Існує багато статей про те, як настроїти мережу на VMware ESX, але вони здебільшого англійською, або зачіпають можливості тонкої настройки мережі. Судячи з питань, найчастіше задаються мені, у багатьох російських адміністраторів не вистачає якраз базових знань і розуміння, як все працює. Постараюся в декількох постах розкрити тему мереж в VMware vSphere.

Ключовий компонент віртуальної мережевої інфраструктури vSphere - vSwitch, віртуальний L2 комутатор. vSwitch буває двох типів - Standard vSwitch, і c виходом vSphere 4.0 з'явився vNetwork Distributed vSwitch (vDS). Ми будемо розглядати Standard vSwitch, присутній в будь-якій редакції vSphere, в тому числі і безкоштовною.

vSwitch працює під управлінням гипервизора (vmkernel) і відповідає за все мережеві операції хоста, в тому числі він забезпечує проходження керуючого трафіку. Всі мережеві компоненти ESX (i) хоста підключаються до vSwitch через "портгруппи", про які ми поговоримо пізніше. Також звертаю вашу увагу, що за замовчуванням розмова піде про пристрій мережі в ESX, на 95% збігається з ESXi.

vSwitch дуже багатий функціями, і про них я розповім в наступних постах:

• Security
  • Promiscuous mode enable / disable
  • MAC Address Change enable / disable
  • Forged Transmit enable / disable
• Traffic Shaping Configuration (outbound traffic only)
  • Average Bandwidth
  • Peak Bandwidth
  • Burst Size
• NIC Teaming Policies
• Load Balancing Policies
  • vSwitch Port Based
  • MAC Address Based
  • IP Hash Based
  • Explicit Failover Order
• Network Path Failure Detection
  • Link State
  • Beacon Probing
• Cisco Discovery Protocol (CDP)

Так само хочу звернути вашу увагу на різницю між vSwitch і pSwitch (фізичним L2 комутатором):

• vSwitch не вивчає MAC адреси з поточного трафіку
• vSwitches не бере участі в Spanning Tree
  • vSwitch не може створити мережеву петлю

vSwitch обрабаитвает наступні типи трафіку:

• Управляюшім трафік ESX Service Console
• Мережевий трафік VMkernel
  • Трафік vMotion між хостами
  • Трафік Fault Tolerance між хостами
  • IP Storage (iSCSI і NFS) трафік
  • Керуючий трафік ESXi
• Трафік між ВМ і мережевими пристроями

У спрощеному вигляді це виглядає так (портгруппи не вказані навмисно).

На одному ESX хості можна створити до 248 Standard vSwitch (vSphere 4.0 Configration Maximums). Наступний малюнок показує досить поширений варіант використання декількох vSwitch для поділу трафіку.

Важливо знати одну особливість vSwitch - ВМ, підключені до різних vSwitch на одному хості, спілкуватимуться через зовнішню мережу. Пряме з'єднання vSwitch між собою неможливо. Тому неможливо і освіту петель.

vSwitch - мережеве пристрій, що працює на L2, канальному рівні мережевий моделі OSI . Як будь-який пристрій другого рівня, vSwitch відповідає за доставку пакетів сусіднім пристроїв і не може здійснювати маршрутизацію. Тому якщо виникає необхідність доставки пакета в сегмент мережі, безпосередньо не підключений до vSwitch, то потрібна наявність додаткового маршрутизирующего пристрої (фізичного або віртуального).

Істотне архітектурне відміну віртуальної інфраструктури від звичної фізичної в тому, що vSwitch бере на себе забезпечення відмовостійкості мережевого з'єднання. У більшості фізичних середовищ відмовостійкість досягається додаванням додаткової мережевої карти. Ці мережеві інтерфейси "зв'язуються" за допомогою спеціального ПО для підтримки агрегації (об'єднання пропускної здатності декількох мережевих інтерфейсів в одному логічному) або failover (при падінні одного з лінків трафік автоматично перемикається на інший - не знайшов адекватного перекладу терміна).

Так виглядає відмовостійкість у фізичному середовищі.

А так - у віртуальному.

Легко помітити, що кількість мережевих портів скоротилося з 8 до 2 при збереженні ефективного рівня відмовостійкості.

vSwitch підтримує IEEE 802.1Q VLAN Tagging, розширення, що дозволяє ділити фізичну мережу на кілька віртуальних. Для ESX характерні три режими роботи з VLAN:

• Virtual Guest Tagging (VGT) - мережеві пакети пересилаються ВМ через vSwitch в незайманому вигляді, разом з VLAN тегами 802.1Q. Для включення даного режиму необхідно вказати VLAN ID = 4095 у властивостях портгруппи.
• External Switch Tagging (EST) - цей метод наболее поширений в фізичних мережах. VLAN теги додаються і обрізаються при передачі трафіку на фізичному комутаторі, тому пакет, який досяг сервера, уже не матиме ніякого тега.
• Virtual Switch Tagging (VST) - цей метод поширений в віртуальних інфраструктурах VMware. У режимі VST VLAN теги обробляються на vSwitch, а гостьова ОС працює з нетегірованним трафіком.

При роботі в VST режимі vSwitch підтримує визначення VLAN'ов через властивості портгрупп, і кожен VLAN бачиться як окрема L2 мережу. Таким чином, потрібно пристрій L3 для маршрутизації трафіку між VLAN'амі.

Невеликий приклад. Скажімо, у нас є сервер, якому потрібен доступ в кілька VLAN'ов.

Якщо ми зробимо те ж саме у віртуальній інфраструктурі, картинка буде такою.

Зверніть увагу, що для віртуальної машини не потрібно Storage VLAN, він обробляється на рівні ESX і надається ВМ в формі SCSI пристроїв.

А якщо машин стає більше, то додаткових портів нам все одно не потрібно.

Короткий уявлення і VLANах і EST режимі ми отримали, тепер перейдемо до VST режиму. Для включення VST режиму досить вказати VLAN ID у властивостях портгруппи. Зверніть особливу увагу, що для роботи в VST режимі ваш фізичний комутатор, до якого підключений ESX, повинен вміти працювати з 802.1Q трафіком!

Тепер ми можемо позбутися від зайвих мережевих інтерфейсів, пустивши весь трафік по одному Транки. vSwitch автоматично визначить кому призначений трафік, відріже VLAN тег і направить пакет в необхідний vNIC.

А пам'ятаєте що ми говорили про рівень L2 і vSwitch? vSwitch не може маршрутизировать трафік між різними VLAN, тому для того, щоб ВМ з VLAN 100 змогли працювати з ВМ з VLAN 200, пакети повинні вийти з vSwitсh по аплинк-порту (pNIC) і дістатися до L3 пристрої (маршрутизатора).

Віртуальні мережі в VMware vSphere. Standard vSwitch - частина 2.

При написанні статті використані матеріали " The Great vSwitch Debate "By Ken Cline.

Антон Жбанков

http://blog.vadmin.ru