July 17, 2018
by Alex Mayer
仮想マシンは物理マシンと同じようにネットワークに接続されます。 違いは、VM は物理ネットワークとの接続を確立するために、仮想ネットワーク・アダプタと仮想スイッチを使用することです。 VMware Workstation上で動作するVMを使用したことがあれば、3つのデフォルトの仮想ネットワークに馴染みがあるかもしれません。 それぞれ異なる仮想スイッチを使用します。
- VMnet0 Bridged network – VM の仮想ネットワークアダプタを物理ホストのネットワークアダプタと同じネットワークに接続できます。
- VMnet1 Host Only network – 別のサブネットを使用してホストのみへの接続を許可します。
- VMnet8 NAT ネットワーク – NAT の背後にある別のサブネットを使用し、NAT を介して VM の仮想アダプタを物理ホストのアダプタと同じネットワークに接続できます。
ESXi ホストにも仮想スイッチがありますが、その設定は異なっています。 本日のブログ記事では、仮想マシンのネットワーク接続に VMware ESXi ホスト上の VMware 仮想スイッチを使用することについて説明します。
vSwitch の定義
仮想スイッチはソフトウェア プログラムで、レイヤー 2 ネットワーク デバイスとしてスイッチをエミュレートする論理スイッチング ファブリックです。 仮想スイッチは、いくつかの高度な機能を除いて、通常のスイッチと同じ機能を保証します。
VMware の仮想スイッチは vSwitches と呼ばれます。 vSwitch は、物理ネットワークへの接続に ESXi ホストの物理ネットワーク アダプタ (NIC – Network Interface Controller とも呼ばれます) を使用します。 次のような場合、パフォーマンスやセキュリティ上の理由から、vSwitch と物理 NIC で別のネットワークを作成するとよいでしょう。
- NAS や SAN などのストレージを ESXi ホストに接続する。
不正者がある vSwitch のネットワーク内の仮想マシンの 1 つにアクセスできた場合、それらが同じ ESXi ホストに存在しても、別のネットワークと vSwitch に接続された共有ストレージにアクセスすることはできません。
以下のスキーマは、ESXi ホストに存在する VM、vSwitch、物理スイッチ、および共有ストレージのネットワーク接続を示します。
異なる VM グループ用にポート グループを作成すると、既存の vSwitch でセグメント化されたネットワークを作成することができます。 この方法は、大規模なネットワークの管理を容易にします。
ポートグループは、共通の設定とVM接続のための複数のポートの集合体です。 各ポートグループには固有のネットワークラベルがあります。 たとえば、下の図では、デフォルトで作成された「VM ネットワーク」はゲスト仮想マシン用のポートグループで、「管理ネットワーク」は EXSi ホストの VMkernel ネットワークアダプタ用のポートグループで、このアダプタで ESXi を管理することができます。 ストレージおよび vMotion ネットワークには、ネットワークごとに異なる IP アドレスを持つことができる VMkernel アダプタを接続する必要があります。 各ポートグループは、VLAN IDを持つことができます。
VLAN IDは、VLAN(仮想ローカルエリアネットワーク)の識別子で、VLANタグ付けに使用されています。 VLAN IDは1〜4094まで設定できます(0と4095は予約値です)。 VLANを使用すると、同じ物理環境内に存在するネットワークを論理的に分割することができます。 VLANはIEEE 802.1q規格に基づき、OSIモデルの第2層で動作し、そのプロトコルデータ単位(PDU)はフレームとなります。 イーサネットフレームには4バイトの特別なタグが付加され、1518バイトから1522バイトに拡大されます。 MTU(Maximum Transmission Unit)は1500バイトで、これはカプセル化されたIPパケットを断片化しない場合の最大サイズである。 IPネットワーク間のルーティングは、OSIモデルの第3層で行われます。 VLAN IDを持つポートグループの接続
vSwitchの各ポートは、ポートVLAN識別子(PVID)を持つことができます。 PVIDを持つポートは「タグ付きポート」または「トランク付きポート」と呼ばれます。 トランクとは、複数のVLANのデータを伝送できるネットワーク機器間のポイントツーポイント接続のことです。 PVIDのないポートはタグなしポートと呼ばれ、1つのネイティブVLANのデータのみを伝送することができます。 タグなしポートは、通常、スイッチとエンドポイントデバイス(ユーザーマシンのネットワークアダプタなど)の間で使用されます。 エンドポイントデバイスは通常、VLANタグについて何も知らないので、通常のタグなしフレームで動作します。 (例外は、仮想マシンに「VMware Virtual Guest Tagging (VGT)」機能が設定されている場合で、この場合はタグを認識します)。
データ保護で強力かつシンプルで安価なソリューションを探していますか? NAKIVO Backup & Replicationは、仮想、物理、クラウド、SaaS環境向けのハイエンドなバックアップ、レプリケーション、多様なリカバリ機能の豊富なセットを提供します。 VMware vSphereバックアップの実行、カスタムディザスターリカバリーワークフローの設定、Office 365ワークロードのバックアップ、Microsoft Hyper-Vバックアップのテストまで、一元化されたWebインターフェースから行うことができるようになりました。
仮想スイッチの種類
VMware vSwitch は、標準仮想スイッチと分散仮想スイッチの 2 種類に分けられます。
vNetwork 標準スイッチ (vSwitch) は、単一の ESXi ホストに設定可能な仮想スイッチです。 デフォルトでは、このvSwitchは120ポートを持ちます。 ESXiホストあたりの最大ポート数は4096です。
標準vSwitchの機能:
リンク検出は、Cisco Discovery Protocol(CDP)を使用して、ネットワークのトラブルシューティングに使用できる接続スイッチポートに関する情報を収集および送信するための機能です。
Security settings allows you to set security policies:
- Turn the Promiscuous Mode option on, the guest virtual adapter will listen to all traffic, rather than the traffic on the adapter own MAC address.このオプションは、ゲスト仮想アダプターが、そのアダプターの MAC アドレス上のトラフィックだけでなく、すべてのトラフィックをリッスンできるようにします。
- MAC Address Changes オプションを使用すると、VM の仮想ネットワーク アダプタの MAC アドレスの変更を許可または拒否できます。
- Forged Transmits オプションを使用すると、VM アダプタに設定された MAC アドレスと異なる出力フレームの送信を許可またはブロックできます。
NIC teaming. 2つ以上のネットワークアダプタをチームで束ねて、仮想スイッチにアップリンクすることができます。 これにより、帯域幅が増加し(リンクアグリゲーション)、チーム化されたアダプタの1つがダウンした場合にパッシブフェイルオーバーが提供されます。 ロードバランシングの設定では、チーム内のNIC間のトラフィック分散のためのアルゴリズムを指定することができます。 フェイルオーバーの順序は、ネットワークアダプター(「アクティブ」または「スタンバイ」モードが可能)をリスト内で上下に移動することで設定することができます。 スタンバイアダプタは、アクティブアダプタの障害時にアクティブになります。
Traffic Shaping は、vSwitch に接続されている各仮想ネットワークアダプタの送信トラフィックの帯域幅を制限します。 平均帯域幅(Kb/s)、ピーク帯域幅(Kb/s)、バーストサイズ(KB)の制限を設定できます。
セキュリティ、NICチーミング、トラフィックシェーピングなどのポートグループポリシーは、デフォルトでvSwitchポリシーから受け継がれます。 vNetwork Distributed vSwitch (dvSwitch) は、標準の vSwitch 機能を備え、集中管理インターフェイスを提供する仮想スイッチです。 vCenter で構成すると、データセンター内の定義されたすべての ESXi ホストで dvSwitch が同じ設定を持つため、大規模な仮想インフラストラクチャの管理が容易になり、各 ESXi ホストで標準の vSwitch を手動で設定する必要がありません。 dvSwitchを使用すると、ESXiホスト間の移行後も、VMのネットワーク状態と仮想スイッチ・ポートが維持されます。 dvSwitchあたりの最大ポート数は60,000です。 dvSwitchは、仮想マシンが常駐するESXiホストの物理ネットワークアダプタを使用して、外部ネットワークとリンクさせます。 VMware dvSwitchは、各ESXiホスト上にプロキシスイッチを作成し、同じ設定を表現します。 注意: dvSwitch 機能を使用するには Enterprise Plus ライセンスが必要です。
vSwitch と比較して、dvSwitch はより幅広い機能セットを提供します:
- Centralized network management. vCenter を使用して、定義されたすべての ESXi ホストの dvSwitch を同時に管理できます。
- トラフィック・シェーピング。 標準的なvSwitchとは異なり、dvSwitchはアウトバウンドとインバウンドの両方のトラフィックシェーピングをサポートします。 ポートグループに対するデータの送信および/または受信を無効にすることができます。 この機能は、SPAN(Switch Port Analyzer)システムで、ポートからの各パケットを特別なポートに複製します。 これにより、トラフィックを監視し、ネットワーク診断を行うことができます。
- ポートごとのポリシー。 ポートグループだけでなく、ポートごとに特定のポリシーを設定することができます。
- LLDP(Link Layer Discovery Protocol)対応。 LLDPは、マルチベンダーネットワークの監視に有効な第2層のノンプロプライエタリなプロトコルです。
- Netflowのサポート。 これは、分散スイッチ上のIPトラフィック情報を監視することができ、トラブルシューティングに役立ちます。
ここまで、標準および分散vSwitchの機能を説明してきましたが、次にその実装方法を説明します。
How to Create and Configure VMware vSwitch
デフォルトでは、VMネットワークと管理ネットワークという二つのポート グループを持つ一つの仮想スイッチがESXiホストに存在しています。 新しい vSwitch を作成しましょう。
Adding a Standard vSwitch
vSphere Web Client で ESXi ホストに接続し、次の操作を行います。
- 「ネットワーク」 > 仮想スイッチに移動します。
- [標準仮想スイッチの追加]をクリックします。
- 必要に応じて、vSwitch Name(ここでは「vSwitch2s」)および他のオプションを設定します。 その後、[Add] ボタンをクリックします。
Note: パケット断片化を減らすためにジャンボフレームを有効にしたい場合、MTU (Maximum Transmission Unit) 値を 9,000 バイトに設定することが可能です。
アップリンクの追加
アップリンクの冗長性を確保するために、以下の手順でアップリンクを追加します:
- ネットワーク>自分のvSwitch名>アクション>アップリンクを追加
- 二つのNICを選択します。
- ここで、リンク検出、セキュリティ、NICチーミング、トラフィックシェーピングなどの他のオプションも設定できます。
- 保存ボタンをクリックして終了します。
ネットワーク > 仮想スイッチでvSwitchを選択してから設定の編集をクリックすると、いつでもvSwitch設定を編集することができます。
ポートグループの追加
vSwitchを作成した後は、ポートグループを作成します。
Add a VMkernel NIC
Fault Tolerance logging network など、専用の VM ネットワーク、ストレージ ネットワーク、vMotion ネットワーク、などを使用したい場合、VM カーネルを追加してください。 関連するポートグループを管理するためのVMkernel NICを作成する必要があります。 VMkernel ネットワーク層は、システム トラフィックを処理し、ESXi ホストを互いに、および vCenter と接続します。
VMkernel NIC を作成するには、次の手順に従います:
- 「ネットワーク > VMkernel NICs」に移動して「Add VMkernel NIC」をクリックします。
- VMkernel NICを作成するポートグループを選択します。
- 画面の指示に従い、このVMkernel NICのネットワーク設定とサービスを構成します。
- Save ボタンをクリックして終了します。
分散 v スイッチの追加
dvスイッチを追加するには、vSphere Web クライアントで vCenter にログインして次の操作を実行します。
これで、作成したdvSwitchを設定することができます。 ホーム > ネットワーク > データセンター名 > dvSwitch 名に移動し、[管理]タブを選択します。 スクリーンショットは、クリックして設定できる機能とオプションを示します。
最初に、分散仮想スイッチに ESXi ホストを追加する必要があります:
- アクション > Add and Manage Hosts.をクリックして、ホストを追加します。 ウィザードウィンドウが起動します。
- タスクの選択セクションで、「ホストの追加」を選択し、次へをクリックします。
- 新しいホストをクリックし、追加する ESXi ホストを選択します。 OK]をクリックします。 テンプレート モードを有効にする場合は、ウィンドウの下部にあるチェックボックスをオンにします。 次に、[次へ] をクリックします。
- テンプレート モードを有効にしている場合、テンプレート ホストを選択します。 テンプレートホストのネットワーク設定は、他のホストにも適用されます。 Next]をクリックします。
- 適切なボックスにチェックを入れて、ネットワークアダプタタスクを選択します。 物理ネットワーク アダプタおよび/または VMkernel ネットワーク アダプタを追加できます。
- dvSwitchに物理ネットワークアダプタを追加し、アップリンクを割り当てます。 すべてに適用]、[次へ]の順にクリックします。
- VMkernelネットワークアダプタを管理します。 新しいVMkernelアダプタを作成するには、[New Adapter]をクリックします。 その後、ポートグループ、IPアドレス、およびその他の設定を選択できます。 この手順を完了したら、[次へ]をクリックします。
- 影響分析が表示されます。 依存するネットワークサービスがすべて正常に動作することを確認し、問題がなければ[次へ]をクリックします。
- 「完了の準備」セクションで、選択した設定を確認し、問題がなければ[完了]ボタンをクリックします。
新しい分散ポートグループを追加するには、以下の手順に従います:
- [操作] > New Distributed Port Group]をクリックします。
- ポートグループの名前と場所を設定し、[次へ]をクリックします。 このステップでは,ポートバインディング,ポート割り当て,ポート数,ネットワークリソースプール,VLANの設定を行います。 準備ができたらNextをクリックします。
- Ready to completeセクションで、選択した設定を確認し、問題がなければFinishボタンをクリックします。
これでdvSwitchの基本構成の準備が整いました。 4604>
vSwitch を使用する利点
VMware 仮想スイッチの設定方法を検討した上で、使用する利点をまとめてみましょう。
- VLANおよびルーターでネットワークを分離し、あるネットワークから別のネットワークへのアクセスを制限することができます。
- 柔軟なネットワーク管理
- 冗長ネットワーク接続に必要なハードウェア ネットワーク アダプタの数が少ない (物理マシンと比較して)
- VMの移行と展開が容易
まとめ
仮想スイッチにより、VMware vSphere 仮想環境では VM グループのネットワーク接続管理、監視、およびセキュリティ強化、管理の簡素化が可能です。 分散仮想スイッチは、標準仮想スイッチよりも多くの機能を含み、多数の ESXi ホストを持つ大規模な仮想インフラストラクチャに適しています。
仮想環境の規模に関係なく、最大限の信頼性を確保するには、VMware とシームレスに統合するデータ保護ソリューションを使用する必要があります。 ここNAKIVOでは、VMwareを知り尽くしています。 私たちの専門家チームはNAKIVO Backup & ReplicationをvSphereとESXiで動作するように特別に設計しました。 このため、私たちのソリューションでは、シームレスで効率的、かつ信頼性の高いVMwareバックアップを期待できます。
あなた自身のVMware環境で試してみてください。
5 (99.05%) 21票