Mi a VMware vSwitch?

A virtuális gépek ugyanúgy csatlakoznak a hálózathoz, mint a fizikai gépek. A különbség az, hogy a VM-ek virtuális hálózati adaptereket és virtuális kapcsolókat használnak a fizikai hálózatokkal való kapcsolat létrehozásához. Ha használt már VMware Workstation rendszeren futó VM-eket, akkor ismerős lehet önnek három alapértelmezett virtuális hálózat. Mindegyik más-más virtuális kapcsolót használ:

• VMnet0 Bridged network – lehetővé teszi a VM virtuális hálózati adapterének a fizikai állomás hálózati adapterével azonos hálózathoz való kapcsolódását.
• VMnet1 Host Only network – csak egy állomáshoz való kapcsolódást tesz lehetővé, egy másik alhálózat használatával.
• VMnet8 NAT hálózat – külön alhálózatot használ a NAT mögött, és lehetővé teszi a VM virtuális adapterének a NAT-on keresztül a csatlakozást ugyanahhoz a hálózathoz, mint a fizikai állomás adaptere.

Az ESXi hosztok is rendelkeznek virtuális kapcsolókkal, de ezek beállításai eltérőek. A mai blogbejegyzés a VMware virtuális kapcsolók használatát vizsgálja a VMware ESXi hosztokon a virtuális gépek hálózati kapcsolataihoz.

A vSwitch definíciója

A virtuális kapcsoló egy szoftverprogram – egy logikai kapcsolószövet, amely egy kapcsolót emulál, mint layer-2 hálózati eszközt. A virtuális kapcsoló ugyanazokat a funkciókat biztosítja, mint egy hagyományos kapcsoló, néhány fejlett funkció kivételével. Nevezetesen, a fizikai kapcsolókkal ellentétben a virtuális kapcsoló:

• Nem tanulja meg a külső hálózatból a tranzitforgalom MAC-címeit.
• Nem vesz részt a Spanning Tree protokollokban.
• Nem hozhat létre hálózati hurkot a redundáns hálózati kapcsolathoz.

A VMware virtuális kapcsolóit vSwitcheknek nevezik. A vSwitcheket a virtuális gépek közötti kapcsolatok biztosítására, valamint a virtuális és fizikai hálózatok összekapcsolására használják. A vSwitch az ESXi host fizikai hálózati adapterét (más néven NIC – Network Interface Controller) használja a fizikai hálózathoz való csatlakozáshoz. A következő esetekben teljesítmény és/vagy biztonsági okokból érdemes lehet külön hálózatot létrehozni vSwitch és fizikai NIC segítségével:

• Tárolók, például NAS vagy SAN csatlakoztatása az ESXi hosztokhoz.
• vMotion hálózat a virtuális gépek ESXi hosztok közötti élő migrációjához.
• Fault Tolerance logging hálózat.

Ha egy rosszindulatú támadó hozzáférne az egyik vSwitch hálózatában lévő virtuális gépek egyikéhez, akkor sem tudna hozzáférni a külön hálózathoz és vSwitchhez csatlakoztatott megosztott tárolóhoz, még akkor sem, ha azok ugyanazon az ESXi állomáson találhatóak.

Az alábbi séma az ESXi állomáson található VM-ek hálózati kapcsolatait, a vSwitcheket, a fizikai kapcsolókat és a megosztott tárolót mutatja.

Egy meglévő vSwitch-en szegmentált hálózatot hozhat létre a különböző VM-csoportokhoz tartozó portcsoportok létrehozásával. Ez a megközelítés megkönnyítheti a nagy hálózatok kezelését.

A portcsoport több port összevonása a közös konfigurációhoz és VM-kapcsolathoz. Minden portcsoport egyedi hálózati címkével rendelkezik. Például az alábbi sceenshotban az alapértelmezés szerint létrehozott “VM Network” a vendég virtuális gépek portcsoportja, míg a “Management Network” az EXSi host VMkernel hálózati adapterének portcsoportja, amellyel az ESXi-t lehet kezelni. A tárolási és vMotion hálózatokhoz egy VMkernel-adaptert kell csatlakoztatnia, amelynek minden hálózathoz más IP-címe lehet. Minden portcsoportnak lehet VLAN azonosítója.

A VLAN azonosító a VLAN (virtuális helyi hálózat) azonosítója, amelyet a VLAN-címkézéshez használnak. A VLAN ID-k 1 és 4094 között állíthatók be (a 0 és 4095 értékek foglaltak). A VLAN segítségével logikailag feloszthatja az azonos fizikai környezetben létező hálózatokat. A VLAN az IEEE 802.1q szabványon alapul, és az OSI-modell második rétegén működik, amelynek PDU-ja (Protocol Data Unit) a keret. Az Ethernet-keretekhez egy speciális 4 bájtos címkét csatolnak, amely 1518 bájtról 1522 bájtra bővíti azokat. A maximális átviteli egység (MTU) 1500 bájt; ez jelenti a kapszulázott IP-csomagok maximális méretét töredezettség nélkül. Az IP-hálózatok közötti útválasztás az OSI-modell harmadik rétegén történik. Lásd az alábbi ábrát.

A vSwitch minden portja rendelkezhet Port VLAN azonosítóval (PVID). A PVID-vel rendelkező portokat “tagged portoknak” vagy “trunked portoknak” nevezik. A trunk egy pont-pont kapcsolat a hálózati eszközök között, amely több VLAN adatainak továbbítására képes. A PVID nélküli portokat címkézetlen portoknak nevezzük – ezek csak egy natív VLAN adatait tudják továbbítani. A jelöletlen portokat jellemzően a switchek és a végponti eszközök, például a felhasználói gépek hálózati adapterei között használják. A végponti eszközök általában nem tudnak semmit a VLAN-címkékről, és normál, címke nélküli keretekkel működnek. (Kivételt képez, ha a virtuális gépen be van állítva a “VMware Virtual Guest Tagging (VGT)” funkció, ebben az esetben a címkéket felismerik).

Virtuális kapcsolók típusai

A VMware vSwitchek két típusra oszthatók: szabványos virtuális kapcsolók és elosztott virtuális kapcsolók.

A vNetwork Standard Switch (vSwitch) egy virtuális kapcsoló, amely egyetlen ESXi hoston konfigurálható. Alapértelmezés szerint ez a vSwitch 120 porttal rendelkezik. A portok maximális száma ESXi állomásonként 4096.

A vSwitch szabványos funkciói:

A linkfelfedezés egy olyan funkció, amely a Cisco Discovery Protocol (CDP) segítségével információt gyűjt és küld a csatlakoztatott kapcsolóportokról, amely felhasználható a hálózati hibaelhárításhoz.

A biztonsági beállítások lehetővé teszik a biztonsági házirendek beállítását:

• A Promiscuous Mode opció bekapcsolásával a virtuális vendégadapter az összes forgalmat figyelheti, nem pedig csak az adapter saját MAC-címének forgalmát.
• A MAC Address Changes beállítással engedélyezheti vagy letilthatja a VM virtuális hálózati adapterének MAC-címének megváltoztatását.
• A Forged Transmits beállítással engedélyezheti vagy letilthatja a VM adapteréhez beállítottól eltérő MAC-című kimeneti keretek küldését.

NIC teaming. Két vagy több hálózati adaptert lehet egy csapatba egyesíteni és egy virtuális kapcsolóhoz felcsatlakoztatni. Ez növeli a sávszélességet (link-aggregáció), és passzív átállást biztosít arra az esetre, ha az egyik csoportosított adapter leállna. A Load Balancing (Terheléskiegyenlítés) beállítások lehetővé teszik a csapatban lévő hálózati kártyák közötti forgalomelosztás algoritmusának megadását. A hálózati adapterek (amelyek lehetnek “aktív” vagy “készenléti” üzemmódban) felfelé és lefelé mozgatásával állíthatja be a hibaelhárítási sorrendet a listában. A készenléti adapter aktív adapter meghibásodása esetén aktívvá válik.

A forgalom alakítása korlátozza a kimenő forgalom sávszélességét a vSwitch-hez csatlakoztatott egyes virtuális hálózati adapterek esetében. Beállíthatja az átlagos sávszélesség (Kb/s), a csúcssávszélesség (Kb/s) és a burst méret (KB) határértékeit.

A portcsoport házirendek, például a biztonság, a hálózati kártyák csoportosítása és a forgalom alakítása alapértelmezés szerint a vSwitch házirendekből öröklődnek. Ezeket a házirendeket felülbírálhatja a portcsoportok manuális konfigurálásával.

A vNetwork Distributed vSwitch (dvSwitch) egy olyan virtuális kapcsoló, amely tartalmazza a szabványos vSwitch funkciókat, miközben központosított adminisztrációs felületet kínál. dvSwitcheket csak a vCenter Serverben lehet konfigurálni. A vCenterben történő konfigurálás után a dvSwitch az adatközpontban lévő összes meghatározott ESXi hoszton ugyanazokkal a beállításokkal rendelkezik, ami megkönnyíti a nagy virtuális infrastruktúrák kezelését – nem kell manuálisan beállítani a szabványos vSwitcheket minden egyes ESXi hoston. A dvSwitch használata esetén a VM-ek megtartják hálózati állapotukat és virtuális kapcsolóportjaikat az ESXi hosztok közötti migráció után. A portok maximális száma dvSwitchenként 60 000 lehet. A dvSwitch annak az ESXi állomásnak a fizikai hálózati adaptereit használja, amelyen a virtuális gépek tartózkodnak, hogy összekapcsolja őket a külső hálózattal. A VMware dvSwitch proxy-kapcsolókat hoz létre minden egyes ESXi állomáson, hogy ugyanazokat a beállításokat képviselje. Megjegyzés: a dvSwitch funkció használatához Enterprise Plus licenc szükséges.

A vSwitch-hez képest a dvSwitch szélesebb körű funkciókat biztosít:

• Központosított hálózatkezelés. A dvSwitch-et a vCenter segítségével egyszerre kezelheti az összes meghatározott ESXi hoszt számára.
• Forgalomformálás. A szabványos vSwitch-csal ellentétben a dvSwitch támogatja a kimenő és a bejövő forgalom alakítását is.
• Portcsoportblokkolás. Letilthatja a portcsoportok adatainak küldését és/vagy fogadását.
• Port tükrözés. Ez a funkció minden csomagot egy portról egy SPAN (Switch Port Analyzer) rendszerrel duplikál egy speciális portra. Ez lehetővé teheti a forgalom monitorozását és a hálózati diagnosztika elvégzését.
• Portonkénti házirend. Nem csak a portcsoportokhoz, hanem minden egyes porthoz külön házirendeket állíthat be.
• Link Layer Discovery Protocol (LLDP) támogatás. Az LLDP egy második rétegbeli, nem szabadalmaztatott protokoll, amely hasznos a többgyártós hálózatok felügyeletéhez.
• Netflow-támogatás. Ez lehetővé teszi az IP forgalmi információk monitorozását az elosztott kapcsolón, ami hasznos lehet a hibaelhárításban.

Most, hogy elmagyaráztuk a szabványos és az elosztott vSwitchek jellemzőit, beszéljünk arról, hogyan lehet őket megvalósítani.

How to Create and Configure VMware vSwitches

Egy ESXi állomáson alapértelmezés szerint egy virtuális kapcsoló van, két portcsoporttal – VM Network és Management Network. Hozzunk létre egy új vSwitch-et.

Standard vSwitch hozzáadása

Kapcsolódjunk az ESXi állomáshoz a vSphere Web Client segítségével, és tegyük a következőket:

• Menjünk a Hálózat > Virtuális kapcsolókra.
• Kattintson a Standard virtuális kapcsoló hozzáadása gombra.
• Állítsa be a vSwitch nevét (“vSwitch2s” a mi esetünkben) és szükség szerint az egyéb beállításokat. Ezután kattintson a Hozzáadás gombra.

Megjegyzés: Ha a csomagok töredezettségének csökkentése érdekében engedélyezni szeretné a jumbo-kereteket, akkor az MTU (Maximum Transmission Unit) értékét 9000 bájtra állíthatja be.

Uplink hozzáadása

Adjon hozzá egy uplinket az uplink-redundancia biztosításához a következőkkel:

• Menjen a Hálózat > a vSwitch neve > Műveletek > Uplink hozzáadása.
• Válasszon ki két NIC-t.
• Egyéb beállításokat is beállíthat itt, például a link felderítését, a biztonságot, a NIC teaminget és a forgalom alakítását.
• A befejezéshez kattintson a Mentés gombra.

A vSwitch beállításait bármikor szerkesztheti, ha a Hálózat > Virtuális kapcsolók alatt a vSwitch kiválasztása után a Beállítások szerkesztése gombra kattint.

Portcsoport hozzáadása

Most, hogy létrehozott egy vSwitch-et, létrehozhat egy portcsoportot. Ehhez kövesse a következő lépéseket:

• Menjen a Hálózat > Portcsoportok menüpontra, és kattintson a Portcsoport hozzáadása gombra.
• Adja meg a portcsoport nevét és a VLAN azonosítót (ha szükséges).
• Válassza ki a virtuális kapcsolót, amelyen ez a portcsoport létrejön.
• A biztonsági beállításokat is itt konfigurálhatja, ha szeretné.
• A befejezéshez kattintson az Add gombra.

VMkernel NIC hozzáadása

Ha dedikált VM hálózatot, tárolóhálózatot, vMotion hálózatot, Fault Tolerance naplózási hálózatot stb, létre kell hoznia egy VMkernel NIC-et a megfelelő portcsoport kezeléséhez. A VMkernel hálózati réteg kezeli a rendszerforgalmat, valamint az ESXi hosztok összekapcsolását egymással és a vCenterrel.

A VMkernel NIC létrehozásához kövesse a következő lépéseket:

• Menjen a Hálózat > VMkernel NIC-kre, és kattintson a VMkernel NIC hozzáadása gombra.
• Válassza ki azt a portcsoportot, amelyen a VMkernel NIC-et létre kívánja hozni.
• Konfigurálja a hálózati beállításokat és szolgáltatásokat ehhez a VMkernel NIC-hez a kérésnek megfelelően.
• A befejezéshez kattintson a Mentés gombra.

Elosztott vSwitch hozzáadása

A dvSwitch hozzáadásához jelentkezzen be a vCenterbe a vSphere webklienssel, és tegye a következőket:

• Lépjen a vCenter > az adatközpont nevére.
• Jobb egérgombbal kattintson az adatközpontjára, és válassza a New Distributed Switch (Új elosztott kapcsoló) lehetőséget. Megjelenik egy varázslóablak.
• Adja meg a dvSwitch nevét és helyét. Kattintson a Tovább gombra.
• Válassza ki az adatközpontban lévő ESXi hosztokkal kompatibilis dvSwitch verziót. Kattintson a Next (Tovább) gombra.
• Módosítsa a beállításokat. Adja meg az uplink portok számát, a hálózati bemeneti/kimeneti vezérlést és az alapértelmezett portcsoportot. Kattintson a Tovább gombra.
• A Befejezésre kész szakaszban kattintson a Befejezés gombra.

Most már konfigurálhatja a létrehozott dvSwitch-et. Menjen a Kezdőlap > Hálózat > az adatközpont neve > a dvSwitch neve menüpontba, és válassza a Kezelés lapot. A képernyőképen láthatóak azok a funkciók és opciók, amelyekre kattintva beállíthatja őket.

Először is hozzá kell adni az ESXi hosztokat az elosztott virtuális switchhez:

• Kattintson a Művelet > Hostok hozzáadása és kezelése parancsra. Elindul egy varázslóablak.
• A Feladat kiválasztása szakaszban válassza az “Állomások hozzáadása” lehetőséget, majd kattintson a Tovább gombra.
• Kattintson az Új állomás gombra, és válassza ki a hozzáadni kívánt ESXi állomás(ok)at. Kattintson az OK gombra. Jelölje be az ablak alján lévő négyzetet, ha engedélyezni kívánja a sablon üzemmódot. Ezután kattintson a Next (Tovább) gombra.
• Ha engedélyezte a sablon üzemmódot, válasszon ki egy sablon állomáshelyet. A sablonállomás hálózati beállításai alkalmazásra kerülnek a többi állomáson. Kattintson a Tovább gombra.
• Válassza ki a hálózati adapter feladatokat a megfelelő négyzetek bejelölésével. Fizikai hálózati adaptereket és/vagy VMkernel hálózati adaptereket adhat hozzá. Kattintson a Tovább gombra, ha készen áll a folytatásra.
• Adjon fizikai hálózati adaptereket a dvSwitch-hez, és rendelje hozzá az uplinkeket. Kattintson az Alkalmazás mindenkire, majd a Tovább gombra.
• VMkernel hálózati adapterek kezelése. Új VMkernel-adapter létrehozásához kattintson az Új adapter gombra. Ezután kiválaszthat egy portcsoportot, IP-címet és egyéb beállításokat. Miután befejezte ezt a lépést, kattintson a Tovább gombra.
• Megjelenik egy hatáselemzés. Ellenőrizze, hogy minden függő hálózati szolgáltatás megfelelően működik-e, és ha elégedett, kattintson a Tovább gombra.
• A Befejezésre kész szakasz alatt tekintse át a kiválasztott beállításokat, és ha elégedett, kattintson a Befejezés gombra.

Új elosztott portcsoport hozzáadásához kövesse a következő lépéseket:

• Kattintson a Műveletek > Új elosztott portcsoport gombra.
• Adja meg a portcsoport nevét és helyét, majd kattintson a Tovább gombra.
• Konfigurálja a portcsoport beállításait. Ebben a lépésben konfigurálhatja a portkötést, a portok kiosztását, a portok számát, a hálózati erőforráskészletet és a VLAN-t. Ha készen van, kattintson a Tovább gombra.
• A Befejezésre kész szakasz alatt tekintse át a kiválasztott beállításokat, és ha elégedett, kattintson a Befejezés gombra.

Ezzel elkészült a dvSwitch alapkonfigurációja. A beállításokat bármikor módosíthatja a változó igényeknek való megfelelés érdekében.

A vSwitchek használatának előnyei

Miután áttekintettük, hogyan kell beállítani a VMware virtuális switcheket, foglaljuk össze használatuk előnyeit:

• A hálózatok elkülönítése VLAN-okkal és routerekkel, így korlátozhatja a hozzáférést egyik hálózatból a másikba.
• A biztonság növelése.
• Flexibilis hálózatkezelés.
• Rövidebb hardveres hálózati adapterek szükségesek a redundáns hálózati kapcsolathoz (a fizikai gépekhez képest).
• Egyszerűbb migráció és VM-ek telepítése.

Végkövetkeztetés

A virtuális kapcsolók lehetővé teszik a VM-csoportok hálózati kapcsolatainak kezelését, felügyeletét, a biztonság javítását és a VMware vSphere virtuális környezetek egyszerűbb kezelését. Az elosztott virtuális kapcsoló több funkciót tartalmaz, mint a szabványos virtuális kapcsoló, és előnyösebb a nagyobb, nagyszámú ESXi hosztot tartalmazó virtuális infrastruktúra esetén.

A virtuális környezet méretétől függetlenül olyan adatvédelmi megoldást érdemes használni, amely zökkenőmentesen integrálódik a VMware rendszerbe a maximális megbízhatóság érdekében. Mi itt a NAKIVO-nál kívül-belül ismerjük a VMware-t. Szakértői csapatunk a NAKIVO Backup & Replikációt kifejezetten a vSphere és az ESXi rendszerekhez tervezte. Ezért számíthat zökkenőmentes, hatékony és megbízható VMware mentésre a mi megoldásunkkal.

Próbálja ki saját VMware környezetében: töltse le a teljes funkcionalitású ingyenes próbaverziót.