Qu’est-ce que VMware vSwitch?

Les machines virtuelles se connectent à un réseau à peu près de la même manière que les machines physiques. La différence est que les VM utilisent des adaptateurs réseau virtuels et des commutateurs virtuels pour établir des connexions avec les réseaux physiques. Si vous avez utilisé des machines virtuelles fonctionnant sur VMware Workstation, vous connaissez peut-être trois réseaux virtuels par défaut. Chacun d’eux utilise un commutateur virtuel différent :

• VMnet0 Réseau ponté – permet la connexion de l’adaptateur réseau virtuel d’une VM au même réseau que l’adaptateur réseau de l’hôte physique.
• VMnet1 Réseau hôte uniquement – permet la connexion à un hôte uniquement, en utilisant un sous-réseau différent.
• VMnet8 NAT network – utilise un sous-réseau séparé derrière le NAT, et permet la connexion de l’adaptateur virtuel de la VM à travers le NAT au même réseau que l’adaptateur de l’hôte physique.

Les hôtes ESXi ont également des commutateurs virtuels, mais leurs paramètres sont différents. Le billet de blog d’aujourd’hui explore l’utilisation des commutateurs virtuels VMware sur les hôtes VMware ESXi pour les connexions réseau des machines virtuelles.

Définition du vSwitch

Un commutateur virtuel est un programme logiciel – une matrice de commutation logique qui émule un commutateur en tant que périphérique réseau de couche 2. Un commutateur virtuel assure les mêmes fonctions qu’un commutateur ordinaire, à l’exception de certaines fonctionnalités avancées. À savoir, contrairement aux commutateurs physiques, un commutateur virtuel :

• N’apprend pas les adresses MAC du trafic de transit du réseau externe.
• Ne participe pas aux protocoles Spanning Tree.
• Ne peut pas créer une boucle réseau pour une connexion réseau redondante.

Les commutateurs virtuels deVMware sont appelés vSwitches. Les vSwitches sont utilisés pour assurer les connexions entre les machines virtuelles ainsi que pour connecter les réseaux virtuels et physiques. Un vSwitch utilise une carte réseau physique (également appelée NIC – Network Interface Controller) de l’hôte ESXi pour la connexion au réseau physique. Vous pourriez vouloir créer un réseau séparé avec un vSwitch et une NIC physique pour des raisons de performance et/ou de sécurité dans les cas suivants :

• Connexion du stockage, tel que NAS ou SAN, aux hôtes ESXi.
• Réseau vMotion pour la migration en direct des machines virtuelles entre les hôtes ESXi.
• Réseau de journalisation de la tolérance aux pannes.

Si un malfaiteur pouvait accéder à l’une des machines virtuelles du réseau d’un vSwitch, il ne pourrait pas accéder au stockage partagé connecté au réseau et au vSwitch séparés, même s’ils résidaient sur le même hôte ESXi.

Le schéma ci-dessous montre les connexions réseau des VM résidant sur un hôte ESXi, les vSwitches, les commutateurs physiques et le stockage partagé.

Vous pouvez faire un réseau segmenté sur un vSwitch existant en créant des groupes de ports pour différents groupes de VM. Cette approche peut faciliter la gestion de grands réseaux.

Un groupe de ports est une agrégation de plusieurs ports pour une configuration commune et une connexion VM. Chaque groupe de ports a une étiquette réseau unique. Par exemple, dans la capture d’écran ci-dessous, le « Réseau VM » créé par défaut est un groupe de ports pour les machines virtuelles invitées, tandis que le « Réseau de gestion » est un groupe de ports pour l’adaptateur réseau VMkernel de l’hôte EXSi, avec lequel vous pouvez gérer l’ESXi. Pour les réseaux de stockage et de vMotion, vous devrez connecter un adaptateur VMkernel qui peut avoir une adresse IP différente pour chaque réseau. Chaque groupe de ports peut avoir un ID VLAN.

L’ID VLAN est l’identifiant d’un VLAN (réseau local virtuel) qui est utilisé pour le balisage VLAN. Les ID VLAN peuvent être définis de 1 à 4094 (les valeurs 0 et 4095 sont réservées). Avec le VLAN, vous pouvez diviser logiquement des réseaux qui existent dans le même environnement physique. VLAN est basé sur la norme IEEE 802.1q et fonctionne sur la deuxième couche du modèle OSI, dont l’unité de données du protocole (PDU) est la trame. Une balise spéciale de 4 octets est ajoutée aux trames Ethernet, les faisant passer de 1518 octets à 1522 octets. L’unité de transmission maximale (MTU) est de 1500 octets ; elle représente la taille maximale des paquets IP encapsulés sans fragmentation. Le routage entre les réseaux IP s’effectue sur la troisième couche du modèle OSI. Voir le diagramme ci-dessous.

Chaque port dans un vSwitch peut avoir un identifiant de VLAN de port (PVID). Les ports qui ont des PVID sont appelés « ports balisés » ou « ports à ressources partagées ». Un tronc commun est une connexion point à point entre des périphériques réseau qui peut transmettre les données de plusieurs VLAN. Les ports sans PVID sont appelés ports non balisés – ils peuvent transmettre les données d’un seul VLAN natif. Les ports non balisés sont généralement utilisés entre les commutateurs et les périphériques d’extrémité tels que les adaptateurs réseau des machines des utilisateurs. Les périphériques d’extrémité ne savent généralement rien des balises VLAN et fonctionnent avec des trames normales non balisées. (L’exception est si la machine virtuelle a la fonction « VMware Virtual Guest Tagging (VGT) » configurée, auquel cas les balises sont reconnues).

Types de commutateurs virtuels

Les vSwitches de VMware peuvent être divisés en deux types : les commutateurs virtuels standard et les commutateurs virtuels distribués.

Un commutateur standard vNetwork (vSwitch) est un commutateur virtuel qui peut être configuré sur un seul hôte ESXi. Par défaut, ce vSwitch dispose de 120 ports. Le nombre maximal de ports par hôte ESXi est de 4096.

Fonctions standard du vSwitch :

La découverte de liens est une fonctionnalité qui utilise le protocole de découverte Cisco (CDP) pour recueillir et envoyer des informations sur les ports de commutateur connectés qui peuvent être utilisées pour le dépannage du réseau.

Les paramètres de sécurité vous permettent de définir des politiques de sécurité :

• L’activation de l’option Promiscuous Mode permet à l’adaptateur virtuel invité d’écouter tout le trafic, plutôt que seulement le trafic sur la propre adresse MAC de l’adaptateur.
• Avec l’option MAC Address Changes, vous pouvez autoriser ou interdire la modification de l’adresse MAC de l’adaptateur réseau virtuel d’une VM.
• Avec l’option Forged Transmits, vous pouvez autoriser ou bloquer l’envoi de trames de sortie avec des adresses MAC différentes de celle définie pour l’adaptateur VM.

NIC teaming. Deux ou plusieurs adaptateurs réseau peuvent être réunis en une équipe et reliés à un commutateur virtuel. Cela augmente la bande passante (agrégation de liens) et fournit un basculement passif au cas où l’un des adaptateurs en équipe tomberait en panne. Les paramètres d’équilibrage de la charge vous permettent de spécifier un algorithme pour la distribution du trafic entre les NIC de l’équipe. Vous pouvez définir un ordre de basculement en déplaçant les adaptateurs réseau (qui peuvent être en mode « actif » ou « standby ») vers le haut et le bas de la liste. Un adaptateur de secours devient actif en cas de défaillance de l’adaptateur actif.

La mise en forme du trafic limite la bande passante du trafic sortant pour chaque adaptateur réseau virtuel connecté au vSwitch. Vous pouvez définir des limites pour la bande passante moyenne (Kb/s), la bande passante de pointe (Kb/s) et la taille des rafales (KB).

Les politiques de groupe de ports telles que la sécurité, le NIC teaming et la mise en forme du trafic sont héritées des politiques du vSwitch par défaut. Vous pouvez remplacer ces politiques en les configurant manuellement pour les groupes de ports.

Un vSwitch distribué vNetwork (dvSwitch) est un commutateur virtuel qui inclut les fonctionnalités standard de vSwitch tout en offrant une interface d’administration centralisée.Les dvSwitchs peuvent uniquement être configurés dans vCenter Server. Une fois configuré dans vCenter, un dvSwitch possède les mêmes paramètres sur tous les hôtes ESXi définis dans le centre de données, ce qui facilite la gestion des grandes infrastructures virtuelles – vous n’avez pas besoin de configurer manuellement les vSwitchs standard sur chaque hôte ESXi. Lorsque vous utilisez un dvSwitch, les machines virtuelles conservent leurs états de réseau et leurs ports de commutation virtuels après la migration entre les hôtes ESXi. Le nombre maximal de ports par dvSwitch est de 60 000. Le dvSwitch utilise les adaptateurs réseau physiques de l’hôte ESXi sur lequel résident les machines virtuelles pour les relier au réseau externe. Le dvSwitch VMware crée des commutateurs proxy sur chaque hôte ESXi pour représenter les mêmes paramètres. Remarque : une licence Enterprise Plus est requise pour utiliser la fonctionnalité dvSwitch.

Par rapport à un vSwitch, le dvSwitch offre un ensemble plus large de fonctionnalités :

• Gestion centralisée du réseau. Vous pouvez gérer le dvSwitch pour tous les hôtes ESXi définis simultanément avec vCenter.
• Formation du trafic. Contrairement au vSwitch standard, un dvSwitch prend en charge la mise en forme du trafic sortant et entrant.
• Blocage des groupes de ports. Vous pouvez désactiver l’envoi et/ou la réception de données pour les groupes de ports.
• Miroir de port. Cette fonctionnalité duplique chaque paquet d’un port vers un port spécial avec un système SPAN (Switch Port Analyzer). Cela peut vous permettre de surveiller le trafic et d’effectuer des diagnostics de réseau.
• Politique par port. Vous pouvez définir des politiques spécifiques pour chaque port, et pas seulement pour les groupes de ports.
• Support du protocole de découverte de couche de liaison (LLDP). LLDP est un protocole non propriétaire de deuxième couche qui est utile pour la surveillance des réseaux multifournisseurs.
• Support de Netflow. Cela vous permet de surveiller les informations de trafic IP sur un commutateur distribué, ce qui peut être utile pour le dépannage.

Maintenant que nous avons expliqué les caractéristiques des vSwitches standard et distribués, discutons de la façon de les mettre en œuvre.

Comment créer et configurer les vSwitches VMware

Par défaut, il y a un commutateur virtuel sur un hôte ESXi, avec deux groupes de ports – VM Network et Management Network. Créons un nouveau vSwitch.

Ajout d’un vSwitch standard

Connectez-vous à l’hôte ESXi avec vSphere Web Client et faites ce qui suit :

• Allez dans Mise en réseau > Commutateurs virtuels.
• Cliquez sur Ajouter un commutateur virtuel standard.
• Définissez le nom du vSwitch (« vSwitch2s », dans notre cas) et les autres options selon les besoins. Puis cliquez sur le bouton Ajouter.

Note : Si vous voulez que les trames jumbo soient activées pour réduire la fragmentation des paquets, vous pouvez définir une valeur MTU (unité de transmission maximale) de 9 000 octets.

Ajout d’une liaison montante

Ajoutez une liaison montante pour assurer la redondance de la liaison montante en procédant comme suit :

• Allez dans Réseau > votre nom de vSwitch > Actions >Ajoutez une liaison montante.
• Sélectionnez deux NIC.
• Vous pouvez également définir d’autres options ici, telles que la découverte de liens, la sécurité, l’équipe de NIC et la mise en forme du trafic.
• Cliquez sur le bouton Enregistrer pour terminer.

Vous pouvez modifier les paramètres du vSwitch à tout moment en cliquant sur Modifier les paramètres après avoir sélectionné votre vSwitch sous Mise en réseau > Commutateurs virtuels.

Ajout d’un groupe de ports

Maintenant que vous avez créé un vSwitch, vous pouvez créer un groupe de ports. Pour ce faire, suivez les étapes suivantes :

• Allez dans Réseau >Groupes de ports et cliquez sur Ajouter un groupe de ports.
• Définissez le nom du groupe de ports et l’ID VLAN (si nécessaire).
• Sélectionnez le commutateur virtuel sur lequel ce groupe de ports sera créé.
• Vous pouvez également configurer les paramètres de sécurité ici si vous le souhaitez.
• Cliquez sur le bouton Ajouter pour terminer.

Ajouter une NIC VMkernel

Si vous voulez utiliser un réseau VM dédié, un réseau de stockage, un réseau vMotion, un réseau de journalisation de tolérance aux pannes, etc, vous devez créer une NIC VMkernel pour la gestion du groupe de ports correspondant. La couche de mise en réseau VMkernel gère le trafic système, ainsi que la connexion des hôtes ESXi entre eux et avec vCenter.

Pour créer une NIC VMkernel, suivez ces étapes :

• Allez dans Mise en réseau >NIC VMkernel et cliquez sur Ajouter une NIC VMkernel.
• Sélectionnez le groupe de ports sur lequel vous voulez créer la carte réseau VMkernel.
• Configurez les paramètres et les services réseau pour cette carte réseau VMkernel comme demandé.
• Cliquez sur le bouton Enregistrer pour terminer.

Ajout d’un vSwitch distribué

Pour ajouter un dvSwitch, connectez-vous à vCenter avec votre client Web vSphere et effectuez les opérations suivantes :

• Allez dans vCenter >le nom de votre Datacenter.
• Cliquez avec le bouton droit sur votre centre de données et sélectionnez Nouveau commutateur distribué. Une fenêtre d’assistant apparaît.
• Définissez le nom et l’emplacement de votre dvSwitch. Cliquez sur Suivant.
• Sélectionnez la version du dvSwitch qui est compatible avec les hôtes ESXi au sein de votre centre de données. Cliquez sur Suivant.
• Modifiez les paramètres. Spécifiez le nombre de ports de liaison montante, le contrôle des entrées/sorties réseau et le groupe de ports par défaut. Cliquez sur Suivant.
• Dans la section Prêt à terminer, cliquez sur Terminer.

Vous pouvez maintenant configurer le dvSwitch que vous avez créé. Allez dans Accueil > Mise en réseau >nom de votre centre de données >nom de votre dvSwitch et sélectionnez l’onglet Gérer. La capture d’écran montre les fonctionnalités et les options que vous pouvez définir en cliquant dessus.

D’abord, les hôtes ESXi doivent être ajoutés à votre commutateur virtuel distribué :

• Cliquez sur l’action > Ajouter et gérer les hôtes. Une fenêtre d’assistant est lancée.
• Dans la section Sélectionner la tâche, sélectionnez « Ajouter des hôtes » et cliquez sur Suivant.
• Cliquez sur Nouvel hôte et sélectionnez le ou les hôtes ESXi que vous souhaitez ajouter. Cliquez sur OK. Cochez la case en bas de la fenêtre si vous voulez activer le mode modèle. Cliquez ensuite sur Suivant.
• Si vous avez activé le mode modèle, sélectionnez un hôte modèle. Les paramètres réseau de l’hôte modèle seront appliqués aux autres hôtes. Cliquez sur Suivant.
• Sélectionnez les tâches d’adaptateur réseau en cochant les cases appropriées. Vous pouvez ajouter des adaptateurs réseau physiques et/ou des adaptateurs réseau VMkernel. Cliquez sur Suivant lorsque vous êtes prêt à poursuivre.
• Ajouter des adaptateurs réseau physiques au dvSwitch et affecter les liaisons montantes. Cliquez sur Appliquer à tous, puis sur Suivant.
• Gérer les adaptateurs réseau VMkernel. Afin de créer un nouvel adaptateur VMkernel, cliquez sur Nouvel adaptateur. Vous pouvez ensuite sélectionner un groupe de ports, une adresse IP et d’autres paramètres. Après avoir terminé cette étape, cliquez sur Suivant.
• Une analyse d’impact vous est présentée. Vérifiez que tous les services réseau dépendants fonctionnent correctement, et si vous êtes satisfait, cliquez sur Suivant.
• Sous la section Prêt à terminer, passez en revue les paramètres que vous avez sélectionnés et cliquez sur le bouton Terminer si vous êtes satisfait.

Pour ajouter un nouveau groupe de ports distribués, suivez ces étapes :

• Cliquez sur Actions > Nouveau groupe de ports distribués.
• Définissez le nom et l’emplacement du groupe de ports, puis cliquez sur Suivant.
• Configurez les paramètres du groupe de ports. Dans cette étape, vous pouvez configurer la liaison des ports, l’allocation des ports, le nombre de ports, le pool de ressources réseau et le VLAN. Cliquez sur Suivant lorsque vous êtes prêt.
• Dans la section Prêt à terminer, examinez les paramètres que vous avez sélectionnés et cliquez sur le bouton Terminer si vous êtes satisfait.

Vous avez maintenant votre configuration de base du dvSwitch prête. Vous pouvez modifier les paramètres à tout moment pour vous conformer à l’évolution des demandes.

Les avantages de l’utilisation des vSwitches

Après avoir examiné comment configurer les commutateurs virtuels VMware, résumons les avantages de leur utilisation :

• Séparation des réseaux avec des VLAN et des routeurs, ce qui vous permet de restreindre l’accès d’un réseau à un autre.
• Sécurité améliorée.
• Gestion flexible du réseau.
• Moins d’adaptateurs réseau matériels nécessaires pour une connexion réseau redondante (par rapport aux machines physiques).
• Migration et déploiement plus faciles des VM.

Conclusion

Les commutateurs virtuels vous permettent de gérer les connexions réseau des groupes de VM, de les surveiller, d’améliorer la sécurité et de faciliter l’administration des environnements virtuels VMware vSphere. Le commutateur virtuel distribué comprend plus de fonctionnalités que le commutateur virtuel standard et est préférable pour une infrastructure virtuelle plus importante avec un nombre élevé d’hôtes ESXi.

Quelle que soit la taille de votre environnement virtuel, vous devez utiliser une solution de protection des données qui s’intègre parfaitement à VMware pour garantir une fiabilité maximale. Ici, chez NAKIVO, nous connaissons VMware sur le bout des doigts. Notre équipe d’experts a conçu NAKIVO Backup &Replication spécifiquement pour fonctionner avec vSphere et ESXi. C’est pourquoi vous pouvez vous attendre à une sauvegarde VMware transparente, efficace et fiable avec notre solution.

Essayez par vous-même dans votre propre environnement VMware : téléchargez l’essai gratuit complet.

.