Mikä on VMware vSwitch?

Virtuaaliset koneet kytkeytyvät verkkoon pitkälti samalla tavalla kuin fyysiset koneet. Erona on, että VM:t käyttävät virtuaalisia verkkosovittimia ja virtuaalisia kytkimiä muodostaakseen yhteydet fyysisiin verkkoihin. Jos olet käyttänyt VMware Workstationilla toimivia VM-koneita, saatat tuntea kolme oletusarvoista virtuaaliverkkoa. Kukin niistä käyttää eri virtuaalikytkintä:

• VMnet0 Bridged network – mahdollistaa VM:n virtuaalisen verkkosovittimen liittämisen samaan verkkoon kuin fyysisen isäntäkoneen verkkosovitin.
• VMnet1 Host Only -verkko – mahdollistaa yhteyden muodostamisen vain isäntäkoneeseen käyttämällä eri aliverkkoa.
• VMnet8 NAT-verkko – käyttää NAT:n takana erillistä aliverkkoa ja mahdollistaa VM:n virtuaalisen verkkosovittimen liittämisen NAT:n kautta samaan verkkoon kuin fyysisen isännän verkkosovitin.

ESXi-isännillä on myös virtuaaliset kytkimet, mutta niiden asetukset ovat erilaiset. Tämänpäiväisessä blogikirjoituksessa tarkastellaan VMware-virtuaalikytkimien käyttöä VMware ESXi-isännissä virtuaalikoneiden verkkoyhteyksiin.

Virtuaalikytkimen määritelmä

Virtuaalikytkin on ohjelmisto – looginen kytkentäkangas, joka emuloi kytkintä layer-2 -verkkolaitteena. Virtuaalikytkin varmistaa samat toiminnot kuin tavallinen kytkin, lukuun ottamatta joitakin kehittyneitä toimintoja. Nimittäin toisin kuin fyysiset kytkimet, virtuaalikytkin:

• Ei opi ulkoisesta verkosta tulevan kauttakulkuliikenteen MAC-osoitteita.
• Ei osallistu Spanning Tree -protokolliin.
• Ei voi luoda verkon silmukkaa redundanttia verkkoyhteyttä varten.

VMwaren virtuaalisia kytkimiä kutsutaan nimellä v-kytkimet (engl. vSwitches). v-kytkimien avulla voidaan turvata virtuaalikoneiden välisiä yhteyksiä sekä yhdistää virtuaalisia ja fyysisiä verkkoja. vSwitch käyttää ESXi-isännän fyysistä verkkosovitinta (kutsutaan myös nimellä NIC – Network Interface Controller) yhteyden muodostamiseen fyysiseen verkkoon. Voit haluta luoda erillisen verkon, jossa on vSwitch ja fyysinen NIC, suorituskyky- ja/tai turvallisuussyistä seuraavissa tapauksissa:

• Tallennustilan, kuten NAS:n tai SAN:n, liittäminen ESXi-isäntiin.
• vMotion-verkko virtuaalikoneiden live-siirtoa varten ESXi-isäntien välillä.
• Vikasietoisuuslokiverkko.

Jos pahantekijä pääsisi käsiksi johonkin yhden vSwitchin verkossa olevaan virtuaalikoneeseen, hän ei pääsisi käsiksi erilliseen verkkoon ja vSwitchiin liitettyyn jaettuun tallennustilaan, vaikka ne sijaitsisivat samassa ESXi-isännässä.

Alla olevassa kaaviossa näkyvät ESXi-isännässä sijaitsevien VM-koneiden verkkoyhteydet, vSwitchit, fyysiset kytkimet ja jaettu tallennus.

Olemassa olevaan vSwitchiin voi tehdä segmentoidun verkon luomalla porttiryhmiä eri VM-ryhmille. Tämä lähestymistapa voi helpottaa suurten verkkojen hallintaa.

Porttiryhmä on useiden porttien yhdistelmä yhteistä konfigurointia ja VM-yhteyttä varten. Jokaisella porttiryhmällä on yksilöllinen verkkotunniste. Esimerkiksi alla olevassa kuvassa oletusarvoisesti luotu ”VM-verkko” on porttiryhmä vierasvirtuaalikoneita varten, kun taas ”Hallintaverkko” on porttiryhmä EXSi-isännän VMkernel-verkkosovitinta varten, jolla voit hallita ESXi:tä. Tallennus- ja vMotion-verkkoja varten sinun on liitettävä VMkernel-sovitin, jolla voi olla eri IP-osoite kutakin verkkoa varten. Jokaisella porttiryhmällä voi olla VLAN-tunnus.

VLAN-tunnus on VLAN:n (Virtual Local Area Network, virtuaalinen lähiverkko) tunniste, jota käytetään VLAN-tunnisteisiin. VLAN-tunnukset voidaan määrittää 1:stä 4094:ään (arvot 0 ja 4095 on varattu). VLANin avulla voit jakaa loogisesti samassa fyysisessä ympäristössä olevat verkot. VLAN perustuu IEEE 802.1q -standardiin ja toimii OSI-mallin toisella kerroksella, jonka PDU (Protocol Data Unit) on kehys. Ethernet-kehyksiin liitetään erityinen neljän tavun tunniste, joka kasvattaa ne 1518 tavusta 1522 tavuun. Suurin siirtoyksikkö (MTU) on 1500 tavua; tämä on kapseloitujen IP-pakettien enimmäiskoko ilman pirstoutumista. IP-verkkojen välinen reititys tapahtuu OSI-mallin kolmannella kerroksella. Katso alla oleva kaavio.

VSwitchin jokaisella portilla voi olla Port VLAN Identifier (PVID). Portteja, joilla on PVID-tunnukset, kutsutaan nimellä ”tagged portit” tai ”trunked portit”. Trunk on verkkolaitteiden välinen point-to-point-yhteys, joka voi välittää useiden VLANien tietoja. Portteja, joilla ei ole PVID-tunnusta, kutsutaan merkitsemättömiksi porteiksi – ne voivat välittää vain yhden alkuperäisen VLAN:n tietoja. Tunnistamattomia portteja käytetään yleensä kytkimien ja päätelaitteiden, kuten käyttäjäkoneiden verkkosovittimien, välillä. Päätelaitteet eivät yleensä tiedä mitään VLAN-tunnisteista, ja ne toimivat tavallisilla merkitsemättömillä kehyksillä. (Poikkeuksena on, jos virtuaalikoneessa on määritetty ”VMware Virtual Guest Tagging (VGT)” -ominaisuus, jolloin tunnisteet tunnistetaan).

Virtuaalikytkinten tyypit

VMware vSwitchit voidaan jakaa kahteen tyyppiin: vakiomuotoisiin virtuaalikytkimiin ja hajautettuihin virtuaalikytkimiin.

Vakiomuotoinen vSwitch (vNetwork Standard Switch) eli vVerkko-kytkin (vSwitch) on virtuaalikytkin, joka voidaan konfiguroida yksittäiseen ESXi-isäntäkoneeseen. Oletusarvoisesti tässä vSwitchissä on 120 porttia. Porttien enimmäismäärä ESXi-isäntää kohti on 4096.

Vakioverkon vSwitch-ominaisuudet:

Linkkihavainto on ominaisuus, joka käyttää Cisco Discovery Protocol (CDP) -protokollaa (Cisco Discovery Protocol) kerätäkseen ja lähettäessään tietoja kytketyistä kytkinporteista, joita voidaan käyttää verkon vianmääritykseen.

Turvallisuusasetusten avulla voit määrittää suojauskäytäntöjä:

• Promiscuous Mode -vaihtoehdon ottaminen käyttöön antaa virtuaalisen vierassovittimen kuunnella kaikkea liikennettä eikä vain sovittimen oman MAC-osoitteen liikennettä.
• Vaihtoehdolla MAC Address Changes voit sallia tai estää VM:n virtuaalisen verkkosovittimen MAC-osoitteen muuttamisen.
• Vaihtoehdolla Forged Transmits (Väärennetyt lähetykset) voit sallia tai estää sellaisten ulostulokehysten lähettämisen, joiden MAC-osoite poikkeaa VM:n sovittimelle määritetystä MAC-osoitteesta.

NIC-tiimitys. Kaksi tai useampia verkkosovittimia voidaan yhdistää tiimiksi ja uplinkata virtuaaliseen kytkimeen. Tämä lisää kaistanleveyttä (linkkien yhdistäminen) ja tarjoaa passiivisen vikasietoisuuden, jos yksi tiimiin yhdistetyistä sovittimista menee epäkuntoon. Load Balancing (Kuormituksen tasaus) -asetusten avulla voit määrittää algoritmin, jolla liikenne jaetaan tiimin verkkokorttien välillä. Voit määrittää vikasietojärjestyksen siirtämällä verkkosovittimia (jotka voivat olla ”aktiivisessa” tai ”valmiustilassa”) luettelossa ylös ja alas. Varasovittimesta tulee aktiivinen, jos aktiivinen sovitin vikaantuu.

Traffic shaping rajoittaa lähtevän liikenteen kaistanleveyttä kunkin vSwitchiin liitetyn virtuaalisen verkkosovittimen osalta. Voit asettaa rajoituksia keskimääräiselle kaistanleveydelle (Kb/s), huippukaistanleveydelle (Kb/s) ja burst-koolle (KB).

Porttiryhmäkäytännöt, kuten tietoturva, verkkokorttiryhmien ryhmittely ja liikenteen muotoilu, periytyvät oletusarvoisesti vSwitchin käytännöistä. Voit ohittaa nämä käytännöt määrittelemällä ne manuaalisesti porttiryhmille.

Verkon hajautettu vSwitch (vNetwork Distributed vSwitch, dvSwitch) on virtuaalikytkin, joka sisältää vSwitchin vakio-ominaisuudet ja tarjoaa samalla keskitetyn hallintakäyttöliittymän. dvSwitchit voidaan määrittää vain vCenter Serverissä. Kun dvSwitch on määritetty vCenterissä, dvSwitchillä on samat asetukset kaikissa datakeskuksen määritellyissä ESXi-isännissä, mikä helpottaa suurten virtuaalisten infrastruktuurien hallintaa – vakiomuotoisia vSwitchejä ei tarvitse määrittää manuaalisesti jokaisessa ESXi-isännässä. Kun käytetään dvSwitchiä, VM:t säilyttävät verkkotilansa ja virtuaaliset kytkinporttinsa ESXi-isäntien välisen siirron jälkeen. Porttien enimmäismäärä dvSwitchiä kohden on 60 000. dvSwitch käyttää sen ESXi-isännän fyysisiä verkkosovittimia, jossa virtuaalikoneet sijaitsevat, niiden yhdistämiseen ulkoiseen verkkoon. VMware dvSwitch luo proxy-kytkimet jokaiseen ESXi-isäntään edustamaan samoja asetuksia. Huomautus: dvSwitch-ominaisuuden käyttäminen edellyttää Enterprise Plus -lisenssiä.

Vertailtuna vSwitchiin dvSwitch tarjoaa laajemman valikoiman ominaisuuksia:

• Keskitetty verkon hallinta. Voit hallita dvSwitchiä kaikkien määriteltyjen ESXi-isäntien osalta samanaikaisesti vCenterillä.
• Liikenteen muotoilu. Toisin kuin tavallinen vSwitch, dvSwitch tukee sekä lähtevän että saapuvan liikenteen muotoilua.
• Porttiryhmien esto. Voit estää porttiryhmien tietojen lähettämisen ja/tai vastaanottamisen.
• Porttipeilaus. Tämä ominaisuus kopioi jokaisen paketin portista erityiseen porttiin SPAN (Switch Port Analyzer) -järjestelmällä. Tämän avulla voit seurata liikennettä ja suorittaa verkkodiagnostiikkaa.
• Porttikohtainen käytäntö. Voit asettaa erityiskäytäntöjä kullekin portille, ei vain porttiryhmille.
• Link Layer Discovery Protocol (LLDP) -tuki. LLDP on toisen kerroksen ei-proprietäärinen protokolla, joka on hyödyllinen usean valmistajan verkkojen valvonnassa.
• Netflow-tuki. Tämän avulla voit seurata IP-liikennetietoja hajautetussa kytkimessä, mikä voi olla hyödyllistä vianmäärityksessä.

Nyt kun olemme selittäneet vakiomuotoisten ja hajautettujen vSwitchien ominaisuudet, keskustelemme siitä, miten ne otetaan käyttöön.

Miten luodaan ja konfiguroidaan VMware vSwitchit

Oletusarvoisesti ESXi-isännässä on yksi virtuaalikytkin, ja siinä on kaksi porttiryhmää – VM-verkko (VM-verkkoon liittyen) ja hallintaverkko (Management Network). Luodaan uusi vSwitch.

Vakiomuotoisen vSwitchin lisääminen

Kytke yhteys ESXi-isäntään vSphere Web Client -ohjelmalla ja toimi seuraavasti:

• Mene kohtaan Networking > Virtual switches.
• Napsauta Add standard virtual switch.
• Aseta vSwitch Name (”vSwitch2s”, meidän tapauksessamme) ja muut asetukset tarpeen mukaan. Napsauta sitten Lisää-painiketta.

Huomautus: Jos haluat ottaa jumbokehykset käyttöön pakettien pirstaloitumisen vähentämiseksi, voit asettaa MTU-arvoksi (Maximum Transmission Unit) 9 000 tavua.

Ylälinkin lisääminen

Lisää ylälinkki ylälinkin redundanssin varmistamiseksi seuraavasti:

• Mene kohtaan Networking > vSwitchin nimi > Actions > Add uplink.
• Valitse kaksi verkkokorttia.
• Voit määrittää tässä myös muita asetuksia, kuten linkin havaitsemisen, suojauksen, NIC-tiimityön ja liikenteen muotoilun.
• Klikkaa Tallenna-painiketta viimeistelläksesi.

Voit muokata vSwitch-asetuksia milloin tahansa klikkaamalla Muokkaa asetuksia sen jälkeen, kun olet valinnut vSwitchisi kohdasta Verkko > Virtuaaliset kytkimet.

Porttiryhmän lisääminen

Nyt kun olet luonut vSwitchin, voit luoda porttiryhmän. Toimi tätä varten seuraavasti:

• Mene kohtaan Verkko > Porttiryhmät ja napsauta Lisää porttiryhmä.
• Määritä porttiryhmän nimi ja VLAN-tunnus (tarvittaessa).
• Valitse virtuaalikytkin, johon tämä porttiryhmä luodaan.
• Voit halutessasi määrittää myös suojausasetukset tässä.
• Klikkaa lopuksi Lisää-painiketta.

VMkernel NIC:n lisääminen

Jos haluat käyttää dedikoitua VM-verkkoa, tallennusverkkoa, vMotion-verkkoa, Fault Tolerance -lokitusverkkoa jne, sinun on luotava VMkernel NIC kyseisen porttiryhmän hallintaa varten. VMkernel-verkkokerros käsittelee järjestelmäliikennettä sekä yhdistää ESXi-isännät toisiinsa ja vCenteriin.

Luo VMkernel NIC -verkkokortti seuraavasti:

• Mene kohtaan Networking > VMkernel NICs (Verkkokortit) ja napsauta Add VMkernel NIC.
• Valitse porttiryhmä, johon haluat luoda VMkernel NIC:n.
• Konfiguroi tämän VMkernel NIC:n verkkoasetukset ja -palvelut pyydettäessä.
• Klikkaa lopuksi Tallenna-painiketta.

Vemkernel NIC:n lisääminen virtuaalikytkimen porttiryhmään

Jakautetun vSwitchin lisääminen

Lisääksesi dvSwitchin kirjaudu vCenteriin vSphere-verkko-asiakasohjelmallasi ja tee seuraavat toimet:

• Mene osoitteeseen: VMkernel NIC:n lisääminen virtuaalisen kytkimen porttiryhmään
  

  Distributed vSwitch

  Mene osoitteeseen: VMkernel NIC:n lisääminen

  Tietokeskuksessasi.

• Klikkaa datakeskustasi hiiren kakkospainikkeella ja valitse New Distributed Switch. Ohjattu ikkuna tulee näkyviin.
• Määritä nimi ja sijainti dvSwitchillesi. Valitse Seuraava.
• Valitse dvSwitch-versio, joka on yhteensopiva konesalissasi olevien ESXi-isäntien kanssa. Napsauta Next.
• Muokkaa asetuksia. Määritä uplink-porttien määrä, verkon tulon/lähtöohjaus ja oletusporttiryhmä. Napsauta Next (Seuraava).
• Napsauta Ready to complete (Valmis) -osiossa Finish (Valmis).

Nyt voit määrittää luomasi dvSwitchin. Siirry kohtaan Home > Networking > Your Datacenter name > your dvSwitch name ja valitse Manage (Hallitse) -välilehti. Kuvakaappauksessa näkyvät ominaisuudet ja vaihtoehdot, jotka voit määrittää napsauttamalla niitä.

Ensin ESXi-isännät on lisättävä hajautettuun virtuaalikytkimeen:

• Napsauta Action > Add and Manage Hosts. Ohjattu ikkuna käynnistyy.
• Valitse Select task (Valitse tehtävä) -osiossa ”Add hosts” (Lisää isännät) ja napsauta Next (Seuraava).
• Napsauta New host (Uusi isäntä) ja valitse ESXi-isäntä tai -isännät, jotka haluat lisätä. Napsauta OK. Rastita ikkunan alaosassa oleva ruutu, jos haluat ottaa mallitilan käyttöön. Napsauta sitten Seuraava.
• Jos olet ottanut mallitilan käyttöön, valitse malli-isäntä. Malli-isännän verkkoasetuksia sovelletaan muihin isäntiin. Napsauta Seuraava.
• Valitse verkkosovittimen tehtävät merkitsemällä asianmukaiset valintaruudut. Voit lisätä fyysisiä verkkosovittimia ja/tai VMkernel-verkkosovittimia. Napsauta Seuraava, kun olet valmis jatkamaan.
• Lisää fyysiset verkkosovittimet dvSwitchiin ja määritä uplinkit. Napsauta Apply to all (Käytä kaikkiin) ja sitten Next (Seuraava).
• Hallitse VMkernel-verkkosovittimia. Voit luoda uuden VMkernel-sovittimen valitsemalla Uusi sovitin. Voit sitten valita porttiryhmän, IP-osoitteen ja muut asetukset. Kun olet suorittanut tämän vaiheen, valitse Seuraava.
• Sinulle esitetään vaikutusanalyysi. Tarkista, että kaikki riippuvaiset verkkopalvelut toimivat oikein, ja jos olet tyytyväinen, napsauta Seuraava-painiketta.
• Kohdassa Valmis, tarkista valitsemasi asetukset ja napsauta Valmis-painiketta, jos olet tyytyväinen.

Jos haluat lisätä uuden hajautetun porttiryhmän, noudata seuraavia ohjeita:

• Klikkaa Toiminnot > Uusi hajautettu porttiryhmä.
• Määritä porttiryhmän nimi ja sijainti ja napsauta sitten Seuraava-painiketta.
• Määritä porttiryhmän asetukset. Tässä vaiheessa voit määrittää porttisidonnan, porttijaon, porttien määrän, verkkoresurssipoolien ja VLAN:n. Napsauta Next (Seuraava) -painiketta, kun olet valmis.
• Katsele Valmis-osiossa valitsemasi asetukset läpi ja napsauta Finish (Valmis) -painiketta, jos olet tyytyväinen.

DvSwitchin peruskokoonpano on nyt valmis. Voit muuttaa asetuksia milloin tahansa, jos haluat mukautua muuttuviin vaatimuksiin.

Vv-kytkimien käytön edut

Katsottuasi, miten VMware-virtuaalikytkimet asetetaan, tehdään yhteenveto niiden käytön eduista:

• Verkkojen erottelu VLANien ja reitittimien avulla, jolloin voit rajoittaa pääsyä verkosta toiseen.
• Turvallisuuden parantaminen.
• Joustava verkonhallinta.
• Redundanttia verkkoyhteyttä varten tarvitaan vähemmän laitteistoverkkosovittimia (verrattuna fyysisiin koneisiin).
• Virtuaalisten koneiden helpompi migraatio ja käyttöönotto.

Johtopäätökset

Virtuaalisten kytkimien avulla voit hallita VM-ryhmien verkkoyhteyksiä, valvoa niitä, parantaa tietoturvaa ja helpottaa hallinnointia virtuaaliympäristöissä, jotka on tarkoitettu VMware VMware vSphere. Hajautettu virtuaalikytkin sisältää enemmän ominaisuuksia kuin tavallinen virtuaalikytkin, ja se on suositeltavampi suuremmissa virtuaali-infrastruktuureissa, joissa on suuri määrä ESXi-isäntiä.

Virtuaaliympäristön koosta riippumatta kannattaa käyttää tietosuojaratkaisua, joka integroituu saumattomasti VMwareen maksimaalisen luotettavuuden varmistamiseksi. Me NAKIVOlla tunnemme VMwaren läpikotaisin. Asiantuntijatiimimme on suunnitellut NAKIVO Backup & Replicationin erityisesti vSphere- ja ESXi-järjestelmien kanssa toimivaksi. Siksi voit odottaa saumatonta, tehokasta ja luotettavaa VMware-varmuuskopiointia ratkaisumme avulla.

Kokeile itse omassa VMware-ympäristössäsi: lataa täysimittainen ilmainen kokeiluversio.