NAKIVO > Bloggen

Was ist VMware vSwitch?

Veröffentlicht am: Juli 17, 2018

Written by: NAKIVO Team

Virtuelle Maschinen verbinden sich ähnlich wie physische Maschinen mit einem Netzwerk. Der Unterschied besteht darin, dass die VMs virtuelle Netzwerkadapter und virtuelle Switches verwenden, um Verbindungen mit physischen Netzwerken herzustellen. Wenn Sie bereits VMs auf VMware Workstation verwendet haben, sind Sie möglicherweise mit drei standardmäßigen virtuellen Netzwerken vertraut. Jedes davon verwendet einen anderen virtuellen Switch:

  • VMnet0 Bridged Network – ermöglicht die Verbindung des virtuellen Netzwerkadapters einer VM mit demselben Netzwerk wie der Netzwerkadapter des physischen Hosts.
  • VMnet1 Host Only Network – ermöglicht die Verbindung nur mit einem Host unter Verwendung eines anderen Subnetzes.
  • VMnet8 NAT-Netzwerk – verwendet ein separates Subnetz hinter dem NAT und ermöglicht die Verbindung des virtuellen Adapters der VM über das NAT mit demselben Netzwerk wie der Adapter des physischen Hosts.

ESXi-Hosts verfügen ebenfalls über virtuelle Switches, deren Einstellungen jedoch unterschiedlich sind. Der heutige Blogbeitrag befasst sich mit der Verwendung von virtuellen VMware-Switches auf VMware ESXi-Hosts für Netzwerkverbindungen virtueller Maschinen.

NAKIVO for VMware vSphere Backup

NAKIVO for VMware vSphere Backup

Complete data protection for VMware vSphere VMs and instant recovery options. Secure backup targets onsite, offsite and in the cloud. Anti-ransomware features.

DISCOVER SOLUTION

Definition von vSwitch

Ein virtueller Switch ist ein Softwareprogramm – eine logische Switching-Struktur, die einen Switch als Layer-2-Netzwerkgerät emuliert. Ein virtueller Switch gewährleistet dieselben Funktionen wie ein herkömmlicher Switch, mit Ausnahme einiger erweiterter Funktionalitäten. Im Gegensatz zu physischen Switches hat ein virtueller Switch folgende Eigenschaften:

  • Er lernt die MAC-Adressen des Transitverkehrs aus dem externen Netzwerk nicht.
  • Er nimmt nicht an Spanning-Tree-Protokollen teil.
  • Kann keine Netzwerkschleife für redundante Netzwerkverbindungen erstellen.

Die virtuellen Switches von VMware werden als vSwitches bezeichnet. vSwitches werden verwendet, um Verbindungen zwischen virtuellen Maschinen sowie zwischen virtuellen und physischen Netzwerken sicherzustellen. Ein vSwitch verwendet einen physischen Netzwerkadapter (auch NIC – Network Interface Controller genannt) des ESXi-Hosts für die Verbindung mit dem physischen Netzwerk. In den folgenden Fällen empfiehlt es sich aus Gründen der Leistung und/oder Sicherheit, ein separates Netzwerk mit einem vSwitch und einer physischen Netzwerkkarte zu erstellen:

  • Verbinden von Speicher, z. B. NAS oder SAN, mit ESXi-Hosts.
  • vMotion-Netzwerk für die Live-Migration von Virtuellen Maschinen zwischen ESXi-Hosts.
  • Fault Tolerance-Protokollierungsnetzwerk.

Wenn ein Angreifer auf eine der Virtuellen Maschinen im Netzwerk eines vSwitches zugreifen könnte, wäre er nicht in der Lage, auf den gemeinsam genutzten Speicher zuzugreifen, der mit dem separaten Netzwerk und vSwitch verbunden ist, selbst wenn dieser sich auf demselben ESXi-Host befände.

Das folgende Schema zeigt die Netzwerkverbindungen von VMs, die sich auf einem ESXi-Host befinden, vSwitches, physischen Switches und gemeinsam genutztem Speicher.

Virtual switches of an ESXi host

Sie können ein segmentiertes Netzwerk auf einem vorhandenen vSwitch erstellen, indem Sie Portgruppen für verschiedene VM-Gruppen erstellen. Dieser Ansatz kann das Verwalten großer Netzwerke vereinfachen.

Eine Portgruppe ist eine Zusammenfassung mehrerer Ports für gemeinsame Konfigurationen und VM-Verbindungen. Jede Portgruppe hat eine eindeutige Netzwerkkennzeichnung. In der folgenden Abbildung ist das standardmäßig erstellte „VM-Netzwerk“ eine Portgruppe für Virtuelle Maschinen, während das „Management-Netzwerk“ eine Portgruppe für den VMkernel-Netzwerkadapter des EXSi-Hosts ist, mit dem Sie ESXi verwalten können. Für Speicher- und vMotion-Netzwerke müssen Sie einen VMkernel-Adapter verbinden, der für jedes Netzwerk eine andere IP-Adresse haben kann. Jede Portgruppe kann eine VLAN-ID haben.

A simple topology of vSwitch with two port groups.

Die VLAN-ID ist die Kennung eines VLAN (Virtual Local Area Network), die für das VLAN-Tagging verwendet wird. VLAN-IDs können von 1 bis 4094 festgelegt werden (die Werte 0 und 4095 sind reserviert). Mit VLAN können Sie Netzwerke, die in derselben physischen Umgebung existieren, logisch unterteilen. VLAN basiert auf dem IEEE 802.1q-Standard und arbeitet auf der zweiten Schicht des OSI-Modells, deren Protocol Data Unit (PDU) ein Frame ist. Für Ethernet-Frames wird ein spezielles 4-Byte-Tag angehängt, wodurch sie von 1518 Byte auf 1522 Byte vergrößert werden. Die maximale Transmission Unit (MTU) beträgt 1500 Byte; dies entspricht der maximalen Größe von gekapselten IP-Paketen ohne Fragmentierung. Das Routing zwischen IP-Netzwerken erfolgt auf der dritten Schicht des OSI-Modells. Siehe das folgende Diagramm.

Connection of port groups with VLAN IDs

Jeder Port in einem vSwitch kann einen Port-VLAN-Identifier (PVID) haben. Ports mit PVIDs werden als „getaggte Ports” oder „Trunk-Ports” bezeichnet. Ein Trunk ist eine Punkt-zu-Punkt-Verbindung zwischen Netzwerkgeräten, die Daten aus mehreren VLANs übertragen kann. Ports ohne PVIDs werden als untagged Ports bezeichnet – sie können nur die Daten eines einzigen nativen VLANs übertragen. Untagged Ports werden in der Regel zwischen Switches und Endgeräten wie Netzwerkadaptern von Benutzergeräten verwendet. Die Geräte wissen in der Regel nichts über VLAN-Tags und arbeiten mit normalen untagged Frames. (Eine Ausnahme bildet der Fall, dass für die Virtuelle Maschine die Funktion „VMware Virtual Guest Tagging (VGT)” konfiguriert ist. In diesem Fall werden die Tags erkannt).

Arten von virtuellen Switches

VMware vSwitches lassen sich in zwei Arten unterteilen: Standard-Virtual-Switches und verteilte Virtual-Switches.

A vNetwork Standard Switch (vSwitch) ist ein virtueller Switch, der auf einem einzelnen VMware ESXi-Host konfiguriert werden kann. Standardmäßig verfügt dieser vSwitch über 120 Ports. Die maximale Anzahl von Ports pro ESXi-Host beträgt 4096.

Standard-vSwitch-Funktionen:

Link Erkennung ist eine Funktion, die das Cisco Discovery Protocol (CDP) verwendet, um Informationen über verbundene Switch-Ports zu sammeln und zu senden, die für die Netzwerkfehlerbehebung verwendet werden können.

Mit den Einstellungen für die Sicherheit können Sie Richtlinien für die Sicherheit festlegen:

  • Durch Aktivieren der Option Promiscuous Mode kann der virtuelle Gastadapter den gesamten Datenverkehr abhören und nicht nur den Datenverkehr auf der eigenen MAC-Adresse des Adapters.
  • Mit der Option MAC-Adressänderungen können Sie das Ändern der MAC-Adresse des virtuellen Netzwerkadapters einer VM zulassen oder verbieten.
  • Mit der Option Forged Transmits Option können Sie das Senden von Ausgangs-Frames mit anderen MAC-Adressen als der für den VM-Adapter festgelegten zulassen oder blockieren.

NIC-Teaming. Zwei oder mehr Netzwerkadapter können in einem Team zusammengefasst und mit einem virtuellen Switch verbunden werden. Dies erhöht die Bandbreite (Link-Aggregation) und bietet ein passives Failover für den Fall, dass einer der zusammengefassten Adapter ausfällt. Mit den Einstellungen für die Lastverteilung können Sie einen Algorithmus für die Verteilung des Datenverkehrs zwischen den Netzwerkkarten im Team festlegen. Sie können eine Failover-Reihenfolge festlegen, indem Sie die Netzwerkkarten (die sich im „aktiven” oder „Standby”-Modus befinden können) in der Liste nach oben oder unten verschieben. Ein Standby-Adapter wird aktiv, wenn der aktive Adapter ausfällt.

Traffic Shaping begrenzt die Bandbreite des ausgehenden Datenverkehrs für jeden virtuellen Netzwerkadapter, der mit dem vSwitch verbunden ist. Sie können Grenzwerte für die durchschnittliche Bandbreite (Kb/s), die Spitzenbandbreite (Kb/s) und die Burst-Größe (KB) festlegen.

Die Portgruppenrichtlinien wie Sicherheit, NIC-Teaming und Traffic Shaping werden standardmäßig von den vSwitch-Richtlinien übernommen. Sie können diese Richtlinien überschreiben, indem Sie sie manuell für Portgruppen konfigurieren.

A vNetwork Distributed vSwitch (dvSwitch) ist ein virtueller Switch, der Standardfunktionen des vSwitch umfasst und gleichzeitig eine zentralisierte Verwaltungskontrolle bietet. dvSwitches können nur in vCenter Server konfiguriert werden. Nach der Konfiguration in vCenter verfügt ein dvSwitch über dieselben Einstellungen auf allen definierten ESXi-Hosts innerhalb des Rechenzentrums, was das Management großer virtueller Infrastrukturen erleichtert – Sie müssen Standard-vSwitches nicht manuell auf jedem ESXi-Host einrichten. Bei Verwendung eines dvSwitch behalten VMs nach der Migration zwischen ESXi-Hosts ihren Netzwerkstatus und ihre virtuellen Switch-Ports bei. Die maximale Anzahl von Ports pro dvSwitch beträgt 60.000. Der dvSwitch verwendet die physischen Netzwerkadapter des ESXi-Hosts, auf dem sich die Virtuellen Maschinen befinden, um sie mit dem externen Netzwerk zu verbinden. Der VMware dvSwitch erstellt Proxy-Switches auf jedem ESXi-Host, um die gleichen Einstellungen darzustellen. Hinweis: Für die Verwendung der dvSwitch-Funktion ist eine Enterprise Plus-Lizenz erforderlich.

Simplified schema of a VMware Distributed vSwitch

Im Vergleich zu einem vSwitch bietet der dvSwitch einen größeren Funktionsumfang:

  • Zentralisiertes Netzwerk-Management. Sie können den dvSwitch für alle definierten ESXi-Hosts gleichzeitig mit vCenter verwalten.
  • Traffic Shaping. Im Gegensatz zum Standard-vSwitch unterstützt ein dvSwitch sowohl Outbound- als auch Inbound-Traffic Shaping.
  • Portgruppenblockierung. Sie können das Senden und/oder Empfangen von Daten für Portgruppen deaktivieren.
  • Port-Spiegelung. Diese Funktion dupliziert jedes Paket von einem Port auf einen speziellen Port mit einem SPAN-System (Switch Port Analyzer). Auf diese Weise können Sie den Datenverkehr überwachen und Netzwerkdiagnosen durchführen.
  • Richtlinie pro Port. Sie können spezifische Richtlinien nicht nur für Portgruppen, sondern auch für jeden einzelnen Port festlegen.
  • Unterstützung des Link Layer Discovery Protocol (LLDP). LLDP ist ein nicht proprietäres Protokoll der zweiten Schicht, das für die Überwachung von Netzwerken mit Geräten verschiedener Anbieter nützlich ist.
  • Netflow-Unterstützung. Damit können Sie IP-Verkehrsinformationen auf einem verteilten Switch überwachen, was bei der Fehlerbehebung hilfreich sein kann.

Nachdem wir nun die Funktionen von Standard- und verteilten vSwitches erläutert haben, wollen wir uns mit ihrer Implementierung befassen.

So erstellen und konfigurieren Sie VMware vSwitches

Standardmäßig gibt es auf einem VMware ESXi-Host einen virtuellen Switch mit zwei Portgruppen – VM-Netzwerk und Verwaltungsnetzwerk. Erstellen wir einen neuen vSwitch.

Hinzufügen eines Standard-vSwitches

Verbinden Sie sich mit vSphere Web Client mit dem ESXi-Host und gehen Sie wie folgt vor:

  • Gehen Sie zu Netzwerk > Virtuelle Switches.
  • Klicken Sie auf Standardmäßigen virtuellen Switch hinzufügen.
  • Legen Sie den Namen des virtuellen Switches (in unserem Fall „vSwitch2s“) und andere Optionen nach Bedarf fest. Klicken Sie dann auf die Schaltfläche Hinzufügen .

Adding a standard VMware virtual switch

Hinweis: Wenn Sie Jumbo-Frames aktivieren möchten, um die Paketfragmentierung zu reduzieren, können Sie einen MTU-Wert (Maximum Transmission Unit) von 9.000 Byte festlegen.

Hinzufügen eines Uplink-

Fügen Sie einen Uplink hinzu, um die Uplink-Redundanz sicherzustellen, indem Sie folgende Schritte ausführen:

  • Gehen Sie zu Netzwerk > Ihr vSwitch-Name > Aktionen > Uplink hinzufügen.
  • Wählen Sie zwei Netzwerkkarten aus.
  • Hier können Sie auch andere Optionen festlegen, z. B. Erkennung, Sicherheit, NIC-Teaming und Traffic Shaping.
  • Klicken Sie auf die Schaltfläche Speichern Sie Schaltfläche, um den Vorgang zu fertigstellen.

Sie können die vSwitch-Einstellungen jederzeit bearbeiten, indem Sie auf Einstellungen bearbeiten Nach Auswahl Ihres vSwitch unter Netzwerk > Virtuelle Switches.

Editing the settings of standard virtual switch

Hinzufügen einer Portgruppe

Nachdem Sie einen vSwitch erstellt haben, können Sie eine Portgruppe erstellen. Führen Sie dazu die folgenden Schritte aus:

  • Gehen Sie zu Netzwerk > Portgruppen und klicken Sie auf Portgruppe hinzufügen.
  • Legen Sie den Namen der Portgruppe und die VLAN-ID fest (falls erforderlich).
  • Wählen Sie den virtuellen Switch aus, auf dem diese Portgruppe erstellt werden soll.
  • Hier können Sie auch Einstellungen für die Sicherheit konfigurieren, wenn Sie möchten.
  • Klicken Sie auf die Schaltfläche Hinzufügen , um den Vorgang fertigzustellen.

Adding a port group to a standard vSwitch

Hinzufügen einer VMkernel-Netzwerkkarte

Wenn Sie ein dediziertes VM-Netzwerk, Speicher-Netzwerk, vMotion-Netzwerk, Fault Tolerance-Protokollierungsnetzwerk usw. verwenden möchten, sollten Sie eine VMkernel-Netzwerkkarte für das Management der entsprechenden Portgruppe erstellen. Die VMkernel-Netzwerk-Schicht verarbeitet den Systemdatenverkehr und verbindet ESXi-Hosts untereinander und mit vCenter.

Um eine VMkernel-Netzwerkkarte zu erstellen, führen Sie die folgenden Schritte aus:

  • Gehen Sie zu Netzwerk > VMkernel-NICs und klicken Sie auf VMkernel-NIC hinzufügen.
  • Wählen Sie die Portgruppe aus, in der Sie die VMkernel-Netzwerkkarte erstellen möchten.
  • Konfigurieren Sie die Netzwerkeinstellungen und Dienste für diese VMkernel-Netzwerkkarte wie angegeben.
  • Klicken Sie auf die Schaltfläche Speichern , um den Vorgang fertigzustellen.

Adding a VMkernel NIC to a port group of a virtual switch

Hinzufügen eines verteilten vSwitch

Um einen dvSwitch hinzuzufügen, melden Sie sich mit Ihrem vSphere-Webclient bei vCenter an und gehen Sie wie folgt vor:

  • Gehen Sie zu vCenter > Ihrem Rechenzentrumsnamen.
  • Klicken Sie mit der rechten Maustaste auf Ihr Rechenzentrum und wählen Sie Neuer verteilter Switch. Ein Assistent-Fenster wird angezeigt.
  • Legen Sie den Namen und den Standort für Ihren dvSwitch fest. Klicken Sie auf Weiter.
  • Wählen Sie die dvSwitch-Version aus, die mit den ESXi-Hosts in Ihrem Rechenzentrum kompatibel ist. Klicken Sie auf Weiter.
  • Bearbeiten Sie die Einstellungen. Geben Sie die Anzahl der Uplink-Ports, die Netzwerk-Eingangs-/Ausgangssteuerung und die Standard-Portgruppe an. Klicken Sie auf Weiter.
  • Im Abschnitt Bereit zum Abschließen klicken Sie auf Fertigstellen.

Jetzt können Sie den von Ihnen erstellten dvSwitch konfigurieren. Gehen Sie zu Home > Netzwerk > Ihren Datacenter-Name > Ihren dvSwitch-Name und wählen Sie die Registerkarte Verwalten . Der Screenshot zeigt die Funktionen und Optionen, die Sie von ihnen einstellen können.

Distributed vSwitch settings window

Erster Schritt: Die ESXi-Hosts müssen zu Ihrem verteilten virtuellen Switch hinzugefügt werden:

  • Klicken Sie auf Aktion > Hosts hinzufügen und verwalten. Ein Assistentfenster wird geöffnet.
  • Wählen Sie im Abschnitt Aufgabe auswählen die Option „Hosts hinzufügen” aus und klicken Sie auf Weiter.
  • Klicken Sie auf Neuer Host und wählen Sie den/die ESXi-Host(s) aus, den/die Sie hinzufügen möchten. Klicken Sie auf OK. Aktivieren Sie das Kontrollkästchen unten im Fenster, wenn Sie den Vorlagenmodus aktivieren möchten. Klicken Sie dann auf Weiter.
  • Wenn Sie den Vorlagenmodus aktiviert haben, wählen Sie einen Vorlagenhost aus. Die Netzwerkeinstellungen des Vorlagenhosts werden auf die anderen Hosts angewendet. Klicken Sie auf Weiter.
  • Wählen Sie die Netzwerkadapteraufgaben aus, indem Sie die entsprechenden Kontrollkästchen aktivieren. Sie können physische Netzwerkadapter und/oder VMkernel-Netzwerkadapter hinzufügen. Klicken Sie auf Weiter , wenn Sie bereit sind, fortzufahren.
  • Fügen Sie physische Netzwerkadapter zum dvSwitch hinzu und weisen Sie die Uplinks zu. Klicken Sie auf Auf alle anwenden und dann Weiter.
  • VMkernel-Netzwerkadapter verwalten. Um einen neuen VMkernel-Adapter zu erstellen, klicken Sie auf Neuer Adapter. Anschließend können Sie eine Portgruppe, eine IP-Adresse und andere Einstellungen auswählen. Nach dem Abschluss des Schritts klicken Sie auf Weiter.
  • Es wird eine Auswirkungsanalyse angezeigt. Überprüfen Sie, ob alle abhängigen Netzwerkdienste ordnungsgemäß arbeiten, und klicken Sie, wenn Sie zufrieden sind, auf Weiter.
  • Überprüfen Sie im Abschnitt Bereit zum Abschließen die von Ihnen ausgewählten Einstellungen und klicken Sie auf die Schaltfläche „Fertigstellen“ (Fertigstellen) , wenn Sie zufrieden sind.

Um eine neue verteilte Portgruppe hinzuzufügen, führen Sie die folgenden Schritte aus:

  • Klicken Sie auf „ <“ (Verteilte Portgruppe hinzufügen) >„Aktionen“ (Aktionen) > Neue verteilte Portgruppe.
  • Legen Sie den Namen und den Standort der Portgruppe fest und klicken Sie dann auf Weiter.
  • Konfigurieren Sie die Einstellungen der Portgruppe. In diesem Schritt können Sie die Portbindung, die Portzuweisung, die Anzahl der Ports, den Netzwerkressourcenpool und das VLAN konfigurieren. Klicken Sie auf Weiter , wenn Sie bereit sind.
  • Unter Bereit zum Abschließen Überprüfen Sie die ausgewählten Einstellungen und klicken Sie auf die Schaltfläche Fertigstellen , wenn Sie zufrieden sind.

Sie haben nun Ihre grundlegende dvSwitch-Konfiguration fertiggestellt. Sie können die Einstellungen jederzeit ändern, um sie an sich ändernde Anforderungen anzupassen.

Die Vorteile der Verwendung von vSwitches

Nachdem wir uns mit der Einrichtung von virtuellen VMware-Switches befasst haben, fassen wir nun die Vorteile ihrer Verwendung zusammen:

  • Trennung von Netzwerken mit VLANs und Routern, wodurch Sie den Zugriff von einem Netzwerk auf ein anderes einschränken können.
  • Verbesserte Sicherheit.
  • Flexibles Netzwerkmanagement.
  • Weniger Hardware-Netzwerkadapter für redundante Netzwerkverbindungen erforderlich (im Vergleich zu physischen Maschinen).
  • Einfachere Migration und Bereitstellung von VMs.

Fazit

Mit virtuellen Switches können Sie die Netzwerkverbindungen von VM-Gruppen verwalten, überwachen, die Sicherheit verbessern und die Verwaltung von VMware vSphere-Virtualisierungsumgebungen vereinfachen. Der verteilte virtuelle Switch bietet mehr Funktionen als der standardmäßige virtuelle Switch und ist für größere virtuelle Infrastrukturen mit einer hohen Anzahl von ESXi-Hosts besser geeignet.

Unabhängig von der Größe Ihrer virtuellen Umgebung sollten Sie eine Lösung für die Datensicherheit verwenden, die sich nahtlos in VMware integrieren lässt, um maximale Zuverlässigkeit zu gewährleisten. Wir bei NAKIVO kennen VMware in- und auswendig. Unser Expertenteam hat NAKIVO Backup & Replication speziell für die Verwendung mit VMware vSphere und ESXi entwickelt. Deshalb können Sie mit unserer Lösung eine nahtlose, effiziente und zuverlässige VMware-Sicherung erwarten.

Try NAKIVO Backup & Replication

Try NAKIVO Backup & Replication

Get a free trial to explore all the solution’s data protection capabilities. 15 days for free. Zero feature or capacity limitations. No credit card required.

Try for Free

Empfohlene Artikel

Picture
So erweitern Sie Windows-VM-Partitionen
Picture
Umfassende Anleitung zur Installation von VIB-Dateien auf ESXi
Picture
So beheben Sie den Fehler: Hyper-V-Checkpoint-Vorgang fehlgeschlagen