IBM Cloud Juniper vSRX 的已知限制
使用 IBM Cloud® Juniper vSRX时需要注意一些限制。
-
仅支持 IBM Cloud 认证的 vSRX 版本。 可以在 此处 找到受支持版本的列表。
-
不支持从独立方式升级到高可用性方式。
-
不支持从高可用性模式降级为独立模式。
-
不支持从 1G 升级到 10G 或从 10G 降级到 1G。
-
不支持将 vSRX VM 上的主公用或专用 IP 地址迁移到另一个 vSRX VM 或其他网关设备。
这是升级到不同硬件时的常见要求。 配置 IPSec VPN 隧道时,通常会使用 vSRX 的主公用 IP 作为 IKE 网关本地地址。 但是,建议您首先 订购一个公用静态子网或 IP 并将其路由到 vSRX 的主公用 IP。 然后,应将该 IP 地址用作 IKE 网关本地地址。 如果将来需要迁移 IPSec VPN 隧道,则可以保留该 IP 地址,并将其路由到新的或不同的网关设备。
虽然不支持将vSRX或网关设备的主 IP 迁移到不同的设备,但支持在同一数据中心内迁移 辅助静态子网。
-
仅在版本 22.2 和更高版本上支持远程 VPN 许可证。
-
只有经过 IBM Cloud 认证的最新 vSRX 发行版可用于新订单和升级。 对于较旧的 IBM Cloud 认证的 vSRX 发行版,应通过 IBM 支持案例进行请求。 可以在 升级 vSRX 中找到升级和降级的限制。
-
较旧的 Juniper vSRX 网关已使用基于 Linux 网桥的网络虚拟化进行部署。 此虚拟化只能实现有限的吞吐量和永不行速率的吞吐量。 vSRX 18.4 和更高版本的大多数部署都使用 SR-IOV,这将提高吞吐量。
-
对于 vSRX 中的单个 GE 接口,显示的速度通常会显示单个接口的 1G,即使订购为 10G也是如此。 这是外观,不反映 10Gbps vSRX 设备上的实际速度能力。 您应该在 Ubuntu 主机上而不是在 vSRX VM 上执行速度检查。 此外,使用 Iperf3 等工具运行速度测试还可以帮助验证流量吞吐量。 另一种验证方法是通过与主节点 vSRX关联的带宽图。 这将显示使用为图形获取的样本达到的最大和最小吞吐量。
-
使用 60 天评估许可证部署了较旧的 Juniper vSRX 网关,这可能会导致内核生成错误消息,即使系统上存在另一个 (有效) 许可证也是如此。 删除任何 60 天评估许可证以避免此问题。 为此,请执行以下步骤:
-
登录到 vSRX 网关设备。
-
通过在控制台提示符处运行
cli
命令来进入 CLI 方式。 -
运行以下命令获取许可证标识符:
show system license
输出将类似于以下内容:
License usage: Licenses Licenses Licenses Expiry Feature name used installed needed logical-system 0 3 0 permanent Virtual Appliance 1 1 0 2021-10-18 00:00:00 UTC remote-access-ipsec-vpn-client 0 2 0 permanent Licenses installed: License identifier: E2018101804 License version: 4 Software Serial Number: SUB00024128768 Customer ID: IBM_SL_10G Features: Virtual Appliance - Virtual Appliance date-based, 2018-10-18 00:00:00 UTC - 2021-10-18 00:00:00 UTC
-
复制要删除的许可证的标识符,然后运行命令:
request system license delete <license identifier>
-