NAKIVO > Blog

Che cos’è VMware vSwitch?

Pubblicato: Luglio 17, 2018

Written by: NAKIVO Team

Le VM si connettono a una rete più o meno allo stesso modo delle macchine fisiche. La differenza è che le VM utilizzano adattatori di rete virtuali e switch virtuali per stabilire connessioni con le reti fisiche. Se avete utilizzato VM in esecuzione su VMware Workstation, potreste avere familiarità con tre reti virtuali predefinite. Ciascuna di esse utilizza uno switch virtuale diverso:

  • VMnet0 Rete bridge: consente la connessione dell’adattatore di rete virtuale di una VM alla stessa rete dell’adattatore di rete dell’host fisico.
  • VMnet1 Rete solo host: consente la connessione solo a un host, utilizzando una sottorete diversa.
  • VMnet8 Rete NAT: utilizza una sottorete separata dietro il NAT e consente la connessione della scheda di rete virtuale della VM attraverso il NAT alla stessa rete della scheda di rete dell’host fisico.

Anche gli host VMware ESXi dispongono di switch virtuali, ma le loro impostazioni sono diverse. Il post del blog di oggi esplora l’uso degli switch virtuali VMware sugli host VMware ESXi per le connessioni di rete delle VM.

NAKIVO for VMware vSphere Backup

NAKIVO for VMware vSphere Backup

Complete data protection for VMware vSphere VMs and instant recovery options. Secure backup targets onsite, offsite and in the cloud. Anti-ransomware features.

DISCOVER SOLUTION

Definizione di vSwitch

Uno switch virtuale è un programma software, ovvero una struttura di commutazione logica che emula uno switch come dispositivo di rete di livello 2. Uno switch virtuale garantisce le stesse funzioni di uno switch normale, ad eccezione di alcune funzionalità avanzate. In particolare, a differenza degli switch fisici, uno switch virtuale:

  • Non apprende gli indirizzi MAC del traffico di transito dalla rete esterna.
  • Non partecipa ai protocolli Spanning Tree.
  • Non è possibile creare un loop di rete per la connessione di rete ridondante.

Gli switch virtuali di VMware sono denominati vSwitch. I vSwitch vengono utilizzati per garantire le connessioni tra VM e per collegare reti virtuali e fisiche. Un vSwitch utilizza un adattatore di rete fisico (denominato anche NIC – Network Interface Controller) dell’host ESXi per la connessione alla rete fisica. Potrebbe essere opportuno creare una rete separata con un vSwitch e una scheda NIC fisica per motivi di prestazioni e/o sicurezza nei seguenti casi:

  • Connessione di dispositivi di storage, come NAS o SAN, agli host ESXi.
  • Rete vMotion per la migrazione live di VM tra host ESXi.
  • Rete di registrazione della tolleranza ai guasti.

Se un malintenzionato riuscisse ad accedere a una delle VM nella rete di un vSwitch, non sarebbe in grado di accedere allo storage condiviso collegato alla rete separata e al vSwitch, anche se risiedessero sullo stesso host ESXi.

Lo schema seguente mostra le connessioni di rete delle VM residenti su un host ESXi, vSwitch, switch fisici e storage condiviso.

Virtual switches of an ESXi host

È possibile creare una rete segmentata su un vSwitch esistente creando gruppi di porte per diversi gruppi di VM. Questo approccio può semplificare la gestione di reti di grandi dimensioni.

Un gruppo di porte è un’aggregazione di più porte per la configurazione comune e la connessione delle VM. Ogni gruppo di porte ha un’etichetta di rete univoca. Ad esempio, nella schermata sottostante, la “Rete VM” creata per impostazione predefinita è un gruppo di porte per le VM guest, mentre la “Rete di gestione” è un gruppo di porte per l’adattatore di rete VMkernel dell’host EXSi, con cui è possibile gestire ESXi. Per le reti di storage e vMotion, è necessario collegare un adattatore di rete VMkernel che può avere un indirizzo IP diverso per ogni rete. Ogni gruppo di porte può avere un ID VLAN.

A simple topology of vSwitch with two port groups.

L’ ID VLAN è l’identificatore di una VLAN (Virtual Local Area Network) utilizzato per il tagging VLAN. Gli ID VLAN possono essere impostati da 1 a 4094 (i valori 0 e 4095 sono riservati). Con VLAN è possibile dividere logicamente le reti esistenti nello stesso ambiente fisico. VLAN si basa sullo standard IEEE 802.1q e opera sul secondo livello del modello OSI, il Protocol Data Unit (PDU), di cui è un frame. Ai frame Ethernet viene aggiunto uno speciale tag di 4 byte, che li ingrandisce da 1518 byte a 1522 byte. L’unità di trasmissione massima (MTU) è di 1500 byte; questo valore rappresenta la dimensione massima dei pacchetti IP incapsulati senza frammentazione. Il routing tra reti IP viene eseguito sul terzo livello del modello OSI. Vedere il diagramma seguente.

Connection of port groups with VLAN IDs

Ogni porta in un vSwitch può avere un identificatore VLAN della porta (PVID). Le porte che hanno PVID sono chiamate “porte con tag” o “porte trunk”. Un trunk è una connessione punto-punto tra dispositivi di rete in grado di trasmettere i dati da più VLAN. Le porte senza PVID sono chiamate porte non taggate e possono trasmettere i dati di una sola VLAN nativa. Le porte non taggate sono in genere utilizzate tra switch e dispositivi endpoint, come gli adattatori di rete dei computer degli utenti. I dispositivi endpoint di solito non conoscono i tag VLAN e funzionano con normali frame non taggati. (L’eccezione è rappresentata dai casi in cui la VM ha la funzione “VMware Virtual Guest Tagging (VGT)”, nella funzione in cui i tag vengono riconosciuti).

Tipi di switch virtuali

Gli switch virtuali VMware possono essere suddivisi in due tipi: switch virtuali standard e switch virtuali distribuiti.

A vNetwork Standard Switch (vSwitch) è uno switch virtuale che può essere configurato su un singolo host ESXi. Per impostazione predefinita, questo vSwitch ha 120 porte. Il numero massimo di porte per host ESXi è 4096.

Funzionalità dello switch virtuale standard:

Rilevamento dei collegamenti è una funzione che utilizza il protocollo CDP (Cisco Discovery Protocol) per raccogliere e inviare informazioni sulle porte dello switch collegate che possono essere utilizzate per la risoluzione dei problemi di rete.

Le impostazioni di sicurezza consentono di impostare criteri di sicurezza:

  • Attivando l’opzione Modalità promiscua si consente all’adattatore virtuale guest di ascoltare tutto il traffico, anziché solo quello relativo al proprio indirizzo MAC.
  • Con l’opzione Modifiche dell’indirizzo MAC è possibile consentire o impedire la modifica dell’indirizzo MAC dell’adattatore di rete virtuale di una VM.
  • Con l’opzione Trasmissioni contraffatte è possibile consentire o bloccare l’invio di frame di output con indirizzi MAC diversi da quello impostato per l’adattatore della VM.

Teaming NIC. È possibile unire due o più adattatori di rete in un team e collegarli a uno switch virtuale. Ciò aumenta la larghezza di banda (aggregazione dei collegamenti) e fornisce un failover passivo nel caso in cui uno degli adattatori del team smetta di funzionare. Le impostazioni di bilanciamento del carico consentono di specificare un algoritmo per la distribuzione del traffico tra gli adattatori NIC del team. È possibile impostare un ordine di failover spostando gli adattatori di rete (che possono essere in modalità “attiva” o “standby”) verso l’alto o verso il basso nell’elenco. Un adattatore in standby diventa attivo in caso di guasto dell’adattatore attivo.

Traffic shaping Limita la larghezza di banda del traffico in uscita per ogni adattatore di rete virtuale collegato al vSwitch. È possibile impostare limiti per la larghezza di banda media (Kb/s), la larghezza di banda di picco (Kb/s) e la dimensione del burst (KB).

Le politiche del gruppo di porte, quali sicurezza, NIC teaming e traffic shaping, vengono ereditate dalle politiche del vSwitch per impostazione predefinita. È possibile sovrascrivere queste politiche configurandole manualmente per i gruppi di porte.

A vNetwork Distributed vSwitch (dvSwitch) è uno switch virtuale che include le funzioni standard di vSwitch e offre un’interfaccia di amministrazione centralizzata. I dvSwitch possono essere configurati solo in vCenter Server. Una volta configurato in vCenter, un dvSwitch ha le stesse impostazioni su tutti gli host ESXi definiti all’interno del data center, il che facilita la gestione di grandi infrastrutture virtuali: non è necessario configurare manualmente i vSwitch standard su ogni host ESXi. Quando si utilizza un dvSwitch, le VM mantengono i propri stati di rete e le porte dello switch virtuale dopo la migrazione tra host ESXi. Il numero massimo di porte per dvSwitch è 60.000. Il dvSwitch utilizza gli adattatori di rete fisici dell’host VMware ESXi su cui risiedono le VM per collegarle alla rete esterna. Il dvSwitch VMware crea switch proxy su ciascun host VMware ESXi per rappresentare le stesse impostazioni. Nota: per utilizzare la funzione dvSwitch è obbligatoria una licenza Enterprise Plus.

Simplified schema of a VMware Distributed vSwitch

Rispetto a un vSwitch, il dvSwitch offre una serie più ampia di funzioni:

  • Gestione centralizzata della rete. È possibile gestire il dvSwitch per tutti gli host ESXi definiti contemporaneamente con vCenter.
  • Modellazione del traffico. A differenza dello switch virtuale standard, un dvSwitch supporta la modellazione del traffico in uscita e in entrata.
  • Blocco dei gruppi di porte. È possibile disabilitare l’invio e/o la ricezione di dati per i gruppi di porte.
  • Port mirroring. Questa funzione duplica ogni pacchetto da una porta a una porta speciale con un sistema SPAN (Switch Port Analyzer). Ciò consente di monitorare il traffico ed eseguire diagnosi di rete.
  • Criterio per porta. È possibile impostare criteri specifici per ciascuna porta, non solo per gruppi di porte.
  • Supporto del protocollo LLDP (Link Layer Discovery Protocol). LLDP è un protocollo non proprietario di secondo livello utile per il monitoraggio di reti multi-vendor.
  • Supporto Netflow. Ciò consente il monitoraggio delle informazioni sul traffico IP su uno switch distribuito, il che può essere utile per la risoluzione dei problemi.

Dopo aver illustrato le funzioni degli switch vSwitch standard e distribuiti, vediamo ora come implementarli.

Come creare e configurare gli switch vSwitch VMware

Per impostazione predefinita, su un host ESXi è presente un solo switch virtuale con due gruppi di porte: VM Network e Management Network. Creiamo un nuovo vSwitch.

Aggiunta di uno switch virtuale standard

Connettiti all’host ESXi con vSphere Web Client ed esegui le seguenti operazioni:

  • Vai a Reti > Switch virtuali.
  • Fai clic su Aggiungi switch virtuale standard.
  • Imposta il nome dello switch virtuale (nel nostro caso “vSwitch2s”) e altre opzioni secondo necessità. Quindi fai clic sul pulsante Aggiungi .

Adding a standard VMware virtual switch

Nota: se si desidera abilitare i frame jumbo per ridurre la frammentazione dei pacchetti, è possibile impostare un valore MTU (Maximum Transmission Unit) di 9.000 byte.

Aggiunta di un uplink

Aggiungere un uplink per garantire la ridondanza dell’uplink procedendo come segue:

  • Andare su Rete > il nome del tuo vSwitch > Azioni > Aggiungi uplink.
  • Seleziona due schede di rete.
  • Qui è anche possibile impostare altre opzioni, quali rilevamento dei collegamenti, sicurezza, raggruppamento delle schede NIC e modellazione del traffico.
  • Fare clic sul pulsante Salva per terminare.

È possibile modificare le impostazioni del vSwitch in qualsiasi momento facendo clic su Modifica impostazioni dopo aver selezionato il vSwitch in Rete > Switch virtuali.

Editing the settings of standard virtual switch

Aggiunta di un gruppo di porte

Ora che hai creato un vSwitch, puoi creare un gruppo di porte. Per farlo, procedi come segue:

  • Vai a Rete > Port groups e clicca su Add port group.
  • Imposta il nome del gruppo di porte e l’ID VLAN (se necessario).
  • Selezionare lo switch virtuale su cui verrà creato questo gruppo di porte.
  • Se lo si desidera, è anche possibile configurare qui le impostazioni di sicurezza.
  • Fare clic sul pulsante Aggiungi per terminare.

Adding a port group to a standard vSwitch

Aggiunta di una scheda NIC VMkernel

Se si desidera utilizzare una rete VM dedicata, una rete di storage, una rete vMotion, una rete di registrazione Fault Tolerance, ecc., è necessario creare una scheda NIC VMkernel per la gestione del gruppo di porte pertinente. Il livello di rete VMkernel gestisce il traffico di sistema, oltre a collegare gli host ESXi tra loro e con vCenter.

Per creare una scheda NIC VMkernel, procedere come segue:

  • Andare su Reti > VMkernel NICs e fare clic su Aggiungi VMkernel NIC.
  • Seleziona il gruppo di porte su cui desideri creare la VMkernel NIC.
  • Configurare le impostazioni di rete e i servizi per questa scheda NIC VMkernel come richiesto.
  • Fare clic sul pulsante Salva per terminare.

Adding a VMkernel NIC to a port group of a virtual switch

Aggiunta di un vSwitch distribuito

Per aggiungere un dvSwitch, accedi a vCenter con il tuo client Web vSphere ed esegui le seguenti operazioni:

  • Vai a vCenter > il nome del tuo datacenter.
  • Fare clic con il pulsante destro del mouse sul datacenter e selezionare Nuovo switch distribuito. Viene visualizzata una finestra della procedura guidata.
  • Impostare il nome e l’ubicazione del dvSwitch. Fare clic su Avanti.
  • Selezionare la versione di dvSwitch compatibile con gli host ESXi all’interno del proprio data center. Fare clic su Avanti.
  • Modificare le impostazioni. Specificare il numero di porte uplink, il controllo di input/output di rete e il gruppo di porte predefinito. Fare clic su Avanti.
  • Nella sezione Pronto per il completamento fare clic su Termina.

Ora è possibile configurare il dvSwitch creato. Andare su Home > Rete > il nome del proprio Datacenter > il nome del proprio dvSwitch e selezionare la scheda Gestione . La schermata mostra le funzioni e le opzioni che è possibile impostare facendo clic su di esse.

Distributed vSwitch settings window

Primo, gli host ESXi devono essere aggiunti allo switch virtuale distribuito:

  • Fare clic su Azione > Aggiungi e gestisci host. Viene avviata una finestra della procedura guidata.
  • Nella sezione Seleziona attività , seleziona “Aggiungi host” e fai clic su Avanti.
  • Fare clic su Nuovo host e selezionare gli host ESXi che si desidera aggiungere. Fare clic su OK. Selezionare la casella nella parte inferiore della finestra se si desidera abilitare la modalità modello. Quindi fare clic su Avanti.
  • Se hai abilitato la modalità modello, seleziona un host modello. Le impostazioni di rete dell’host modello verranno applicate agli altri host. Fare clic su Avanti.
  • Selezionare le attività dell’adattatore di rete selezionando le caselle appropriate. È possibile aggiungere adattatori di rete fisici e/o adattatori di rete VMkernel. Fare clic su Avanti quando si è pronti a procedere.
  • Aggiungere gli adattatori di rete fisici al dvSwitch e assegnare gli uplink. Fare clic su Applica a tutti e quindi Avanti.
  • Gestisci adattatori di rete VMkernel. Per creare una nuova scheda VMkernel, fare clic su Nuova scheda. È quindi possibile selezionare un gruppo di porte, un indirizzo IP e altre impostazioni. Dopo aver completato questo passaggio, fare clic su Avanti.
  • Viene visualizzata un’analisi dell’impatto. Verificare che tutti i servizi di rete dipendenti funzionino correttamente e, se soddisfatti, fare clic su Avanti.
  • Nella sezione Pronto per completare sezione, rivedi le impostazioni selezionate e clicca sul pulsante Termina se sei soddisfatto.

Per aggiungere un nuovo gruppo di porte distribuite, procedi come segue:

  • Fai clic su Azioni > Nuovo gruppo di porte distribuite.
  • Impostare il nome e l’ubicazione del gruppo di porte, quindi fare clic su Avanti.
  • Configurare le impostazioni del gruppo di porte. In questo passaggio è possibile configurare il binding delle porte, l’allocazione delle porte, il numero di porte, il pool di risorse di rete e la VLAN. Fare clic su Avanti quando si è pronti.
  • Nella sezione Pronto per completare , rivedi le impostazioni selezionate e fai clic sul pulsante Termina se sei soddisfatto.

Ora la configurazione di base di dvSwitch è pronta. È possibile modificare le impostazioni in qualsiasi momento per adattarle alle mutevoli esigenze.

I vantaggi dell’utilizzo dei vSwitch

Dopo aver esaminato come configurare gli switch virtuali VMware, riassumiamo i vantaggi del loro utilizzo:

  • Separazione delle reti con VLAN e router, che consente di limitare l’accesso da una rete all’altra.
  • Maggiore sicurezza.
  • Gestione flessibile della rete.
  • Minore necessità di adattatori di rete hardware per connessioni di rete ridondanti (rispetto alle macchine fisiche).
  • Migrazione e implementazione più semplici delle macchine virtuali.

Conclusione

Gli switch virtuali consentono di gestire le connessioni di rete dei gruppi di macchine virtuali, effettuare il monitoraggio, migliorare la sicurezza e semplificare l’amministrazione degli ambienti virtuali VMware vSphere. Lo switch virtuale distribuito include più funzionalità rispetto allo switch virtuale standard ed è preferibile per un’infrastruttura virtuale più grande con un numero elevato di Host VMware ESXi.

Indipendentemente dalla dimensione del vostro ambiente virtuale, dovreste utilizzare una soluzione di protezione dei dati che si integri perfettamente con VMware per garantire la massima affidabilità. Qui a NAKIVO, conosciamo VMware dentro e fuori. Il nostro team di esperti ha progettato NAKIVO Backup & Replication & appositamente per funzionare con vSphere ed ESXi. Ecco perché con la nostra soluzione potete aspettarvi un backup di VMware perfettamente integrato, efficiente e affidabile.

Try NAKIVO Backup & Replication

Try NAKIVO Backup & Replication

Get a free trial to explore all the solution’s data protection capabilities. 15 days for free. Zero feature or capacity limitations. No credit card required.

Try for Free

Le persone leggono anche

Picture
Che cos’è il backup su cloud e come funziona?
Picture
Come eseguire la migrazione P2V e V2V con VMware Converter
Picture
Confronto e spiegazione di VMware vSphere HA e DRS