AAN /DPDKデプロイされた Azure ホスト型に新しいインターフェイスを追加する際の考慮事項Firewall.

• Azure でアクティビティを実行した後のネットワーク遅延/パフォーマンスの問題。
• 'デバイスの現在のパケットIOモード: パケットMMAP'show system setting dpdk-pkt-io' の出力。
• 1 つ以上の Dataplane インターフェイスの場合、「Driver」列の値は「OFF ' debug show の出力vm-seriesインターフェイス all' (注: このコマンドは、PAN-OSバージョン 10.0 以降)。

• AAN データプレーン インターフェイスで無効化:

• プラットホーム：PA-VMアズール上
• PAN-OS/プラグインのバージョン: 9.0.以上
• 展開: 既存

• 新しいデータプレーン インターフェイスを追加した場合 (HAインターフェイス) にFirewallVM、おそらく Azure Accelerated Networking (AAN ）はデフォルトで無効になっているため、有効になっていない可能性があります。
• さらに、ホットプラグ イベントなどの Azure メンテナンス アクティビティによって、DPDK無効にする（PAN-OSバージョン）。
• AAN シングルルートを容易にするI/Ovirtualization (SR-IOV ) 上VM(マイクロソフト ドキュメント、2022 年)。
• このSR-IOVと連携して動作しますDPDK;その結果、AANすべてで有効にする必要がありますFirewallのデータプレーン インターフェイス (任意のHAインターフェイス）を有効にするためDPDK.
• のDPDKAzure でホストされているドライバーVM-シリーズFirewallすべてに補完的なドライバーが必要です。VMのデータプレーン ネットワーク インターフェイス (NIC) (Palo Alto Networks, Inc.、 2022);上のこの補完的なドライバーNIC有効にすることで有効になりますAAN言ったNIC.
• AAN ネットワーク トラフィックがNIC上の対応するインターフェイスに転送されます。VM基になるホストと仮想スイッチをバイパスしながら (VM NICそしてそのVMインターフェイス自体) により、ネットワーク パフォーマンスが大幅に向上します。
• 結果として、DPDK無効になります。のFirewall代わりにパケットを使用しますMMAP、ネットワークまたは全体的なパフォーマンスの低下につながります。

注:FirewallVMは現在オフになっており、有効になっていますDPDK再起動が必要になります。

1. もしVM添付後に有効になりました:
   1. 有効AANインターフェイスで:
      1. Azure portal で、Web ページにアクセスします。 Firewall VM
      2. 左ペインの [設定] で、[ネットワーク] をクリックします。
      3. リストされたインターフェイスの中で、持っていないインターフェイスを特定しますAAN.
      4. 上記のインターフェースの「ネットワークインターフェース」フィールドの横にあるリンクをクリックします。
      5. このインターフェイスでは、[高速ネットワークの編集] をクリックします。
      6. 高速ネットワークを有効にする
      7. この時点で、Firewallそれを認識しますAAN現在のパケットとデフォルトのパケットの両方で、すべてのデータプレーン インターフェイスでオンになっていますIOモードはパケットのままですMMAP;これは、有効にするために再起動が必要なためです。DPDK .

2. を再起動しますFirewallまたはオンにします。
3. チェックするDPDK「show system setting dpdk-pkt-io」を実行して有効にしました

2. 新しいインターフェースの作成中:

• 有効にすることができますAANまた：
  • Azure で新しいインターフェイスを作成するとき、または
  • Azure で新しいインターフェイスを作成し、それをFirewallVM、しかし、回す前にVMの上。
• 有効にした後AAN、Firewallで正常にオンになるはずですDPDK有効にします。
• 有効化については、ステップ 1a を参照してください。AANインターフェイスで。

• データ プレーン開発キット (DPDK ) は、パケット処理ワークロードを高速化するためのライブラリで構成されています (Linux Foundation、2015 年)。
• Azure Marketplace からデプロイされたファイアウォールには、既定でAANすべてのデータプレーン インターフェイスで有効になっていますが、管理インターフェイスでは無効になっています。DPDK有効:

• 「debug show」コマンドは、PAN-OS 10.0+。

参考文献

リナックス財団。 （2015）。 データ プレーン開発キット ({DPDK })) .DPDK . http://www.dpdk.org/

マイクロソフト ドキュメント。 (2022, 09 09). 高速ネットワークの概要. マイクロソフト ドキュメント。 https://docs.microsoft.com/en-us/azure/virtual-network/accelerated-networking-overview

Palo Alto Networks, Inc. (2021 年 09 月 22 日)。 Azure Accelerated Networking を有効/無効にして検証する方法. Palo Alto Networks ナレッジ ベース。 https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000oM1aCAE

Palo Alto Networks, Inc. (2022 年 08 月 25 日)。 展開するVM-シリーズFirewallAzure Marketplace から (ソリューション テンプレート) . Palo Alto Networks TechDocs。 https://docs.paloaltonetworks.com/vm-series /10-1/vm-series -展開/セットアップ-vm-series -firewall -on-azure/deploy-the-vm-series -firewall -on-azure-solution-template

Palo Alto Networks, Inc. (2022 年 12 月 29 日)。 PacketMMAP とDPDKドライバーサポート. Palo Alto Networks TechDocs。 https://docs.paloaltonetworks.com/vm-series /10-1/vm-series -展開/概要-vm-series -firewall /sr-iov-and-dpdk-driver-support