AAN / DPDK consideraciones al agregar una nueva interfaz a un hospedado Firewallen Azure implementado.

• Problemas de latencia / rendimiento de red después de la actividad realizada en Azure.
• 'Modo de paquete IO actual del dispositivo: Paquete MMAP' en la salida de 'mostrar configuración del sistema dpdk-pkt-io'.
• Para una o más interfaces Dataplane, el valor de la columna 'Driver' es '' en la salida de 'debug show vm-series interfaces all'OFF (nota: este comando solo está disponible en PAN-OS las versiones 10.0 o superiores).

• AAN deshabilitado en una interfaz de plano de datos:

• Plataforma: PA-VM en Azure
• PAN-OS/Versión del plugin: 9.0. o superior
• Implementación: Existente

• Si ha agregado una nueva interfaz de plano de datos (incluida una HA interfaz) al , es probable que Azure Accelerated Networking (AAN) no se haya habilitado en él, ya que está deshabilitado de Firewall VMforma predeterminada.
• Además, la actividad de mantenimiento de Azure, como un evento de conexión en caliente, puede hacer DPDK que se deshabilite (según la PAN-OS versión).
• AAN facilita la raíz Iúnica /O virtualization () en un VM (SR-IOVMicrosoft Docs, 2022).
• Esto SR-IOV funciona junto con DPDK; en consecuencia, AAN debe habilitarse en todas las interfaces del plano de datos de Firewall(incluidas las HA interfaces) para habilitar DPDK.
• El DPDK controlador de una serie Firewall hospedada VM-en Azure requiere un controlador complementario en todas las VMinterfaces de red de plano de datos (NIC) de (Palo Alto Networks, Inc., 2022); Este controlador complementario en el NIC se habilita habilitando AAN en dicho NIC.
• AAN Permite que el NIC tráfico de red llegue al y luego se reenvíe a la interfaz correspondiente en el mientras se omite el host subyacente y el conmutador virtual (entre el VM VM NIC y la propia interfaz), lo que mejora en gran medida el rendimiento de VM la red.
• Como consecuencia, se desactiva; en su lugar utiliza PacketMMAP, DPDK lo que lleva a una disminución en la red o en Firewall el rendimiento general.

Nota: A menos que el esté desactivado actualmente, la Firewall VM habilitación DPDK requerirá un reinicio.

1. Si el se ha activado después de la VM conexión:
   1. Habilitar AAN en la interfaz:
      1. En Azure Portal, acceda a la página web correspondiente a su Firewall VM
      2. En el panel izquierdo, en Configuración, haga clic en "Redes"
      3. Entre las interfaces enumeradas, identifique qué interfaz no tiene AAN.
      4. Haga clic en el enlace junto al campo "Interfaz de red" para dicha interfaz.
      5. Para esta interfaz, haga clic en "Editar red acelerada"
      6. Habilite el neworking acelerado
      7. En este punto, aunque el reconocerá que se ha activado para todas las interfaces de plano de datos, tanto el modo de paquete IO actual como el Firewall predeterminado seguirán siendo PacketMMAP; esto se debe a que AAN se requiere un reinicio para habilitar DPDK.

2. Reinicie el Firewall o enciéndalo.
3. Compruebe si DPDK se ha habilitado ejecutando "mostrar configuración del sistema dpdk-pkt-io"

2. Durante la creación de una nueva interfaz:

• Puede habilitar AAN :
  • Al crear la nueva interfaz en Azure, o
  • Después de crear la nueva interfaz en Azure y adjuntarla al , pero antes de Firewall VMencenderla VM .
• Después de habilitar AAN, el Firewall debería encenderse normalmente con DPDK habilitado.
• Consulte el paso 1a para habilitar AAN en una interfaz.

• El kit de desarrollo del plano de datos () consta de bibliotecas para acelerar las cargas de trabajo de procesamiento de paquetes (DPDKLinux Foundation, 2015).
• Los firewalls implementados desde Azure Marketplace de forma predeterminada se han AAN habilitado en todas las interfaces de Dataplane pero deshabilitados en la interfaz de administración y DPDK habilitados:

• El comando "debug show" solo está disponible en PAN-OS 10.0+.

Referencias

Fundación Linux. (2015). Kit de desarrollo del plano de datos ({DPDK}). . . DPDKhttp://www.dpdk.org/

Microsoft Docs. (2022, 09 09). Descripción general de redes aceleradas. Microsoft Docs. https://docs.microsoft.com/en-us/azure/virtual-network/accelerated-networking-overview

Palo Alto Networks, Inc. (2021, 09 22). Cómo habilitar/deshabilitar Azure Accelerated Networking and Validate. Base de conocimientos de Palo Alto Networks. https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000oM1aCAE

Palo Alto Networks, Inc. (2022, 08 25). Implemente el VM- Series Firewall de Azure Marketplace (plantilla de solución). TechDocs de Palo Alto Networks. https://docs.paloaltonetworks.com/vm-series/10-1/vm-series-deployment/set-up-the-vm-series-firewall-on-azure/deploy-the-vm-series-firewall-on-azure-solution-template

Palo Alto Networks, Inc. (2022, 12 29). PacketMMAP y DPDK Soporte al conductor. TechDocs de Palo Alto Networks. https://docs.paloaltonetworks.com/vm-series/10-1/vm-series-deployment/about-the-vm-series-firewall/sr-iov-and-dpdk-driver-support