិធី NA RSS)

Junos OS ចេញផ្សាយ 19.3R1 (vSRX Virtual Firewall 3.0 តែប៉ុណ្ណោះ)

9

តារាងទី 3៖ មុខងារគាំទ្រនៅលើ vSRX Virtual Firewall (ត)

លក្ខណៈពិសេស

ការបញ្ជាក់

កក់ស្នូល vCPU បន្ថែមសម្រាប់ NA រ៉ោតទ័រម៉ាស៊ីន (vSRX Virtual Firewall និង vSRX Virtual Firewall 3.0)

ការចេញផ្សាយ Junos OS ត្រូវបានណែនាំ

Virtio (virtio-net, vhost-net) (vSRX NA Virtual Firewall និង vSRX Virtual Firewall 3.0)

គាំទ្រ Hypervisors Linux KVM Hypervisor គាំទ្រ

Ubuntu 14.04.5, 16.04, និង 16.10 Junos OS Release 18.4R1

លក្ខណៈពិសេសផ្សេងទៀត Cloud-init

អ៊ូប៊ុនទូ 18.04 និង 20.04

Junos OS ចេញផ្សាយ 20.4R1

Red Hat Enterprise Linux (RHEL) 7.3

Junos OS ចេញផ្សាយ 18.4R1

Red Hat Enterprise Linux (RHEL) 7.6 និង 7.7

Junos OS ចេញផ្សាយ 19.2R1

Red Hat Enterprise Linux (RHEL) 8.2

Junos OS ចេញផ្សាយ 20.4R1

CentOS 7.1, 7.2, 7.6, និង 7.7

Junos OS ចេញផ្សាយ 19.2R1

NA

Powermode IPSec (PMI)

NA

ចង្កោមតួ

NA

10

តារាងទី 3៖ មុខងារគាំទ្រនៅលើ vSRX Virtual Firewall (ត)

លក្ខណៈពិសេស

ការបញ្ជាក់

វគ្គផ្អែកលើ GTP TEID

NA

ការចែកចាយដោយប្រើកម្មវិធី RSS

ការចេញផ្សាយ Junos OS ត្រូវបានណែនាំ
បាទ / ចាស (ការចេញផ្សាយ Junos OS 19.3R1 តទៅ)

ម៉ាស៊ីនស្កេនកំចាត់មេរោគនៅលើឧបករណ៍

NA

(អាវីរ៉ា)

បាទ / ចាស (ការចេញផ្សាយ Junos OS 19.4R1 តទៅ)

អិលឌីភី

NA

ចំណុចប្រទាក់ Junos Telemetry

NA

តម្រូវការប្រព័ន្ធ

ការបង្កើនល្បឿនផ្នែករឹង / បើក

NA

ទង់ស៊ីភីយូ VMX នៅក្នុង hypervisor

បាទ / ចាស (ការចេញផ្សាយ Junos OS 21.1R1 តទៅ)
បាទ / ចាស (ការចេញផ្សាយ Junos OS 20.3R1 តទៅ)

ទំហំថាស

16 GB (IDE ឬ SCSI drives) (vSRX Virtual Firewall)

Junos OS Release 15.1X49-D15 និង Junos OS Release 17.3R1

18 GB (vSRX Virtual Firewall 3.0)

តារាងទី 4៖ ការគាំទ្រ vNIC នៅលើ vSRX Virtual Firewall

vNICs

ការចេញផ្សាយត្រូវបានណែនាំ

Virtio SA និង HA

SR-IOV SA និង HA លើស៊េរី Intel 82599/X520

Junos OS Release 15.1X49-D90 និង Junos OS Release 17.3R1

SR-IOV SA និង HA លើស៊េរី Intel X710/XL710/XXV710

Junos OS ចេញផ្សាយ 15.1X49-D90

SR-IOV SA លើស៊េរី Intel E810

Junos OS ចេញផ្សាយ 18.1R1

11

តារាងទី 4៖ ការគាំទ្រ vNIC នៅលើ vSRX Virtual Firewall (បន្ត)

vNICs

ការចេញផ្សាយត្រូវបានណែនាំ

SR-IOV HA លើស៊េរី Intel E810

unos OS ចេញផ្សាយ 18.1R1

SR-IOV SA និង HA លើ Mellanox ConnectX-3

មិនគាំទ្រ

SR-IOV SA និង HA លើ Mellanox ConnectX-4/5/6 (សម្រាប់តែអ្នកបើកបរ MLX5)

Junos OS ចេញផ្សាយ 18.1R1 (vSRX Virtual Firewall)
Junos OS ចេញផ្សាយ 21.2R1 តទៅនៅលើ vSRX Virtual Firewall 3.0

PCI ឆ្លងកាត់លើ Intel 82599/X520 series PCI ឆ្លងកាត់លើ Intel X710/XL710 series Data Plane Development Kit (DPDK) កំណែ 17.05

មិនគាំទ្រ មិនគាំទ្រ Junos OS Release 18.2R1

Data Plane Development Kit (DPDK) កំណែ 18.11

Junos OS ចេញផ្សាយ 19.4R1

ចាប់ផ្តើមនៅក្នុង Junos OS Release 19.4R1, DPDK កំណែ 18.11 ត្រូវបានគាំទ្រនៅលើ vSRX Virtual Firewall ។ ជាមួយនឹងលក្ខណៈពិសេសនេះ កាតចំណុចប្រទាក់បណ្តាញភ្ជាប់ Mellanox (NIC) នៅលើ vSRX Virtual Firewall ឥឡូវនេះគាំទ្រ OSPF Multicast និង VLANs ។

Data Plane Development Kit (DPDK) កំណែ 20.11

Junos OS ចេញផ្សាយ 21.2R1

ចាប់ផ្តើមនៅក្នុង Junos OS Release 21.2R1 យើងបានដំឡើងកំណែ Data Plane Development Kit (DPDK) ពីកំណែ 18.11 ទៅកំណែ 20.11។ កំណែថ្មីនេះគាំទ្រ ICE Poll Mode Driver (PMD) ដែលអនុញ្ញាតឱ្យប្រើ Intel E810 ស៊េរី 100G NIC ជាក់ស្តែងនៅលើ vSRX Virtual Firewall 3.0 ។

ចំណាំ៖ ជញ្ជាំងភ្លើងនិម្មិត vSRX នៅលើការដាក់ពង្រាយ KVM តម្រូវឱ្យអ្នកបើកដំណើរការនិម្មិតផ្អែកលើផ្នែករឹងនៅលើប្រព័ន្ធប្រតិបត្តិការម៉ាស៊ីនដែលមានប្រព័ន្ធដំណើរការ Intel Virtualization Technology (VT) ដែលមានសមត្ថភាព។ អ្នកអាចផ្ទៀងផ្ទាត់ភាពត្រូវគ្នារបស់ CPU នៅទីនេះ៖ http://www.linux-kvm.org/page/ Processor_support

12

គ្មានចំណងជើងតំណរាយបញ្ជីលក្ខណៈពិសេសនៅលើ vSRX Virtual Firewall VM ។
ចាប់ផ្តើមនៅក្នុង Junos OS Release 19.1R1, vSRX Virtual Firewall instance គាំទ្រ OS Guest ដោយប្រើ 9 ឬ 17 vCPUs ជាមួយនឹង single-root I/O virtualization លើ Intel X710/XL710 នៅលើ Linux KVM hypervisor សម្រាប់ធ្វើអោយប្រសើរឡើងនូវទំហំ និងដំណើរការ។

អនុសាសន៍ខឺណែល KVM សម្រាប់ vSRX Virtual Firewall
តារាងទី 5 នៅលើទំព័រ 12 រាយបញ្ជីកំណែខឺណែលលីនុចដែលបានណែនាំសម្រាប់ប្រព័ន្ធប្រតិបត្តិការម៉ាស៊ីនលីនុចរបស់អ្នក នៅពេលដាក់ពង្រាយ vSRX Virtual Firewall នៅលើ KVM ។ តារាងបង្ហាញពីការចេញផ្សាយ Junos OS ដែលការគាំទ្រសម្រាប់កំណែខឺណែលលីនុចជាក់លាក់មួយត្រូវបានណែនាំ។
តារាងទី 5៖ ការណែនាំខឺណែលសម្រាប់ KVM

ការចែកចាយលីនុចបើក

កំណែខឺណែលលីនុច

គាំទ្រការចេញផ្សាយ Junos OS

CentOS

3.10.0.229
ដំឡើងកំណែខឺណែលលីនុច ដើម្បីចាប់យកកំណែដែលបានណែនាំ។

Junos OS Release 15.1X49-D15 និង Junos OS Release 17.3R1 ឬក្រោយការចេញផ្សាយ

អ៊ូប៊ុនទូ

3.16

Junos OS Release 15.1X49-D15 និង Junos OS Release 17.3R1 ឬក្រោយការចេញផ្សាយ

4.4

Junos OS ចេញផ្សាយ 15.1X49-D15 និង Junos OS

ចេញផ្សាយ 17.3R1 ឬក្រោយការចេញផ្សាយ

18.04

Junos OS Release 20.4R1 ឬក្រោយការចេញផ្សាយ

20.04

Junos OS Release 20.4R1 ឬក្រោយការចេញផ្សាយ

RHEL

3.10

Junos OS Release 15.1X49-D15 និង Junos OS Release 17.3R1 ឬក្រោយការចេញផ្សាយ

13

កញ្ចប់លីនុចបន្ថែមសម្រាប់ vSRX Virtual Firewall នៅលើ KVM
តារាងទី 6 នៅទំព័រទី 13 រាយបញ្ជីកញ្ចប់បន្ថែមដែលអ្នកត្រូវការនៅលើប្រព័ន្ធប្រតិបត្តិការ Linux ម៉ាស៊ីនរបស់អ្នកដើម្បីដំណើរការ vSRX Virtual Firewall នៅលើ KVM ។ សូមមើលឯកសារប្រព័ន្ធប្រតិបត្តិការម៉ាស៊ីនរបស់អ្នកសម្រាប់របៀបដំឡើងកញ្ចប់ទាំងនេះ ប្រសិនបើពួកវាមិនមានវត្តមាននៅលើម៉ាស៊ីនមេរបស់អ្នក។
តារាងទី 6៖ កញ្ចប់លីនុចបន្ថែមសម្រាប់ KVM

កញ្ចប់

កំណែ

តំណទាញយក

libvirt

0.10.0

ទាញយក libvirt

អ្នកគ្រប់គ្រង virt (បានណែនាំ)

0.10.0

virt-manager ទាញយក

លក្ខណៈបច្ចេកទេសផ្នែករឹង

តារាងទី 7 នៅលើទំព័រទី 13 រាយបញ្ជីលក្ខណៈពិសេសផ្នែករឹងសម្រាប់ម៉ាស៊ីនម៉ាស៊ីនដែលដំណើរការ vSRX Virtual Firewall VM ។
តារាងទី 7: លក្ខណៈបច្ចេកទេសផ្នែករឹងសម្រាប់ម៉ាស៊ីនម៉ាស៊ីន

សមាសភាគ

ការបញ្ជាក់

ប្រភេទម៉ាស៊ីនដំណើរការ

ស៊ីភីយូ Intel x86_64 ពហុស្នូល
ចំណាំ៖ DPDK ទាមទារការគាំទ្រ Intel Virtualization VT-x/VT-d នៅក្នុង CPU ។ សូមមើលអំពីបច្ចេកវិទ្យា Intel Virtualization ។

14

តារាងទី 7៖ លក្ខណៈបច្ចេកទេសផ្នែករឹងសម្រាប់ម៉ាស៊ីនម៉ាស៊ីន (ត)

សមាសភាគ

ការបញ្ជាក់

ការគាំទ្រ NIC រាងកាយសម្រាប់ vSRX Virtual Firewall និង vSRX Virtual Firewall 3.0

· Virtio · SR-IOV (Intel X710/XL710, X520/540, 82599)

· SR-IOV (Mellanox ConnectX-3/ConnectX-3 Pro និង Mellanox ConnectX-4 EN/ ConnectX-4 Lx EN)

ចំណាំ៖ ប្រសិនបើប្រើ SR-IOV ជាមួយ Mellanox ConnectX-3 ឬ ConnectX-4 Family Adapters នៅលើម៉ាស៊ីន Linux បើចាំបាច់ សូមដំឡើងកម្មវិធីបញ្ជាលីនុច MLNX_OFED ចុងក្រោយបំផុត។ សូមមើល Mellanox OpenFabrics Enterprise Distribution សម្រាប់ Linux (MLNX_OFED)។

ចំណាំ៖ អ្នកត្រូវតែបើកដំណើរការផ្នែកបន្ថែម Intel VT-d ដើម្បីផ្តល់ការគាំទ្រផ្នែករឹងសម្រាប់ការចាត់តាំងឧបករណ៍រូបវន្តដោយផ្ទាល់សម្រាប់ភ្ញៀវម្នាក់ៗ។ សូមមើល Configure SR-IOV និង PCI នៅលើ KVM។

ការគាំទ្រ NIC រាងកាយសម្រាប់ vSRX Virtual Firewall 3.0

គាំទ្រ SR-IOV នៅលើ Intel X710/XL710/XXV710 និង Intel E810។

ការអនុវត្តល្អបំផុតសម្រាប់ការកែលម្អដំណើរការជញ្ជាំងភ្លើងនិម្មិត vSRX
Review ការអនុវត្តខាងក្រោមដើម្បីកែលម្អដំណើរការ vSRX Virtual Firewall ។
ថ្នាំង NUMA
ស្ថាបត្យកម្មម៉ាស៊ីនមេ x86 មានរន្ធច្រើន និងស្នូលជាច្រើននៅក្នុងរន្ធមួយ។ រន្ធនីមួយៗមានអង្គចងចាំដែលត្រូវបានប្រើដើម្បីរក្សាទុកកញ្ចប់ព័ត៌មានកំឡុងពេលផ្ទេរ I/O ពី NIC ទៅម៉ាស៊ីន។ ដើម្បីអានកញ្ចប់ព័ត៌មានពីអង្គចងចាំប្រកបដោយប្រសិទ្ធភាព កម្មវិធីភ្ញៀវ និងគ្រឿងកុំព្យូទ័រដែលពាក់ព័ន្ធ (ដូចជា NIC) គួរតែស្ថិតនៅក្នុងរន្ធតែមួយ។ ការពិន័យត្រូវបានផ្សារភ្ជាប់ជាមួយនឹងការពង្រីករន្ធស៊ីភីយូសម្រាប់ការចូលប្រើអង្គចងចាំ ដែលអាចបណ្តាលឱ្យមានដំណើរការមិនកំណត់។ សម្រាប់ vSRX Virtual Firewall យើងសូមណែនាំថា vCPUs ទាំងអស់សម្រាប់ vSRX Virtual Firewall VM គឺស្ថិតនៅក្នុងថ្នាំងការចូលប្រើអង្គចងចាំមិនឯកសណ្ឋានដូចគ្នា (NUMA) សម្រាប់ដំណើរការល្អបំផុត។
ការប្រុងប្រយ័ត្ន៖ ម៉ាស៊ីនបញ្ជូនបន្តកញ្ចប់ (PFE) នៅលើ vSRX Virtual Firewall នឹងមិនឆ្លើយតប ប្រសិនបើ NUMA nodes topology ត្រូវបានកំណត់រចនាសម្ព័ន្ធនៅក្នុង hypervisor ដើម្បីផ្សព្វផ្សាយ vCPU របស់ instance ឆ្លងកាត់ថ្នាំង NUMA ម៉ាស៊ីនច្រើន។ vSRX Virtual Firewall តម្រូវឱ្យអ្នកធានាថា vCPU ទាំងអស់ស្ថិតនៅលើថ្នាំង NUMA តែមួយ។

15

យើងណែនាំអ្នកឱ្យចង vSRX ជញ្ជាំងភ្លើងនិម្មិតជាមួយថ្នាំង NUMA ជាក់លាក់មួយដោយកំណត់ NUMA node affinity ។ ភាពស្និទ្ធស្នាលរបស់ថ្នាំង NUMA រារាំងការកំណត់ពេលវេលាធនធាន vSRX Virtual Firewall VM ដល់តែថ្នាំង NUMA ដែលបានបញ្ជាក់ប៉ុណ្ណោះ។
ការគូសផែនទីចំណុចប្រទាក់និម្មិតទៅ vSRX ជញ្ជាំងភ្លើងនិម្មិត VM ដើម្បីកំណត់ចំណុចប្រទាក់និម្មិតណាមួយនៅលើផែនទីប្រព័ន្ធប្រតិបត្តិការលីនុចរបស់អ្នកទៅកាន់ vSRX ជញ្ជាំងភ្លើងនិម្មិត VM: 1. ប្រើពាក្យបញ្ជាបញ្ជី virsh នៅលើប្រព័ន្ធប្រតិបត្តិការម៉ាស៊ីនលីនុចរបស់អ្នកដើម្បីរាយបញ្ជី VMs ដែលកំពុងដំណើរការ។
បញ្ជី hostOS# virsh

ឈ្មោះលេខសម្គាល់

រដ្ឋ

——————————————————

៩ សេន ១

កំពុងរត់

៩ សេន ១

កំពុងរត់

៩ សេន ១

កំពុងរត់

48 vsrx

កំពុងរត់

50 1117-2

កំពុងរត់

51 1117-3

កំពុងរត់

2. ប្រើពាក្យបញ្ជា virsh domiflist vsrx-name ដើម្បីរាយបញ្ជីចំណុចប្រទាក់និម្មិតនៅលើ vSRX Virtual Firewall VM នោះ។

hostOS# virsh domiflist vsrx

ប្រភេទចំណុចប្រទាក់

គំរូប្រភព

MAC

——————————————————-

vnet1

ស្ពាន ប្រេម ២

គុណធម៌

52:54:00:8f:75:a5

vnet2

ស្ពាន br1

គុណធម៌

52:54:00:12:37:62

vnet3

ស្ពាន brconnect virtio

52:54:00:b2:cd:f4

ចំណាំ៖ ចំណុចប្រទាក់និម្មិតដំបូងផែនទីទៅចំណុចប្រទាក់ fxp0 នៅក្នុង Junos OS ។

16

ការគូសផែនទីចំណុចប្រទាក់សម្រាប់ vSRX ជញ្ជាំងភ្លើងនិម្មិតនៅលើ KVM

អាដាប់ទ័របណ្តាញនីមួយៗដែលបានកំណត់សម្រាប់ vSRX ជញ្ជាំងភ្លើងនិម្មិតត្រូវបានផ្គូផ្គងទៅចំណុចប្រទាក់ជាក់លាក់មួយ អាស្រ័យលើថាតើ vSRX Virtual Firewall instance គឺជា VM ដាច់ដោយឡែក ឬមួយគូនៃចង្កោមសម្រាប់ភាពអាចរកបានខ្ពស់។ ឈ្មោះចំណុចប្រទាក់ និងការគូសផែនទីនៅក្នុង vSRX Virtual Firewall ត្រូវបានបង្ហាញនៅក្នុងតារាងទី 8 នៅទំព័រ 16 និងតារាងទី 9 នៅទំព័រ 17 ។
ចំណាំដូចខាងក្រោម:
· ក្នុង​របៀប​តែ​ឯង៖
· fxp0 គឺជាចំណុចប្រទាក់គ្រប់គ្រងក្រៅបណ្តាញ។
· ge-0/0/0 គឺជាចំណុចប្រទាក់ចរាចរដំបូង (ចំណូល) ។
·នៅក្នុងរបៀបចង្កោម៖
· fxp0 គឺជាចំណុចប្រទាក់គ្រប់គ្រងក្រៅបណ្តាញ។
· em0 គឺជាតំណភ្ជាប់ត្រួតពិនិត្យចង្កោមសម្រាប់ថ្នាំងទាំងពីរ។
· ចំណុចប្រទាក់ចរាចរណ៍ណាមួយអាចត្រូវបានបញ្ជាក់ជាតំណភ្ជាប់ក្រណាត់ ដូចជា ge-0/0/0 សម្រាប់ fab0 នៅលើ node 0 និង ge-7/0/0 សម្រាប់ fab1 នៅលើថ្នាំង 1។
តារាងទី 8 នៅទំព័រទី 16 បង្ហាញឈ្មោះចំណុចប្រទាក់ និងការគូសផែនទីសម្រាប់ standalone vSRX Virtual Firewall VM ។ តារាងទី 8៖ ឈ្មោះចំណុចប្រទាក់សម្រាប់ Standalone vSRX Virtual Firewall VM

អាដាប់ទ័របណ្តាញ

ឈ្មោះចំណុចប្រទាក់នៅក្នុង Junos OS សម្រាប់ vSRX Virtual Firewall

1

fxp0

2

ge-0/0/0

3

ge-0/0/1

4

ge-0/0/2

5

ge-0/0/3

17

តារាងទី 8៖ ឈ្មោះចំណុចប្រទាក់សម្រាប់ Standalone vSRX Virtual Firewall VM (បន្ត)

អាដាប់ទ័របណ្តាញ

ឈ្មោះចំណុចប្រទាក់នៅក្នុង Junos OS សម្រាប់ vSRX Virtual Firewall

6

ge-0/0/4

7

ge-0/0/5

8

ge-0/0/6

តារាងទី 9 នៅទំព័រទី 17 បង្ហាញឈ្មោះចំណុចប្រទាក់ និងការគូសផែនទីសម្រាប់គូនៃ vSRX Virtual Firewall VMs នៅក្នុងចង្កោម (ថ្នាំង 0 និងថ្នាំង 1) ។
តារាងទី 9៖ ឈ្មោះចំណុចប្រទាក់សម្រាប់ vSRX Virtual Firewall Cluster Pair

អាដាប់ទ័របណ្តាញ

ឈ្មោះចំណុចប្រទាក់នៅក្នុង Junos OS សម្រាប់ vSRX Virtual Firewall

1

fxp0 (ថ្នាំង 0 និង 1)

2

em0 (ថ្នាំង 0 និង 1)

3

ge-0/0/0 (ថ្នាំង 0)

ge-7/0/0 (ថ្នាំង 1)

4

ge-0/0/1 (ថ្នាំង 0)

ge-7/0/1 (ថ្នាំង 1)

5

ge-0/0/2 (ថ្នាំង 0)

ge-7/0/2 (ថ្នាំង 1)

6

ge-0/0/3 (ថ្នាំង 0)

ge-7/0/3 (ថ្នាំង 1)

7

ge-0/0/4 (ថ្នាំង 0)

ge-7/0/4 (ថ្នាំង 1)

18

តារាងទី 9៖ ឈ្មោះចំណុចប្រទាក់សម្រាប់ vSRX Virtual Firewall Cluster Pair (បន្ត)

អាដាប់ទ័របណ្តាញ

ឈ្មោះចំណុចប្រទាក់នៅក្នុង Junos OS សម្រាប់ vSRX Virtual Firewall

8

ge-0/0/5 (ថ្នាំង 0)

ge-7/0/5 (ថ្នាំង 1)

vSRX ការកំណត់លំនាំដើមជញ្ជាំងភ្លើងនិម្មិតនៅលើ KVM

vSRX ជញ្ជាំងភ្លើងនិម្មិតទាមទារការកំណត់រចនាសម្ព័ន្ធមូលដ្ឋានខាងក្រោម៖ · ចំណុចប្រទាក់ត្រូវតែត្រូវបានផ្តល់អាសយដ្ឋាន IP ។ · ចំណុចប្រទាក់ត្រូវតែភ្ជាប់ទៅនឹងតំបន់។ · គោលការណ៍ត្រូវតែកំណត់រចនាសម្ព័ន្ធរវាងតំបន់ដើម្បីអនុញ្ញាត ឬបដិសេធចរាចរណ៍។ តារាងទី 10 នៅលើទំព័រ 18 រាយបញ្ជីការកំណត់លំនាំដើមរបស់រោងចក្រសម្រាប់គោលការណ៍សុវត្ថិភាពនៅលើ vSRX Virtual Firewall ។ តារាងទី 10៖ ការកំណត់លំនាំដើមរបស់រោងចក្រសម្រាប់គោលការណ៍សុវត្ថិភាព

តំបន់ប្រភព

តំបន់គោលដៅ

សកម្មភាពគោលនយោបាយ

ទុកចិត្ត

មិនទុកចិត្ត

អនុញ្ញាត

ទុកចិត្ត

ទុកចិត្ត

អនុញ្ញាត

មិនទុកចិត្ត

ទុកចិត្ត

បដិសេធ

ឯកសារពាក់ព័ន្ធអំពី Intel Virtualization Technology DPDK Release Notes

19
ជំពូកទី 2
ដំឡើង vSRX Virtual Firewall ក្នុង KVM
នៅក្នុងជំពូកនេះ រៀបចំ Server របស់អ្នកសម្រាប់ការដំឡើង vSRX Virtual Firewall | 19 ដំឡើង vSRX Virtual Firewall ជាមួយ KVM | ២១ ឧample: ដំឡើង និងបើកដំណើរការ vSRX Virtual Firewall នៅលើ Ubuntu | 27 ផ្ទុកការកំណត់ដំបូងនៅលើ vSRX Virtual Firewall ជាមួយ KVM | 45 ប្រើ Cloud-Init នៅក្នុងបរិយាកាស OpenStack ដើម្បីធ្វើស្វ័យប្រវត្តិកម្មការចាប់ផ្តើមនៃ vSRX Virtual Firewall Instances | ៤៨
រៀបចំ Server របស់អ្នកសម្រាប់ការដំឡើង vSRX Virtual Firewall
នៅក្នុងផ្នែកនេះ បើកដំណើរការ Nested Virtualization | 19 ដំឡើងកំណែ Linux Kernel នៅលើ Ubuntu | ២១
បើកដំណើរការ Nested Virtualization
យើងសូមណែនាំឱ្យអ្នកបើកដំណើរការនិម្មិតដែលបានដាក់នៅលើម៉ាស៊ីន OS ឬថ្នាំងគណនា OpenStack របស់អ្នក។ Nested virtualization ត្រូវបានបើកតាមលំនាំដើមនៅលើ Ubuntu ប៉ុន្តែត្រូវបានបិទតាមលំនាំដើមនៅលើ CentOS។ ប្រើពាក្យបញ្ជាខាងក្រោមដើម្បីកំណត់ថាតើការធ្វើនិម្មិតដែលបង្កប់ត្រូវបានបើកនៅលើប្រព័ន្ធប្រតិបត្តិការម៉ាស៊ីនរបស់អ្នក។ លទ្ធផលគួរតែជា Y. hostOS# cat /sys/module/kvm_intel/parameters/nested hostOS# Y

20
ចំណាំ៖ និម្មិត APIC (APICv) មិនដំណើរការល្អជាមួយ VMs ដែលត្រូវបានភ្ជាប់ដូចដែលប្រើជាមួយ KVM នោះទេ។ នៅលើស៊ីភីយូ Intel ដែលគាំទ្រ APICv (ជាទូទៅម៉ូដែល v2 ឧទាហរណ៍ample E5 v2 និង E7 v2) អ្នកត្រូវតែបិទ APICv នៅលើម៉ាស៊ីនមេ មុនពេលដាក់ពង្រាយ vSRX Virtual Firewall ។
ដើម្បីបើកដំណើរការនិម្មិត nested នៅលើ host OS៖ 1. អាស្រ័យលើប្រព័ន្ធប្រតិបត្តិការម៉ាស៊ីនរបស់អ្នក សូមអនុវត្តដូចខាងក្រោម៖
· នៅលើ CentOS សូមបើក /etc/modprobe.d/dist.conf file នៅក្នុងកម្មវិធីនិពន្ធលំនាំដើមរបស់អ្នក។
hostOS# vi /etc/modprobe.d/dist.conf · នៅលើអ៊ូប៊ុនទូ សូមបើក /etc/modprobe.d/qemu-system-x86.conf file នៅក្នុងកម្មវិធីនិពន្ធលំនាំដើមរបស់អ្នក។
hostOS# vi /etc/modprobe.d/qemu-system-x86.conf 2. បន្ថែមបន្ទាត់ខាងក្រោមទៅ file:
hostOS# ជម្រើស kvm-intel nested=y enable_apicv=n
ចំណាំ៖ បញ្ហាការកត់ត្រាការកែប្រែទំព័រ (PML) ដែលទាក់ទងនឹងខឺណែលម៉ាស៊ីន KVM អាចរារាំង vSRX Virtual Firewall ពីការចាប់ផ្ដើមដោយជោគជ័យ។ យើងសូមណែនាំឱ្យអ្នកបន្ថែមបន្ទាត់ខាងក្រោមទៅ file ជំនួសឱ្យបន្ទាត់ដែលបានរាយខាងលើក្នុងជំហានទី 2៖ hostOS# ជម្រើស kvm-intel nested=y enable_apicv=n pml=n
រក្សាទុកឯកសារ file ហើយចាប់ផ្ដើម OS របស់ម៉ាស៊ីនឡើងវិញ។ 4. (ស្រេចចិត្ត) បន្ទាប់ពីការចាប់ផ្ដើមឡើងវិញ សូមផ្ទៀងផ្ទាត់ថាការនិម្មិតដែលបានដាក់បញ្ចូលត្រូវបានបើកដំណើរការ។
hostOS# cat /sys/module/kvm_intel/parameters/nested
hostOS# Y

21
5. នៅលើស៊ីភីយូ Intel ដែលគាំទ្រ APICv (ឧទាហរណ៍ample, E5 v2 និង E7 v2), បិទ APICv នៅលើប្រព័ន្ធប្រតិបត្តិការម៉ាស៊ីន។
root@host# sudo rmmod kvm-intel root@host# sudo sh -c “echo 'options kvm-intel enable_apicv=n' >> /etc/modprobe.d/dist.conf” root@host# sudo modprobe kvm-intel 6. ជាជម្រើស ផ្ទៀងផ្ទាត់ថា APICv ឥឡូវនេះត្រូវបានបិទ។
root@host# cat /sys/module/kvm_intel/parameters/enable_apicv
N
ដំឡើងកំណែ Linux Kernel នៅលើ Ubuntu
ដើម្បីដំឡើងកំណែទៅខឺណែលលីនុចដែលមានស្ថេរភាពចុងក្រោយបំផុតនៅលើអ៊ូប៊ុនទូ៖ 1. ទទួលបាន និងដំឡើងខឺណែលដែលបានធ្វើបច្ចុប្បន្នភាពដែលមាន។
hostOS:$ sudo apt-get install linux-image-generic-lts-utopic 2. ចាប់ផ្ដើម host OS ឡើងវិញ។
hostOS:$ reboot 3. ជាជម្រើស វាយ uname -a នៅក្នុង terminal លើ host OS របស់អ្នក ដើម្បីផ្ទៀងផ្ទាត់ថា host OS កំពុងប្រើចុងក្រោយបង្អស់
កំណែខឺណែល hostOS: $ uname -a
3.16.0-48-ទូទៅ
ដំឡើង vSRX Virtual Firewall ជាមួយ KVM
នៅក្នុងផ្នែកនេះ ដំឡើង vSRX Virtual Firewall ជាមួយ virt-manager | 22 ដំឡើង vSRX Virtual Firewall ជាមួយ virt-install | ២៤

22 អ្នកប្រើ virt-manager ឬ virt-install ដើម្បីដំឡើង vSRX Virtual Firewall VMs ។ សូមមើលឯកសារប្រព័ន្ធប្រតិបត្តិការរបស់អ្នកសម្រាប់ព័ត៌មានលម្អិតពេញលេញនៅលើកញ្ចប់ទាំងនេះ។
ចំណាំ៖ ដើម្បីធ្វើឱ្យប្រសើរឡើងនូវវត្ថុជញ្ជាំងភ្លើងនិម្មិត vSRX ដែលមានស្រាប់ សូមមើល ការផ្លាស់ប្តូរ ការធ្វើឱ្យប្រសើរ និងការបន្ទាបចំណាត់ថ្នាក់នៅក្នុង vSRX Virtual Firewall Release Notes ។
ដំឡើង vSRX Virtual Firewall ជាមួយ virt-manager
ត្រូវប្រាកដថាអ្នកបានដំឡើង KVM, qemu, virt-manager និង libvirt នៅលើម៉ាស៊ីន OS របស់អ្នក។ អ្នកក៏ត្រូវតែកំណត់រចនាសម្ព័ន្ធបណ្តាញនិម្មិតដែលត្រូវការ និងអាងស្តុកទុកនៅក្នុងម៉ាស៊ីន OS សម្រាប់ vSRX Virtual Firewall VM ។ សូមមើលឯកសារ OS ម៉ាស៊ីនរបស់អ្នកសម្រាប់ព័ត៌មានលម្អិត។ អ្នកអាចដំឡើង និងបើកដំណើរការ vSRX Virtual Firewall ជាមួយនឹងកញ្ចប់ KVM virt-manager GUI ។ ដើម្បីដំឡើង vSRX Virtual Firewall ជាមួយ virt-manager៖ 1. ទាញយករូបភាព vSRX Virtual Firewall QCOW2 ពីគេហទំព័រទាញយកកម្មវិធី Juniper ។ 2. នៅលើម៉ាស៊ីន OS របស់អ្នក វាយ virt-manager ។ កម្មវិធីគ្រប់គ្រងម៉ាស៊ីននិម្មិតលេចឡើង។ សូមមើលរូបភាពទី 2 នៅលើទំព័រ
22. ចំណាំ៖ អ្នកត្រូវតែមានសិទ្ធិគ្រប់គ្រងនៅលើ host OS ដើម្បីប្រើ virt-manager ។
រូបភាពទី 2: virt-manager
3. ចុចបង្កើតម៉ាស៊ីននិម្មិតថ្មីមួយដូចឃើញក្នុងរូបភាពទី 3 នៅទំព័រទី 23។ អ្នកជំនួយការ VM ថ្មីលេចឡើង។

23
រូបភាពទី 3៖ បង្កើតម៉ាស៊ីននិម្មិតថ្មី។
4. ជ្រើសរើស នាំចូលរូបភាពថាសដែលមានស្រាប់ ហើយចុច បញ្ជូនបន្ត។ 5. រកមើលទីតាំងនៃរូបភាព vSRX Virtual Firewall QCOW2 ដែលបានទាញយក ហើយជ្រើសរើស
រូបភាព vSRX Virtual Firewall ។ 6. ជ្រើសរើស Linux ពីបញ្ជីប្រភេទ OS ហើយជ្រើសរើស បង្ហាញជម្រើស OS ទាំងអស់ពីបញ្ជីកំណែ។ 7. ជ្រើសរើស Red Hat Enterprise Linux 7 ពីបញ្ជីកំណែដែលបានពង្រីក ហើយចុចបញ្ជូនបន្ត។ 8. កំណត់ RAM ដល់ 4096 MB ហើយកំណត់ CPU ទៅ 2. ចុច Forward ។ 9. កំណត់ទំហំរូបភាពឌីសទៅ 16 GB ហើយចុចបញ្ជូនបន្ត។ 10. ដាក់ឈ្មោះ vSRX Virtual Firewall VM ហើយជ្រើសរើស Customize this configuration មុនពេលដំឡើងទៅ
ផ្លាស់ប្តូរប៉ារ៉ាម៉ែត្រ មុនពេលអ្នកបង្កើត និងបើកដំណើរការ VM ។ ចុច Finish ។ ប្រអប់កំណត់រចនាសម្ព័ន្ធលេចឡើង។ 11. ជ្រើសរើស Processor ហើយពង្រីកបញ្ជីកំណត់រចនាសម្ព័ន្ធ។ 12. ជ្រើសរើស Copy Host CPU Configuration។ 13. កំណត់មុខងារស៊ីភីយូ invtsc ដើម្បីបិទដំណើរការលើស៊ីភីយូដែលគាំទ្រមុខងារនោះ។ កំណត់ vmx ដើម្បីទាមទារសម្រាប់ការបញ្ជូនដ៏ល្អប្រសើរ។ អ្នក​អាច​កំណត់​ជា​ជម្រើស​ដើម្បី​ទាមទារ​ឱ្យ​មាន​ការ​កែលម្អ​ដំណើរការ​គ្រីបគ្រីប
ចំណាំ៖ ប្រសិនបើជម្រើសមុខងារ CPU មិនមានវត្តមាននៅក្នុងកំណែរបស់អ្នកគ្រប់គ្រង virt ទេ អ្នកត្រូវចាប់ផ្តើម និងបញ្ឈប់ VM ម្តង ហើយបន្ទាប់មកកែសម្រួល vSRX Virtual Firewall VM XML fileជាធម្មតាត្រូវបានរកឃើញនៅក្នុងថត /etc/libvirt/qemu នៅលើប្រព័ន្ធប្រតិបត្តិការម៉ាស៊ីនរបស់អ្នក។ ប្រើ virsh edit ដើម្បីកែសម្រួល VM XML file ដើម្បីកំណត់រចនាសម្ព័ន្ធ នៅក្រោម ធាតុ។ បន្ថែមផងដែរ។ ប្រសិនបើប្រព័ន្ធប្រតិបត្តិការម៉ាស៊ីនរបស់អ្នកគាំទ្រទង់ស៊ីភីយូនេះ។ ប្រើពាក្យបញ្ជាសមត្ថភាព virsh នៅលើម៉ាស៊ីន OS របស់អ្នក ដើម្បីរាយបញ្ជីសមត្ថភាពម៉ាស៊ីន OS និង CPU និម្មិត។ ខាងក្រោមនេះ example បង្ហាញផ្នែកពាក់ព័ន្ធនៃ vSRX Virtual Firewall XML file នៅលើម៉ាស៊ីន CentOS៖
SandyBridge ក្រុមហ៊ុន Intel

24

14. ជ្រើសរើសថាស និងពង្រីកជម្រើសកម្រិតខ្ពស់។ 15. ជ្រើសរើស IDE ពីបញ្ជី Disk bus។ 16. ជ្រើសរើស NIC ហើយជ្រើសរើស virtio ពីវាលគំរូឧបករណ៍។ NIC ដំបូងបង្អស់នេះគឺជា fpx0
(ការគ្រប់គ្រង) ចំណុចប្រទាក់សម្រាប់ vSRX Virtual Firewall ។ 17. ចុច Add Hardware ដើម្បីបន្ថែមបណ្តាញនិម្មិតបន្ថែមទៀត ហើយជ្រើសរើស virtio ពីបញ្ជីគំរូឧបករណ៍។ 18. ចុច Apply ហើយចុច x ដើម្បីបិទប្រអប់។ 19. ចុចចាប់ផ្តើមការដំឡើង។ អ្នកគ្រប់គ្រង VM បង្កើត និងបើកដំណើរការ vSRX Virtual Firewall VM ។
ចំណាំ៖ លំនាំដើម vSRX Virtual Firewall VM login ID គឺ root ដោយគ្មានពាក្យសម្ងាត់។ តាមលំនាំដើម ប្រសិនបើម៉ាស៊ីនមេ DHCP ស្ថិតនៅលើបណ្តាញ វាផ្តល់អាសយដ្ឋាន IP ទៅ vSRX Virtual Firewall VM ។
ដំឡើង vSRX Virtual Firewall ជាមួយ virt-install
ត្រូវប្រាកដថាអ្នកបានដំឡើង KVM, qemu, virt-install និង libvirt នៅលើម៉ាស៊ីន OS របស់អ្នក។ អ្នកក៏ត្រូវតែកំណត់រចនាសម្ព័ន្ធបណ្តាញនិម្មិតដែលត្រូវការ និងអាងស្តុកទុកនៅក្នុងម៉ាស៊ីន OS សម្រាប់ vSRX Virtual Firewall VM ។ សូមមើលឯកសារ OS ម៉ាស៊ីនរបស់អ្នកសម្រាប់ព័ត៌មានលម្អិត។

25

ចំណាំ៖ អ្នកត្រូវតែមានការចូលប្រើជា root នៅលើ host OS ដើម្បីប្រើពាក្យបញ្ជា virt-install ។

ឧបករណ៍ virt-install និង virsh គឺជាជម្រើស CLI ក្នុងការដំឡើង និងគ្រប់គ្រង vSRX Virtual Firewall VMs នៅលើម៉ាស៊ីន Linux ។ ដើម្បីដំឡើង vSRX Virtual Firewall ជាមួយ virt-install: 1. ទាញយករូបភាព vSRX Virtual Firewall QCOW2 ពីគេហទំព័រទាញយកកម្មវិធី Juniper ។ 2. នៅលើប្រព័ន្ធប្រតិបត្តិការម៉ាស៊ីនរបស់អ្នក សូមប្រើពាក្យបញ្ជា virt-install ជាមួយនឹងជម្រើសចាំបាច់ដែលមានរាយក្នុងតារាងទី 11 នៅលើទំព័រ
០១.
ចំណាំ៖ សូមមើលឯកសារដំឡើង virt ផ្លូវការសម្រាប់ការពិពណ៌នាពេញលេញនៃជម្រើសដែលមាន។

តារាងទី 11៖ ជម្រើស virt-install

ជម្រើសពាក្យបញ្ជា

ការពិពណ៌នា

- ឈ្មោះ

ដាក់ឈ្មោះ vSRX Virtual Firewall VM ។

- RAM មេកាបៃ

បែងចែក RAM សម្រាប់ VM ជាមេកាបៃ។

-cpu cpu-model, cpu-flags បើកមុខងារ vmx សម្រាប់ការបញ្ជូនដ៏ល្អប្រសើរ។ អ្នកក៏អាចបើក aes សម្រាប់ដំណើរការគ្រីបគ្រីបដែលប្រសើរឡើង។
ចំណាំ៖ ការគាំទ្រទង់ស៊ីភីយូអាស្រ័យលើម៉ាស៊ីន OS និងស៊ីភីយូរបស់អ្នក។
ប្រើសមត្ថភាព virsh ដើម្បីរាយបញ្ជីសមត្ថភាពនិម្មិតនៃម៉ាស៊ីន OS និង CPU របស់អ្នក។

- លេខ vcpus

បែងចែកចំនួន vCPU សម្រាប់ vSRX Virtual Firewall VM ។

26

តារាងទី 11៖ ជម្រើសដំឡើង virt (បន្ត)

ជម្រើសពាក្យបញ្ជា

ការពិពណ៌នា

- ផ្លូវឌីស

បញ្ជាក់ទំហំផ្ទុក និងទំហំថាសសម្រាប់ VM ។ រួមបញ្ចូលជម្រើសដូចខាងក្រោមៈ
· ទំហំ = ជីហ្គាបៃ · ឧបករណ៍ = ថាស · រថយន្តក្រុង = ide · ទ្រង់ទ្រាយ = qcow2

-os-type os-type -os-variant os-type

កំណត់រចនាសម្ព័ន្ធប្រភេទ OS ភ្ញៀវ និងវ៉ារ្យ៉ង់។

- នាំចូល

បង្កើត និងចាប់ផ្ដើម vSRX Virtual Firewall VM ពីរូបភាពដែលមានស្រាប់។

ខាងក្រោមនេះ example បង្កើត vSRX Virtual Firewall VM ដែលមាន RAM 4096 MB, vCPU 2 និងទំហំផ្ទុកថាសរហូតដល់ 16 GB៖
hostOS# virt-install –name vSRXVM –ram 4096 –cpu SandyBridge,+vmx,-invtsc –vpus=2 -arch=x86_64 –disk path=/mnt/vsrx.qcow2,size=16,device=disk,bus=ide ,format=qcow2 –os-type linux –os-variant rhel7 – នាំចូល
ខាងក្រោមនេះ example បង្ហាញផ្នែកពាក់ព័ន្ធនៃ vSRX Virtual Firewall XML file នៅលើម៉ាស៊ីន CentOS៖
SandyBridge ក្រុមហ៊ុន Intel

27

ចំណាំ៖ លំនាំដើម vSRX Virtual Firewall VM login ID គឺ root ដោយគ្មានពាក្យសម្ងាត់។ តាមលំនាំដើម ប្រសិនបើម៉ាស៊ីនមេ DHCP ស្ថិតនៅលើបណ្តាញ វាផ្តល់អាសយដ្ឋាន IP ទៅ vSRX Virtual Firewall VM ។
ឯកសារពាក់ព័ន្ធ ការដំឡើងម៉ាស៊ីននិម្មិត ដោយប្រើ virt-install Migration, upgrade, and downgrade Linux CPU Flags
Example៖ ដំឡើង និងបើកដំណើរការ vSRX Virtual Firewall នៅលើអ៊ូប៊ុនទូ
នៅក្នុងផ្នែកនេះ តម្រូវការ | 28 ជាងview | 28 ការកំណត់រចនាសម្ព័ន្ធរហ័ស – ដំឡើង និងបើកដំណើរការ vSRX Virtual Firewall VM នៅលើអ៊ូប៊ុនទូ | ២៩ | 29 ជំហានដោយជំហានកំណត់រចនាសម្ព័ន្ធ | ៣២

28 នេះ ឧample បង្ហាញពីរបៀបដំឡើង និងបើកដំណើរការ vSRX Virtual Firewall instance នៅលើ Ubuntu server ជាមួយ KVM។
តម្រូវការ
អតីតample ប្រើផ្នែករឹង និងផ្នែកទន់ខាងក្រោម៖ · ម៉ាស៊ីនមេ x86 ទូទៅ · Junos OS Release 15.1X49-D20 សម្រាប់ vSRX Virtual Firewall · Ubuntu កំណែ 14.04.2 មុនពេលអ្នកចាប់ផ្តើម៖ · អតីតample សន្មត់ថាការដំឡើងថ្មីនៃកម្មវិធីម៉ាស៊ីនមេ Ubuntu ។ · ត្រូវប្រាកដថា OS ម៉ាស៊ីនរបស់អ្នកបំពេញតាមតម្រូវការដែលបានបញ្ជាក់នៅក្នុង Requirements for vSRX នៅលើ KVM។
ជាងview
អតីតample បង្ហាញពីរបៀបតំឡើងម៉ាស៊ីនមេ Ubuntu របស់អ្នក ហើយដំឡើង និងបើកដំណើរការ vSRX Virtual Firewall VM ។ រូបភាពទី 4 នៅទំព័រ 28 បង្ហាញពីរចនាសម្ព័ន្ធមូលដ្ឋាននៃ vSRX Virtual Firewall VM នៅលើម៉ាស៊ីនមេ Ubuntu ។
រូបភាពទី 4៖ vSRX Virtual Firewall VM នៅលើអ៊ូប៊ុនទូ
ចំណាំ៖ នេះឧample ប្រើអាសយដ្ឋាន IP ឋិតិវន្ត។ ប្រសិនបើអ្នកកំពុងកំណត់រចនាសម្ព័ន្ធ vSRX Virtual Firewall នៅក្នុងបរិស្ថាន NFV អ្នកគួរតែប្រើ DHCP ។

29
ការកំណត់រចនាសម្ព័ន្ធរហ័ស - ដំឡើង និងបើកដំណើរការ vSRX Virtual Firewall VM នៅលើអ៊ូប៊ុនទូ
នៅក្នុងផ្នែកនេះ។
ការកំណត់រចនាសម្ព័ន្ធរហ័ស CLI | ២៩ និតិវិធី | ២៩
ការកំណត់រចនាសម្ព័ន្ធរហ័ស CLI
ដើម្បីកំណត់រចនាសម្ព័ន្ធឧample, ចម្លងពាក្យបញ្ជាខាងក្រោម, បិទភ្ជាប់ពួកវាទៅក្នុងអត្ថបទមួយ។ fileលុបការបំបែកបន្ទាត់ណាមួយ ផ្លាស់ប្តូរព័ត៌មានលម្អិតដែលចាំបាច់ដើម្បីផ្គូផ្គងការកំណត់រចនាសម្ព័ន្ធបណ្តាញរបស់អ្នក ហើយចម្លង និងបិទភ្ជាប់ពាក្យបញ្ជាទៅក្នុងស្ថានីយម៉ាស៊ីនមេ Ubuntu ឬកុងសូល vSRX Virtual Firewall ដូចដែលបានបញ្ជាក់។
នីតិវិធី
នីតិវិធីជាជំហាន ៗ
1. ប្រសិនបើបណ្តាញនិម្មិតលំនាំដើមមិនទាន់មានទេ សូមចម្លងពាក្យបញ្ជាខាងក្រោម ហើយបិទភ្ជាប់វាទៅក្នុងស្ថានីយម៉ាស៊ីនមេ Ubuntu ដើម្បីបង្កើតបណ្តាញនិម្មិតលំនាំដើម។
ឆ្មា < /etc/libvirt/qemu/networks/default.xml លំនាំដើម
EOF virsh net-define /etc/libvirt/qemu/networks/default.xml virsh net-start លំនាំដើម

30
virsh net-autostart លំនាំដើម
2. បង្កើតបណ្តាញនិម្មិតខាងឆ្វេង ឬដែលអាចទុកចិត្តបាននៅលើម៉ាស៊ីនមេ Ubuntu ។
ឆ្មា < /etc/libvirt/qemu/networks/testleftnetwork.xml សាកល្បងឆ្វេង
EOF virsh net-define /etc/libvirt/qemu/networks/testleftnetwork.xml virsh net-start TestLeft virsh net-autostart TestLeft
3. បង្កើតបណ្តាញនិម្មិតត្រឹមត្រូវ ឬមិនគួរឱ្យទុកចិត្តនៅលើម៉ាស៊ីនមេ Ubuntu ។
ឆ្មា < /etc/libvirt/qemu/networks/testrightnetwork.xml
តេស្តស្តាំ
EOF virsh net-define /etc/libvirt/qemu/networks/testrightnetwork.xml virsh net-start TestRight

31
virsh net-autostart TestRight
4. ទាញយករូបភាព vSRX Virtual Firewall KVM ពី Juniper Networks webគេហទំព័រ https://www.juniper.net/support/downloads/?p=vsrx#sw ។
5. ចម្លងពាក្យបញ្ជាខាងក្រោម ហើយកែប្រែប៉ារ៉ាម៉ែត្រ cpu និងទង់ដើម្បីផ្គូផ្គង CPU ម៉ាស៊ីនមេ Ubuntu របស់អ្នក។ បិទភ្ជាប់ពាក្យបញ្ជាលទ្ធផលទៅក្នុងស្ថានីយម៉ាស៊ីនមេ Ubuntu ដើម្បីចម្លងរូបភាពទៅចំណុចម៉ោន និងបង្កើត vSRX Virtual Firewall VM ។
cp junos-vsrx-vmdisk-15.1X49-D20.2.qcow2 /mnt/vsrx20one.qcow2 virt-install –name vSRX20One –ram 4096 –cpu SandyBridge,+vmx,-invtsc, –vcpus=2_disk86 -arch path=/mnt/vsrx64one.qcow20,size=2,device=disk,bus=ide,format=qcow16 –ostype linux –os-variant rhel2 –import –network=network:default,model=virtio -network=network:TestLeft ,model=virtio –network=network:TestRight,model=virtio
ចំណាំ៖ គំរូ CPU និងទង់នៅក្នុងពាក្យបញ្ជា virt-install អាចប្រែប្រួលដោយផ្អែកលើ CPU និងលក្ខណៈពិសេសនៅក្នុងម៉ាស៊ីនមេ Ubuntu ។
6. ដើម្បីកំណត់ពាក្យសម្ងាត់ root នៅលើ vSRX Virtual Firewall VM សូមចម្លង និងបិទភ្ជាប់ពាក្យបញ្ជាទៅក្នុង vSRX Virtual Firewall CLI នៅកម្រិតឋានានុក្រម [កែសម្រួល] ។
កំណត់ប្រព័ន្ធ root-authentication plain-text-password
7. ដើម្បីបង្កើតការកំណត់មូលដ្ឋាននៅលើ vSRX Virtual Firewall VM ចម្លងពាក្យបញ្ជាខាងក្រោម បិទភ្ជាប់ពួកវាទៅក្នុងអត្ថបទ fileលុបការបំបែកបន្ទាត់ណាមួយ ផ្លាស់ប្តូរព័ត៌មានលម្អិតដែលចាំបាច់ដើម្បីផ្គូផ្គងការកំណត់រចនាសម្ព័ន្ធបណ្តាញរបស់អ្នក ចម្លង និងបិទភ្ជាប់ពាក្យបញ្ជាខាងក្រោមទៅក្នុង vSRX Virtual Firewall CLI នៅកម្រិតឋានានុក្រម [កែសម្រួល] ហើយបន្ទាប់មកបញ្ចូល commit ពីរបៀបកំណត់រចនាសម្ព័ន្ធ។
set interfaces fxp0 unit 0 family inet dhcp-client set interfaces ge-0/0/0 unit 0 family inet address 192.168.123.254/24 set interfaces ge-0/0/1 unit 0 family inet dhcp-client set security zones security- zone trust interfaces ge-0/0/0.0 host-inbound-traffic systemservices ទាំងអស់បានកំណត់តំបន់សុវត្ថិភាព ចំណុចប្រទាក់តំបន់សុវត្ថិភាព-zone untrust interfaces ge-0/0/1.0 host-inbound-traffic systemservices dhcp កំណត់ routing-instances CUSTOMER-VR instance-type virtual -រ៉ោតទ័រ​កំណត់​ចំណុច​ប្រទាក់​នាំ​ផ្លូវ​អតិថិជន-VR ge-0/0/0.0

32
កំណត់ routing-instances CUSTOMER-VR interface ge-0/0/1.0 កំណត់សុវត្ថិភាព nat source rule-set source-nat from zone trust set security nat source rule-set source-nat to zone untrust set security nat source rule-set source- nat rule nat1 match source-address 0.0.0.0/0 set security nat source rule-set source-nat rule nat1 then source-nat interface
នៅក្នុងផ្នែកនេះ | ៣២
នីតិវិធីជាជំហាន ៗ
ការកំណត់រចនាសម្ព័ន្ធជាជំហាន ៗ
នៅក្នុងផ្នែកនេះ បន្ថែមបណ្តាញនិម្មិត | 33 ផ្ទៀងផ្ទាត់បណ្តាញនិម្មិត | 36 ទាញយក និងដំឡើងរូបភាព vSRX Virtual Firewall | 37 ផ្ទៀងផ្ទាត់ការដំឡើង vSRX Virtual Firewall | 37 បង្កើតការកំណត់រចនាសម្ព័ន្ធមូលដ្ឋាននៅលើ vSRX Virtual Firewall Instance | 40 ផ្ទៀងផ្ទាត់ការកំណត់រចនាសម្ព័ន្ធមូលដ្ឋាននៅលើ vSRX Virtual Firewall Instance | ៤៣
ប្រើផ្នែកខាងក្រោមសម្រាប់សំណុំនីតិវិធីលម្អិតបន្ថែមទៀតដើម្បីដំឡើង និងបើកដំណើរការ vSRX Virtual Firewall VM ។

33
បន្ថែមបណ្តាញនិម្មិត
នីតិវិធីជាជំហានៗ អ្នកត្រូវបង្កើតបណ្តាញនិម្មិតនៅលើម៉ាស៊ីនមេ Ubuntu ដើម្បីផ្តល់ការតភ្ជាប់បណ្តាញទៅកាន់ចំណុចប្រទាក់នៅលើ vSRX Virtual Firewall VM ។ ចម្លង និងបិទភ្ជាប់ពាក្យបញ្ជាទាំងនេះទៅក្នុងស្ថានីយនៅលើម៉ាស៊ីនមេ Ubuntu ។ អតីតample ប្រើបណ្តាញនិម្មិតចំនួនបី៖ · លំនាំដើម- ភ្ជាប់ចំណុចប្រទាក់គ្រប់គ្រង fxp0 ។
ចំណាំ៖ បណ្តាញនិម្មិតលំនាំដើមគួរតែមានរួចហើយនៅលើម៉ាស៊ីនមេ Ubuntu ។ ប្រើពាក្យបញ្ជា virsh net-list ដើម្បីផ្ទៀងផ្ទាត់ថាបណ្តាញលំនាំដើមមានវត្តមាន និងសកម្ម។
· TestLeft– ភ្ជាប់ចំណុចប្រទាក់ ge-0/0/0 ទៅតំបន់ដែលទុកចិត្ត។ · TestRight– ភ្ជាប់ចំណុចប្រទាក់ ge-0/0/1 ទៅតំបន់ដែលមិនគួរឱ្យទុកចិត្ត។ 1. ប្រសិនបើបណ្តាញលំនាំដើមមិនមានទេ សូមអនុវត្តតាមជំហានទាំងនេះ៖
នីតិវិធីជាជំហាន ៗ
ក. បើកកម្មវិធីនិពន្ធអត្ថបទនៅលើម៉ាស៊ីនមេ Ubuntu ហើយបង្កើតបណ្តាញលំនាំដើម XML (default.xml) file.
emacs /etc/libvirt/qemu/networks/default.xml
ខ. កំណត់របៀបបញ្ជូនបន្តទៅ nat កំណត់រចនាសម្ព័ន្ធអាសយដ្ឋាន IP និងរបាំងបណ្តាញរង និងចំណុចប្រទាក់ស្ពាន ហើយកំណត់រចនាសម្ព័ន្ធ DHCP ដើម្បីផ្តល់អាសយដ្ឋាន IP ទៅកាន់ចំណុចប្រទាក់នៅលើបណ្តាញនិម្មិតនេះ។
ចំណាំ៖ ប្រើទម្រង់ XML ដែលបានបញ្ជាក់ដោយ libvirt។
លំនាំដើម

34


គ. កំណត់ និងចាប់ផ្តើមបណ្តាញនិម្មិតលំនាំដើម ដោយផ្អែកលើ default.xml file អ្នកបានបង្កើត។
virsh net-define /etc/libvirt/qemu/networks/default.xml virsh net-start លំនាំដើម virsh net-autostart default
2. លុបបណ្តាញនិម្មិត TestLeft ដែលបានកំណត់ពីមុនចេញ។
virsh net-destroy TestLeft virsh net-undefine TestLeft
3. លុបបណ្តាញនិម្មិត TestRight ដែលបានកំណត់ពីមុនចេញ។
virsh net-destroy TestRight virsh net-undefine TestRight
4. បើកកម្មវិធីនិពន្ធអត្ថបទនៅលើម៉ាស៊ីនមេ Ubuntu ហើយបង្កើតបណ្តាញ TestLeft XML (testleftnetwork.xml) file.
emacs /etc/libvirt/qemu/networks/testleftnetwork.xml
5. កំណត់របៀបបញ្ជូនបន្តទៅផ្លូវ កំណត់រចនាសម្ព័ន្ធអាសយដ្ឋាន IP និងរបាំងបណ្តាញរង និងចំណុចប្រទាក់ស្ពាន និងកំណត់រចនាសម្ព័ន្ធ DHCP ដើម្បីផ្តល់អាសយដ្ឋាន IP ទៅចំណុចប្រទាក់នៅលើបណ្តាញនិម្មិតនេះ។

35
ចំណាំ៖ ប្រើទម្រង់ XML ដែលបានបញ្ជាក់ដោយ libvirt។
សាកល្បងឆ្វេង

6. បើកកម្មវិធីនិពន្ធអត្ថបទនៅលើម៉ាស៊ីនមេ Ubuntu ហើយបង្កើតបណ្តាញ TestRight XML (testrightnetwork.xml) file.
emacs /etc/libvirt/qemu/networks/testrightnetwork.xml
7. កំណត់របៀបបញ្ជូនបន្តទៅ nat កំណត់រចនាសម្ព័ន្ធអាសយដ្ឋាន IP និងរបាំងបណ្តាញរង និងចំណុចប្រទាក់ស្ពាន និងកំណត់រចនាសម្ព័ន្ធ DHCP ដើម្បីផ្តល់អាសយដ្ឋាន IP ទៅចំណុចប្រទាក់នៅលើបណ្តាញនិម្មិតនេះ។
ចំណាំ៖ ប្រើទម្រង់ XML ដែលបានបញ្ជាក់ដោយ libvirt។
តេស្តស្តាំ

36
8. កំណត់ និងចាប់ផ្តើមបណ្តាញនិម្មិត TestLeft ដោយផ្អែកលើ testleftnetwork.xml file អ្នកបានបង្កើត។
virsh net-define /etc/libvirt/qemu/networks/testleftnetwork.xml virsh net-start TestLeft virsh net-autostart TestLeft
9. កំណត់ និងចាប់ផ្តើមបណ្តាញនិម្មិត TestRight ដោយផ្អែកលើ testrightnetwork.xml file អ្នកបានបង្កើត។
virsh net-define /etc/libvirt/qemu/networks/testrightnetwork.xml virsh net-start TestRight virsh net-autostart TestRight

ផ្ទៀងផ្ទាត់គោលបំណងបណ្តាញនិម្មិត ផ្ទៀងផ្ទាត់ការកំណត់រចនាសម្ព័ន្ធបណ្តាញនិម្មិតថ្មីនៅលើម៉ាស៊ីនមេ Ubuntu ។ សកម្មភាព ប្រើពាក្យបញ្ជាបញ្ជីសុទ្ធ virsh នៅលើម៉ាស៊ីនមេអ៊ូប៊ុនទូ ដើម្បីផ្ទៀងផ្ទាត់ថាចំណុចប្រទាក់និម្មិតថ្មីគឺសកម្ម ហើយត្រូវបានកំណត់ឱ្យចាប់ផ្ដើមដោយស្វ័យប្រវត្តិនៅពេលចាប់ផ្ដើមឡើងវិញ។
បញ្ជីសុទ្ធ virsh

ឈ្មោះ

រដ្ឋ

ចាប់ផ្តើមដោយស្វ័យប្រវត្តិជាប់លាប់

————————————————————-

លំនាំដើម

សកម្ម

បាទ

បាទ

សាកល្បងឆ្វេង

សកម្ម

បាទ

បាទ

តេស្តស្តាំ

សកម្ម

បាទ

បាទ

37
ទាញយក និងដំឡើងរូបភាពជញ្ជាំងភ្លើងនិម្មិត vSRX
នីតិវិធីជាជំហានៗ ដើម្បីទាញយក និងដំឡើងរូបភាព vSRX Virtual Firewall នៅលើម៉ាស៊ីនមេ Ubuntu៖ 1. ទាញយករូបភាព vSRX Virtual Firewall KVM ពី Juniper Networks webគេហទំព័រ៖ https://
www.juniper.net/support/downloads/?p=vsrx#sw 2. ចម្លងរូបភាព vSRX Virtual Firewall ទៅចំណុចម៉ោនដែលសមស្រប។
hostOS# cp junos-vsrx-vmdisk-15.1X49-D20.2.qcow2 /mnt/vsrx20one.qcow2
3. ប្រើពាក្យបញ្ជា virt-install ដើម្បីបង្កើត vSRX Virtual Firewall VM ។ កែប្រែប៉ារ៉ាម៉ែត្រ cpu និងទង់ដើម្បីផ្គូផ្គងស៊ីភីយូម៉ាស៊ីនមេ Ubuntu របស់អ្នក។
hostOS# virt-install –name vSRX20One –ram 4096 –cpu SandyBridge,+vmx,-invtsc, –vcpus=2 -arch=x86_64 –disk path=/mnt/vsrx20one.qcow2,size=16,device=disk,bus= ide,format=qcow2 –ostype linux –os-variant rhel7 –import –network=network:default,model=virtio -network=network:TestLeft,model=virtio –network=network:TestRight,model=virtio
ចំណាំ៖ គំរូ CPU និងទង់នៅក្នុងពាក្យបញ្ជា virt-install អាចប្រែប្រួលដោយផ្អែកលើ CPU និងលក្ខណៈពិសេសនៅក្នុងម៉ាស៊ីនមេ Ubuntu ។
ផ្ទៀងផ្ទាត់ការដំឡើងជញ្ជាំងភ្លើងនិម្មិត vSRX
គោលបំណងផ្ទៀងផ្ទាត់ការដំឡើងជញ្ជាំងភ្លើងនិម្មិត vSRX ។

38
សកម្មភាព
1. ប្រើពាក្យបញ្ជាកុងសូល virsh នៅលើម៉ាស៊ីនមេ Ubuntu ដើម្បីចូលប្រើកុងសូល vSRX Virtual Firewall និងមើលវឌ្ឍនភាពនៃការដំឡើង។ ការដំឡើងអាចចំណាយពេលច្រើននាទីដើម្បីបញ្ចប់។
hostOS# virsh console vSRx200ne
កំពុងចាប់ផ្តើមដំឡើង... Error កំហុសខាងក្នុង៖ ដំណើរការចេញខណៈពេលកំពុងភ្ជាប់ទៅម៉ូនីទ័រ៖ libust[11994/11994]៖ ការព្រមាន៖ អថេរបរិស្ថាន HOME មិនត្រូវបានកំណត់ទេ។ កំពុងបិទការតាមដាន LTTng-UST ក្នុងមួយអ្នកប្រើប្រាស់។ (ក្នុង setup_local_apps() នៅ lttng-ust-comm.c:305) libust[11994/11995]: កំហុស៖ កំហុសក្នុងការបើក shm /lttng-ust-wait-5 (ក្នុង get_wait_shm() នៅ lttngust-comm.c:886) libust[11994/11995]៖ កំហុស៖ កំហុសក្នុងការបើក shm /lttng-ust-wait-5 (ក្នុង get_wait_shm() នៅ lttngust-comm.c:886)
ចាប់ផ្ដើម 'Juniper Linux'
កំពុងផ្ទុក Linux … Consoles៖ ច្រកសៀរៀល BIOS drive C: គឺ disk0 BIOS drive D: is disk1 BIOS drive E: is disk2 BIOS drive F: is disk3 BIOS 639kB/999416kB available memory
FreeBSD/i386 bootstrap loader ការកែប្រែ 1.2 (builder@example.com, Thu Jul 30 23:20:10 UTC 2015) Loading /boot/defaults/loader.conf /kernel text=0xa3a2c0 data=0x6219c+0x11f8e0 syms=[0x4+0xb2ed0+0x4+0x1061bb] /boot/modules/libmbpool.ko text=0xce8 data=0x114 /boot/modules/if_em_vsrx.ko text=0x184c4 data=0x7fc+0x20 /boot/modules/virtio.ko text=0x2168 data=0x208 syms=[0x4+0x7e0+0x4+0x972] /boot/modules/virtio_pci.ko text=0x2de8 data=0x200+0x8 syms=[0x4+0x8f0+0x4+0xb22] /boot/modules/virtio_blk.ko text=0x299c data=0x1dc+0xc syms=[0x4+0x960+0x4+0xa0f] /boot/modules/if_vtnet.ko text=0x5ff0 data=0x360+0x10 syms=[0x4+0xdf0+0x4+0xf19] /boot/modules/pci_hgcomm.ko text=0x12fc data=0x1a4+0x44 syms=[0x4+0x560+0x4+0x61d] /boot/modules/chassis.ko text=0x9bc data=0x1d0+0x10 syms=[0x4+0x390+0x4+0x399] Hit [Enter] to boot immediately, or space bar for command prompt.

39
កំពុងចាប់ផ្ដើម [/kernel]… platform_early_bootinit៖ ការចាប់ផ្តើមចាប់ផ្ដើមដំបូង GDB៖ ច្រកបំបាត់កំហុស៖ sio GDB៖ ច្រកបច្ចុប្បន្ន៖ sio KDB៖ បំបាត់កំហុសផ្នែកខាងក្រោយ៖ ddb gdb KDB៖ ផ្នែកខាងក្រោយបច្ចុប្បន្ន៖ ddb រក្សាសិទ្ធិ (c) 1996-2015, Juniper Networks, Inc. ទាំងអស់ រក្សាសិទ្ធិ។ រក្សាសិទ្ធិ (c) 1992-2007 គម្រោង FreeBSD ។ រក្សាសិទ្ធិ (c) 1979, 1980, 1983, 1986, 1988, 1989, 1991, 1992, 1993, 1994
Regents នៃសាកលវិទ្យាល័យកាលីហ្វ័រញ៉ា។ រក្សា​រ​សិទ្ធ​គ្រប់យ៉ាង។ FreeBSD គឺជាពាណិជ្ជសញ្ញាដែលបានចុះបញ្ជីរបស់មូលនិធិ FreeBSD ។ JUNOS 15.1X49-D15.4 #0: 2015-07-31 02:20:21 UTC

លេខសម្គាល់ម៉ាស៊ីនគឺទទេ។ កំពុងសម្អាត … Thu Aug 27 12:06:22 UTC 2015 Aug 27 12:06:22 init: exec_command: /usr/sbin/dhcpd (PID 1422) បានចាប់ផ្តើមនៅថ្ងៃទី 27 ខែសីហា ម៉ោង 12:06:22 init: dhcp (PID 1422) ថ្ងៃទី 27 ខែសីហា 12:06:23 init: exec_command: /usr/sbin/pppd (PID 1428) បានចាប់ផ្តើម
ជំងឺភ្លេចភ្លាំង (ttyd0)
ចូល៖

40
2. នៅលើ vSRX Virtual Firewall console សូមចូល និងផ្ទៀងផ្ទាត់កំណែ vSRX Virtual Firewall ដែលបានដំឡើង។ ចូល៖ root
— JUNOS 15.1X49-D15.4 បានសាងសង់ឡើង 2015-07-31 02:20:21 UTC root@%
root@% cli
ឫស >
root> បង្ហាញកំណែ
Model: vSRX Junos: 15.1X49-D15.4 JUNOS Software Release [15.1X49-D15.4] បង្កើតការកំណត់មូលដ្ឋាននៅលើ vSRX Virtual Firewall Instance នីតិវិធីជាជំហានៗ ដើម្បីកំណត់រចនាសម្ព័ន្ធការដំឡើងមូលដ្ឋាននៅលើ vSRX Virtual Firewall instance, បញ្ចូលជំហានខាងក្រោមក្នុងរបៀបកែសម្រួល៖ 1. បង្កើតពាក្យសម្ងាត់ root ។
[កែប្រែ] កំណត់ប្រព័ន្ធ root-authentication plain-text-password

41
2. កំណត់គ្រួសារអាសយដ្ឋាន IP សម្រាប់ចំណុចប្រទាក់គ្រប់គ្រង ហើយបើកម៉ាស៊ីនភ្ញៀវ DHCP សម្រាប់ចំណុចប្រទាក់នេះ។
កំណត់ចំណុចប្រទាក់ fxp0 ឯកតា 0 family inet dhcp-client
3. កំណត់អាសយដ្ឋាន IP សម្រាប់ចំណុចប្រទាក់ ge-0/0/0.0 ។
កំណត់ចំណុចប្រទាក់ ge-0/0/0 ឯកតា 0 អាសយដ្ឋានគ្រួសារ inet 192.168.123.254/24
4. កំណត់គ្រួសារអាសយដ្ឋាន IP សម្រាប់ចំណុចប្រទាក់ ge-0/0/1.0 ហើយបើកម៉ាស៊ីនភ្ញៀវ DHCP សម្រាប់ចំណុចប្រទាក់នេះ។
កំណត់ចំណុចប្រទាក់ ge-0/0/1 ឯកតា 0 family inet dhcp-client
5. បន្ថែមចំណុចប្រទាក់ ge-0/0/0.0 ទៅកាន់តំបន់សុវត្ថិភាពជឿទុកចិត្ត និងអនុញ្ញាតឱ្យសេវាកម្មប្រព័ន្ធទាំងអស់ពីចរាចរណ៍ចូលនៅលើចំណុចប្រទាក់នោះ។
កំណត់តំបន់សុវត្ថិភាព ចំណុចប្រទាក់សន្តិសុខតំបន់សុវត្ថិភាព ge-0/0/0.0 host-inbound-traffic systemservices ទាំងអស់
6. បន្ថែមចំណុចប្រទាក់ ge-0/0/1.0 ទៅកាន់តំបន់សុវត្ថិភាពដែលមិនគួរឱ្យទុកចិត្ត ហើយអនុញ្ញាតតែសេវាកម្មប្រព័ន្ធ DHCP ពីចរាចរចូលនៅលើចំណុចប្រទាក់នោះ។
កំណត់តំបន់សុវត្ថិភាព ចំណុចប្រទាក់សន្តិសុខតំបន់មិនទុកចិត្ត ge-0/0/1.0 host-inbound-traffic systemservices dhcp
7. បង្កើត​វត្ថុ​បញ្ជូន​រ៉ោតទ័រ​និម្មិត ហើយ​បន្ថែម​ចំណុចប្រទាក់​ពីរ​ទៅ​វត្ថុ​កំណត់​ផ្លូវ​នោះ។
កំណត់ routing-instances CUSTOMER-VR instance-type virtual-router set routing-instances CUSTOMER-VR interface ge-0/0/0.0 set routing-instances CUSTOMER-VR interface ge-0/0/1.0
8. បង្កើតច្បាប់ NAT ប្រភពដែលបានកំណត់។
កំណត់សុវត្ថិភាព nat source rule-set source-nat ពីតំបន់ទុកចិត្ត កំណត់សុវត្ថិភាព nat source rule-set source-nat ទៅ zone untrust

42
9. កំណត់រចនាសម្ព័ន្ធច្បាប់ដែលត្រូវគ្នានឹងកញ្ចប់ព័ត៌មាន និងបកប្រែអាសយដ្ឋានប្រភពទៅអាសយដ្ឋាននៃចំណុចប្រទាក់ egress ។
កំណត់សុវត្ថិភាព nat source rule-set source-nat rule nat1 match source-address 0.0.0.0/0 set security nat source rule-set source-nat rule nat1 បន្ទាប់មក source-nat interface
លទ្ធផល
ពីរបៀបកំណត់រចនាសម្ព័ន្ធ បញ្ជាក់ការកំណត់របស់អ្នកដោយបញ្ចូលពាក្យបញ្ជា show interfaces ។ ប្រសិនបើលទ្ធផលមិនបង្ហាញការកំណត់រចនាសម្ព័ន្ធដែលបានគ្រោងទុកទេ សូមធ្វើការណែនាំម្តងទៀតនៅក្នុង ex នេះ។ampដើម្បីកែតម្រូវការកំណត់។
បង្ហាញចំណុចប្រទាក់
ពីរបៀបកំណត់រចនាសម្ព័ន្ធ បញ្ជាក់គោលការណ៍សុវត្ថិភាពរបស់អ្នកដោយបញ្ចូលពាក្យបញ្ជា បង្ហាញគោលការណ៍សុវត្ថិភាព។ ប្រសិនបើលទ្ធផលមិនបង្ហាញការកំណត់រចនាសម្ព័ន្ធដែលបានគ្រោងទុកទេ សូមធ្វើការណែនាំម្តងទៀតនៅក្នុង ex នេះ។ampដើម្បីកែតម្រូវការកំណត់។
បង្ហាញគោលនយោបាយសន្តិសុខ
from-zone trust to-zone trust { policy default-permit { match { source-address any ; អាសយដ្ឋានគោលដៅណាមួយ; កម្មវិធីណាមួយ; } បន្ទាប់មក { អនុញ្ញាត; } }
} from-zone trust to-zone untrust {
policy default-permit { match { source-address any; អាសយដ្ឋានគោលដៅណាមួយ; កម្មវិធីណាមួយ;

43
} បន្ទាប់មក {
អនុញ្ញាត; } } } ពី​តំបន់​មិន​ទុក​ចិត្ត​ទៅ​តំបន់​ទុក​ចិត្ត { គោលការណ៍​លំនាំដើម-បដិសេធ { ផ្គូផ្គង {
ប្រភព-អាសយដ្ឋានណាមួយ; អាសយដ្ឋានគោលដៅណាមួយ; កម្មវិធីណាមួយ; } បន្ទាប់មក {បដិសេធ; } } }
ប្រសិនបើអ្នកបានកំណត់រចនាសម្ព័ន្ធឧបករណ៍រួចរាល់ហើយ សូមបញ្ចូល commit ពីរបៀបកំណត់រចនាសម្ព័ន្ធ។
ចំណាំ៖ ជាជំហានចុងក្រោយ ចេញពីរបៀបកំណត់រចនាសម្ព័ន្ធ ហើយប្រើពាក្យបញ្ជាចាប់ផ្ដើមប្រព័ន្ធស្នើសុំឡើងវិញ ដើម្បីចាប់ផ្ដើម vSRX Virtual Firewall VM ឡើងវិញ។ អ្នកអាចប្រើពាក្យបញ្ជា virsh console នៅលើម៉ាស៊ីនមេ Ubuntu ដើម្បីភ្ជាប់ទៅ vSRX Virtual Firewall បន្ទាប់ពី reboot ។
ផ្ទៀងផ្ទាត់ការកំណត់រចនាសម្ព័ន្ធមូលដ្ឋាននៅលើ vSRX Virtual Firewall Instance
គោលបំណង
ផ្ទៀងផ្ទាត់ការកំណត់រចនាសម្ព័ន្ធមូលដ្ឋាននៅលើ vSRX Virtual Firewall instance ។

44
សកម្មភាព ផ្ទៀងផ្ទាត់ថាចំណុចប្រទាក់ ge-0/0/0.0 មានអាសយដ្ឋាន IP ដែលបានកំណត់ពីជួរអាសយដ្ឋាន DHCP បណ្តាញ TestLeft ហើយថា ge-0/0/1.0 មានអាសយដ្ឋាន IP ដែលបានកំណត់ពីជួរអាសយដ្ឋាន DHCP បណ្តាញ TestRight ។
root> បង្ហាញចំណុចប្រទាក់ terse

Interface ge-0/0/0 ge-0/0/0.0 gr-0/0/0 ip-0/0/0 lsq-0/0/0 lt-0/0/0 mt-0/0/0 sp-0/0/0 sp-0/0/0.0
sp-0/0/0.16383 ge-0/0/1 ge-0/0/1.0 dsc em0 em0.0 em1 em1.32768 em2 fxp0 fxp0.0 ipip irb lo0 lo0.16384 lo0.16385
lo 0.32768 lsi

Admin Link Proto up up up up inet up up up up up up up up up up up up up up inet
inet6 up up inet up up up inet up up inet up up up up inet up up inet up up up inet up up up inet up up up up up up up up inet up up up up up up up up up up inet up inet up inet
ឡើង ឡើង ឡើង

ក្នុងស្រុក

ពីចម្ងាយ

៥/៥

192.168.124.238/24 128.0.0.1/2 192.168.1.2/24 192.168.2.1/24

៣៤ ៣៥ ២៣ ៨៦ ៧ ៤

–> 0/0 –> 0/0 –> 0/0 –> 0/0 –> 0/0 –> 0/0

45

mtun

ឡើងលើ

pimd

ឡើងលើ

ភីម

ឡើងលើ

pp0

ឡើងលើ

ppd0

ឡើងលើ

ppe0

ឡើងលើ

st0

ឡើងលើ

ប៉ះ

ឡើងលើ

វ៉ែន

ឡើងចុះ

ឯកសារដែលទាក់ទង libvirt បណ្តាញ ទ្រង់ទ្រាយ XML libvirt សេចក្តីយោងពាក្យបញ្ជា
ផ្ទុកការកំណត់រចនាសម្ព័ន្ធដំបូងនៅលើ vSRX Virtual Firewall ជាមួយ KVM
នៅក្នុងផ្នែកនេះ បង្កើត vSRX Virtual Firewall Bootstrap ISO Image | 46 ការផ្តល់ vSRX Virtual Firewall ជាមួយនឹងរូបភាព ISO Bootstrap នៅលើ KVM | ៤៧

ចាប់ផ្តើមនៅក្នុង Junos OS Release 15.1X49-D40 និង Junos OS Release 17.3R1 អ្នកអាចប្រើរូបភាព ISO ដែលបានម៉ោន ដើម្បីបញ្ជូនការកំណត់រចនាសម្ព័ន្ធ Junos OS ចាប់ផ្តើមដំបូងទៅ vSRX Virtual Firewall VM ។ រូបភាព ISO នេះមាន a file នៅក្នុងថត root ដែលហៅថា juniper.conf ។ នេះ។ file ប្រើវាក្យសម្ព័ន្ធពាក្យបញ្ជា Junos OS ស្តង់ដារដើម្បីកំណត់ព័ត៌មានលម្អិតនៃការកំណត់ ដូចជាពាក្យសម្ងាត់ root អាសយដ្ឋាន IP គ្រប់គ្រង ច្រកចេញចូលលំនាំដើម និងសេចក្តីថ្លែងការណ៍នៃការកំណត់រចនាសម្ព័ន្ធផ្សេងទៀត។ ដំណើរការដើម្បីចាប់ផ្ដើម vSRX Virtual Firewall VM ជាមួយនឹងរូបភាពកំណត់រចនាសម្ព័ន្ធ ISO មានដូចខាងក្រោម៖
ចំណាំ៖ ការកំណត់រចនាសម្ព័ន្ធ SNMPv3 មិនត្រូវបានគាំទ្រទេ នៅពេលផ្តល់វេទិកាជញ្ជាំងភ្លើងនិម្មិត vSRX ជាមួយនឹងរូបភាព ISO bootstrap ។
1. បង្កើតការកំណត់រចនាសម្ព័ន្ធ juniper.conf file ជាមួយនឹងការកំណត់រចនាសម្ព័ន្ធ Junos OS របស់អ្នក។

46
2. បង្កើតរូបភាព ISO ដែលរួមបញ្ចូល juniper.conf file. 3. ភ្ជាប់រូបភាព ISO ទៅ vSRX Virtual Firewall VM ។ 4. ចាប់ផ្ដើម ឬចាប់ផ្ដើម vSRX Virtual Firewall VM ។ vSRX Virtual Firewall នឹងចាប់ផ្ដើមដោយប្រើ juniper.conf
file រួមបញ្ចូលក្នុងរូបភាព ISO ដែលបានដំឡើង។ 5. ដករូបភាព ISO ចេញពី vSRX Virtual Firewall VM ។
ចំណាំ៖ ប្រសិនបើអ្នកមិនអាន់ម៉ោនរូបភាព ISO បន្ទាប់ពីការចាប់ផ្ដើមដំបូង ឬចាប់ផ្ដើមឡើងវិញទេ រាល់ការផ្លាស់ប្តូរការកំណត់រចនាសម្ព័ន្ធជាបន្តបន្ទាប់ទៅ vSRX Virtual Firewall ត្រូវបានសរសេរជាន់ពីលើដោយរូបភាព ISO នៅលើការចាប់ផ្ដើមឡើងវិញបន្ទាប់។
បង្កើតរូបភាព vSRX Virtual Firewall Bootstrap ISO
កិច្ចការនេះប្រើប្រព័ន្ធលីនុចដើម្បីបង្កើតរូបភាពអាយអេសអូ។ ដើម្បីបង្កើត vSRX Virtual Firewall bootstrap រូបភាព ISO៖ 1. បង្កើត configuration file ជាអត្ថបទធម្មតាជាមួយវាក្យសម្ព័ន្ធពាក្យបញ្ជា Junos OS ហើយរក្សាទុកក្នុង a file បានហៅ
juniper.conf ។ 2. បង្កើតថតថ្មីមួយ។
hostOS$ mkdir iso_dir
3. ចម្លង juniper.conf ទៅថត ISO ថ្មី។
hostOS$ cp juniper.conf iso_dir
ចំណាំ៖ juniper.conf file ត្រូវតែមានការកំណត់រចនាសម្ព័ន្ធជញ្ជាំងភ្លើងនិម្មិត vSRX ពេញលេញ។ ដំណើរការ ISO bootstrap សរសេរជាន់លើការកំណត់រចនាសម្ព័ន្ធជញ្ជាំងភ្លើងនិម្មិត vSRX ដែលមានស្រាប់។

47
4. ប្រើពាក្យបញ្ជា Linux mkisofs ដើម្បីបង្កើតរូបភាព ISO ។
hostOS$ mkisofs -l -o test.iso iso_dir
ខ្ញុំ៖ -input-charset មិនបានបញ្ជាក់ ដោយប្រើ utf-8 (បានរកឃើញនៅក្នុងការកំណត់មូលដ្ឋាន) ទំហំតារាងបកប្រែសរុប៖ 0 Total rockridge attributes bytes: 0 Total directory bytes: 0 Path table size(bytes): 10 Max space brk used 0 175 វិសាលភាពសរសេរ (0 MB)
ចំណាំ៖ ជម្រើស -l អនុញ្ញាតឱ្យប្រើបានយូរ fileឈ្មោះ។
ការផ្តល់ vSRX ជញ្ជាំងភ្លើងនិម្មិតជាមួយនឹងរូបភាព ISO Bootstrap នៅលើ KVM
ដើម្បីផ្តល់ vSRX Virtual Firewall VM ពីរូបភាព ISO bootstrap៖ 1. ប្រើពាក្យបញ្ជា virsh edit នៅលើម៉ាស៊ីនមេ KVM ដែល vSRX Virtual Firewall VM រស់នៅ
បន្ថែមរូបភាព ISO bootstrap ជាឧបករណ៍ឌីស។
<disk type=’file'ឧបករណ៍='cdrom'> file='/home/test.iso'/>

2. ចាប់ផ្ដើម ឬចាប់ផ្ដើម vSRX Virtual Firewall VM ។
user@host# virsh ចាប់ផ្តើម ixvSRX
បានភ្ជាប់ទៅដែន ixvSRX

48
3. ជាជម្រើស ប្រើពាក្យបញ្ជា virsh domblklist Linux ដើម្បីផ្ទៀងផ្ទាត់ថារូបភាព bootstrap ISO គឺជាផ្នែកមួយនៃ VM ។
hostOS# virsh domblklist ixvSRX

ប្រភពគោលដៅ

——————————————————

អេដា

/home/test/vsrx209.qcow2

hdc

/home/test/test.iso

4. ផ្ទៀងផ្ទាត់ការកំណត់ បន្ទាប់មកបិទភ្លើង vSRX Virtual Firewall VM ដើម្បីលុបរូបភាព ISO ។ 5. ប្រើពាក្យបញ្ជា virsh edit នៅលើម៉ាស៊ីនមេ KVM ដើម្បីលុបសេចក្តីថ្លែងការណ៍ ISO image xml ដែលបានបន្ថែម
នៅក្នុងជំហានទី 1 ហើយបន្ទាប់មកចាប់ផ្ដើម vSRX Virtual Firewall VM ឡើងវិញ។

ការចេញផ្សាយតារាងប្រវត្តិសាស្រ្ត

ចេញផ្សាយ

ការពិពណ៌នា

15.1X49-D80

ចាប់ផ្តើមនៅក្នុង Junos OS Release 15.1X49-D40 និង Junos OS Release 17.3R1 អ្នកអាចប្រើរូបភាព ISO ដែលបានម៉ោន ដើម្បីបញ្ជូនការកំណត់រចនាសម្ព័ន្ធ Junos OS ចាប់ផ្តើមដំបូងទៅ vSRX Virtual Firewall VM ។ រូបភាព ISO នេះមាន a file នៅក្នុងថត root ដែលហៅថា juniper.conf ។ នេះ។ file ប្រើវាក្យសម្ព័ន្ធពាក្យបញ្ជា Junos OS ស្តង់ដារដើម្បីកំណត់ព័ត៌មានលម្អិតនៃការកំណត់ ដូចជាពាក្យសម្ងាត់ root អាសយដ្ឋាន IP គ្រប់គ្រង ច្រកចេញចូលលំនាំដើម និងសេចក្តីថ្លែងការណ៍នៃការកំណត់រចនាសម្ព័ន្ធផ្សេងទៀត។

ឯកសារដែលទាក់ទងពាក្យបញ្ជា Linux mkisofs
ប្រើ Cloud-Init នៅក្នុងបរិយាកាស OpenStack ដើម្បីធ្វើស្វ័យប្រវត្តិកម្មការចាប់ផ្តើមនៃ vSRX Virtual Firewall Instances
នៅក្នុងផ្នែកនេះ អនុវត្តការដំឡើងដោយស្វ័យប្រវត្តិនៃ vSRX Virtual Firewall Instance ដោយប្រើ OpenStack Command-Line Interface | ៥២

49
អនុវត្តការដំឡើងដោយស្វ័យប្រវត្តិនៃ vSRX Virtual Firewall Instance ពី OpenStack Dashboard (Horizon) | ៥៤
ចាប់ផ្តើមនៅក្នុង Junos OS Release 15.1X49-D100 និង Junos OS Release 17.4R1 កញ្ចប់ cloud-init (កំណែ 0.7x) ត្រូវបានដំឡើងជាមុននៅក្នុងរូបភាព vSRX Virtual Firewall ដើម្បីជួយសម្រួលការកំណត់រចនាសម្ព័ន្ធ vSRX Virtual Firewall ថ្មីដែលដំណើរការនៅក្នុងបរិស្ថាន OpenStack នេះបើយោងតាមទិន្នន័យអ្នកប្រើប្រាស់ដែលបានបញ្ជាក់ file. Cloud-init ត្រូវបានអនុវត្តកំឡុងពេលចាប់ផ្ដើមដំបូងនៃ vSRX Virtual Firewall instance ។
Cloud-init គឺជាកញ្ចប់កម្មវិធី OpenStack សម្រាប់ស្វ័យប្រវត្តិកម្មការចាប់ផ្តើមនៃ cloud instance នៅពេលចាប់ផ្ដើម។ វាមាននៅក្នុង Ubuntu និងប្រព័ន្ធប្រតិបត្តិការ Linux និង FreeBSD សំខាន់ៗ។ Cloud-init ត្រូវបានរចនាឡើងដើម្បីគាំទ្រអ្នកផ្តល់សេវាពពកផ្សេងៗគ្នាជាច្រើន ដូច្នេះរូបភាពម៉ាស៊ីននិម្មិតដូចគ្នា (VM) អាចត្រូវបានប្រើដោយផ្ទាល់នៅក្នុងកម្មវិធីត្រួតពិនិត្យខ្ពស់ច្រើន និងករណីពពកដោយមិនចាំបាច់មានការកែប្រែណាមួយឡើយ។ ការ​គាំទ្រ Cloud-init ក្នុង VM instance ដំណើរការ​នៅ​ពេល​ចាប់ផ្ដើម (boot first time) និង​ចាប់ផ្តើម VM instance ដោយ​យោង​តាម​ទិន្នន័យ​អ្នក​ប្រើ​ដែល​បាន​បញ្ជាក់ file.
ទិន្នន័យអ្នកប្រើប្រាស់ file គឺជាសោពិសេសនៅក្នុងសេវាទិន្នន័យមេតាដែលមាន a file ថាកម្មវិធី cloud-aware នៅក្នុង VM instance អាចចូលប្រើបាននៅពេលចាប់ផ្ដើមដំបូង។ ក្នុងករណីនេះ វាគឺជាការកំណត់រចនាសម្ព័ន្ធ Junos OS ដែលមានសុពលភាព file ដែលអ្នកមានបំណងផ្ទុកឡើងទៅកាន់ vSRX Virtual Firewall instance ជាការកំណត់សកម្ម។ នេះ។ file ប្រើវាក្យសម្ព័ន្ធពាក្យបញ្ជា Junos OS ស្តង់ដារដើម្បីកំណត់ព័ត៌មានលម្អិតនៃការកំណត់ ដូចជាពាក្យសម្ងាត់ root អាសយដ្ឋាន IP គ្រប់គ្រង ច្រកចេញចូលលំនាំដើម និងសេចក្តីថ្លែងការណ៍នៃការកំណត់រចនាសម្ព័ន្ធផ្សេងទៀត។
នៅពេលអ្នកបង្កើត vSRX Virtual Firewall អ្នកអាចប្រើ cloud-init ជាមួយនឹងការកំណត់រចនាសម្ព័ន្ធ Junos OS ដែលមានសុពលភាព file (juniper.conf) ដើម្បីធ្វើស្វ័យប្រវត្តិកម្មការចាប់ផ្តើមនៃ vSRX Virtual Firewall ថ្មី។ ទិន្នន័យអ្នកប្រើប្រាស់ file ប្រើវាក្យសម្ព័ន្ធ Junos OS ស្តង់ដារដើម្បីកំណត់ព័ត៌មានលម្អិតនៃការកំណត់រចនាសម្ព័ន្ធសម្រាប់ឧទាហរណ៍ vSRX Virtual Firewall របស់អ្នក។ ការកំណត់រចនាសម្ព័ន្ធ Junos OS លំនាំដើមត្រូវបានជំនួសកំឡុងពេលចាប់ផ្តើម vSRX Virtual Firewall ជាមួយនឹងការកំណត់រចនាសម្ព័ន្ធ Junos OS ដែលមានសុពលភាពដែលអ្នកផ្គត់ផ្គង់ក្នុងទម្រង់ទិន្នន័យអ្នកប្រើប្រាស់ file.
ចំណាំ៖ ប្រសិនបើប្រើការចេញផ្សាយលឿនជាង Junos OS Release 15.1X49-D130 និង Junos OS Release 18.4R1 ការកំណត់រចនាសម្ព័ន្ធទិន្នន័យអ្នកប្រើប្រាស់ file មិនអាចលើសពី 16 KB ។ ប្រសិនបើទិន្នន័យអ្នកប្រើប្រាស់របស់អ្នក។ file លើសពីដែនកំណត់នេះ អ្នកត្រូវតែបង្ហាប់ file ដោយប្រើ gzip ហើយប្រើការបង្ហាប់ file. សម្រាប់អតីតample លទ្ធផលពាក្យបញ្ជា gzip junos.conf នៅក្នុង junos.conf.gz file. ចាប់ផ្តើមនៅក្នុង Junos OS Release 15.1X49-D130 និង Junos OS Release 18.4R1 ប្រសិនបើប្រើប្រភពទិន្នន័យដ្រាយការកំណត់រចនាសម្ព័ន្ធនៅក្នុងបរិយាកាស OpenStack ការកំណត់រចនាសម្ព័ន្ធទិន្នន័យអ្នកប្រើប្រាស់ file ទំហំអាចឡើងដល់ 64 MB ។
ការកំណត់រចនាសម្ព័ន្ធត្រូវតែមានសុពលភាព និងរួមបញ្ចូលព័ត៌មានលម្អិតសម្រាប់ចំណុចប្រទាក់ fxp0 ការចូល និងការផ្ទៀងផ្ទាត់។ វាក៏ត្រូវតែមានផ្លូវលំនាំដើមសម្រាប់ចរាចរណ៍នៅលើ fxp0 ។ ប្រសិនបើព័ត៌មានណាមួយនេះបាត់ ឬមិនត្រឹមត្រូវ វត្ថុនោះមិនអាចចូលប្រើបានទេ ហើយអ្នកត្រូវតែបើកដំណើរការថ្មីមួយ។

50
ការព្រមាន៖ ត្រូវប្រាកដថាការកំណត់រចនាសម្ព័ន្ធទិន្នន័យអ្នកប្រើប្រាស់ file មិន​ត្រូវ​បាន​កំណត់​រចនាសម្ព័ន្ធ​ដើម្បី​អនុវត្ត​ការ​ដំឡើង​ដោយ​ស្វ័យ​ប្រវត្តិ​នៅ​លើ​ចំណុច​ប្រទាក់​ដោយ​ប្រើ​ពិធីការ​ការ​កំណត់​រចនាសម្ព័ន្ធ​ម៉ាស៊ីន​ថាមវន្ត (DHCP) ដើម្បី​ផ្តល់​អាសយដ្ឋាន IP ទៅ vSRX Virtual Firewall ។ ការដំឡើងស្វ័យប្រវត្តិជាមួយ DHCP នឹងនាំឱ្យ "ប្រព្រឹត្តបរាជ័យ" សម្រាប់ការកំណត់រចនាសម្ព័ន្ធទិន្នន័យអ្នកប្រើប្រាស់ file.
ចាប់ផ្តើមនៅក្នុង Junos OS Release 15.1X49-D130 និង Junos OS Release 18.4R1 មុខងារ cloud-init នៅក្នុង vSRX Virtual Firewall ត្រូវបានពង្រីកដើម្បីគាំទ្រការប្រើប្រាស់ប្រភពទិន្នន័យនៃការកំណត់រចនាសម្ព័ន្ធនៅក្នុងបរិយាកាស OpenStack ។ ដ្រាយកំណត់រចនាសម្ព័ន្ធប្រើគុណលក្ខណៈទិន្នន័យអ្នកប្រើប្រាស់ដើម្បីឆ្លងកាត់ការកំណត់រចនាសម្ព័ន្ធ Junos OS ដែលមានសុពលភាព file ទៅឧទាហរណ៍ vSRX Virtual Firewall ។ ទិន្នន័យអ្នកប្រើប្រាស់អាចជាអត្ថបទធម្មតា ឬ MIME file វាយអត្ថបទ/ធម្មតា។ ជាធម្មតា ដ្រាយការកំណត់រចនាសម្ព័ន្ធត្រូវបានប្រើដោយភ្ជាប់ជាមួយសេវាកម្មគណនា ហើយមានវត្តមាននៅក្នុងឧទាហរណ៍ជាភាគថាសដែលមានស្លាក config-2 ។ ដ្រាយកំណត់រចនាសម្ព័ន្ធមានទំហំអតិបរមា 64 MB ហើយត្រូវតែធ្វើទ្រង់ទ្រាយជាមួយ vfat ឬ ISO 9660 fileប្រព័ន្ធ។
ប្រភពទិន្នន័យនៃការកំណត់រចនាសម្ព័ន្ធក៏ផ្តល់នូវភាពបត់បែនក្នុងការបន្ថែមលើសពីមួយ។ file ដែលអាចត្រូវបានប្រើសម្រាប់ការកំណត់រចនាសម្ព័ន្ធ។ ករណីប្រើប្រាស់ធម្មតាគឺដើម្បីបន្ថែមការកំណត់រចនាសម្ព័ន្ធ Day0 file និងអាជ្ញាប័ណ្ណ file. ក្នុងករណីនេះ មានវិធីពីរយ៉ាងដែលអាចត្រូវបានប្រើប្រាស់ដើម្បីប្រើប្រភពទិន្នន័យនៃការកំណត់រចនាសម្ព័ន្ធជាមួយ vSRX Virtual Firewall instance៖
· ទិន្នន័យអ្នកប្រើប្រាស់ (ការកំណត់រចនាសម្ព័ន្ធ Junos OS File) តែម្នាក់ឯង វិធីសាស្រ្តនេះប្រើគុណលក្ខណៈទិន្នន័យអ្នកប្រើប្រាស់ដើម្បីឆ្លងកាត់ការកំណត់រចនាសម្ព័ន្ធ Junos OS file ទៅកាន់ vSRX Virtual Firewall នីមួយៗ។ ទិន្នន័យអ្នកប្រើប្រាស់អាចជាអត្ថបទធម្មតា ឬ MIME file វាយអត្ថបទ/ធម្មតា។
· ការកំណត់រចនាសម្ព័ន្ធ Junos OS file និងអាជ្ញាប័ណ្ណ file- វិធីសាស្រ្តនេះប្រើប្រភពទិន្នន័យនៃការកំណត់រចនាសម្ព័ន្ធដើម្បីផ្ញើការកំណត់រចនាសម្ព័ន្ធ Junos OS និងអាជ្ញាប័ណ្ណ file(s) ចំពោះ vSRX Virtual Firewall នីមួយៗ។
ចំណាំ៖ បើមានអាជ្ញាប័ណ្ណ file គឺត្រូវកំណត់រចនាសម្ព័ន្ធនៅក្នុង vSRX Virtual Firewall វាត្រូវបានណែនាំឱ្យប្រើfile ជម្រើសជាជាងជម្រើសទិន្នន័យអ្នកប្រើប្រាស់ ដើម្បីផ្តល់នូវភាពបត់បែនក្នុងការកំណត់រចនាសម្ព័ន្ធ files ធំជាងដែនកំណត់ 16 KB នៃទិន្នន័យអ្នកប្រើប្រាស់។
ដើម្បីប្រើប្រភពទិន្នន័យនៃការកំណត់រចនាសម្ព័ន្ធដើម្បីផ្ញើការកំណត់រចនាសម្ព័ន្ធ និងអាជ្ញាប័ណ្ណ Junos OS file(s) ទៅកាន់ vSRX Virtual Firewall instance, the files ត្រូវការផ្ញើក្នុងរចនាសម្ព័ន្ធថតជាក់លាក់មួយ។ នៅក្នុងកម្មវិធីនេះ រចនាសម្ព័ន្ធថតនៃប្រភពទិន្នន័យនៃការកំណត់រចនាសម្ព័ន្ធនៅក្នុង vSRX Virtual Firewall មានដូចខាងក្រោម៖
- OpenStack - ចុងក្រោយបំផុត - junos-config - configuration.txt - junos-license

51
- អាជ្ញាប័ណ្ណ_file_name.lic – អាជ្ញាប័ណ្ណ_file_name.lic
//OpenStack//latest/junos-config/configuration.txt //OpenStack//latest/junos-license/license.lic មុនពេលអ្នកចាប់ផ្តើម៖ · បង្កើតការកំណត់រចនាសម្ព័ន្ធ file ជាមួយវាក្យសម្ព័ន្ធពាក្យបញ្ជា Junos OS ហើយរក្សាទុកវា។ ការកំណត់រចនាសម្ព័ន្ធ file អាច
ជាអត្ថបទធម្មតា ឬ MIME file វាយអត្ថបទ/ធម្មតា។ ខ្សែអក្សរ #junos-config ត្រូវតែជាបន្ទាត់ដំបូងនៃការកំណត់រចនាសម្ព័ន្ធទិន្នន័យអ្នកប្រើប្រាស់ file មុនពេលកំណត់រចនាសម្ព័ន្ធ Junos OS ។
ចំណាំ៖ ខ្សែអក្សរ #junos-config គឺចាំបាច់ក្នុងការកំណត់រចនាសម្ព័ន្ធទិន្នន័យអ្នកប្រើប្រាស់ file; ប្រសិនបើវាមិនត្រូវបានដាក់បញ្ចូលទេ ការកំណត់នឹងមិនត្រូវបានអនុវត្តចំពោះ vSRX Virtual Firewall instance ជាការកំណត់សកម្មនោះទេ។
· កំណត់ឈ្មោះសម្រាប់ vSRX Virtual Firewall ដែលអ្នកចង់ចាប់ផ្តើមជាមួយនឹងការកំណត់រចនាសម្ព័ន្ធ Junos OS ដែលមានសុពលភាព file.
· កំណត់រសជាតិសម្រាប់ vSRX Virtual Firewall របស់អ្នក ដែលកំណត់កុំព្យូទ័រ អង្គចងចាំ និងសមត្ថភាពផ្ទុករបស់ vSRX Virtual Firewall instance ។
· ចាប់ផ្តើមនៅក្នុង Junos OS Release 15.1X49-D130 និង Junos OS Release 18.4R1 ប្រសិនបើប្រើដ្រាយកំណត់រចនាសម្ព័ន្ធ សូមប្រាកដថាលក្ខខណ្ឌខាងក្រោមត្រូវបានបំពេញ ដើម្បីបើកការគាំទ្រ cloud-init សម្រាប់ដ្រាយកំណត់រចនាសម្ព័ន្ធនៅក្នុង OpenStack៖ · ដ្រាយការកំណត់រចនាសម្ព័ន្ធត្រូវតែត្រូវបានធ្វើទ្រង់ទ្រាយជាមួយ ទាំង vfat ឬ iso9660 fileប្រព័ន្ធ។
ចំណាំ៖ ទម្រង់លំនាំដើមនៃដ្រាយកំណត់រចនាសម្ព័ន្ធគឺ ISO 9660 file ប្រព័ន្ធ។ ដើម្បីបញ្ជាក់យ៉ាងច្បាស់នូវទម្រង់ ISO 9660/vfat សូមបន្ថែមបន្ទាត់ config_drive_format=iso9660/vfat ទៅ nova.conf file.
· ដ្រាយការកំណត់រចនាសម្ព័ន្ធត្រូវតែមាន fileស្លាកប្រព័ន្ធនៃ config-2 ។ · ទំហំថតមិនត្រូវលើសពី 64 MB។
អាស្រ័យលើបរិយាកាស OpenStack របស់អ្នក អ្នកអាចប្រើចំណុចប្រទាក់បន្ទាត់ពាក្យបញ្ជា OpenStack (ដូចជា nova boot ឬ openstack server create) ឬ OpenStack Dashboard ("Horizon") ដើម្បីចាប់ផ្តើម និងចាប់ផ្តើម vSRX Virtual Firewall instance ។

52
អនុវត្តការដំឡើងដោយស្វ័យប្រវត្តិនៃ vSRX Virtual Firewall Instance ដោយប្រើ OpenStack Command-Line Interface
អ្នកអាចចាប់ផ្តើម និងគ្រប់គ្រង instance ជញ្ជាំងភ្លើងនិម្មិត vSRX ដោយប្រើ nova boot ឬ openstack server បង្កើតពាក្យបញ្ជា ដែលរួមបញ្ចូលការប្រើប្រាស់ទិន្នន័យអ្នកប្រើប្រាស់កំណត់រចនាសម្ព័ន្ធ Junos OS ដែលមានសុពលភាព file ពី​ថត​មូលដ្ឋាន​របស់​អ្នក​ដើម្បី​ចាប់ផ្តើម​ការ​កំណត់​រចនាសម្ព័ន្ធ​សកម្ម​របស់​គោលដៅ vSRX Virtual Firewall instance ។
ដើម្បីចាប់ផ្តើមការដំឡើងដោយស្វ័យប្រវត្តិនៃ vSRX Virtual Firewall instance ពីកម្មវិធី OpenStack command-line client៖
1. ប្រសិនបើអ្នកមិនទាន់បានធ្វើដូច្នេះទេ សូមបង្កើតការកំណត់មួយ។ file ជាមួយវាក្យសម្ព័ន្ធពាក្យបញ្ជា Junos OS ហើយរក្សាទុកឯកសារ file. ការកំណត់រចនាសម្ព័ន្ធ file អាចជាអត្ថបទធម្មតា ឬ MIME file វាយអត្ថបទ/ធម្មតា។ ការកំណត់រចនាសម្ព័ន្ធទិន្នន័យអ្នកប្រើប្រាស់ file ត្រូវតែមានការកំណត់រចនាសម្ព័ន្ធជញ្ជាំងភ្លើងនិម្មិត vSRX ពេញលេញ ដែលនឹងត្រូវប្រើជាការកំណត់សកម្មនៅលើឧទាហរណ៍ vSRX Virtual Firewall នីមួយៗ ហើយខ្សែអក្សរ #junos-config ត្រូវតែជាបន្ទាត់ដំបូងនៃការកំណត់រចនាសម្ព័ន្ធទិន្នន័យអ្នកប្រើប្រាស់ file មុនពេលកំណត់រចនាសម្ព័ន្ធ Junos OS ។
ចំណាំ៖ ខ្សែអក្សរ #junos-config គឺចាំបាច់ក្នុងការកំណត់រចនាសម្ព័ន្ធទិន្នន័យអ្នកប្រើប្រាស់ file; ប្រសិនបើវាមិនត្រូវបានដាក់បញ្ចូលទេ ការកំណត់នឹងមិនត្រូវបានអនុវត្តចំពោះ vSRX Virtual Firewall instance ជាការកំណត់សកម្មនោះទេ។
2. ចម្លងការកំណត់រចនាសម្ព័ន្ធ Junos OS file ទៅទីតាំងដែលអាចចូលដំណើរការបានពីកន្លែងដែលវាអាចត្រូវបានទាញយកដើម្បីបើកដំណើរការ vSRX Virtual Firewall instance ។
3. អាស្រ័យលើបរិយាកាស OpenStack របស់អ្នក ប្រើ nova boot ឬ openstack server បង្កើតពាក្យបញ្ជាដើម្បីបើកដំណើរការ vSRX Virtual Firewall ជាមួយនឹងការកំណត់រចនាសម្ព័ន្ធ Junos OS ដែលមានសុពលភាព។ file ជាទិន្នន័យអ្នកប្រើប្រាស់ដែលបានបញ្ជាក់។
ចំណាំ៖ អ្នកក៏អាចប្រើសមមូល nova boot នៅក្នុងសេវាកម្ម Orchestration ដូចជា HEAT ផងដែរ។
សម្រាប់អតីតample: · nova boot -user-data -image vSRX_image -flavor vSRX_flavor_instance · openstack server បង្កើត -user-data -រូបភាព vSRX_រូបភាព -រសជាតិ
vSRX_flavor_instance ជាកន្លែងដែល៖ -user-data បញ្ជាក់ទីតាំងនៃការកំណត់រចនាសម្ព័ន្ធ Junos OS file. ការកំណត់រចនាសម្ព័ន្ធទិន្នន័យអ្នកប្រើប្រាស់ file ទំហំត្រូវបានកំណត់ត្រឹមប្រហែល 16,384 បៃ។ -image vSRX_image កំណត់ឈ្មោះនៃរូបភាព vSRX Virtual Firewall តែមួយគត់។ –flavor vSRX_flavor_instance កំណត់រសជាតិ vSRX Virtual Firewall (ID ឬឈ្មោះ)។

53
ចាប់ផ្តើមនៅក្នុង Junos OS Release 15.1X49-D130 និង Junos OS Release 18.4R1 ដើម្បីបើកការប្រើប្រាស់នូវ configuration drive សម្រាប់សំណើជាក់លាក់មួយនៅក្នុងបរិស្ថាន OpenStack compute រួមមាន -configdrive true parameter នៅក្នុង nova boot ឬ openstack server បង្កើតពាក្យបញ្ជា។
ចំណាំ៖ វាអាចទៅរួចក្នុងការបើកដំណើរការកំណត់រចនាសម្ព័ន្ធដោយស្វ័យប្រវត្តិលើគ្រប់ករណីទាំងអស់ ដោយកំណត់រចនាសម្ព័ន្ធសេវាកម្ម OpenStack Compute ដើម្បីបង្កើត Drive កំណត់រចនាសម្ព័ន្ធជានិច្ច។ ដើម្បីធ្វើដូចនេះបញ្ជាក់ force_config_drive=ជម្រើសពិតក្នុង nova.conf file.
សម្រាប់អតីតampឡេ ដើម្បីប្រើគុណលក្ខណៈទិន្នន័យអ្នកប្រើប្រាស់ ដើម្បីបញ្ជូនការកំណត់រចនាសម្ព័ន្ធ Junos OS ទៅ vSRX Virtual Firewall នីមួយៗ៖ nova boot -config-drive true -flavor vSRX_flavor_instance -image vSRX_image -user-data កន្លែង៖ -user-data បញ្ជាក់ទីតាំងនៃការកំណត់រចនាសម្ព័ន្ធ Junos OS file. ការកំណត់រចនាសម្ព័ន្ធទិន្នន័យអ្នកប្រើប្រាស់ file ទំហំត្រូវបានកំណត់ត្រឹមប្រហែល 64 មេកាបៃ។ -image vSRX_image កំណត់ឈ្មោះនៃរូបភាព vSRX Virtual Firewall តែមួយគត់។ -flavor vSRX_flavor_instance កំណត់រសជាតិ vSRX Virtual Firewall (ID ឬឈ្មោះ)។
សម្រាប់អតីតample ដើម្បីបញ្ជាក់ drive ការកំណត់រចនាសម្ព័ន្ធជាមួយ multiple files (ការកំណត់រចនាសម្ព័ន្ធ Junos OS file និងអាជ្ញាប័ណ្ណ file): nova boot -config-drive true -flavor vSRX_flavor_instance -image vSRX_image [-file /config/junos-config/ configuration.txt=/path/to/file] [-file /junos-license/license.lic=path/to/license] កន្លែង៖ [-file /config/junos-config/configuration.txt=/path/to/file] បញ្ជាក់ទីតាំងនៃការកំណត់រចនាសម្ព័ន្ធ Junos OS file. [-file /config/junos-license/license.lic=path/to/license] បញ្ជាក់ទីតាំងនៃការកំណត់រចនាសម្ព័ន្ធ Junos OS file. -image vSRX_image កំណត់ឈ្មោះនៃរូបភាព vSRX Virtual Firewall តែមួយគត់។ -flavor vSRX_flavor_instance កំណត់រសជាតិ vSRX Virtual Firewall (ID ឬឈ្មោះ)។ 4. ចាប់ផ្ដើម ឬចាប់ផ្ដើមឡើងវិញនូវ vSRX Virtual Firewall instance ។ ក្នុងអំឡុងពេលនៃលំដាប់ចាប់ផ្ដើមដំបូង vSRX Virtual Firewall instance ដំណើរការសំណើ cloud-init ។

54
ចំណាំ៖ ពេលវេលាចាប់ផ្ដើមសម្រាប់ vSRX Virtual Firewall អាចនឹងកើនឡើងជាមួយនឹងការប្រើប្រាស់កញ្ចប់ cloud-init ។ ពេលវេលាបន្ថែមនេះនៅក្នុងលំដាប់ចាប់ផ្ដើមដំបូងគឺដោយសារតែប្រតិបត្តិការដែលបានអនុវត្តដោយកញ្ចប់ cloud-init ។ កំឡុងពេលប្រតិបត្តិការនេះ កញ្ចប់ cloud-init បញ្ឈប់លំដាប់ចាប់ផ្ដើម ហើយដំណើរការរកមើលទិន្នន័យកំណត់រចនាសម្ព័ន្ធនៅក្នុងប្រភពទិន្នន័យនីមួយៗដែលបានកំណត់នៅក្នុង cloud.cfg ។ ពេលវេលាដែលត្រូវការដើម្បីរកមើល និងបញ្ចូលទិន្នន័យពពកគឺសមាមាត្រដោយផ្ទាល់ទៅនឹងចំនួនប្រភពទិន្នន័យដែលបានកំណត់។ អវត្ដមាននៃប្រភពទិន្នន័យ ដំណើរការស្វែងរកបន្តរហូតដល់វាឈានដល់រយៈពេលកំណត់ជាមុន 30 វិនាទីសម្រាប់ប្រភពទិន្នន័យនីមួយៗ។
5. នៅពេលដែលលំដាប់ចាប់ផ្ដើមចាប់ផ្ដើមឡើងវិញ ទិន្នន័យអ្នកប្រើប្រាស់ file ជំនួស​ការ​កំណត់​រចនាសម្ព័ន្ធ Junos OS លំនាំដើម​របស់​រោងចក្រ​ដែល​បាន​ផ្ទុក​នៅលើ​ឧទាហរណ៍ vSRX Virtual Firewall ។ ប្រសិនបើការប្តេជ្ញាចិត្តជោគជ័យ ការកំណត់រចនាសម្ព័ន្ធលំនាំដើមពីរោងចក្រនឹងត្រូវបានជំនួសជាអចិន្ត្រៃយ៍។ ប្រសិនបើការកំណត់រចនាសម្ព័ន្ធមិនត្រូវបានគាំទ្រ ឬមិនអាចត្រូវបានអនុវត្តចំពោះ vSRX Virtual Firewall នោះ vSRX Virtual Firewall នឹងចាប់ផ្ដើមដោយប្រើការកំណត់រចនាសម្ព័ន្ធ Junos OS លំនាំដើម។
សូមមើលផងដែរ។
Cloud-Init Documentation ម៉ាស៊ីនភ្ញៀវបន្ទាត់ពាក្យបញ្ជា OpenStack សេវាកម្មគណនា (nova) ម៉ាស៊ីនភ្ញៀវបន្ទាត់ពាក្យបញ្ជា Openstack Server បង្កើតការបើកដំណើរការដ្រាយការកំណត់រចនាសម្ព័ន្ធ (configdrive) វត្ថុ
អនុវត្តការដំឡើងដោយស្វ័យប្រវត្តិនៃ vSRX Virtual Firewall Instance ពី OpenStack Dashboard (Horizon)
Horizon គឺជាការអនុវត្ត Canonical នៃ OpenStack Dashboard ។ វា​ផ្តល់​នូវ​ Webចំណុចប្រទាក់អ្នកប្រើដែលមានមូលដ្ឋានលើសេវាកម្ម OpenStack រួមទាំង Nova, Swift, Keystone ជាដើម។ អ្នកអាចបើកដំណើរការ និងគ្រប់គ្រងវត្ថុជញ្ជាំងភ្លើងនិម្មិត vSRX ពីផ្ទាំងគ្រប់គ្រង OpenStack ដែលរួមបញ្ចូលការប្រើប្រាស់ទិន្នន័យអ្នកប្រើប្រាស់ដែលបានកំណត់រចនាសម្ព័ន្ធ Junos OS ដែលមានសុពលភាព file ពី​ថត​មូលដ្ឋាន​របស់​អ្នក​ដើម្បី​ចាប់ផ្តើម​ការ​កំណត់​រចនាសម្ព័ន្ធ​សកម្ម​របស់​គោលដៅ vSRX Virtual Firewall instance ។
ដើម្បីចាប់ផ្តើមការដំឡើងដោយស្វ័យប្រវត្តិនៃ vSRX Virtual Firewall instance ពី OpenStack Dashboard៖
1. ប្រសិនបើអ្នកមិនទាន់បានធ្វើដូច្នេះទេ សូមបង្កើតការកំណត់មួយ។ file ជាមួយវាក្យសម្ព័ន្ធពាក្យបញ្ជា Junos OS ហើយរក្សាទុកឯកសារ file. ការកំណត់រចនាសម្ព័ន្ធ file អាចជាអត្ថបទធម្មតា ឬ MIME file វាយអត្ថបទ/ធម្មតា។ ការកំណត់រចនាសម្ព័ន្ធទិន្នន័យអ្នកប្រើប្រាស់ file ត្រូវតែមានការកំណត់រចនាសម្ព័ន្ធជញ្ជាំងភ្លើងនិម្មិត vSRX ពេញលេញ ដែលត្រូវប្រើជាការកំណត់សកម្មនៅលើឧទាហរណ៍ vSRX Virtual Firewall នីមួយៗ ហើយខ្សែអក្សរ #junosconfig ត្រូវតែជាបន្ទាត់ដំបូងនៃការកំណត់រចនាសម្ព័ន្ធទិន្នន័យអ្នកប្រើប្រាស់ file មុនពេលកំណត់រចនាសម្ព័ន្ធ Junos OS ។

55
ចំណាំ៖ ខ្សែអក្សរ #junos-config គឺចាំបាច់ក្នុងការកំណត់រចនាសម្ព័ន្ធទិន្នន័យអ្នកប្រើប្រាស់ file; ប្រសិនបើវាមិនត្រូវបានដាក់បញ្ចូលទេ ការកំណត់នឹងមិនត្រូវបានអនុវត្តចំពោះ vSRX Virtual Firewall instance ជាការកំណត់សកម្មនោះទេ។
2. ចម្លងការកំណត់រចនាសម្ព័ន្ធ Junos OS file ទៅទីតាំងដែលអាចចូលដំណើរការបានពីកន្លែងដែលវាអាចត្រូវបានទាញយកដើម្បីបើកដំណើរការ vSRX Virtual Firewall instance ។
3. ចូលទៅផ្ទាំងគ្រប់គ្រង OpenStack ដោយប្រើព័ត៌មានបញ្ជាក់ការចូលរបស់អ្នក ហើយបន្ទាប់មកជ្រើសរើសគម្រោងដែលសមស្របពីម៉ឺនុយទម្លាក់ចុះនៅផ្នែកខាងលើខាងឆ្វេង។
4. នៅលើផ្ទាំង Project ចុចផ្ទាំង Compute ហើយជ្រើសរើស Instances។ ផ្ទាំងគ្រប់គ្រងបង្ហាញវត្ថុផ្សេងៗដែលមានឈ្មោះរូបភាព អាសយដ្ឋាន IP ឯកជន និងអណ្តែតរបស់វា ទំហំ ស្ថានភាព តំបន់ដែលមាន កិច្ចការ ស្ថានភាពថាមពល និងអ្វីៗផ្សេងទៀត។
5. ចុច Launch Instance។ ប្រអប់ Launch Instance លេចឡើង។ 6. ពីផ្ទាំងព័ត៌មានលម្អិត (សូមមើលរូបភាពទី 5 នៅទំព័រ 55) បញ្ចូលឈ្មោះឧទាហរណ៍សម្រាប់ vSRX Virtual
Firewall VM រួមជាមួយនឹងតំបន់មានដែលពាក់ព័ន្ធ (សម្រាប់ឧample, Nova) ហើយបន្ទាប់មកចុច Next។ យើងសូមណែនាំឱ្យអ្នករក្សាឈ្មោះនេះដូចគ្នានឹងឈ្មោះម៉ាស៊ីនដែលបានកំណត់ទៅ vSRX Virtual Firewall VM ។
រូបភាពទី 5៖ បើកដំណើរការផ្ទាំងព័ត៌មានលម្អិតអំពីវត្ថុ

56 7. ពីផ្ទាំងប្រភព (សូមមើលរូបភាពទី 6 នៅទំព័រ 56) សូមជ្រើសរើសប្រភពរូបភាព vSRX Virtual Firewall VM file
ពីបញ្ជីដែលមាន ហើយចុច +(បូក)។ រូបភាពជញ្ជាំងភ្លើងនិម្មិត vSRX ដែលបានជ្រើសរើសបង្ហាញនៅក្រោម បែងចែក។ ចុចបន្ទាប់។ រូបភាពទី 6៖ បើកដំណើរការផ្ទាំងប្រភព Instance
8. ពីផ្ទាំង Flavor (មើលរូបភាពទី 7 នៅទំព័រ 57) សូមជ្រើសរើស vSRX Virtual Firewall instance ជាមួយនឹងកុំព្យូទ័រ អង្គចងចាំ និងទំហំផ្ទុកជាក់លាក់ពីបញ្ជីដែលមាន ហើយបន្ទាប់មកចុច +(សញ្ញាបូក)។ រសជាតិជញ្ជាំងភ្លើងនិម្មិត vSRX ដែលបានជ្រើសរើសបង្ហាញនៅក្រោមការបម្រុងទុក។ ចុចបន្ទាប់។

57 រូបភាពទី 7៖ បើកដំណើរការ Instance Flavor Tab
9. ពីផ្ទាំងបណ្តាញ (សូមមើលរូបភាពទី 8 នៅទំព័រ 58) ជ្រើសរើសបណ្តាញជាក់លាក់នៃ vSRX Virtual Firewall instance ពីបញ្ជីដែលមាន ហើយបន្ទាប់មកចុច +(សញ្ញាបូក)។ បណ្តាញដែលបានជ្រើសរើសបង្ហាញនៅក្រោម បែងចែក។ ចុចបន្ទាប់។ ចំណាំ៖ កុំធ្វើបច្ចុប្បន្នភាពប៉ារ៉ាម៉ែត្រណាមួយនៅក្នុងបណ្តាញច្រក, ក្រុមសុវត្ថិភាព, ឬផ្ទាំងគូគន្លឹះនៅក្នុងប្រអប់ ចាប់ផ្តើមកម្មវិធី។

58 រូបភាពទី 8៖ ចាប់ផ្ដើមផ្ទាំង Instance Networks
10. ពីផ្ទាំងការកំណត់រចនាសម្ព័ន្ធ (សូមមើលរូបភាពទី 9 នៅទំព័រ 59) ចុចរកមើល ហើយរុករកទៅទីតាំងនៃការកំណត់រចនាសម្ព័ន្ធ Junos OS ដែលមានសុពលភាព file ពីថតមូលដ្ឋានរបស់អ្នកដែលអ្នកចង់ប្រើជាទិន្នន័យអ្នកប្រើប្រាស់ file។ ចុចបន្ទាប់។

59 រូបភាពទី 9៖ ចាប់ផ្ដើមផ្ទាំងការកំណត់រចនាសម្ព័ន្ធវត្ថុ
11. បញ្ជាក់ថាការកំណត់រចនាសម្ព័ន្ធ Junos OS ដែលបានផ្ទុកមានខ្សែអក្សរ #junos-config នៅក្នុងជួរទីមួយនៃការកំណត់រចនាសម្ព័ន្ធទិន្នន័យអ្នកប្រើប្រាស់ file (សូមមើលរូបភាពទី 10 នៅទំព័រ 60) ហើយចុចបន្ទាប់។ ចំណាំ៖ កុំធ្វើបច្ចុប្បន្នភាពប៉ារ៉ាម៉ែត្រណាមួយនៅក្នុងផ្ទាំងទិន្នន័យមេតានៃប្រអប់ចាប់ផ្តើម Instance ។

60 រូបភាពទី 10៖ បើកដំណើរការផ្ទាំងការកំណត់រចនាសម្ព័ន្ធវត្ថុជាមួយការកំណត់រចនាសម្ព័ន្ធ Junos OS ដែលបានផ្ទុក
12. ចុច Launch Instance។ ក្នុងអំឡុងពេលនៃលំដាប់ចាប់ផ្ដើមដំបូង vSRX Virtual Firewall instance ដំណើរការសំណើ cloud-init ។ ចំណាំ៖ ពេលវេលាចាប់ផ្ដើមសម្រាប់ vSRX Virtual Firewall អាចនឹងកើនឡើងជាមួយនឹងការប្រើប្រាស់កញ្ចប់ cloud-init ។ ពេលវេលាបន្ថែមនេះនៅក្នុងលំដាប់ចាប់ផ្ដើមដំបូងគឺដោយសារតែប្រតិបត្តិការដែលបានអនុវត្តដោយកញ្ចប់ cloud-init ។ កំឡុងពេលប្រតិបត្តិការនេះ កញ្ចប់ cloud-init បញ្ឈប់លំដាប់ចាប់ផ្ដើម ហើយដំណើរការរកមើលទិន្នន័យកំណត់រចនាសម្ព័ន្ធនៅក្នុងប្រភពទិន្នន័យនីមួយៗដែលបានកំណត់នៅក្នុង cloud.cfg ។ ពេលវេលាដែលត្រូវការដើម្បីរកមើល និងបញ្ចូលទិន្នន័យពពកគឺសមាមាត្រដោយផ្ទាល់ទៅនឹងចំនួនប្រភពទិន្នន័យដែលបានកំណត់។ អវត្ដមាននៃប្រភពទិន្នន័យ ដំណើរការស្វែងរកបន្តរហូតដល់វាឈានដល់រយៈពេលកំណត់ជាមុន 30 វិនាទីសម្រាប់ប្រភពទិន្នន័យនីមួយៗ។
13. នៅពេលដែលលំដាប់ចាប់ផ្ដើមចាប់ផ្ដើមឡើងវិញ ទិន្នន័យអ្នកប្រើប្រាស់ file ជំនួស​ការ​កំណត់​រចនាសម្ព័ន្ធ Junos OS លំនាំដើម​របស់​រោងចក្រ​ដែល​បាន​ផ្ទុក​នៅលើ​ឧទាហរណ៍ vSRX Virtual Firewall ។ ប្រសិនបើការប្តេជ្ញាចិត្តជោគជ័យ ការកំណត់រចនាសម្ព័ន្ធលំនាំដើមពីរោងចក្រនឹងត្រូវបានជំនួសជាអចិន្ត្រៃយ៍។ ប្រសិនបើការកំណត់រចនាសម្ព័ន្ធមិនត្រូវបានគាំទ្រ ឬមិនអាចត្រូវបានអនុវត្តចំពោះ vSRX Virtual Firewall នោះ vSRX Virtual Firewall នឹងចាប់ផ្ដើមដោយប្រើការកំណត់រចនាសម្ព័ន្ធ Junos OS លំនាំដើម។

61

សូមមើលផងដែរ។

Cloud-Init Documentation OpenStack Dashboard Launch and Manage Instances Horizon: The OpenStack Dashboard Project

ការចេញផ្សាយតារាងប្រវត្តិសាស្រ្ត

ចេញផ្សាយ

ការពិពណ៌នា

15.1X49D130

ចាប់ផ្តើមនៅក្នុង Junos OS Release 15.1X49-D130 និង Junos OS Release 18.4R1 មុខងារ cloud-init នៅក្នុង vSRX Virtual Firewall ត្រូវបានពង្រីកដើម្បីគាំទ្រការប្រើប្រាស់ប្រភពទិន្នន័យនៃការកំណត់រចនាសម្ព័ន្ធនៅក្នុងបរិយាកាស OpenStack ។ ដ្រាយកំណត់រចនាសម្ព័ន្ធប្រើគុណលក្ខណៈទិន្នន័យអ្នកប្រើប្រាស់ដើម្បីឆ្លងកាត់ការកំណត់រចនាសម្ព័ន្ធ Junos OS ដែលមានសុពលភាព file ទៅឧទាហរណ៍ vSRX Virtual Firewall ។

15.1X49D100

ចាប់ផ្តើមនៅក្នុង Junos OS Release 15.1X49-D100 និង Junos OS Release 17.4R1 កញ្ចប់ cloud-init (កំណែ 0.7x) ត្រូវបានដំឡើងជាមុននៅក្នុងរូបភាព vSRX Virtual Firewall ដើម្បីជួយសម្រួលការកំណត់រចនាសម្ព័ន្ធ vSRX Virtual Firewall ថ្មីដែលដំណើរការនៅក្នុងបរិស្ថាន OpenStack នេះបើយោងតាមទិន្នន័យអ្នកប្រើប្រាស់ដែលបានបញ្ជាក់ file. Cloud-init ត្រូវបានអនុវត្តកំឡុងពេលចាប់ផ្ដើមដំបូងនៃ vSRX Virtual Firewall instance ។

62
ជំពូកទី 3
vSRX Virtual Firewall VM Management ជាមួយ KVM
នៅក្នុងជំពូកនេះ កំណត់រចនាសម្ព័ន្ធជញ្ជាំងភ្លើងនិម្មិត vSRX ដោយប្រើ CLI | 62 ភ្ជាប់ទៅកុងសូលគ្រប់គ្រងជញ្ជាំងភ្លើងនិម្មិត vSRX នៅលើ KVM | 64 បន្ថែមបណ្តាញនិម្មិតទៅ vSRX Virtual Firewall VM ជាមួយ KVM | 65 បន្ថែម Virtio Virtual Interface ទៅ vSRX Virtual Firewall VM ជាមួយ KVM | 67 SR-IOV និង PCI | 69 ធ្វើឱ្យប្រសើរឡើងនូវ Multi-core vSRX Virtual Firewall | 78 ត្រួតពិនិត្យ vSRX Virtual Firewall VM ក្នុង KVM | 81 គ្រប់គ្រង vSRX Virtual Firewall Instance នៅលើ KVM | 82 យកមកវិញនូវ Root Password សម្រាប់ vSRX Virtual Firewall in a KVM Environment | ៨៧
កំណត់រចនាសម្ព័ន្ធជញ្ជាំងភ្លើងនិម្មិត vSRX ដោយប្រើ CLI
ដើម្បីកំណត់រចនាសម្ព័ន្ធ vSRX Virtual Firewall ដោយប្រើ CLI: 1. ផ្ទៀងផ្ទាត់ថា vSRX Virtual Firewall ត្រូវបានបើក។ 2. ចូលជាអ្នកប្រើប្រាស់ root ។ មិនមានពាក្យសម្ងាត់ទេ។ 3. ចាប់ផ្តើម CLI ។
root#cli root@> 4. បញ្ចូលរបៀបកំណត់រចនាសម្ព័ន្ធ។
កំណត់រចនាសម្ព័ន្ធ [កែប្រែ] root@#

63
5. កំណត់ពាក្យសម្ងាត់ការផ្ទៀងផ្ទាត់ជា root ដោយបញ្ចូលពាក្យសម្ងាត់ cleartext ពាក្យសម្ងាត់ដែលបានអ៊ិនគ្រីប ឬខ្សែអក្សរសោសាធារណៈ SSH (DSA ឬ RSA)។
[កែប្រែ] root@# set system root-authentication plain-text-password ពាក្យសម្ងាត់ថ្មី៖ ពាក្យសម្ងាត់ វាយពាក្យសម្ងាត់ថ្មីឡើងវិញ៖ ពាក្យសម្ងាត់ 6. កំណត់រចនាសម្ព័ន្ធឈ្មោះម៉ាស៊ីន។
[កែប្រែ] root@# set system host-name host-name 7. កំណត់រចនាសម្ព័ន្ធចំណុចប្រទាក់គ្រប់គ្រង។
[កែប្រែ] root@# set interfaces fxp0 unit 0 family inet dhcp-client 8. កំណត់រចនាសម្ព័ន្ធចំណុចប្រទាក់ចរាចរណ៍។
[កែប្រែ] root@# set interfaces ge-0/0/0 unit 0 family inet dhcp-client 9. កំណត់រចនាសម្ព័ន្ធតំបន់សុវត្ថិភាពជាមូលដ្ឋាន និងចងពួកវាទៅនឹងចំណុចប្រទាក់ចរាចរណ៍។
[កែប្រែ] root@# set security zones security-zone trust interfaces ge-0/0/0.0 10. ផ្ទៀងផ្ទាត់ការកំណត់។
[កែប្រែ] root@# commit check configuration check ជោគជ័យ

64
11. កំណត់រចនាសម្ព័ន្ធដើម្បីធ្វើឱ្យវាសកម្មនៅលើ vSRX Virtual Firewall instance ។
[កែប្រែ] root@# commit commit ពេញលេញ 12. ជាជម្រើស ប្រើពាក្យបញ្ជា show ដើម្បីបង្ហាញការកំណត់ដើម្បីផ្ទៀងផ្ទាត់ថាត្រឹមត្រូវ។
ចំណាំ៖ លក្ខណៈ​ពិសេស​កម្មវិធី Junos OS ខ្លះ​ទាមទារ​អាជ្ញាប័ណ្ណ​ដើម្បី​ដំណើរការ​មុខងារ​នេះ។ ដើម្បីបើកមុខងារដែលមានអាជ្ញាប័ណ្ណ អ្នកត្រូវទិញ ដំឡើង គ្រប់គ្រង និងផ្ទៀងផ្ទាត់លេខកូដអាជ្ញាប័ណ្ណដែលត្រូវនឹងមុខងារដែលមានអាជ្ញាប័ណ្ណនីមួយៗ។ ដើម្បី​អនុលោម​តាម​តម្រូវការ​អាជ្ញាប័ណ្ណ​មុខងារ​កម្មវិធី អ្នក​ត្រូវ​ទិញ​អាជ្ញាប័ណ្ណ​មួយ​ក្នុង​មួយ​មុខងារ​ក្នុង​មួយ​ឧទាហរណ៍។ វត្តមាននៃសោដោះសោកម្មវិធីដែលសមស្របនៅលើឧទាហរណ៍និម្មិតរបស់អ្នកអនុញ្ញាតឱ្យអ្នកកំណត់រចនាសម្ព័ន្ធ និងប្រើមុខងារដែលមានអាជ្ញាប័ណ្ណ។ សូមមើលការគ្រប់គ្រងអាជ្ញាប័ណ្ណសម្រាប់ vSRX សម្រាប់ព័ត៌មានលម្អិត។
ឯកសារដែលទាក់ទង មគ្គុទ្ទេសក៍អ្នកប្រើប្រាស់ CLI
ភ្ជាប់ទៅកុងសូលគ្រប់គ្រងជញ្ជាំងភ្លើងនិម្មិត vSRX នៅលើ KVM
ត្រូវប្រាកដថាអ្នកមានកញ្ចប់កម្មវិធីគ្រប់គ្រង virt ឬ virsh ដែលបានដំឡើងនៅលើប្រព័ន្ធប្រតិបត្តិការម៉ាស៊ីនរបស់អ្នក។ ដើម្បីភ្ជាប់ទៅកុងសូលគ្រប់គ្រងជញ្ជាំងភ្លើងនិម្មិត vSRX ដោយប្រើ virt-manager៖ 1. បើកដំណើរការ virt-manager ។ 2. រំលេច vSRX Virtual Firewall VM ដែលអ្នកចង់ភ្ជាប់ពីបញ្ជី VM ដែលបានបង្ហាញ។ 3. ចុចបើក។ 4. ជ្រើសរើស View>Text Consoles>Serial 1. កុងសូលជញ្ជាំងភ្លើងនិម្មិត vSRX លេចឡើង។ ដើម្បីភ្ជាប់ទៅ vSRX Virtual Firewall VM ជាមួយ virsh៖

65
1. ប្រើពាក្យបញ្ជា virsh console នៅលើ Linux host OS ។
user@host# virsh console vSRX-kvm-2
បានភ្ជាប់ទៅដែន vSRX-kvm-2
2. កុងសូលជញ្ជាំងភ្លើងនិម្មិត vSRX លេចឡើង។
បន្ថែមបណ្តាញនិម្មិតទៅ vSRX Virtual Firewall VM ជាមួយ KVM
អ្នកអាចពង្រីក vSRX Virtual Firewall VM ដែលមានស្រាប់ ដើម្បីប្រើបណ្តាញនិម្មិតបន្ថែម។ ដើម្បីបង្កើតបណ្តាញនិម្មិតជាមួយ virt-manager៖ 1. បើកដំណើរការ virt-manager ហើយជ្រើសរើស កែសម្រួល>ព័ត៌មានលម្អិតអំពីការតភ្ជាប់។ ប្រអប់ព័ត៌មានលំអិតនៃការតភ្ជាប់លេចឡើង។ 2. ជ្រើសរើសបណ្តាញនិម្មិត។ បញ្ជីនៃបណ្តាញនិម្មិតដែលមានស្រាប់លេចឡើង។ 3. ចុច + ដើម្បីបង្កើតបណ្តាញនិម្មិតថ្មីសម្រាប់តំណបញ្ជា។ បង្កើតអ្នកជំនួយបណ្តាញនិម្មិតថ្មី។
លេចឡើង។ 4. កំណត់បណ្តាញរងសម្រាប់បណ្តាញនិម្មិតនេះ ហើយចុចបញ្ជូនបន្ត។ 5. ជាជម្រើស ជ្រើសរើស Enable DHCP ហើយចុច Forward។ 6. ជ្រើសរើសប្រភេទបណ្តាញពីបញ្ជី ហើយចុចបញ្ជូនបន្ត។ 7. ផ្ទៀងផ្ទាត់ការកំណត់ ហើយចុច Finish ដើម្បីបង្កើតបណ្តាញនិម្មិត។ ដើម្បីបង្កើតបណ្តាញនិម្មិតជាមួយ virsh៖ 1. ប្រើពាក្យបញ្ជា virsh net-define នៅលើ host OS ដើម្បីបង្កើត XML file ដែលកំណត់និម្មិតថ្មី។
បណ្តាញ។ រួមបញ្ចូលវាល XML ដែលបានពិពណ៌នានៅក្នុងតារាងទី 12 នៅទំព័រ 66 ដើម្បីកំណត់បណ្តាញនេះ។
ចំណាំ៖ សូមមើលឯកសារផ្លូវការរបស់ virsh សម្រាប់ការពិពណ៌នាពេញលេញនៃជម្រើសដែលមាន រួមទាំងរបៀបកំណត់បណ្តាញ IPv6 ផងដែរ។

66

តារាងទី 12៖ virsh net-define XML Fields

វាល

ការពិពណ៌នា

…

ប្រើធាតុរុំ XML នេះដើម្បីកំណត់បណ្តាញនិម្មិត។

ឈ្មោះសុទ្ធ

បញ្ជាក់ឈ្មោះបណ្តាញនិម្មិត។

បញ្ជាក់ឈ្មោះស្ពានម៉ាស៊ីនដែលប្រើសម្រាប់បណ្តាញនិម្មិតនេះ។

បញ្ជាក់ផ្លូវឬណាត។ កុំប្រើ ធាតុសម្រាប់របៀបដាច់ដោយឡែក។

<ip address=”ip-address” netmask=”netmask”

បញ្ជាក់អាសយដ្ឋាន IP និងរបាំងបណ្តាញរងដែលប្រើដោយបណ្តាញនិម្មិតនេះ រួមជាមួយនឹងជួរអាសយដ្ឋាន DHCP ។

ខាងក្រោមនេះ example បង្ហាញជាampនិង XML file ដែលកំណត់បណ្តាញនិម្មិតថ្មី។
mgmt
2. ប្រើពាក្យបញ្ជា virsh net-start នៅក្នុង host OS ដើម្បីចាប់ផ្តើមបណ្តាញនិម្មិតថ្មី។
hostOS# virsh net-start mgmt
3. ប្រើពាក្យបញ្ជា virsh net-autostart នៅក្នុង host OS ដើម្បីចាប់ផ្តើមបណ្តាញនិម្មិតថ្មីដោយស្វ័យប្រវត្តិ នៅពេលដែល host OS ចាប់ផ្តើម។
hostOS# virsh net-autostart mgmt

67

4. ជាជម្រើស ប្រើពាក្យបញ្ជា virsh net-list ទាំងអស់នៅក្នុង host OS ដើម្បីផ្ទៀងផ្ទាត់បណ្តាញនិម្មិតថ្មី។

HostOS# # virsh net-list -all

ឈ្មោះ

រដ្ឋ

ចាប់ផ្តើមដោយស្វ័យប្រវត្តិជាប់លាប់

————————————————————-

mgmt

សកម្ម បាទ

បាទ

លំនាំដើម

សកម្ម បាទ

បាទ

ឧបករណ៍ virt ឯកសារដែលទាក់ទង
បន្ថែមចំណុចប្រទាក់និម្មិត Virtio ទៅ vSRX Virtual Firewall VM ជាមួយ KVM
អ្នកអាចបន្ថែមចំណុចប្រទាក់និម្មិត virtio បន្ថែមទៅ vSRX Virtual Firewall VM ដែលមានស្រាប់ជាមួយ KVM ។ ដើម្បីបន្ថែមចំណុចប្រទាក់និម្មិត virtio បន្ថែមទៅ vSRX Virtual Firewall VM ដោយប្រើ virt-manager: 1. នៅក្នុង virt-manager ចុចពីរដងលើ vSRX Virtual Firewall VM ហើយជ្រើសរើស View> ព័ត៌មានលម្អិត។ vSRX និម្មិត
ប្រអប់ព័ត៌មានលំអិតរបស់ Firewall Virtual Machine លេចឡើង។ 2. ចុច Add Hardware ។ ប្រអប់ Add Hardware លេចឡើង។ 3. ជ្រើសរើសបណ្តាញពីបន្ទះរុករកខាងឆ្វេង។ 4. ជ្រើសរើសឧបករណ៍ម៉ាស៊ីន ឬបណ្តាញនិម្មិតដែលអ្នកចង់បានចំណុចប្រទាក់និម្មិតថ្មីនេះពី
បញ្ជីប្រភពបណ្តាញ។ 5. ជ្រើសរើស virtio ពីបញ្ជីគំរូឧបករណ៍ ហើយចុច Finish ។ 6. ពីកុងសូលជញ្ជាំងភ្លើងនិម្មិត vSRX ចាប់ផ្ដើមឡើងវិញនូវឧទាហរណ៍ vSRX Virtual Firewall ។
vsrx# ស្នើសុំការចាប់ផ្ដើមប្រព័ន្ធឡើងវិញ។ vSRX Virtual Firewall ចាប់ផ្តើមឡើងវិញទាំង Junos OS និង vSRX Virtual Firewall Guest VM ។
ចំណាំ៖ DPDK ដាក់ដែនកំណត់នៃអាសយដ្ឋាន MAC ចំនួន 64 នៅលើប្រភេទ Virtio NIC ។ នៅពេលដាក់ពង្រាយពិធីការដែលបង្កើតអាសយដ្ឋាន MAC បន្ថែម ឧទាហរណ៍ample VRRP, អ្នកត្រូវតែធានាថាមិនមានច្រើនជាង 64 ចំណុចប្រទាក់រងត្រូវបានកំណត់រចនាសម្ព័ន្ធក្នុងមួយ Virtio NIC ដើម្បីជៀសវាងការបាត់បង់ចរាចរណ៍។
ដើម្បីបន្ថែមចំណុចប្រទាក់និម្មិត virtio បន្ថែមទៅ vSRX Virtual Firewall VM ដោយប្រើ virsh៖

68

1. ប្រើពាក្យបញ្ជា virsh attach-interface នៅលើ host OS ជាមួយនឹងជម្រើសចាំបាច់ដែលមានរាយក្នុងតារាង 13 នៅទំព័រ 68។
ចំណាំ៖ សូមមើលឯកសារផ្លូវការរបស់ virsh សម្រាប់ការពិពណ៌នាពេញលេញនៃជម្រើសដែលមាន។

តារាងទី 13៖ virsh attach-interface Options Command Option Description

- ឈ្មោះដែន

បញ្ជាក់ឈ្មោះភ្ញៀវ VM ។

- ប្រភេទ

បញ្ជាក់ប្រភេទការតភ្ជាប់របស់ម៉ាស៊ីន OS ជាស្ពាន ឬបណ្តាញ។

–source interface បញ្ជាក់ចំណុចប្រទាក់រូបវន្ត ឬឡូជីខលនៅលើម៉ាស៊ីន OS ដើម្បីភ្ជាប់ជាមួយ vNIC នេះ។

- គោលដៅ vnic

បញ្ជាក់ឈ្មោះសម្រាប់ vNIC ថ្មី។

- ម៉ូដែល

បញ្ជាក់ម៉ូដែល vNIC ។

ខាងក្រោមនេះ example បង្កើត virtio vNIC ថ្មីពី host OS virbr0 bridge ។
user@host# virsh attach-interface –domain vsrxVM –type bridge –source virbr0 –target vsrxmgmt –model virtio

ចំណុចប្រទាក់ត្រូវបានភ្ជាប់ដោយជោគជ័យ

user@host# virsh dumpxml vsrxVM

69

2. ពីកុងសូលជញ្ជាំងភ្លើងនិម្មិត vSRX ចាប់ផ្ដើមឡើងវិញនូវ vSRX Virtual Firewall instance ។ vsrx# ស្នើសុំការចាប់ផ្ដើមប្រព័ន្ធឡើងវិញ។ vSRX Virtual Firewall ចាប់ផ្តើមឡើងវិញទាំង Junos OS និង vSRX Virtual Firewall Guest VM ។
ឧបករណ៍ virt ឯកសារដែលទាក់ទង
SR-IOV និង PCI
នៅក្នុងផ្នែកនេះ SR-IOV ជាងview | 69 ការគាំទ្រ SR-IOV HA ជាមួយ Trust Mode Disabled (KVM only) | 70 កំណត់រចនាសម្ព័ន្ធចំណុចប្រទាក់ SR-IOV នៅលើ KVM | ៧៤
ផ្នែកនេះរួមបញ្ចូលប្រធានបទខាងក្រោមនៅលើ SR-IOV សម្រាប់ vSRX Virtual Firewall instance ដែលត្រូវបានដាក់ពង្រាយនៅលើ KVM៖
SR-IOV ចប់view
vSRX ជញ្ជាំងភ្លើងនិម្មិតនៅលើ KVM គាំទ្រប្រភេទចំណុចប្រទាក់និម្មិត I/O ឫសតែមួយ (SR-IOV) ។ SR-IOV គឺជាស្តង់ដារដែលអនុញ្ញាតឱ្យ NIC រូបវន្តតែមួយបង្ហាញខ្លួនវាជា vNICs ច្រើន ឬមុខងារនិម្មិត (VFs) ដែលម៉ាស៊ីននិម្មិត (VM) អាចភ្ជាប់ជាមួយ។ SR-IOV រួមបញ្ចូលគ្នាជាមួយបច្ចេកវិទ្យានិម្មិតផ្សេងទៀត ដូចជា Intel VT-d ដើម្បីបង្កើនប្រសិទ្ធភាព I/O របស់ VM ។ SR-IOV អនុញ្ញាតឱ្យ VM នីមួយៗមានសិទ្ធិចូលប្រើដោយផ្ទាល់ទៅកាន់កញ្ចប់ព័ត៌មានដែលបានតម្រង់ជួរសម្រាប់ VFs ដែលភ្ជាប់ជាមួយ VM ។ អ្នកប្រើ SR-IOV នៅពេលដែលអ្នកត្រូវការដំណើរការ I/O ដែលខិតជិតចំណុចប្រទាក់ដែកទទេ។

70
នៅក្នុងការដាក់ពង្រាយដោយប្រើចំណុចប្រទាក់ SR-IOV កញ្ចប់ព័ត៌មានត្រូវបានទម្លាក់នៅពេលដែលអាសយដ្ឋាន MAC ត្រូវបានផ្តល់ទៅចំណុចប្រទាក់ vSRX Virtual Firewall Junos OS ។ បញ្ហានេះកើតឡើងដោយសារតែ SR-IOV មិនអនុញ្ញាតឱ្យមានការផ្លាស់ប្តូរអាសយដ្ឋាន MAC នៅក្នុង PF ឬ VF នោះទេ។
ចំណាំ៖ SR-IOV ក្នុង KVM មិនកំណត់លេខចំណុចប្រទាក់ឡើងវិញទេ។ លំដាប់នៃចំណុចប្រទាក់នៅក្នុង vSRX Virtual Firewall VM XML file ផ្គូផ្គងលំដាប់នៃចំណុចប្រទាក់ដែលបានបង្ហាញនៅក្នុង Junos OS CLI នៅលើ vSRX Virtual Firewall instance ។
SR-IOV ប្រើមុខងារ PCI ពីរ៖ · មុខងាររាងកាយ (PFs)-ឧបករណ៍ PCIe ពេញលេញដែលរួមបញ្ចូលសមត្ថភាព SR-IOV ។ មុខងាររាងកាយគឺ
បានរកឃើញ គ្រប់គ្រង និងកំណត់រចនាសម្ព័ន្ធជាឧបករណ៍ PCI ធម្មតា។ Physical Functions កំណត់រចនាសម្ព័ន្ធ និងគ្រប់គ្រងមុខងារ SR-IOV ដោយកំណត់មុខងារនិម្មិត។ នៅពេលដែល SR-IOV ត្រូវបានបិទ ម៉ាស៊ីនបង្កើត PF តែមួយនៅលើ NIC រាងកាយមួយ។ · មុខងារនិម្មិត (VFs)-មុខងារ PCIe សាមញ្ញ ដែលដំណើរការតែ I/O ប៉ុណ្ណោះ។ អនុគមន៍និម្មិតនីមួយៗបានមកពីអនុគមន៍រូបវិទ្យា។ ចំនួនមុខងារនិម្មិតដែលឧបករណ៍អាចមានត្រូវបានកំណត់ដោយផ្នែករឹងរបស់ឧបករណ៍។ ច្រកអ៊ីសឺរណិតតែមួយ ដែលជាឧបករណ៍រូបវិទ្យា អាចនឹងភ្ជាប់ទៅមុខងារនិម្មិតជាច្រើន ដែលអាចចែករំលែកដល់ភ្ញៀវបាន។ នៅពេលដែល SR-IOV ត្រូវបានបើក ម៉ាស៊ីនបង្កើត PF តែមួយ និង VFs ច្រើននៅលើ NIC ជាក់ស្តែងមួយ។ ចំនួន VF អាស្រ័យលើការកំណត់រចនាសម្ព័ន្ធ និងជំនួយអ្នកបើកបរ។
ការគាំទ្រ SR-IOV HA ជាមួយនឹងរបៀបជឿទុកចិត្តត្រូវបានបិទ (KVM តែប៉ុណ្ណោះ)
នៅក្នុងផ្នែកនេះ ស្វែងយល់អំពីការគាំទ្រ SR-IOV HA ជាមួយនឹងរបៀបទុកចិត្តបានបិទ (KVM តែប៉ុណ្ណោះ) | 70 កំណត់រចនាសម្ព័ន្ធការគាំទ្រ SR-IOV ជាមួយ Trust Mode Disabled (KVM only) | 72 ដែនកំណត់ | ៧៣
ស្វែងយល់ពីការគាំទ្រ SR-IOV HA ជាមួយនឹងរបៀបជឿទុកចិត្តត្រូវបានបិទ (KVM តែប៉ុណ្ណោះ)
Redundant Ethernet Interface (RETH) គឺជាចំណុចប្រទាក់និម្មិតដែលមានចំនួនស្មើគ្នានៃចំណុចប្រទាក់សមាជិកពីថ្នាំងដែលចូលរួមនីមួយៗនៃចង្កោម SRX ។ ការកំណត់រចនាសម្ព័ន្ធឡូជីខលទាំងអស់ដូចជាអាសយដ្ឋាន IP, QoS, តំបន់ និង VPN ត្រូវបានចងភ្ជាប់ទៅនឹងចំណុចប្រទាក់នេះ។ លក្ខណៈសម្បត្តិរូបវន្តត្រូវបានអនុវត្តចំពោះចំណុចប្រទាក់សមាជិក ឬកុមារ។ ចំណុចប្រទាក់ RETH មានអាសយដ្ឋាន MAC និម្មិតដែលត្រូវបានគណនាដោយប្រើលេខសម្គាល់ចង្កោម។ RETH ត្រូវបានអនុវត្តជាចំណុចប្រទាក់រួមបញ្ចូលគ្នា/LAG នៅក្នុង Junos OS។ សម្រាប់ LAG អាសយដ្ឋាន MAC របស់ IFDs មេ (ឡូជីខល) ត្រូវបានចម្លងទៅចំណុចប្រទាក់កូននីមួយៗ។ នៅពេលអ្នកកំណត់រចនាសម្ព័ន្ធចំណុចប្រទាក់កូននៅក្រោមចំណុចប្រទាក់ RETH ចំណុចប្រទាក់ RETH និម្មិតរបស់ MAC នឹងត្រូវបានសរសេរជាន់លើនៅលើវាលអាសយដ្ឋាន MAC បច្ចុប្បន្ននៃ

71
ចំណុចប្រទាក់រាងកាយរបស់កុមារ។ នេះក៏ទាមទារអាសយដ្ឋាន MAC និម្មិតត្រូវបានកម្មវិធីនៅលើ NIC ដែលត្រូវគ្នា។
Junos OS ដំណើរការជា VM នៅលើ vSRX Virtual Firewall ។ Junos OS មិនមានការចូលប្រើ NIC ដោយផ្ទាល់ទេ ហើយមានតែការចូលប្រើ NIC និម្មិតដែលផ្តល់ដោយ hypervisor ដែលអាចត្រូវបានចែករំលែកជាមួយ VMs ផ្សេងទៀតដែលកំពុងដំណើរការនៅលើម៉ាស៊ីនម៉ាស៊ីនដូចគ្នា។ ការចូលប្រើនិម្មិតនេះភ្ជាប់មកជាមួយការរឹតបន្តឹងមួយចំនួនដូចជារបៀបពិសេសដែលហៅថារបៀបទុកចិត្ត ដែលតម្រូវឱ្យសរសេរអាសយដ្ឋាន MAC និម្មិតនៅលើ NIC ។ កំឡុងពេលដាក់ពង្រាយ ការផ្តល់ការចូលប្រើទម្រង់ទុកចិត្តប្រហែលជាមិនអាចធ្វើទៅបានទេ ដោយសារបញ្ហាសុវត្ថិភាពដែលអាចកើតមាន។ ដើម្បីបើកឱ្យគំរូ RETH ដំណើរការក្នុងបរិយាកាសបែបនេះ ឥរិយាបថសរសេរឡើងវិញ MAC ត្រូវបានកែប្រែ។ ជំនួសឱ្យការចម្លងអាសយដ្ឋាន MAC និម្មិតមាតាបិតាទៅកុមារ យើងរក្សាអាសយដ្ឋាន MAC ជាក់ស្តែងរបស់កុមារនៅដដែល ហើយចម្លងអាសយដ្ឋាន MAC ជាក់ស្តែងរបស់កុមារដែលជាកម្មសិទ្ធិរបស់ថ្នាំងសកម្មនៃចង្កោមទៅ MAC បច្ចុប្បន្ននៃចំណុចប្រទាក់ reth ។ វិធីនេះ ការចូលប្រើការសរសេរឡើងវិញ MAC មិនត្រូវបានទាមទារទេ នៅពេលដែលរបៀបទុកចិត្តត្រូវបានបិទ។
ក្នុងករណី vSRX Virtual Firewall DPDK អានអាសយដ្ឋាន MAC ជាក់ស្តែងដែលផ្តល់ដោយអ្នកត្រួតពិនិត្យខ្ពស់ ហើយចែករំលែកវាជាមួយយន្តហោះគ្រប់គ្រង Junos OS ។ នៅក្នុងរបៀបឯករាជ្យ អាសយដ្ឋាន MAC រូបវន្តនេះត្រូវបានសរសេរកម្មវិធីនៅលើ IFDs ជាក់ស្តែង។ ប៉ុន្តែ​ការ​គាំទ្រ​ដូចគ្នា​គឺ​មិន​អាច​ប្រើ​បាន​ក្នុង​ទម្រង់​ចង្កោម​ទេ ដោយសារ​អាសយដ្ឋាន MAC សម្រាប់​ចំណុច​ប្រទាក់​រូបវន្ត​ត្រូវ​បាន​យក​ពី​អាង MAC ដែល​បម្រុង​ទុក Juniper ។ នៅក្នុងបរិយាកាសដែលរបៀបទុកចិត្តមិនអាចទៅរួច អ្នកត្រួតពិនិត្យខ្ពស់មិនអាចផ្តល់អាសយដ្ឋាន MAC ជាក់ស្តែងបានទេ។
ដើម្បីជម្នះបញ្ហានេះ យើងបានបន្ថែមជំនួយក្នុងការប្រើ hypervisor ដែលបានផ្តល់អាសយដ្ឋាន MAC ជាក់ស្តែង ជំនួសឱ្យការបែងចែកវាពី MAC ដែលបានបម្រុងទុក។ សូមមើល “កំណត់រចនាសម្ព័ន្ធការគាំទ្រ SR-IOV ជាមួយនឹងរបៀបទុកចិត្តបានបិទ (KVM តែប៉ុណ្ណោះ)” នៅលើទំព័រ 72 ។

72 កំណត់រចនាសម្ព័ន្ធការគាំទ្រ SR-IOV ជាមួយនឹងរបៀបទុកចិត្តបានបិទ (KVM តែប៉ុណ្ណោះ) រូបភាពទី 11៖ ការចម្លងអាសយដ្ឋាន MAC ពីចំណុចប្រទាក់កូនសកម្មទៅមេ RETH
ចាប់ផ្តើមនៅក្នុង Junos OS Release 19.4R1, SR-IOV HA ត្រូវបានគាំទ្រដោយបិទរបៀបទុកចិត្ត។ អ្នកអាចបើករបៀបនេះដោយកំណត់រចនាសម្ព័ន្ធ use-active-child-mac-on-reth និង use-actual-mac-on-physical-interfaces statements នៅកម្រិតឋានានុក្រម [edit chassis cluster]។ ប្រសិនបើអ្នកកំណត់រចនាសម្ព័ន្ធពាក្យបញ្ជានៅក្នុងចង្កោម អ្នកត្រួតពិនិត្យខ្ពស់កំណត់អាសយដ្ឋាន MAC របស់ចំណុចប្រទាក់រូបវន្តកុមារ ហើយអាសយដ្ឋាន MAC របស់ចំណុចប្រទាក់មេ RETH ត្រូវបានសរសេរជាន់ពីលើដោយអាសយដ្ឋាន MAC របស់ចំណុចប្រទាក់រូបវន្តកុមារសកម្ម
ចំណាំ៖ អ្នកអាចកំណត់រចនាសម្ព័ន្ធ SR-IOV ដោយបិទរបៀបទុកចិត្តបាន លុះត្រាតែចំណុចប្រទាក់ចំណូលគឺ SRIOV ប៉ុណ្ណោះ។ ចំណុចប្រទាក់ក្រណាត់ ឬតំណភ្ជាប់មិនអាចប្រើ SR-IOV ជាមួយនឹងរបៀបទុកចិត្តបានបិទនៅពេលដែលចំណុចប្រទាក់រូបវន្ត MAC ពិតប្រាកដត្រូវបានកំណត់រចនាសម្ព័ន្ធ។ ការប្រើប្រាស់ SRIOV ជាមួយនឹងរបៀបជឿទុកចិត្តត្រូវបានបិទគឺត្រូវបានគាំទ្រប្រសិនបើមានតែចំណុចប្រទាក់ចំណូលគឺ SR-IOV ។ អ្នកត្រូវបិទដំណើរការ vSRX Virtual Firewall instance ដើម្បីបើករបៀបនេះ។ ថ្នាំងទាំងពីរនៅក្នុងចង្កោមត្រូវចាប់ផ្តើមឡើងវិញដើម្បីឱ្យពាក្យបញ្ជាមានប្រសិទ្ធភាព។ អ្នកត្រូវកំណត់រចនាសម្ព័ន្ធពាក្យបញ្ជា use-active-child-mac-on-reth និង use-actual-mac-on-physical-interfaces ជាមួយគ្នាដើម្បីបើកមុខងារនេះ។

73
សូមមើលផងដែរ use-active-child-mac-on-reth use-actual-mac-on-physical-interfaces
ដែនកំណត់
ការគាំទ្រ SR-IOV HA ជាមួយនឹងរបៀបជឿទុកចិត្តត្រូវបានបិទនៅលើ KVM មានដែនកំណត់ដូចខាងក្រោម៖
· ការគាំទ្រ SR-IOV HA ជាមួយនឹងរបៀបជឿទុកចិត្តត្រូវបានបិទគឺត្រូវបានគាំទ្រតែលើប្រព័ន្ធដែលមានមូលដ្ឋានលើ KVM ប៉ុណ្ណោះ។
· ចំណុចប្រទាក់ reth អាចមានច្រកអតិបរមាមួយក្នុងនាមជាសមាជិកនៅលើថ្នាំង vSRX Virtual Firewall នីមួយៗ។
· អ្នកមិនអាចប្រើមុខងារសុវត្ថិភាព nat proxy-arp សម្រាប់ NAT pools បានទេ ដោយសារគ្មាន G-ARP ត្រូវបានបញ្ជូនចេញនៅពេលបរាជ័យសម្រាប់អាសយដ្ឋាន IP នៅក្នុង NAT pools។ ជំនួសមកវិញ មនុស្សម្នាក់អាចកំណត់ផ្លូវទៅកាន់ជួរ NAT pool នៅក្នុងរ៉ោតទ័រខាងលើ ដើម្បីចង្អុលទៅអាសយដ្ឋាន IP របស់ vSRX Virtual Firewall reth ជាអាសយដ្ឋាន IP បន្ទាប់។ ឬប្រសិនបើម៉ាស៊ីនដែលបានភ្ជាប់ដោយផ្ទាល់ត្រូវការចូលប្រើអាសយដ្ឋានអាង NAT នោះអាសយដ្ឋានអាង NAT ទាំងនេះអាចត្រូវបានកំណត់រចនាសម្ព័ន្ធសម្រាប់ប្រូកស៊ី ARP នៅក្រោមចំណុចប្រទាក់ reth ។
· ប្រសិនបើចំណុចប្រទាក់ reth ត្រូវបានកំណត់រចនាសម្ព័ន្ធជាមួយ VLANs ជាច្រើន វាអាចចំណាយពេលខ្លះដើម្បីផ្ញើ G-ARPs ទាំងអស់នៅលើការបរាជ័យ។ នេះអាចនាំឱ្យមានការរំខានគួរឱ្យកត់សម្គាល់នៅក្នុងចរាចរណ៍។
· ការបរាជ័យនៃយន្តហោះទិន្នន័យនឹងបណ្តាលឱ្យមានការផ្លាស់ប្តូរអាសយដ្ឋាន MAC នៃចំណុចប្រទាក់ reth ។ ដូច្នេះការបរាជ័យនេះគឺមិនមានតម្លាភាពចំពោះឧបករណ៍ Layer 3 ដែលនៅជិតខាងដែលបានភ្ជាប់ដោយផ្ទាល់ (រ៉ោតទ័រ ឬម៉ាស៊ីនមេ)។ vSRX Virtual Firewall reth អាសយដ្ឋាន IP ត្រូវតែត្រូវបានផ្គូផ្គងទៅអាសយដ្ឋាន MAC ថ្មីនៅក្នុងតារាង ARP នៅលើឧបករណ៍ជិតខាង។ vSRX Virtual Firewall នឹងបញ្ជូន G-ARP ដែលនឹងជួយឧបករណ៍ទាំងនេះ។ ក្នុងករណីដែលឧបករណ៍ជិតខាងទាំងនេះមិនធ្វើសកម្មភាពនៅលើ G-ARP ដែលទទួលបានពី vSRX Virtual Firewall ឬបង្ហាញការឆ្លើយតបយឺត ចរាចរណ៍អាចនឹងត្រូវបានរំខានរហូតដល់ឧបករណ៍នោះធ្វើបច្ចុប្បន្នភាពវាជាតារាង ARP ត្រឹមត្រូវ។
· មុខងារជញ្ជាំងភ្លើងនិម្មិត vSRX ខាងក្រោមមិនត្រូវបានគាំទ្រក្នុងការដាក់ពង្រាយដែលប្រើចំណុចប្រទាក់ SR-IOV៖
ដែនកំណត់ទាំងនេះអនុវត្តនៅក្នុងការដាក់ពង្រាយដែលកម្មវិធីបញ្ជា PF មិនអាចធ្វើបច្ចុប្បន្នភាព ឬគ្រប់គ្រងបានទេ។ ដែនកំណត់មិនត្រូវបានអនុវត្តទេនៅពេលដែល vSRX Virtual Firewall ត្រូវបានដាក់ឱ្យប្រើប្រាស់នៅលើឧបករណ៍ Juniper Networks ដែលគាំទ្រ។
· ភាពអាចរកបានខ្ពស់ (HA)
· ចំណុចប្រទាក់ IRB
· អាសយដ្ឋាន IPv6
· ស៊ុម Jumbo
·ការគាំទ្រស្រទាប់ 2

74
· Multicast ជាមួយនឹងលក្ខណៈពិសេសផ្សេងទៀតដូចជា OSPF និង IPv6
·របៀបកញ្ចប់
កំណត់រចនាសម្ព័ន្ធចំណុចប្រទាក់ SR-IOV នៅលើ KVM
ប្រសិនបើអ្នកមាន NIC ជាក់ស្តែងដែលគាំទ្រ SR-IOV អ្នកអាចភ្ជាប់ vNICs ដែលបានបើក SR-IOV ឬមុខងារនិម្មិត (VFs) ទៅ vSRX Virtual Firewall instance ដើម្បីកែលម្អដំណើរការ។ យើងណែនាំថា ប្រសិនបើអ្នកប្រើ SR-IOV ច្រកចំណូលទាំងអស់ត្រូវបានកំណត់រចនាសម្ព័ន្ធជា SR-IOV ។
ចំណាំខាងក្រោមអំពីការគាំទ្រ SR-IOV សម្រាប់ vSRX Virtual Firewall នៅលើ KVM៖
· ចាប់ផ្តើមនៅក្នុង Junos OS Release 15.1X49-D90 និង Junos OS Release 17.3R1 ដែលជា vSRX Virtual Firewall instance ដែលត្រូវបានដាក់ឱ្យប្រើប្រាស់នៅលើ KVM គាំទ្រ SR-IOV នៅលើ Intel X710/XL710 NIC បន្ថែមពីលើ Intel 82599 ឬ X520/540។
· ចាប់ផ្តើមនៅក្នុង Junos OS Release 18.1R1 ជាឧទាហរណ៍ vSRX Virtual Firewall ដែលត្រូវបានដាក់ពង្រាយនៅលើ KVM គាំទ្រ SR-IOV នៅលើ Mellanox ConnectX-3 និង ConnectX-4 Family Adapters ។
ចំណាំ៖ សូមមើលការពិភាក្សាបង្កើនទំហំប្រតិបត្តិការរបស់ vSRX និម្មិតនៅក្នុងការយល់ដឹង vSRX ជាមួយ KVM សម្រាប់ vSRX ជញ្ជាំងភ្លើងនិម្មិតបង្កើនការអនុវត្តនៅពេលដាក់ឱ្យប្រើប្រាស់នៅលើ KVM ដោយផ្អែកលើ vNIC និងចំនួន vCPU និង vRAM ដែលបានអនុវត្តចំពោះ vSRX Virtual Firewall VM ។
មុនពេលអ្នកអាចភ្ជាប់ VF ដែលបានបើក SR-IOV ទៅនឹង vSRX Virtual Firewall អ្នកត្រូវតែបំពេញកិច្ចការខាងក្រោម៖
· បញ្ចូលអាដាប់ទ័របណ្តាញរូបវន្តដែលមានសមត្ថភាព SR-IOV នៅក្នុងម៉ាស៊ីនមេ។
· បើកដំណើរការផ្នែកបន្ថែមនិម្មិត CPU Intel VT-d នៅក្នុង BIOS នៅលើម៉ាស៊ីនមេរបស់អ្នក។ ផ្នែកបន្ថែមរបស់ Intel VT-d ផ្តល់នូវការគាំទ្រផ្នែករឹងសម្រាប់ការចាត់តាំងឧបករណ៍ជាក់ស្តែងដោយផ្ទាល់ដល់ភ្ញៀវ។ ផ្ទៀងផ្ទាត់ដំណើរការជាមួយអ្នកលក់ ពីព្រោះប្រព័ន្ធផ្សេងៗមានវិធីសាស្រ្តផ្សេងគ្នាដើម្បីបើក VT-d។
· ត្រូវប្រាកដថា SR-IOV ត្រូវបានបើកនៅកម្រិត BIOS ប្រព័ន្ធ/ម៉ាស៊ីនមេ ដោយចូលទៅក្នុងការកំណត់ BIOS កំឡុងពេលដំណើរការម៉ាស៊ីនមេលំដាប់ចាប់ផ្ដើម ដើម្បីបញ្ជាក់ការកំណត់ SR-IOV ។ ក្រុមហ៊ុនផលិតម៉ាស៊ីនមេផ្សេងៗគ្នាមានអនុសញ្ញាដាក់ឈ្មោះខុសៗគ្នាសម្រាប់ប៉ារ៉ាម៉ែត្រ BIOS ដែលត្រូវបានប្រើដើម្បីបើក SR-IOV នៅកម្រិត BIOS ។ សម្រាប់អតីតample សម្រាប់ម៉ាស៊ីនមេ Dell ធានាថាជម្រើស SR-IOV Global Enable ត្រូវបានកំណត់ទៅជា Enabled។
ចំណាំ៖ យើងណែនាំអ្នកឱ្យប្រើ virt-manager ដើម្បីកំណត់រចនាសម្ព័ន្ធចំណុចប្រទាក់ SR-IOV ។ សូមមើលឯកសារពាក្យបញ្ជាឧបករណ៍ភ្ជាប់ virsh ប្រសិនបើអ្នកចង់រៀនពីរបៀបបន្ថែមឧបករណ៍ម៉ាស៊ីន PCI ទៅ VM ដោយប្រើពាក្យបញ្ជា virsh CLI ។ ដូចគ្នានេះផងដែរអ្នកត្រូវតែកំណត់រចនាសម្ព័ន្ធចំណុចប្រទាក់តាមលំដាប់នៃ 1G, 10G, 40G និង 100G ។ ប្រសិនបើការបញ្ជាទិញនេះមិនត្រូវបានអនុវត្តតាម នោះអ្នកត្រូវកំណត់អាដាប់ទ័របណ្តាញឡើងវិញ។

75
ដើម្បីបន្ថែម SR-IOV VF ទៅ vSRX Virtual Firewall VM ដោយប្រើចំណុចប្រទាក់ក្រាហ្វិកអ្នកគ្រប់គ្រង virt-manager: 1. នៅក្នុង Junos OS CLI សូមបិទ vSRX Virtual Firewall VM ប្រសិនបើវាកំពុងដំណើរការ។
vsrx> ស្នើសុំការបិទប្រព័ន្ធ
2. នៅក្នុង virt-manager ចុចពីរដងលើ vSRX Virtual Firewall VM ហើយជ្រើសរើស View> ព័ត៌មានលម្អិត។ ប្រអប់ព័ត៌មានលំអិតរបស់ម៉ាស៊ីននិម្មិត vSRX Virtual Firewall លេចឡើង។
3. ជ្រើសរើសផ្ទាំង Hardware បន្ទាប់មកចុច Add Hardware។ ប្រអប់ Add Hardware លេចឡើង។ 4. ជ្រើសរើសឧបករណ៍ PCI Host ពីបញ្ជី Hardware នៅខាងឆ្វេង។ 5. ជ្រើសរើស SR-IOV VF សម្រាប់ចំណុចប្រទាក់និម្មិតថ្មីនេះពីបញ្ជីឧបករណ៍ម៉ាស៊ីន។ 6. ចុច Finish ដើម្បីបន្ថែមឧបករណ៍ថ្មី។ ការដំឡើងបានបញ្ចប់ហើយ vSRX Virtual Firewall VM ឥឡូវនេះមាន
ការចូលទៅកាន់ឧបករណ៍ដោយផ្ទាល់។ 7. ពីរបាររូបតំណាង virt-manager នៅជ្រុងខាងឆ្វេងខាងលើនៃបង្អួច ចុចព្រួញថាមពល។ នេះ។
vSRX Virtual Firewall VM ចាប់ផ្តើម។ នៅពេលដែលជញ្ជាំងភ្លើងនិម្មិត vSRX ត្រូវបានដំណើរការនៅលើស្ថានភាពដែលកំពុងដំណើរការនឹងបង្ហាញនៅក្នុងបង្អួច។ អ្នកអាចភ្ជាប់ទៅកុងសូលគ្រប់គ្រងដើម្បីមើលលំដាប់ចាប់ផ្ដើម។
ចំណាំ៖ បន្ទាប់ពីការចាប់ផ្តើមចាប់ផ្ដើម អ្នកត្រូវជ្រើសរើស View>Text Consoles>Serial 1 in virt-manager ដើម្បីភ្ជាប់ទៅកុងសូល vSRX Virtual Firewall ។
ដើម្បីបន្ថែម SR-IOV VF ទៅ vSRX Virtual Firewall VM ដោយប្រើពាក្យបញ្ជា virsh CLI៖ 1. កំណត់មុខងារនិម្មិតចំនួនបួនសម្រាប់ចំណុចប្រទាក់ eno2 ធ្វើបច្ចុប្បន្នភាព sriov_numvfs file ជាមួយនឹងលេខ 4 ។
root@LabHost:~# echo 4 > /sys/class/net/eno2/device/sriov_numvfs root@LabHost:~# more /sys/class/net/eno2/device/sriov_numvfs
2. កំណត់អត្តសញ្ញាណឧបករណ៍។ កំណត់អត្តសញ្ញាណឧបករណ៍ PCI ដែលកំណត់សម្រាប់ការកំណត់ឧបករណ៍ទៅម៉ាស៊ីននិម្មិត។ ប្រើពាក្យបញ្ជា lspci ដើម្បីរាយឧបករណ៍ PCI ដែលមាន។ អ្នកអាចកែលម្អលទ្ធផលនៃ lspci ជាមួយ grep ។

76
ប្រើពាក្យបញ្ជា lspci ដើម្បីពិនិត្យមើលលេខ VF យោងតាមលេខសម្គាល់ VF ។
root@ kvmsrv:~# lspci | grep អេធើរ
…… 83:00.0 ឧបករណ៍បញ្ជាអ៊ីសឺរណិត៖ Intel Corporation Ethernet Controller XL710 សម្រាប់ 40GbE QSFP+ (rev 02) – Physical Function 83:00.1 Ethernet controller: Intel Corporation Ethernet Controller XL710 for 40GbE QSFP+ (rev 02) – Physical Function: 83:02.0 Ethernet controller: Intel Corporation Ethernet Virtual Function 700 Series (rev 02) 83:02.1 Ethernet controller: Intel Corporation Ethernet Virtual Function 700 Series (rev 02) 83:02.2 Ethernet controller: Intel Corporation Ethernet Virtual Function 700 Series (rev 02) 83:02.3 Ethernet controller ៖ Intel Corporation Ethernet Virtual Function 700 Series (rev 02) 83:02.4 Ethernet controller: Intel Corporation Ethernet Virtual Function 700 Series (rev 02) 83:02.5 Ethernet controller: Intel Corporation Ethernet Virtual Function 700 Series (rev 02) 83:02.6 ឧបករណ៍បញ្ជា៖ Intel Corporation Ethernet Virtual Function 700 Series (rev 02) 83:02.7 Ethernet controller: Intel Corporation Ethernet Virtual Function 700 Series (rev 02) 83:0a.0 Ethernet controller: Intel Corporation Ethernet Virtual Function 700 Series (rev 02) 83 :0a.1 ឧបករណ៍បញ្ជាអ៊ីសឺរណិត៖ Intel Corporation Ethernet Virtual Function 700 Series (rev 02) 83:0a.2 Ethernet controller: Intel Corporation Ethernet Virtual Function 700 Series (rev 02) 83:0a.3 Ethernet controller: Intel Corporation Ethernet Virtual Function 700 Series (rev 02) 83:0a.4 Ethernet controller: Intel Corporation Ethernet Virtual Function 700 Series (rev 02) 83:0a.5 Ethernet controller: Intel Corporation Ethernet Virtual Function 700 Series (rev 02) 83:0a.6 Ethernet ឧបករណ៍បញ្ជា៖ Intel Corporation Ethernet Virtual Function 700 Series (rev 02) 83:0a.7 Ethernet controller: Intel Corporation Ethernet Virtual Function 700 Series (rev 02) ………
3. បន្ថែមការចាត់តាំងឧបករណ៍ SR-IOV ពី vSRX Virtual Firewall XML profile នៅលើ KVM និងឡើងវិញview ព័ត៌មានឧបករណ៍។
កម្មវិធីបញ្ជាអាចប្រើទាំង vfio ឬ kvm អាស្រ័យលើ KVM server OS/kernel version និង drivers សម្រាប់ការគាំទ្រនិម្មិត។ ប្រភេទអាសយដ្ឋានយោងលើលេខរន្ធដោត PCI តែមួយគត់សម្រាប់ SR-IOV VF (មុខងារនិម្មិត) នីមួយៗ។
ព័ត៌មាននៅលើដែន ឡានក្រុង និងមុខងារអាចរកបានពីលទ្ធផលនៃពាក្យបញ្ជា virsh nodedev-dumxml ។

77

4. បន្ថែមឧបករណ៍ PCI ក្នុងការកំណត់កែសម្រួល ហើយជ្រើសរើស VF យោងតាមលេខ VF ។

ចំណាំ៖ ប្រតិបត្តិការនេះគួរតែត្រូវបានធ្វើនៅពេលដែល VM ត្រូវបានបិទ។ ដូចគ្នានេះផងដែរ កុំក្លូន VMs ជាមួយឧបករណ៍ PCI ដែលអាចនាំឱ្យមានជម្លោះ VF ឬ MAC ។

5. ចាប់ផ្តើម VM ដោយប្រើ # virsh start name នៃពាក្យបញ្ជាម៉ាស៊ីននិម្មិត។

ការចេញផ្សាយតារាងប្រវត្តិសាស្រ្ត

ចេញផ្សាយ

ការពិពណ៌នា

18.1R1

ចាប់ផ្តើមនៅក្នុង Junos OS Release 18.1R1 ជាឧទាហរណ៍ vSRX Virtual Firewall ដែលត្រូវបានដាក់ពង្រាយនៅលើ KVM គាំទ្រ SR-IOV នៅលើ Mellanox ConnectX-3 និង ConnectX-4 Family Adapters ។

15.1X49-D90

ចាប់ផ្តើមនៅក្នុង Junos OS Release 15.1X49-D90 និង Junos OS Release 17.3R1 ជាឧទាហរណ៍ vSRX Virtual Firewall ដែលត្រូវបានដាក់ពង្រាយនៅលើ KVM គាំទ្រ SR-IOV នៅលើ Intel X710/XL710 NIC បន្ថែមពីលើ Intel 82599 ឬ X520/540។

ឯកសារពាក់ព័ន្ធ
តម្រូវការសម្រាប់ vSRX Virtual Firewall នៅលើ KVM | 7 ការពន្យល់របស់ Intel SR-IOV PCI-SIG SR-IOV Primer SR-IOV Intel – SR-IOV ការណែនាំអំពីការកំណត់រចនាសម្ព័ន្ធ Red Hat – SRIOV – ឧបករណ៍ PCI

78
ដំឡើងកំណែ Multi-core vSRX Virtual Firewall
នៅក្នុងផ្នែកនេះ កំណត់រចនាសម្ព័ន្ធតម្លៃជួរសម្រាប់ vSRX Virtual Firewall VM ជាមួយ KVM | 78 បិទ vSRX Virtual Firewall Instance ជាមួយ virt-manager | 79 ដំឡើងកំណែ vSRX Virtual Firewall ជាមួយ virt-manager | ៧៩
Starting in Junos OS Release 15.1X49-D70 and Junos OS Release 17.3R1, you can use virt-manager to scale the performance and capacity of a vSRX Virtual Firewall instance by increasing the number of vCPUs or the amount of vRAM allocated to the vSRX Virtual Firewall. See Requirements for vSRX on KVM for the software requirement specifications for a vSRX Virtual Firewall VM. See your host OS documentation for complete details on the virt-manager package
ចំណាំ៖ អ្នកមិនអាចកាត់បន្ថយចំនួន vCPUs ឬបន្ថយបរិមាណ vRAM សម្រាប់ vSRX Virtual Firewall VM ដែលមានស្រាប់នោះទេ។
កំណត់រចនាសម្ព័ន្ធតម្លៃជួរសម្រាប់ vSRX Virtual Firewall VM ជាមួយ KVM
មុនពេលអ្នកមានគម្រោងពង្រីកដំណើរការ vSRX Virtual Firewall សូមកែប្រែ vSRX Virtual Firewall VM XML file ដើម្បីកំណត់រចនាសម្ព័ន្ធបណ្តាញពហុជួរជាមធ្យោបាយមួយដើម្បីគាំទ្រការកើនឡើងចំនួននៃ vCPUs នៃយន្តហោះទិន្នន័យសម្រាប់ vSRX Virtual Firewall VM ។ ការកំណត់នេះធ្វើបច្ចុប្បន្នភាពកម្មវិធីបញ្ជា libvirt ដើម្បីបើកដំណើរការ multi-queue virtio-net ដូច្នេះដំណើរការបណ្តាញអាចធ្វើមាត្រដ្ឋាននៅពេលដែលចំនួននៃ dataplane vCPUs កើនឡើង។ Multiqueue virtio គឺជាវិធីសាស្រ្តមួយដែលអាចឱ្យដំណើរការនៃការផ្ញើ និងទទួលកញ្ចប់ព័ត៌មាន ត្រូវបានធ្វើមាត្រដ្ឋានទៅចំនួននៃ CPUs និម្មិត (vCPUs) ដែលអាចប្រើបានរបស់ភ្ញៀវ តាមរយៈការប្រើប្រាស់ជួរជាច្រើន។ ទោះជាយ៉ាងណាក៏ដោយ ការកំណត់រចនាសម្ព័ន្ធនៃពហុជួរ virtio-net អាចត្រូវបានអនុវត្តតែនៅក្នុង XML ប៉ុណ្ណោះ។ file. OpenStack មិនគាំទ្រពហុជួរទេ។ ដើម្បីធ្វើបច្ចុប្បន្នភាពជួរ នៅផ្នែក បន្ទាត់នៅក្នុង vSRX Virtual Firewall VM XML file, ផ្គូផ្គងចំនួនជួរជាមួយនឹងចំនួន vCPUs នៃយន្តហោះទិន្នន័យដែលអ្នកមានគម្រោងកំណត់រចនាសម្ព័ន្ធសម្រាប់ vSRX Virtual Firewall VM ។ លំនាំដើមគឺ 4 dataplane vCPUs ប៉ុន្តែអ្នកអាចធ្វើមាត្រដ្ឋានលេខនោះទៅ 4, 8, ឬ 16 vCPUs ។

79
XML ខាងក្រោម file example កំណត់រចនាសម្ព័ន្ធ 8 ជួរសម្រាប់ vSRX Virtual Firewall VM ដែលមាន 8 dataplane vCPUs៖



បិទ vSRX Virtual Firewall Instance ជាមួយ virt-manager
នៅក្នុងស្ថានភាពដែលអ្នកចង់កែសម្រួល និងកែប្រែ vSRX Virtual Firewall VM XML fileអ្នកត្រូវបិទ vSRX Virtual Firewall និង VM ដែលពាក់ព័ន្ធ។ ដើម្បីបិទ vSRX Virtual Firewall យ៉ាងរលូនជាមួយ virt-manager៖ 1. បើកដំណើរការ virt-manager ។ 2. ពិនិត្យមើល vSRX Virtual Firewall ដែលអ្នកចង់បិទ។ 3. ជ្រើសរើស បើក ដើម្បីបើកបង្អួចកុងសូលទៅកាន់ vSRX Virtual Firewall instance ។ 4. ពីកុងសូលជញ្ជាំងភ្លើងនិម្មិត vSRX ចាប់ផ្ដើមឡើងវិញនូវ vSRX Virtual Firewall instance ។
vsrx# ស្នើសុំការបិទប្រព័ន្ធ។ 5. ពី virt-manager សូមជ្រើសរើស Shut Down ដើម្បីបិទ VM ទាំងស្រុង ដូច្នេះអ្នកអាចកែសម្រួល XML file.
ចំណាំ៖ កុំប្រើ Force Reset ឬ Force Off នៅលើ VM ដែលសកម្មណាមួយ ដូចដែលវាអាចបង្កើតបាន។ file អំពើពុករលួយ។
ដំឡើងកំណែ vSRX Virtual Firewall ជាមួយ virt-manager
អ្នកត្រូវតែបិទ vSRX Virtual Firewall VM មុនពេលអ្នកអាចធ្វើបច្ចុប្បន្នភាពតម្លៃ vCPU ឬ vRAM សម្រាប់ VM ។ អ្នកអាចដំឡើងកំណែ និងបើកដំណើរការ vSRX Virtual Firewall ជាមួយនឹងកញ្ចប់ KVM virt-manager GUI ។ ដើម្បីធ្វើមាត្រដ្ឋាន vSRX Virtual Firewall VM ជាមួយ virt-manager ទៅចំនួន vCPUs កាន់តែខ្ពស់ ឬដល់ចំនួន vRAM កើនឡើង៖ 1. នៅលើ host OS របស់អ្នក វាយ virt-manager ។ កម្មវិធីគ្រប់គ្រងម៉ាស៊ីននិម្មិតលេចឡើង។ សូមមើលរូបភាពទី 12 នៅលើទំព័រ
០១.

80 ចំណាំ៖ អ្នកត្រូវតែមានសិទ្ធិគ្រប់គ្រងនៅលើ host OS ដើម្បីប្រើ virt-manager ។ រូបភាពទី 12: virt-manager

2. ជ្រើសរើស Open ដើម្បីបើក vSRX Virtual Firewall VM ដែលបានដំណើរការហើយជ្រើសរើស Edit Hardware Details ដើម្បីបើកបង្អួចព័ត៌មានលំអិតរបស់ម៉ាស៊ីននិម្មិត។
3. ជ្រើសរើស Processor ហើយកំណត់ចំនួន vCPUs។ ចុចអនុវត្ត។ 4. ជ្រើសរើស Memory ហើយកំណត់ vRAM ទៅទំហំដែលចង់បាន។ ចុចអនុវត្ត។ 5. ចុច Power On ។ អ្នកគ្រប់គ្រង VM បើកដំណើរការ vSRX Virtual Firewall VM ជាមួយនឹង vCPU ថ្មី និង
ការកំណត់ vRAM ។

ចំណាំ៖ vSRX Virtual Firewall ធ្វើមាត្រដ្ឋានចុះទៅតម្លៃដែលគាំទ្រជិតបំផុត ប្រសិនបើការកំណត់ vCPU ឬ vRAM មិនត្រូវគ្នានឹងអ្វីដែលមាននាពេលបច្ចុប្បន្ន។

ការចេញផ្សាយតារាងប្រវត្តិសាស្រ្ត

ចេញផ្សាយ

ការពិពណ៌នា

15.1X49-D70

Starting in Junos OS Release 15.1X49-D70 and Junos OS Release 17.3R1, you can use virt-manager to scale the performance and capacity of a vSRX Virtual Firewall instance by increasing the number of vCPUs or the amount of vRAM allocated to the vSRX Virtual Firewall

ឯកសារពាក់ព័ន្ធស្វែងយល់ vSRX Virtual Firewall ជាមួយ KVM | ២

81
តម្រូវការសម្រាប់ vSRX Virtual Firewall នៅលើ KVM | 7 ការដំឡើងម៉ាស៊ីននិម្មិតដោយប្រើ virt-install

ត្រួតពិនិត្យ vSRX Virtual Firewall VM នៅក្នុង KVM

អ្នកអាចតាមដានស្ថានភាពទាំងមូលនៃ vSRX Virtual Firewall VM ជាមួយ virt-manager ឬ virsh ។ ដើម្បីត្រួតពិនិត្យ vSRX Virtual Firewall VM ជាមួយ virt-manager៖
1. ពី virt-manager GUI ជ្រើសរើស vSRX Virtual Firewall VM ដែលអ្នកចង់ត្រួតពិនិត្យ។ 2. ជ្រើសរើស View> ក្រាហ្វ ហើយជ្រើសរើសស្ថិតិដែលអ្នកចង់ត្រួតពិនិត្យ។ ជម្រើសរួមមាន CPU អង្គចងចាំ ថាស
I/O និងស្ថិតិចំណុចប្រទាក់បណ្តាញ។ បង្អួចធ្វើបច្ចុប្បន្នភាពជាមួយក្រាហ្វរូបភាពតូចសម្រាប់ស្ថិតិដែលអ្នកបានជ្រើសរើស។ 3. ជាជម្រើស ចុចពីរដងលើក្រាហ្វរូបភាពតូច ដើម្បីពង្រីក view.
ដើម្បីត្រួតពិនិត្យ vSRX Virtual Firewall VM ជាមួយ virsh សូមប្រើពាក្យបញ្ជាដែលបានរាយក្នុងតារាងទី 14 នៅទំព័រ 81។ តារាងទី 14៖ ពាក្យបញ្ជាត្រួតពិនិត្យ virsh

បញ្ជា

ការពិពណ៌នា

virsh cpu-stats vm-name

រាយបញ្ជីស្ថិតិស៊ីភីយូសម្រាប់ VM ។

virsh domifstat vm-name interface-name

បង្ហាញស្ថិតិ vNIC សម្រាប់ VM ។

virsh dommemstat vm-name

បង្ហាញស្ថិតិនៃអង្គចងចាំសម្រាប់ VM ។

virsh vcpuinfo vm-name

បង្ហាញព័ត៌មានលម្អិត vCPU សម្រាប់ VM ។

virsh nodecpustats

បង្ហាញស្ថិតិស៊ីភីយូសម្រាប់ម៉ាស៊ីន OS ។

ឧបករណ៍ virt ឯកសារដែលទាក់ទង

82
គ្រប់គ្រង vSRX Virtual Firewall Instance នៅលើ KVM
នៅក្នុងផ្នែកនេះ ថាមពលនៅលើ vSRX Virtual Firewall Instance ជាមួយ virt-manager | 82 Power On the vSRX Virtual Firewall Instance with virsh | 82 ផ្អាក vSRX Virtual Firewall Instance ជាមួយ virt-manager | 83 ផ្អាក vSRX Virtual Firewall Instance ជាមួយ virsh | 83 ការចាប់ផ្ដើម vSRX Virtual Firewall Instance ជាមួយ virt-manager | 83 ចាប់ផ្ដើម vSRX Virtual Firewall Instance ឡើងវិញដោយប្រើ virsh | 83 បិទកម្មវិធី vSRX Virtual Firewall Instance ជាមួយ virt-manager | 84 បិទកម្មវិធីជញ្ជាំងភ្លើងនិម្មិត vSRX ដោយប្រើ virsh | 84 បិទ vSRX Virtual Firewall Instance ជាមួយ virt-manager | 85 បិទ vSRX Virtual Firewall Instance ជាមួយ virsh | 85 យក vSRX Virtual Firewall Instance ចេញដោយប្រើ virsh | ៨៦
vSRX Virtual Firewall នីមួយៗគឺជា VM ឯករាជ្យដែលអ្នកអាចបើក ផ្អាក ឬបិទ។ អ្នកអាចគ្រប់គ្រង vSRX Virtual Firewall VM ជាមួយនឹងឧបករណ៍ជាច្រើន រួមទាំង virt-manager និង virsh ។
បើកដំណើរការលើ vSRX Virtual Firewall Instance ជាមួយ virt-manager
ដើម្បីបើកដំណើរការ vSRX Virtual Firewall ជាមួយ virt-manager៖ 1. បើកដំណើរការ virt-manager ។ 2. ពិនិត្យមើល vSRX Virtual Firewall ដែលអ្នកចង់បើក។ 3. ពីរបាររូបតំណាង សូមជ្រើសរើសថាមពលនៅលើព្រួញ។ vSRX Virtual Firewall VM ចាប់ផ្តើម។ អ្នកអាចភ្ជាប់
ទៅកាន់កុងសូលគ្រប់គ្រង ដើម្បីមើលលំដាប់ចាប់ផ្ដើម។
ចំណាំ៖ បន្ទាប់ពីការចាប់ផ្តើមចាប់ផ្ដើម អ្នកត្រូវជ្រើសរើស View>Text Consoles>Serial 1 in virt-manager ដើម្បីភ្ជាប់ទៅកុងសូល vSRX Virtual Firewall ។
បើកដំណើរការលើ vSRX Virtual Firewall Instance ជាមួយនឹង virsh
ដើម្បីដំណើរការលើ vSRX Virtual Firewall instance ជាមួយ virsh៖

83
ប្រើពាក្យបញ្ជា virsh start នៅលើ host OS ដើម្បីចាប់ផ្តើម vSRX Virtual Firewall VM ។
user@host# virsh ចាប់ផ្តើម vSRX-kvm-2
ដែន vSRX-kvm-2 បានចាប់ផ្តើម
ផ្អាក vSRX Virtual Firewall Instance ជាមួយ virt-manager
ដើម្បីផ្អាក vSRX Virtual Firewall instance ជាមួយ virt-manager៖ 1. បើកដំណើរការ virt-manager ។ 2. ពិនិត្យមើល vSRX Virtual Firewall ដែលអ្នកចង់ផ្អាក។ 3. ពីរបាររូបតំណាង សូមជ្រើសរើសថាមពលនៅលើរូបតំណាងផ្អាក។ vSRX Virtual Firewall VM ផ្អាក។
ផ្អាក vSRX Virtual Firewall Instance ជាមួយ virsh
ដើម្បីផ្អាក vSRX Virtual Firewall instance ជាមួយ virsh៖ ប្រើពាក្យបញ្ជា virsh suspend នៅលើ host OS ដើម្បីផ្អាក vSRX Virtual Firewall VM ។
user@host# virsh ផ្អាក vSRX-kvm-2
ដែន vSRX-kvm-2 ត្រូវបានផ្អាក
ការចាប់ផ្ដើម vSRX Virtual Firewall Instance ជាមួយ virt-manager
ដើម្បីចាប់ផ្ដើម vSRX Virtual Firewall ឡើងវិញជាមួយ virt-manager៖ 1. បើកដំណើរការ virt-manager ។ 2. ពិនិត្យមើល vSRX Virtual Firewall ដែលអ្នកចង់ចាប់ផ្ដើមឡើងវិញ។ 3. ជ្រើសរើស បើក ដើម្បីបើកបង្អួចកុងសូលទៅកាន់ vSRX Virtual Firewall instance ។ 4. ពីកុងសូលជញ្ជាំងភ្លើងនិម្មិត vSRX ចាប់ផ្ដើមឡើងវិញនូវ vSRX Virtual Firewall instance ។
vsrx# ស្នើសុំការចាប់ផ្ដើមប្រព័ន្ធឡើងវិញ។ vSRX Virtual Firewall ចាប់ផ្តើមឡើងវិញទាំង Junos OS និង vSRX Virtual Firewall Guest VM ។
ចាប់ផ្ដើម vSRX Virtual Firewall Instance ឡើងវិញដោយប្រើ virsh
ដើម្បីចាប់ផ្ដើម vSRX Virtual Firewall VM ឡើងវិញដោយប្រើ virsh៖

84
1. ប្រើពាក្យបញ្ជា virsh console នៅលើ host OS ដើម្បីភ្ជាប់ទៅ vSRX Virtual Firewall VM ។ 2. នៅលើកុងសូល vSRX Virtual Firewall ប្រើពាក្យបញ្ជា reboot system ស្នើសុំដើម្បីចាប់ផ្ដើម Junos OS និង
vSRX Virtual Firewall VM.
user@host# virsh console vSRX-kvm-2
បានភ្ជាប់ទៅដែន vSRX-kvm-2
vsrx# ស្នើសុំការចាប់ផ្ដើមប្រព័ន្ធឡើងវិញ
បិទកម្មវិធី vSRX Virtual Firewall Instance ជាមួយ virt-manager
ដើម្បីបិទដំណើរការ vSRX Virtual Firewall ជាមួយ virt-manager៖ 1. បើកដំណើរការ virt-manager ។ 2. ពិនិត្យមើល vSRX Virtual Firewall ដែលអ្នកចង់បិទ។ 3. ជ្រើសរើស បើក ដើម្បីបើកបង្អួចកុងសូលទៅកាន់ vSRX Virtual Firewall instance ។ 4. ពីកុងសូលជញ្ជាំងភ្លើងនិម្មិត vSRX សូមបិទឧបករណ៍ vSRX Virtual Firewall ។
vsrx> ស្នើសុំការបិទប្រព័ន្ធ
vSRX Virtual Firewall បិទទាំង Junos OS និង VM ជាភ្ញៀវ។
បិទកម្មវិធីជញ្ជាំងភ្លើងនិម្មិត vSRX ដោយប្រើ virsh
ដើម្បីបិទដំណើរការ vSRX Virtual Firewall ដោយប្រើ virsh: 1. ប្រើពាក្យបញ្ជា virsh console នៅលើ host OS ដើម្បីភ្ជាប់ទៅ vSRX Virtual Firewall VM ។

85
2. នៅលើកុងសូលជញ្ជាំងភ្លើងនិម្មិត vSRX ប្រើពាក្យបញ្ជាបិទប្រព័ន្ធស្នើសុំដើម្បីបិទ Junos OS និង vSRX Virtual Firewall VM ។
user@host# virsh console vSRX-kvm-2
បានភ្ជាប់ទៅដែន vSRX-kvm-2
vsrx# ស្នើសុំការបិទប្រព័ន្ធ
បិទ vSRX Virtual Firewall Instance ជាមួយ virt-manager
នៅក្នុងស្ថានភាពដែលអ្នកចង់កែសម្រួល និងកែប្រែ vSRX Virtual Firewall VM XML fileអ្នកត្រូវបិទ vSRX Virtual Firewall និង VM ដែលពាក់ព័ន្ធ។ ដើម្បីបិទ vSRX Virtual Firewall យ៉ាងរលូនជាមួយ virt-manager៖ 1. បើកដំណើរការ virt-manager ។ 2. ពិនិត្យមើល vSRX Virtual Firewall ដែលអ្នកចង់បិទ។ 3. ជ្រើសរើស បើក ដើម្បីបើកបង្អួចកុងសូលទៅកាន់ vSRX Virtual Firewall instance ។ 4. ពីកុងសូលជញ្ជាំងភ្លើងនិម្មិត vSRX ចាប់ផ្ដើមឡើងវិញនូវ vSRX Virtual Firewall instance ។
vsrx# ស្នើសុំការបិទប្រព័ន្ធ។ 5. ពីគុណធម៌

ឯកសារ/ធនធាន

ការដាក់ពង្រាយជញ្ជាំងភ្លើងនិម្មិត Juniper vSRX [pdf] សៀវភៅណែនាំ vSRX Virtual Firewall Deployment, vSRX, Virtual Firewall Deployment, Firewall Deployment, Deployment

ឯកសារយោង

• សៀវភៅណែនាំអ្នកប្រើប្រាស់