AAN /DPDK将新接口添加到部署的 Azure 托管时的注意事项Firewall.

AAN /DPDK将新接口添加到部署的 Azure 托管时的注意事项Firewall.

26729
Created On 01/26/23 18:18 PM - Last Modified 06/07/23 19:52 PM


Symptom


 
  • 在 Azure 上执行活动后出现网络延迟/性能问题。
  • '设备当前数据包IO模式:分组MMAP'在'show system setting dpdk-pkt-io'的输出中。
  • 对于一个或多个 Dataplane 接口,“Driver”列的值为“OFF '在'debug show的输出中vm-seriesinterfaces all'(注意:此命令仅适用于PAN-OS10.0 或更高版本)。

  • AAN 在数据平面接口上禁用:


 

Environment


 
  • 平台:PA-VM在 Azure 上
  • PAN-OS/插件版本:9.0。或以上
  • 部署:现有
 

Cause


 
  • 如果您添加了一个新的数据平面接口(包括HA接口)到FirewallVM, 很可能是 Azure 加速网络 (AAN ) 可能尚未在其上启用,因为它在默认情况下处于禁用状态。
  • 此外,Azure 维护活动(例如热插拔事件)可能会导致DPDK被禁用(取决于PAN-OS版本)。
  • AAN 促进单根I/Ovirtualization (SR-IOV ) 上VM(微软文档,2022 年)。
  • 这个SR-IOV与一起工作DPDK;所以,AAN必须在所有的启用Firewall的数据平面接口(包括任何HA接口),以启用DPDK.
  • 这DPDKAzure 托管的驱动程序VM-系列Firewall需要对所有的互补驱动程序VM的数据平面网络接口 (NIC)(Palo Alto Networks, Inc., 2022);这个互补的司机NIC通过启用启用AAN在说NIC.
  • AAN 使网络流量到达NIC然后转发到相应的接口上VM同时绕过底层主机和虚拟交换机(在VM NIC和VM接口本身)大大提高了网络性能。
  • 作为结果,DPDK被禁用;这Firewall而是使用数据包MMAP,导致网络或整体性能下降。
 

Resolution


 

注意:除非FirewallVM当前已关闭,启用DPDK将需要重新启动。

 
  1. 如果VM已开启后附件:
    1. 使能够AAN在界面上:
      1. 在 Azure 门户上,访问您的网页 Firewall VM
      2. 在左侧窗格中的“设置”下,单击“网络”
      3. 在列出的接口中,确定哪个接口没有AAN.
      4. 单击所述接口的“网络接口”字段旁边的链接。
      5. 对于这个界面,点击“Edit accelerated networking”
      6. 启用加速联网
      7. 此时,虽然Firewall会认识到AAN已为所有数据平面接口打开,包括当前和默认数据包IO模式仍然是数据包MMAP;这是因为需要重新启动才能启用DPDK.

 

  1. 重启Firewall或打开它。
  2. 检查是否DPDK已通过运行“show system setting dpdk-pkt-io”启用

 

  1. 在创建新界面期间:
  • 您可以启用AAN任何一个:
    • 在 Azure 上创建新界面时,或
    • 在 Azure 上创建新接口并将其附加到FirewallVM,但在转动之前VM在。
  • 启用后AAN, 这Firewall应该正常打开DPDK启用。
  • 请参阅步骤 1a 以启用AAN在一个界面上。
 

Additional Information


 
  • 数据平面开发套件(DPDK ) 由加速数据包处理工作负载的库组成(Linux 基金会,2015 年)。
  • 默认情况下,从 Azure Marketplace 部署的防火墙具有AAN在所有 Dataplane 接口上启用但在管理接口上禁用,并且DPDK启用:

 
  • “调试显示”命令仅适用于PAN-OS10.0+。


 

参考

Linux基金会。 (2015)。 数据平面开发套件({DPDK }) .DPDK . http://www.dpdk.org/

微软文档。 (2022 年 09 月 9 日)。 加速网络概述. 微软文档。 https://docs.microsoft.com/en-us/azure/virtual-network/accelerated-networking-overview

帕洛阿尔托网络公司 (2021, 09 22)。 如何启用/禁用 Azure 加速网络和验证. 帕洛阿尔托网络知识库。 https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000oM1aCAE

帕洛阿尔托网络公司 (2022, 08 25)。 部署VM-系列Firewall来自 Azure 市场(解决方案模板) . 帕洛阿尔托网络技术文档。 https://docs.paloaltonetworks.com/vm-series /10-1/vm-series -部署/设置-vm-series -firewall -on-azure/部署-vm-series -firewall -on-azure 解决方案模板

帕洛阿尔托网络公司 (2022, 12 29)。 PacketMMAP 和DPDK司机支持. 帕洛阿尔托网络技术文档。 https://docs.paloaltonetworks.com/vm-series /10-1/vm-series -部署/关于-vm-series -firewall /sr-iov-and-dpdk-driver-support


 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000saeoCAA&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language