精髓 一文帶你了解VMware vSphere 網(wǎng)絡(luò)、vSwitch、端口組！

時(shí)間：2023-07-12 11:27:02 | 來源：網(wǎng)站運(yùn)營(yíng)

時(shí)間：2023-07-12 11:27:02 來源：網(wǎng)站運(yùn)營(yíng)

精髓 一文帶你了解VMware vSphere 網(wǎng)絡(luò)、vSwitch、端口組?。?br>
談到虛擬環(huán)境，VMware vSphere 網(wǎng)絡(luò)可能是最關(guān)鍵的組件之一。

您的 ESXi 主機(jī)和虛擬機(jī)如何通信？

由于虛擬網(wǎng)絡(luò)是其他一切運(yùn)行方式的關(guān)鍵，因此我們需要對(duì) ESXi 網(wǎng)絡(luò)的工作原理有很好的了解。

1、ESXi 網(wǎng)絡(luò)剖析

當(dāng)涉及到我們的 ESXi 主機(jī)及其網(wǎng)絡(luò)通信時(shí)，我們首先需要了解的是它們需要做什么，有幾種不同的方式進(jìn)行交流：

• 相互交流（想想 vMotion）
• 與 vCenter 通信（想想 HA）
• 與他們依賴的外部資源進(jìn)行通信，例如存儲(chǔ)陣列或 Active Directory
• 允許它們的常駐虛擬機(jī)與它們可能依賴的其他虛擬機(jī)和外部資源進(jìn)行通信

因此，必須在我們的環(huán)境中配置VMware vSphere中ESXi 網(wǎng)絡(luò)的幾個(gè)不同組件。

• ESXi 主機(jī)上的虛擬交換機(jī)
• 虛擬交換機(jī)上的端口組

在這些類別中的每一個(gè)類別中，都有許多事情需要考慮。

2、ESXi 主機(jī)上的虛擬交換機(jī)

將 ESXi 主機(jī)上的虛擬交換機(jī)視為您之前可能遇到的任何其他交換機(jī)，當(dāng)涉及到網(wǎng)絡(luò)層時(shí)，ESXi 中的虛擬交換機(jī)是為我們的 ESXi 主機(jī)提供連接、冗余和負(fù)載平衡的方式。

有兩種類型的開關(guān)，盡管您可能會(huì)聽到它們各自使用幾個(gè)不同的名稱。

• vSphere 標(biāo)準(zhǔn)交換機(jī)
• vSphere 分布式交換機(jī)（需要vSphere Enterprise Plus 許可）

讓我們來看看每個(gè)虛擬交換機(jī)及其特性。

3、vSphere 標(biāo)準(zhǔn)交換機(jī) / 標(biāo)準(zhǔn) vSwitch / vSwitch

基本虛擬交換機(jī)，也稱為 vSwitch。它是 VMware vSphere 中第一種可用的交換機(jī)類型，使用標(biāo)準(zhǔn) vSwitch 并沒有錯(cuò)，盡管它們比 vSphere Distributed Switch 更難管理。

標(biāo)準(zhǔn) vSwitch 駐留在 ESXi 主機(jī)上，必須在每個(gè)主機(jī)上單獨(dú)配置，有幾種方法可以簡(jiǎn)化此過程，例如使用PowerCLI或主機(jī)配置文件。

網(wǎng)絡(luò)交換機(jī)連接到 ESXi 主機(jī)中的網(wǎng)卡，而 ESXi 主機(jī)中的網(wǎng)卡連接到 ESXi 中的虛擬交換機(jī)。而已！

當(dāng)我們談?wù)?ESXi 主機(jī)的 NIC 時(shí)，我們稱它們?yōu)?vmnic，因?yàn)樗鼈冊(cè)?ESXi 中就是這樣稱呼的。vmincs 總是從 0 開始，所以你的第一個(gè)物理網(wǎng)卡端口將對(duì)應(yīng)于 vmnic0。

您的 ESXi 主機(jī)上可能有多個(gè) vSwitch，具體取決于您設(shè)計(jì)虛擬網(wǎng)絡(luò)的方式。

4、vSphere 分布式交換機(jī)/分布式虛擬交換機(jī)/dvSwitch

在物理方面，標(biāo)準(zhǔn)虛擬交換機(jī)和分布式虛擬交換機(jī)之間沒有太大區(qū)別，我們?nèi)匀灰匀哂喾绞綄?ESXi 主機(jī)中的網(wǎng)卡連接到網(wǎng)絡(luò)交換機(jī)，改變的是虛擬層，以及 VMware vSphere 本身內(nèi)的交換機(jī)。

這是分布式虛擬交換機(jī)的圖片：

如您所見，交換機(jī)配置本身位于 vCenter 服務(wù)器而不是 ESXi 主機(jī)上，當(dāng)然，如果 vCenter 出了什么問題，這可能是個(gè)問題，對(duì)吧？

每個(gè) ESXi 主機(jī)上都有分布式虛擬交換機(jī)配置的副本，正如您在每個(gè)主機(jī)上的亮藍(lán)色交換機(jī)中看到的那樣，這樣，如果 vCenter 發(fā)生問題，我們的虛擬機(jī)就不會(huì)受到影響。

我記得當(dāng)分布式虛擬交換機(jī)在 vSphere 4 中首次出現(xiàn)時(shí)，它讓每個(gè)人都大吃一驚，因?yàn)槲覀兞?xí)慣的做事方式發(fā)生了如此巨大的轉(zhuǎn)變，所以讓我們?cè)俅畏纸馕覀兊?vSphere 分布式交換機(jī)：

每個(gè) vmnic 都連接到分布式虛擬交換機(jī)上的相應(yīng) dvUplink 端口。然后通過 vCenter 服務(wù)器管理分布式虛擬交換機(jī)。關(guān)于這一點(diǎn)的重要部分是分布式虛擬交換機(jī)配置在每個(gè) ESXi 主機(jī)上的設(shè)計(jì)都是相同的。

與標(biāo)準(zhǔn) vSwitch 類似，可以使用 vSphere Client、PowerCLI 或主機(jī)配置文件管理分布式 vSwitch。這里的區(qū)別在于，您在 vCenter 服務(wù)器上配置單個(gè)分布式虛擬交換機(jī)，而不是 ESXi 主機(jī)上的單個(gè)虛擬交換機(jī)。

5、哪種 VMware 虛擬交換機(jī)適合我的環(huán)境？

這是一個(gè)很好的問題，不幸的是沒有唯一的答案。您選擇使用標(biāo)準(zhǔn)虛擬交換機(jī)還是分布式虛擬交換機(jī)將取決于您的環(huán)境的獨(dú)特要求。

在做出選擇時(shí)，重要的是在確定滿足您要求的內(nèi)容時(shí)牢記基礎(chǔ)設(shè)施設(shè)計(jì)質(zhì)量。他們是：

• 可用性
• 可管理性
• 性能
• 可恢復(fù)性
• 安全

按對(duì)項(xiàng)目的重要性對(duì)這些品質(zhì)進(jìn)行排名也可能會(huì)有所幫助。

在宣布您的 VMware vSphere 環(huán)境已準(zhǔn)備好投入生產(chǎn)之前，請(qǐng)務(wù)必廣泛測(cè)試您的 VMware vSphere 網(wǎng)絡(luò)配置。

請(qǐng)記住，vSphere Distributed Switch 確實(shí)需要VMware Enterprise Plus 許可。

6、VMware 中的 NIC 成組策略

VMware 網(wǎng)絡(luò)的另一個(gè)重要組成部分是 NIC 組合。NIC teaming 正在以一種促進(jìn)負(fù)載平衡和防止組件故障的方式設(shè)置我們的虛擬交換機(jī)。

例如，如果我的交換機(jī)連接了兩個(gè)物理網(wǎng)卡，在理想情況下，我希望確保流量流經(jīng)兩個(gè)物理網(wǎng)卡，如果其中一個(gè)網(wǎng)卡或上游交換機(jī)出現(xiàn)故障，我的交換機(jī)將保持操作。

在 VMware vSphere Networking 中有多種方法可以實(shí)現(xiàn)這一點(diǎn)。

現(xiàn)在假設(shè)我們已經(jīng)配置了我們的交換機(jī)，繼續(xù)下一步操作。

7、在虛擬交換機(jī)上配置端口組

當(dāng)我們連接到我們的虛擬交換機(jī)時(shí)，我們會(huì)連接到一個(gè)叫做端口組的東西。端口組顧名思義，就是我們虛擬交換機(jī)上的一組虛擬端口。

有幾種不同類型的端口組：

• 虛擬機(jī)端口組
• VMkernel 端口組

虛擬機(jī)端口組是我們連接虛擬機(jī)的方式。例如，我可能有一個(gè)帶有單個(gè) VLAN、多個(gè) VLAN（VLAN 中繼）的端口組，或者在分布式虛擬交換機(jī)的情況下是專用 VLAN。

至于 VMkernel 端口組，您可能會(huì)問……

8、什么是 VMkernel 端口？

好問題！VMkernel 端口用于 VMware vSphere 中的非虛擬機(jī)流量，正如您在配置網(wǎng)絡(luò)時(shí)截取的屏幕截圖中所見，有許多不同類型的 VMkernel 端口：

至少，每個(gè) ESXi 主機(jī)都有一個(gè) VMkernel 端口用于主機(jī)管理。如果它是 vSphere 集群的成員，它還將有一個(gè)用于 vMotion 的 VMkernel 端口。如果群集是 vSAN 群集，則將有一個(gè)用于 vSAN 的 VMkernel 端口。

如果您正在利用該功能，還將有用于基于 IP 的存儲(chǔ)（例如 iSCSI、NFS 或 FCoE）的 VMkernel 端口和用于容錯(cuò)的 VMkernel 端口。

虛擬機(jī)端口組和 VMkernel 端口組之間的最大區(qū)別在于它傳遞的流量類型，VMkernel 端口正在傳遞特定于 VMware vSphere 的流量，虛擬機(jī)端口組只是傳遞您的各種虛擬機(jī)流量。

您可以在官方 vSphere 網(wǎng)絡(luò)文檔中閱讀有關(guān) VMkernel 系統(tǒng)流量類型的更多信息。

每個(gè) VMkernel 端口都有自己唯一的 IP 地址，您還可以更改 VMkernel 端口上的默認(rèn) MTU 1500。

9、VMware vSwitch 安全設(shè)置

現(xiàn)在我們已經(jīng)涵蓋了 vSphere 網(wǎng)絡(luò)的大部分基礎(chǔ)知識(shí)，我想更深入地挖掘一些涉及 VMware 交換機(jī)配置的領(lǐng)域。VMware vSwitch 安全設(shè)置經(jīng)常被誤解。

這些安全設(shè)置中的每一個(gè)都有兩個(gè)選項(xiàng)：拒絕或接受。

默認(rèn)情況下，這些安全設(shè)置在我剛剛創(chuàng)建的這個(gè)分布式虛擬交換機(jī)端口組上設(shè)置為拒絕，讓我們來看看它們各自的真正含義。

9.1、混雜模式 VMware 安全策略

這聽起來幾乎和它的意思一模一樣。如果混雜模式設(shè)置為接受，虛擬機(jī)的網(wǎng)卡將接受發(fā)送到該端口組上的活動(dòng) VLAN 的所有幀。

這并不安全，但它確實(shí)有其用例。如果您正在運(yùn)行需要檢查所有數(shù)據(jù)包的虛擬機(jī)，例如入侵檢測(cè)系統(tǒng)，您可以將此選項(xiàng)設(shè)置為接受。

默認(rèn)情況下，它被設(shè)置為拒絕，應(yīng)該保持這種狀態(tài)。

9.2、MAC 地址更改 VMware 安全策略

MAC 地址更改著眼于進(jìn)入虛擬機(jī)的入站流量。

當(dāng)涉及到虛擬機(jī)的網(wǎng)絡(luò)接口時(shí)，有幾個(gè)不同的 MAC 地址。

首先，有在虛擬機(jī)的 VMX 文件中指定的 MAC 地址，把這想象成你的虛擬機(jī)有一個(gè)物理 NIC 卡，它是制造商指定的 NIC 卡的 MAC 地址。

還有虛擬機(jī)中指定的 MAC 地址，它與 VMX 文件中的 MAC 地址相同……除非您出于某種原因需要更改它。

在虛擬機(jī)的屬性中，可以更改 MAC 地址。過去我已更改以確保虛擬機(jī)的 MAC 地址與 P2V 后物理機(jī)的 MAC 地址相同，因?yàn)檐浖S可證與 MAC 地址相關(guān)聯(lián)。

在某些有效用例中，這些 MAC 地址可能不同，您必須將 MAC 地址更改設(shè)置為接受。

否則，應(yīng)將其設(shè)置為拒絕，因?yàn)閻阂庑袨檎咭部赡苁褂闷垓_性 MAC 地址對(duì)您的環(huán)境造成嚴(yán)重破壞。

9.3、Forged 傳輸 VMware 安全策略

Forged Transmission 還會(huì)查看虛擬機(jī)的 MAC 地址，但它會(huì)處理傳出流量。

如果這兩個(gè) MAC 地址不匹配，它將丟幀，類似于 MAC 地址更改。

再一次，有一些有效的用例可以將偽造的傳輸設(shè)置為接受，例如嵌套的 ESXi。在這種情況下，我們將發(fā)送各種瘋狂的數(shù)據(jù)包！

偽造傳輸和 MAC 地址更改密切相關(guān)。

10、VMware 中的專用 VLAN

當(dāng)我們談到端口組時(shí)，我們也談到了私有 VLAN。

私有 VLAN 是一種比在 VLAN 級(jí)別隔離流量更細(xì)化的方法，這就是為什么在我們開始安全討論后我要提出它的原因。

專用 VLAN 專用于分布式虛擬交換機(jī)，您的 ESXi 主機(jī)所連接的物理交換機(jī)也必須支持專用 VLAN。

當(dāng)我們使用 PVLAN 時(shí)，我們使用的 VLAN 會(huì)以幾種方式分解：

• 主 PVLAN，這是混雜的。
• 輔助 PVLAN，有兩種類型，community和isolated。

讓我們看看下面這張圖， Primary PVLAN 為綠色，secondary PVLAN 為藍(lán)色。

isolated PVLAN 上的虛擬機(jī)端口只能與主 PVLAN 上的混雜端口通信，虛擬機(jī)端口無法與隔離 PVLAN 上的其他端口通信。

community PVLAN 上的虛擬機(jī)端口以及主 PVLAN 上的混雜端口可以相互通信。

11、VMware vSwitch 安全性摘要

當(dāng)涉及虛擬交換機(jī)的安全策略設(shè)置時(shí)，最好將它們?cè)O(shè)置為拒絕，除非您有特定的用例，如果您確實(shí)有理由需要設(shè)置混雜模式、更改 MAC 地址或偽造傳輸來接受，相應(yīng)地修改安全設(shè)置。

專用 VLAN 是在虛擬網(wǎng)絡(luò)環(huán)境中提供流量分段的另一種方式，請(qǐng)務(wù)必特別注意次要 PVLAN 類型，確保事情按期望的方式工作。

好消息是 PVLAN 設(shè)置很容易更改以進(jìn)行故障排除，VMware vSphere 網(wǎng)絡(luò)文檔中對(duì)此進(jìn)行了進(jìn)一步描述。

12、VMware vSphere 網(wǎng)絡(luò)基礎(chǔ)知識(shí)

了解 VMware vSphere 網(wǎng)絡(luò)基礎(chǔ)知識(shí)對(duì)于 VMware 管理員、網(wǎng)絡(luò)管理員、IT 安全分析師以及幾乎所有需要接觸 VMware vSphere 環(huán)境的人來說都很重要，雖然許多傳統(tǒng)網(wǎng)絡(luò)概念確實(shí)適用于 VMware vSphere，但熟悉虛擬化層的轉(zhuǎn)換方式非常重要。

---