Vad är VMware vSwitch?

Virtuella maskiner ansluts till ett nätverk på samma sätt som fysiska maskiner gör. Skillnaden är att de virtuella maskinerna använder virtuella nätverkskort och virtuella växlar för att upprätta anslutningar till fysiska nätverk. Om du har använt virtuella maskiner som körs på VMware Workstation är du kanske bekant med tre virtuella standardnätverk. Var och en av dem använder en annan virtuell switch:

• VMnet0 Bridged network – gör det möjligt att ansluta en virtuell maskins virtuella nätverkskort till samma nätverk som den fysiska värdens nätverkskort.
• VMnet1 Host Only network – gör det möjligt att endast ansluta till en värd genom att använda ett annat undernät.
• VMnet8 NAT-nätverk – använder ett separat undernät bakom NAT och tillåter anslutning av den virtuella maskinens virtuella nätverkskort genom NAT till samma nätverk som den fysiska värdens nätverkskort.

ESXi-värdar har också virtuella växlar, men deras inställningar är olika. Dagens blogginlägg utforskar användningen av VMwares virtuella switchar på VMware ESXi-värdar för nätverksanslutningar för virtuella maskiner.

Definition av vSwitch

En virtuell switch är ett mjukvaruprogram – en logisk switching fabric som emulerar en switch som en nätverksenhet på nivå 2. En virtuell switch säkerställer samma funktioner som en vanlig switch, med undantag för vissa avancerade funktioner. Till skillnad från fysiska switchar kan en virtuell switch nämligen:

• Inte lära sig MAC-adresserna för transittrafik från det externa nätverket.
• Inte delta i Spanning Tree-protokoll.
• Inte skapa en nätverksslinga för redundanta nätverksanslutningar.

VMwares virtuella switchar kallas vSwitchar. vSwitchar används för att säkerställa anslutningar mellan virtuella maskiner samt för att ansluta virtuella och fysiska nätverk. En vSwitch använder ett fysiskt nätverkskort (även kallat NIC – Network Interface Controller) på ESXi-värden för anslutning till det fysiska nätverket. Du kanske vill skapa ett separat nätverk med en vSwitch och ett fysiskt NIC av prestandaskäl och/eller säkerhetsskäl i följande fall:

• Anslutning av lagringsutrymme, t.ex. NAS eller SAN, till ESXi-värdar.
• vMotion-nätverk för direktmigrering av virtuella maskiner mellan ESXi-värdar.
• Nätverk för loggning av feltolerans.

Om en illasinnad kunde få tillgång till en av de virtuella maskinerna i en vSwitch-nätverk skulle han eller hon inte kunna få tillgång till den delade lagringen som är ansluten till det separata nätverket och vSwitchen, även om de fanns på samma ESXi-värd.

Schemat nedan visar nätverksanslutningarna för virtuella maskiner som finns på en ESXi-värd, vSwitchar, fysiska switchar och delat lagringsutrymme.

Du kan skapa ett segmenterat nätverk på en befintlig vSwitch genom att skapa portgrupper för olika VM-grupper. Det här tillvägagångssättet kan göra det lättare att hantera stora nätverk.

En portgrupp är en aggregering av flera portar för gemensam konfiguration och VM-anslutning. Varje portgrupp har en unik nätverksetikett. I sceenshotet nedan är till exempel ”VM Network”, som skapas som standard, en portgrupp för virtuella gästmaskiner, medan ”Management Network” är en portgrupp för EXSi-värdarnas VMkernel-nätverkskort, med vilket du kan hantera ESXi. För lagrings- och vMotion-nätverk måste du ansluta ett VMkernel-adapter som kan ha en annan IP-adress för varje nätverk. Varje portgrupp kan ha ett VLAN-ID.

VLAN-ID är identifieraren för ett VLAN (Virtual Local Area Network) som används för VLAN-taggning. VLAN-ID kan ställas in från 1 till 4094 (värdena 0 och 4095 är reserverade). Med VLAN kan du logiskt dela upp nätverk som finns i samma fysiska miljö. VLAN bygger på IEEE 802.1q-standarden och fungerar på det andra lagret i OSI-modellen, vars Protocol Data Unit (PDU) är frame. En särskild 4-byte-tagg läggs till för Ethernet-ramar, vilket gör att de förstoras från 1518 byte till 1522 byte. Den maximala överföringsenheten (MTU) är 1500 byte, vilket motsvarar den maximala storleken på inkapslade IP-paket utan fragmentering. Routing mellan IP-nätverk sker på det tredje lagret i OSI-modellen. Se diagrammet nedan.

Varje port i en vSwitch kan ha en Port VLAN Identifier (PVID). Portar som har PVID kallas ”taggade portar” eller ”trunkade portar”. En trunk är en punkt-till-punkt-anslutning mellan nätverksenheter som kan överföra data från flera VLAN. Portar utan PVID kallas omärkta portar – de kan överföra data från endast ett inhemskt VLAN. Omärkta portar används vanligtvis mellan växlar och slutpunktsenheter, t.ex. nätverksadaptrar på användarmaskiner. Slutpunktsenheterna vet vanligtvis ingenting om VLAN-taggar, och de arbetar med normala otaggade ramar. (Undantaget är om den virtuella maskinen har funktionen ”VMware Virtual Guest Tagging (VGT)” konfigurerad, i så fall känns taggarna igen).

Typer av virtuella switchar

VMware vSwitchar kan delas in i två typer: virtuella standard switchar och distribuerade virtuella switchar.

En vNetwork Standard Switch (vSwitch) är en virtuell switch som kan konfigureras på en enda ESXi-värd. Som standard har denna vSwitch 120 portar. Det maximala antalet portar per ESXi-värd är 4096.

Standard vSwitch-funktioner:

Link Discovery är en funktion som använder Cisco Discovery Protocol (CDP) för att samla in och skicka information om anslutna switch-portar som kan användas för felsökning av nätverket.

Säkerhetsinställningar gör det möjligt att ställa in säkerhetsprinciper:

• Om alternativet Promiscuous Mode är aktiverat kan det virtuella gästadaptern lyssna på all trafik, i stället för bara trafiken på adapterns egen MAC-adress.
• Med alternativet MAC-adressändringar kan du tillåta eller förbjuda ändring av MAC-adressen för en virtuell maskins virtuella nätverkskort.
• Med alternativet Förfalskade sändningar kan du tillåta eller blockera sändning av utgångsramar med andra MAC-adresser än den som ställts in för den virtuella maskins nätverkskort.

NIC-teaming. Två eller flera nätverkskort kan förenas i ett team och kopplas upp till en virtuell switch. Detta ökar bandbredden (länkaggregation) och ger en passiv växling om en av de teamade adaptrarna går ner. Med inställningarna för belastningsbalansering kan du ange en algoritm för trafikfördelning mellan nätverkskort i teamet. Du kan ställa in en failover-ordning genom att flytta nätverkskort (som kan vara i ”aktivt” eller ”standby”-läge) uppåt och nedåt i listan. Ett standby-adapter blir aktivt vid fel på ett aktivt adapter.

Trafikformning begränsar bandbredden för utgående trafik för varje virtuellt nätverkskort som är anslutet till vSwitch. Du kan ställa in gränser för genomsnittlig bandbredd (Kb/s), toppbandbredd (Kb/s) och burststorlek (KB).

Portgruppsprinciperna, t.ex. säkerhet, NIC-gruppering och trafikformning, ärvs som standard från vSwitch-principerna. Du kan åsidosätta dessa principer genom att konfigurera dem manuellt för portgrupper.

En vNetwork Distributed vSwitch (dvSwitch) är en virtuell switch som innehåller standardfunktioner för vSwitch samtidigt som den erbjuder ett centraliserat administrationsgränssnitt. dvSwitches kan endast konfigureras i vCenter Server. När en dvSwitch har konfigurerats i vCenter har den samma inställningar på alla definierade ESXi-värdar i datacentret, vilket underlättar hanteringen av stora virtuella infrastrukturer – du behöver inte konfigurera standardvSwitchar manuellt på varje ESXi-värd. När du använder en dvSwitch behåller virtuella maskiner sina nätverkstillstånd och virtuella switchportar efter migrering mellan ESXi-värdar. Det maximala antalet portar per dvSwitch är 60 000. DvSwitch använder de fysiska nätverksadaptrarna på den ESXi-värd där de virtuella maskinerna finns för att koppla dem till det externa nätverket. VMware dvSwitch skapar proxyswitchar på varje ESXi-värd för att representera samma inställningar. Observera: En Enterprise Plus-licens krävs för att använda dvSwitch-funktionen.

Vid jämförelse med en vSwitch ger dvSwitch en bredare uppsättning funktioner:

• Centraliserad nätverkshantering. Du kan hantera dvSwitch för alla definierade ESXi-värdar samtidigt med vCenter.
• Trafikformning. Till skillnad från standard vSwitch har en dvSwitch stöd för både utgående och inkommande trafikformning.
• Portgruppsblockering. Du kan inaktivera sändning och/eller mottagning av data för portgrupper.
• Portspegling. Den här funktionen duplicerar varje paket från en port till en speciell port med ett SPAN-system (Switch Port Analyzer). Detta kan göra det möjligt för dig att övervaka trafiken och utföra nätverksdiagnostik.
• Per portpolicy. Du kan ställa in specifika principer för varje port, inte bara för portgrupper.
• Stöd för Link Layer Discovery Protocol (LLDP). LLDP är ett icke-proprietärt protokoll i andra lagret som är användbart för övervakning av nätverk med flera leverantörer.
• Stöd för nätflöde. Detta gör det möjligt att övervaka IP-trafikinformation på en distribuerad switch, vilket kan vara till hjälp vid felsökning.

När vi nu har förklarat funktionerna hos standard- och distribuerade vSwitches, låt oss diskutera hur de ska implementeras.

Hur man skapar och konfigurerar VMware vSwitches

Som standard finns det en virtuell switch på en ESXi värd, med två portgrupper – VM Network och Management Network. Låt oss skapa en ny vSwitch.

Lägga till en standard vSwitch

Anslut till ESXi-värden med vSphere Web Client och gör följande:

• Gå till Nätverk > Virtuella switchar.
• Klicka på Lägg till en virtuell standardväxel.
• Inställ vSwitch-namnet (”vSwitch2s”, i vårt fall) och andra alternativ efter behov. Klicka sedan på knappen Lägg till.

Notera: Om du vill att jumbo-ramar ska vara aktiverade för att minska fragmenteringen av paket kan du ställa in ett MTU-värde (Maximum Transmission Unit) på 9 000 byte.

Lägg till en uplink

Lägg till en uplink för att säkerställa uplinkredundans genom att göra följande:

• Gå till Nätverk > ditt vSwitch-namn > Åtgärder > Åtgärder > Lägg till uplink.
• Välj två NIC:er.
• Du kan också ställa in andra alternativ här, till exempel länkupptäckt, säkerhet, NIC-teaming och trafikformning.
• Klicka på Spara-knappen för att avsluta.

Du kan redigera inställningarna för vSwitchen när som helst genom att klicka på Redigera inställningar efter att ha valt din vSwitch under Nätverk > Virtuella switchar.

Lägga till en portgrupp

När du har skapat en vSwitch kan du skapa en portgrupp. För att göra detta följer du de här stegen:

• Gå till Nätverk > Portgrupper och klicka på Lägg till portgrupp.
• Sätt namnet på portgruppen och VLAN-ID (om det behövs).
• Välj den virtuella switch på vilken den här portgruppen kommer att skapas.
• Du kan också konfigurera säkerhetsinställningar här om du vill.
• Klicka på knappen Lägg till för att avsluta.

Lägga till en VMkernel NIC

Om du vill använda ett dedikerat VM-nätverk, lagringsnätverk, vMotion-nätverk, loggningsnätverk för feltolerans, osv, bör du skapa en VMkernel NIC för hantering av den relevanta portgruppen. VMkernel-nätverkslagret hanterar systemtrafik samt ansluter ESXi-värdar till varandra och till vCenter.

För att skapa ett VMkernel NIC följer du de här stegen:

• Gå till Networking > VMkernel NICs och klicka på Add VMkernel NIC.
• Välj den portgrupp som du vill skapa VMkernel NIC på.
• Konfigurera nätverksinställningarna och tjänsterna för VMkernel NIC enligt uppmaningen.
• Klicka på knappen Spara för att avsluta.

Lägga till en distribuerad vSwitch

För att lägga till en dvSwitch loggar du in på vCenter med din vSphere-webbklient och gör följande:

• Gå till vCenter > ditt datacenter-namn.
• Högerklicka på ditt datacenter och välj Ny distribuerad switch. Ett fönster i guiden visas.
• Sätt namn och plats för din dvSwitch. Klicka på Nästa.
• Välj den dvSwitch-version som är kompatibel med ESXi-värdarna i datacentret. Klicka på Nästa.
• Redigera inställningarna. Ange antalet uplink-portar, kontroll av nätverksingång/utgång och standardportgrupp. Klicka på Nästa.
• I avsnittet Redo att slutföra klickar du på Slutför.

Nu kan du konfigurera den dvSwitch du skapade. Gå till Hem > Nätverk > ditt datacenternamn > ditt dvSwitch-namn och välj fliken Hantera. Skärmbilden visar de funktioner och alternativ som du kan ställa in genom att klicka på dem.

Först måste ESXi-värdarna läggas till i den distribuerade virtuella switchen:

• Klicka på Åtgärd > Lägg till och hantera värdar. Ett fönster med guiden startar.
• I avsnittet Välj åtgärd väljer du ”Lägg till värdar” och klickar på Nästa.
• Klicka på Ny värddator och välj den eller de ESXi-värdar som du vill lägga till. Klicka på OK. Markera rutan längst ner i fönstret om du vill aktivera malläge. Klicka sedan på Nästa.
• Om du har aktiverat malläge väljer du en mallvärd. Mallvärdens nätverksinställningar kommer att tillämpas på de andra värdarna. Klicka på Nästa.
• Välj uppgifter för nätverkskort genom att kryssa i lämpliga rutor. Du kan lägga till fysiska nätverkskort och/eller VMkernel-nätverkskort. Klicka på Nästa när du är redo att fortsätta.
• Förstärk fysiska nätverkskort till dvSwitch och tilldela uplinks. Klicka på Tillämpa på alla och sedan på Nästa.
• Hantera VMkernel-nätverkskort. För att skapa ett nytt VMkernel-adapter klickar du på New Adapter (ny adapter). Du kan sedan välja en portgrupp, IP-adress och andra inställningar. När du har slutfört det här steget klickar du på Nästa.
• Du får en konsekvensanalys. Kontrollera att alla beroende nätverkstjänster fungerar korrekt, och om du är nöjd klickar du på Nästa.
• Under avsnittet Redo att slutföra granskar du de inställningar du valt och klickar på knappen Slutför om du är nöjd.

För att lägga till en ny distribuerad portgrupp följer du de här stegen:

• Klicka på Åtgärder > Ny distribuerad portgrupp.
• Inställ namn och plats för portgruppen och klicka sedan på Nästa.
• Konfigurera inställningarna för portgruppen. I det här steget kan du konfigurera portbindning, portallokering, antal portar, nätverksresurspool och VLAN. Klicka på Nästa när du är klar.
• Under avsnittet Redo att slutföra granskar du de inställningar du valt och klickar på knappen Slutför om du är nöjd.

Du har nu din grundläggande dvSwitch-konfiguration klar. Du kan ändra inställningarna när som helst för att anpassa dig till förändrade krav.

Fördelarna med att använda vSwitches

När vi har tittat på hur du konfigurerar virtuella VMware-switchar kan vi sammanfatta fördelarna med att använda dem:

• Skillnad av nätverk med VLAN och routrar, vilket gör att du kan begränsa åtkomsten från ett nätverk till ett annat.
• Förbättrad säkerhet.
• Flexibel nätverkshantering.
• Fler hårdvarunätverkskort behövs för redundant nätverksanslutning (jämfört med fysiska maskiner).
• Enklare migrering och distribution av virtuella maskiner.

Slutsats

Virtuella switchar gör det möjligt att hantera nätverksanslutningar för grupper av virtuella maskiner, övervaka dem, förbättra säkerheten och underlätta administrationen av virtuella miljöer med VMware vSphere. Den distribuerade virtuella växeln innehåller fler funktioner än den virtuella standardväxeln och är att föredra för en större virtuell infrastruktur med ett stort antal ESXi-värdar.

Oavsett storleken på din virtuella miljö bör du använda en dataskyddslösning som integreras sömlöst med VMware för att säkerställa maximal tillförlitlighet. Här på NAKIVO kan vi VMware utan och innan. Vårt expertteam har utformat NAKIVO Backup & Replication specifikt för att fungera med vSphere och ESXi. Därför kan du förvänta dig sömlös, effektiv och tillförlitlig VMware-backup med vår lösning.

Testa själv i din egen VMware-miljö: ladda ner den kostnadsfria testversionen med alla funktioner.