vSphere标准交换机(VSS)与vSphere分布式虚拟机交换机(VDS)

vSphere 标准交换机

可以创建名为 vSphere 标准交换机的抽象网络设备。使用标准交换机来提供主机和虚拟机的网络连接。标准交换机可在同一 VLAN 中的虚拟机之间进行内部流量桥接,并链接至外部网络。

标准交换机概览

要提供主机和虚拟机的网络连接,请在标准交换机上将主机的物理网卡连接到上行链路端口。虚拟机具有在标准交换机上连接到端口组的网络适配器 (vNIC)。每个端口组可使用一个或多个物理网卡来处理其网络流量。如果某个端口组没有与其连接的物理网卡,则相同端口组上的虚拟机只能彼此进行通信,而无法与外部网络进行通信。

下图为VSS的架构:

标准交换机网络架构 标准交换机简称_标准交换机网络架构


vSphere 标准交换机与物理以太网交换机非常相似。主机上的虚拟机网络适配器和物理网卡使用交换机上的逻辑端口,每个适配器使用一个端口。标准交换机上的每个逻辑端口都是单一端口组的成员。

标准端口组

标准交换机上的每个标准端口组都由一个对于当前主机必须保持唯一的网络标签来标识。可以使用网络标签来使虚拟机的网络配置可在主机间移植。应为数据中心的端口组提供相同标签,这些端口组使用在物理网络中连接到一个广播域的物理网卡。反过来,如果两个端口组连接不同广播域中的物理网卡,则这两个端口组应具有不同的标签。

例如,可以创建生产和测试环境端口组来作为在物理网络中共享同一广播域的主机上的虚拟机网络。VLAN ID 是可选的,它用于将端口组流量限制在物理网络内的一个逻辑以太网网段中。要使端口组接收同一个主机可见、但来自多个 VLAN 的流量,必须将 VLAN ID 设置为 VGT (VLAN 4095)。

标准端口数

为了确保高效使用主机资源,在运行 ESXi 5.5 及更高版本的主机上,标准交换机的端口数将按比例自动增加和减少。此主机上的标准交换机可扩展至主机上支持的最大端口数。端口限制基于主机可处理的最大虚拟机数来确定。

虚拟机的端口组配置

可以添加或修改虚拟机端口组,以便对一组虚拟机设置流量管理。

vSphere Web Client 中的添加网络向导将引导您完成与虚拟机相连接的虚拟网络的创建过程,包括创建vSphere标准交换机和配置网络标签设置。

设置虚拟机网络时,需要考虑是否在主机之间的网络中迁移虚拟机。如果需要,请确保两台主机均位于同一广播域(即同一第 2 层子网)内。

ESXi 不支持在不同广播域中的主机之间进行虚拟机迁移,因为迁移后的虚拟机可能需要新网络中不再可访问的系统和资源。即使网络配置设置为高可用性环境或包括可解决不同网络中虚拟机需求的智能交换机,当 ARP表格为虚拟机进行更新并恢复网络流量时,仍会遇到网络延迟。

虚拟机通过上行链路适配器接入物理网络。只有当一个或多个网络适配器附加到 vSphere 标准交换时,vSphere标准交换机才能将数据传输到外部网络。当两个或多个适配器连接到单个标准交换机时,它们便以透明方式进行组合。

vSphere Distributed Switch

vSphere Distributed Switch 为与交换机关联的所有主机的网络连接配置提供集中化管理和监控。您可以在vCenter Server 系统上设置 Distributed Switch,其设置将传播至与该交换机关联的所有主机。

下图为VDS的架构:

标准交换机网络架构 标准交换机简称_标准交换机网络架构_02


可以在 vCenter Server 系统中将 vSphere Distributed Switch 与数据中心相关联。与交换机关联的所有主机的网络连接配置和管理集中在 vCenter Server 系统上。每个关联的主机都具有包含在 Distributed Switch 上配置的主机网络连接设置的主机代理交换机。

例如,如果您将 ESXi A 和 ESXi B 主机关联到 Distributed Switch,并将这两个主机的物理网卡 vmnic1 连接到交换机上的上行链路 1。这样,主机 ESXi A 和 ESXi B 的 vmnic1 会连接到 Distributed Switch 上的上行链路1。在这两个主机的主机代理交换机上,物理网卡 vmnic1 会连接到上行链路端口 1。

为了确保有效地利用主机资源,将在运行 ESXi 5.5 及更高版本的主机上动态地按比例增加和减少代理交换机的分布式端口数。此主机上的代理交换机可扩展至主机上支持的最大端口数。端口限制基于主机可处理的最大虚拟机数来确定。

Distributed Switch 具有一个或多个分布式端口组。可使用分布式端口组向虚拟机提供网络连接并供 VMkernel流量使用。您使用对于当前数据中心唯一的网络标签来标识每个分布式端口组。在与 Distributed Switch 关联的所有主机的主机代理交换机上,也有所创建的各个分布式端口组的副本。对于 Distributed Switch 中的所有主机,为分布式端口组所配置的策略是一致的。

VLAN ID 是可选的,它用于将端口组流量限制在物理网络内的一个逻辑以太网网段中。除了 vSphere Distributed Switch 以外,vSphere 5 还为第三方虚拟交换机提供支持。

在 vSphere Distributed Switch 上管理主机网络的任务

您可以为 vSphere Distributed Switch 添加新主机、将网络适配器连接到交换机以及从交换机移除主机。在生产环境中,当您管理 Distributed Switch 上的主机时,可能需要保持虚拟机和 VMkernel 服务的网络连接有效。转载至-明辰智航云安网络与虚拟化性能管理系统 为 vSphere Distributed Switch 添加主机

在为 Distributed Switch 添加主机之前,应考虑做好环境准备。

  1. 为虚拟机网络创建分布式端口组。
  2. 为 VMkernel 服务创建分布式端口组。例如,为管理网络、vMotion 和 Fault Tolerance 创建分布式端口组。
  3. 在 Distributed Switch 上为要连接交换机的所有物理网卡配置足够的上行链路。例如,如果要连接Distributed Switch 的每个主机都有八个物理网卡,则在 Distributed Switch 上配置八个上行链路。
  4. 确保为具有特殊网络要求的服务准备了 Distributed Switch 的配置。例如,iSCSI 对用来连接 iSCSIVMkernel适配器的分布式端口组的成组和故障切换配置具有特殊要求。
    可以在 vSphere Web Client 中使用 添加和管理主机向导一次添加多个主机。
    在 vSphere Distributed Switch 上管理网络适配器为 Distributed Switch 添加主机后,可以将物理网卡连接到交换机上的上行链路、配置虚拟机网络适配器以及管理 VMkernel 网络。
    如果 Distributed Switch 上的部分主机与数据中心内的其他主机关联,可以将网络适配器迁移到 Distributed Switch,或者从 Distributed Switch 中迁移出网络适配器。
    如果迁移虚拟机网络适配器或 VMkernel 适配器,应确保目标分布式端口组至少有一个活动的上行链路,并且该链路与主机上的物理网卡连接。另一个方法是同时迁移物理网卡、虚拟网络适配器和 VMkernel 适配器。
    如果迁移物理网卡,至少应使一个网卡处于活动状态,以处理端口组的流量。例如,如果 vmnic0 和 vmnic1 处理 VM Network 端口组的流量,则迁移 vmnic0,并使 vmnic1 与该组保持连接。
    从 vSphere Distributed Switch 移除主机
    从 Distributed Switch 移除主机之前,必须将使用中的网络适配器迁移到不同的交换机。
    要在不同的 Distributed Switch 中添加主机,可以使用添加和管理主机向导将主机上的所有网络适配器一起迁移到新的交换机。然后便可以从当前的 Distributed Switch 中安全地移除主机。
    要将主机网络迁移到标准交换机,必须分阶段迁移网络适配器。例如,使每个主机上的一个物理网卡与交换机保持连接以保证网络连接有效,即可从 Distributed Switch 移除主机上的物理网卡。接着,将物理网卡连接到标准交换机,并将 VMkernel 适配器和虚拟机网络适配器迁移到交换机。最后,将与 Distributed Switch 保持连接的物理网卡迁移到标准交换机。
    在 vSphere Web Client 中将主机添加至 vSphere Distributed Switch
    要使用 vSphere Distributed Switch 管理 vSphere 环境的网络,必须将主机与交换机关联。可以将主机的物理网卡、VMkernel 适配器和虚拟机网络适配器连接到 Distributed Switch。
    前提条件
  5. 验证 Distributed Switch 上有足够的可用上行链路,可以分配给要连接交换机的物理网卡。
  6. 确认在 Distributed Switch 上至少有一个分布式端口组。
  7. 确认分布式端口组的成组和故障切换策略中已配置了活动上行链路。
    如果为 iSCSI 迁移或创建 VMkernel 适配器,请确认目标分布式端口组的成组和故障切换策略满足 iSCSI 的要求:
  8. 确认只有一个上行链路处于活动状态,待机列表为空,其余上行链路未被使用。
  9. 确认每个主机只有一个物理网卡分配给活动上行链路。
    网络最佳做法:
  10. 与用于主机管理、vSphere vMotion、vSphere FT 等的网络相互隔离,从而提高安全性和性能。
  11. 将一组虚拟机分配到单独的物理网卡上。这种分离方法可以使总网络工作负载的一部分平均地分摊到多个CPU 上。例如,隔离的虚拟机可更好地处理应用程序流量(例如来自 Web Client 的流量)。
  12. 要以物理方式分离网络服务并且专门将一组特定的网卡用于特定的网络服务,请为每种服务创建 vSphere标准交换机或 vSphere Distributed Switch。如果此操作无法实现,可以通过将网络服务附加到具有不同VLAN ID 的端口组,以便在一个交换机上将它们分离开。在这两种情况下,都与网络管理员确认所选的网络或 VLAN 是否与环境中的其他部分隔离,即没有与其相连的路由器。
  13. 在单独的网络上保持 vSphere vMotion 连接。在进行 vMotion 迁移时,客户机操作系统内存的内容将通过该网络传输。通过使用 VLAN 对单个物理网络分段,或者使用单独的物理网络(后者为首选),可以实现这一点。
  14. 将直通设备与 Linux 内核 2.6.20 或更低版本配合使用时,请避免使用 MSI 和 MSI-X 模式,因为这会明显影响性能。
  15. 可以在不影响虚拟机或在交换机后端运行的网络服务的前提下,向标准或 Distributed Switch 添加或从中移除网络适配器。如果移除所有正在运行的硬件,虚拟机仍可互相通信。如果保留一个网络适配器原封不动,则所有的虚拟机仍然可以与物理网络相连。
  16. 为了保护大部分敏感的虚拟机,请在虚拟机中部署防火墙,以便在带有上行链路(连接物理网络)的虚拟网络和无上行链路的纯虚拟网络之间路由。
  17. 为获得最佳性能,请使用 VMXNET 3 虚拟机网卡。
  18. 连接到同一 vSphere 标准交换机或 vSphere Distributed Switch 的物理网络适配器还应该连接到同一物理网络。
  19. 配置 vSphere Distributed Switch 中 MTU 相同的所有 VMkernel 网络适配器。当多个 VMkernel 网络适配器连接到 vSphere Distributed Switch 但配置了不同的 MTU 时,您可能会遇到网络连接问题。
  20. 创建分布式端口组时,请不要使用动态端口绑定。自 ESXi 5.0 开始,已弃用动态端口绑定。