Co je VMware vSwitch?

Virtuální počítače se připojují k síti podobně jako ty fyzické. Rozdíl je v tom, že virtuální počítače používají k navázání spojení s fyzickými sítěmi virtuální síťové adaptéry a virtuální přepínače. Pokud jste používali virtuální počítače spuštěné v prostředí VMware Workstation, možná znáte tři výchozí virtuální sítě. Každá z nich používá jiný virtuální přepínač:

• VMnet0 Přemostěná síť – umožňuje připojení virtuálního síťového adaptéru virtuálního počítače ke stejné síti jako síťový adaptér fyzického hostitele.
• VMnet1 Síť pouze pro hostitele – umožňuje připojení pouze k hostiteli pomocí jiné podsítě.
• Síť VMnet8 NAT – používá samostatnou podsíť za NAT a umožňuje připojení virtuálního adaptéru virtuálního počítače přes NAT ke stejné síti jako adaptér fyzického hostitele.

Hostitelé ESXi mají také virtuální přepínače, ale jejich nastavení se liší. Dnešní příspěvek na blogu se zabývá použitím virtuálních přepínačů VMware na hostitelích VMware ESXi pro síťová připojení virtuálních počítačů.

Definice vSwitch

Virtuální přepínač je softwarový program – logická přepínací struktura, která emuluje přepínač jako síťové zařízení druhé vrstvy. Virtuální přepínač zajišťuje stejné funkce jako běžný přepínač, s výjimkou některých pokročilých funkcí. Konkrétně na rozdíl od fyzických přepínačů virtuální přepínač:

• Nezjišťuje adresy MAC tranzitního provozu z vnější sítě.
• Neúčastní se protokolů Spanning Tree.
• Nemůže vytvořit síťovou smyčku pro redundantní síťové připojení.

Virtuální přepínače VMware se nazývají vSwitches. vSwitches slouží k zajištění spojení mezi virtuálními počítači a také k propojení virtuálních a fyzických sítí. Přepínač vSwitch využívá pro připojení k fyzické síti fyzický síťový adaptér (nazývaný také NIC – Network Interface Controller) hostitele ESXi. Samostatnou síť s přepínačem vSwitch a fyzickou kartou NIC můžete chtít vytvořit z výkonnostních a/nebo bezpečnostních důvodů v následujících případech:

• Připojení úložiště, například NAS nebo SAN, k hostitelům ESXi.
• síť vMotion pro živou migraci virtuálních počítačů mezi hostiteli ESXi.
• Síť pro protokolování tolerance poruch.

Pokud by zloduch získal přístup k jednomu z virtuálních počítačů v síti jednoho vSwitch, nemohl by získat přístup ke sdílenému úložišti připojenému k samostatné síti a vSwitchi, i kdyby se nacházely na stejném hostiteli ESXi.

Následující schéma zobrazuje síťová připojení virtuálních počítačů umístěných na hostiteli ESXi, přepínače vSwitch, fyzické přepínače a sdílené úložiště.

Segmentovanou síť na existujícím přepínači vSwitch můžete vytvořit vytvořením skupin portů pro různé skupiny virtuálních počítačů. Tento přístup může usnadnit správu velkých sítí.

Skupina portů je agregace více portů pro společnou konfiguraci a připojení virtuálních počítačů. Každá skupina portů má jedinečné síťové označení. Například na sceenshotu níže je „VM Network“ vytvořená ve výchozím nastavení skupinou portů pro hostované virtuální počítače, zatímco „Management Network“ je skupina portů pro síťový adaptér VMkernel hostitele EXSi, pomocí kterého můžete spravovat ESXi. Pro sítě úložiště a vMotion je třeba připojit adaptér VMkernel, který může mít pro každou síť jinou adresu IP. Každá skupina portů může mít ID VLAN.

ID VLAN je identifikátor sítě VLAN (Virtual Local Area Network), který se používá pro označování VLAN. ID VLAN lze nastavit v rozsahu 1 až 4094 (hodnoty 0 a 4095 jsou vyhrazeny). Pomocí VLAN lze logicky rozdělit sítě, které existují ve stejném fyzickém prostředí. VLAN vychází ze standardu IEEE 802.1q a pracuje na druhé vrstvě modelu OSI, jejíž datovou jednotkou protokolu (PDU) je rámec. K ethernetovým rámcům se připojuje speciální čtyřbytová značka, která je zvětšuje z 1518 bajtů na 1522 bajtů. Maximální přenosová jednotka (MTU) je 1500 bajtů; představuje maximální velikost zapouzdřených paketů IP bez fragmentace. Směrování mezi sítěmi IP se provádí na třetí vrstvě modelu OSI. Viz schéma níže.

Každý port ve vSwitchi může mít identifikátor PVID (Port VLAN Identifier). Porty, které mají PVID, se nazývají „označené porty“ nebo „sdružené porty“. Kmenová síť je spojení mezi síťovými zařízeními typu bod-bod, které může přenášet data z více sítí VLAN. Porty bez PVID se nazývají neoznačené porty – mohou přenášet data pouze jedné nativní sítě VLAN. Neoznačené porty se obvykle používají mezi přepínači a koncovými zařízeními, jako jsou síťové adaptéry uživatelských počítačů. Koncová zařízení obvykle o značkách VLAN nic nevědí a pracují s běžnými neznačenými rámci. (Výjimkou je případ, kdy je ve virtuálním počítači nakonfigurována funkce „VMware Virtual Guest Tagging (VGT)“, v takovém případě jsou značky rozpoznány).

Typy virtuálních přepínačů

Přepínače VMware vSwitch lze rozdělit na dva typy: standardní virtuální přepínače a distribuované virtuální přepínače.

Standardní přepínač vNetwork (vSwitch) je virtuální přepínač, který lze nakonfigurovat na jednom hostiteli ESXi. Ve výchozím nastavení má tento vSwitch 120 portů. Maximální počet portů na hostitele ESXi je 4096.

Funkce standardního přepínače vSwitch:

Link discovery je funkce, která používá protokol Cisco Discovery Protocol (CDP) ke shromažďování a odesílání informací o připojených portech přepínače, které lze použít při řešení problémů v síti.

Nastavení zabezpečení umožňuje nastavit zásady zabezpečení:

• Zapnutí možnosti Promiskuitní režim umožňuje virtuálnímu adaptéru hosta naslouchat veškerému provozu, nikoli pouze provozu na vlastní adrese MAC adaptéru.
• Pomocí možnosti Změny adresy MAC můžete povolit nebo zakázat změnu adresy MAC virtuálního síťového adaptéru virtuálního počítače.
• Pomocí možnosti Falešné přenosy můžete povolit nebo zablokovat odesílání výstupních rámců s jinými adresami MAC, než jsou nastaveny pro adaptér virtuálního počítače.

NIC teaming. Dva nebo více síťových adaptérů lze spojit do týmu a připojit je k virtuálnímu přepínači. Tím se zvýší šířka pásma (agregace linek) a zajistí se pasivní převzetí služeb při selhání v případě výpadku jednoho z týmových adaptérů. Nastavení Vyrovnávání zátěže umožňuje určit algoritmus rozdělování provozu mezi síťové karty v týmu. Pořadí převzetí služeb při selhání lze nastavit přesouváním síťových adaptérů (které mohou být v režimu „active“ nebo „standby“) nahoru a dolů v seznamu. Pohotovostní adaptér se stane aktivním v případě selhání aktivního adaptéru.

Traffic shaping omezuje šířku pásma odchozího provozu pro každý virtuální síťový adaptér připojený k vSwitchi. Můžete nastavit limity pro průměrnou šířku pásma (Kb/s), špičkovou šířku pásma (Kb/s) a velikost burstů (KB).

Zásady skupiny portů, jako je zabezpečení, NIC teaming a traffic shaping, se ve výchozím nastavení dědí ze zásad vSwitch. Tyto zásady lze přepsat ruční konfigurací pro skupiny portů.

Přepínač vNetwork Distributed vSwitch (dvSwitch) je virtuální přepínač, který obsahuje standardní funkce vSwitch a zároveň nabízí centralizované rozhraní pro správu. dvSwitch lze konfigurovat pouze v aplikaci vCenter Server. Po konfiguraci ve vCenter má dvSwitch stejné nastavení na všech definovaných hostitelích ESXi v rámci datového centra, což usnadňuje správu rozsáhlých virtuálních infrastruktur – nemusíte ručně nastavovat standardní vSwitch na každém hostiteli ESXi. Při použití přepínače dvSwitch si virtuální počítače po migraci mezi hostiteli ESXi zachovávají své síťové stavy a porty virtuálních přepínačů. Maximální počet portů na jeden dvSwitch je 60 000. Přepínač dvSwitch používá fyzické síťové adaptéry hostitele ESXi, na kterém jsou virtuální počítače umístěny, k jejich propojení s vnější sítí. VMware dvSwitch vytváří proxy přepínače na každém hostiteli ESXi, které reprezentují stejné nastavení. Poznámka: Pro použití funkce dvSwitch je vyžadována licence Enterprise Plus.

V porovnání s přepínačem vSwitch poskytuje dvSwitch širší sadu funkcí:

• Centralizovaná správa sítě. Pomocí vCenter můžete spravovat dvSwitch pro všechny definované hostitele ESXi současně.
• Tvarování provozu. Na rozdíl od standardního vSwitch podporuje dvSwitch tvarování odchozího i příchozího provozu.
• Blokování skupin portů. Můžete zakázat odesílání a/nebo příjem dat pro skupiny portů.
• Zrcadlení portů. Tato funkce duplikuje každý paket z portu na zvláštní port se systémem SPAN (Switch Port Analyzer). To vám může umožnit monitorovat provoz a provádět diagnostiku sítě.
• Podle zásad pro jednotlivé porty. Můžete nastavit konkrétní zásady pro každý port, nejen pro skupiny portů.
• Podpora protokolu LLDP (Link Layer Discovery Protocol). LLDP je neproprietární protokol druhé vrstvy, který je užitečný pro monitorování sítí více dodavatelů.
• Podpora Netflow. To umožňuje sledovat informace o provozu IP na distribuovaném přepínači, což může být užitečné při řešení problémů.

Teď, když jsme si vysvětlili funkce standardních a distribuovaných přepínačů vSwitch, probereme, jak je implementovat.

Jak vytvořit a konfigurovat přepínače VMware vSwitch

Ve výchozím nastavení je na hostiteli ESXi jeden virtuální přepínač se dvěma skupinami portů – VM Network a Management Network. Vytvořme nový přepínač vSwitch.

Přidání standardního přepínače vSwitch

Připojte se k hostiteli ESXi pomocí webového klienta vSphere a proveďte následující kroky:

• Přejděte na položku Networking > Virtual switches.
• Klikněte na možnost Přidat standardní virtuální přepínač.
• Nastavte název vSwitch Name („vSwitch2s“, v našem případě) a další možnosti podle potřeby. Poté klikněte na tlačítko Přidat.

Poznámka: Pokud chcete povolit jumbo rámce pro snížení fragmentace paketů, můžete nastavit hodnotu MTU (maximální přenosová jednotka) 9 000 bajtů.

Přidání uplinku

Přidání uplinku pro zajištění redundance uplinku proveďte následujícím způsobem:

• Přejděte na Networking > název vašeho vSwitch > Actions > Add uplink.
• Vyberte dvě síťové karty.
• Můžete zde také nastavit další možnosti, například zjišťování spojení, zabezpečení, sdružování síťových karet a tvarování provozu.
• Kliknutím na tlačítko Uložit akci ukončete.

Nastavení přepínače vSwitch můžete kdykoli upravit kliknutím na tlačítko Upravit nastavení po výběru přepínače vSwitch v části Sítě > Virtuální přepínače.

Přidání skupiny portů

Když jste vytvořili vSwitch, můžete vytvořit skupinu portů. Za tímto účelem postupujte podle následujících kroků:

• Přejděte do části Sítě > Skupiny portů a klikněte na tlačítko Přidat skupinu portů.
• Nastavte název skupiny portů a ID VLAN (pokud je potřeba).
• Vyberte virtuální přepínač, na kterém bude tato skupina portů vytvořena.
• Pokud chcete, můžete zde také nakonfigurovat nastavení zabezpečení.
• Kliknutím na tlačítko Add (Přidat) akci dokončete.

Přidání síťové karty virtuálního jádra

Pokud chcete použít vyhrazenou síť virtuálního počítače, síť úložiště, síť vMotion, síť pro protokolování Fault Tolerance atd, měli byste vytvořit síťovou kartu VMkernel NIC pro správu příslušné skupiny portů. Síťová vrstva VMkernel zpracovává systémový provoz a také propojuje hostitele ESXi mezi sebou a s vCenter.

Chcete-li vytvořit síťovou kartu VMkernel NIC, postupujte podle následujících kroků:

• Přejděte do části Networking > VMkernel NICs a klikněte na tlačítko Add VMkernel NIC.
• Zvolte skupinu portů, na které chcete vytvořit síťovou kartu VMkernel NIC.
• Konfigurujte síťová nastavení a služby pro tuto síťovou kartu VMkernel NIC podle výzvy.
• Kliknutím na tlačítko Uložit akci dokončete.

Přidání distribuovaného přepínače vSwitch

Pro přidání přepínače dvSwitch se přihlaste do aplikace vCenter pomocí webového klienta vSphere a proveďte následující kroky:

• Přejděte do aplikace vCenter > název vašeho datového centra.
• Klikněte pravým tlačítkem myši na své datové centrum a vyberte možnost Nový distribuovaný přepínač. Zobrazí se okno průvodce.
• Zadejte název a umístění vašeho dvSwitch. Klepněte na tlačítko Další.
• Vyberte verzi dvSwitch, která je kompatibilní s hostiteli ESXi ve vašem datovém centru. Klikněte na tlačítko Další.
• Upravte nastavení. Zadejte počet portů uplinku, řízení síťového vstupu/výstupu a výchozí skupinu portů. Klikněte na tlačítko Další.
• V části Připraveno k dokončení klikněte na tlačítko Dokončit.

Nyní můžete nakonfigurovat vytvořený dvSwitch. Přejděte na Home > Networking > název vašeho datového centra > název vašeho dvSwitch a vyberte kartu Manage. Na obrázku jsou zobrazeny funkce a možnosti, které můžete nastavit kliknutím na ně.

Nejprve je třeba do distribuovaného virtuálního přepínače přidat hostitele ESXi:

• Klikněte na akci > Přidat a spravovat hostitele. Spustí se okno průvodce.
• V části Vybrat úlohu vyberte možnost „Přidat hostitele“ a klikněte na tlačítko Další.
• Klikněte na možnost Nový hostitel a vyberte hostitele ESXi, které chcete přidat. Klikněte na tlačítko OK. Pokud chcete povolit režim šablony, zaškrtněte políčko v dolní části okna. Poté klikněte na tlačítko Další.
• Pokud jste režim šablon povolili, vyberte hostitele šablony. Síťová nastavení šablonového hostitele se použijí na ostatní hostitele. Klepněte na tlačítko Další.
• Zvolte úlohy síťového adaptéru zaškrtnutím příslušných políček. Můžete přidat fyzické síťové adaptéry a/nebo síťové adaptéry jádra VM. Až budete připraveni pokračovat, klikněte na tlačítko Další.
• Přidejte fyzické síťové adaptéry k dvSwitchi a přiřaďte uplinky. Klikněte na tlačítko Použít na všechny a poté na tlačítko Další.
• Správa síťových adaptérů VMkernel. Chcete-li vytvořit nový adaptér VMkernel, klikněte na tlačítko New Adapter. Poté můžete vybrat skupinu portů, IP adresu a další nastavení. Po dokončení tohoto kroku klikněte na tlačítko Další.
• Zobrazí se vám analýza dopadu. Zkontrolujte, zda všechny závislé síťové služby fungují správně, a pokud jste spokojeni, klikněte na tlačítko Další.
• V části Připraveno k dokončení zkontrolujte vybraná nastavení a pokud jste spokojeni, klikněte na tlačítko Dokončit.

Chcete-li přidat novou distribuovanou skupinu portů, postupujte podle následujících kroků:

• Klikněte na Akce > Nová distribuovaná skupina portů.
• Zadejte název a umístění skupiny portů a klikněte na tlačítko Další.
• Konfigurujte nastavení skupiny portů. V tomto kroku můžete nakonfigurovat vazbu portů, přidělení portů, počet portů, fond síťových prostředků a VLAN. Až budete připraveni, klikněte na tlačítko Další.
• V části Připraveno k dokončení zkontrolujte vybraná nastavení, a pokud jste spokojeni, klikněte na tlačítko Dokončit.

Tímto jste připravili základní konfiguraci přepínače dvSwitch. Nastavení můžete kdykoli změnit z důvodu přizpůsobení se měnícím se požadavkům.

Výhody používání vSwitchů

Po zvážení způsobu nastavení virtuálních přepínačů VMware si shrňme výhody jejich používání:

• Oddělení sítí pomocí VLAN a směrovačů, což vám umožní omezit přístup z jedné sítě do druhé.
• Zlepšení zabezpečení.
• Pružná správa sítě.
• Méně hardwarových síťových adaptérů potřebných pro redundantní síťové připojení (ve srovnání s fyzickými počítači).
• Snadnější migrace a nasazení virtuálních počítačů.

Závěr

Virtuální přepínače umožňují spravovat síťová připojení skupin virtuálních počítačů, monitorovat je, zlepšit zabezpečení a usnadnit správu virtuálních prostředí VMware vSphere. Distribuovaný virtuální přepínač obsahuje více funkcí než standardní virtuální přepínač a je vhodnější pro větší virtuální infrastrukturu s vysokým počtem hostitelů ESXi.

Bez ohledu na velikost virtuálního prostředí byste měli používat řešení ochrany dat, které se bez problémů integruje s prostředím VMware, aby byla zajištěna maximální spolehlivost. Ve společnosti NAKIVO známe VMware zevnitř i zvenčí. Náš tým odborníků navrhl produkt NAKIVO Backup & Replication speciálně pro práci s prostředími vSphere a ESXi. Proto můžete s naším řešením očekávat bezproblémové, efektivní a spolehlivé zálohování VMware.

Vyzkoušejte si to sami ve svém vlastním prostředí VMware: stáhněte si plnohodnotnou zkušební verzi zdarma.