Qu’est-ce que VMware vSwitch ?

Tutoriels
VMware

Les machines virtuelles se connectent à un réseau de la même manière que les machines physiques. La différence est que les VM utilisent des adaptateurs réseau virtuels et des commutateurs virtuels pour établir des connexions avec les réseaux physiques. Si vous avez utilisé des VM fonctionnant sur VMware Workstation, vous pouvez être familier avec trois réseaux virtuels par défaut. Chacun d’eux utilise un commutateur virtuel différent :

  • VMnet0 Réseau en pont – permet la connexion de l’adaptateur réseau virtuel d’une VM au même réseau que l’adaptateur réseau physique de l’hôte.
  • VMnet1 Réseau de type Hôte uniquement – permet la connexion à un hôte uniquement, en utilisant un sous-réseau différent.
  • VMnet8 Réseau NAT – utilise un sous-réseau séparé derrière le NAT, et permet la connexion de l’adaptateur virtuel de la VM via le NAT au même réseau que l’adaptateur physique de l’hôte.

Les hôtes ESXi disposent également de commutateurs virtuels, mais leurs paramètres sont différents. L’article de blog d’aujourd’hui explore l’utilisation des commutateurs virtuels VMware sur les hôtes VMware ESXi pour les connexions réseau des machines virtuelles.

Définition de vSwitch

A virtual switch is a software program – a logical switching fabric that emulates a switch as a layer-2 network device. A virtual switch ensures the same functions as a regular switch, with the exception of some advanced functionalities. Namely, unlike physical switches, a virtual switch:

  • Ne mémorise pas les adresses MAC du trafic de transit provenant du réseau externe.
  • Ne participe pas aux protocoles Spanning Tree.
  • Ne peut pas créer de boucle réseau pour une connexion réseau redondante.

Les commutateurs virtuels de VMware sont appelés des vSwitches. Les vSwitches sont utilisés pour assurer les connexions entre les machines virtuelles ainsi que pour connecter les réseaux virtuels et physiques. Un vSwitch utilise un adaptateur réseau physique (également appelé NIC – Contrôleur d’Interface Réseau) de l’hôte ESXi pour se connecter au réseau physique. Vous voudrez peut-être créer un réseau séparé avec un vSwitch et une carte réseau physique pour des raisons de performance et/ou de sécurité dans les cas suivants :

  • Connexion du stockage, tel qu’un NAS ou un SAN, aux hôtes ESXi.
  • Réseau vMotion pour la migration en direct des machines virtuelles entre les hôtes ESXi.
  • Réseau de journalisation de tolérance aux pannes.

Si un malfaiteur pouvait accéder à l’une des machines virtuelles dans le réseau d’un vSwitch, il ou elle ne pourrait pas accéder au stockage partagé connecté au réseau et au vSwitch séparés, même s’ils résidaient sur le même hôte ESXi.

Le schéma ci-dessous montre les connexions réseau des machines virtuelles résidant sur un hôte ESXi, les vSwitches, les commutateurs physiques et le stockage partagé.

Vous pouvez créer un réseau segmenté sur un vSwitch existant en créant des groupes de ports pour différents groupes de machines virtuelles. Cette approche peut faciliter la gestion des grands réseaux.

A Port Group is an aggregation of multiple ports for common configuration and VM connection. Each port group has unique network label. For example, in the sceenshot below, the “VM Network” created by default is a port group for guest virtual machines, while the “Management Network” is a port group for the EXSi host’s VMkernel network adapter, with which you can manage the ESXi. For storage and vMotion networks, you will need to connect a VMkernel adapter that can have a different IP address for each network. Each port group can have a VLAN ID.

Le identifiant VLAN est l’identificateur d’un VLAN (Virtual Local Area Network) utilisé pour le marquage VLAN. Les identifiants VLAN peuvent être définis de 1 à 4094 (les valeurs 0 et 4095 sont réservées). Avec les VLAN, vous pouvez diviser logiquement des réseaux qui existent dans le même environnement physique. Le VLAN est basé sur la norme IEEE 802.1q et fonctionne sur la deuxième couche du modèle OSI, dont l’unité de données de protocole (PDU) est la trame. Une balise spéciale de 4 octets est ajoutée aux trames Ethernet, les faisant passer de 1518 octets à 1522 octets. L’unité de transmission maximale (MTU) est de 1500 octets ; cela représente la taille maximale des paquets IP encapsulés sans fragmentation. Le routage entre les réseaux IP s’effectue sur la troisième couche du modèle OSI. Voir le diagramme ci-dessous.

Chaque port dans un vSwitch peut avoir un identifiant de VLAN de port (PVID). Les ports qui ont des PVID sont appelés « ports marqués » ou « ports de tronc ». Un tronc est une connexion point à point entre des dispositifs réseau qui peuvent transmettre les données de plusieurs VLAN. Les ports sans PVID sont appelés ports non marqués – ils peuvent transmettre les données d’un seul VLAN natif. Les ports non marqués sont généralement utilisés entre les commutateurs et les dispositifs de point final tels que les adaptateurs réseau des machines utilisateur. Les dispositifs de point final ne connaissent généralement rien aux balises VLAN, et ils fonctionnent avec des trames non marquées normales. (L’exception est si la machine virtuelle a la fonction « Balisage des invités virtuels VMware (VGT) » configurée, auquel cas les balises sont reconnues).

Types de commutateurs virtuels

Les commutateurs virtuels VMware peuvent être divisés en deux types : les commutateurs virtuels standard et les commutateurs virtuels distribués.

A vNetwork Standard Switch (vSwitch) is a virtual switch that can be configured on a single ESXi host. By default, this vSwitch has 120 ports. The maximum number of ports per ESXi host is 4096.

Caractéristiques du commutateur vStandard :

La découverte de lien est une fonctionnalité qui utilise le protocole de découverte Cisco (CDP) pour recueillir et envoyer des informations sur les ports de commutation connectés qui peuvent être utilisées pour le dépannage réseau.

Les paramètres de sécurité vous permettent de définir des politiques de sécurité :

  • En activant l’option Mode Promiscuous, la carte réseau virtuelle invité écoute tout le trafic, plutôt que seulement le trafic sur l’adresse MAC de la carte.
  • Avec l’option Changements d’adresse MAC, vous pouvez autoriser ou interdire le changement de l’adresse MAC de l’adaptateur réseau virtuel d’une machine virtuelle.
  • Avec l’option Transmissions Forgées, vous pouvez autoriser ou bloquer l’envoi de trames de sortie avec des adresses MAC différentes de celle définie pour l’adaptateur VM.

L’agrégation de NIC. Deux ou plusieurs adaptateurs réseau peuvent être regroupés dans une équipe et reliés à un commutateur virtuel. Cela augmente la bande passante (agrégation de liens) et offre une défaillance passive en cas de défaillance de l’un des adaptateurs de l’équipe. Les paramètres de répartition de charge vous permettent de spécifier un algorithme pour la distribution du trafic entre les NIC de l’équipe. Vous pouvez définir un ordre de basculement en déplaçant les adaptateurs réseau (qui peuvent être en mode « actif » ou « standby ») vers le haut ou vers le bas dans la liste. Un adaptateur en veille devient actif en cas de défaillance de l’adaptateur actif.

Le façonnage du trafic limite la bande passante du trafic sortant pour chaque adaptateur réseau virtuel connecté au vSwitch. Vous pouvez définir des limites pour la bande passante moyenne (Kb/s), la bande passante maximale (Kb/s) et la taille de rafale (KB).

Les politiques de groupe de ports telles que la sécurité, l’équilibrage de charge NIC et le façonnage du trafic sont héritées des politiques de vSwitch par défaut. Vous pouvez remplacer ces politiques en les configurant manuellement pour les groupes de ports.

A vNetwork Distributed vSwitch (dvSwitch) is a virtual switch that includes standard vSwitch features while offering a centralized administration interface. dvSwitches can only be configured in vCenter Server. Once configured in vCenter, a dvSwitch has the same settings on all defined ESXi hosts within the datacenter, which facilitates management of large virtual infrastructures – you don’t need to set up standard vSwitches manually on each ESXi host. When using a dvSwitch, VMs keep their network states and virtual switch ports after migration between ESXi hosts. The maximum amount of ports per dvSwitch is 60,000. The dvSwitch uses the physical network adapters of the ESXi host on which the virtual machines are residing to link them with the external network. The VMware dvSwitch creates proxy switches on each ESXi host to represent the same settings. Note: an Enterprise Plus license is required to use the dvSwitch feature.

Comparé à un vSwitch, le dvSwitch offre un ensemble plus large de fonctionnalités :

  • Gestion centralisée du réseau. Vous pouvez gérer le dvSwitch pour tous les hôtes ESXi définis simultanément avec vCenter.
  • Façonnage du trafic. Contrairement au vSwitch standard, un dvSwitch prend en charge à la fois le façonnage du trafic sortant et entrant.
  • Blocage du groupe de ports. Vous pouvez désactiver l’envoi et/ou la réception de données pour les groupes de ports.
  • Mise en miroir de port. Cette fonctionnalité duplique chaque paquet d’un port vers un port spécial avec un système SPAN (Switch Port Analyzer). Cela vous permet de surveiller le trafic et d’effectuer des diagnostics réseau.
  • Politique par port. Vous pouvez définir des politiques spécifiques pour chaque port, pas seulement pour les groupes de ports.
  • Prise en charge du protocole de découverte de la couche liaison (LLDP). LLDP est un protocole non propriétaire de la deuxième couche qui est utile pour la surveillance des réseaux multi-fournisseurs.
  • Prise en charge de Netflow. Cela vous permet de surveiller les informations sur le trafic IP sur un commutateur distribué, ce qui peut être utile pour le dépannage.

Maintenant que nous avons expliqué les fonctionnalités des vSwitches standard et distribués, discutons de la manière de les mettre en œuvre.

Comment créer et configurer les vSwitches VMware

Par défaut, il existe un commutateur virtuel sur un hôte ESXi, avec deux groupes de ports – VM Network et Management Network. Créons un nouveau vSwitch.

Ajout d’un commutateur virtuel standard

Connectez-vous à l’hôte ESXi avec le client vSphere Web et effectuez les étapes suivantes :

  • Accédez à Réseau > Commutateurs virtuels.
  • Cliquez sur Ajouter un commutateur virtuel standard.
  • Définissez le nom du commutateur virtuel (« vSwitch2s », dans notre cas) et autres options selon les besoins. Ensuite, cliquez sur le bouton Ajouter.

Note : Si vous souhaitez activer les trames jumbo pour réduire la fragmentation des paquets, vous pouvez définir une valeur MTU (Unité de Transmission Maximale) de 9 000 octets.

Ajout d’une liaison montante

Ajoutez une liaison montante pour garantir la redondance des liaisons montantes en suivant ces étapes :

  • Accédez à Réseau > nom de votre commutateur virtuel > Actions > Ajouter une liaison montante.
  • Sélectionnez deux NIC.
  • Vous pouvez également définir d’autres options ici, telles que la découverte de liaison, la sécurité, le teaming de NIC et le façonnage du trafic.
  • Cliquez sur le bouton Enregistrer pour terminer.

Vous pouvez modifier les paramètres du commutateur virtuel à tout moment en cliquant sur Modifier les paramètres après avoir sélectionné votre commutateur virtuel sous Réseau > Commutateurs virtuels.

Ajout d’un groupe de ports

Maintenant que vous avez créé un commutateur virtuel, vous pouvez créer un groupe de ports. Pour ce faire, suivez ces étapes :

  • Accédez à Réseau > Groupes de ports et cliquez sur Ajouter un groupe de ports.
  • Définissez le nom du groupe de ports et l’ID VLAN (si nécessaire).
  • Sélectionnez l’interrupteur virtuel sur lequel ce groupe de ports sera créé.
  • Vous pouvez également configurer les paramètres de sécurité ici si vous le souhaitez.
  • Cliquez sur le bouton Ajouter pour terminer.

Ajout d’une carte réseau VMkernel

Si vous souhaitez utiliser un réseau VM dédié, un réseau de stockage, un réseau vMotion, un réseau de journalisation de la tolérance de panne, etc., vous devez créer une carte réseau VMkernel pour la gestion du groupe de ports pertinent. La couche de mise en réseau VMkernel gère le trafic système, ainsi que la connexion des hôtes ESXi entre eux et avec vCenter.

Pour créer une carte réseau VMkernel, suivez ces étapes :

  • Accédez à Réseau > Cartes réseau VMkernel et cliquez sur Ajouter une carte réseau VMkernel.
  • Sélectionnez le groupe de ports sur lequel vous souhaitez créer la carte réseau VMkernel.
  • Configurez les paramètres réseau et les services pour cette carte réseau VMkernel comme indiqué.
  • Cliquez sur le bouton Enregistrer pour terminer.

Ajout d’un commutateur vSphere distribué

Pour ajouter un dvSwitch, connectez-vous à vCenter avec votre client web vSphere et procédez comme suit :

  • Accédez à vCenter > le nom de votre centre de données.
  • Cliquez avec le bouton droit sur votre centre de données et sélectionnez Nouveau commutateur distribué. Une fenêtre d’assistant apparaît.
  • Définissez le nom et l’emplacement de votre dvSwitch. Cliquez sur Suivant.
  • Sélectionnez la version de dvSwitch compatible avec les hôtes ESXi dans votre centre de données. Cliquez sur Suivant.
  • Modifier les paramètres. Spécifiez le nombre de ports montants, le contrôle d’entrée/sortie réseau et le groupe de ports par défaut. Cliquez sur Suivant.
  • Dans la section Prêt à terminer, cliquez sur Terminer.

Maintenant, vous pouvez configurer le dvSwitch que vous avez créé. Allez à Accueil > Réseau > le nom de votre centre de données > le nom de votre dvSwitch et sélectionnez l’onglet Gérer. La capture d’écran montre les fonctionnalités et options que vous pouvez définir en cliquant dessus.

Tout d’abord, les hôtes ESXi doivent être ajoutés à votre commutateur virtuel distribué :

  • Cliquez sur Action > Ajouter et gérer les hôtes. Une fenêtre de l’assistant est lancée.
  • Dans la section Sélectionner la tâche, sélectionnez « Ajouter des hôtes » et cliquez sur Suivant.
  • Cliquez sur Nouvel hôte et sélectionnez le(s) hôte(s) ESXi que vous souhaitez ajouter. Cliquez sur OK. Cochez la case en bas de la fenêtre si vous souhaitez activer le mode modèle. Ensuite, cliquez sur Suivant.
  • Si vous avez activé le mode modèle, sélectionnez un hôte modèle. Les paramètres réseau de l’hôte modèle seront appliqués aux autres hôtes. Cliquez sur Suivant.
  • Sélectionnez les tâches des adaptateurs réseau en cochant les cases appropriées. Vous pouvez ajouter des adaptateurs réseau physiques et/ou des adaptateurs réseau VMkernel. Cliquez sur Suivant lorsque vous êtes prêt à continuer.
  • Ajoutez des adaptateurs réseau physiques au dvSwitch et attribuez les liaisons montantes. Cliquez sur Appliquer à tous, puis sur Suivant.
  • Gérez les adaptateurs réseau VMkernel. Pour créer un nouvel adaptateur VMkernel, cliquez sur Nouvel adaptateur. Vous pouvez ensuite sélectionner un groupe de ports, une adresse IP et d’autres paramètres. Après avoir terminé cette étape, cliquez sur Suivant.
  • Vous êtes présenté avec une analyse d’impact. Vérifiez que tous les services réseau dépendants fonctionnent correctement, et si vous êtes satisfait, cliquez sur Suivant.
  • Sous la section Prêt à terminer, examinez les paramètres que vous avez sélectionnés et cliquez sur le bouton Terminer si vous êtes satisfait.

Pour ajouter un nouveau groupe de ports distribué, suivez ces étapes :

  • Cliquez sur Actions > Nouveau groupe de ports distribué.
  • Définissez le nom et l’emplacement du groupe de ports, puis cliquez sur Suivant.
  • Configurez les paramètres du groupe de ports. À cette étape, vous pouvez configurer la liaison des ports, l’allocation des ports, le nombre de ports, le pool de ressources réseau et le VLAN. Cliquez sur Suivant lorsque vous êtes prêt.
  • Sous la section Prêt à terminer, examinez les paramètres que vous avez sélectionnés et cliquez sur le bouton Terminer si vous êtes satisfait.

Vous avez maintenant votre configuration de dvSwitch de base prête. Vous pouvez modifier les paramètres à tout moment pour répondre aux demandes changeantes.

Les avantages de l’utilisation des vSwitches

Après avoir examiné comment configurer les commutateurs virtuels VMware, résumons les avantages de leur utilisation :

  • Séparation des réseaux avec des VLAN et des routeurs, vous permettant de restreindre l’accès d’un réseau à un autre.
  • Sécurité améliorée.
  • Gestion de réseau flexible.
  • Moins d’adaptateurs réseau matériels nécessaires pour une connexion réseau redondante (comparé aux machines physiques).
  • Migration et déploiement plus faciles des machines virtuelles.

Conclusion

Les commutateurs virtuels vous permettent de gérer les connexions réseau des groupes de machines virtuelles, de les surveiller, d’améliorer la sécurité et de faciliter l’administration pour les environnements virtuels VMware vSphere. Le commutateur virtuel distribué inclut plus de fonctionnalités que le commutateur virtuel standard et est préférable pour une infrastructure virtuelle plus importante avec un grand nombre d’hôtes ESXi.

Peu importe la taille de votre environnement virtuel, vous devriez utiliser une solution de protection des données qui s’intègre parfaitement avec VMware pour assurer une fiabilité maximale. Chez NAKIVO, nous connaissons VMware de fond en comble. Notre équipe d’experts a conçu NAKIVO Backup & Replication spécifiquement pour fonctionner avec vSphere et ESXi. C’est pourquoi vous pouvez vous attendre à une sauvegarde VMware sans faille, efficace et fiable avec notre solution.

Source:
https://www.nakivo.com/blog/what-is-vmware-vswitch/