UserGate NGFW Virtual Appliance позволяет быстро развернуть виртуальную машину, с уже настроенными компонентами. Образ предоставляется в формате OVF (Open Virtualization Format), который поддерживают системы виртуализации VMWare, Oracle VirtualBox, и в формате Qcow2 для систем виртуализации QEMU-KVM. Для Microsoft Hyper-v поставляется образ диска виртуальной машины.
Работа с виртуальным образом
Для начала работы с виртуальным образом, выполните следующие шаги:
1. Скачайте последнюю версию виртуального образа с официального сайта https://www.usergate.com/ru.
2. Импортируйте образ в свою систему виртуализации. Инструкцию по импорту образа вы можете посмотреть на сайтах систем виртуализации, например, VirtualBox или VMWare. Для Microsoft Hyper-v необходимо создать виртуальную машину и указать в качестве диска скачанный образ, после чего отключить службы интеграции в настройках созданной виртуальной машины.
3. Настройте параметры виртуальной машины. Увеличьте размер оперативной памяти виртуальной машины. Используя свойства виртуальной машины, установите минимум 8Gb и добавьте по 1Gb на каждые 100 пользователей.
4. Важно! Самостоятельно добавьте дополнительный диск нужного размера.
Размер диска по умолчанию составляет 100Gb, что обычно недостаточно для хранения всех журналов и настроек. Используя свойства виртуальной машины, установите размер диска в 200Gb или более. Рекомендованный размер — 300Gb или более.
Для систем виртуализации QEMU-KVM: размер системной области по умолчанию, составляет 8Гб. Система, при первом запуске, сама определит наличие дополнительного диска и расширит свои системные разделы.
Команда для добавления диска размером 100 ГБ для систем QEMU-KVM:
qemu-img create -f qcow2 -o preallocation=metadata,refcount_bits=16,lazy_refcounts=on,cluster_size=4K имя-вашего-диска.qcow2 100G
5. Запустите виртуальную машину UserGate. Во время загрузки выполняется Factory reset. Этот шаг крайне важен. Во время этого шага UserGate настраивает сетевые адаптеры и увеличивает размер раздела на жестком диске до полного размера диска, увеличенного в 4-м пункте.
UserGate поставляется с четырьмя интерфейсами, назначенными в зоны:
-
Management — первый интерфейс виртуальной машины.
-
Trusted — второй интерфейс виртуальной машины.
-
Untrusted — третий интерфейс виртуальной машины.
-
DMZ — четвертый интерфейс виртуальной машины.
Порядок нумерации интерфейсов в виртуальной среде
В веб-консоли администратора сетевые интерфейсы отображаются по своим названиям. Сопоставление названия интерфейса и его адреса (H/W path или MAC) называется мэппингом. Данные о мэппинге интерфейсов хранятся в специальном системном файле. Посмотреть содержимое файла мэппинга интерфейсов можно с помощью CLI-команды:
Admin@nodename> show network interface-mapping
При первоначальном старте, после сброса в первоначальное состояние (factory reset), при изменении количества сетевых адаптеров в системе (при добавлении или удалении адаптеров средствами гипервизора) происходит сортировка интерфейсов и их мэппинг.
Выбор метода сортировки (по H/W path или по MAC-адресам) зависит от типа гипервизора и используемого эмулятора аппаратного обеспечения. В некоторых случаях (VirtualBox, QEMU, Bochs) сортировка интерфейсов производится по параметру H/W path, в остальных — по MAC-адресам интерфейсов.
При сортировке интерфейсов по параметру H/W path:
-
Все имеющиеся на устройстве интерфейсы при любом изменении их количества (удаление, добавление) будут пересортированы в порядке возрастания "аппаратных" адресов (H/W path). Системный файл с данными мэппинга будет полностью перезаписан:
-
Удалённые интерфейсы отображаются как неиспользуемые, помечаются соответствующей иконкой и помещаются в конец списка интерфейсов в веб-консоли:
При сортировке интерфейсов по MAC-адресам:
-
Интерфейсы, имеющиеся ранее в системе, остаются на своих местах.
-
Удаляемые интерфейсы отмечаются в веб-консоли как неиспользуемые и помечаются специальными значками.
-
Новые добавленные интерфейсы добавляются в конец списка в порядке возрастания MAC-адресов.
Если использовать консольную команду: clear network interface-mapping, файл существующего мэппинга интерфейсов будет удалён и все имеющиеся интерфейсы после рестарта машины будут пересортированы заново по принципу возрастания адресов.
Оптимизация производительности сетевых интерфейсов на основе virtio
Для оптимизации производительности сетевых интерфейсов на основе virtio в средах виртуализации KVM, oVirt, zvirt рекомендуется на гипервизоре включать режим Multi Queues и устанавливать 8 очередей на сетевой интерфейс.
На примере платформы OVirt (см.: https://www.ovirt.org/documentation/virtual_machine_management_guide/), для того чтобы выставить 8 очередей для vNIC, необходимо подключиться к CLI гипервизора и ввести команду:
engine-config -s "CustomDeviceProperties={type=interface;prop={other-nic-properties;queues=[1-9][0-9]*}}"
Вместо параметра other-nic-properties нужно вставить список существующих кастомизированных правил (если есть). Посмотреть, существуют ли такие правила, можно командой:
engine-config -g "CustomDeviceProperties"
После ввода команды необходимо на портале администратора зайти в профили vNIC:
Выбрать редактирование профиля сетевых карт, назначенного для NGFW, в выпадающем списке Custom Properties выбрать queues, после чего ввести нужное количество очередей:
