מהו VMware vSwitch?

מכונות רכובות חשמלית מתחברות לרשת בדיוק באותה דרך כמו מכונות פיזיות. ההבדל הוא שה-VMs משתמשות במתאם רשת ובמתג וירטואליים כדי להקים חיבורים עם רשתות פיזיות. אם השתמשת ב-VMs הרצות על VMware Workstation, ייתכן ותהיה מוכר עם שלוש רשתות וירטואליות ברירת המחדל. כל אחת מהן משתמשת במתג וירטואלי שונה:

• VMnet0 רשת גשר – מאפשר חיבור של מתאם רשת וירטואלי של VM לאותה רשת כמו מתאם הרשת הפיזי של המארח.
• VMnet1 רשת רק עבור המארח – מאפשר חיבור למארח בלבד, על ידי שימוש בתת-רשת שונה.
• VMnet8 רשת NAT – משתמשת בתת-רשת נפרדת מאחורי ה-NAT, ומאפשרת חיבור של מתאם הרשת הווירטואלי של ה-VM דרך ה-NAT לאותה רשת כמו מתאם המארח הפיזי.

מארחי ESXi גם יש להם מתגים וירטואליים, אך הגדרותיהם שונות. פוסט הבלוג של היום חוקר את שימוש במתגים וירטואליים של VMware על מארחי ESXi של VMware עבור חיבורי רשת של מכונות רכובות.

הגדרת vSwitch

A virtual switch is a software program – a logical switching fabric that emulates a switch as a layer-2 network device. A virtual switch ensures the same functions as a regular switch, with the exception of some advanced functionalities. Namely, unlike physical switches, a virtual switch:

• לא לומדת את כתובות ה-MAC של תנועת התעבורה מרשת החיצונית.
• לא משתתפת בפרוטוקולי Spanning Tree.
• לא יכולה ליצור חזרה ברשת עבור חיבורי רשת חוזרים.

המתגים הווירטואליים של VMware נקראים vSwitches. vSwitches משמשים להבטיח חיבורים בין מכונות וירטואליות וגם לחבר רשתות וירטואליות ופיזיות. vSwitch משתמש במתאם רשת פיזי (נקרא גם NIC – בקר ממשק רשת) של מארח ESXi עבור החיבור לרשת הפיזית. יתכן שתרצה ליצור רשת נפרדת עם vSwitch ו-NIC פיזי לצורך ביצועים ו/או מטרות אבטחה במקרים הבאים:

• חיבור אחסון, כגון NAS או SAN, למארחי ESXi.
• רשת vMotion להעברה חיה של מכונות וירטואליות בין מארחי ESXi.
• רשת ליישום עמידות תקלים.

אם פושע יכול לגשת לאחת מהמכונות הוירטואליות ברשת של vSwitch, הוא או היא לא יוכלו לגשת לאחסון המשותף המחובר לרשת ול-vSwitch נפרדת, גם אם הם נמצאים על אותו מארח ESXi.

התרשים למטה מראה את חיבורי הרשת של מכונות וירטואליות השוכנות על מארח ESXi, vSwitches, מתגים פיזיים ואחסון משותף.

ניתן ליצור רשת מחולקת ב-vSwitch קיים על ידי יצירת קבוצות יציאה עבור קבוצות VM שונות. גישה זו יכולה להקל על ניהול רשתות גדולות.

A Port Group is an aggregation of multiple ports for common configuration and VM connection. Each port group has unique network label. For example, in the sceenshot below, the “VM Network” created by default is a port group for guest virtual machines, while the “Management Network” is a port group for the EXSi host’s VMkernel network adapter, with which you can manage the ESXi. For storage and vMotion networks, you will need to connect a VMkernel adapter that can have a different IP address for each network. Each port group can have a VLAN ID.

מזהה ה־VLAN הוא הזיהוי של רשת מקומית וירטואלית (VLAN) שמשמש לתיוג של VLAN. ניתן להגדיר מזההי VLAN מ־1 עד 4094 (ערכי 0 ו־4095 נשמרים). בעזרת VLAN, ניתן לחלק באופן לוגי רשתות שקיימות באותה סביבה פיזית. VLAN מבוסס על התקן IEEE 802.1q ופועל בשכבה השנייה של מודל OSI, יחידת הנתונים בפרוטוקול (PDU) שלה היא שקוף. למסגרות Ethernet מוסיפים תג מיוחד באורך 4 בתים, מה שמגדיל אותן מ־1518 בתים ל־1522 בתים. היחידה המרבית להעברת מידע (MTU) היא 1500 בתים; מדובר בגודל המרבי של חבילות IP המאונקפסות ללא פיצול. הניתוב בין רשתות IP מתבצע בשכבה השלישית של מודל OSI. ראה את התרשים למטה.

כל יציאה במתג וירטואלי יכולה להכיל מזהה יציאת רשת VLAN (PVID). יציאות שיש להן PVIDs נקראות "יציאות מתוייגות" או "יציאות טראנק". טראנק הוא חיבור נקודה אל נקודה בין התקני רשת שיכול להעביר את הנתונים ממספר VLANs. יציאות ללא PVIDs נקראות "יציאות לא מתוייגות" – הן יכולות להעביר את הנתונים של רק VLAN אחת. יציאות לא מתוייגות נהוגות בדרך כלל בין מתגים והתקני קצה כגון מתאמי רשת של משתמשים. התקני קצה לרוב לא מכירים את התגי VLAN, והם פועלים עם מסגרות לא מתוייגות רגילות. (החריג הוא אם במכונה הווירטואלית הוגדרה תכונת "תיוג אורח ווירטואלי של VMware (VGT)", במקרה זה התגי נכירים).

סוגי מתגי וירטואלי

מתגים וירטואליים של VMware ניתנים לחלוקה לשני סוגים: מתגים וירטואליים סטנדרטיים ומתגים וירטואליים מבוצעים.

A vNetwork Standard Switch (vSwitch) is a virtual switch that can be configured on a single ESXi host. By default, this vSwitch has 120 ports. The maximum number of ports per ESXi host is 4096.

תכונות מתג וירטואלי סטנדרטי:

גילוי קישור הוא תכונה שמשתמשת בפרוטוקול גילוי של סיסקו (CDP) כדי לאסוף ולשלוח מידע על יציאות המתקשרות של המתג שמחוברות, שיכול לשמש לפתרון בעיות ברשת.

הגדרות אבטחה מאפשרות לך להגדיר מדיניות אבטחה:

• פעילות את האפשרות מצב פרומיסקואוס מאפשרת למתקין הווירטואלי להאזין לכל תעבורה, במקום תעבורה רק על פי כתובת ה-MAC האישית של המתקן.
• עם האפשרות שינויי כתובת MAC, אתה יכול להתיר או לאסור שינוי בכתובת MAC של מתקן הרשת הווירטואלי של מכונת הווירטואל.
• עם האפשרות העברות מזויות, אתה יכול להרשות או לחסום את שליחת המסגרות היוצאות עם כתובות MAC שונות מהכתובת המוגדרת עבור מתקן הווירטואל.

קישור NIC. שני או יותר מתקני רשת יכולים להתאחד לצוות ולהיות מחוברים למתג ווירטואלי. זה מגביר את הרוחב פס (כפל קישור) ומספק חילוף פעולה פסיבי במקרה של כשל באחד מהמתקינים שהותקנו בצוות. ההגדרות של הטעינה מאפשרות לך לציין אלגוריתם להפצת תעבורה בין ה-NICs בצוות. אתה יכול להגדיר סדר חילוף פעולה על ידי העברת מתקיני רשת (שיכולים להיות במצב "פעיל" או "ממתין") למעלה או למטה ברשימה. מתקן ממתין הופך לפעיל במקרה של כשל במתקן פעיל.

עיצוב תעבורה מגביל את רוחב הפס של התעבורה היוצאת עבור כל מתקן רשת ווירטואלי המחובר ל-vSwitch. אתה יכול להגדיר הגבלות לרוחב הפס הממוצע (Kb/s), רוחב הפס השיא (Kb/s) וגודל הפיצוץ (KB).

מדיניות קבוצת היציאה כגון אבטחה, צוות NIC ועיצוב תעבורה מורכבות ממדיניות vSwitch כברירת מחדל. אפשר לכבות את המדיניות הללו על ידי תיקון באופן ידני עבור קבוצות יציאה.

A vNetwork Distributed vSwitch (dvSwitch) is a virtual switch that includes standard vSwitch features while offering a centralized administration interface. dvSwitches can only be configured in vCenter Server. Once configured in vCenter, a dvSwitch has the same settings on all defined ESXi hosts within the datacenter, which facilitates management of large virtual infrastructures – you don’t need to set up standard vSwitches manually on each ESXi host. When using a dvSwitch, VMs keep their network states and virtual switch ports after migration between ESXi hosts. The maximum amount of ports per dvSwitch is 60,000. The dvSwitch uses the physical network adapters of the ESXi host on which the virtual machines are residing to link them with the external network. The VMware dvSwitch creates proxy switches on each ESXi host to represent the same settings. Note: an Enterprise Plus license is required to use the dvSwitch feature.

בניגוד ל-vSwitch, dvSwitch מספק סט רחב יותר של תכונות:

• ניהול רשת מרכזי. אפשר לנהל את dvSwitch עבור כל ה-ESXi מארחים המוגדרים בו-זמנית עם vCenter.
• עיצוב תעבורה. בניגוד ל-vSwitch הסטנדרטי, dvSwitch תומך בעיצוב תעבורה גם יציאה וגם כניסה.
• חסימת קבוצת יציאה. אפשר לבטל שיתוף ו/או קבלת נתונים עבור קבוצות יציאה.
• השמת יציאה על יציאה. תכונה זו משמשת כל פריט מהיציאה ליציאה מיוחדת עם מערכת SPAN (מערכת ניתוח יציאה). זה יכול לאפשר לך לנטר תעבורה ולבצע אבחון רשת.
• מדיניות לכל יציאה. אפשר לקבוע מדיניות מיוחדת לכל יציאה, לא רק עבור קבוצות יציאה.
• תמיכה ב-Link Layer Discovery Protocol (LLDP). LLDP היא פרוטוקול שני שכבה לא משלים שהוא שימושי לניטור רשתות מובייל.
• תמיכה ב-Netflow. זה מאפשר לך לנטר מידע תעבורה IP על מחשוב מרוחב עיצוב, שיכול להיות מועיל לפתרון בעיות.

עכשיו שמסבירים את התכונות של vSwitches סטנדרטיים ומרוחבים, בואו נדבר על איך ליישם אותם.

איך ליצור ולהתאים את VMware vSwitches

כברירת מחדל, יש מחשוב יציאה אחת על מארח ESXi, עם שתי קבוצות יציאה – רשת ה-VM ורשת הניהול. בואו ניצור vSwitch חדש.

הוספת מתג וירטואלי סטנדרטי

התחבר למארח ESXi עם דפדפן האינטרנט של vSphere ובצע את השלבים הבאים:

• עבור אל רשת > מתגים וירטואליים.
• לחץ על הוסף מתג וירטואלי סטנדרטי.
• קבע את שם ה-vSwitch ("vSwitch2s", במקרה שלנו) ואפשרויות אחרות כפי שנדרש. לאחר מכן לחץ על הכפתור הוסף.

הערה: אם ברצונך לאפשר מסגרות גדולות כדי להפחית את פיצוץ החבילות, תוכל לקבוע ערך של MTU (יחידת העברת מידע המרבית) של 9,000 בתים.

הוספת חיבור למעלה

הוסף חיבור למעלה כדי להבטיח גיבוי לחיבור על ידי ביצוע השלבים הבאים:

• עבור אל רשת > שם ה-vSwitch שלך > פעולות > הוסף חיבור למעלה.
• בחר שני NICs.
• תוכל גם לקבוע אפשרויות אחרות כאן, כגון גילוי קישור, אבטחה, צוות NIC, ועיצוב תעבורה.
• לחץ על הכפתור שמור כדי לסיים.

תוכל לערוך את הגדרות ה-vSwitch בכל עת על ידי לחיצה על ערוך הגדרות לאחר בחירת ה-vSwitch שלך תחת רשת > מתגים וירטואליים.

הוספת קבוצת פורטים

עכשיו שיצרת מתג, תוכל ליצור קבוצת פורטים. כדי לעשות זאת, עקוב אחר השלבים הבאים:

• עבור אל רשת > קבוצות פורטים ולחץ על הוסף קבוצת פורטים.
• קבע את שם קבוצת הפורטים ואת מזהה ה-VLAN (אם נדרש).
• בחר את המתג הווירטואלי עליו תיווצר קבוצת הפורטים הזו.
• ניתן גם להגדיר הגדרות אבטחה כאן אם תרצו.
• לחצו על הכפתור הוסף כדי לסיים.

הוספת כרטיס רשת VMkernel

אם ברצונכם להשתמש ברשת VM מיועדת, רשת אחסון, רשת vMotion, רשת רישום לעקיפת תקלות וכו ', עליכם ליצור כרטיס רשת VMkernel לניהול של קבוצת הפורטים הרלוונטית. שכבת הרשת VMkernel עוסקת בתעבורת המערכת, וגם מחברת את המארחים ESXi זה עם זה ועם ה-vCenter.

כדי ליצור כרטיס רשת VMkernel, עקבו אחר השלבים האלה:

• עברו אל רשתות > כרטיסי רשת VMkernel ולחצו על הוסף כרטיס רשת VMkernel.
• בחרו בקבוצת הפורטים בה ברצונכם ליצור את הכרטיס VMkernel.
• הגדירו את הגדרות הרשת והשירותים עבור כרטיס VMkernel זה כפי שנדרש.
• לחצו על הכפתור שמירה כדי לסיים.

הוספת מתג פיזור מתקדם

כדי להוסיף dvSwitch, התחברו ל-vCenter עם הלקוח שלכם של vSphere ובצעו את הפעולות הבאות:

• עברו אל vCenter > שם מרכז הנתונים שלכם.
• לחצו על הכפתור הימני במרכז הנתונים שלכם ובחרו מתג פיזור חדש. חלון אשף מופיע.
• הגדירו את השם והמיקום ל-dvSwitch שלכם. לחצו על הבא.
• בחרו את גרסת ה-dvSwitch שתואמת עם המארחים ESXi בתוך מרכז הנתונים שלכם. לחצו על הבא.
• ערוך את ההגדרות. ציין את מספר יציאות התקשורת העל, בקרת הקלט/הפלט ברשת, ואת קבוצת היציאות המוגדרת כברירת מחדל. לחץ הבא.
• בקטע מוכן להשלים, לחץ סיום.

עכשיו תוכל להגדיר את dvSwitch שיצרת. עבור אל ראשי > רשתות > שם מרכז הנתונים שלך > שם dvSwitch שלך ובחר בלשונית ניהול. התמונה מראה את התכונות והאפשרויות שאפשר להגדיר על ידי לחיצה עליהן.

לפני כל דבר, עליך להוסיף את מארחי ה-ESXi לשטח הקישור הווירטואלי המבוזר שלך:

• לחץ פעולה > הוסף ונהל מארחים. חלון אשף יופיע.
• בחלק בחר משימה, בחר "הוסף מארחים" ולחץ הבא.
• לחץ מארח חדש ובחר את מארחי ה-ESXi שברצונך להוסיף. לחץ אישור. סמן את התיבה בתחתית החלון אם ברצונך לאפשר מצב תבנית. לאחר מכן, לחץ הבא.
• אם הפעלת מצב תבנית, בחר במארח תבנית. הגדרות הרשת של המארח תבנית ייחולו על המארחים האחרים. לחץ הבא.
• בחר משימות אדפטר רשת על ידי סימון התיבות המתאימות. ניתן להוסיף אדפטרי רשת פיזיים ו/או אדפטרי רשת VMkernel. לחץ הבא כאשר אתה מוכן להמשיך.
• הוסף אדפטרי רשת פיזיים ל-dvSwitch והקצה את הקישורים למעלה. לחץ החל על כל ואז הבא.
• ניהול מתאם רשת VMkernel. כדי ליצור מתאם VMkernel חדש, לחץ מתאם חדש. אז תוכל לבחור קבוצת פורט, כתובת IP והגדרות אחרות. לאחר השלמת השלב הזה, לחץ הבא.
• תוצג לך ניתוח השפעה. ודא שכל השירותים הרשתיים התלויים עובדים כראוי, ואם אתה מרוצה, לחץ הבא.
• תחת החלק מוכן להשלים, בדוק את ההגדרות שבחרת ולחץ על הלחצן סיום אם אתה מרוצה.

כדי להוסיף קבוצת פורט חדשה מופצת, עקוב אחר השלבים הבאים:

• לחץ פעולות > קבוצת פורט מופצת חדשה.
• הגדר את השם והמיקום של קבוצת הפורט, ולאחר מכן לחץ הבא.
• קבע את ההגדרות של קבוצת הפורט. בשלב זה, תוכל להגדיר קישור פורט, אזכור פורט, מספר פורטים, בריכת משאבי רשת, ו-VLAN. לחץ הבא כאשר אתה מוכן.
• תחת החלק מוכן להשלים, בדוק את ההגדרות שבחרת ולחץ על הלחצן סיום אם אתה מרוצה.

עכשיו יש לך את התצורה הבסיסית של dvSwitch מוכנה. תוכל לשנות את ההגדרות בכל עת לצורך תאימה לדרישות המשתנות.

היתרונות בשימוש ב-vSwitches

לאחר ששקלת איך להגדיר מתגי וירטואליים של VMware, בוא נסכם את היתרונות של השימוש בהם:

• הפרדת רשתות עם VLAN וראוטרים, שמאפשרת לך להגביל גישה מרשת אחת לרשת אחרת.
• שיפור באבטחה.
• ניהול רשת גמיש.
• צורך נמוך יותר במתאםי רשת חומרתיים עבור חיבור רשת משולב (בהשוואה למכונות פיזיות).
• העברה והצגה קלה יותר של מכונות וירטואליות.

מסקנה

המתגים הווירטואליים מאפשרים לך לנהל את חיבורי הרשת של קבוצות ה-VM, לעקוב אחריהם, לשפר את האבטחה ולהקל על הניהול עבור סביבות הווירטואליות של VMware vSphere. המתג הווירטואלי המבוזר כולל יותר יכולות מהמתג הווירטואלי התקני ומועדף עבור תשתיות ווירטואליות גדולות יותר עם מספר גבוה של מארחי ESXi.

ללא קשר לגודל של הסביבה הווירטואלית שלך, עליך להשתמש בפתרון להגנת נתונים שמשתלב באופן חלק עם VMware כדי להבטיח אמינות מקסימלית. כאן ב-NAKIVO, אנו מכירים את VMware מעומק לעומק. צוות המומחים שלנו פיתח את NAKIVO Backup & Replication באופן מיוחד כדי לעבוד עם vSphere ו-ESXi. לכן אתה יכול לצפות בגיבוי של VMware חלק, יעיל ואמין עם הפתרון שלנו.