虛擬機器與物理機器連接網絡的方式基本相同。不同之處在於虛擬機器使用虛擬網絡適配器和虛擬交換機與物理網絡建立連接。如果您曾使用過在 VMware Workstation 上運行的虛擬機器,您可能熟悉三個默認的虛擬網絡。它們中的每一個都使用不同的虛擬交換機:
- VMnet0 橋接網絡 – 允許將虛擬機器的虛擬網絡適配器連接到與物理主機的網絡適配器相同的網絡。
- VMnet1 專用主機網絡 – 允許通過使用不同的子網與專用主機建立連接。
- VMnet8 NAT 網絡 – 在 NAT 背後使用單獨的子網,並允許通過 NAT 將虛擬機器的虛擬適配器連接到與物理主機的適配器相同的網絡。
ESXi 主機也有虛擬交換機,但其設置不同。今天的部落格文章探討了在 VMware ESXi 主機上使用 VMware 虛擬交換機進行虛擬機器網絡連接的用途。
虛擬交換機的定義
A virtual switch is a software program – a logical switching fabric that emulates a switch as a layer-2 network device. A virtual switch ensures the same functions as a regular switch, with the exception of some advanced functionalities. Namely, unlike physical switches, a virtual switch:
- 不從外部網絡學習過境流量的 MAC 地址。
- 不參與生成樹協議。
- 無法為冗餘網絡連接創建網絡迴圈。
VMware 的虛擬交換機稱為 vSwitches。vSwitches 用於確保虛擬機器之間的連接以及連接虛擬和物理網絡。vSwitch 使用 ESXi 主機的物理網絡適配器(也稱為 NIC – 網絡接口控制器)連接到物理網絡。在以下情況下,您可能希望為性能和/或安全原因創建具有 vSwitch 和物理 NIC 的獨立網絡:
- 連接存儲,例如 NAS 或 SAN,到 ESXi 主機。
- vMotion 網絡,用於在 ESXi 主機之間進行虛擬機器的實時遷移。
- 容錯日誌網絡。
如果惡意人士可以訪問一個 vSwitch 網絡中的其中一個虛擬機器,則即使它們位於同一個 ESXi 主機上,他或她也無法訪問連接到獨立網絡和 vSwitch 的共享存儲。
下面的架構顯示了位於 ESXi 主機上的 VM、vSwitches、物理交換機和共享存儲的網絡連接。
您可以通過為不同的 VM 群組創建端口組,為現有的 vSwitch 建立分段網絡。這種方法可以使大型網絡更容易管理。分段網絡。
A Port Group is an aggregation of multiple ports for common configuration and VM connection. Each port group has unique network label. For example, in the sceenshot below, the “VM Network” created by default is a port group for guest virtual machines, while the “Management Network” is a port group for the EXSi host’s VMkernel network adapter, with which you can manage the ESXi. For storage and vMotion networks, you will need to connect a VMkernel adapter that can have a different IP address for each network. Each port group can have a VLAN ID.
VLAN ID是用於VLAN(虛擬區域網絡)標記的標識符。VLAN ID 可以設置從1到4094(保留了0和4095的值)。通過VLAN,您可以在相同的物理環境中邏輯地劃分存在的網絡。VLAN基於IEEE 802.1q標準,在OSI模型的第二層上運行,其協議數據單元(PDU)是幀。為Ethernet幀附加了一個特殊的4字節標記,將其從1518字節擴展到1522字節。最大傳輸單元(MTU)為1500字節;這表示未分段的封裝IP包的最大大小。IP網絡之間的路由在OSI模型的第三層上執行。見下圖。
vSwitch中的每個端口都可以有一個端口VLAN標識符(PVID)。具有PVID的端口稱為“標記端口”或“幹線端口”。幹線是兩個網絡設備之間的點對點連接,可以從多個VLAN傳輸數據。沒有PVID的端口稱為未標記端口-它們只能傳輸一個本地VLAN的數據。未標記端口通常用於交換機和端點設備之間,例如用戶機器的網絡適配器。端點設備通常不知道VLAN標記的任何信息,它們使用普通未標記幀運行。(例外情況是,如果虛擬機器配置了“VMware虛擬客戶機標記(VGT)”功能,則會識別標記)。
虛擬交換機的類型
VMware vSwitches可分為兩種類型:標準虛擬交換機和分佈式虛擬交換機。
A vNetwork Standard Switch (vSwitch) is a virtual switch that can be configured on a single ESXi host. By default, this vSwitch has 120 ports. The maximum number of ports per ESXi host is 4096.
標準vSwitch功能:
鏈接發現是一個功能,它使用思科發現協議(CDP)來收集並發送有關連接的交換機端口的信息,這些信息可用於網絡故障排除。
安全設置允許您設置安全策略:
- 打開混雜模式選項可讓客戶端虛擬適配器聆聽所有流量,而不僅僅是適配器自己的MAC地址上的流量。
- 通過MAC地址更改選項,您可以允許或禁止更改VM虛擬網絡適配器的MAC地址。
- 使用偽造發送選項,您可以允許或阻止使用不同MAC地址發送輸出帧,而不是VM適配器設定的MAC地址。
NIC隊伍。兩個或多個網絡適配器可以組成一個團隊並上網到虛擬開關。這增加了帶寬(鏈路聚合)並提供了被動故障轉移以防其中一個團隊適配器故障。負載平衡設置允許您指定一個算法以在團隊中的NIC之間分發流量。您可以通過在列表中移動網絡適配器(可以處於“活動”或“待機”模式)來設置故障轉移順序。在活動適配器故障的情況下,待機適配器會變為活動狀態。
流量整形限制了連接到vSwitch的每個虛擬網絡適配器的出站流量帶寬。您可以設置平均帶寬(Kb/s)、峰值帶寬(Kb/s)和突發大小(KB)的限制。
預設情況下,埠組策略(例如安全性、NIC 隊列和流量整形)是從 vSwitch 策略繼承的。您可以通過為埠組手動配置來覆蓋這些策略。
A vNetwork Distributed vSwitch (dvSwitch) is a virtual switch that includes standard vSwitch features while offering a centralized administration interface. dvSwitches can only be configured in vCenter Server. Once configured in vCenter, a dvSwitch has the same settings on all defined ESXi hosts within the datacenter, which facilitates management of large virtual infrastructures – you don’t need to set up standard vSwitches manually on each ESXi host. When using a dvSwitch, VMs keep their network states and virtual switch ports after migration between ESXi hosts. The maximum amount of ports per dvSwitch is 60,000. The dvSwitch uses the physical network adapters of the ESXi host on which the virtual machines are residing to link them with the external network. The VMware dvSwitch creates proxy switches on each ESXi host to represent the same settings. Note: an Enterprise Plus license is required to use the dvSwitch feature.
與 vSwitch 相比,dvSwitch 提供了更廣泛的功能集:
- 集中式網絡管理。您可以使用 vCenter 同時管理所有已定義的 ESXi 主機的 dvSwitch。
- 流量整形。與標準 vSwitch 不同,dvSwitch 支持出站和入站流量整形。
- 埠組阻擋。您可以禁用埠組的發送和/或接收數據。
- 埠鏡像。此功能將從一個埠將每個封包複製到具有 SPAN(交換機端口分析器)系統的特殊埠。這可以讓您監控流量並進行網絡診斷。
- 每埠策略。您可以為每個埠設置特定策略,而不僅僅是為埠組。
- 鏈路層發現協議(LLDP)支持。LLDP 是一種第二層非專有協議,對於監控多供應商網絡很有用。
- Netflow 支持。這允許您在分佈式交換機上監控 IP 流量信息,這對故障排除很有幫助。
現在,我們已經解釋了標準和分佈式 vSwitch 的功能,讓我們討論如何實施它們。
如何創建和配置 VMware vSwitches
默認情況下,ESXi 主機上有一個虛擬交換機,帶有兩個埠組 – VM 網絡和管理網絡。讓我們創建一個新的 vSwitch。
添加標準 vSwitch
連接到 ESXi 主機,使用 vSphere Web 客戶端並執行以下操作:
- 進入 網絡 > 虛擬交換機。
- 點擊 新增標準虛擬交換機。
- 設置 vSwitch 名稱(在本例中為“vSwitch2s”)和其他所需選項。然後點擊 新增 按鈕。
注意:如果您想啟用巨幀以減少封包碎片,您可以設置 MTU(最大傳輸單元)值為 9,000 字節。
添加上行連接
通過執行以下操作添加上行連接以確保上行冗餘:
- 進入 網絡 > 您的 vSwitch 名稱 > 操作 > 新增上行連接。
- 選擇兩個網卡。
- 您還可以在此處設置其他選項,例如鏈路發現、安全、網卡組合和流量整形。
- 點擊 保存 按鈕完成。
您隨時可以通過在 網絡 > 虛擬交換機 下選擇您的 vSwitch 並點擊 編輯設置 來編輯 vSwitch 設置。
添加端口組
現在您已經創建了一個 vSwitch,您可以創建一個端口組。為此,請按照以下步驟進行:
- 進入 網絡 > 端口組 並點擊 新增端口組。
- 設置端口組的名稱和 VLAN ID(如果需要)。
- 選擇要建立此埠群組的虛擬開關。
- 如果您希望,您也可以在此處配置安全設置。
- 點擊添加按鈕完成。
添加VMkernel NIC
如果您想要使用專用的VM網絡、存儲網絡、vMotion網絡、容錯恢復日誌網絡等,您應該為相關埠群組的管理創建VMkernel NIC。 VMkernel網絡層處理系統流量,以及將ESXi主機與彼此和vCenter連接。
為了創建VMkernel NIC,請按照以下步驟進行:
- 轉到網絡 > VMkernel NICs並點擊添加VMkernel NIC。
- 選擇要在其上創建VMkernel NIC的埠群組。
- 按照提示配置此VMkernel NIC的網絡設置和服務。
- 點擊保存按鈕完成。
添加分佈式vSwitch
要添加dvSwitch,請使用您的vSphere Web客戶端登錄vCenter並執行以下操作:
- 轉到vCenter > 您的資料中心名稱。
- 右鍵單擊您的資料中心,然後選擇新分佈式開關。將出現一個嚮導窗口。
- 為您的dvSwitch設置名稱和位置。點擊下一步。
- 選擇與您的資料中心內的ESXi主機相容的dvSwitch版本。點擊下一步。
- 編輯設置。指定上行連接埠數量,網絡輸入/輸出控制,以及默認埠組。點擊 下一步。
- 在 準備完成 部分,點擊 完成。
現在您可以配置您創建的 dvSwitch。轉到 首頁 > 網絡 > 您的數據中心名稱 > 您的 dvSwitch 名稱並選擇 管理 選項卡。屏幕截圖顯示您可以通過點擊它們來設置的功能和選項。
首先,必須將 ESXi 主機添加到您的分佈式虛擬交換機:
- 點擊 操作 > 添加和管理主機。將啟動一個嚮導窗口。
- 在 選擇任務 部分,選擇“添加主機”,然後點擊 下一步。
- 點擊 新主機,選擇要添加的 ESXi 主機。點擊 確定。如果要啟用模板模式,請勾選窗口底部的框,然後點擊 下一步。
- 如果啟用了模板模式,請選擇一個模板主機。模板主機的網絡設置將應用於其他主機。點擊 下一步。
- 通過勾選適當的框選擇網絡適配器任務。您可以添加物理網絡適配器和/或 VMkernel 網絡適配器。準備好後,點擊 下一步。
- 將物理網絡適配器添加到 dvSwitch 並分配上行連接埠。點擊 全部應用 然後 下一步。
- 管理 VMkernel 網路介面卡。若要建立新的 VMkernel 介面卡,請點擊新增介面卡。您可以選擇埠群組、IP 位址和其他設定。完成此步驟後,請點擊下一步。
- 您將看到影響分析。請檢查所有相依的網路服務是否正常運作,如果滿意,請點擊下一步。
- 在準備完成部分,檢閱您選擇的設定,如果滿意,請點擊完成按鈕。
若要新增新的分散式埠群組,請按照以下步驟進行:
- 點擊動作 > 新增分散式埠群組。
- 設定埠群組的名稱和位置,然後點擊下一步。
- 配置埠群組的設定。在此步驟中,您可以配置埠綁定、埠分配、埠數量、網路資源池和 VLAN。當準備就緒時,請點擊下一步。
- 在準備完成部分,檢閱您選擇的設定,如果滿意,請點擊完成按鈕。
您現在已經準備好基本的 dvSwitch 配置。您可以隨時更改設定,以滿足不斷變化的需求。
使用 vSwitch 的優勢
在考慮了如何設置 VMware 虛擬交換機後,讓我們總結一下使用它們的優點:
- 使用 VLAN 和路由器分隔网络,允许您限制从一个网络到另一个网络的访问。
- 提高了安全性。
- 灵活的网络管理。
- 与物理机相比,需要较少的硬件网络适配器来实现冗余网络连接。
- 虚拟机的迁移和部署更加容易。
结论
虚拟交换机允许您管理虚拟机组的网络连接,监视它们,提高安全性,并且使 VMware vSphere 虚拟环境的管理更加容易。分布式虚拟交换机包含比标准虚拟交换机更多的功能,对于具有大量 ESXi 主机的较大虚拟基础设施更为可取。
无论您的虚拟环境大小如何,您都应该使用与 VMware 无缝集成的数据保护解决方案,以确保最大的可靠性。在 NAKIVO,我们深知 VMware 的内外。我们的专家团队专门设计了 NAKIVO 备份与复制,以与 vSphere 和 ESXi 兼容。因此,您可以期待我们的解决方案提供无缝、高效和可靠的 VMware 备份。