SR-IOV インターフェイスのプロビジョニング
Single Root I/O Virtualization(SR-IOV)により、さまざまなゲスト オペレーティング システムを実行している複数の VM が、ホストサーバ内の単一の PCIe ネットワークアダプタを共有できるようになります。SR-IOV では、VM がネットワーク アダプタとの間で直接データを移動でき、ハイパーバイザをバイパスすることで、ネットワークのスループットが増加しサーバの CPU 負荷が低下します。最近の x86 サーバ プロセッサには、SR-IOV に必要なダイレクト メモリの転送やその他の操作を容易にする Intel VT-d テクノロジーなど、チップセットの拡張機能が搭載されています。
SR-IOV 仕様では、次の 2 つのデバイス タイプが定義されています。
-
物理機能(PF):基本的にスタティック NIC です。PF は、SR-IOV 機能を含む完全な PCIe デバイスです。PF は、通常の PCIe デバイスとして検出、管理、設定されます。単一 PF は、一連の仮想関数(VF)の管理および設定を提供できます。
-
Virtual Function(VF):ダイナミック vNIC に似ています。VF は、データ移動に必要な最低限のリソースを提供する、完全または軽量の仮想 PCIe デバイスです。VF は直接的には管理されず、PF を介して配信および管理されます。1 つ以上の VF を 1 つの VM に割り当てることができます。
VF は、仮想化されたオペレーティング システム フレームワーク内の Firepower Threat Defense Virtual 仮想マシンに最大 10 Gbps の接続を提供できます。このセクションでは、VMware 環境で VF を設定する方法について説明します。
SR-IOV インターフェイスのベストプラクティス
SR-IOV インターフェイスに関するガイドライン
VMware vSphere 5.1 以降のリリースは、特定の設定の環境でしか SR-IOV をサポートしません。vSphere の一部の機能は、SR-IOV が有効になっていると機能しません。
Firepower Threat Defense 仮想 と SR-IOV に関するシステム要件に加えて、VMware と SR-IOV に関する要件、サポートされている NIC、機能の可用性、およびアップグレード要件の詳細については、VMware マニュアル内の「Supported Configurations for Using SR-IOV」で確認する必要があります。
このセクションでは、VMware システム上の SR-IOV インターフェイスのプロビジョニングに関するさまざまなセットアップ手順と設定手順を示します。このセクション内の情報は、VMware ESXi 6.0 と vSphere Web Client、Cisco UCS C シリーズ サーバ、および Intel Ethernet Server Adapter X520 - DA2 を使用した特定のラボ環境内のデバイスから作成されたものです。
SR-IOV インターフェイスに関する制限事項
Firepower Threat Defense 仮想 を起動すると、ESXi で表示される順序とは逆の順序で、SR-IOV インターフェイスが表示される場合があります。これにより、インターフェイス設定エラーが発生し、特定の FTDv 仮想マシンへのネットワーク接続が切断する場合があります。
注意 |
FTDv で SR-IOV ネットワーク インターフェイスの設定を開始する前に、インターフェイスのマッピングを確認することが重要です。これにより、ネットワーク インターフェイスの設定が、VM ホストの正しい物理 MAC アドレスインターフェイスに適用されます。 |
FTDv が起動したら、MAC アドレスとインターフェイスのマッピングを確認できます。show interface コマンドを使用して、インターフェイスの MAC アドレスなど、インターフェイスの詳細情報を確認します。インターフェイス割り当てが正しいことを確認するには、show kernel ifconfig コマンドの結果と MAC アドレスを比較します。
ESXi ホスト BIOS の確認
始める前に
VMware に SR-IOV インターフェイスを備えた FTDv を導入するには、仮想化をサポートして有効にする必要があります。VMware では、SR-IOV サポートに関するオンラインの『Compatibility Guide』だけでなく、仮想化が有効か無効かを検出するダウンロード可能な『CPU Identification Utility』も含めて、仮想化サポートの各種確認手段を提供しています。
また、ESXi ホストにログインすることによって、BIOS 内で仮想化が有効になっているかどうかを判断することもできます。
手順
ステップ 1 |
次のいずれかの方法を使用して、ESXi シェルにログインします。
|
ステップ 2 |
ホストによって認識されるユーザ名とパスワードを入力します。 |
ステップ 3 |
次のコマンドを実行します。 例:
HV Support コマンドの出力は、使用可能なハイパーバイザサポートのタイプを示します。可能性のある値の説明を以下に示します。 0:VT/AMD-V は、サポートがこのハードウェアでは使用できないことを示します。 1:VT/AMD-V は、VT または AMD-V を使用できますが、このハードウェアではサポートされないことを示します。 2:VT/AMD-V は、VT または AMD-V を使用できますが、現在、BIOS 内で有効になっていないことを示します。 3:VT/AMD-V は、VT または AMD-V が BIOS 内で有効になっており、使用できることを示します。 例:
値の 3 は、仮想化がサポートされており、有効になっていることを示します。 |
次のタスク
-
ホスト物理アダプタ上で SR-IOV を有効にします。
ホスト物理アダプタ上での SR-IOV の有効化
仮想マシンを仮想機能に接続する前に、vSphere Web Client を使用して、SR-IOV を有効にし、ホスト上の仮想機能の数を設定します。
始める前に
-
SR-IOV 互換ネットワーク インターフェイス カード(NIC)がインストールされていることを確認します。「システム要件」を参照してください。
手順
ステップ 1 |
vSphere Web Client で、SR-IOV を有効にする ESXi ホストに移動します。 |
||
ステップ 2 |
[Manage] タブで、[Networking] をクリックし、[Physical adapters] を選択します。 SR-IOV プロパティを調査することにより、物理アダプタが SR-IOV をサポートしているかどうかを確認できます。 |
||
ステップ 3 |
物理アダプタを選択し、[Edit adapter settings] をクリックします。 |
||
ステップ 4 |
SR-IOV の下で、[Status] ドロップダウン メニューから [Enabled] を選択します。 |
||
ステップ 5 |
[Number of virtual functions] テキストボックスに、アダプタに設定する仮想機能の数を入力します。
|
||
ステップ 6 |
[OK] をクリックします。 |
||
ステップ 7 |
ESXi ホストを再起動します。 物理アダプタ エントリで表現された NIC ポートで仮想機能がアクティブになります。これらは、ホストの [Settings] タブの [PCI Devices] リストに表示されます。 |
次のタスク
-
SR-IOV 機能と設定を管理するための標準 vSwitch を作成します。
vSphere スイッチの作成
SR-IOV インターフェイスを管理するための vSphere スイッチを作成します。
手順
ステップ 1 |
vSphere Web Client で、ESXi ホストに移動します。 |
ステップ 2 |
[Manage] で、[Networking] を選択してから、[Virtual switches] を選択します。 |
ステップ 3 |
プラス(+)記号付きの緑色の地球アイコンである [Add host networking] アイコンをクリックします。 |
ステップ 4 |
[標準スイッチ用仮想マシンポートグループ(Virtual Machine Port Group for a Standard Switch)] 接続タイプを選択して、[次へ(Next)] をクリックします。 |
ステップ 5 |
[New standard switch] を選択して、[Next] をクリックします。 |
ステップ 6 |
物理ネットワーク アダプタを新しい標準スイッチに追加します。
|
ステップ 7 |
SR-IOV vSwitch の [Network label] を入力して、[Next] をクリックします。 |
ステップ 8 |
[Ready to complete] ページで選択を確認してから、[Finish] をクリックします。 |
次のタスク
-
仮想マシンの互換性レベルを確認します。
仮想マシンの互換性レベルのアップグレード
互換性レベルは、ホストマシンで使用可能な物理ハードウェアに対応する仮想マシンで使用可能な仮想ハードウェアを決定します。FTDv VM は、ハードウェアレベルを 10 以上にする必要があります。これにより、SR-IOV のパススルー機能が FTDv に公開されます。この手順では、FTDv を短時間で最新のサポートされている仮想ハードウェアバージョンにアップグレードします。
仮想マシンのハードウェアバージョンと互換性については、vSphere 仮想マシン管理マニュアルを参照してください。
手順
ステップ 1 |
vSphere Web Client から vCenter Server にログインします。 |
ステップ 2 |
変更する FTDv 仮想マシンを特定します。
|
ステップ 3 |
選択した仮想マシンの電源をオフにします。 |
ステップ 4 |
FTDv を右クリックして、 を選択します。 |
ステップ 5 |
[はい(Yes)] をクリックして、アップグレードを確認します。 |
ステップ 6 |
仮想マシンの互換性で [ESXi 5.5以降(ESXi 5.5 and later)] オプションを選択します。 |
ステップ 7 |
(オプション)[通常のゲストOSのシャットダウン後にのみアップグレード(Only upgrade after normal guest OS shutdown)] を選択します。 選択された仮想マシンが、選択された [互換性(Compatibility)] 設定の対応するハードウェアバージョンにアップグレードされ、仮想マシンの [概要(Summary)] タブで新しいハードウェアバージョンが更新されます。 |
次のタスク
-
SR-IOV パススルー ネットワーク アダプタを介して FTDv と仮想機能を関連付けます。
Firepower Threat Defense Virtual への SR-IOV NIC の割り当て
FTDv 仮想マシンと物理 NIC がデータを交換可能なことを保証するには、FTDv を SR-IOV パススルー ネットワーク アダプタとして 1 つ以上の仮想機能に関連付ける必要があります。次の手順では、vSphere Web Client を使用して、SR-IOV NIC を FTDv 仮想マシンに割り当てる方法について説明します。
手順
ステップ 1 |
vSphere Web Client から vCenter Server にログインします。 |
ステップ 2 |
変更する FTDv 仮想マシンを特定します。
|
ステップ 3 |
仮想マシンの [Manage] タブで、 を選択します。 |
ステップ 4 |
[Edit] をクリックして、[Virtual Hardware] タブを選択します。 |
ステップ 5 |
[New device] ドロップダウン メニューで、[Network] を選択して、[Add] をクリックします。 [New Network] インターフェイスが表示されます。 |
ステップ 6 |
[New Network] セクションを展開して、使用可能な SRIOV オプションを選択します。 |
ステップ 7 |
[Adapter Type] ドロップダウン メニューで、[SR-IOV passthrough] を選択します。 |
ステップ 8 |
[Physical function] ドロップダウン メニューで、パススルー仮想マシン アダプタに対応する物理アダプタを選択します。 |
ステップ 9 |
仮想マシンの電源をオンにします。 |
仮想マシンの電源をオンにすると、ESXi ホストが物理アダプタから空いている仮想機能を選択して、それを SR-IOV パススルー アダプタにマップします。ホストが仮想マシンアダプタと基礎となる仮想機能のすべてのプロパティを確認します。