详情
本书介绍VMware网络虚拟化产品NSX,包括NSX的体系结构和安装配置、基于NSX的分布式防火墙的配置与使用以及基于NSX负载均衡等内容。本书虚拟化平台采用VMware vSphere 7.0 U1版本,NSX-V采用6.4.8版本,NSX-T采用3.1.0版本。
本书内容比较丰富,操作步骤比较清晰,讲解比较细致,适合读者自学和课堂教学。本书可供虚拟化技术爱好者、虚拟化数据中心管理员和系统集成商参考,也可作为培训机构的教学用书。
书名:VMware NSX网络虚拟化入门
ISBN:978-7-115-56622-5
本书由人民邮电出版社发行数字版。版权所有,侵权必究。
您购买的人民邮电出版社电子书仅供您个人使用,未经授权,不得以任何方式复制和传播本书内容。
我们愿意相信读者具有这样的良知和觉悟,与我们共同保护知识产权。
如果购买者有侵权行为,我们可能对该用户实施包括但不限于关闭该帐号等维权措施,并可能追究法律责任。
著 王春海
责任编辑 王峰松
人民邮电出版社出版发行 北京市丰台区成寿寺路11号
邮编 100164 电子邮件 315@ptpress.com.cn
网址 http://www.ptpress.com.cn
读者服务热线:(010)81055410
反盗版热线:(010)81055315
本书介绍VMware网络虚拟化产品NSX,包括NSX的体系结构和安装配置、基于NSX的分布式防火墙的配置与使用以及基于NSX负载均衡等内容。本书虚拟化平台采用VMware vSphere 7.0 U1版本,NSX-V采用6.4.8版本,NSX-T采用3.1.0版本。
本书内容比较丰富,操作步骤比较清晰,讲解比较细致,适合读者自学和课堂教学。本书可供虚拟化技术爱好者、虚拟化数据中心管理员和系统集成商参考,也可作为培训机构的教学用书。
这是一本VMware NSX网络虚拟化入门书。
VMware公司是一家比较优秀的公司,从推出适合个人用户的虚拟机产品 VMware Workstation,到推出工作组级产品VMware GSX Server和VMware Server,再到推出企业级虚拟化产品VMware ESX Server和VMware ESXi,VMware公司的虚拟化产品都在“引领时代”。
说到VMware公司,不得不提vSphere。vSphere是VMware公司的核心产品和基础平台,VMware公司的其他产品大多数基于vSphere开发或者是为vSphere产品服务的。vSphere 是业界领先的计算虚拟化平台,提供虚拟机和虚拟网络功能。vSphere主要包含两个产品:ESXi和vCenter Server。ESXi是基础业务平台,安装在物理服务器上,是虚拟化的核心产品,提供虚拟机和虚拟网络功能;vCenter是管理平台,用于管理多台ESXi并组成集群。大多数情况下,vCenter Server是运行在ESXi中的一台虚拟机。简单来说,vSphere提供虚拟机和虚拟交换机等虚拟设备,虚拟机通过虚拟交换机接入物理网络并为用户提供服务。vSphere中的虚拟交换机相当于二层可网管的交换机,vSphere中的虚拟交换机没有三层功能,如果为虚拟机分配了不同网段的IP地址,虚拟机之间的通信需要由上层的物理交换机或路由器提供数据转发服务。
NSX是VMware公司的网络虚拟化产品,NSX提供了虚拟交换机、虚拟路由器和虚拟防火墙等一系列虚拟网络设备,它可以实现L2到L7层的网络服务。在使用由NSX提供的虚拟网络设备时,虚拟机之间的通信不需要借助物理网络设备,仅通过NSX就可以实现。
NSX包括两个产品,分别是NSX-V和NSX-T。NSX-V只用于VMware vSphere环境;NSX-T是跨平台产品,除了可以用于VMware vSphere环境,还可以用于KVM、OpenStack、Kubernetes和Docker。NSX-V的全称是NSX Data Center for vSphere,NSX-T的全称是NSX-T Data Center。
本书共8章:第1章至第3章,介绍vSphere与vSphere虚拟网络;第4章至第5章,介绍NSX-V网络虚拟化体系架构、NSX-V网络组建、NSX-V分布式防火墙和NSX Edge防火墙;第6章至第8章,介绍NSX-T网络虚拟化体系架构、NSX-T网络组建、NSX-T防火墙和入侵检测等。
学习本书需要有一定的实验条件,例如至少需要一台主机用于安装ESXi,一台笔记本或台式计算机用于管理vSphere。推荐至少2台主机和1台共享存储组成的虚拟化环境,或者至少3台主机组成的vSAN实验环境。此外,还需要1台具有三层可网管功能的交换机,至少1台路由器或防火墙连接到Internet。
学习本书还需要有一定的vSphere虚拟化基础,例如需要了解VMware虚拟化基础知识,能安装配置vCenter Server与ESXi,能创建管理虚拟机等。同时需要有一定的网络基础,需要了解IP地址、子网掩码、路由和交换等基础的网络知识。
本书每一章都包含一个或多个实验环境,每个实验环境都有网络拓扑图,实验中用到的物理机或虚拟机、物理交换机或虚拟交换机、物理路由器或虚拟网络设备都规划了IP地址、子网掩码、网关和DNS。读者在学习这些内容时,最好将对应的拓扑图打印或画出来,然后根据自己的实验环境做一个对比表格,在对比表格中分别记录书中示例的IP地址和自己实验环境中规划的IP地址,子网掩码、网关和DNS等参数也要对照列出,对照书中的内容进行实验。读者可以先按照书中的内容操作一遍,在实验成功之后,再根据自己的实际情况做出改动。
作者在学习NSX的初期是比较费劲的,因为看到的介绍NSX的图书和资料大多数只介绍NSX产品本身,对于“从NSX虚拟网络到物理网络之间怎么连接”“物理网络一端如何配置”,这些我认为最重要的内容基本没有介绍。作者认为,对于网络虚拟化的产品学习,如果不介绍物理网络,不介绍怎样从虚拟网络连接到物理网络,那虚拟网络就成了无源之水、无本之木。本书的NSX-V与NSX-T章节都详细介绍了从虚拟网络到物理网络的连接,以及物理交换机与NSX虚拟网络互联的内容。
这本书可能不会让读者对NSX有多深的了解,但是,通过对这本书的学习,读者理解物理网络与vSphere虚拟网络以及NSX虚拟网络之间的关系、学会NSX安装配置、学会规划与设计NSX虚拟网络、掌握NSX组网与基本应用,应该是没有问题的。
尽管写作本书时,作者已经为每章精心设置了应用场景和实验案例,并且考虑到一些相关企业的共性问题。但是,就像天下没有完全相同的两个人一样,每个企业都有自己的特点和特定的需求。所以,书中设计的案例可能并不能完全适合读者的企业,在应用时应该根据实际情况进行变更。
作者写作本书的时候是尽自己最大的努力来完成的,但有些技术问题,尤其是比较难的问题落实到书面上的时候,可能不好理解。读者在阅读的时候,看一遍可能会看不懂,这时就需要多思考、多实践。阅读技术类的图书,不能像看流行的小说,或像“吃快餐”一样一带而过。阅读技术类的图书需要多加思考。技术类图书尤其是专业的技术类图书,学习起来相对来说是比较枯燥的。但是,“世上无难事,只要肯登攀”,我们通过不懈的学习和努力,肯定可以达成我们的学习目标!
本书作者王春海,1993年开始学习计算机知识,1995年开始从事网络与集成方面的工作。在1996年至1999年主持组建河北省国税、地税和石家庄市铁路分局的广域网组网工作,近年来一直从事政府与企事业单位的系统集成与虚拟化数据中心的规划设计与实施工作。在多年的工作中作者解决过许多疑难问题,受到客户的好评。一些典型问题的解决方法和案例发表在作者的个人博客中,感兴趣的读者可以查阅。
作者最早于2000年学习使用VMware公司的虚拟化产品,从最初的VMware Workstation 1.0到现在的VMware Workstation 16.0,从VMware GSX Server 1.0到VMware GSX Server 3.0和VMware Server,从VMware ESX Server 1.0再到VMware ESXi 7.0 U1c,作者亲历过每个版本的产品的使用。作者从2004年开始使用及部署VMware Server(VMware GSX Server)和VMware ESXi(VMware ESX Server),已经为许多地方政府和企业成功部署并应用至今。作者成功实施的虚拟化版本有ESX Server 3.5、4.0、4.1,vSphere 5.0、5.1、5.5,vSphere 6.0、6.5、6.7。近两年,作者已经为多家企事业单位实施了从vSphere 6.0到vSphere 6.5或vSphere 6.7的升级,以及vSphere 7.0的全新安装工作,作者早期实施的虚拟化项目正常运行多年并且在需要的时候顺利升级到了更新的版本。
早在2003年,作者即在人民邮电出版社出版了第一本虚拟机方面的专著《虚拟机配置与应用完全手册》,而近几年出版的图书有《VMware vSphere 6.5企业运维实战》和《VMware vSAN超融合企业应用实战》,分别介绍vSphere 6.5与vSphere 6.7的内容,有需要的读者可以参考选用。
此外,作者还熟悉Microsoft虚拟化技术,熟悉Windows操作系统、Microsoft的Exchange、ISA、OCS、MOSS等服务器产品,是2009年度Microsoft Management Infrastructure方向的MVP(微软最有价值专家)、2010—2011年度Microsoft Forefront(ISA Server)方向的MVP、2012—2015年度Virtual Machine 方向的MVP、2016—2018年度Cloud and Datacenter Management方向的MVP。
由于作者水平有限,并且本书涉及的系统与知识点很多,尽管作者力求完善,但仍难免有不妥之处,诚恳地期望广大读者不吝赐教。作者个人QQ:2634258162,QQ群:297419570。
如果读者遇到VMware虚拟化方面的问题,在网上搜索作者的名字再加上问题的关键字,一般便可找到作者写的相关文章。例如,如果读者有VMware Workstation虚拟机与vSphere虚拟机导入、导出问题,可以搜索“王春海 虚拟机交互”;如果遇到Horizon虚拟桌面登录后黑屏,可以搜索“王春海 黑屏”。
如果需要观看视频,读者可浏览51CTO学院的官网,找到讲师“王春海”的页面观看。对于收费视频,本书读者可以最高七折优惠购买,请通过QQ联系作者获得优惠券。
最后,谢谢大家,感谢每一位读者!你们的认可,是我最大的动力!
王春海
2021年1月
本书由异步社区出品,社区(https://www.epubit.com/)为您提供相关资源和后续服务。
本书提供如下资源:
书中彩图文件。
要获得以上配套资源,请在异步社区本书页面中单击
,跳转到下载界面,按提示进行操作即可。注意:为保证购书读者的权益,该操作会给出相关提示,要求输入提取码进行验证。
如果您是教师,希望获得教学配套资源,请在社区本书页面中直接联系本书的责任编辑。
作者和编辑尽最大努力来确保书中内容的准确性,但难免会存在疏漏。欢迎您将发现的问题反馈给我们,帮助我们提升图书的质量。
当您发现错误时,请登录异步社区,按书名搜索,进入本书页面,单击“提交勘误”,输入错误信息,单击“提交”按钮即可。本书的作者和编辑会对您提交的错误信息进行审核,确认并接受后,您将获赠异步社区的100积分。积分可用于在异步社区兑换优惠券、样书或奖品。
我们的联系邮箱是contact@epubit.com.cn。
如果您对本书有任何疑问或建议,请您发邮件给我们,并请在邮件标题中注明本书书名,以便我们更高效地做出反馈。
如果您有兴趣出版图书、录制教学视频,或者参与图书翻译、技术审校等工作,可以发邮件给我们;有意出版图书的作者也可以到异步社区在线投稿(直接访问www.epubit.com/ selfpublish/submission即可)。
如果您所在的学校、培训机构或企业,想批量购买本书或异步社区出版的其他图书,也可以发邮件给我们。
如果您在网上发现有针对异步社区出品图书的各种形式的盗版行为,包括对图书全部或部分内容的非授权传播,请您将怀疑有侵权行为的链接发邮件给我们。您的这一举动是对作者权益的保护,也是我们持续为您提供有价值的内容的动力之源。
“异步社区”是人民邮电出版社旗下IT专业图书社区,致力于出版精品IT技术图书和相关学习产品,为作译者提供优质出版服务。异步社区创办于2015年8月,提供大量精品IT技术图书和电子书,以及高品质技术文章和视频课程。更多详情请访问异步社区官网https://www.epubit.com。
“异步图书”是由异步社区编辑团队策划出版的精品IT专业图书的品牌,依托于人民邮电出版社数十年的计算机图书出版积累和专业编辑团队,相关图书在封面上印有异步图书的LOGO。异步图书的出版领域包括软件开发、大数据、人工智能、测试、前端、网络技术等。
异步社区
微信服务号
虚拟化主要解决计算、存储、网络等3个方面的问题。在规划设计虚拟化数据中心的时候,在产品选型阶段要根据企业的需求和预算,在计算(主要是CPU和内存)、存储、网络三者之间进行合理的选择。本章简要介绍虚拟化数据中心的组成和虚拟机网络基础知识。
如果企业需要同时运行的虚拟机数量较少,并且在不考虑硬件冗余的前提下,可以配置单台服务器实施虚拟化。单台服务器的硬件选择主要指对服务器的CPU、内存、硬盘和网络进行选择。
单台服务器提供虚拟化应用没有多台服务器的冗余,但服务器本身的配件还是需要有一定的冗余。例如为服务器配置2个电源和2颗CPU,配置多块硬盘和RAID卡为数据存储提供冗余,还可以通过配置多块网卡或多端口网卡实现网络的冗余。单台服务器虚拟化网络拓扑如图1-1-1所示。
图1-1-1 单台服务器虚拟化网络拓扑
在实验测试需求或者可靠性要求不高的场合下,单台服务器虚拟化可以不配置冗余硬件,例如服务器可以配置1个电源和1颗CPU,可以配置单条内存和1块硬盘。当中小企业物理服务器数量较少,并且允许服务器硬件故障后停机维修时,单台服务器虚拟化就比较适合。下面介绍一个具体的应用案例。
某单位原有9台物理服务器,这些服务器已经使用多年需要更换。现有服务器的用途和IP地址等情况整理如表1-1-1所列。
表1-1-1 现有服务器的用途和IP地址等情况
| 序号 | 业务系统名称 | IP地址 | 主机CPU | 内存 | 硬盘 | ||
| 型号 | 使用率 | 配置内存/GB | 已使用/GB | 已使用/GB | |||
| 1 | 主域控服务器 | 172.16.100.254 | Xeon E5410 | 28% | 2 | 1.1 | 52.8 |
| 2 | 辅助域服务器 | 172.16.100.250 | Xeon E5110 | 46% | 4 | 2 | 63.1 |
| 3 | 迈克菲杀毒服务器 | 172.16.100.242 | Xeon E5410 | 88% | 2 | 1.57 | 25 |
| 4 | 补丁服务器 | 172.16.100.220 | Xeon E5110 | 42% | 5 | 3.8 | 81.1 |
| 5 | 办事处远程服务器 | 172.16.100.249 | i5-2300 | 30% | 8 | 3 | 50 |
| 6 | 项目管理系统 | 172.16.100.248 | i5-4690 | 15% | 8 | 2.5 | 46 |
| 7 | 辅助ERP服务器 | 172.16.100.247 | Core E4650 | 30% | 4 | 1.5 | 54 |
| 8 | 主ERP服务器 | 172.16.100.251 | Xeon 5160 | 35% | 4 | 1.5 | 102 |
| 9 | 数据库服务器 | 172.16.100.252 | Xeon 5160 | 30% | 4 | 2.3 | 58 |
对于表1-1-1所列的现有物理机,如果使用虚拟化技术,一般按如下原则配置。
(1)根据现有业务系统服务器及应用,按1:1的比例配置虚拟机,即原有1台物理机则配置1台对应的虚拟机。
(2)在配置每台虚拟机的时候,CPU资源按原物理机已使用资源3至5倍分配,内存按已使用内存3至5倍分配,虚拟机硬盘容量大小按现有使用空间2至3倍分配。
对于当前应用案例,根据用户现状和预算,配置了一台DELL R740的服务器,该服务器配置了1颗Intel Gold 5218的CPU和128GB内存,系统和数据配置了6块1.2TB的硬盘,数据备份配置了1块12TB的硬盘。当前选择的服务器配置了12个3.5英寸盘位。配置的6块1.2TB的硬盘是2.5英寸的,SAS接口,采用了3.5英寸转2.5英寸的转换托架。12TB的硬盘是3.5英寸的,NL-SAS接口,用作虚拟机的备份。6块1.2TB的硬盘使用RAID-5划分为2个卷,第1个卷大小为10GB,用于安装VMware ESXi 6.0的虚拟化系统;剩余的空间划分为第2个卷,剩余总空间约为5.45TB,用来保存虚拟机。
当前选择的服务器配置了4端口1Gbit/s的网卡,其中2个端口配置为vSwitch0虚拟交换机,用于ESXi主机与vCenter Server的管理;另2个端口配置为vSwitch1虚拟交换机,用于虚拟机的流量。服务器虚拟化拓扑如图1-1-2所示。
图1-1-2 服务器虚拟化拓扑
虚拟化平台规划IP地址与用途如表1-1-2所列。
表1-1-2 虚拟化平台规划IP地址与用途
| 序号 |
IP地址 |
用途 |
|---|---|---|
| 1 |
172.16.100.100 |
物理服务器安装ESXi之后的管理地址 |
| 2 |
172.16.100.101 |
服务器iDRAC的IP地址,能通过浏览器登录管理服务器、查看服务器的硬件信息,也能以远程KVM方式管理服务器,例如服务器开机、关机、重启等操作,重启服务器并进入BIOS设置,为服务器安装系统等 |
| 3 |
172.16.100.245 |
vCenter Server的IP地址,用来管理ESXi服务器 |
主要安装配置步骤和过程如下。
(1)服务器到位之后,将6块1.2TB的硬盘安装在服务器前6个插槽中,将12TB的3.5英寸硬盘安装在第7个插槽中。
(2)打开服务器的电源并进入RAID配置界面,将6块1.2TB的硬盘采用RAID-5配置并划分为2个卷。第1个卷大小为10GB,第2个卷使用剩余的空间(大小约为5.45TB),初始化第1个和第2个卷。将12TB的硬盘配置为Non-RAID方式。配置完成后退出RAID配置界面,按Ctrl+Alt+Del组合键重新启动服务器。
(3)使用VMware ESXi 6.0的安装盘启动服务器,将VMware ESXi 6.0安装到10GB的卷中。安装完成后重新启动服务器,再次进入ESXi系统后按F2键进入ESXi控制台配置界面,选择vmnic0和vmnic1为管理接口,并设置ESXi服务器的管理IP地址为172.16.100.101。子网掩码与网关根据实际情况设置。
(4)将服务器的4块网卡接入网络。在本示例中,4块网卡都连接到交换机的Access端口,并且划分的地址属于172.16.100.0/24的网段。
(5)使用网络中一台计算机作为管理工作站,在该计算机中安装vSphere Client 6.0,安装之后运行vSphere Client并连接到VMware ESXi,然后安装vCenter Server 6.0。本示例中vCenter Server的IP地址为172.16.100.245。
(6)将6块1.2TB硬盘采用RAID-5配置并划分的第2个卷添加为VMFS数据存储,本示例中数据存储名称为Data。将12TB的硬盘添加为VMFS数据存储,数据存储名称为Veeam-backup。删除安装ESXi系统所在的VMFS卷(该卷剩余大小约为5GB),因为该卷剩余空间很小,后期也不会用到。删除此数据存储不影响ESXi主机的启动。
(7)使用vSphere Client连接到vCenter Server,在vCenter Server中创建数据中心,并添加IP地址为172.16.100.101的ESXi。
(8)创建名为vSwitch1的虚拟交换机,使用vmnic2和vmnic3的端口,并为vSwitch1创建端口组。
(9)使用VMware Converter 迁移物理机到虚拟机。在迁移的过程中,目标虚拟机保存在名为Data的数据存储中,不要保存在12TB的数据存储中。每迁移完成一台虚拟机,把对应的物理机网线拔下或者关闭对应的物理机,进入虚拟机控制台,在虚拟机中设置原来的物理机对应的IP地址、子网掩码、网关与域名服务器(Domain Name Server,DNS),用虚拟机代替原来物理机对外提供服务。如果虚拟机对外服务正常,下架原来的物理机。这样一一将所有的物理机迁移到虚拟机。
(10)创建一台基于Windows Server 2016或Windows Server 2019的虚拟机,安装Veeam 10.0备份软件,以复制的方式将生产虚拟机复制到名为Veeam-backup的数据存储中。
项目完成后如图1-1-3所示。在图中可以看到已经将原有物理机迁移到虚拟机,并且当前有2个数据存储,名称分别为Data和Veeam-backup。如果由于病毒、误操作或其他故障导致虚拟机出问题或数据丢失、数据损坏,可以通过备份进行恢复。
图1-1-3 项目完成后
在分布式软件共享存储推出之前,虚拟机系统运行在物理服务器上,而虚拟机数据保存在共享存储中。服务器本身不配硬盘(使用共享存储分配的小容量卷)或者配容量较小的磁盘用于安装虚拟化系统。使用共享存储的虚拟化拓扑如图1-2-1所示。
图1-2-1 使用共享存储的虚拟化拓扑
图1-2-1中画出了2台服务器和1台共享存储的连接示意。在使用共享存储的虚拟化架构中可以配置更多数量的物理服务器,其连接方式与图1-2-1中的2台物理服务器的连接相同。每台服务器一般配置至少4块网卡和2块FC HBA接口卡。4块网卡中每2块组成一组,其中一组用于虚拟化主机的管理,另一组用于虚拟机的流量。2块FC HBA接口卡分别连接到2台光纤存储交换机。共享存储配置2个控制器,每个控制器至少有2个FC HBA接口,每个控制器的不同接口分别连接到2台不同的光纤存储交换机。在此种连接方式下,服务器到存储是冗余连接的。任何一台光纤存储交换机、任何一条链路和任何一台服务器的任何一块FC HBA接口卡故障都不会导致服务器到存储的连接中断。同样,在网络方面,2台网络交换机采用堆叠方式(或者采用其他冗余方式)连接到核心交换机。任意一台服务器到核心交换机都是用2条独立的链路连接,任何一处的故障都不会导致管理网络或虚拟机业务网络中断。这样就形成了网络与存储的全冗余连接。
在中小企业虚拟化环境中,使用共享存储的虚拟化架构,一般配置3至10台服务器和1至2台共享存储。在服务器与存储配置足够的前提下,可以提供30至150台左右的虚拟机,这可以满足大多数中小企业的需求。下面介绍一个使用共享存储的虚拟化案例。
某企业配置2台联想3650 M5的服务器(每台服务器配置2颗Intel Xeon E5-2650 V4处理器、512GB内存、4端口1Gbit/s网卡、2端口8Gbit/s FC HBA接口卡)和1台IBM V3500存储(配置了11块900GB的2.5英寸SAS磁盘和13块1.2TB的2.5英寸磁盘)组成虚拟化环境,该硬件配置同时运行了30多台虚拟机,用于企业的办公自动化(Office Automation,OA)、企业资源计划(Enterprise Resource Planning,ERP)、文件服务器、文档加密服务器等应用,虚拟机列表如图1-2-2所示。
图1-2-2 虚拟机列表
另外配置了一台1U的机架式服务器(图1-2-2中左侧IP地址为172.16.6.15的主机)用于备份,这台备份主机配置了4块12TB的硬盘,使用RAID-5划分为2个卷,第1个卷大小为10GB用于安装ESXi系统,剩余的大约32.05TB划分为第2个卷用于备份。如图1-2-3所示,名为Data-esx15的VMFS卷是备份服务器存储空间。
图1-2-3 查看存储空间
在图1-2-3中,名为fc-data01的卷是IBM V3500存储设备中11块900GB SAS磁盘的空间(1块为全局热备磁盘,另外10块配置了2组RAID-5),名为fc-data03的卷是IBM V3500存储设备中13块1.2TB磁盘的空间(1块为全局热备磁盘,另外12块配置了2组RAID-5)。在IBM V3500存储管理界面可以看到磁盘的配置情况,如图1-2-4所示。
图1-2-4 查看存储磁盘配置情况
通过分析共享存储作为虚拟化服务器的载体可知,共享存储是单点故障和性能瓶颈可能产生处。如果共享存储出现问题,保存在共享存储上的所有的虚拟机都无法访问。随着同一集群中物理服务器以及虚拟机数量的增加,每台虚拟机的性能受限于存储控制器性能、存储接口、存储磁盘数量等参数。VMware从vSphere 5.5 U1开始推出vSAN架构,该架构使用服务器本地硬盘和传统以太网组成分布式软件共享存储,很好地解决了传统共享存储的缺点。这一架构的网络拓扑如图1-3-1所示。
图1-3-1 分布式软件共享存储架构的网络拓扑
分布式软件共享存储架构中不需要配置传统的共享存储,也不需要传统的光纤存储交换机,而是使用服务器本地硬盘,以软件的方式通过传统的以太网络交换机组成分布式共享存储。对比图1-3-1与图1-2-1可见,图1-2-1在传统共享存储中采用的是光纤存储交换机,而图1-3-1在分布式软件共享存储架构中采用的是以太网交换机。
vSAN架构中不配备共享存储,采用服务器本地硬盘先组成磁盘组,然后通过网络组成分布式软件共享存储。虚拟机在磁盘组中以RAID-0、RAID-5或RAID-6的方式保存数据,服务器之间通过网络实现类似RAID-10、RAID-50或RAID-60的整体效果。多台服务器的多块磁盘共同组成可以在服务器之间共享的 vSAN 存储。任何一台虚拟机保存在其中一台主机的1块或多块磁盘中,并且至少有1个完全相同的副本保存在另一台主机中,同时有1个见证文件保存在第3台主机中。虚拟机在不同主机的磁盘组中的数据是使用vSAN流量的VMkernel进行同步的,vSAN架构(图1-3-1右边的网络交换机)为vSAN流量推荐采用10Gbit/s网络或更快的网络,例如40Gbit/s和100Gbit/s的网络,vSAN也支持使用1Gbit/s的网络。
在vSAN架构中,每台虚拟化主机可以配置1至5个磁盘组。每个磁盘组中至少1块固态盘(Solid State Disk,SSD)用作缓存磁盘,1块硬盘(Hard Disk Drive,HDD)或1块SSD用作容量磁盘。推荐每台主机配置不少于2个磁盘组,每个磁盘组配备1块SSD和4至7块HDD(或SSD)。基于vSAN架构的分布式软件共享存储,根据虚拟机存储策略的不同,整体相当于RAID-10、RAID-5、RAID-6或RAID-50、RAID-60的效果。
从图1-2-1与图1-3-1可以看出,无论是传统数据中心还是超融合架构的数据中心,用于虚拟机流量的网络交换机可以采用同一个标准进行选择。
对于物理主机的选择,在传统数据中心中可以不考虑或少考虑本机磁盘的数量。但如果采用vSAN架构,则应尽可能选择支持较多盘位的服务器。物理主机的CPU、内存、本地网卡等其他配件选择方式相同。
传统架构中需要为物理主机配置FC或SAS HBA接口卡,并配置FC或SAS存储交换机。vSAN架构中需要为物理主机配置10Gbit/s或更高速度的以太网卡,并且配置10Gbit/s或更高速度的以太网交换机。
无论是在传统架构还是在vSAN架构中,对RAID卡的要求都比较低。前者是因为采用共享存储(虚拟机保存在共享存储,不保存在服务器本地硬盘),不需要为服务器配置过多磁盘,所以不需要RAID-5等方式的支持,最多2块磁盘配置RAID-1用于安装VMware ESXi系统。而在vSAN架构中,VMware ESXi Hypervisor直接控制每块磁盘,不再需要阵列卡这一级。如果服务器已经配置RAID卡,则需要将每块磁盘配置为直通模式或Non-RAID模式,如果RAID卡不支持这2种模式,可以将每块磁盘配置为RAID-0。在vSAN架构中,选择RAID卡的时候要考虑队列深度,不要采用队列深度太低的RAID卡。
VMware vSAN可以组成标准vSAN集群、2节点直连延伸集群或双活数据中心集群,其中标准vSAN集群应用最广。要组成标准vSAN集群,一般是从4台提供计算、存储和网络的服务器起配。在4节点vSAN标准集群中,一般每台服务器配置至少1颗CPU,内存最小从128GB甚至256GB起配,配置至少1个磁盘组,每个磁盘组至少有1个缓存磁盘和4至6个容量磁盘,每台服务器配置至少4个1Gbit/s的网卡。表1-3-1是某企业4节点vSAN标准集群的硬件配置。
表1-3-1 某企业4节点vSAN标准集群的硬件配置
| 序号 | 项目 | 内容描述 | 数量 | 单位 |
| 1 | 虚拟化主机(同样配置需要4台) | |||
| 分布式服务器硬件平台 | 联想SR 650,2颗Intel 5218(16C/32T,2.3Ghz) CPU,Think System 930-24i RAID卡,24个2.5英寸盘位,2块900W电源,导轨。4端口10Gbit/s SFP+网卡 | 1 | 台 | |
| 服务器内存 | DDR-4,Dual Rank,2666MHz,64GB | 8 | 条 | |
| 系统硬盘 | 256GB SATA 2.5英寸SSD | 1 | 块 | |
| 数据缓存硬盘 | Intel DC P3600或三星PM1725A,1.6 TB,NVME SSD | 2 | 块 | |
| 数据存储硬盘 | DELL 2.5英寸,10kr/min,SAS,2.4TB | 10 | 块 | |
| 2 | 数据中心10Gbit/s交换机 | |||
| 业务与管理网络交换机 | S6720S-26Q-SI,产品参数:提供24个10GE SFP+端口,2个40GE QSFP+端口。交换容量2.56Tbit/s,包转发率480Mp/s | 2 | 台 | |
| 分布式存储交换机 | S6720S-26Q-LI。产品参数:提供24个10GE SFP+端口,2个40GE QSFP+端口。交换容量1.28Tbit/s/,包转发率480Mp/s | 2 | 台 | |
| 多模-LC-LC-3M光纤线 | 服务器连接到交换机 | 12 | 条 | |
| 多模-850-300m双纤 | SFP+多模光模块,速率为10Gbit/s,波长为850nm,传输距离为0.3km,双LC接口 | 24 | 个 | |
| QSFP-40G连接线 | QSFP-40G高速电缆,3m | 4 | 条 | |
【说明】这是2019年的配置清单。如果是在2021年开始采购,数据缓存硬盘推荐使用三星PM1735 1.6TB NVME SSD。
在用表1-3-1所列的配置组成的VMware vSphere虚拟化项目中,运行了110台各种应用的虚拟机,如图1-3-2所示。
图1-3-2 运行的虚拟机
在运行了110台各种应用虚拟机的前提下,主机的资源使用率比较低,CPU使用率平均不到6%,内存使用率平均不到32%,系统整体负载较轻,如图1-3-3所示。
图1-3-3 虚拟化项目中主机资源使用率
vSphere提供虚拟机和虚拟网络接入功能。vSphere的网络接入功能由其提供的vSphere标准交换机和分布式交换机实现,这两种虚拟交换机都相当于二层可网管的交换机,不提供三层功能。本节简要介绍vSphere标准交换机,分布式交换机下节介绍。
虚拟化主要解决计算、存储和网络问题。VMware vSphere(主要包含vCenter Server与ESXi)解决了计算问题和有限的存储与网络问题。VMware vSAN解决了共享存储问题,VMware vSAN使用标准的X86服务器实现了传统共享存储的功能。VMware NSX提供网络虚拟化功能,在软件层实现了网络中2到7层的能力。VMware vSphere的虚拟化提供了简单的网络功能,其提供的vSphere标准交换机和vSphere分布式交换机相当于二层交换机,它本身没有三层的处理能力。vSphere标准交换机与分布式交换机可在同一VLAN 中的虚拟机之间进行内部桥接,并连接至外部网络。
要提供主机和虚拟机的网络连接,应将主机的物理网卡连接到vSphere标准交换机或分布式交换机上的上行链路端口。虚拟机具有在vSphere标准交换机或分布式交换机上连接到端口组的网络适配器(vNIC)。每个端口组可使用一块或多块物理网卡来处理其网络流量。为了说明虚拟机、虚拟交换机、物理主机和物理交换机之间的网络连接和网络关系,本书将通过不同的示例进行介绍。
物理服务器一般配置至少2端口网卡,大多数服务器配置4端口网卡。使用虚拟化技术的时候,根据服务器的硬件配置(CPU、内存和存储)以及需要支持的虚拟机的数量,可以选择使用其中1块、2块或多块网卡。在配置较为复杂的虚拟化环境中,服务器作为虚拟化主机会配置数量更多和速率更高的网卡。在图1-4-1的示例中,该服务器配置了2端口1Gbit/s的网卡(在图中用vmnic0和vmnic1表示)。
在安装ESXi软件时,会在主机上为管理流量创建名为vSwitch0的vSphere 标准交换机,默认选择主机一块连接到网络的网卡作为上行链路。在图1-4-1中,如果vmnic0连接到物理交换机并且处于连通状态,则会选择vmnic0用作vSwitch0的上行链路。为了提供冗余,可以将2块或更多块物理网卡连接到vSwitch0标准交换机以进行流量管理。例如在图1-4-1中,将vmnic0与vmnic1作为vSwitch0的上行链路。主机物理网卡vmnic0与vmnic1连接到物理网络,vmnic0与vmnic1作为同一台虚拟交换机的上行链路可以连接到同一台物理交换机,也可以分别连接一台物理交换机。但无论是连接到同一台物理交换机,还是连接到不同的物理交换机,其连接到物理交换机的端口一般要配置相同的属性。例如vmnic0与vmnic1都连接到交换机配置为Access的端口,并且要划分为同一个VLAN。除了连接到划分为同一个VLAN的Access端口,vmnic0与vmnic1也可以连接到配置为Trunk的端口(如果配置为Trunk,应该允许相同的VLAN通过)。不能一个连接到VLAN11的Access端口、另一个连接到VLAN12的Access端口,或者一个连接到Access端口、另一个连接到Trunk端口。
如果同一台虚拟交换机的上行链路连接到多台不同的物理交换机,那么这些物理交换机应该互通,例如图1-4-1中的这两台物理交换机应都上连到同一台或同一组的核心交换机,或者两台物理交换机以堆叠模式连接再上连到核心物理交换机。
图1-4-1 vSphere标准交换机
在ESXi主机创建的虚拟机通过虚拟网卡连接到虚拟交换机。例如图1-4-1中的VM01、VM02和VM03共3台虚拟机,每台虚拟机都配置了一块虚拟网卡(vnic1),每台虚拟机的vnic1连接到虚拟交换机vSwitch0。
在安装ESXi的时候创建名为vSwitch0的虚拟交换机,同时会在vSwitch0虚拟交换机创建名称为VM Network的端口组和一个名称为vmk0的VMkernel,该VMkernel设置的地址(本示例中为172.18.96.45)用于ESXi主机的管理。如图1-4-2所示,名称为VM Network的端口组连接了3台虚拟机。
图1-4-2 vSphere标准交换机vSwitch0
【说明】每台vSphere标准交换机可以创建多个标准端口组,网络服务通过端口组连接到标准交换机。端口组定义通过虚拟交换机连接网络的方式,通常单台vSphere标准交换机与一个或多个端口组关联。端口组为每个端口指定了诸如宽带限制和VLAN标记策略之类的端口配置选项。
在图1-4-2的示例中,VM Network端口组以及vmk0的VMkernel所属的端口组的ID都被设置为2006,这是因为当前示例中vSwitch0的上行链路(本示例为vmnic0和vmnic1)连接到物理交换机配置为Trunk的端口,该Trunk端口允许所有VLAN。图1-4-2的示例中,物理主机所连接的物理交换机划分了多个VLAN,其中包括ID为2006的VLAN。
示例:图 1-4-2 中(两台)物理交换机的部分配置如下,其中主机物理网卡vmnic0和vmnic1分别连接到每台交换机的第13端口(两台交换机通过Trunk端口上连到核心交换机)。
vlan batch 2001 to 2006
vlan 2001
vlan 2002
vlan 2003
vlan 2004
vlan 2005
vlan 2006
interface Vlanif2001
ip address 172.18.91.253 255.255.255.0
interface Vlanif2002
ip address 172.18.92.253 255.255.255.0
interface Vlanif2003
ip address 172.18.93.253 255.255.255.0
interface Vlanif2004
ip address 172.18.94.253 255.255.255.0
interface Vlanif2005
ip address 172.18.95.253 255.255.255.0
interface Vlanif2006
description Server
ip address 172.18.96.253 255.255.255.0
interface GigabitEthernet0/0/13
port link-type trunk
port trunk allow-pass vlan 2 to 4094
interface GigabitEthernet1/0/13
port link-type trunk
port trunk allow-pass vlan 2 to 4094在当前示例环境中,ESXi主机的管理网段使用VLAN 2006。安装完ESXi之后,在ESXi主机控制台按F2键进入系统配置界面,在“Network Adapters”中选中vmnic0和vmnic1用于主机管理(vSwitch0标准交换机),如图1-4-3所示。
图1-4-3 选择用于主机管理的网卡
因为vmnic0和vmnic1连接到物理交换机的Trunk端口,当前主机规划使用VLAN 2006,所以应在VLAN配置中指定VLAN ID为2006,如图1-4-4所示。
图1-4-4 指定VLAN ID
【说明】如果ESXi主机vSwitch0标准交换机上行链路连接到交换机的Access端口,则不需要在图1-4-4中指定VLAN ID。
在IPv4 Configuration中为ESXi主机设置管理IP地址、子网掩码和网关,本示例中IP地址为 172.18.96.45,子网掩码为 255.255.255.0,网关为172.18.96.253,如图1-4-5所示。
图1-4-5 为ESXi主机设置管理地址
设置完成之后保存设置退出,在控制台中可以看到当前主机设置的IP地址以及当前主机的系统版本、CPU型号及内存大小,如图1-4-6所示。
图1-4-6 主机信息
在为ESXi主机设置了管理地址之后,使用浏览器登录ESXi主机(本示例中为https://172. 18.96.45,未安装vCenter Server之前使用vSphere Host Client管理ESXi)。在“网络→端口组”中将VM Network的VLAN ID设置为2006,如图1-4-7所示。如果当前集群中有多台主机(每台主机的vSwitch0交换机上行链路连接到交换机Trunk端口),也应该将其他主机的VM Network的VLAN ID设置为2006。
图1-4-7 设置VM Network端口组的VLAN ID
在小型的虚拟化环境中,虚拟机数量不多时,虚拟机使用vSwitch0的VM Network端口组即可。如果需要为虚拟机使用另外的VLAN,可以在vSwitch0标准交换机中添加端口组并且为端口组指定其对应的VLAN ID。例如在本示例中,如果虚拟机需要使用VLAN 2001的IP地址,可以在vSwitch0中创建名为vlan2001的端口组,并指定vlan2001的端口组的VLAN ID为2001,如图1-4-8所示;为虚拟机选择名为vlan2001的端口组即可,如图1-4-9所示。
图1-4-8 添加VLAN ID为2001的端口组
图1-4-9 虚拟机使用vlan2001端口组
在同一个数据中心中,如果为某台主机添加或更新了 vSphere 标准交换机的端口组配置,应该在其他主机进行同步添加或修改。这样虚拟机使用 vMotion 技术在不同主机之间进行热迁移的时候,或者由于集群启用了高可用(High Availability)及分布式资源调度(Distributed Resource Scheduler,DRS)导致虚拟机在不同主机之间自动迁移时,在目标主机上可以找到同样的端口组名称及配置,这样不会导致迁移无法进行或者迁移之后虚拟机网络中断。
示例:图1-4-8的集群中有3台ESXi主机,IP地址依次是172.18.96.45、172.18.96.46和172.18.96.47,每台主机都有vSwitch0标准交换机,如果在172.18.96.45与172.18.96.47的vSwitch0都添加了名称为vlan2001(VLAN ID为2001)的端口组,但在172.18.96.46上没有添加时,在达到DRS的迁移阈值时,使用vlan2001端口组的虚拟机只会在172.18.96.45与172.18.96.47的主机之间迁移,而不会迁移到172.18.96.46的主机。如图1-4-10所示,这是在此情况下试图迁移时提示“当前已连接的网络接口‘Network adapter 1’使用不可访问的网络‘vlan2001’”的错误。
图1-4-10 迁移提示错误
对于虚拟机数量比较多的虚拟化环境,标准交换机vSwitch0一般只用于ESXi主机管理和 vCenter Server 虚拟机流量。例如在当前的环境中,vCenter Server 的虚拟机名称为vcsa7_172.18.96.20,这台虚拟机的网络适配器使用的是VM Network,如图1-4-11所示。
图1-4-11 vCenter Server虚拟机使用的网络适配器
在较大型的虚拟化环境中,当主机配置有更多网卡的时候,可以创建第2台vSphere标准交换机或分布式交换机用于其他流量。在图1-4-12所示的环境中,该主机配置了4端口网卡,创建了2台vSphere标准交换机。
图1-4-12 每台ESXi主机配置2台vSphere标准交换机
在图1-4-12的示例中,每台主机配置4端口网卡(或者2个2端口网卡),vmnic0与vmnic1用于vSwitch0,该标准交换机用于ESXi主机管理。vmnic0、vmnic1、vmnic2和vmnic3连接到物理交换机的Trunk端口。在vSwitch1上创建多个端口组,每个端口组指定不同的VLAN ID。在本示例中,物理服务器4端口网卡连接到物理交换机的第13、14、15和16端口,物理交换机主要配置如下。
vlan batch 2001 to 2006
vlan 2001
vlan 2002
vlan 2003
vlan 2004
vlan 2005
vlan 2006
interface Vlanif2001
ip address 172.18.91.253 255.255.255.0
interface Vlanif2002
ip address 172.18.92.253 255.255.255.0
interface Vlanif2003
ip address 172.18.93.253 255.255.255.0
interface Vlanif2004
ip address 172.18.94.253 255.255.255.0
interface Vlanif2005
ip address 172.18.95.253 255.255.255.0
interface Vlanif2006
ip address 172.18.96.253 255.255.255.0
interface GigabitEthernet0/0/13
port link-type trunk
port trunk allow-pass vlan 2 to 4094
interface GigabitEthernet0/0/14
port link-type trunk
port trunk allow-pass vlan 2 to 4094
interface GigabitEthernet0/0/15
port link-type trunk
port trunk allow-pass vlan 2 to 4094
interface GigabitEthernet0/0/16
port link-type trunk
port trunk allow-pass vlan 2 to 4094在本示例中,主机物理网卡vmnic0和vmnic1分别连接到物理交换机的第13和14端口,vmnic2和vmnic3分别连接到物理交换机的第15和16端口。
vSwitch0有一个名为VM Network的端口组。vSwitch1创建了3个端口组,分别为vlan2001、vlan2002和vlan2003。其中VM01与VM02使用VM Network的端口组,VM11使用vlan2001的端口组,VM12使用vlan2002的端口组,VM03使用vlan2003的端口组。
VM01与VM02使用172.18.96.0/24的地址段,VM11使用172.18.91.0/24的地址段,VM12使用172.18.92.0/24的地址段,VM03使用172.18.93.0/24的地址段。
IP地址为172.18.96.45的ESXi主机标准交换机配置如图1-4-13所示。
图1-4-13 标准交换机配置
如果虚拟机要在不同主机之间迁移,集群中另2台主机(本示例为172.18.96.46、172.18.96.47)也应该有相同的配置,IP地址为172.18.96.46的ESXi主机vSwitch1的配置如图1-4-14所示。
图1-4-14 集群其他主机vSwitch1配置
在vSphere虚拟网络中,可以创建没有上行链路的标准交换机,也可以为某个端口组在绑定和故障切换顺序中取消关联上行链路物理网卡。如果端口组没有上行链路,同一台ESXi主机上使用相同端口组的虚拟机可以互相进行通信,而无法与外部网络进行通信。无上行链路标准交换机的一个典型的示例如图1-4-15所示。
图1-4-15 无上行链路标准交换机示例
vSwitch0和vSwitch1有上行链路,vSwitch2无上行链路,其相关配置如图1-4-16所示。
图1-4-16 无上行链路标准交换机配置
在默认情况下,对于有上行链路的标准交换机的端口组会继承交换机的配置而绑定上行链路。在vSphere标准交换机中单击端口组会显示当前端口组到上行链路的链接,如图1-4-17所示。在本示例中,名为vlan2003的端口组绑定了vmnic2与vmnic3共2条上行链路。
图1-4-17 查看端口组上行链路
如果要修改端口组上行链路,可以编辑端口组设置,在“vlan2003-编辑设置”对话框的“绑定和故障切换”中选中“替代”,将“活动适配器”中的上行链路移动到“未用的适配器”列表中,调整前后如图1-4-18和图1-4-19所示。
图1-4-18 活动适配器
图1-4-19 未用的适配器
调整之后vlan2003的配置如图1-4-20所示,此时vlan2003端口组没有上行链路。
图1-4-20 vlan2003端口组没有上行链路
vSphere标准交换机的配置保存在每台ESXi主机。集群中有多台ESXi主机时,如果使用vSphere标准交换机管理虚拟机网络,需要在每台主机上添加相同的vSphere标准交换机,并在对应的每台vSphere标准交换机上添加相同的端口组及相同的配置(例如配置相同的VLAN ID,或者都不配置VLAN ID等)。如果不同ESXi主机的端口组名称相同但VLAN ID配置不同,虚拟机在不同主机之间切换后,虚拟机的网络可能不通。
示例:在集群中有A和B共2台主机,这2台主机都配置了名为vSwitch1的标准交换机,并在vSwitch1上添加了名为vlan2001的端口组,其中A主机vlan2001的端口组的VLAN ID设置为2001,B主机(错误)名称为vlan2001的端口组配置VLAN ID为201。虚拟机VM1在A主机上运行,使用名称为vlan2001的端口组,在将虚拟机VM1从A主机迁移到B主机之后,虚拟机虽然继续运行,但由于B主机上名称为vlan2001的端口组的VLAN ID设置为201,因此配置错误导致虚拟机VM1网络不通。
vSphere标准交换机用在集群中ESXi主机数量较少,并且端口组数量配置较少的虚拟化环境中。如果ESXi主机重置(在ESXi主机控制台按F2键进入系统配置界面,重置系统),或者重新安装了VMware ESXi(全新安装,非升级安装),原来ESXi主机上的网络配置将丢失,此时系统会重新创建名为vSwitch0的标准交换机,其他的虚拟交换机(例如其他标准交换机vSwitch1和/或分布式交换机)的配置都会丢失。
当集群中主机数量较多并且端口组数量较多时,可以使用vSphere分布式交换机。相比vSphere标准交换机,使用vSphere分布式交换机可以简化ESXi主机网络配置,并且可以为vSphere虚拟网络提供更多功能。在集群中配置vSphere分布式交换机,只需要进行一次配置,例如创建虚拟机端口组(称为分布式端口组),配置会应用在所有主机上。例如,某集群配置了vSphere分布式交换机,将集群中所有主机添加到这台vSphere分布式交换机,创建vlan1001和vlan1002等分布式端口组后,配置会应用到集群中的每台主机。这样就简化了管理员的设置,如图1-4-21和图1-4-22所示。
图1-4-21 分布式端口组配置1
图1-4-22 分布式端口组配置2
图1-4-21配置的是IP地址为172.18.96.45的分布式交换机,图1-4-22配置的是IP地址为172.18.96.46的分布式交换机。在管理172.18.96.45、172.18.96.46和172.18.96.47的ESXi主机的vCenter Server中创建vSphere分布式交换机,然后添加主机并选择上行链路、创建分布式端口组并为虚拟机分配分布式端口组。在vCenter Server中添加、修改或删除分布式交换机的配置会同步到其所属的ESXi主机中,如图1-4-23所示。
在vSphere分布式交换机中,管理面板在vCenter Server中,数据面板在ESXi主机中。如果重新安装vCenter Server会丢失vSphere分布式交换机的配置数据,此时可以重新添加ESXi主机到新的vCenter Server中,然后重新配置vSphere分布式交换机。
图1-4-23 vSphere分布式交换机配置界面
当vCenter Server故障不可访问时,或者vCenter Server关机时,使用分布式交换机的虚拟机可以正常启动,进入系统后虚拟机网络也可以正常使用,但不能更改虚拟机网络使用其他分布式端口组或标准端口组。当vCenter Server出错而使用vSphere Host Client登录到ESXi主机时,如果尝试修改虚拟机网卡使用其他端口组,会弹出“不支持添加或重新配置连接到非临时分布式虚拟端口组(××××)的网络适配器”的错误提示,如图1-4-24所示。
图1-4-24 不能修改虚拟机使用其他分布式端口组
如果要将集群中所有vSphere标准交换机迁移到vSphere分布式交换机,并且将标准端口组迁移到分布式端口组,建议对vCenter Server虚拟机进行定时备份,尤其是在有关联vCenter Server应用的环境中,例如Horizon虚拟桌面或使用第三方软件(例如Veeam或NBU备份软件)对vSphere虚拟机进行备份后的情况。在使用vSphere NSX的时候也要对vCenter Server及NSX相关的虚拟机进行备份。
vSphere分布式交换机具有vSphere标准交换机的所有功能,但它仍然是一台二层(OSI七层模型的第二层)的虚拟交换机,只有在同一台ESXi主机上使用相同vlan属性的分布式端口组的虚拟机之间才可以直接通信而不经过物理交换机转发,对于跨ESXi主机的虚拟机之间的通信仍然会经过物理交换机,如果是不同VLAN之间的虚拟机通信也会经过上层物理交换机的转发,这些与使用vSphere标准交换机相同。
在介绍了vSphere标准交换机之后,本节介绍虚拟机之间以及虚拟机访问ESXi主机以外的网络的通信方式。
在同一台ESXi主机上的虚拟机,虚拟机使用同一台虚拟交换机的同一个端口组时,它们之间通过同一台虚拟交换机通信而不经过上行链路及上行链路所连接的物理交换机。图1-5-1所示,在IP地址为172.18.96.45的ESXi主机上有2台虚拟机VM01和VM02,这2台虚拟机都使用vSwitch0的VM Network端口组,这2台虚拟机设置172.18.96.0/24网段的IP地址时,VM01与VM02之间相互通信时只使用虚拟交换机vSwitch0,而不需要通过上行链路。
图1-5-1 使用相同端口组的虚拟机
在图1-5-1中,虚拟机VM11使用vSwitch1的vlan2001端口组,虚拟机VM12使用vSwitch1的vlan2002端口组。VM11虚拟机配置了172.18.91.0/24网段的IP地址(例如IP地址为172.18.91.11,子网掩码255.255.255.0,网关172.18.91.253),VM12虚拟机配置了172.18.92.0/24网段的IP地址(例如IP地址为172.18.92.12,子网掩码255.255.255.0,网关172.18.92.253)。VM11与VM12通信的时候需要通过vSwitch1的上行链路vmnic2(或vmnic3)连接到物理交换机,通过物理交换机进行通信。此时需要注意,vlan2001与vlan2002的交换机网关设置在哪一层,通信就到哪一层,相关示例如图1-5-2所示。
在图1-5-2的示例中,ESXi主机4块网卡先连接到接入物理交换机,接入物理交换机再通过光纤(交换机级联端口配置为 Trunk)连接到核心交换机。vlan2001 至 vlan2006 等VLAN的网关地址都设置在核心交换机上。在这种情况下,VM11与VM12之间的通信路径如下。
VM11→vlan2001端口组→vmnic2(或vmnic3)→接入物理交换机→核心交换机→接入物理交换机→vmnic3(或vmnic2)→vlan2002端口组→VM12。
不同虚拟交换机不同端口组之间的通信将通过所属交换机的上行链路,接入物理交换机再进行转发。例如,对于图1-5-2的示例,VM01与VM12的通信路径如下。
VM01→虚拟交换机vSwitch0的VM Network端口组→vmnic0(或vmnic1)→接入物理交换机→核心交换机→接入物理交换机→vmnic3(或vmnic2)→虚拟交换机vSwitch1的vlan2002端口组→VM12。
图1-5-2 虚拟机通信示例
不同主机之间的虚拟机都通过上行链路连接到物理交换机进行通信(或转发),相关示例如图1-5-3所示。
图1-5-3 不同主机之间虚拟机通信
在图1-5-3的示例中,如果物理服务器1上的虚拟机VM01与物理服务器2上的VM02虚拟机通信,虽然这两台虚拟机都属于172.18.96.0/24的网段,但这两台虚拟机之间进行通信也要通过所属虚拟交换机vSwitch0的上行链路到接入物理交换机,又因为是相同网段,所以不需要通过核心交换机转发。从VM01到VM02的通信路径如下。
VM01→(物理服务器1)VM Network端口组→(物理服务器1)vmnic0(或vmnic1)→接入物理交换机→(物理服务器2)vmnic0(或vmnic1)→(物理服务器2)VM Network端口组→VM02。
从VM13到VM11的通信路径如下。
VM13→(物理服务器2)vlan2001端口组→(物理服务器2)vmnic2(或vmnic3)→接入物理交换机→(物理服务器1)vmnic2(或vmnic3)→(物理服务器1)vlan2001端口组→VM11。
两台主机上的虚拟机如果属于不同网段,需要通过配置了网关IP地址的交换机(本示例是核心交换机)进行转发。从VM12到VM13的通信路径如下。
VM12→(物理服务器1)vlan2002端口组→(物理服务器1)vmnic3(或vmnic2)→接入物理交换机→核心交换机→接入物理交换机→(物理服务器2)vmnic2(或vmnic3)→(物理服务器2)vlan2001端口组→VM13。
虚拟机与ESXi主机以外的物理机通信,与不同主机之间虚拟机的通信相同。
无上行链路的虚拟交换机,包括虚拟交换机虽有上行链路但修改了端口组配置、为端口组取消了上行链路的情况。对于使用无上行链路的虚拟交换机的虚拟机,或者使用无上行链路的端口组的虚拟机,只有在同一虚拟交换机的虚拟机之间才有可能通信。本节通过图1-5-4所示的拓扑进行介绍。
图1-5-4 无上行链路虚拟机之间通信的拓扑
在图1-5-4中,VM21、VM22、VM23、VM31、VM32、VM33与VM01、VM02、VM11、VM12无法互相访问。
VM21、VM22、VM23只有在设置相同网段的IP地址,并且使用vSwitch2虚拟交换机上相同的端口组(或者虽然端口组名称不同,但没有指定VLAN ID)时,才能互相访问。VM31、VM32、VM33互相访问也是同样的道理。
VM21、VM22、VM23与VM31、VM32、VM33无法互相访问。
对于不同ESXi主机,连接到无上行链路虚拟交换机(或无上行链路端口组)的虚拟机之间无法互相访问。无上行链路的虚拟机一般不单独使用,通常会有配置多块网卡的虚拟机用作软件的防火墙或路由器,使无上行链路端口组的虚拟机与外网进行通信。
每台VMware ESXi虚拟机最多支持10块虚拟网卡,管理员可以根据需要将这10块虚拟网卡连接到相同的端口组或不同的虚拟端口组。本节通过图1-5-5所示示例进行介绍。
图1-5-5 虚拟机多网卡
(1)在图1-5-5中ESXi主机有3台虚拟交换机,其中vSwitch2无上行链路。虚拟机VM02有2块网卡,其中一块网卡连接到vSwitch0的VM Network端口组,另一块网卡连接到vSwitch1的vlan2001端口组,虚拟机VM02的网卡连接如图1-5-6所示。
图1-5-6 虚拟机VM02的网卡连接
(2)将虚拟机VM02的网络适配器1设置与VM Network端口组相同网段的IP地址,网络适配器2设置与vlan2001端口组相同网段的IP地址。
(3)虚拟机VM23有2块网卡,第1块虚拟网卡连接到vSwitch2的lan端口组,第2块网卡连接到vSwitch1的vlan2002端口组,虚拟机VM23的网卡连接如图1-5-7所示。
图1-5-7 虚拟机VM23的网卡连接
(4)将虚拟机VM23的网络适配器1设置lan端口组所规划的IP地址(例如IP地址192.168.100.100,子网掩码255.255.255.0,无网关),网络适配器2设置与vlan2002端口组相同网段的IP地址(例如IP地址172.18.91.100,子网掩码255.255.255.0,网关172.18.91.253)。如果在这台虚拟机上安装防火墙或代理软件,并且在配置了访问策略后,虚拟机VM21可以通过虚拟机VM23访问ESXi主机所属网络及ESXi主机外网网络,此时虚拟机VM21应设置192.168.100.0/24的地址(例如IP地址192.168.100.11,子网掩码255.255.255.0,网关192.168.100.100)。
(5)登录到示例ESXi主机,在“配置→网络→虚拟交换机”中可以看到各虚拟交换机和每个端口组连接的虚拟机,如图1-5-8和图1-5-9所示。
图1-5-8 查看端口组及虚拟交换机
图1-5-9 查看与每个端口组连接的虚拟机
vSphere标准交换机与vSphere分布式交换机相当于二层交换机,如果将虚拟机网络与物理网络对应,vSphere标准交换机与vSphere分布式交换机相当于物理网络中接入交换机的角色,具有接入交换机的功能,示例拓扑如图1-6-1所示。
图1-6-1 具有接入层、汇聚层和核心层的网络拓扑
在图1-6-1的网络拓扑中,核心交换机为华为S7706系列,汇聚交换机为华为S6720或S5720系列,接入交换机为华为S5720或S2700系列。vSphere标准交换机与vSphere分布式交换机提供的功能相当于华为S2700系列交换机所提供的功能,即只提供二层的接入能力。接入交换机中的计算机(或vSphere中的虚拟机)的网络划分以及不同VLAN之间的通信是由汇聚交换机或核心交换机提供的。vSphere标准交换机和vSphere分布式交换机相当于物理网络的接入扩展。如果虚拟化中有更深层次的网络需求,则需要由vSphere NSX来提供。VMware NSX虚拟网络示意拓扑如图1-6-2所示。
在图1-6-2中,虚拟化服务器接入交换机由华为S6720或S7700系列交换机提供(建议10Gbit/s组网,或者最低1Gbit/s组网)。vSphere NSX提供的网络功能可以有路由器、交换机和防火墙等功能。在图1-6-2中,NSX规划使用172.16.0.0/15地址段(即172.16.0.0/16和172.17.0.0/16两个B类地址段),不同的地址段例如172.16.11.0/24、172.16.13.0/24、172.17.11.0/24之间的通信由NSX提供和完成,不再需要由核心交换机或接入交换机提供。NSX 网络相当于与物理网络处于同一层次,172.16.0.0/15 与核心交换机(或接入交换机)之间的关系是路由的关系。
NSX的分步式防火墙可以实现虚拟机之间的微隔离。NSX提供了路由、防火墙、动态主机配置协议(Dynamic Host Configuration Protocol,DHCP)、DNS、网络地址转换(Network Address Translation,NAT)、虚拟专用网络(Virtual Private Network,VPN)和负载均衡等功能。关于NSX的更多内容将会在后文展开介绍。
图1-6-2 NSX示意网络拓扑
