Was ist ein VMware vSwitch?

Tutorials
VMware

Virtuelle Maschinen verbinden sich mit einem Netzwerk ähnlich wie physische. Der Unterschied besteht darin, dass die VMs virtuelle Netzwerkadapter und virtuelle Switches verwenden, um Verbindungen mit physischen Netzwerken herzustellen. Wenn Sie VMs verwendet haben, die auf VMware Workstation ausgeführt werden, sind Ihnen möglicherweise drei Standardvirtuelle Netzwerke bekannt. Jedes von ihnen verwendet einen anderen virtuellen Switch:

  • VMnet0 Bridged network – ermöglicht die Verbindung eines virtuellen Netzwerkadapters einer VM mit demselben Netzwerk wie der physische Netzwerkadapter des Hosts.
  • VMnet1 Host Only network – ermöglicht die Verbindung ausschließlich mit dem Host, indem ein anderes Subnetz verwendet wird.
  • VMnet8 NAT network – verwendet ein separates Subnetz hinter dem NAT und ermöglicht die Verbindung des virtuellen Adapters der VM über das NAT mit demselben Netzwerk wie der physische Adapter des Hosts.

ESXi-Hosts verfügen ebenfalls über virtuelle Switches, aber ihre Einstellungen sind anders. Der heutige Blogbeitrag erkundet die Verwendung von VMware virtuellen Switches auf VMware ESXi-Hosts für Netzwerkverbindungen virtueller Maschinen.

Definition des vSwitch

A virtual switch is a software program – a logical switching fabric that emulates a switch as a layer-2 network device. A virtual switch ensures the same functions as a regular switch, with the exception of some advanced functionalities. Namely, unlike physical switches, a virtual switch:

  • Nimmt die MAC-Adressen des Transitverkehrs aus dem externen Netzwerk nicht auf.
  • Nimmt nicht an Spanning-Tree-Protokollen teil.
  • Kann keine Netzwerkschleife für redundante Netzwerkverbindungen erstellen.

Die virtuellen Switches von VMware werden als vSwitches bezeichnet. vSwitches werden verwendet, um Verbindungen zwischen virtuellen Maschinen sowie zwischen virtuellen und physischen Netzwerken sicherzustellen. Ein vSwitch verwendet einen physischen Netzwerkadapter (auch NIC – Network Interface Controller genannt) des ESXi-Hosts, um eine Verbindung zum physischen Netzwerk herzustellen. Sie möchten möglicherweise aus Leistungs- und/oder Sicherheitsgründen in den folgenden Fällen ein separates Netzwerk mit einem vSwitch und physischer NIC erstellen:

  • Anschließen von Speicher wie NAS oder SAN an ESXi-Hosts.
  • vMotion-Netzwerk für die Live-Migration von virtuellen Maschinen zwischen ESXi-Hosts.
  • Fehlertoleranzprotokollierungsnetzwerk.

Wenn ein Übeltäter auf eine der virtuellen Maschinen in einem Netzwerk eines vSwitches zugreifen könnte, hätte er oder sie keinen Zugriff auf den gemeinsam genutzten Speicher, der mit dem separaten Netzwerk und vSwitch verbunden ist, selbst wenn sie sich auf demselben ESXi-Host befinden.

Das folgende Schema zeigt die Netzwerkverbindungen von VMs, die auf einem ESXi-Host, vSwitches, physischen Switches und gemeinsam genutztem Speicher vorhanden sind.

Sie können ein segmentiertes Netzwerk auf einem vorhandenen vSwitch erstellen, indem Sie Portgruppen für verschiedene VM-Gruppen erstellen. Dieser Ansatz kann das Verwalten großer Netzwerke erleichtern.

A Port Group is an aggregation of multiple ports for common configuration and VM connection. Each port group has unique network label. For example, in the sceenshot below, the “VM Network” created by default is a port group for guest virtual machines, while the “Management Network” is a port group for the EXSi host’s VMkernel network adapter, with which you can manage the ESXi. For storage and vMotion networks, you will need to connect a VMkernel adapter that can have a different IP address for each network. Each port group can have a VLAN ID.

Die VLAN-ID ist der Identifikator eines VLANs (Virtual Local Area Network), der für die VLAN-Markierung verwendet wird. VLAN-IDs können von 1 bis 4094 eingestellt werden (die Werte 0 und 4095 sind reserviert). Mit VLAN können Sie Netzwerke, die sich in derselben physischen Umgebung befinden, logisch aufteilen. VLAN basiert auf dem IEEE-Standard 802.1q und arbeitet auf der zweiten Schicht des OSI-Modells, bei dem die Protokolldateneinheit (PDU) Rahmen sind. Für Ethernet-Rahmen wird ein spezielles 4-Byte-Tag angehängt, das sie von 1518 Byte auf 1522 Byte vergrößert. Die maximale Übertragungseinheit (MTU) beträgt 1500 Byte; dies entspricht der maximalen Größe von verkapselten IP-Paketen ohne Fragmentierung. Das Routing zwischen IP-Netzwerken erfolgt auf der dritten Schicht des OSI-Modells. Siehe das Diagramm unten.

Jeder Port in einem vSwitch kann einen Port-VLAN-Identifikator (PVID) haben. Ports mit PVIDs werden als „markierte Ports“ oder „Trunk-Ports“ bezeichnet. Ein Trunk ist eine Punkt-zu-Punkt-Verbindung zwischen Netzwerkgeräten, die Daten von mehreren VLANs übertragen können. Ports ohne PVIDs werden als unmarkierte Ports bezeichnet – sie können nur Daten eines nativen VLANs übertragen. Unmarkierte Ports werden typischerweise zwischen Switches und Endgeräten wie Netzwerkadaptern von Benutzergeräten verwendet. Die Endgeräte wissen normalerweise nichts über VLAN-Tags, und sie arbeiten mit normalen unmarkierten Frames. (Die Ausnahme besteht, wenn die virtuelle Maschine die Funktion „VMware Virtual Guest Tagging (VGT)“ konfiguriert hat, in diesem Fall werden die Tags erkannt).

Arten von virtuellen Switches

VMware-vSwitches können in zwei Typen unterteilt werden: Standard-virtuelle Switches und verteilte virtuelle Switches.

A vNetwork Standard Switch (vSwitch) is a virtual switch that can be configured on a single ESXi host. By default, this vSwitch has 120 ports. The maximum number of ports per ESXi host is 4096.

Standard-vSwitch-Funktionen:

Linkerkennung ist eine Funktion, die das Cisco Discovery Protocol (CDP) verwendet, um Informationen über verbundene Switch-Ports zu sammeln und zu senden, die für die Netzwerkfehlersuche verwendet werden können.

Sicherheitseinstellungen ermöglichen es Ihnen, Sicherheitsrichtlinien festzulegen:

  • Das Aktivieren der Option Promiscuous Mode ermöglicht es dem Gast-Virtualadapter, den gesamten Datenverkehr zu hören, anstatt nur den Datenverkehr auf der eigenen MAC-Adresse des Adapters.
  • Mit der Option MAC-Adressänderungen können Sie das Ändern der MAC-Adresse eines virtuellen Netzwerkadapters einer VM erlauben oder verhindern.
  • Mit der Option Forged Transmits können Sie das Senden von Ausgabeframes mit unterschiedlichen MAC-Adressen als der für den VM-Adapter festgelegten erlauben oder blockieren.

NIC-Teaming. Zwei oder mehr Netzwerkadapter können zu einem Team zusammengefasst und an einen virtuellen Switch angebunden werden. Dies erhöht die Bandbreite (Linkaggregation) und bietet einen passiven Failover im Falle eines Ausfalls eines der gejointen Adapter. Die Load-Balancing-Einstellungen ermöglichen es Ihnen, einen Algorithmus für die Verkehrsdistribution zwischen den NICs im Team festzulegen. Sie können eine Failover-Reihenfolge festlegen, indem Sie Netzwerkadapter (die sich im „aktiven“ oder „standby“-Modus befinden können) in der Liste nach oben und unten bewegen. Ein standby Adapter wird im Falle eines Ausfalls des aktiven Adapters aktiv.

Die Traffic Shaping begrenzt die Bandbreite des ausgehenden Datenverkehrs für jeden virtuellen Netzwerkadapter, der mit dem vSwitch verbunden ist. Sie können Grenzwerte für durchschnittliche Bandbreite (Kb/s), Spitzenbandbreite (Kb/s) und Burstgröße (KB) festlegen.

Die Portgruppenrichtlinien wie Sicherheit, NIC-Teaming und Traffic-Shaping werden standardmäßig von den vSwitch-Richtlinien übernommen. Sie können diese Richtlinien überschreiben, indem Sie sie manuell für Portgruppen konfigurieren.

A vNetwork Distributed vSwitch (dvSwitch) is a virtual switch that includes standard vSwitch features while offering a centralized administration interface. dvSwitches can only be configured in vCenter Server. Once configured in vCenter, a dvSwitch has the same settings on all defined ESXi hosts within the datacenter, which facilitates management of large virtual infrastructures – you don’t need to set up standard vSwitches manually on each ESXi host. When using a dvSwitch, VMs keep their network states and virtual switch ports after migration between ESXi hosts. The maximum amount of ports per dvSwitch is 60,000. The dvSwitch uses the physical network adapters of the ESXi host on which the virtual machines are residing to link them with the external network. The VMware dvSwitch creates proxy switches on each ESXi host to represent the same settings. Note: an Enterprise Plus license is required to use the dvSwitch feature.

Im Vergleich zu einem vSwitch bietet der dvSwitch einen erweiterten Funktionsumfang:

  • Zentrales Netzwerkmanagement. Sie können den dvSwitch für alle definierten ESXi-Hosts gleichzeitig mit vCenter verwalten.
  • Traffic-Shaping. Anders als beim Standard-vSwitch unterstützt ein dvSwitch sowohl ausgehenden als auch eingehenden Traffic-Shaping.
  • Portgruppenblockierung. Sie können das Senden und/oder Empfangen von Daten für Portgruppen deaktivieren.
  • Port-Spiegelung. Diese Funktion dupliziert jedes Paket von einem Port zu einem speziellen Port mit einem SPAN (Switch Port Analyzer) System. Dies ermöglicht es Ihnen, den Traffic zu überwachen und Netzwerkdiagnosen durchzuführen.
  • Port-spezifische Richtlinie. Sie können spezifische Richtlinien für jeden Port festlegen, nicht nur für Portgruppen.
  • Unterstützung für das Link Layer Discovery Protocol (LLDP). LLDP ist ein Protokoll der zweiten Schicht, das nicht proprietär ist und für die Überwachung von Multi-Vendor-Netzwerken nützlich ist.
  • Netflow-Unterstützung. Dies ermöglicht es Ihnen, IP-Verkehrsdaten auf einem verteilten Switch zu überwachen, was für die Fehlerbehebung hilfreich sein kann.

Nachdem wir die Funktionen von Standard- und verteilten vSwitches erläutert haben, wollen wir besprechen, wie man sie implementiert.

Wie man VMware vSwitches erstellt und konfiguriert

Standardmäßig gibt es einen virtuellen Switch auf einem ESXi-Host mit zwei Portgruppen – VM-Netzwerk und Verwaltungsnetzwerk. Lassen Sie uns einen neuen vSwitch erstellen.

Fügen Sie einen Standard-vSwitch hinzu

Verbinden Sie sich mit dem ESXi-Host über den vSphere Web Client und führen Sie folgende Schritte aus:

  • Wechseln Sie zu Netzwerk > Virtuelle Switches.
  • Klicken Sie auf Standard-virtuellen Switch hinzufügen.
  • Geben Sie den vSwitch-Namen ein („vSwitch2s“, in unserem Fall) und setzen Sie andere Optionen nach Bedarf. Klicken Sie dann auf die Schaltfläche Hinzufügen.

Hinweis: Wenn Sie Jumbo-Frames aktivieren möchten, um Paketfragmentierung zu reduzieren, können Sie einen MTU-Wert (Maximale Übertragungseinheit) von 9.000 Byte setzen.

Hinzufügen eines Uplinks

Fügen Sie einen Uplink hinzu, um Uplink-Redundanz sicherzustellen, indem Sie folgende Schritte ausführen:

  • Wechseln Sie zu Netzwerk > Ihren vSwitch-Namen > Aktionen > Uplink hinzufügen.
  • Wählen Sie zwei NICs aus.
  • Sie können hier auch andere Optionen festlegen, wie Link-Erkennung, Sicherheit, NIC-Teaming und Traffic-Shaping.
  • Klicken Sie auf die Schaltfläche Speichern, um abzuschließen.

Sie können die vSwitch-Einstellungen jederzeit bearbeiten, indem Sie Einstellungen bearbeiten auswählen, nachdem Sie Ihren vSwitch unter Netzwerk > Virtuelle Switches ausgewählt haben.

Hinzufügen einer Portgruppe

Jetzt, da Sie einen vSwitch erstellt haben, können Sie eine Portgruppe erstellen. Führen Sie dazu folgende Schritte aus:

  • Wechseln Sie zu Netzwerk > Portgruppen und klicken Sie auf Portgruppe hinzufügen.
  • Geben Sie den Namen der Portgruppe und die VLAN-ID ein (falls erforderlich).
  • Wählen Sie den virtuellen Schalter aus, auf dem diese Portgruppe erstellt werden soll.
  • Sie können hier auch Sicherheitseinstellungen konfigurieren, wenn Sie möchten.
  • Klicken Sie auf die Schaltfläche Hinzufügen, um den Vorgang abzuschließen.

Hinzufügen eines VMkernel-NICs

Wenn Sie ein dediziertes VM-Netzwerk, Speichernetzwerk, vMotion-Netzwerk, Netzwerk für die Protokollierung der Fehlerüberwachung usw. verwenden möchten, sollten Sie eine VMkernel-NIC zur Verwaltung der entsprechenden Portgruppe erstellen. Die VMkernel-Netzwerkschicht behandelt den Systemverkehr sowie die Verbindung von ESXi-Hosts untereinander und mit vCenter.

Um eine VMkernel-NIC zu erstellen, befolgen Sie diese Schritte:

  • Gehen Sie zu Netzwerk > VMkernel-NICs und klicken Sie auf VMkernel-NIC hinzufügen.
  • Wählen Sie die Portgruppe aus, auf der Sie die VMkernel-NIC erstellen möchten.
  • Konfigurieren Sie die Netzwerkeinstellungen und Dienste für diese VMkernel-NIC gemäß den Anweisungen.
  • Klicken Sie auf die Schaltfläche Speichern, um den Vorgang abzuschließen.

Hinzufügen eines verteilten vSwitch

Um einen dvSwitch hinzuzufügen, melden Sie sich beim vCenter mit Ihrem vSphere-Webclient an und führen Sie die folgenden Schritte aus:

  • Gehen Sie zu vCenter > Ihrem Rechenzentrum-Namen.
  • Klicken Sie mit der rechten Maustaste auf Ihr Rechenzentrum und wählen Sie Neuer verteilter Switch aus. Ein Assistentenfenster wird angezeigt.
  • Legen Sie den Namen und den Speicherort für Ihren dvSwitch fest. Klicken Sie auf Weiter.
  • Wählen Sie die dvSwitch-Version aus, die mit den ESXi-Hosts in Ihrem Rechenzentrum kompatibel ist. Klicken Sie auf Weiter.
  • Bearbeiten Sie die Einstellungen. Geben Sie die Anzahl der Uplink-Ports, die Netzwerkeingabe-/ausgabe-Steuerung und die Standard-Portgruppe an. Klicken Sie auf Weiter.
  • In der Sektion Bereit zum Abschluss klicken Sie auf Abschließen.

Jetzt können Sie den erstellten dvSwitch konfigurieren. Gehen Sie zu Start > Netzwerk > Ihr Rechenzentrum-Name > Ihr dvSwitch-Name und wählen Sie den Verwalten-Tab aus. Der Screenshot zeigt die Funktionen und Optionen, die Sie durch Anklicken einstellen können.

Zuerst müssen die ESXi-Hosts zu Ihrem verteilten virtuellen Switch hinzugefügt werden:

  • Klicken Sie auf Aktion > Hinzufügen und Verwalten von Hosts. Ein Assistentenfenster wird geöffnet.
  • In der Sektion Aufgabe auswählen wählen Sie „Hosts hinzufügen“ aus und klicken Sie auf Weiter.
  • Klicken Sie auf Neuer Host und wählen Sie die ESXi-Host(s) aus, die Sie hinzufügen möchten. Klicken Sie auf OK. Aktivieren Sie das Kontrollkästchen am unteren Rand des Fensters, wenn Sie den Vorlagenmodus aktivieren möchten. Klicken Sie dann auf Weiter.
  • Wenn Sie den Vorlagenmodus aktiviert haben, wählen Sie einen Vorlagenhost aus. Die Netzwerkeinstellungen des Vorlagenhosts werden auf die anderen Hosts angewendet. Klicken Sie auf Weiter.
  • Wählen Sie Netzwerkadapteraufgaben aus, indem Sie die entsprechenden Kontrollkästchen aktivieren. Sie können physische Netzwerkadapter und/oder VMkernel-Netzwerkadapter hinzufügen. Klicken Sie auf Weiter, wenn Sie bereit sind, fortzufahren.
  • Fügen Sie physische Netzwerkadapter zum dvSwitch hinzu und weisen Sie die Uplinks zu. Klicken Sie auf Für alle übernehmen und dann Weiter.
  • Verwalten Sie VMkernel-Netzwerkadapter. Um einen neuen VMkernel-Adapter zu erstellen, klicken Sie auf Neuer Adapter. Sie können dann eine Portgruppe, eine IP-Adresse und andere Einstellungen auswählen. Nach Abschluss dieses Schritts klicken Sie auf Weiter.
  • Sie erhalten eine Auswirkungsanalyse angezeigt. Überprüfen Sie, ob alle abhängigen Netzwerkdienste ordnungsgemäß funktionieren, und wenn Sie zufrieden sind, klicken Sie auf Weiter.
  • Unter dem Abschnitt Bereit zum Abschließen überprüfen Sie die ausgewählten Einstellungen und klicken Sie auf die Schaltfläche Abschließen, wenn Sie zufrieden sind.

Um eine neue verteilte Portgruppe hinzuzufügen, befolgen Sie diese Schritte:

  • Klicken Sie auf Aktionen > Neue verteilte Portgruppe.
  • Legen Sie den Namen und den Speicherort der Portgruppe fest, und klicken Sie dann auf Weiter.
  • Konfigurieren Sie die Einstellungen der Portgruppe. In diesem Schritt können Sie Portbindung, Portzuweisung, Anzahl der Ports, Netzwerk-Ressourcenpool und VLAN konfigurieren. Klicken Sie auf Weiter, wenn Sie bereit sind.
  • Unter dem Abschnitt Bereit zum Abschließen überprüfen Sie die ausgewählten Einstellungen und klicken Sie auf die Schaltfläche Abschließen, wenn Sie zufrieden sind.

Sie haben jetzt Ihre grundlegende dvSwitch-Konfiguration fertig. Sie können die Einstellungen jederzeit ändern, um sich den wechselnden Anforderungen anzupassen.

Die Vorteile der Verwendung von vSwitches

Nachdem wir uns überlegt haben, wie VMware-Virtual-Switches eingerichtet werden, fassen wir die Vorteile ihrer Verwendung zusammen:

  • Trennung von Netzwerken mit VLANs und Routern, die es ermöglicht, den Zugriff von einem Netzwerk auf ein anderes zu beschränken.
  • Verbesserte Sicherheit.
  • Flexible Netzwerkverwaltung.
  • Weniger Hardware-Netzwerkadapter benötigt für redundante Netzwerkverbindung (im Vergleich zu physischen Maschinen).
  • Einfachere Migration und Bereitstellung von VMs.

Abschluss

Virtuelle Switches ermöglichen es Ihnen, die Netzwerkverbindungen von VM-Gruppen zu verwalten, sie zu überwachen, die Sicherheit zu verbessern und die Verwaltung in VMware vSphere virtuellen Umgebungen zu vereinfachen. Der verteilte virtuelle Switch bietet mehr Funktionen als der Standard-virtuelle Switch und ist bevorzugt für eine größere virtuelle Infrastruktur mit einer hohen Anzahl von ESXi-Hosts.

Unabhängig von der Größe Ihrer virtuellen Umgebung sollten Sie eine Datensicherungslösung verwenden, die nahtlos mit VMware integriert ist, um maximale Zuverlässigkeit zu gewährleisten. Hier bei NAKIVO kennen wir VMware in- und auswendig. Unser Team von Experten hat NAKIVO Backup & Replication speziell für die Arbeit mit vSphere und ESXi entwickelt. Deshalb können Sie mit unserer Lösung eine nahtlose, effiziente und zuverlässige VMware-Sicherung erwarten.

Source:
https://www.nakivo.com/blog/what-is-vmware-vswitch/