AAN / DPDK Überlegungen beim Hinzufügen einer neuen Schnittstelle zu einer bereitgestellten Azure-gehosteten Firewall.

• Netzwerklatenz-/Leistungsprobleme nach einer in Azure ausgeführten Aktivität.
• 'Device current Packet mode: Packet IO MMAP' in der Ausgabe von 'show system setting dpdk-pkt-io'.
• Für eine oder mehrere Dataplane-Schnittstellen ist der Wert der Spalte 'Driver' 'OFF' in der Ausgabe von 'debug show vm-series interfaces all' (Hinweis: Dieser Befehl ist nur ab PAN-OS Version 10.0 verfügbar).

• AAN Deaktiviert auf einer Datenebenenschnittstelle:

• Plattform: PA-VM in Azure
• PAN-OS/Plugin Version: 9.0. oder höher
• Bereitstellung: Vorhanden

• Wenn Sie dem eine neue Datenebenenschnittstelle (einschließlich einer HA Schnittstelle) hinzugefügt haben, besteht die Möglichkeit, dass Azure Accelerated Networking (AAN) Firewall VMnicht aktiviert wurde, da es standardmäßig deaktiviert ist.
• Darüber hinaus können Azure-Wartungsaktivitäten, z. B. ein Hotplug-Ereignis, dazu führen DPDK , dass sie deaktiviert werden (abhängig von der PAN-OS Version).
• AAN erleichtert Single root I/O virtualization () auf einem VM (SR-IOVMicrosoft Docs, 2022).
• Dies SR-IOV funktioniert in Verbindung mit DPDK. Daher muss auf allen FirewallDatenebenenschnittstellen von (einschließlich aller HA Schnittstellen) aktiviert werden, um zu aktivierenDPDK. AAN
• Der DPDK Treiber in einer in Azure gehosteten VM-Serie Firewall erfordert einen ergänzenden Treiber für alle Netzwerkschnittstellen (NICs der VMDatenebene) von (Palo Alto Networks, Inc., 2022); Dieser ergänzende Treiber auf der NIC wird durch Aktivieren von AAN On Said NICaktiviert.
• AAN Ermöglicht es, dass Netzwerkdatenverkehr an der ankommen und dann an VM die entsprechende Schnittstelle weitergeleitet wird, während der zugrunde liegende Host und der virtuelle Switch (zwischen der und der VM NIC VM NIC Schnittstelle selbst) umgangen werden, wodurch die Netzwerkleistung erheblich verbessert wird.
• Als Konsequenz DPDK wird deaktiviert; stattdessen Firewall wird Packet MMAPverwendet, was zu einer Verringerung der Netzwerk- oder Gesamtleistung führt.

Hinweis: Wenn die Firewall VM Aktivierung nicht derzeit deaktiviert ist, ist für die Aktivierung DPDK ein Neustart erforderlich.

1. Wenn die nach dem VM Anhängen aktiviert wurde:
   1. Aktivieren Sie AAN auf der Benutzeroberfläche:
      1. Greifen Sie im Azure-Portal auf die Webseite für Ihre Firewall VM
      2. Klicken Sie im linken Bereich unter Einstellungen auf "Netzwerk"
      3. Identifizieren Sie unter den aufgeführten Schnittstellen, welche Schnittstelle nicht über AAN.
      4. Klicken Sie auf den Link neben dem Feld "Netzwerkschnittstelle" für diese Schnittstelle.
      5. Klicken Sie für diese Schnittstelle auf "Beschleunigtes Netzwerk bearbeiten"
      6. Beschleunigtes Neworking aktivieren
      7. An diesem Punkt, während der erkennt, dass für alle Datenebenenschnittstellen aktiviert wurde, wird sowohl der Firewall aktuelle als auch der Standard-Paketmodus IO immer noch Paket MMAPsein; dies liegt daran, dass AAN ein Neustart erforderlich ist, DPDKum .

2. Starten Sie den Firewall neu oder schalten Sie ihn ein.
3. Überprüfen Sie, ob DPDK aktiviert wurde, indem Sie "Systemeinstellung dpdk-pkt-io anzeigen" ausführen.

2. Während der Erstellung einer neuen Schnittstelle:

• Sie können Folgendes aktivieren AAN :
  • Beim Erstellen der neuen Schnittstelle in Azure oder
  • Nachdem Sie die neue Schnittstelle in Azure erstellt und an die angefügt haben, aber bevor Sie die Firewall VMVM Option aktivieren.
• Nach dem Aktivieren AANsollte sich der Firewall normal DPDK mit aktivierten einschalten.
• Informationen zur Aktivierung AAN auf einer Schnittstelle finden Sie in Schritt 1a.

• Das Data Plane Development Kit () besteht aus Bibliotheken zur Beschleunigung von Paketverarbeitungsworkloads (DPDKLinux Foundation, 2015).
• Firewalls, die standardmäßig über den Azure Marketplace bereitgestellt werden, sind AAN auf allen Dataplane-Schnittstellen aktiviert, jedoch auf der Verwaltungsoberfläche deaktiviert und DPDK aktiviert:

• Der Befehl "debug show" ist nur auf PAN-OS 10.0+ verfügbar.

Verweise

Linux Foundation. (2015). Data Plane Development Kit ({DPDK}). DPDK. http://www.dpdk.org/

Microsoft Docs. (2022, 09 09). Übersicht über beschleunigte Netzwerke. Microsoft Docs. https://docs.microsoft.com/en-us/azure/virtual-network/accelerated-networking-overview

Palo Alto Networks, Inc. (2021, 09 22). Aktivieren/Deaktivieren von Azure Accelerated Networking und Validate. Palo Alto Networks Wissensdatenbank. https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000oM1aCAE

Palo Alto Networks, Inc. (2022, 08 25). Stellen Sie die VM- Serien Firewall aus dem Azure Marketplace (Lösungsvorlage). Palo Alto Networks TechDocs. https://docs.paloaltonetworks.com/vm-series/10-1/vm-series-deployment/set-up-the-vm-seriesfirewall--on-azure/deploy-the-vm-series-firewall-on-azure-solution-template

Palo Alto Networks, Inc. (2022, 12 29). PacketMMAP und DPDK Treiberunterstützung. Palo Alto Networks TechDocs. https://docs.paloaltonetworks.com/vm-series/10-1/vm-series-deployment/about-the-vm-seriesfirewall-/sr-iov-and-dpdk-driver-support