Ce este VMware vSwitch?

Mașinile virtuale se conectează la o rețea în același mod în care o fac cele fizice. Diferența constă în faptul că mașinile virtuale folosesc adaptoare de rețea virtuale și switch-uri virtuale pentru a stabili conexiuni cu rețelele fizice. Dacă ați utilizat mașini virtuale care rulează pe VMware Workstation, este posibil să fiți familiarizat cu trei rețele virtuale implicite. Fiecare dintre ele utilizează un comutator virtual diferit:

• VMnet0 Bridged network – permite conectarea adaptorului de rețea virtual al unei VM la aceeași rețea ca și adaptorul de rețea al gazdei fizice.
• VMnet1 Host Only network – permite conectarea doar la o gazdă, utilizând o subrețea diferită.
• VMnet8 NAT network – utilizează o subrețea separată în spatele NAT și permite conectarea adaptorului virtual al VM prin NAT la aceeași rețea ca și adaptorul gazdei fizice.

Gazdele ESXi au, de asemenea, switch-uri virtuale, dar setările lor sunt diferite. Articolul de astăzi de pe blog explorează utilizarea comutatoarelor virtuale VMware pe gazdele VMware ESXi pentru conexiunile de rețea ale mașinilor virtuale.

Definiția vSwitch

Un comutator virtual este un program software – o țesătură de comutare logică care emulează un comutator ca un dispozitiv de rețea de nivel 2. Un comutator virtual asigură aceleași funcții ca un comutator obișnuit, cu excepția unor funcționalități avansate. Și anume, spre deosebire de comutatoarele fizice, un comutator virtual:

• Nu învață adresele MAC ale traficului de tranzit din rețeaua externă.
• Nu participă la protocoalele Spanning Tree.
• Nu poate crea o buclă de rețea pentru o conexiune de rețea redundantă.

Comutatoarele virtuale de laVMware se numesc vSwitches. vSwitches sunt utilizate pentru a asigura conexiuni între mașinile virtuale, precum și pentru a conecta rețelele virtuale și fizice. Un vSwitch utilizează un adaptor de rețea fizic (numit și NIC – Network Interface Controller) al gazdei ESXi pentru conectarea la rețeaua fizică. Este posibil să doriți să creați o rețea separată cu un vSwitch și o NIC fizică din motive de performanță și/sau securitate în următoarele cazuri:

• Conectarea spațiului de stocare, cum ar fi NAS sau SAN, la gazdele ESXi.
• Rețea vMotion pentru migrarea în direct a mașinilor virtuale între gazdele ESXi.
• Rețea de logare a toleranței la erori.

Dacă un răufăcător ar putea accesa una dintre mașinile virtuale din rețeaua unui vSwitch, acesta nu ar putea accesa stocarea partajată conectată la rețeaua și vSwitch-ul separat, chiar dacă acestea rezidă pe aceeași gazdă ESXi.

Schema de mai jos prezintă conexiunile de rețea ale mașinilor virtuale care rezidă pe o gazdă ESXi, vSwitch-urile, switch-urile fizice și stocarea partajată.

Puteți realiza o rețea segmentată pe un vSwitch existent prin crearea unor grupuri de porturi pentru diferite grupuri de mașini virtuale. Această abordare poate facilita gestionarea rețelelor mari.

Un grup de porturi este o agregare a mai multor porturi pentru o configurație comună și conectarea VM. Fiecare grup de porturi are o etichetă de rețea unică. De exemplu, în imaginea de mai jos, „VM Network” creat în mod implicit este un grup de porturi pentru mașinile virtuale invitate, în timp ce „Management Network” este un grup de porturi pentru adaptorul de rețea VMkernel al gazdei EXSi, cu care puteți gestiona ESXi. Pentru rețelele de stocare și vMotion, va trebui să conectați un adaptor VMkernel care poate avea o adresă IP diferită pentru fiecare rețea. Fiecare grup de porturi poate avea un ID VLAN.

Identificatorul VLAN este identificatorul unui VLAN (Virtual Local Area Network) care este utilizat pentru etichetarea VLAN. ID-urile VLAN pot fi setate de la 1 la 4094 (valorile 0 și 4095 sunt rezervate). Cu ajutorul VLAN, puteți diviza logic rețelele care există în același mediu fizic. VLAN se bazează pe standardul IEEE 802.1q și funcționează pe cel de-al doilea nivel al modelului OSI, a cărui unitate de date de protocol (PDU) este cadrul. O etichetă specială de 4 octeți este adăugată pentru cadrele Ethernet, mărindu-le de la 1518 octeți la 1522 octeți. Unitatea maximă de transmisie (MTU) este de 1500 de octeți; aceasta reprezintă dimensiunea maximă a pachetelor IP încapsulate fără fragmentare. Rutarea între rețelele IP se realizează în cel de-al treilea nivel al modelului OSI. Consultați diagrama de mai jos.

Care port dintr-un vSwitch poate avea un identificator VLAN de port (PVID). Porturile care au PVID-uri se numesc „porturi etichetate” sau „porturi truncate”. Un trunchi este o conexiune punct-la-punct între dispozitive de rețea care poate transmite date din mai multe VLAN-uri. Porturile fără PVID-uri se numesc porturi neetichetate – acestea pot transmite datele unui singur VLAN nativ. Porturile neetichetate sunt utilizate de obicei între switch-uri și dispozitive terminale, cum ar fi adaptoarele de rețea ale mașinilor utilizatorilor. De obicei, dispozitivele terminale nu știu nimic despre etichetele VLAN și funcționează cu cadre normale neetichetate. (Excepția este dacă mașina virtuală are configurată caracteristica „VMware Virtual Guest Tagging (VGT)”, caz în care etichetele sunt recunoscute).

Tipuri de comutatoare virtuale

Comutatoarele VMware vSwitch pot fi împărțite în două tipuri: comutatoare virtuale standard și comutatoare virtuale distribuite.

Un comutator standard vNetwork (vSwitch) este un comutator virtual care poate fi configurat pe o singură gazdă ESXi. În mod implicit, acest vSwitch are 120 de porturi. Numărul maxim de porturi per gazdă ESXi este de 4096.

Caracteristicile vSwitch-ului standard:

Descoperirea legăturii este o caracteristică care utilizează protocolul Cisco Discovery Protocol (CDP) pentru a aduna și trimite informații despre porturile de comutare conectate care pot fi utilizate pentru depanarea rețelei.

Setările de securitate vă permit să setați politici de securitate:

• Activarea opțiunii Promiscuous Mode permite adaptorului virtual invitat să asculte tot traficul, mai degrabă decât doar traficul de pe adresa MAC proprie a adaptorului.
• Cu opțiunea MAC Address Changes (Modificări adresă MAC), puteți permite sau interzice schimbarea adresei MAC a adaptorului de rețea virtual al unei mașini virtuale.
• Cu opțiunea Forged Transmits (Transmisiuni falsificate), puteți permite sau bloca trimiterea de cadre de ieșire cu adrese MAC diferite de cea setată pentru adaptorul mașinii virtuale.

NIC teaming. Două sau mai multe adaptoare de rețea pot fi unite într-o echipă și conectate în uplink la un switch virtual. Acest lucru mărește lățimea de bandă (agregarea legăturii) și asigură un failover pasiv în cazul în care unul dintre adaptoarele în echipă cade. Setările Load Balancing (Echilibrarea încărcării) vă permit să specificați un algoritm pentru distribuirea traficului între NIC-urile din echipă. Puteți seta o ordine de failover prin deplasarea adaptoarelor de rețea (care pot fi în modul „activ” sau „în așteptare”) în sus și în jos în listă. Un adaptor în așteptare devine activ în cazul unei defecțiuni a adaptorului activ.

Traffic shaping limitează lățimea de bandă a traficului de ieșire pentru fiecare adaptor de rețea virtual conectat la vSwitch. Puteți seta limite pentru lățimea de bandă medie (Kb/s), lățimea de bandă de vârf (Kb/s) și dimensiunea rafală (KB).

Politicile grupului de porturi, cum ar fi securitatea, NIC teaming și modelarea traficului, sunt moștenite în mod implicit de la politicile vSwitch-ului. Puteți suprascrie aceste politici configurându-le manual pentru grupurile de porturi.

Un vNetwork Distributed vSwitch (dvSwitch) este un comutator virtual care include caracteristicile vSwitch standard, oferind în același timp o interfață de administrare centralizată. dvSwitch-urile pot fi configurate numai în vCenter Server. Odată configurat în vCenter, un dvSwitch are aceleași setări pe toate gazdele ESXi definite în cadrul centrului de date, ceea ce facilitează gestionarea infrastructurilor virtuale mari – nu trebuie să configurați manual vSwitch-urile standard pe fiecare gazdă ESXi. Atunci când se utilizează un dvSwitch, VM-urile își păstrează stările de rețea și porturile de switch virtuale după migrarea între gazdele ESXi. Cantitatea maximă de porturi per dvSwitch este de 60.000. DvSwitch-ul utilizează adaptoarele de rețea fizice ale gazdei ESXi pe care se află mașinile virtuale pentru a le conecta cu rețeaua externă. VMware dvSwitch creează switch-uri proxy pe fiecare gazdă ESXi pentru a reprezenta aceleași setări. Notă: este necesară o licență Enterprise Plus pentru a utiliza caracteristica dvSwitch.

În comparație cu un vSwitch, dvSwitch-ul oferă un set mai larg de caracteristici:

• Managementul centralizat al rețelei. Puteți gestiona dvSwitch-ul pentru toate gazdele ESXi definite simultan cu vCenter.
• Configurarea traficului. Spre deosebire de vSwitch-ul standard, un dvSwitch suportă atât modelarea traficului de ieșire, cât și de intrare.
• Blocarea grupurilor de porturi. Puteți dezactiva trimiterea și/sau primirea de date pentru grupuri de porturi.
• Port mirroring. Această caracteristică dublează fiecare pachet de la un port la un port special cu un sistem SPAN (Switch Port Analyzer). Acest lucru vă poate permite să monitorizați traficul și să efectuați diagnosticarea rețelei.
• Politică pe port. Puteți seta politici specifice pentru fiecare port, nu numai pentru grupuri de porturi.
• Suport pentru protocolul LLDP (Link Layer Discovery Protocol). LLDP este un protocol neprotejat al doilea nivel care este util pentru monitorizarea rețelelor multi-vendor.
• Suport Netflow. Acest lucru vă permite să monitorizați informațiile despre traficul IP pe un switch distribuit, ceea ce poate fi util pentru depanare.

Acum că am explicat caracteristicile vSwitch-urilor standard și distribuite, haideți să discutăm despre cum să le implementăm.

Cum se creează și se configurează VMware vSwitches

În mod implicit, există un switch virtual pe o gazdă ESXi, cu două grupuri de porturi – VM Network și Management Network. Să creăm un nou vSwitch.

Adăugarea unui vSwitch standard

Conectați-vă la gazda ESXi cu vSphere Web Client și efectuați următoarele:

• Accesați Networking > Virtual switches.
• Click Add standard virtual switch.
• Setați numele vSwitch-ului („vSwitch2s”, în cazul nostru) și alte opțiuni, după cum este necesar. Apoi faceți clic pe butonul Add (Adăugare).

Nota: Dacă doriți să activați cadrele jumbo pentru a reduce fragmentarea pachetelor, puteți seta o valoare MTU (Maximum Transmission Unit) de 9.000 de octeți.

Adăugarea unui uplink

Adaugați un uplink pentru a asigura redundanța uplink-ului făcând următoarele:

• Accesați Networking > your vSwitch name > Actions > Add uplink.
• Select two NICs.
• Puteți seta și alte opțiuni aici, cum ar fi link discovery, securitate, NIC teaming și traffic shaping.
• Click pe butonul Save pentru a termina.

Puteți edita setările vSwitch-ului în orice moment făcând click pe Edit settings după selectarea vSwitch-ului dvs. în Networking > Virtual switches.

Adaugarea unui grup de porturi

Acum că ați creat un vSwitch, puteți crea un grup de porturi. Pentru a face acest lucru, urmați pașii următori:

• Accesați Networking > Port groups (Grupuri de porturi) și faceți clic pe Add port group (Adăugare grup de porturi).
• Setați numele grupului de porturi și ID-ul VLAN (dacă este necesar).
• Selectați switch-ul virtual pe care va fi creat acest grup de porturi.
• De asemenea, dacă doriți, puteți configura aici setările de securitate.
• Click pe butonul Add (Adăugare) pentru a termina.

Adaugarea unui NIC VMkernel

Dacă doriți să utilizați o rețea dedicată VM, o rețea de stocare, o rețea vMotion, o rețea de logare Fault Tolerance, etc., ar trebui să creați o NIC VMkernel pentru gestionarea grupului de porturi relevant. Stratul de rețea VMkernel gestionează traficul de sistem, precum și conectarea gazdelor ESXi între ele și cu vCenter.

Pentru a crea o NIC VMkernel, urmați acești pași:

• Accesați Networking > VMkernel NICs și faceți clic pe Add VMkernel NIC.
• Selectați grupul de porturi pe care doriți să creați NIC VMkernel.
• Configurați setările de rețea și serviciile pentru această NIC VMkernel așa cum vi se solicită.
• Faceți clic pe butonul Save (Salvare) pentru a finaliza.

Adaugarea unui Distributed vSwitch

Pentru a adăuga un dvSwitch, conectați-vă la vCenter cu clientul web vSphere și efectuați următoarele:

• Veziți la vCenter > numele centrului dvs. de date.
• Faceți clic dreapta pe centrul dvs. de date și selectați New Distributed Switch. Apare o fereastră a expertului.
• Setați numele și locația pentru dvSwitch-ul dumneavoastră. Faceți clic pe Next.
• Selectați versiunea dvSwitch care este compatibilă cu gazdele ESXi din centrul dumneavoastră de date. Faceți clic pe Next.
• Editați setările. Specificați numărul de porturi uplink, controlul intrării/ieșirii în rețea și grupul de porturi implicit. Faceți clic pe Next.
• În secțiunea Ready to complete, faceți clic pe Finish.

Acum puteți configura dvSwitch-ul pe care l-ați creat. Mergeți la Home > Networking > your Datacenter name > your dvSwitch name și selectați fila Manage. Captura de ecran arată caracteristicile și opțiunile pe care le puteți seta făcând clic pe ele.

În primul rând, gazdele ESXi trebuie să fie adăugate la switch-ul dvs. virtual distribuit:

• Click Action > Add and Manage Hosts. Se lansează o fereastră a expertului.
• În secțiunea Select task (Selectați sarcina), selectați „Add hosts” (Adăugați gazde) și faceți clic pe Next (Următorul).
• Click New host (Gazdă nouă) și selectați gazda (gazdele) ESXi pe care doriți să o (le) adăugați. Faceți clic pe OK. Bifați caseta din partea de jos a ferestrei dacă doriți să activați modul șablon. Apoi faceți clic pe Next.
• Dacă ați activat modul șablon, selectați o gazdă șablon. Setările de rețea ale gazdei șablon vor fi aplicate celorlalte gazde. Faceți clic pe Next.
• Selectați sarcinile adaptorului de rețea prin bifarea căsuțelor corespunzătoare. Puteți adăuga adaptoare de rețea fizice și/sau adaptoare de rețea VMkernel. Faceți clic pe Next (Următorul) atunci când sunteți gata să continuați.
• Adaugați adaptoare de rețea fizice la dvSwitch și atribuiți legăturile ascendente. Faceți clic pe Apply to all și apoi pe Next.
• Gestionați adaptoarele de rețea VMkernel. Pentru a crea un nou adaptor VMkernel, faceți clic pe New Adapter (Adaptor nou). Puteți selecta apoi un grup de porturi, o adresă IP și alte setări. După finalizarea acestui pas, faceți clic pe Next (Următorul).
• Vă este prezentată o analiză de impact. Verificați să vă asigurați că toate serviciile de rețea dependente funcționează corect și, dacă sunteți mulțumit, faceți clic pe Next (Următorul).
• În secțiunea Ready to complete (Gata de finalizare), revizuiți setările pe care le-ați selectat și faceți clic pe butonul Finish (Terminare) dacă sunteți mulțumit.

Pentru a adăuga un nou grup de porturi distribuite, urmați acești pași:

• Click Actions > New Distributed Port Group.
• Setați numele și locația grupului de porturi, apoi faceți clic pe Next.
• Configurați setările grupului de porturi. În acest pas, puteți configura legarea porturilor, alocarea porturilor, numărul de porturi, grupul de resurse de rețea și VLAN. Faceți clic pe Next (Următorul) atunci când sunteți gata.
• În secțiunea Ready to complete (Gata de finalizare), revizuiți setările pe care le-ați selectat și faceți clic pe butonul Finish (Terminare) dacă sunteți mulțumit.

Acum aveți gata configurația de bază dvSwitch. Puteți modifica setările în orice moment în scopul de a vă conforma cerințelor în schimbare.

Avantajele utilizării vSwitch-urilor

După ce am analizat modul de configurare a switch-urilor virtuale VMware, să rezumăm avantajele utilizării acestora:

• Separarea rețelelor cu VLAN-uri și routere, permițându-vă să restricționați accesul de la o rețea la alta.
• Securitate îmbunătățită.
• Administrare flexibilă a rețelei.
• Mai puține adaptoare de rețea hardware necesare pentru o conexiune de rețea redundantă (în comparație cu mașinile fizice).
• Mai ușor de migrat și implementat VM.

Concluzie

Switch-urile virtuale vă permit să gestionați conexiunile de rețea ale grupurilor de VM, să le monitorizați, să îmbunătățiți securitatea și să ușurați administrarea mediilor virtuale VMware vSphere. Comutatorul virtual distribuit include mai multe caracteristici decât comutatorul virtual standard și este preferabil pentru o infrastructură virtuală mai mare, cu un număr mare de gazde ESXi.

Indiferent de dimensiunea mediului virtual, ar trebui să utilizați o soluție de protecție a datelor care se integrează perfect cu VMware pentru a asigura o fiabilitate maximă. Aici, la NAKIVO, cunoaștem VMware pe dinăuntru și pe dinafară. Echipa noastră de experți a proiectat NAKIVO Backup & Replication special pentru a funcționa cu vSphere și ESXi. Acesta este motivul pentru care vă puteți aștepta la un backup VMware fără probleme, eficient și fiabil cu soluția noastră.

Probați singur în propriul mediu VMware: descărcați versiunea de încercare gratuită cu toate funcțiile.

.