Các khái niệm về mạng trong VMware ESXi
Để kết nối các máy chủ và máy tính vật lý với mạng, bạn cần có bộ điều hợp mạng vật lý, bộ chuyển mạch và bộ định tuyến. Với máy ảo, các khái niệm mạng ảo được sử dụng để liên lạc giữa các thành phần khác nhau của một hạ tầng. Việc cấu hình mạng ESXi đúng cách trên máy chủ là vô cùng quan trọng đối với việc thiết lập bất kỳ môi trường ESXi nào.
Nói chung, mạng máy chủ ESXi bao gồm mạng lưu trữ, vMotion, VM và mạng quản lý. Đây thường là các mạng cơ bản được cấu hình để có một Cụm ESXi hoạt động tốt và được tích hợp với vCenter Server.
Trong bài đăng này, chúng ta sẽ xem xét các khái niệm và thành phần mạng VMware được sử dụng để cấu hình mạng trong VMware vSphere.
Bộ chuyển mạch ảo (vSwitch)
VMware vSwitch là thành phần quan trọng cho phép giao tiếp và truyền dữ liệu giữa các máy ảo (VM) trong môi trường VMware. vSwitch đúng như tên gọi của nó: một bộ chuyển mạch ảo, là phiên bản phần mềm tương đương với bộ chuyển mạch vật lý. Mặc dù không phải là thiết bị phần cứng, bộ chuyển mạch ảo vẫn truyền tải lưu lượng mạng dựa trên các khái niệm tương tự như trong mô hình mạng OSI, giống như các bộ chuyển mạch vật lý. Nói cách khác, các khung dữ liệu lớp 2 (lớp liên kết dữ liệu OSI) đi vào và ra khỏi vSwitch theo cách tương tự như khi đi qua một bộ chuyển mạch vật lý.
Sự khác biệt giữa mạng vSwitch và mạng bộ chuyển mạch vật lý trong bối cảnh VMware là vSwitch không có bảng địa chỉ MAC cho các thiết bị mà nó không biết trực tiếp, trái ngược với các bộ chuyển mạch vật lý. vSwitch chỉ biết và quan tâm đến các địa chỉ MAC của các máy ảo (VM) và các thiết bị cổng VMkernel được kết nối trực tiếp với bộ chuyển mạch ảo. vSwitch sẽ không phát tán các khung dữ liệu không xác định ra tất cả các cổng. Các khung dữ liệu không xác định sẽ bị vSwitch loại bỏ. Các địa chỉ MAC đích không xác định xuất phát từ một máy ảo kết nối với vSwitch sẽ được gửi đến cổng kết nối vật lý của vSwitch.
Một bộ chuyển mạch ảo (vSwitch0) được tạo mặc định khi cài đặt ESXi.
Bộ chuyển mạch ảo là một phần mềm mô phỏng thiết bị mạng L2. Bộ chuyển mạch ảo được sử dụng để kết nối các máy ảo với mạng và giao tiếp với nhau, với mạng vật lý và với các máy chủ bên ngoài. Tiếp theo, chúng ta sẽ tìm hiểu các thành phần được sử dụng cùng với bộ chuyển mạch ảo trong mạng VMware.
Các loại vSwitch
Trong vSphere, có hai loại bộ chuyển mạch ảo có thể được triển khai: vSphere Standard Switch (vSS) và Distributed Switch (vDS). vDS yêu cầu {3} cấp phép phải có sẵn và được cấu hình ở cấp độ vCenter. Đối với mục đích của bài viết này, chúng ta sử dụng vSS vì chúng bao phủ toàn bộ phạm vi các gói dịch vụ được cấp phép từ VMware và không yêu cầu vCenter Server.
Cổng ảo
Các cổng ảo trên vSwitch hoạt động giống như các cổng trên một bộ chuyển mạch vật lý. Mỗi máy ảo (VM) được cấu hình với bộ điều hợp mạng ảo sẽ sử dụng một trong các cổng ảo này trên vSwitch. Ngoài ra, còn có các cổng VMkernel , đây là loại cổng đặc biệt giao tiếp trực tiếp với VMkernel của máy chủ ESXi và là yêu cầu cần thiết để hỗ trợ lưu lượng mạng lưu trữ, vMotion, và quản lý. 
VMkernel
VMkernel là một hệ điều hành chuyên dụng tương tự POSIX (Giao diện Hệ điều hành Di động) trong VMware ESXi, cung cấp một lớp trừu tượng hóa giữa phần cứng ảo hóa và phần cứng vật lý. Có thể nói rằng VMkernel là một hệ điều hành nằm bên trong ESXi. Các máy ảo sử dụng VMkernel để giao tiếp với máy chủ ESXi.
VMkernel chịu trách nhiệm cung cấp các dịch vụ khác nhau cho các máy ảo (VM) đang chạy trên trình ảo hóa VMware ESXi, bao gồm quản lý bộ nhớ, lập lịch trình xử lý và quản lý I/O (đầu vào/đầu ra). Nó cũng cung cấp kết nối mạng và lưu trữ cho các máy ảo.
Một trong những tính năng chính của VMkernel là khả năng ảo hóa các tài nguyên phần cứng vật lý, chẳng hạn như CPU, bộ nhớ và lưu trữ. Điều này cho phép nhiều VM chia sẻ cùng các tài nguyên vật lý, giúp tăng tỷ lệ sử dụng và mang lại sự linh hoạt cao hơn trong việc phân bổ tài nguyên. VMkernel là thành phần bắt buộc cho Bộ điều phối tài nguyên phân tán, một tính năng cân bằng tải trong vSphere.
Kết nối vật lý (Physical Uplinks)
Lưu lượng trên bộ chuyển mạch ảo (Virtual Switch) được truyền lên (uplinked) trên mỗi máy chủ ESXi thông qua các thẻ mạng vật lý trên máy chủ ESXi được gán cho bộ chuyển mạch ảo (vSwitch) đó trong VMware. Điều này cung cấp đường dẫn lưu lượng cho lưu lượng vào và ra khỏi bộ chuyển mạch ảo. Giao diện vật lý thực tế trên máy chủ ESXi được ánh xạ đến một vmnic trong ESXi. Các ánh xạ này có thể được xem khi quản lý các bộ điều hợp mạng trên máy chủ ESXi.
Lưu ý các bộ điều hợp vật lý được gán cho các vSwitch (xem bên dưới).
Nếu các máy ảo (VM) nằm trên các máy chủ ESXi khác nhau, các bộ chuyển mạch ảo phải được kết nối với mạng vật lý thông qua các bộ điều hợp vật lý (kết nối lên) và lưu lượng mạng phải đi qua các thành phần mạng vật lý giữa các máy chủ ESXi. Bạn có thể kết nối một hoặc nhiều bộ điều khiển giao diện mạng vật lý (NIC) của máy chủ ESXi với một bộ chuyển mạch ảo.
Với hai hoặc nhiều bộ điều khiển giao diện mạng vật lý (NIC), còn được gọi là bộ điều khiển mạng, bạn có thể sử dụng tính năng nhóm NIC (tập hợp liên kết) để tăng băng thông mạng khi kết nối từ nhiều thiết bị mạng đến máy chủ ESXi và các máy ảo (VM) nằm trên máy chủ này. Giao thức Kiểm soát Tập hợp Liên kết (LACP) có thể được sử dụng.
Nhóm cổng VMware
Các nhóm cổng trong môi trường VMware cho phép bạn phân chia logic các cổng ảo có sẵn trên một vSwitch cụ thể. Chúng ta có thể áp dụng các quy tắc chính sách lưu lượng ở cấp độ nhóm cổng: quy tắc bảo mật và định hình lưu lượng. Nhóm cổng cũng là nơi bạn có thể gán VLAN cho lưu lượng của mình. Dưới đây, hãy lưu ý nhóm cổng đã được cấu hình có tên là TestPortGroup. 
Một bộ chuyển mạch ảo có thể chứa nhiều nhóm cổng.
Hai loại nhóm cổng trong VMware ESXi có thể được phân loại như sau:
- Nhóm cổng máy ảo – dùng để kết nối các máy ảo với bộ chuyển mạch ảo.
- Nhóm cổng VMkernel – dùng để kết nối giao diện VMkernel với bộ chuyển mạch ảo.
VLAN
VLAN là các mạng ảo dựa trên tiêu chuẩn IEEE 802.1Q, giúp tách biệt lưu lượng mạng một cách logic trên cùng một hạ tầng vật lý. VLAN cho phép phân chia mạng thành các phần khác nhau mà không cần tách biệt vật lý các mạng. Điều này được thực hiện nhờ một thẻ VLAN bổ sung được gửi trong tiêu đề khung Ethernet, giúp xác định VLAN mà lưu lượng thuộc về. Điều này thường được thực hiện vì lý do bảo mật và hiệu suất. Khi mạng mở rộng, lưu lượng phát sóng có thể tăng theo cấp số nhân. VLAN phân chia các miền phát sóng để lưu lượng phát sóng không mong muốn được giới hạn trong một mạng logic.
Về mặt bảo mật, nếu bạn muốn đảm bảo rằng một số lưu lượng nhất định không thể truy cập được từ các phần khác của mạng, thì bạn có thể gán lưu lượng đó vào VLAN riêng của nó. Điều này giúp cách ly nó khỏi các VLAN khác trên mạng sản xuất, cho phép bạn phân đoạn lưu lượng nhạy cảm hoặc riêng tư khỏi lưu lượng sản xuất thông thường.
Quay trở lại với vSwitch của chúng ta, có ba cách để thiết lập thẻ VLAN:
- Gán thẻ VLAN trên vSwitch (VST) là việc thiết lập thẻ VLAN ở cấp độ nhóm cổng. Điều này có nghĩa là thiết lập thẻ VLAN ở cấp độ vSwitch trên nhóm cổng. Cách này cho phép vSwitch quản lý thẻ VLAN. Đây có lẽ là cách đơn giản và được ưa chuộng nhất để triển khai VLAN trong môi trường ảo.
- Gán thẻ trên bộ chuyển mạch vật lý (EST) là việc gán thẻ VLAN trên bộ chuyển mạch vật lý. Bộ chuyển mạch vật lý chịu trách nhiệm quản lý các thẻ VLAN. Trong nhiều môi trường VMware, nếu bạn có bộ chuyển mạch lưu trữ chuyên dụng, các cổng sẽ được đặt ở chế độ không gán thẻ . Điều này có nghĩa là bộ chuyển mạch vật lý thực hiện tất cả các thao tác gán thẻ, và bộ chuyển mạch ảo không nhận biết điều này.
- Gắn thẻ khách ảo (VGT) cho phép máy ảo (VM) khách gắn thẻ lưu lượng và truyền thông tin này đến vSwitch, sau đó vSwitch sẽ truyền khung dữ liệu được gắn thẻ VLAN lên bộ chuyển mạch vật lý. Đây là trường hợp sử dụng ít phổ biến nhất.
vCenter Server
VMware vCenter là sản phẩm cốt lõi cần thiết để kích hoạt các tính năng doanh nghiệp. Điều này bao gồm, nhưng không giới hạn ở, các nội dung sau:
- Quản lý tập trung, bao gồm xác thực Đăng nhập một lần (SSO)
- Quản lý quyền truy cập tập trung
- Ghi nhật ký tập trung các tác vụ và sự kiện
- Quản lý tài nguyên
- Vị trí trung tâm để thực hiện các tác vụ quản lý và điều hành trên các máy chủ ESXi
- Bộ chuyển mạch ảo phân tán
- Khả năng sẵn sàng cao
- Lập lịch tài nguyên phân tán
- Khả năng chịu lỗi
- Cập nhật tập trung thông qua Trình quản lý cập nhật
Lưu ý : vCenter Server cũng cần thiết để kích hoạt các mô-đun bổ sung mà người dùng có thể muốn tận dụng trong hệ sinh thái VMware, chẳng hạn như VMware NSX, VSAN, và các mô-đun khác. VMware NSX cung cấp các tùy chọn mạng nâng cao hơn cho mạng ảo VMware so với các máy chủ ESXi độc lập và máy chủ ESXi được quản lý bởi vCenter.
Các thực hành tốt nhất về mạng ESXi
Sau khi nắm vững các khái niệm chính về mạng VMware, việc áp dụng các thực hành tốt nhất về mạng VMware khi thiết kế và cấu hình các thành phần mạng trong môi trường VMware ESXi là rất hữu ích.
Lập kế hoạch kiến trúc mạng . Trước khi triển khai một máy chủ ESXi, việc lập kế hoạch kiến trúc mạng là rất quan trọng. Xác định số lượng bộ điều hợp mạng vật lý cần thiết, cách phân chia mạng và cách xử lý tính dự phòng và chuyển đổi dự phòng của mạng.
Sử dụng bộ điều hợp mạng vật lý dự phòng . Các máy chủ ESXi nên được trang bị ít nhất hai bộ điều hợp mạng vật lý để đảm bảo tính dự phòng và chuyển đổi dự phòng. Tốt nhất, các bộ điều hợp này nên được kết nối với các bộ chuyển mạch vật lý riêng biệt để đảm bảo tính dự phòng ở cấp độ bộ chuyển mạch.
Sử dụng VLAN để phân chia mạng . VLAN cho phép bạn phân đoạn mạng và cách ly lưu lượng truy cập vì lý do bảo mật hoặc hiệu suất. Tốt nhất là sử dụng các VLAN riêng biệt cho lưu lượng quản lý, lưu lượng máy ảo (VM) và lưu lượng lưu trữ. Đọc thêm về cách VXLAN có thể hữu ích cho mạng ảo.
Cấu hình dự phòng mạng . VMware vSphere cung cấp nhiều tùy chọn cho dự phòng mạng, bao gồm NIC teaming và link aggregation. Các công nghệ này có thể giúp đảm bảo mạng của bạn vẫn khả dụng ngay cả khi một bộ điều hợp mạng hoặc bộ chuyển mạch bị hỏng.
Sử dụng bộ chuyển mạch ảo phân tán (DVS). DVS là một tính năng của VMware vSphere cho phép bạn quản lý cấu hình mạng trên nhiều máy chủ ESXi từ một vị trí trung tâm. Điều này giúp quản lý và cấu hình mạng trong các môi trường ảo quy mô lớn trở nên dễ dàng hơn.
Sử dụng Kiểm soát I/O Mạng (NIOC). NIOC là tính năng cho phép bạn ưu tiên lưu lượng mạng và phân bổ băng thông cho các loại lưu lượng khác nhau. Tính năng này đặc biệt hữu ích trong các môi trường có lưu lượng mạng lớn hoặc để đảm bảo rằng lưu lượng quan trọng (chẳng hạn như lưu lượng lưu trữ) không bị ảnh hưởng bởi các lưu lượng khác.
Sử dụng khung Jumbo cho lưu lượng lưu trữ . Khung Jumbo (MTU=9000 byte) có thể nâng cao hiệu quả của lưu lượng lưu trữ bằng cách giảm thiểu chi phí phụ liên quan đến việc gửi các gói tin nhỏ. Tuy nhiên, không phải tất cả các mảng lưu trữ đều hỗ trợ khung Jumbo, vì vậy hãy kiểm tra với nhà cung cấp trước khi kích hoạt tính năng này.
Theo dõi hiệu suất mạng . Việc theo dõi hiệu suất mạng là rất quan trọng để đảm bảo môi trường ảo của bạn hoạt động hiệu quả. VMware cung cấp nhiều công cụ để theo dõi hiệu suất mạng, bao gồm vRealize Operations Manager và biểu đồ hiệu suất vCenter Server.
Bằng cách tuân thủ các nguyên tắc tốt nhất về mạng VMware này, bạn có thể đảm bảo rằng mạng VMware ESXi của mình được thiết kế và cấu hình để đạt hiệu suất, độ tin cậy và khả năng mở rộng tối ưu.
Kết luận
Để cấu hình mạng ảo trong môi trường ảo VMware, bạn nên cấu hình các bộ chuyển mạch ảo, nhóm cổng, bộ điều hợp VMkernel, kết nối vật lý và, tùy chọn, VLAN. Các thuật ngữ và khái niệm mạng ESXi nêu trên là rất quan trọng để hiểu các kiến thức cơ bản khi thiết lập máy chủ ESXi trong cấu hình mạng VMware. Tiếp theo, bạn có thể chuyển sang các bước thực hành và cấu hình Mạng máy ảo ESXi, Mạng lưu trữ ESXi, và Mạng ESXi vMotion.
Hãy nhớ rằng việc bảo vệ các máy ảo VMware và dữ liệu của bạn bằng cách triển khai giải pháp bảo vệ dữ liệu nâng cao như NAKIVO Backup & Replication là điều cần thiết.
