NAKIVO > Blog

Qu’est-ce que VMware vSwitch ?

Publié le: juillet 17, 2018

Written by: NAKIVO Team

Les VMs se connectent à un réseau de la même manière que les machines physiques. La différence réside dans le fait que les VMs utilisent des adaptateurs réseau virtuels et des commutateurs virtuels pour établir des connexions avec les réseaux physiques. Si vous avez déjà utilisé des VMs fonctionnant sur VMware Workstation, vous connaissez peut-être les trois réseaux virtuels par défaut. Chacun d’entre eux utilise un commutateur virtuel différent :

  • VMnet0 Réseau ponté : permet de connecter le réseau virtuel d’une machine virtuelle au même réseau que la carte réseau de l’hôte physique.
  • VMnet1 Réseau hôte uniquement : permet de se connecter uniquement à un hôte, par l’utilisation d’un sous-réseau différent.
  • Réseau NAT VMnet8 : utilise un sous-réseau distinct derrière le NAT et permet la connexion de la carte virtuelle de la machine virtuelle via le NAT au même réseau que la carte de l’hôte physique.

Les hôtes ESXi disposent également de commutateurs virtuels, mais leurs paramètres sont différents. L’article d’aujourd’hui explore l’utilisation des commutateurs virtuels VMware sur les hôtes VMware ESXi pour les connexions réseau des machines virtuelles.

NAKIVO for VMware vSphere Backup

NAKIVO for VMware vSphere Backup

Complete data protection for VMware vSphere VMs and instant recovery options. Secure backup targets onsite, offsite and in the cloud. Anti-ransomware features.

DISCOVER SOLUTION

Définition du commutateur virtuel

Un commutateur virtuel est un programme logiciel, une structure de commutation logique qui émule un commutateur en tant que périphérique réseau de couche 2. Un commutateur virtuel assure les mêmes fonctions qu’un commutateur classique, à l’exception de certaines fonctionnalités avancées. À savoir, contrairement aux commutateurs physiques, un commutateur virtuel :

  • N’apprend pas les adresses MAC du trafic de transit provenant du réseau externe.
  • Ne participe pas aux protocoles Spanning Tree.
  • Ne peut pas créer de boucle réseau pour une connexion réseau redondante.

Les commutateurs virtuels de VMware sont appelés vSwitches. Les vSwitches sont utilisés pour assurer les connexions entre les machines virtuelles ainsi que pour connecter les réseaux virtuels et physiques. Un vSwitch utilise une carte réseau physique (également appelée NIC – Network Interface Controller) de l’hôte ESXi pour se connecter au réseau physique. Vous pouvez créer un réseau distinct avec un vSwitch et une carte réseau physique pour des raisons de performances et/ou de sécurité dans les cas suivants :

  • Connexion d’un stockage, tel que NAS ou SAN, à des hôtes ESXi.
  • Réseau vMotion pour la migration en direct de machines virtuelles entre des hôtes ESXi.
  • Réseau de journalisation de la tolérance aux pannes.

Si un malfaiteur parvenait à accéder à l’une des machines virtuelles du réseau d’un commutateur virtuel, il ne pourrait pas accéder au stockage partagé connecté au réseau et au commutateur virtuel distincts, même s’ils résidaient sur le même hôte ESXi.

Le schéma ci-dessous illustre les connexions réseau des VMs résidant sur un hôte ESXi, des commutateurs virtuels, des commutateurs physiques et du stockage partagé.

Virtual switches of an ESXi host

Vous pouvez créer un réseau segmenté sur un vSwitch existant en créant des groupes de ports pour différents groupes de machines virtuelles. Cette approche peut faciliter la gestion des grands réseaux.

Un groupe de ports est un regroupement de plusieurs ports pour une configuration commune et une connexion VM. Chaque groupe de ports possède une étiquette réseau unique. Par exemple, dans la capture d’écran ci-dessous, le « réseau VM » créé par défaut est un groupe de ports pour les Virtuelles Maschinen, tandis que le « réseau de gestion » est un groupe de ports pour la carte réseau VMkernel de l’hôte EXSi, avec laquelle vous pouvez gérer l’ESXi. Pour les réseaux de stockage et vMotion, vous devrez connecter une carte VMkernel qui peut avoir une adresse IP différente pour chaque réseau. Chaque groupe de ports peut avoir un identifiant VLAN.

A simple topology of vSwitch with two port groups.

The VLAN ID est l’identifiant d’un VLAN (Virtual Local Area Network) utilisé pour le balisage VLAN. Les identifiants VLAN peuvent être définis entre 1 et 4094 (les valeurs 0 et 4095 sont réservées). Le VLAN permet de diviser logiquement les réseaux qui existent dans le même environnement physique. Le VLAN est basé sur la norme IEEE 802.1q et fonctionne sur la deuxième couche du modèle OSI, dont l’unité de données de protocole (PDU) est la trame. Une balise spéciale de 4 octets est ajoutée aux trames Ethernet, ce qui les fait passer de 1518 octets à 1522 octets. L’unité de transmission maximale (MTU) est de 1500 octets ; cela représente la taille maximale des paquets IP encapsulés sans fragmentation. Le routage entre les réseaux IP s’effectue sur la troisième couche du modèle OSI. Voir le schéma ci-dessous.

Connection of port groups with VLAN IDs

Chaque port d’un vSwitch peut avoir un identifiant VLAN de port (PVID). Les ports qui ont des PVID sont appelés « ports balisés » ou « ports trunk ». Un trunk est une connexion point à point entre des appliances réseau qui peut transmettre les données de plusieurs VLAN. Les ports sans PVID sont appelés ports non balisés : ils ne peuvent transmettre les données que d’un seul VLAN natif. Les ports non balisés sont généralement utilisés entre les commutateurs et les appliances terminales, telles que les adaptateurs réseau des machines des utilisateurs. Les appliances terminales ne connaissent généralement rien aux balises VLAN et fonctionnent avec des trames normales non balisées. (L’exception est si la machine virtuelle dispose de la fonctionnalité « VMware Virtual Guest Tagging (VGT) » configurée, auquel cas les balises sont reconnues).

Types de commutateurs virtuels

Les commutateurs virtuels VMware peuvent être divisés en deux types : les commutateurs virtuels standard et les commutateurs virtuels distribués.

A vNetwork Standard Switch (vSwitch) est un commutateur virtuel qui peut être configuré sur un seul hôte ESXi. Par défaut, ce vSwitch dispose de 120 ports. Le nombre maximal de ports par hôte ESXi est de 4096.

Fonctionnalités du commutateur virtuel standard :

La découverte de liens est une fonctionnalité qui utilise le protocole CDP (Cisco Discovery Protocol) pour collecter et envoyer des informations sur les ports de commutateur connectés pouvant être utilisées pour le dépannage du réseau.

Les paramètres de sécurité vous permettent de définir des politiques de sécurité :

  • L’activation de l’option Promiscuous Mode permet à la carte virtuelle invitée d’écouter tout le trafic, plutôt que uniquement le trafic sur l’adresse MAC de la carte.
  • Avec l’option MAC Address Changes , vous pouvez autoriser ou interdire la modification de l’adresse MAC de l’adaptateur réseau virtuel d’une machine virtuelle.
  • Avec l’option Transmissions forgées option, vous pouvez autoriser ou bloquer l’envoi de trames de sortie avec des adresses MAC différentes de celle définie pour l’adaptateur de la machine virtuelle.

Regroupement de cartes réseau. Deux ou plusieurs adaptateurs réseau peuvent être regroupés et reliés à un commutateur virtuel. Cela augmente la bande passante (agrégation de liens) et offre un basculement passif en cas de défaillance de l’une des cartes regroupées. Les paramètres d’équilibrage de charge vous permettent de spécifier un algorithme de répartition du trafic entre les cartes réseau du groupe. Vous pouvez définir un ordre de basculement en déplaçant les cartes réseau (qui peuvent être en mode « actif » ou « veille ») vers le haut ou vers le bas dans la liste. Une carte en veille devient active en cas de défaillance de la carte active.

La mise en forme du trafic limite la bande passante du trafic sortant pour chaque réseau virtuel connecté au vSwitch. Vous pouvez définir des limites pour la bande passante moyenne (Kb/s), la bande passante maximale (Kb/s) et la taille de rafale (Ko).

Les politiques de groupe de ports telles que la sécurité, le regroupement de cartes réseau et la mise en forme du trafic sont héritées par défaut des politiques vSwitch. Vous pouvez remplacer ces politiques en les configurant manuellement pour les groupes de ports.

A vNetwork Distributed vSwitch (dvSwitch) est un commutateur virtuel qui inclut les fonctionnalités standard du vSwitch tout en offrant une interface d’administration centralisée. Les dvSwitches ne peuvent être configurés que dans vCenter Server. Une fois configuré dans vCenter, un dvSwitch dispose des mêmes paramètres sur tous les hôtes ESXi définis au sein du datacenter, ce qui facilite la gestion des infrastructures virtuelles de grande envergure. Vous n’avez donc pas besoin de configurer manuellement des commutateurs virtuels standard sur chaque hôte ESXi. Lorsque vous utilisez un dvSwitch, les VMs conservent leur état réseau et leurs ports de commutateur virtuel après la migration entre les hôtes ESXi. Le nombre maximal de ports par dvSwitch est de 60 000. Le dvSwitch utilise les adaptateurs réseau physiques de l’hôte ESXi sur lequel résident les VMs pour les relier au réseau externe. Le dvSwitch VMware crée des commutateurs proxy sur chaque hôte VMware ESXi afin de représenter les mêmes paramètres. Remarque : une licence Enterprise Plus est requise pour utiliser la fonctionnalité dvSwitch.

Simplified schema of a VMware Distributed vSwitch

Par rapport à un vSwitch, le dvSwitch offre un ensemble de fonctionnalités plus étendu :

  • Gestion centralisée du réseau. Vous pouvez gérer simultanément le dvSwitch pour tous les hôtes ESXi définis à l’aide de vCenter.
  • Régulation du trafic. Contrairement au vSwitch standard, un dvSwitch prend en charge la régulation du trafic sortant et entrant.
  • Blocage de groupes de ports. Vous pouvez désactiver l’envoi et/ou la réception de données pour les groupes de ports.
  • Mise en miroir des ports. Cette fonctionnalité duplique chaque paquet d’un port vers un port spécial à l’aide d’un système SPAN (Switch Port Analyzer). Cela vous permet de surveiller le trafic et d’effectuer des diagnostics réseau.
  • Politique par port. Vous pouvez définir des politiques spécifiques pour chaque port, et pas seulement pour des groupes de ports.
  • Prise en charge du protocole LLDP (Link Layer Discovery Protocol). Le protocole LLDP est un protocole non propriétaire de deuxième couche utile pour la surveillance des réseaux multifournisseurs.
  • Prise en charge de Netflow. Cela vous permet de surveiller les informations relatives au trafic IP sur un commutateur distribué, ce qui peut être utile pour le dépannage.

Maintenant que nous avons expliqué les fonctionnalités des commutateurs vSwitch standard et distribués, voyons comment les mettre en œuvre.

Comment créer et configurer des commutateurs virtuels VMware

Par défaut, il existe un commutateur virtuel sur un hôte VMware ESXi, avec deux groupes de ports : VM Network et Management Network. Créons un nouveau commutateur virtuel.

Ajout d’un commutateur virtuel standard

Connectez-vous à l’hôte ESXi avec vSphere Web Client et procédez comme suit :

  • Accédez à Mise en réseau > Virtual switches.
  • Cliquez sur Ajoutez un commutateur virtuel standard.
  • Définissez le nom du commutateur virtuel (« vSwitch2s », dans notre cas) et les autres options selon vos besoins. Cliquez ensuite sur le bouton Ajouter .

Adding a standard VMware virtual switch

Remarque : si vous souhaitez activer les trames jumbo pour réduire la fragmentation des paquets, vous pouvez définir une valeur MTU (unité de transmission maximale) de 9 000 octets.

Ajout d’une liaison montante

Ajoutez une liaison montante pour garantir la redondance de la liaison montante en procédant comme suit :

  • Accédez à Mise en réseau > nom de votre vSwitch > Actions > Ajouter une liaison montante.
  • Sélectionnez deux cartes réseau.
  • Vous pouvez également définir d’autres options ici, telles que la découverte de liens, la sécurité, le regroupement de cartes réseau et la mise en forme du trafic.
  • Cliquez sur le bouton Enregistrer pour terminer.

Vous pouvez modifier les paramètres du vSwitch à tout moment en cliquant sur Modifier les paramètres après avoir sélectionné votre vSwitch sous Mise en réseau > Commutateurs virtuels.

Editing the settings of standard virtual switch

Ajout d’un groupe de ports

Maintenant que vous avez créé un commutateur virtuel, vous pouvez créer un groupe de ports. Pour ce faire, procédez comme suit :

  • Accédez à Mise en réseau > Groupes de ports et cliquez sur Ajouter un groupe de ports.
  • Définissez le nom du groupe de ports et l’ID VLAN (si nécessaire).
  • Sélectionnez le commutateur virtuel sur lequel ce groupe de ports sera créé.
  • Vous pouvez également configurer les paramètres de sécurité ici si vous le souhaitez.
  • Cliquez sur le bouton Ajoutez bouton pour terminer.

Adding a port group to a standard vSwitch

Ajout d’une carte réseau VMkernel

Si vous souhaitez utiliser un réseau VM dédié, un réseau de stockage, un réseau vMotion, un réseau de journalisation de tolérance aux pannes, etc., vous devez créer une carte réseau VMkernel pour la gestion du groupe de ports concerné. La couche de mise en réseau VMkernel gère le trafic système et connecte les hôtes ESXi entre eux et à vCenter.

Pour créer une carte réseau VMkernel, procédez comme suit :

  • Accédez à Mise en réseau > VMkernel NICs et cliquez sur Ajouter une carte réseau VMkernel.
  • Sélectionnez le groupe de ports sur lequel vous souhaitez créer la carte réseau VMkernel.
  • Configurez les paramètres réseau et les services pour cette carte réseau VMkernel comme indiqué.
  • Cliquez sur le bouton Enregistrer pour terminer.

Adding a VMkernel NIC to a port group of a virtual switch

Ajout d’un commutateur vSwitch distribué

Pour ajouter un commutateur dvSwitch, connectez-vous à vCenter à l’aide de votre client Web vSphere, puis procédez comme suit :

  • Accédez à vCenter > le nom de votre centre de données.
  • Cliquez avec le bouton droit sur votre centre de données et sélectionnez Nouveau commutateur distribué. Une fenêtre d’assistant s’affiche.
  • Définissez le nom et l’emplacement de votre dvSwitch. Cliquez sur Suivant.
  • Sélectionnez la version de dvSwitch compatible avec les hôtes ESXi de votre centre de données. Cliquez sur Suivant.
  • Modifiez les paramètres. Spécifiez le nombre de ports de liaison montante, le contrôle d’entrée/sortie réseau et le groupe de ports par défaut. Cliquez sur Suivant.
  • Dans la section Prêt à terminer , cliquez sur Terminer.

Vous pouvez maintenant configurer le dvSwitch que vous avez créé. Accédez à Accueil > Mise en réseau > le nom de votre centre de données > le nom de votre dvSwitch, puis sélectionnez l’onglet GESTION . La capture d’écran montre les fonctionnalités et les options que vous pouvez définir en cliquant dessus.

Distributed vSwitch settings window

Tout d’abord, les hôtes ESXi doivent être ajoutés à votre commutateur virtuel distribué :

  • Cliquez sur Action > Ajouter et gérer les hôtes. Une fenêtre d’assistant s’ouvre.
  • Dans la section Sélectionner une tâche , sélectionnez « Ajouter des hôtes » et cliquez sur Suivant.
  • Cliquez sur Nouvel hôte et sélectionnez le ou les hôtes ESXi que vous souhaitez ajouter. Cliquez sur OK. Cochez la case en bas de la fenêtre si vous souhaitez activer le mode modèle. Cliquez ensuite sur Suivant.
  • Si vous avez activé le mode modèle, sélectionnez un hôte modèle. Les paramètres réseau de l’hôte modèle seront appliqués aux autres hôtes. Cliquez sur Suivant.
  • Sélectionnez les tâches de la carte réseau en cochant les cases appropriées. Vous pouvez ajouter des cartes réseau physiques et/ou des cartes réseau VMkernel. Cliquez sur Suivant lorsque vous êtes prêt à continuer.
  • Ajoutez des adaptateurs réseau physiques au dvSwitch et attribuez les liaisons montantes. Cliquez sur Appliquer à tous puis Suivant.
  • Gérer les adaptateurs réseau VMkernel. Pour créer une nouvelle carte VMkernel, cliquez sur Nouvelle carte. Vous pouvez ensuite sélectionner un groupe de ports, une adresse IP et d’autres paramètres. Après avoir terminé cette étape, cliquez sur Suivant.
  • Une analyse d’impact s’affiche. Vérifiez que tous les services réseau dépendants fonctionnent correctement, puis, si vous êtes satisfait, cliquez sur Suivant.
  • Sous la section Prêt à terminer section, vérifiez les paramètres que vous avez sélectionnés et cliquez sur le bouton Terminer si vous êtes satisfait.

Pour ajouter un nouveau groupe de ports distribués, procédez comme suit :

  • Cliquez sur Actions > Nouveau groupe de ports distribués.
  • Définissez le nom et l’emplacement du groupe de ports, puis cliquez sur Suivant.
  • Configurez les paramètres du groupe de ports. Au cours de cette étape, vous pouvez configurer la liaison des ports, l’allocation des ports, le nombre de ports, le pool de ressources réseau et le VLAN. Cliquez sur Suivant lorsque vous êtes prêt.
  • Sous la section Prêt à terminer section, vérifiez les paramètres que vous avez sélectionnés et cliquez sur le bouton Terminer si vous êtes satisfait.

La configuration de base de votre dvSwitch est désormais prête. Vous pouvez modifier les paramètres à tout moment afin de vous adapter à l’évolution des besoins.

Les avantages de l’utilisation des commutateurs virtuels

Après avoir examiné comment configurer les commutateurs virtuels VMware, résumons les avantages de leur utilisation :

  • Séparation des réseaux à l’aide de VLAN et de routeurs, ce qui vous permet de restreindre l’accès d’un réseau à un autre.
  • Sécurité améliorée.
  • GESTION flexible du réseau.
  • Moins de cartes réseau matérielles nécessaires pour une connexion réseau redondante (par rapport aux machines physiques).
  • Migration et déploiement plus faciles des VMs.

Conclusion

Les commutateurs virtuels vous permettent de gérer les connexions réseau des groupes de VMs, de les surveiller, d’améliorer la sécurité et faciliter l’administration des environnements virtuels VMware vSphere. Le commutateur virtuel distribué comprend plus de fonctionnalités que le commutateur virtuel standard et est préférable pour une infrastructure virtuelle plus grande avec un nombre élevé d’hôtes VMware ESXi.

Quelle que soit la taille de votre environnement virtuel, vous devez utiliser une solution de protection des données qui s’intègre parfaitement à VMware afin de garantir une fiabilité maximale. Chez NAKIVO, nous connaissons VMware sur le bout des doigts. Notre équipe d’experts a conçu NAKIVO Backup & Replication spécialement pour fonctionner avec vSphere et ESXi. C’est pourquoi vous pouvez compter sur un VMware-Backup transparent, efficace et fiable avec notre solution.

Try NAKIVO Backup & Replication

Try NAKIVO Backup & Replication

Get a free trial to explore all the solution’s data protection capabilities. 15 days for free. Zero feature or capacity limitations. No credit card required.

Try for Free

Les gens qui ont consulté cet article ont également lu

Picture
Quelles sont les nouveautés de VMware vSphere 8.0 ?
Picture
LockBit Ransomware : ce que vous devez savoir pour vous en protéger
Picture
Évaluation de l’impact des risques dans la reprise après sinistre : par où commencer ?