VMware vSwitch là gì?

Các máy ảo kết nối với mạng theo cách tương tự như các máy vật lý. Điểm khác biệt là các máy ảo sử dụng bộ điều hợp mạng ảo và bộ chuyển mạch ảo để thiết lập kết nối với các mạng vật lý. Nếu bạn đã từng sử dụng các máy ảo chạy trên VMware Workstation, có thể bạn đã quen thuộc với ba mạng ảo mặc định. Mỗi mạng sử dụng một bộ chuyển mạch ảo khác nhau:

• VMnet0 Mạng cầu nối (Bridged network) – cho phép kết nối bộ điều hợp mạng ảo của máy ảo với cùng mạng mà bộ điều hợp mạng của máy chủ vật lý đang sử dụng.
• VMnet1 Mạng chỉ dành cho máy chủ (Host Only) – cho phép kết nối với máy chủ duy nhất, bằng cách sử dụng một mạng con khác.
• VMnet8 NAT Mạng ảo (Virtual Network) – sử dụng một mạng con riêng biệt phía sau NAT, và cho phép kết nối bộ điều hợp ảo của máy ảo thông qua NAT với cùng mạng với bộ điều hợp của máy chủ vật lý.

Các máy chủ ESXi cũng có các bộ chuyển mạch ảo, nhưng cài đặt của chúng khác biệt. Bài viết blog hôm nay sẽ khám phá việc sử dụng các bộ chuyển mạch ảo VMware trên các máy chủ VMware ESXi để thiết lập kết nối mạng cho máy ảo.

NAKIVO cho sao lưu VMware vSphere

Bảo vệ dữ liệu toàn diện cho các máy ảo VMware vSphere cùng các tùy chọn khôi phục tức thì. Các điểm sao lưu an toàn tại chỗ, ngoài cơ sở và trên đám mây. Các tính năng chống ransomware.

KHÁM PHÁ GIẢI PHÁP

Định nghĩa về vSwitch

Bộ chuyển mạch ảo là một chương trình phần mềm – một cấu trúc chuyển mạch logic mô phỏng bộ chuyển mạch như một layer-2 thiết bị mạng. Bộ chuyển mạch ảo đảm bảo các chức năng tương tự như bộ chuyển mạch thông thường, ngoại trừ một số tính năng nâng cao. Cụ thể, khác với bộ chuyển mạch vật lý, bộ chuyển mạch ảo:

• Không ghi nhớ các MAC địa chỉ của lưu lượng chuyển tiếp từ mạng bên ngoài.
• Không tham gia vào các Spanning Tree giao thức.
• Không thể tạo vòng lặp mạng cho kết nối mạng dự phòng.

Các bộ chuyển mạch ảo của VMware được gọi là vSwitches. vSwitches được sử dụng để đảm bảo kết nối giữa các máy ảo cũng như kết nối mạng ảo và mạng vật lý. Một vSwitch sử dụng bộ điều khiển giao diện mạng ( NIC ) của máy chủ ESXi để kết nối với mạng vật lý. Bạn có thể muốn tạo một mạng riêng biệt với vSwitch và bộ điều khiển giao diện mạng vật lý ( NIC ) vì lý do hiệu suất và/hoặc bảo mật trong các trường hợp sau:

• Kết nối lưu trữ, chẳng hạn như NAS hoặc SAN, với các máy chủ ESXi.
• Mạng vMotion để di chuyển trực tiếp các máy ảo giữa các máy chủ ESXi.
• Fault Tolerance Mạng ghi nhật ký.

Nếu một kẻ tấn công có thể truy cập vào một trong các máy ảo trong mạng của một vSwitch, họ sẽ không thể truy cập vào lưu trữ chia sẻ được kết nối với mạng và vSwitch riêng biệt, ngay cả khi chúng nằm trên cùng một máy chủ ESXi.

Sơ đồ dưới đây hiển thị các kết nối mạng của các máy ảo (VM) trên một máy chủ ESXi, vSwitch, bộ chuyển mạch vật lý và lưu trữ chung.

Bạn có thể tạo một mạng phân đoạn trên một vSwitch hiện có bằng cách tạo port groups cho các nhóm VM khác nhau. Cách tiếp cận này có thể giúp quản lý các mạng lớn dễ dàng hơn.

Một Port Group là tập hợp của nhiều cổng để cấu hình chung và kết nối VM. Mỗi nhóm cổng có nhãn mạng duy nhất. Ví dụ, trong ảnh chụp màn hình bên dưới, nhóm cổng “VM Network” được tạo mặc định là nhóm cổng dành cho các máy ảo khách, trong khi nhóm cổng “Management Network” là nhóm cổng dành cho bộ điều hợp mạng VMkernel của máy chủ ESXi, qua đó bạn có thể quản lý ESXi. Đối với mạng lưu trữ và vMotion, bạn cần kết nối bộ điều hợp VMkernel có thể có địa chỉ IP khác nhau cho từng mạng. Mỗi nhóm cổng có thể có một VLAN ID.

VLAN ID là mã định danh của một VLAN (Virtual Local Area Network) được sử dụng cho VLAN tagging. VLAN IDs có thể được đặt từ 1 đến 4094 (các giá trị 0 và 4095 được dành riêng). Với VLAN, bạn có thể phân chia logic các mạng tồn tại trong cùng một môi trường vật lý. VLAN dựa trên tiêu chuẩn IEEE 802.1q và hoạt động trên lớp thứ hai của OSI model, trong đó Protocol Data Unit (PDU) là frame. Một thẻ đặc biệt dài 4 byte được thêm vào cho Ethernet frames, làm tăng kích thước từ 1518 byte lên 1522 byte. Kích thước tối đa của Transmission Unit (MTU) là 1500 byte; đây là kích thước tối đa của các gói IP được đóng gói mà không bị phân mảnh. Việc định tuyến giữa các mạng IP được thực hiện ở lớp thứ ba của OSI model. Xem sơ đồ bên dưới.

Mỗi cổng trong một vSwitch có thể có một Port VLAN Identifier (PVID). Các cổng có PVIDs được gọi là “tagged ports” hoặc “trunked ports”. Một trunk là kết nối điểm-điểm giữa các thiết bị mạng có thể truyền dữ liệu từ nhiều VLANs. Các cổng không có PVIDs được gọi là cổng không có thẻ – chúng chỉ có thể truyền dữ liệu của một VLANbản địa duy nhất. Các cổng không được gắn thẻ thường được sử dụng giữa các bộ chuyển mạch và các thiết bị đầu cuối như bộ điều hợp mạng của máy người dùng. Các thiết bị đầu cuối thường không biết gì về VLAN thẻ, và chúng hoạt động với các khung không được gắn thẻ thông thường. (Ngoại lệ là nếu máy ảo có tính năng “VMware Virtual Guest Tagging (VGT)” được cấu hình, trong trường hợp đó các thẻ sẽ được nhận diện).

Các loại bộ chuyển mạch ảo

Các bộ chuyển mạch ảo VMware (vSwitch) có thể được chia thành hai loại: bộ chuyển mạch ảo tiêu chuẩn và bộ chuyển mạch ảo phân tán.

Một vNetwork Standard Switch (vSwitch) là bộ chuyển mạch ảo có thể được cấu hình trên một máy chủ ESXi duy nhất. Theo mặc định, bộ chuyển mạch ảo này có 120 cổng. Số cổng tối đa trên mỗi máy chủ ESXi là 4096.

Tính năng của vSwitch tiêu chuẩn:

Link discovery là tính năng sử dụng Cisco Discovery Protocol (CDP) để thu thập và gửi thông tin về các cổng chuyển mạch kết nối, có thể được sử dụng để khắc phục sự cố mạng.

Cài đặt bảo mật cho phép bạn thiết lập chính sách bảo mật:

• Bật tùy chọn Promiscuous Mode cho phép bộ điều hợp mạng ảo của máy ảo lắng nghe tất cả lưu lượng, thay vì chỉ lưu lượng trên địa chỉ MAC của chính bộ điều hợp đó.
• Với tùy chọn MAC Address Changes , bạn có thể cho phép hoặc không cho phép thay đổi địa chỉ MAC của bộ điều hợp mạng ảo của máy ảo.
• Với tùy chọn Forged Transmits , bạn có thể cho phép hoặc chặn việc gửi các khung dữ liệu đầu ra có địa chỉ MAC khác với địa chỉ đã đặt cho bộ điều hợp của máy ảo.

NIC teaming. Hai hoặc nhiều bộ điều hợp mạng có thể được kết hợp thành một nhóm và kết nối lên một bộ chuyển mạch ảo. Điều này tăng băng thông (link aggregation) và cung cấp khả năng chuyển đổi dự phòng thụ động trong trường hợp một trong các bộ điều hợp trong nhóm bị ngừng hoạt động. Các thiết lập của bộ điều hợp mạng dự phòng ( Load Balancing ) cho phép bạn chỉ định thuật toán phân phối lưu lượng giữa các bộ điều hợp mạng ảo ( NICs ) trong nhóm. Bạn có thể thiết lập thứ tự chuyển đổi dự phòng bằng cách di chuyển các bộ điều hợp mạng (có thể ở chế độ “hoạt động” hoặc “dự phòng”) lên xuống trong danh sách. Bộ điều hợp dự phòng sẽ chuyển sang chế độ hoạt động khi bộ điều hợp hoạt động gặp sự cố.

Traffic shaping giới hạn băng thông lưu lượng đi ra cho mỗi bộ điều hợp mạng ảo kết nối với vSwitch. Bạn có thể đặt giới hạn cho băng thông trung bình (Kb/s), băng thông đỉnh (Kb/s) và kích thước đợt (KB).

Các chính sách nhóm cổng như bảo mật, NIC gộp cổng và định hình lưu lượng được thừa kế từ chính sách vSwitch theo mặc định. Bạn có thể ghi đè các chính sách này bằng cách cấu hình thủ công cho các nhóm cổng.

Một vNetwork Distributed vSwitch (dvSwitch) là một bộ chuyển mạch ảo bao gồm các tính năng tiêu chuẩn của vSwitch đồng thời cung cấp giao diện quản trị tập trung. dvSwitches chỉ có thể được cấu hình trong vCenter Server. Sau khi được cấu hình trong vCenter, một dvSwitch sẽ có cùng các thiết lập trên tất cả các máy chủ ESXi được định nghĩa trong trung tâm dữ liệu, giúp việc quản lý các cơ sở hạ tầng ảo quy mô lớn trở nên dễ dàng hơn – bạn không cần phải thiết lập các bộ chuyển mạch ảo tiêu chuẩn thủ công trên từng máy chủ ESXi. Khi sử dụng dvSwitch, các máy ảo (VM) sẽ giữ nguyên trạng thái mạng và cổng vSwitch sau khi di chuyển giữa các máy chủ ESXi. Số lượng cổng tối đa trên mỗi dvSwitch là 60.000. dvSwitch sử dụng các bộ điều hợp mạng vật lý của máy chủ ESXi nơi các máy ảo đang chạy để kết nối chúng với mạng bên ngoài. VMware dvSwitch tạo các vSwitch đại diện trên mỗi máy chủ ESXi để phản ánh cùng các thiết lập. Lưu ý: cần có giấy phép Enterprise Plus để sử dụng tính năng dvSwitch .

So với vSwitch, dvSwitch cung cấp bộ tính năng rộng hơn:

• Quản lý mạng tập trung. Bạn có thể quản lý dvSwitch cho tất cả các máy chủ ESXi đã định nghĩa đồng thời thông qua vCenter.
• Traffic shaping. Khác với vSwitch tiêu chuẩn, dvSwitch hỗ trợ cả định hình lưu lượng ra và vào.
• Chặn nhóm cổng. Bạn có thể vô hiệu hóa việc gửi và/hoặc nhận dữ liệu cho các nhóm cổng.
• Port mirroring. Tính năng này sao chép từng gói tin từ một cổng sang một cổng đặc biệt thông qua hệ thống SPAN (Switch Port Analyzer). Điều này cho phép bạn giám sát lưu lượng và thực hiện chẩn đoán mạng.
• Chính sách theo cổng. Bạn có thể thiết lập các chính sách cụ thể cho từng cổng, không chỉ cho các nhóm cổng.
• Link Layer Discovery Protocol (LLDP) hỗ trợ. LLDP là một giao thức lớp hai không độc quyền, hữu ích cho việc giám sát các mạng đa nhà cung cấp.
• Netflow hỗ trợ. Điều này cho phép bạn giám sát thông tin lưu lượng IP trên một bộ chuyển mạch phân tán, điều này có thể hữu ích cho việc khắc phục sự cố.

Sau khi đã giải thích các tính năng của vSwitch tiêu chuẩn và phân tán, hãy thảo luận về cách triển khai chúng.

Cách tạo và cấu hình VMware vSwitch

Theo mặc định, có một bộ chuyển mạch ảo trên một máy chủ ESXi, với hai nhóm cổng – VM Network và Management Network. Hãy tạo một vSwitch mới.

Thêm vSwitch tiêu chuẩn

Kết nối với máy chủ ESXi bằng vSphere Web Client và thực hiện các bước sau:

• Truy cập Networking > Virtual switches.
• Nhấp vào Add standard virtual switch.
• Đặt tên vSwitch (“vSwitch2s”, trong trường hợp của chúng tôi) và các tùy chọn khác theo nhu cầu. Sau đó nhấp vào nút Add .

Lưu ý: Nếu bạn muốn jumbo frames được bật để giảm phân mảnh gói tin, bạn có thể đặt giá trị MTU (Maximum Transmission Unit) là 9.000 byte.

Thêm kết nối uplink

Thêm kết nối uplink để đảm bảo dự phòng bằng cách thực hiện các bước sau:

• Truy cập Networking > tên vSwitch của bạn > Actions > Add uplink.
• Chọn hai NICs.
• Bạn cũng có thể thiết lập các tùy chọn khác tại đây, chẳng hạn như phát hiện liên kết, bảo mật, NIC tạo nhóm cổng và điều chỉnh lưu lượng.
• Nhấp vào nút Save để hoàn tất.

Bạn có thể chỉnh sửa cài đặt vSwitch bất cứ lúc nào bằng cách nhấp vào Edit settings sau khi chọn vSwitch của bạn trong Networking > Virtual switches.

Thêm Nhóm Cổng

Bây giờ bạn đã tạo vSwitch, bạn có thể tạo port group. Để thực hiện điều này, hãy làm theo các bước sau:

• Truy cập Networking > Port groups và nhấp vào Add port group.
• Đặt tên cho nhóm cổng và VLAN ID (nếu cần).
• Chọn bộ chuyển mạch ảo mà trên đó port group này sẽ được tạo.
• Bạn cũng có thể cấu hình cài đặt bảo mật tại đây nếu muốn.
• Nhấp vào nút Add để hoàn tất.

Thêm một NIC VMkernel

Nếu bạn muốn sử dụng mạng VM chuyên dụng, mạng lưu trữ, mạng vMotion, Fault Tolerance mạng ghi nhật ký, v.v., bạn nên Tạo một VMkernel NIC để quản lý nhóm cổng tương ứng. Lớp mạng VMkernel xử lý lưu lượng hệ thống, cũng như kết nối các máy chủ ESXi với nhau và với vCenter.

Để tạo một VMkernel NIC, hãy thực hiện các bước sau:

• Truy cập Networking > VMkernel NICs và nhấp vào Add VMkernel NIC.
• Chọn nhóm cổng mà bạn muốn tạo VMkernel NIC.
• Cấu hình cài đặt mạng và dịch vụ cho VMkernel NIC này theo hướng dẫn.
• Nhấp vào nút Save để hoàn tất.

Thêm một vSwitch phân tán

Để thêm một dvSwitch, đăng nhập vào vCenter bằng trình duyệt web vSphere và thực hiện các bước sau:

• Truy cập vCenter > tên trung tâm dữ liệu của bạn.
• Nhấp chuột phải vào trung tâm dữ liệu của bạn và chọn New Distributed Switch. Một cửa sổ hướng dẫn sẽ xuất hiện.
• Đặt tên và vị trí cho dvSwitch. Nhấp vào Tiếp theo .
• Chọn phiên bản dvSwitch tương thích với các máy chủ ESXi trong trung tâm dữ liệu của bạn. Nhấp vào Next.
• Chỉnh sửa cài đặt. Chỉ định số lượng cổng uplink, kiểm soát đầu vào/đầu ra mạng và port groupmặc định. Nhấp vào Next.
• Trong phần Ready to complete , nhấp vào Finish.

Bây giờ bạn có thể định cấu hình dvSwitch mà bạn đã tạo. Truy cập Home > Networking > tên trung tâm dữ liệu của bạn > tên dvSwitch của bạn và chọn tab Manage . Ảnh chụp màn hình hiển thị các tính năng và tùy chọn mà bạn có thể thiết lập bằng cách nhấp vào chúng.

Đầu tiên, các máy chủ ESXi phải được thêm vào bộ chuyển mạch ảo phân tán của bạn:

• Nhấp vào Action > Add and Manage Hosts. Một cửa sổ trình hướng dẫn sẽ được khởi chạy.
• Trong phần Select task , chọn “Add hosts” và nhấp vào Next.
• Nhấp vào New host và chọn (các) máy chủ ESXi mà bạn muốn thêm. Nhấp vào OK. Đánh dấu vào ô ở cuối cửa sổ nếu bạn muốn bật chế độ mẫu. Sau đó nhấp vào Next.
• Nếu bạn đã bật template mode, hãy chọn một template host. Các template host’s cài đặt mạng sẽ được áp dụng cho các máy chủ khác. Nhấp vào Next.
• Chọn các tác vụ bộ điều hợp mạng bằng cách đánh dấu vào các ô tương ứng. Bạn có thể thêm bộ điều hợp mạng vật lý và/hoặc VMkernel bộ điều hợp mạng. Nhấp vào Next khi bạn đã sẵn sàng tiếp tục.
• Thêm bộ điều hợp mạng vật lý vào dvSwitch và gán các kết nối lên. Nhấp vào Apply to all và sau đó vào Next.
• Quản lý VMkernel bộ điều hợp mạng. Để tạo một bộ điều hợp VMkernel mới, hãy nhấp vào New Adapter. Sau đó, bạn có thể chọn port group, địa chỉ IP và các cài đặt khác. Sau khi hoàn tất bước này, hãy nhấp vào Next.
• Bạn sẽ thấy một phân tích tác động. Kiểm tra để đảm bảo rằng tất cả các dịch vụ mạng phụ thuộc đều hoạt động bình thường, và nếu bạn hài lòng, hãy nhấp vào Next.
• Trong phần Ready to complete , xem lại các thiết lập bạn đã chọn và nhấp vào nút Finish nếu bạn hài lòng.

Để thêm một nhóm cổng phân tán mới, hãy thực hiện các bước sau:

• Nhấp vào Actions > New Distributed Port Group.
• Đặt tên và vị trí của port group, sau đó nhấp vào Next.
• Cấu hình các thiết lập của port group. Trong bước này, bạn có thể cấu hình liên kết cổng, phân bổ cổng, số lượng cổng, nhóm tài nguyên mạng và VLAN. Nhấp vào Next khi bạn đã sẵn sàng.
• Trong phần Ready to complete , hãy xem lại các thiết lập bạn đã chọn và nhấp vào nút Finish nếu bạn hài lòng.

Bây giờ bạn đã có cấu hình cơ bản dvSwitch sẵn sàng. Bạn có thể thay đổi các thiết lập bất cứ lúc nào để phù hợp với các yêu cầu thay đổi.

Lợi ích của việc sử dụng vSwitches

Sau khi đã xem xét cách thiết lập các bộ chuyển mạch ảo VMware, hãy tóm tắt các lợi ích của việc sử dụng chúng:

• Tách biệt mạng với VLANs và bộ định tuyến, cho phép bạn hạn chế quyền truy cập từ mạng này sang mạng khác.
• Tăng cường bảo mật.
• Quản lý mạng linh hoạt.
• Giảm số lượng bộ điều hợp mạng vật lý cần thiết cho kết nối mạng dự phòng (so với máy chủ vật lý).
• Dễ dàng di chuyển và triển khai máy ảo (VM).

Kết luận

Bộ chuyển mạch ảo cho phép bạn quản lý kết nối mạng của các nhóm máy ảo, theo dõi chúng, nâng cao bảo mật và đơn giản hóa việc quản trị trong môi trường ảo VMware vSphere. Bộ chuyển mạch ảo phân tán bao gồm nhiều tính năng hơn bộ chuyển mạch ảo tiêu chuẩn và được ưa chuộng hơn cho cơ sở hạ tầng ảo lớn hơn với số lượng máy chủ ESXi cao.

Bất kể quy mô môi trường ảo của bạn là gì, bạn nên sử dụng giải pháp bảo vệ dữ liệu tích hợp liền mạch với VMware để đảm bảo độ tin cậy tối đa. Tại NAKIVO, chúng tôi hiểu rõ về VMware. Đội ngũ chuyên gia của chúng tôi đã thiết kế NAKIVO Backup & Replication đặc biệt để tương thích với vSphere và ESXi. Chính vì vậy, bạn có thể tin tưởng rằng giải pháp của chúng tôi sẽ mang lại trải nghiệm Sao lưu VMware mượt mà, hiệu quả và đáng tin cậy.

Hãy thử NAKIVO Backup & Replication

Đăng ký dùng thử miễn phí để khám phá toàn bộ các tính năng bảo vệ dữ liệu của giải pháp. Dùng thử miễn phí trong 15 ngày. Không có bất kỳ giới hạn nào về tính năng hay dung lượng. Không cần thẻ tín dụng.

Dùng thử miễn phí