Что такое VMware vSwitch?

Учебники
VMware

Виртуальные машины подключаются к сети таким же образом, как и физические. Разница в том, что ВМ используют виртуальные сетевые адаптеры и виртуальные коммутаторы для установления связи с физическими сетями. Если вы использовали ВМ, работающие в VMware Workstation, вам могут быть знакомы три типичные виртуальные сети. Каждая из них использует отдельный виртуальный коммутатор:

  • VMnet0 – мостовая сеть, позволяющая подключать виртуальные сетевые адаптеры ВМ к той же сети, что и сетевой адаптер физического хоста.
  • VMnet1 – сеть “Только хост”, позволяющая подключаться только к хосту, используя другую подсеть.
  • VMnet8 – сеть NAT, использующая отдельную подсеть за NAT, и позволяющая подключать виртуальный адаптер ВМ через NAT к той же сети, что и сетевой адаптер физического хоста.

ESXi-хосты также имеют виртуальные коммутаторы, но их настройки отличаются. В сегодняшнем блоге исследуется использование виртуальных коммутаторов VMware на хостах VMware ESXi для подключения виртуальных машин к сети.

Определение vSwitch

A virtual switch is a software program – a logical switching fabric that emulates a switch as a layer-2 network device. A virtual switch ensures the same functions as a regular switch, with the exception of some advanced functionalities. Namely, unlike physical switches, a virtual switch:

  • Не изучает MAC-адреса транзитного трафика из внешней сети.
  • Не участвует в протоколах Spanning Tree.
  • Не может создать петлю в сети для резервного сетевого подключения.

Виртуальные коммутаторы VMware называются vSwitches. vSwitches используются для обеспечения связи между виртуальными машинами, а также для подключения виртуальных и физических сетей. vSwitch использует физический сетевой адаптер (также называемый NIC – контроллер интерфейса сети) хоста ESXi для подключения к физической сети. В следующих случаях может потребоваться создать отдельную сеть с vSwitch и физическим NIC по причинам производительности и/или безопасности:

  • Подключение хранилища, такого как NAS или SAN, к хостам ESXi.
  • Сеть vMotion для живой миграции виртуальных машин между хостами ESXi.
  • Сеть журналирования Fault Tolerance.

Если злоумышленник получит доступ к одной из виртуальных машин в сети одного vSwitch, он или она не сможет получить доступ к общему хранилищу, подключенному к отдельной сети и vSwitch, даже если они находятся на том же хосте ESXi.

Схема ниже показывает сетевые соединения виртуальных машин, находящихся на хосте ESXi, vSwitches, физические коммутаторы и общее хранилище.

Вы можете создать сегментированную сеть на существующем vSwitch, создавая группы портов для различных групп виртуальных машин. Этот подход может упростить управление большими сетями.

A Port Group is an aggregation of multiple ports for common configuration and VM connection. Each port group has unique network label. For example, in the sceenshot below, the “VM Network” created by default is a port group for guest virtual machines, while the “Management Network” is a port group for the EXSi host’s VMkernel network adapter, with which you can manage the ESXi. For storage and vMotion networks, you will need to connect a VMkernel adapter that can have a different IP address for each network. Each port group can have a VLAN ID.

Идентификатор VLAN (Virtual Local Area Network) – это идентификатор VLAN, используемый для маркировки VLAN. Идентификаторы VLAN могут быть установлены от 1 до 4094 (значения 0 и 4095 зарезервированы). С помощью VLAN можно логически разделить сети, существующие в одной физической среде. VLAN основан на стандарте IEEE 802.1q и работает на втором уровне модели OSI, единицей данных протокола (PDU), которой является кадр. К эфирным кадрам Ethernet прикрепляется специальный 4-байтовый тег, увеличивающий их размер с 1518 байтов до 1522 байтов. Максимальный размер передаваемого блока (MTU) составляет 1500 байтов; это представляет собой максимальный размер инкапсулированных IP-пакетов без фрагментации. Маршрутизация между IP-сетями выполняется на третьем уровне модели OSI. См. диаграмму ниже.

Каждый порт в виртуальном коммутаторе может иметь идентификатор VLAN порта (PVID). Порты с PVID называются “маркированными портами” или “транкированными портами”. Транк – это точка-точка соединение между сетевыми устройствами, которое может передавать данные из нескольких VLAN. Порты без PVID называются немаркированными портами – они могут передавать данные только одного собственного VLAN. Немаркированные порты обычно используются между коммутаторами и конечными устройствами, такими как сетевые адаптеры пользовательских машин. Конечные устройства обычно ничего не знают о метках VLAN, и они работают с обычными немаркированными кадрами. (Исключение составляет виртуальная машина, у которой настроена функция “Метка гостевой машины VMware Virtual Guest Tagging (VGT)”, в этом случае метки распознаются).

Типы виртуальных коммутаторов

Виртуальные коммутаторы VMware могут быть разделены на два типа: стандартные виртуальные коммутаторы и распределенные виртуальные коммутаторы.

A vNetwork Standard Switch (vSwitch) is a virtual switch that can be configured on a single ESXi host. By default, this vSwitch has 120 ports. The maximum number of ports per ESXi host is 4096.

Особенности стандартного виртуального коммутатора:

Обнаружение соединения – это функция, которая использует протокол обнаружения Cisco (CDP) для сбора и отправки информации о подключенных портах коммутатора, которая может использоваться для устранения сетевых проблем.

Настройки безопасности позволяют устанавливать политики безопасности:

  • Включение опции Режима беспорядочного режима позволяет гостевому виртуальному адаптеру прослушивать весь трафик, а не только трафик с собственным MAC-адресом адаптера.
  • С опцией Изменения MAC-адреса можно разрешить или запретить изменение MAC-адреса виртуального сетевого адаптера виртуальной машины.
  • С опцией Поддельные передачи можно разрешить или блокировать отправку выходных кадров с другими MAC-адресами, чем установленный для адаптера ВМ.

Коммутация сетевого интерфейса (NIC teaming). Два или более сетевых адаптера могут быть объединены в команду и подключены к виртуальному коммутатору. Это увеличивает пропускную способность (агрегирование каналов) и обеспечивает пассивный резервирование в случае выхода из строя одного из объединенных адаптеров. Настройки балансировки нагрузки позволяют указать алгоритм распределения трафика между сетевыми адаптерами в команде. Вы можете задать порядок резервного копирования, перемещая сетевые адаптеры (которые могут находиться в режиме “активный” или “резервный”) вверх и вниз по списку. Резервный адаптер становится активным в случае сбоя активного адаптера.

Формирование трафика ограничивает пропускную способность исходящего трафика для каждого виртуального сетевого адаптера, подключенного к vSwitch. Вы можете установить ограничения для средней пропускной способности (Кб/с), максимальной пропускной способности (Кб/с) и размера всплеска (КБ).

Политики групп портов, такие как безопасность, групповое объединение сетевых интерфейсов (NIC teaming) и формирование трафика, наследуются из политик vSwitch по умолчанию. Вы можете переопределить эти политики, настраивая их вручную для групп портов.

A vNetwork Distributed vSwitch (dvSwitch) is a virtual switch that includes standard vSwitch features while offering a centralized administration interface. dvSwitches can only be configured in vCenter Server. Once configured in vCenter, a dvSwitch has the same settings on all defined ESXi hosts within the datacenter, which facilitates management of large virtual infrastructures – you don’t need to set up standard vSwitches manually on each ESXi host. When using a dvSwitch, VMs keep their network states and virtual switch ports after migration between ESXi hosts. The maximum amount of ports per dvSwitch is 60,000. The dvSwitch uses the physical network adapters of the ESXi host on which the virtual machines are residing to link them with the external network. The VMware dvSwitch creates proxy switches on each ESXi host to represent the same settings. Note: an Enterprise Plus license is required to use the dvSwitch feature.

По сравнению с vSwitch, dvSwitch предоставляет более широкий набор функций:

  • Централизованное управление сетью. Вы можете управлять dvSwitch для всех определенных хостов ESXi одновременно с помощью vCenter.
  • Формирование трафика. В отличие от стандартного vSwitch, dvSwitch поддерживает как исходящее, так и входящее формирование трафика.
  • Блокировка групп портов. Вы можете отключить отправку и/или прием данных для групп портов.
  • Зеркалирование портов. Эта функция дублирует каждый пакет из порта на специальный порт с помощью системы SPAN (Switch Port Analyzer). Это позволяет отслеживать трафик и выполнять сетевую диагностику.
  • Политика на порт. Вы можете установить конкретные политики для каждого порта, а не только для групп портов.
  • Поддержка протокола обнаружения уровня канала (LLDP). LLDP – это протокол второго уровня, который не является проприетарным и полезен для мониторинга сетей разных производителей.
  • Поддержка Netflow. Это позволяет отслеживать информацию об IP-трафике на распределенном коммутаторе, что может быть полезно для устранения неполадок.

Теперь, когда мы разъяснили особенности стандартных и распределенных vSwitch, давайте обсудим, как их реализовать.

Как создавать и настраивать коммутаторы VMware vSwitches

По умолчанию на хосте ESXi есть один виртуальный коммутатор с двумя группами портов – VM Network и Management Network. Давайте создадим новый vSwitch.

Добавление стандартного vSwitch

Подключитесь к хосту ESXi с помощью клиента vSphere Web и выполните следующее:

  • Перейдите в раздел Сеть > Виртуальные коммутаторы.
  • Нажмите Добавить стандартный виртуальный коммутатор.
  • Укажите имя vSwitch (“vSwitch2s” в нашем случае) и другие параметры по необходимости. Затем нажмите кнопку Добавить.

Примечание: Если вы хотите включить jumbo frames для уменьшения фрагментации пакетов, вы можете установить значение MTU (Максимальный Размер Передаваемого Пакета) 9,000 байт.

Добавление Uplink

Добавьте uplink для обеспечения резервирования uplink, выполнив следующее:

  • Перейдите в раздел Сеть > имя вашего vSwitch > Действия > Добавить uplink.
  • Выберите два сетевых интерфейса.
  • Здесь также можно установить другие параметры, такие как обнаружение соединения, безопасность, объединение сетевых интерфейсов и формирование трафика.
  • Нажмите кнопку Сохранить, чтобы завершить.

Вы можете в любое время изменить настройки vSwitch, нажав Изменить настройки после выбора вашего vSwitch в разделе Сеть > Виртуальные коммутаторы.

Добавление группы портов

Теперь, когда вы создали vSwitch, вы можете создать группу портов. Для этого выполните следующие действия:

  • Перейдите в раздел Сеть > Группы портов и нажмите Добавить группу портов.
  • Укажите имя группы портов и идентификатор VLAN (по необходимости).
  • Выберите виртуальный коммутатор, на котором будет создана эта группа портов.
  • Вы также можете настроить здесь параметры безопасности, если хотите.
  • Нажмите кнопку Добавить, чтобы закончить.

Добавление сетевого интерфейса VMkernel

Если вы хотите использовать выделенную сеть для виртуальных машин, сеть хранения, сеть vMotion, сеть журналирования отказоустойчивости и т. д., вам следует создать сетевой интерфейс VMkernel для управления соответствующей группой портов. Уровень сети VMkernel обрабатывает системный трафик, а также соединяет хосты ESXi друг с другом и с vCenter.

Чтобы создать сетевой интерфейс VMkernel, выполните следующие действия:

  • Перейдите в раздел Сеть > Сетевые интерфейсы VMkernel и нажмите Добавить сетевой интерфейс VMkernel.
  • Выберите группу портов, на которой вы хотите создать сетевой интерфейс VMkernel.
  • Настройте сетевые параметры и службы для этого сетевого интерфейса VMkernel по запросу.
  • Нажмите кнопку Сохранить, чтобы закончить.

Добавление распределенного коммутатора vSwitch

Чтобы добавить dvSwitch, войдите в vCenter с помощью веб-клиента vSphere и выполните следующие действия:

  • Перейдите в раздел vCenter > название вашего центра данных.
  • Щелкните правой кнопкой мыши по вашему центру данных и выберите Новый распределенный коммутатор. Появится окно мастера.
  • Укажите имя и расположение для вашего dvSwitch. Нажмите Далее.
  • Выберите версию dvSwitch, совместимую с хостами ESXi в вашем центре данных. Нажмите Далее.
  • Измените настройки. Укажите количество входных портов, управление сетевым вводом/выводом и группу портов по умолчанию. Нажмите Далее.
  • В разделе Готово к завершению нажмите Готово.

Теперь вы можете настроить созданный вами dvSwitch. Перейдите в раздел Домашняя страница > Сеть > название вашего Центра данных > название вашего dvSwitch и выберите вкладку Управление. На скриншоте показаны функции и параметры, которые вы можете установить, щелкнув по ним.

Сначала хосты ESXi должны быть добавлены в ваш распределенный виртуальный коммутатор:

  • Нажмите Действие > Добавить и управлять хостами. Запускается окно мастера.
  • В разделе Выбрать задачу выберите “Добавить хосты” и нажмите Далее.
  • Нажмите Новый хост и выберите хост(ы) ESXi, которые вы хотите добавить. Нажмите OK. Установите флажок внизу окна, если хотите включить режим шаблона. Затем нажмите Далее.
  • Если вы включили режим шаблона, выберите шаблонный хост. Сетевые настройки шаблонного хоста будут применены к другим хостам. Нажмите Далее.
  • Выберите задачи сетевого адаптера, установив соответствующие флажки. Вы можете добавить физические сетевые адаптеры и/или адаптеры VMkernel. Нажмите Далее, когда будете готовы продолжить.
  • Добавьте физические сетевые адаптеры в dvSwitch и назначьте входные соединения. Нажмите Применить ко всем, а затем Далее.
  • Управление сетевыми адаптерами VMkernel. Чтобы создать новый адаптер VMkernel, щелкните Новый адаптер. Затем вы можете выбрать группу портов, IP-адрес и другие настройки. После завершения этого шага нажмите Далее.
  • Вам будет предложен анализ влияния. Убедитесь, что все зависимые сетевые службы работают должным образом, и если вы удовлетворены, нажмите Далее.
  • В разделе Готово к завершению проверьте выбранные настройки и нажмите кнопку Завершить, если вы удовлетворены.

Чтобы добавить новую распределенную группу портов, выполните следующие шаги:

  • Нажмите Действия > Новая распределенная группа портов.
  • Укажите имя и расположение группы портов, затем нажмите Далее.
  • Настройте параметры группы портов. На этом этапе вы можете настроить привязку портов, выделение портов, количество портов, пул ресурсов сети и VLAN. Нажмите Далее, когда будете готовы.
  • В разделе Готово к завершению проверьте выбранные настройки и нажмите кнопку Завершить, если вы удовлетворены.

Теперь ваша базовая конфигурация dvSwitch готова. Вы можете в любое время изменить настройки для соответствия изменяющимся требованиям.

Преимущества использования виртуальных коммутаторов vSwitch

После того как мы рассмотрели, как настроить виртуальные коммутаторы VMware, давайте подведем итоги преимуществ их использования:

  • Разделение сетей с помощью VLAN и маршрутизаторов позволяет ограничивать доступ из одной сети в другую.
  • Повышенная безопасность.
  • Гибкое управление сетью.
  • Для резервного сетевого подключения требуется меньше адаптеров сети, чем для физических машин.
  • Более простая миграция и развертывание виртуальных машин.

Заключение

Виртуальные коммутаторы позволяют управлять сетевыми соединениями групп виртуальных машин, отслеживать их, повышать безопасность и упрощать администрирование для виртуальных сред VMware vSphere. Распределенный виртуальный коммутатор включает в себя больше функций, чем стандартный виртуальный коммутатор, и предпочтителен для крупной виртуальной инфраструктуры с большим количеством хостов ESXi.

Независимо от размера вашей виртуальной среды, вы должны использовать решение по защите данных, которое интегрируется непрерывно с VMware, чтобы обеспечить максимальную надежность. У нас, в NAKIVO, отличное знание VMware. Наша команда экспертов специально разработала NAKIVO Backup & Replication для работы с vSphere и ESXi. Поэтому вы можете ожидать безпроблемного, эффективного и надежного резервного копирования VMware с нашим решением.

Source:
https://www.nakivo.com/blog/what-is-vmware-vswitch/