AAN / DPDK considérations lors de l’ajout d’une nouvelle interface à un serveur Azure Firewalldéployé.

• Problèmes de latence / performances du réseau après l’activité effectuée sur Azure.
• 'Device current Packet mode: Packet IO MMAP' dans la sortie de 'show system setting dpdk-pkt-io'.
• Pour une ou plusieurs interfaces de plan de données, la valeur de la colonne 'Pilote' est '' dans la sortie de 'debug show vm-series interfaces all' (remarque : cette commande n’estOFF disponible que sur PAN-OS les versions 10.0 ou supérieures).

• AAN Désactivé sur une interface de plan de données :

• Plateforme : PA-VM sur Azure
• PAN-OS/Version du plugin: 9.0. ou au-dessus
• Déploiement : Existant

• Si vous avez ajouté une nouvelle interface de plan de données (y compris une HA interface) au Firewall VM, il est probable qu’Azure Accelerated Networking (AAN) n’y ait pas été activé car il est désactivé par défaut.
• En outre, une activité de maintenance Azure telle qu’un événement de connexion à chaud peut entraîner DPDK la désactivation (selon la PAN-OS version).
• AAN facilite une racine Iunique /O virtualization () sur un VM (SR-IOVMicrosoft Docs, 2022).
• Cela SR-IOV fonctionne conjointement avec DPDK; par conséquent, AAN doit être activé sur toutes les interfaces de plan de données de (y compris les HA interfaces) afin dFirewall'activer DPDK.
• Le DPDK pilote d'une série Firewall hébergée VM-par Azure nécessite un pilote complémentaire sur toutes les interfaces réseau de plan de données (NIC) de (VMPalo Alto Networks, Inc., 2022); Ce pilote complémentaire sur le NIC est activé en activant AAN sur ledit NIC.
• AAN Permet au trafic réseau d’arriver à l’puis d’être transféré à l’interface correspondante sur le tout en contournant l’hôte sous-jacent et le commutateur virtuel (entre le VM VM NIC et l’interface NIC VM elle-même), ce qui améliore considérablement les performances réseau.
• En conséquence, est désactivé; le Firewall utilise plutôt Packet MMAP, DPDK ce qui entraîne une diminution des performances réseau ou globales.

Remarque : à moins que le ne soit actuellement désactivé, l’activation Firewall VM DPDK nécessitera un redémarrage.

1. Si le a été activé après la VM fixation :
   1. Activer AAN sur l’interface :
      1. Sur le portail Azure, accédez à la page web de votre Firewall VM
      2. Dans le volet gauche, sous Paramètres, cliquez sur « Mise en réseau »
      3. Parmi les interfaces répertoriées, identifiez celle qui n’a AANpas .
      4. Cliquez sur le lien à côté du champ « Interface réseau » pour ladite interface.
      5. Pour cette interface, cliquez sur « Modifier la mise en réseau accélérée »
      6. Activer le Neworking accéléré
      7. À ce stade, bien que le reconnaisse que cela a été activé pour toutes les interfaces de plan de données, le mode paquet actuel et le Firewall mode paquet IO par défaut seront toujours Paquet MMAP; en effet, un redémarrage est nécessaire pour activer DPDK.AAN

2. Redémarrez le ou activez-le Firewall .
3. Vérifiez si DPDK a été activé en exécutant « show system setting dpdk-pkt-io »

2. Lors de la création d’une nouvelle interface :

• Vous pouvez activer AAN l’un ou l’autre des éléments suivants :
  • Lors de la création de la nouvelle interface sur Azure, ou
  • Après avoir créé la nouvelle interface sur Azure et l’avoir attachée au Firewall VM, mais avant d’activer la , mais avant de l’activer VM .
• Après l’activation de , le devrait s’activer AANFirewall normalement avec DPDK activé.
• Reportez-vous à l’étape 1a pour l’activation AAN sur une interface.

• Le kit de développement Data Plane () se compose de bibliothèques pour accélérer les charges de travail de traitement des paquets (DPDKLinux Foundation, 2015).
• Les pare-feu déployés à partir d’Azure Marketplace par défaut ont AAN activé sur toutes les interfaces de plan de données, mais désactivés sur l’interface de gestion, et DPDK activé :

• La commande « debug show » n’est disponible que sur PAN-OS 10.0+.

Références

Fondation Linux. (2015). Kit de développement Data Plane ({DPDK}). . DPDKhttp://www.dpdk.org/

Documents Microsoft. (2022, 09 09). Vue d’ensemble de la mise en réseau accélérée. Documents Microsoft. https://docs.microsoft.com/en-us/azure/virtual-network/accelerated-networking-overview

Palo Alto Networks, Inc. (2021, 09 22). Comment activer/désactiver Azure Accelerated Networking et Validate. Base de connaissances Palo Alto Networks. https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000oM1aCAE

Palo Alto Networks, Inc. (2022, 08 25). Déployez le VM- Série Firewall de la Place de marché Azure (modèle de solution). Palo Alto Networks TechDocs. https://docs.paloaltonetworks.com/vm-series/10-1/vm-series-deployment/set-up-the-vm-series--on-azurefirewall/deploy-the-vm-series--on-azure-solution-templatefirewall

Palo Alto Networks, Inc. (2022, 12 29). PacketMMAP et DPDK Assistance aux pilotes. Palo Alto Networks TechDocs. https://docs.paloaltonetworks.com/vm-series/10-1/vm-series-deployment/about-the-vm-series-firewall/sr-iov-and-dpdk-driver-support