Hvad er VMware vSwitch?

Virtuelle maskiner opretter forbindelse til et netværk på samme måde som fysiske maskiner gør. Forskellen er, at de virtuelle maskiner bruger virtuelle netværksadaptere og virtuelle switche til at etablere forbindelser med fysiske netværk. Hvis du har brugt VM’er, der kører på VMware Workstation, er du måske bekendt med tre virtuelle standardnetværk. Hvert af dem bruger en anden virtuel switch:

• VMnet0 Bridged network – giver mulighed for at forbinde en VM’s virtuelle netværksadapter til det samme netværk som den fysiske værts netværksadapter.
• VMnet1 Host Only network – giver kun mulighed for at oprette forbindelse til en vært ved at bruge et andet undernet.
• VMnet8 NAT-netværk – bruger et separat undernet bag NAT’en og tillader tilslutning af den virtuelle VM’s virtuelle adapter gennem NAT’en til det samme netværk som den fysiske værts adapter.

ESXi-værter har også virtuelle switche, men deres indstillinger er forskellige. Dagens blogindlæg udforsker brugen af VMware virtuelle switches på VMware ESXi-værter til netværksforbindelser til virtuelle maskiner.

Definition af vSwitch

En virtuel switch er et softwareprogram – et logisk switching fabric, der emulerer en switch som en lag 2-netværksenhed. En virtuel switch sikrer de samme funktioner som en almindelig switch, med undtagelse af nogle avancerede funktionaliteter. I modsætning til fysiske switche, kan en virtuel switch nemlig:

• ikke lære MAC-adresserne for transittrafik fra det eksterne netværk.
• ikke deltage i Spanning Tree-protokoller.
• ikke oprette en netværkssløjfe til redundant netværksforbindelse.

VMwares virtuelle switche kaldes vSwitches. vSwitches bruges til at sikre forbindelser mellem virtuelle maskiner samt til at forbinde virtuelle og fysiske netværk. En vSwitch bruger et fysisk netværksadapter (også kaldet NIC – Network Interface Controller) på ESXi-værten til at oprette forbindelse til det fysiske netværk. Det kan være ønskeligt at oprette et separat netværk med en vSwitch og et fysisk NIC af ydelses- og/eller sikkerhedshensyn i følgende tilfælde:

• Anslutning af storage, f.eks. NAS eller SAN, til ESXi-værter.
• vMotion-netværk til live-migration af virtuelle maskiner mellem ESXi-værter.
• Faultolerance-logningsnetværk.

Hvis en ondsindet person kunne få adgang til en af de virtuelle maskiner i et vSwitch-netværk, ville han eller hun ikke kunne få adgang til den delte lagring, der er forbundet med det separate netværk og vSwitch, selv om de befandt sig på den samme ESXi-vært.

Skemaet nedenfor viser netværksforbindelserne for de virtuelle maskiner, der befinder sig på en ESXi-vært, vSwitches, fysiske switche og delt lagerplads.

Du kan lave et segmenteret netværk på en eksisterende vSwitch ved at oprette portgrupper til forskellige VM-grupper. Denne fremgangsmåde kan gøre det lettere at administrere store netværk.

En portgruppe er en samling af flere porte til fælles konfiguration og VM-forbindelse. Hver portgruppe har et unikt netværksetiket. I sceenshotet nedenfor er “VM Network”, der er oprettet som standard, f.eks. en portgruppe til virtuelle gæstemaskiner, mens “Management Network” er en portgruppe til EXSi-værtens VMkernel-netværksadapter, som du kan administrere ESXi med. For storage- og vMotion-netværk skal du tilslutte et VMkernel-adapter, der kan have en anden IP-adresse for hvert netværk. Hver portgruppe kan have et VLAN-id.

VLAN-id’et er identifikatoren for et VLAN (Virtual Local Area Network), der bruges til VLAN-tagging. VLAN-id’er kan indstilles fra 1 til 4094 (værdierne 0 og 4095 er reserveret). Med VLAN kan du logisk opdele netværk, der findes i det samme fysiske miljø, i logiske netværk. VLAN er baseret på IEEE 802.1q-standarden og opererer på det andet lag i OSI-modellen, hvis Protocol Data Unit (PDU) er frame. Der tilføjes et særligt 4-byte-tag til Ethernet-rammer, som udvider dem fra 1518 bytes til 1522 bytes. Den maksimale transmissionsenhed (MTU) er 1500 bytes; dette svarer til den maksimale størrelse af indkapslede IP-pakker uden fragmentering. Routing mellem IP-netværk foregår på det tredje lag i OSI-modellen. Se diagrammet nedenfor.

Hver port i en vSwitch kan have en Port VLAN Identifier (PVID). Porte, der har PVID’er, kaldes “taggede porte” eller “trunkede porte”. En trunk er en punkt-til-punkt-forbindelse mellem netværksenheder, der kan overføre data fra flere VLAN’er. Porte uden PVID’er kaldes untagged-porte – de kan kun overføre data fra ét oprindeligt VLAN. Untagged-porte anvendes typisk mellem switche og slutpunktsenheder som f.eks. netværksadaptere på brugermaskiner. Slutpunktsenhederne kender normalt ikke noget til VLAN-tags, og de opererer med normale untagged frames. (Undtagelsen er, hvis den virtuelle maskine har funktionen “VMware Virtual Guest Tagging (VGT)” konfigureret, i så fald genkendes tagsene).

Typer af virtuelle switche

VMware vSwitches kan opdeles i to typer: virtuelle standard-switche og distribuerede virtuelle switche.

En vNetwork Standard Switch (vSwitch) er en virtuel switch, der kan konfigureres på en enkelt ESXi-vært. Som standard har denne vSwitch 120 porte. Det maksimale antal porte pr. ESXi-vært er 4096.

Standard vSwitch-funktioner:

Link discovery er en funktion, der bruger Cisco Discovery Protocol (CDP) til at indsamle og sende oplysninger om tilsluttede switchporte, som kan bruges til fejlfinding af netværk.

Sikkerhedsindstillinger giver dig mulighed for at angive sikkerhedspolitikker:

• Ved aktivering af indstillingen Promiscuous Mode kan den virtuelle gæsteadapter lytte til al trafik i stedet for kun trafikken på adapterens egen MAC-adresse.
• Med indstillingen MAC-adresseændringer kan du tillade eller forbyde ændring af MAC-adressen på en virtuel VM’s virtuelle netværkskort.
• Med indstillingen Forged Transmits kan du tillade eller blokere afsendelse af outputrammer med andre MAC-adresser end den, der er indstillet for VM-adapteren.

NIC teaming. To eller flere netværksadaptere kan forenes i et team og uplinkes til en virtuel switch. Dette øger båndbredden (link aggregation) og giver en passiv failover i tilfælde af, at en af de teamede adaptere går ned. Indstillingerne for belastningsbalancering giver dig mulighed for at angive en algoritme til trafikfordeling mellem NIC’er i teamet. Du kan indstille en failover-rækkefølge ved at flytte netværksadaptere (som kan være i “aktiv” eller “standby”-tilstand) op og ned på listen. En standby-adapter bliver aktiv i tilfælde af fejl i den aktive adapter.

Traffic shaping begrænser båndbredden for udgående trafik for hver virtuel netværksadapter, der er tilsluttet vSwitch’en. Du kan indstille grænser for gennemsnitlig båndbredde (Kb/s), spidsbåndbredde (Kb/s) og burst-størrelse (KB).

Portgruppepolitikker som f.eks. sikkerhed, NIC-teaming og trafikformning arves som standard fra vSwitch-politikkerne. Du kan tilsidesætte disse politikker ved at konfigurere dem manuelt for portgrupper.

En vNetwork Distributed vSwitch (dvSwitch) er en virtuel switch, der indeholder standard vSwitch-funktioner og samtidig tilbyder en centraliseret administrationsgrænseflade. dvSwitches kan kun konfigureres i vCenter Server. Når en dvSwitch er konfigureret i vCenter, har den de samme indstillinger på alle definerede ESXi-værter i datacenteret, hvilket letter administrationen af store virtuelle infrastrukturer – du behøver ikke at konfigurere standard vSwitches manuelt på hver enkelt ESXi-vært. Når du bruger en dvSwitch, beholder VM’er deres netværkstilstande og virtuelle switchporte efter migration mellem ESXi-værter. Det maksimale antal porte pr. dvSwitch er 60.000. dvSwitch bruger de fysiske netværksadaptere på den ESXi-vært, som de virtuelle maskiner befinder sig på, til at forbinde dem med det eksterne netværk. VMware dvSwitch opretter proxy-switche på hver ESXi-vært for at repræsentere de samme indstillinger. Bemærk: Der kræves en Enterprise Plus-licens for at bruge dvSwitch-funktionen.

Sammenlignet med en vSwitch giver dvSwitch et bredere sæt funktioner:

• Centraliseret netværksadministration. Du kan administrere dvSwitch for alle definerede ESXi-værter samtidigt med vCenter.
• Trafikformning. I modsætning til standard vSwitch understøtter en dvSwitch både udgående og indgående trafikformning.
• Blokering af portgrupper. Du kan deaktivere afsendelse og/eller modtagelse af data for portgrupper.
• Portspejling. Denne funktion duplikerer hver pakke fra en port til en særlig port med et SPAN-system (Switch Port Analyzer). Dette kan give dig mulighed for at overvåge trafikken og udføre netværksdiagnostik.
• Per portpolitik. Du kan indstille specifikke politikker for hver port, ikke kun for portgrupper.
• Understøttelse af Link Layer Discovery Protocol (LLDP). LLDP er en ikke-proprietær protokol i andet lag, som er nyttig til overvågning af netværk med flere leverandører.
• Netflow-understøttelse. Dette giver dig mulighed for at overvåge IP-trafikoplysninger på en distribueret switch, hvilket kan være nyttigt til fejlfinding.

Nu da vi har forklaret funktionerne ved standard- og distribuerede vSwitches, skal vi diskutere, hvordan de skal implementeres.

Sådan oprettes og konfigureres VMware vSwitches

Som standard er der én virtuel switch på en ESXi-vært med to portgrupper – VM Network og Management Network. Lad os oprette en ny vSwitch.

Oprettelse af en standard vSwitch

Opret forbindelse til ESXi-værten med vSphere Web Client, og gør følgende:

• Gå til Netværk > Virtuelle switche.
• Klik på Tilføj virtuel standard switch.
• Sæt vSwitch-navnet (“vSwitch2s”, i vores tilfælde) og andre indstillinger efter behov. Klik derefter på knappen Tilføj.

Bemærk: Hvis du vil have jumbo frames aktiveret for at reducere fragmentering af pakker, kan du indstille en MTU-værdi (Maximum Transmission Unit) på 9.000 bytes.

Føj et uplink til

Føj et uplink til for at sikre uplinkredundans ved at gøre følgende:

• Gå til Netværk > dit vSwitch-navn > Handlinger > Handlinger > Tilføj uplink.
• Vælg to NIC’er.
• Du kan også indstille andre indstillinger her, f.eks. link discovery, sikkerhed, NIC teaming og traffic shaping.
• Klik på knappen Gem for at afslutte.

Du kan til enhver tid redigere vSwitch-indstillingerne ved at klikke på Rediger indstillinger efter valg af din vSwitch under Networking > Virtual switches.

Tilføjelse af en portgruppe

Nu, hvor du har oprettet en vSwitch, kan du oprette en portgruppe. For at gøre dette skal du følge disse trin:

• Gå til Netværk > Portgrupper, og klik på Tilføj portgruppe.
• Sæt navnet på portgruppen og VLAN-ID (hvis nødvendigt).
• Vælg den virtuelle switch, som denne portgruppe skal oprettes på.
• Du kan også konfigurere sikkerhedsindstillingerne her, hvis du ønsker det.
• Klik på knappen Tilføj for at afslutte.

Optagelse af et VMkernel NIC

Hvis du ønsker at bruge et dedikeret VM-netværk, lagringsnetværk, vMotion-netværk, fejltolerance-logningsnetværk osv, skal du oprette et VMkernel NIC til administration af den relevante portgruppe. VMkernel-netværkslaget håndterer systemtrafik, samt forbinder ESXi-værter med hinanden og med vCenter.

For at oprette et VMkernel NIC skal du følge disse trin:

• Gå til Networking > VMkernel NICs, og klik på Add VMkernel NIC.
• Vælg den portgruppe, som du vil oprette VMkernel NIC’en på.
• Konfigurer netværksindstillingerne og tjenesterne for denne VMkernel NIC som anmodet.
• Klik på knappen Gem for at afslutte.

Optagelse af en distribueret vSwitch

For at tilføje en dvSwitch skal du logge på vCenter med din vSphere-webklient og gøre følgende:

• Gå til vCenter > dit datacenternavn.
• Højreklik på dit datacenter, og vælg Ny distribueret switch. Der vises et vindue i guiden.
• Sæt navnet og placeringen for din dvSwitch. Klik på Næste.
• Vælg den dvSwitch-version, der er kompatibel med ESXi-værterne i dit datacenter. Klik på Næste.
• Rediger indstillingerne. Angiv antallet af uplink-porte, netværksind-/udgangskontrol og standardportgruppen. Klik på Næste.
• I afsnittet Klar til færdiggørelse skal du klikke på Afslut.

Nu kan du konfigurere den dvSwitch, du har oprettet. Gå til Hjem > Netværk > dit Datacenter-navn > dit dvSwitch-navn, og vælg fanen Administrer. Skærmbilledet viser de funktioner og indstillinger, du kan indstille ved at klikke på dem.

Først skal ESXi-værterne tilføjes til din distribuerede virtuelle switch:

• Klik på Handling > Tilføj og administrér værter. Der åbnes et guidenetværk.
• I afsnittet Vælg opgave skal du vælge “Tilføj værter” og klikke på Næste.
• Klik på Ny vært, og vælg den eller de ESXi-værter, du vil tilføje. Klik på OK. Markér afkrydsningsfeltet nederst i vinduet, hvis du vil aktivere skabelontilstand. Klik derefter på Næste.
• Hvis du har aktiveret skabelontilstand, skal du vælge en skabelonvært. Skabelonværtens netværksindstillinger vil blive anvendt på de andre værter. Klik på Næste.
• Vælg netværksadapteropgaver ved at markere de relevante felter. Du kan tilføje fysiske netværksadaptere og/eller VMkernel-netværksadaptere. Klik på Næste, når du er klar til at fortsætte.
• Føj fysiske netværksadaptere til dvSwitch, og tildel uplinks. Klik på Anvend på alle og derefter på Næste.
• Håndter VMkernel-netværksadaptere. For at oprette en ny VMkernel-adapter skal du klikke på Ny adapter. Du kan derefter vælge en portgruppe, IP-adresse og andre indstillinger. Når du har gennemført dette trin, skal du klikke på Næste.
• Du bliver præsenteret for en konsekvensanalyse. Kontroller, at alle afhængige netværkstjenester fungerer korrekt, og hvis du er tilfreds, skal du klikke på Næste.
• Under afsnittet Klar til færdiggørelse skal du gennemgå de indstillinger, du har valgt, og klikke på knappen Afslut, hvis du er tilfreds.

For at tilføje en ny distribueret portgruppe skal du følge disse trin:

• Klik på Handlinger > Ny distribueret portgruppe.
• Angiv navnet og placeringen for portgruppen, og klik derefter på Næste.
• Konfigurer indstillingerne for portgruppen. I dette trin kan du konfigurere portbinding, portallokering, antal porte, netværksressourcepulje og VLAN. Klik på Næste, når du er klar.
• Under afsnittet Klar til færdiggørelse skal du gennemgå de indstillinger, du har valgt, og klikke på knappen Afslut, hvis du er tilfreds.

Du har nu din grundlæggende dvSwitch-konfiguration klar. Du kan til enhver tid ændre indstillingerne med henblik på at overholde ændrede krav.

Fordelene ved at bruge vSwitches

Når vi har overvejet, hvordan du konfigurerer virtuelle VMware-switches, kan vi opsummere fordelene ved at bruge dem:

• Separation af netværk med VLAN’er og routere, så du kan begrænse adgangen fra det ene netværk til det andet.
• Forbedret sikkerhed.
• Fleksibel netværksadministration.
• Flere hardwarenetværkskort, der er nødvendige for redundant netværksforbindelse (sammenlignet med fysiske maskiner).
• Enklere migrering og implementering af virtuelle maskiner.

Slutning

Virtuelle switche giver dig mulighed for at administrere netværksforbindelserne for VM-grupper, overvåge dem, forbedre sikkerheden og gøre administrationen lettere for virtuelle VMware vSphere-miljøer. Den distribuerede virtuelle switch indeholder flere funktioner end den virtuelle standard-switch og er at foretrække til en større virtuel infrastruktur med et stort antal ESXi-værter.

Uanset størrelsen af dit virtuelle miljø bør du bruge en databeskyttelsesløsning, der integrerer problemfrit med VMware, for at sikre maksimal pålidelighed. Her hos NAKIVO kender vi VMware ud og ind. Vores team af eksperter har designet NAKIVO Backup & Replication specifikt til at arbejde med vSphere og ESXi. Derfor kan du forvente problemfri, effektiv og pålidelig VMware-backup med vores løsning.

Test selv i dit eget VMware-miljø: download den gratis prøveversion med alle funktioner.