vSphere 网络
一 vSphere网络简介
1 物理网络
为了使物理机之间能够收发数据,在物理机之间建立的网络。VMware ESXi 运行于物理机之上。
2 虚拟网络
在单台物理机上运行的虚拟机之间为了互相发送和接收数据而相互逻辑连接所形成的网络。虚拟机可连接到已创建的虚拟网络。
3 物理以太网交换机
管理物理网络上计算机之间的网络流量。一台交换机可具有多个端口,每个端口都可与网络上的一台计算机或其他交换机连接。可按某种方式对每个端口的行为进行配置,具体取决于其所连接的计算机的需求。交换机将会了解到连接其端口的主机,并使用该信息向正确的物理机转发流量。交换机是物理网络的核心。可将多个交换机连接在一起,以形成较大的网络 4 vSphere 标准交换机
其运行方式与物理以太网交换机十分相似。它检测与其虚拟端口进行逻辑连接的虚拟机,并使用该信息向正确的虚拟机转发流量。可使用上行链路适配器将虚拟网络连接至物理网络,以将 vSphere 标准交换机连接到物理交换机。此类型的连接类似于将物理交换机连接在一起以创建较大型的网络。即使 vSphere 标准交换机的运行方式与物理交换机十分相似,但它不具备物理交换机所拥有的一些高级功能。
5 标准端口组 PortGroup
标准端口组为每个成员端口指定了诸如带宽限制和 VLAN 标记策略之类的端口配置选项。网络服务通过端口组连接到标准交换机。端口组定义通过交换机连接网络的方式。通常,单个标准交换机与一个或多个端口组关联。
6 分布式交换机 vSphere DistributedSwitch
它可充当数据中心中所有关联主机的单一交换机,以提供虚拟网络的集中式置备、管理以及监控。您可以在 vCenter Server 系统上配置 vSphere DistributedSwitch,该配置将传播至与该交换机关联的所有主机。这使得虚拟机可在跨多个主机进行迁移时确保其网络配置保持一致。
7 主机代理交换机
驻留在与 vSphere Distributed Switch 关联的每个主机上的隐藏标准交换机。主机代理交换机会将 vSphere Distributed Switch 上设置的网络配置复制到特定主机。
8 分布式交换机、标准交换机和主机代理交换机三者之间的系
1)在分布式交换机上的配置将会传播至每个主机上隐藏的主机代理交换机上
2)主机代理交换机将分布式交换机上的配置应用在主机上
3)主机代理交换机与分布式交换机同步存在,即分布式交换机存在才会有主机代理交换机
4)标准交换机连接物理主机上的虚拟机,要是想要每台主机上都有同样的配置,就必须一台一台的配置
9 分布式端口
连接到主机的 VMkernel 或虚拟机的网络适配器的 vSphere Distributed Switch上的一个端口。连接网络的方式。通常,单个标准交换机与一个或多个端口组关联。
10 分布式端口组
与 vSphere Distributed Switch 关联的一个端口组,并为每个成员端口指定端口配置选项。分布式端口组可定义通过 vSphere Distributed Switch 连接到网络的方式。
11 小组将物理网络和虚拟网络之间的流量负载分摊给其所有或部分成员,或在出现硬件故障或网络中断时提供被动故障切换。
12 VLAN
VLAN 可用于将单个物理 LAN 分段进一步分段,以便使端口组中的端口互相隔离,如同位于不同物理分段上一样。标准是 802.1Q。
13 VMkernel TCP/IP 网络层
VMkernel 网络层提供与主机的连接,并处理 vSphere vMotion、IP 存储器、Fault Tolerance 和 Virtual SAN 的标准基础架构流量。
14 Trunk Port(Trunking)
Trunk类型的端口可以允许多个VLAN通过,可以接收和发送多个VLAN的报文,一般用于交换机之间连接的端口。
15 VMkernel Port:
Vmkernel Port 提供了ESXi主机之间或者ESXi主机和外部的物理网络直接通讯的端口组,例如ISCSI存储、NFS存储、vMotion,管理网络,FT网络或者VSAN网络等。管理,存储,vmotion网络流量走的都是VMkernel 口,虚拟机端口组走的是业务网络,管理网络的VMkernel 口 ip为主机ip,主机相当于通道
16 Access Port
Access端口只属于1个VLAN,所以它的缺省VLAN就是它所在的VLAN,不用设置,所以只能传输所在VLAN的数据。
17 E1000E/E1000 Adapter
E1000E 是Intel 82574 千兆位以太网网卡的模拟版本。E1000E 是 Windows 8 和 WindowsServer 2012 的默认适配器。E1000 是Intel 82545EM 千兆位以太网网卡的模拟版本,其驱动程序在大多数较新的客户机操作系统中都可用,包括 Windows XP 及更高版本和 Linux 2.4.19 版及更高版本。
18 Vlance Adapter
AMD 79C970 PCnet32 LANCE 网卡的模拟版本,是一种较旧的 10 Mbps 网卡,其驱动程序在 32 位旧版客户机操作系统中可用。配置了该网络适配器的虚拟机可以立即使用其网络.
19 VMXNET Adapter
为在虚拟机中发挥更大的性能而进行了优化,并且没有物理副本。因为操作系统供应商没有为此卡提供内置驱动程序,所以您必须安装 VMware Tools 以便为 VMXNET 网络适配器提供可用的驱动程序。
20 VMXNET 2 Adapter
(增强型) 基于 VMXNET 适配器,但提供常用于现代网络的更高性能的功能,例如巨帧和硬件卸载。VMXNET 2(增强型)只能在 ESX/ESXi 3.5 及更高版本上针对部分客户机操作系统可用。
21 VMXNET 3 Adpter
专为高性能打造的标准虚拟化网卡。VMXNET 3 提供 VMXNET 2 中具备的所有可用功能,并且还另外添加了几项新功能,传输能力是万兆网卡。
22 UpLink:用于关联虚拟交换机和物理网卡
-
- 虚拟机交换机通过上行链路和物理网卡关联来连接外部的物理网络,没有上行链路虚拟机无法和外界通讯。
- ESXi最多能够连接32个1GB的上行链路
- ESXi主机最多能够连接8个10GB的上行链路
- uplink 位于标准交换机上,充当虚拟机与外部网络的桥梁
二 ESXi 中的网络服务
虚拟网络向主机和虚拟机提供了多种服务。可以在 ESXi 中启用两种类型的网络服务:
1 将虚拟机连接到物理网络以及相互连接虚拟机。
2 将 VMkernel 服务(如 NFS、iSCSI 或 vMotion)连接至物理网络。
三 多个网络可在同一个虚拟交换机中共存,也可以存在于多个单独的虚拟交换机中
四 多虚拟网络支持两种类型的虚拟交换机:
1 vNetwork 标准交换机:
1)单个主机的虚拟交换机配置
2)要在多台主机上进行同样的配置,才能保证虚拟机的迁移网络一致,保证迁移后虚拟机可用。
2 vNetwork 分布式交换机:
1)这种虚拟交换机可在跨多个主机迁移虚拟机时为虚拟机提供一致的网络配置
2)一次性部署,在所管理的主机上分布式生成网络配置。
3)横跨多个主机
五 部署网络需要考略的问题
1 是否需要专用的网络来做管理网络、网段?
2 是否为vMotion 设计专用的网络?
3 是否需要一个IP存储网络来连接存储设备ISCSI、NAS/NFS
4 ESXi主机设计多少个网卡
5 网卡的带宽是1GB 还是10GB
6 是否启用FT、VSAN网络
7 是否使用VLAN
六 ESXi中的网络服务
1 虚拟交换机和物理交换机的区别
虚拟交换机和物理的以太网交换机十分相似,能够提供很多物理交换机相同的功能,它们的不同点有以下几点
标准的虚拟交换机不支持动DTP(动态trunk 协商协议)直接是Trunk,不会根据物理网卡协商是否Trunk链路 ,物理交换机会相互协商通信协议,比如,单工,半双工,全双工等协议
标准交换机不支持LACP(链路聚合控制协议),
不支持port channel. LACP相当于多个端口绑在一起
所有虚拟交换机不运行生成树(STP),自身就能够避环路,虚拟交换机之间不会相连
不进行MAC地址学习 (虚拟机开机后直接将ip和mac地址交给虚拟交换机)
不会将来自Uplink的数据包转发到另外的Uplink(限与主机内部)
标准交换机不会在一个主机内形成级联
七 vSphere 标准交换机架构
八 虚拟交换机的功能
虚拟机交换机能够提供那些通讯
-
- 在同一个ESXi主机上的不同虚拟机之间的通讯
- 两个ESXi主机之间通讯
- 不同主机上的虚拟机进行通讯
- ESXi和虚拟机与外部网络进行通讯
- ESXi主机VMkernel与外部的存储
九 实验(创建和管理标准交换机)
1、在客户端添加标准交换机:
2 将vSwitch0 的vmnic1 迁移到vSwitch1上
3 添加vmotion网络:
4 将vSwitch0 的win7-dc 迁移到vSwitch1上
5 删除vSwitch1
1)先将win7-dc 迁移到vSwitch0
2)移除vmotion
3)移除vSwitch1
6 在web端创建标准交换机并添加management管理网络
7 添加虚拟机端口组:
8 添加iscsi网络:
9 将win7-dc加入vSwitch1中
10删除vSwitch1
1)先移除win7-dc
2)在移除iscsi
3)再移除management
4)删除vSwitch
11?给vSwitch0添加vmnic1
1.创建和管理分布式交换机(客户端):
用SSO域用户登陆:点击192.168.9.31--配置--网络
点击主页后面的清单--网络
点击databases--右键新建vssphere distributed switch--选择6.0版本
名称可随便改,上行链路端口数一定要大于物理网卡数--下一步
选择以后添加主机--下一步
勾选自动创建默认端口组--完成
点击上行链路端口组和分布式交换机端口组有具体解释
点击分布式交换机dvswitch 右键添加主机--勾选主机和相应的物理适配器--下一步
下一步--下一步--完成
2.点击dvswitch 右侧有一些管理功能
3.新建端口组:点击右侧新建端口组--填写名称,端口数,VLAN类型--下一步--完
发现新建的分布式端口组已经完成
4.添加vmkernel端口:需要切换到主机和集群模式中--点击主机ip--点击分布式交换机--右上方管理虚拟适配器--vmkernel添加--新建虚拟适配器--选择一个分布式交换机的端口组,勾选选择用于vmotion网络--设置ip:192.168.9.35--完成
5.将标准交换机上的虚拟机迁移到分布式交换机上:点击要迁移的虚拟机--右键编辑设置--网络设配器--网络标签--改为dvportgroup--确定(此操作需要在主机和集群中操作)
查看分布式交换机发现在dvportgroup中多了一个虚拟机
查看标准交换机:发现没有pscvc虚拟机的存在了
或者是将vmk1迁移--点击管理虚拟适配器--选择vmk1--迁移--选择迁移的网络--下一步--完成
发现分布式交换机没有vmk1了
在标准交换机上存在了一个vmk1:192.168.9.35
6.也可以从分布式交换机中的dvportgroup 中迁移到dvportgroup2中(此操作需要在主机集群中操作)
:点击分布式交换机--管理虚拟网络适配器--vmk1--编辑--选择端口组--确定(机会发现原本属于端口组1的vmkernel变成端口组2的了)、
7.对分布式交换机进行移除:需要先把要移除的分布式交换机端口组中的vmkerne和虚拟机都删除或者迁移才可以移除。
点击dvswitch右键--移除--是
移除成功:
一.网页客户端配置分布式交换机;
①新建分布式交换机;
编辑分布式交换机名字;
编辑端口组名字
②给分布式交换机添加主机;
③给分布式交换机分配物理网卡适配器;
④添加VMkernel网络适配器VMK2;
⑤添加VMkernel网络适配器VMK2;
⑥给分布式交换机添加新的分布式端口组;
⑦给分布式交换机的端口分配虚拟机;
⑧将标准交换机的VMkernel端口迁移到分布式交换机;
⑨删除VMK网络适配器、物理网卡适配器;
选择需要更新配置的物理主机;
删除物理网卡适配器;
删除VMK网络适配器;
⑩删除分布式交换机;
管理vSphere的网络策略
策略分类和设置级别:三项网络策略、两种级别。
三项网络策略:1 安全2 流量调整3 网卡绑定
在标准虚拟交换机级别:
用于标准虚拟交换机上的所有端口的默认策略。
是全局的设置,可以针对端口自定义策略。
在端口组级别:
有效策略:在该级别定义的策略将覆盖标准虚拟交换机级别所设置的默认策略。
只针对当前端口生效,并覆盖交换机级别的策略,但其他的端口组还是默认的策略。
注:端口组级别高于交换机级别
安全网络策略:混杂模式、MAC地址更改、伪信号。
混杂模式:
拒绝:虚拟机网络适配器仅接收发送到虚拟机的帧。
接受:虚拟交换机会将所有帧转发到符合虚拟机网络适配器所连接端口的活动VLAN策略的虚拟机。
注:混杂模式是一种不安全的运行模式。防火墙、端口扫描程序、入侵检测系统必须在混杂模式下运行。
MAC地址更改:
拒绝:如果虚拟机操作系统将虚拟机的有效MAC地址更改为与虚拟机网络适配器的MAC地址(在.vmx配置文件中设置)不同的值,则交换机会丢弃所有到适配器的入站帧。
如果虚拟机操作系统将虚拟机的有效MAC地址更改回虚拟机网络适配器的MAC地址,则虚拟机将重新接收帧。
接受:如果虚拟机操作系统将虚拟机的有效MAC地址更改为与虚拟机网络适配器的MAC地址(在.vmx配置文件中设置)不同的值,则交换机将允许传递到新地址的帧。
伪信号:
拒绝:如果从虚拟机适配器发出的出站帧的源MAC地址不同于.VMX配置文件中的源MAC地址,则交换机会丢弃该出站帧。
接受:交换机不执行筛选,并允许所有出战帧通过。
安全策略配置:
流量调整策略:状态、平均带宽、带宽峰值、突发大小。
状态:针对与标准交换机或端口组相关联的每个端口启用了网络带宽分配量的设置限制。
平均带宽:设定每秒允许通过端口的位数,这是一段时间内的平均值(允许的平均负载)。
带宽峰值:发送流量突发时,每秒钟允许通过端口的最大传输卫视。该设置是指流量突发时端口使用的最大带宽。此参数永远不能小于平均带宽。
突发大小:突发中所允许的最大字节数。如果设置了此参数,则在端口没有使用为其分配的所有带宽时可能会获取额外的突发,当端口所需的带宽大于平均带宽所之低昂的值时,如果有额外突发可用,则端口可能会临时以更高的速度传输数据。该参数是指流量突发是可累计且以更高速度传输的最大字节。
流量调整策略配置:
负载均衡策略:基于源虚拟端口(交换机端口)的路由、基于源MAC哈希的路由、基于IP哈希的路由。
基于源虚拟端口(交换机端口)的路由:虚拟交换机可根据 vSphere 标准交换机或 vSphere Distributed Switch 上的虚拟机端口ID 选择上行链路。
ESXi 主机上运行的每个虚拟机在虚拟交换机上都有一个关联的虚拟端口 ID。要计算虚拟机的上行链路,虚拟交换机将使用虚拟机端口 ID 和网卡组中的上行链路数目。虚拟交换机为虚拟机选择上行链路后,只要该虚拟机在相同的端口上运行,就会始终通过此虚拟机的同一上行链路转发流量。除非在网卡组中添加或移除上行链路,否则虚拟交换机仅计算虚拟机上行链路一次。
当虚拟机在同一主机上运行时,虚拟机的端口 ID 固定不变。如果迁移或删除除虚拟机,或者关闭虚拟机电源,则此虚拟机在虚拟交换机上的端口 ID 将变为空闲状态。虚拟交换机将停止向此端口发送流量,这会减少其关联的上行链路的总流量。如果打开虚拟机电源或迁移虚拟机,则虚拟机可能会出现在不同的端口上并使用与新端口关联的上行链路。
优势:
当组中虚拟网卡数大于物理网卡数,流量分布均匀。
资源消耗低,因为在大多数情况下,虚拟交换机仅计算虚拟机上行链路一次。
无需再物理交换机上进行更改。
劣势:
虚拟交换机无法识别上行链路的流量负载,且不会对很少使用的上行链路的流量进行负载均衡。
虚拟机可用的带宽受限于与相关端口ID关联的上行链路速度,除非该虚拟机具有多个虚拟网卡。
基于源MAC哈希的路由:虚拟交换机可基于虚拟机 MAC 地址选择虚拟机的上行链路。要计算虚拟机的上行链路,虚拟交换机将使用虚拟机 MAC 地址和网卡组中的上行链路数目。
优势:
与基于源虚拟端口的路由相比,可更均匀的分布流量,因为虚拟交换机会计算每个数据包的上行链路。
虚拟机会使用 相同的上行链路,因为MAC地址是静态地址,启动后关闭虚拟机不会更改虚拟机使用的上行链路。
无需在物理交换机上进行更改。
劣势:
可用于虚拟机的带宽受限于与相关端口ID关联的上行链路速度,除非该虚拟机使用多个源MAC地址。
资源消耗回避基于源虚拟端口的路由更高,因为虚拟交换机会计算每个数据包的上行链路。
虚拟交换机无法识别上行链路的负载,因此上行链路可能会过载
基于IP哈希的路由:虚拟交换机可根据每个数据包的源和目标 IP 地址选择虚拟机的上行链路。
基于IP哈希的路由配置要求:
1. ESXi 主机支持单个物理交换机或堆栈交换机上的 IP 哈希成组。
2. ESXi 主机仅支持静态模式下的 802.3ad 链路聚合。只能将静态以太通道与 vSphere 标准交换机配
合使用,不支持 LACP。要使用 LACP,必须具有 vSphere Distributed Switch 5.1 及更高版本或 Cicso
Nexus1000V。如果启用 IP 哈希负载平衡但无 802.3ad 链路聚合(或者相反),则可能会遇到网
络中断。
3. 外部物理交换机必须上配置以太通道(port channel )
4. 必须使用“仅链路状态”作为网络故障检测方法,并使用 IP 哈希负载平衡。
5. 必须在“活动故障切换”列表中设置组的所有上行链路。“备用”和“未使用”列表必须为空。
6. 以太通道中的端口数必须与组中的上行链路数相同
优势:
与基于源虚拟端口(交换机端口)的路由和基于源MAC哈希的路由相比,可更均匀的分布负载,因为虚拟交换机会计算每个数据包的上行链路。
与多个IP地址通信的虚拟机可能实现更高的吞吐量。
劣势:
与其他负载平衡算法相比,资源消耗更高。
虚拟交换机无法识别上行链路的实际负载。
需要在物理网络上进行更改。
故障排除较为复杂。