SR-IOV 接口调配
单一根 I/O 虚拟化 (SR-IOV) 允许运行各种访客操作系统的多个 VM 共享主机服务器内的单个 PCIe 网络适配器。SR-IOV 允许 VM 在网络适配器中绕过虚拟机监控程序而直接移入或移出数据,从而提高网络吞吐量及降低服务器 CPU 负担。最新的 x86 服务器处理器包括芯片组增强功能(例如 Intel VT-d 技术),它们可促进 SR-IOV 所需的直接内存传输及其他操作。
SR-IOV 规范定义了两种设备类型:
-
物理功能 (PF) - 实质上属于静态 NIC,PF 是完整的 PCIe 设备,包括 SR-IOV 功能。PF 按正常 PCIe 设备的方式进行发现、管理和配置。使用单个 PF 可为一组虚拟功能 (VF) 提供管理和配置。
-
虚拟功能 (VF) - 类似于动态 vNIC,VF 是完整或轻型虚拟 PCIe 设备,至少提供必要的数据移动资源。VF 并非直接进行管理,而是通过 PF 进行获取和管理。可以为一台 VM 分配一个或多个 VF。
VF 在虚拟化操作系统框架下,最高可以 10 Gbps 的速度连接威胁防御虚拟设备的虚拟机。本节介绍如何在 VMware 环境下配置 VF。
SR-IOV 接口的最佳实践
SR-IOV 接口准则
VMware vSphere 5.1 及更高版本仅在具有特定配置的环境下支持 SR-IOV。启用 SR-IOV 时,vSphere 的某些功能无法正常工作。
除了 Firepower Threat Defense Virtual 和 SR-IOV 的系统要求之外,您还应该查看 VMware 文档中的支持使用 SR-IOV 的配置,以了解有关要求、支持的 NIC、功能可用性及 VMware 和 SR-IOV 升级要求方面的详细信息。
本节介绍在 VMware 系统上调配 SR-IOV 接口的各种设置和配置步骤。本节中的信息基于特定实验室环境中的设备创建,这些设备使用的是 VMware ESXi 6.0 和 vSphere Web 客户端、思科 UCS C 系列服务器及 Intel 以太网服务器适配器 X520 - DA2。
SR-IOV 接口的限制
启动 Firepower Threat Defense Virtual 时,请注意 SR-IOV 接口出现的顺序可能与 ESXi 中显示的顺序相反。这可能引起接口配置错误,导致特定的 FTDv 虚拟机无网络连接。
小心 |
开始在 FTDv 上配置 SR-IOV 网络接口之前,先验证接口映射非常重要。这可确保将网络接口配置应用到 VM 主机上正确的物理 MAC 地址接口。 |
FTDv 启动后,您可以确认哪个 MAC 地址映射到哪个接口。请使用 show interface 命令查看详细的接口信息,包括接口的 MAC 地址。将 MAC 地址与 show kernel ifconfig 命令的结果进行比较以确认正确的接口分配。
检查 ESXi 主机 BIOS
开始之前
要在 VMware 上部署带 SR-IOV 接口的 FTDv,需要支持和启用虚拟化。VMware 提供了几种验证虚拟化支持的方法,包括其在线 SR-IOV 支持兼容性指南以及可下载的 CPU 识别实用程序(检测虚拟化处于启用还是禁用状态)。
另外,您还可以通过登录到 ESXi 主机来确定是否在 BIOS 中启用了虚拟化。
过程
步骤 1 |
使用下列方法之一登录到 ESXi Shell:
|
步骤 2 |
输入主机识别的用户名和密码。 |
步骤 3 |
运行以下命令: 示例:
HV Support 命令的输出指示可用的虚拟机监控程序类型。有关可能值的说明如下: 0 - VT/AMD-V 表示该支持对于此硬件不可用。 1 - VT/AMD-V 表示 VT 或 AMD-V 可能可用,但此硬件不支持它们。 2 - VT/AMD-V 表示 VT 或 AMD-V 可用,但目前在 BIOS 中未启用。 3 - VT/AMD-V 表示 VT 或 AMD-V 在 BIOS 中已启用,并且可以使用。 示例:
值 3 表示受支持且已启用虚拟化。 |
下一步做什么
-
在主机物理适配器上启用 SR-IOV。
在主机物理适配器上启用 SR-IOV
在将虚拟机连接到虚拟功能之前,请使用 vSphere Web 客户端启用 SR-IOV,并设置主机上的虚拟功能数量。
开始之前
-
请确保已安装兼容 SR-IOV 的网络接口卡 (NIC);请参阅系统要求。
过程
步骤 1 |
在 vSphere Web 客户端中,导航到要启用 SR-IOV 的 ESXi 主机。 |
||
步骤 2 |
在 Manage 选项卡上,单击 Networking 并选择 Physical adapters。 您可以查看 SR-IOV 属性,以了解物理适配器是否支持 SR-IOV。 |
||
步骤 3 |
选择物理适配器,然后单击 Edit adapter settings。 |
||
步骤 4 |
在 SR-IOV 下,从 Status 下拉菜单中选择 Enabled。 |
||
步骤 5 |
在 Number of virtual functions 文本框中,键入要为该适配器配置的虚拟功能数目。
|
||
步骤 6 |
单击 OK。 |
||
步骤 7 |
重启 ESXi 主机。 虚拟功能在由物理适配器项表示的 NIC 端口上将变为活动状态。它们显示在主机 Settings 选项卡的 PCI Devices 列表中。 |
下一步做什么
-
创建一个标准 vSwitch 来管理 SR-IOV 功能和配置。
创建 vSphere 交换机
创建一个 vSphere 交换机来管理 SR-IOV 接口。
过程
步骤 1 |
在 vSphere Web 客户端中,导航至 ESXi 主机。 |
步骤 2 |
在 Manage 下,选择 Networking,然后选择 Virtual switches。 |
步骤 3 |
单击 Add host networking 图标,即带有加号 (+) 的绿色地球仪图标。 |
步骤 4 |
选择 Virtual Machine Port Group for a Standard Switch 连接类型,然后单击 Next。 |
步骤 5 |
选择 新建标准交换机,然后单击 Next。 |
步骤 6 |
将物理网络适配器添加到新的标准交换机中。
|
步骤 7 |
为该 SR-IOV vSwitch 输入一个网络标签,然后单击 Next。 |
步骤 8 |
在 Ready to complete 页面上查看您的选择,然后单击 Finish。 |
下一步做什么
-
查看虚拟机的兼容级别。
升级虚拟机的兼容级别
兼容级别决定可用于虚拟机的虚拟硬件,它们与主机上可用的物理硬件相对应。FTDv VM 的硬件级别需要达到 10 级或更高级别。这样才能将 SR-IOV 直通功能暴露给 FTDv。以下操作程序可立即将 FTDv 升级到最新支持的虚拟硬件版本。
有关虚拟机硬件版本和兼容性的信息,请参阅 vSphere 虚拟机管理文档。
过程
步骤 1 |
从 vSphere Web 客户端登录到 vCenter 服务器。 |
步骤 2 |
找到要修改的 FTDv 虚拟机。
|
步骤 3 |
关闭所选的虚拟机。 |
步骤 4 |
右键单击该 FTDv,并依次选择 。 |
步骤 5 |
单击 Yes 以确认升级。 |
步骤 6 |
为虚拟机兼容性选择 ESXi 5.5 and later 选项。 |
步骤 7 |
(可选)选择 Only upgrade after normal guest OS shutdown。 所选虚拟机将升级为您选择的相应硬件版本的兼容性设置,并且虚拟机的摘要选项卡中将更新为新的硬件版本。 |
下一步做什么
-
通过 SR-IOV 直通网络适配器将该 FTDv 与虚拟功能关联。
将 SR-IOV NIC 分配到虚拟 Firepower 威胁防御
为了确保 FTDv 虚拟机和物理 NIC 可以交换数据,您必须将 FTDv 与一个或多个用作 SR-IOV 直通网络适配器的虚拟功能相关联。以下操作程序说明如何使用 vSphere Web 客户端将 SR-IOV NIC 分配给 FTDv 虚拟机。
过程
步骤 1 |
从 vSphere Web 客户端登录到 vCenter 服务器。 |
步骤 2 |
找到要修改的 FTDv 虚拟机。
|
步骤 3 |
在虚拟机的 Manage 选项卡上,依次选择 。 |
步骤 4 |
单击 Edit,然后选择 Virtual Hardware 选项卡。 |
步骤 5 |
从 New device 下拉菜单中,选择 Network,然后单击 Add。 系统将显示 New Network 界面。 |
步骤 6 |
展开 New Network 部分,并选择可用的 SRIOV 选项。 |
步骤 7 |
从 Adapter Type 下拉菜单中选择 SR-IOV passthrough。 |
步骤 8 |
从 Physical function 下拉菜单中,选择与直通虚拟机适配器相对应的物理适配器。 |
步骤 9 |
接通虚拟机电源。 |
接通虚拟机电源后,ESXi 主机将从物理适配器中选择一个可用的虚拟功能,并将其映射到 SR-IOV 直通适配器。主机将验证虚拟机适配器和底层虚拟功能的所有属性。