一、VMware vSphere 6.0网络配置
1、网络概念概述
一些概念对透彻了解虚拟网络至关重要。如果您是 ESXi 的新用户,则了解这些概念将对您很有帮助。
物理网络 为了使物理机之间能够收发数据,在物理机间建立的网络。VMware ESXi 运行于物理机之上。
虚拟网络 在单台物理机上运行的虚拟机之间为了互相发送和接收数据而相互逻辑连接所形成的网络。虚拟机可连接到在添加网络时创建的虚拟网络。
物理以太网交换机 管理物理网络上计算机之间的网络流量。一台交换机可具有多个端口,每个端
口都可与网络上的一台计算机或其他交换机连接。可按某种方式对每个端口的行为进行配置,具体取决于其所连接的计算机的需求。交换机将会了解到连接其端口的主机,并使用该信息向正确的物理机转发流量。交换机是物理网络的核心。可将多个交换机连接在一起,以形成较大的网络。
vSphere 标准交换机 其运行方式与物理以太网交换机十分相似。它检测与其虚拟端口进行逻辑连接
的虚拟机,并使用该信息向正确的虚拟机转发流量。可使用物理以太网适配器(也称为上行链路适配器)将虚拟网络连接至物理网络,以将 vSphere 标准交换机连接到物理交换机。此类型的连接类似于将物理交换机连接在一起以创建较大型的网络。即使 vSphere 标准交换机的运行方式与物理交换机十分相似,但它不具备物理交换机所拥有的一些高级功能。
标准端口组 标准端口组为每个成员端口指定了诸如带宽限制和 VLAN 标记策略之类的端口配置选项。网络服务通过端口组连接到标准交换机。端口组定义通过交换机连接网络的方式。通常,单个标准交换机与一个或多个端口组关联。
vSphere Distributed(分布式) Switch 它可充当数据中心中所有关联主机的单一交换机,以提供虚拟网络的集中式置备、管理以及监控。您可以在 vCenter Server 系统上配置 vSphere Distributed
Switch,该配置将传播至与该交换机关联的所有主机。这使得虚拟机可在跨多个主机进行迁移时确保其网络配置保持一致。
主机代理交换机 驻留在与 vSphere Distributed Switch 关联的每个主机上的隐藏标准交换机。主
机代理交换机会将 vSphere Distributed Switch 上设置的网络配置复制到特定主机。
分布式端口 连接到主机的 VMkernel 或虚拟机的网络适配器的 vSphere Distributed Switch上的一个端口。
分布式端口组 与 vSphere Distributed Switch 关联的一个端口组,并为每个成员端口指定端口配置选项。分布式端口组可定义通过 vSphere Distributed Switch 连接到网络的方式。
网卡成组 当多个上行链路适配器与单个交换机相关联以形成小组时,就会发生网卡成组。小组将物理网络和虚拟网络之间的流量负载分摊给其所有或部分成员,或在出现硬件故障或网络中断时提供被动故障切换。
VLAN VLAN 可用于将单个物理 LAN 分段进一步分段,以便使端口组中的端口互相隔离,如同位于不同物理分段上一样。标准是 802.1Q。
VMkernel TCP/IP网络层 VMkernel 网络层提供与主机的连接,并处理 vSphere vMotion、IP 存储器、Fault Tolerance 和 Virtual SAN 的标准基础架构流量。
IP存储器 将 TCP/IP 网络通信用作其基础的任何形式的存储器。iSCSI 可用作虚拟机数据
存储,NFS 可用作虚拟机数据存储并用于直接挂载 .ISO 文件,这些文件对于虚拟机显示为 CD-ROM。
TCP分段清除 TCP 分段清除 (TSO) 可使 TCP/IP 堆栈发出非常大的帧(达到 64 KB),即使接口的最大传输单元 (MTU) 较小也是如此。然后网络适配器将较大的帧分成MTU 大小的帧,并预置一份初始 TCP/IP 标头的调整后副本。
2、管理VMware vSphere标准交换机
1)vSphere 标准交换机
可以创建名为 vSphere 标准交换机的抽象网络设备。使用标准交换机来提供主机和虚拟机的网络连接。标准交换机可在同一 VLAN 中的虚拟机之间进行内部流量桥接,并链接至外部网络。
2)标准交换机概览
要提供主机和虚拟机的网络连接,请在标准交换机上将主机的物理网卡连接到上行链路端口。虚拟机具有在标准交换机上连接到端口组的网络适配器 (vNIC)。每个端口组可使用一个或多个物理网卡来处理其网络流量。如果某个端口组没有与其连接的物理网卡,则相同端口组上的虚拟机只能彼此进行通信,而无法与外部网络进行通信。
vSphere 标准交换机与物理以太网交换机非常相似。主机上的虚拟机网络适配器和物理网卡使用交换机上的逻
辑端口,每个适配器使用一个端口。标准交换机上的每个逻辑端口都是单一端口组的成员。
3)标准端口组
标准交换机上的每个标准端口组都由一个对于当前主机必须保持唯一的网络标签来标识。可以使用网络标签来使虚拟机的网络配置可在主机间移植。应为数据中心的端口组提供相同标签,这些端口组使用在物理网络中连接到一个广播域的物理网卡。反过来,如果两个端口组连接不同广播域中的物理网卡,则这两个端口组应具有不同的标签。
例如,可以创建生产和测试环境端口组来作为在物理网络中共享同一广播域的主机上的虚拟机网络。
VLAN ID 是可选的,它用于将端口组流量限制在物理网络内的一个逻辑以太网网段中。要使端口组接收同一个主机可见、但来自多个 VLAN 的流量,必须将 VLAN ID 设置为 VGT (VLAN 4095)。
理论很多,操作简单,详见官方文档
3、管理VMware vSphere分布式交换机
vSphere Distributed Switch 为与交换机关联的所有主机的网络连接配置提供集中化管理和监控。您可以在vCenter Server 系统上设置 Distributed Switch,其设置将传播至与该交换机关联的所有主机。
vSphere 中的网络交换机由两个逻辑部分组成:数据面板和管理面板。
数据面板可实现软件包交换、筛选和标记等。
管理面板是用于配置数据面板功能的控制结构。
vSphere 标准交换机同时包含数据面板和管理面板,您可以单独配置和维护每个标准交换机。
vSphere Distributed Switch 的数据面板和管理面板相互分离。
Distributed Switch 的管理功能驻留在vCenter Server 系统上,您可以在数据中心级别管理环境的网络配置。
数据面板则保留在与 Distributed Switch关联的每台主机本地。Distributed Switch 的数据面板部分称为主机代理交换机。在 vCenter Server(管理面板)上创建的网络配置将被自动向下推送至所有主机代理交换机(数据面板)。
vSphere Distributed Switch 引入的两个抽象概念可用于为物理网卡、虚拟机和 VMkernel 服务创建一致的网络配置。
上行链路端口组 上行链路端口组或 dvuplink 端口组在创建 Distributed Switch 期间进行定义,可以具有一个或多个上行链路。上行链路是可用于配置主机物理连接以及故障切换和负载平衡策略的模板。您可以将主机的物理网卡映射到 Distributed Switch上的上行链路。在主机级别,每个物理网卡将连接到特定 ID 的上行链路端口。您可以对上行链路设置故障切换和负载平衡策略,这些策略将自动传播到主机代理交换机或数据面板。因此,您可以为与 Distributed Switch 关联的所有主机的物理网卡应用一致的故障切换和负载平衡配置。
分布式端口组 分布式端口组可向虚拟机提供网络连接并供 VMkernel 流量使用。您使用对于当前数据中心唯一的网络标签来标识每个分布式端口组。您可以在分布式端口组上配置网卡成组、故障切换、负载平衡、VLAN、安全、流量调整和其他策略。连接到分布式端口组的虚拟端口具有为该分布式端口组配置的相同属性。与上行链路端口组一样,在 vCenter Server(管理面板)上为分布式端口组设置的配置将通过其主机代理交换机(数据面板)自动传播到 Distributed Switch上的所有主机。因此,您可以配置一组虚拟机以共享相同的网络配置,方法是将虚拟机与同一分布式端口组关联。
例如,假设在数据中心创建一个 vSphere Distributed Switch,然后将两个主机与其关联。您为上行链路端口组配置了三个上行链路,然后将每个主机的一个物理网卡连接到一个上行链路。
通过此方法,每个上行链路可将每个主机的两个物理网卡映射到其中,例如上行链路 1 使用主机 1 和主机 2 的 vmnic0 进行配置。接下来,您可以为虚拟机网络和 VMkernel 服务创建生产和 VMkernel 网络分布式端口组。此外,还会分别在主机 1 和主机 2 上创建生产和 VMkernel 网络端口组的表示。您为生产和 VMkernel 网络端口组设置的所有策略都将传播到其在主机 1 和主机 2 上的表示。
为了确保有效地利用主机资源,将在运行 ESXi 5.5 及更高版本的主机上动态地按比例增加和减少代理交换机的分布式端口数。此主机上的代理交换机可扩展至主机上支持的最大端口数。端口限制基于主机可处理的最大虚拟机数来确定。
理论很多,操作简单,详见官方文档
4、网络配置最佳做法
在配置网络时,请考虑这些最佳做法:
与用于主机管理、vSphere vMotion、vSphere FT 等的网络相互隔离,从而提高安全性和性能。
将单独的物理网卡专用于一组虚拟机,或使用 Network I/O Control 和流量调整以确保虚拟机的带宽。这种分离方法还可以使总网络工作负载的一部分分布到多个 CPU 上。例如,隔离的虚拟机可更好地处理应用程序流量(例如来自 Web Client 的流量)。
要以物理方式分离网络服务并且专门将一组特定的网卡用于特定的网络服务,请为每种服务创建 vSphere标准交换机或 vSphere Distributed Switch。如果此操作无法实现,可以通过将网络服务附加到具有不同VLAN ID 的端口组,以便在一个交换机上将它们分离开。在这两种情况下,都与网络管理员确认所选的网络或 VLAN 是否与环境中的其他部分隔离,即没有与其相连的路由器。
在单独的网络上保持 vSphere vMotion 连接。在进行 vMotion 迁移时,客户机操作系统内存的内容将通过该网络传输。通过使用 VLAN 对单个物理网络分段,或者使用单独的物理网络(后者为首选),可以实现这一点。
为进行跨 IP 子网的迁移和使用单独的缓冲区和插槽池,请将 vMotion 的流量放置在 vMotion TCP/IP 堆栈上,将已关闭电源虚拟机和克隆的迁移的流量放置在置备 TCP/IP 堆栈上。
可以在不影响虚拟机或在交换机后端运行的网络服务的前提下,向标准或 Distributed Switch 添加或从中移除网络适配器。如果移除所有正在运行的硬件,虚拟机仍可互相通信。如果保留一个网络适配器原封不动,则所有的虚拟机仍然可以与物理网络相连。
为了保护大部分敏感的虚拟机,请在虚拟机中部署防火墙,以便在带有上行链路(连接物理网络)的虚拟网络和无上行链路的纯虚拟网络之间路由。
为获得最佳性能,请使用 VMXNET 3 虚拟机网卡。
连接到同一 vSphere 标准交换机或 vSphere Distributed Switch 的物理网络适配器还应该连接到同一物理网络。
在 vSphere Distributed Switch 中配置所有 VMkernel 网络适配器的相同 MTU。如果多个VMkernel 网络适配器连接到 vSphere Distributed Switch 但配置了不同的 MTU,您可能会遇到网络连接问题。
二、VMware vSphere 6.0存储配置
1、物理存储器的类型
ESXi 存储器管理过程以存储器管理员在不同存储系统上预先分配的存储空间开始。
ESXi 支持下列类型的存储器:
本地存储器 将虚拟机文件存储在内部存储磁盘或直接连接的外部存储磁盘上。
联网的存储器 将虚拟机文件存储在通过直接连接或高速网络与主机相连的外部存储磁盘或阵列上。
本地存储器
本地存储器可以是位于 ESXi 主机内部的内部硬盘,也可以是位于主机之外并直接通过 SAS 或SATA 等协议连接主机的外部存储系统。本地存储不需要存储网络即可与主机进行通信。您需要一根连接到存储单元的电缆;必要时,主机中需要有一个兼容的 HBA。
下图描述了一台使用本地 SCSI 存储器的虚拟机。
在这个本地存储器拓扑示例中,主机使用的是到存储磁盘的单一连接。可以在该磁盘上创建 VMFS 数据存储,以存储虚拟机磁盘文件。
虽然可以使用这种存储器配置拓扑,但不推荐使用。如果在存储阵列和主机间使用单一连接,那么,在连接不稳定或出现故障时,会产生将导致中断的单一故障点 (SPOF)。但是,由于大多数本地存储设备不支持多个连接,因此无法使用多个路径访问本地存储器。
ESXi 支持各种本地存储设备,包括 SCSI、IDE、SATA、USB 和 SAS 存储系统。无论使用何种存储器类型,主机都会向虚拟机隐藏物理存储器层。
注意:
不能使用 IDE/ATA 或 USB 驱动器来存储虚拟机。
本地存储器不支持在多个主机之间共享。只有一个主机可以访问本地存储设备上的数据存储。因此,虽然可以使用本地存储器创建虚拟机,但却无法使用需要用到共享存储器的 VMware 功能,如 HA 和 vMotion。但是,如果您使用的是仅有本地存储设备的主机群集,则可以实施 Virtual SAN。Virtual SAN 可将本地存储资源转变为软件定义的共享存储器,并允许您使用需要共享存储器的功能。
联网的存储器
联网的存储器由 ESXi 主机用于远程存储虚拟机文件的外部存储系统组成。通常,主机通过高速存储器网络访问这些系统。
网络存储设备将被共享。网络存储设备上的数据存储可同时由多个主机来访问。ESXi 支持多种网络存储技术。
除了本主题中介绍的传统网络存储,VMware 还支持虚拟共享存储(如 Virtual SAN)。Virtual SAN 可将 ESXi主机的内部存储资源转变为可为虚拟机提供 High Availability 和 vMotion 等功能的共享存储。有关详细信息,请参见 管理 VMware Virtual SAN 文档。
注意:
同一 LUN 无法通过不同存储协议提供给一个 ESXi 主机或多个主机。要访问 LUN,主机必须始终使用
单一协议,例如仅使用光纤通道或仅使用 iSCSI。
光纤通道 (FC)
在 FC 存储区域网络 (SAN) 上远程存储虚拟机文件。FC SAN 是一种将主机连接到高性能存储设备的专用高速网络。该网络使用光纤通道协议,将 SCSI 流量从虚拟机传输到 FC SAN 设备。
要连接到 FC SAN,您的主机应该配有光纤通道总线适配器 (HBA)。除非使用光纤通道直接连接存储器,否则需要光纤通道交换机来路由存储器流量。如果主机包含 FCoE(以太网光纤通道)适配器,则可以使用以太网网络连接到共享光纤通道设备。
光纤通道存储器描述了使用光纤通道存储器的虚拟机。
在该配置中,主机通过光纤通道适配器连接 SAN 架构(包括光纤通道交换机及存储阵列)。此时,存储阵列的 LUN 变得对于主机可用。您可以访问 LUN 并创建用于满足存储需求的数据存储。数据存储采用 VMFS 格式。
Internet SCSI (iSCSI)
在远程 iSCSI 存储设备上存储虚拟机文件。iSCSI 将 SCSI 存储器流量打包在 TCP/IP 协议中,使其通过标准TCP/IP 网络(而不是专用 FC 网络)传输。通过 iSCSI 连接,主机可以充当与位于远程 iSCSI 存储系统的目标进行通信的启动器。
iSCSI属于SAN
ESXi 提供下列 iSCSI 连接类型:
硬件 iSCSI 主机通过能够卸载 iSCSI 和网络处理的第三方适配器连接到存储器。硬件适配器可以是从属适配器,也可以是独立适配器。
软件 iSCSI 主机使用 VMkernel 中基于软件的 iSCSI 启动器连接到存储器。通过这种 iSCSI连接类型,主机只需要一个标准的网络适配器来进行网络连接。
必须配置 iSCSI 启动器以使主机能够访问和显示 iSCSI 存储设备。
iSCSI 存储器描述了不同类型的 iSCSI 启动器。
在左侧示例中,主机使用硬件 iSCSI 适配器连接到 iSCSI 存储系统。
在右侧示例中,主机使用软件 iSCSI 适配器和以太网网卡连接到 iSCSI 存储器。
此时,存储系统中的 iSCSI 存储设备变得对于主机可用。您可以访问存储设备并创建用于满足存储需求的 VMFS数据存储。
网络附加存储 (NAS)
在通过标准 TCP/IP 网络访问的远程文件服务器上存储虚拟机文件。ESXi 中内置的 NFS 客户端使用网络文件系统 (NFS) 协议第 3 版和第 4.1 版来与 NAS/NFS 服务器进行通信。为了进行网络连接,主机需要一个标准的网络适配器。
NFS 存储器描述了使用 NFS 卷存储其文件的虚拟机。在此配置中,主机连接到 NFS 服务器,此服务器通过常规网络适配器存储虚拟磁盘文件。
共享串行连接的 SCSI (SAS)
在可向多个主机提供共享访问的直接连接的 SAS 存储系统上存储虚拟机。这种类型的访问允许多个主机访问LUN 上的同一个 VMFS 数据存储。
目标和设备表示形式
在 ESXi 环境中,“目标”一词标识可以由主机访问的单个存储单元。
术语“设备”和“LUN”描述代表目标上的存储空间的逻辑卷。通常,“设备”和“LUN”等词在 ESXi 环境中表示通过存储器目标向主机呈现的存储卷,对于该卷可以格式化。
不同存储器供应商通过不同的方式向 ESXi 主机呈现存储系统。某些供应商在单个目标上呈现多个存储设备或LUN,而有些供应商则向多个目标各呈现一个 LUN。
在此图示中,每种配置都有三个 LUN 可用。在其中一个示例中,主机可以看到一个目标,但该目标具有三个可供使用的 LUN。每个 LUN 表示单个存储卷。在另一个示例中,主机可以看到三个不同的目标,每个目标都拥有一个 LUN。
ESXi支持的存储适配器
存储适配器为ESXi主机提供到特定存储单元或网络的连接。
ESXi 支持不同的适配器类别,
包括 SCSI、iSCSI、RAID、光纤通道、以太网上的光纤通道 (FCoE) 和以太网。
ESXi 通过 VMkernel 中的设备驱动程序直接访问适配器。
根据所使用的存储器类型,可能需要在主机上启用和配置存储适配器。
2、配置添加存储(本地、NFS、iSCSI)
存储多路径