虚拟网络:高级主题
专用 VLAN 是分布式虚拟交换机的一项功能。在本节中,我们将对专用 VLAN 进行概括性的探讨,并讨论专用 VLAN 的设置和配置。
通过支持专用 VLAN,可以在更多方面与采用专用 VLAN 技术的现有网络连接环境兼容。借助专用 VLAN,用户可以限制同一 VLAN 或网段中不同虚拟机之间的通信,从而大大减少了某些网络配置所需的子网数。
PVLAN 在 DMZ 中十分有用。在 DMZ 中,服务器需要供外部连接访问,可能还需要供内部连接访问,但一般不需要与 DMZ 中的其他服务器进行通信。PVLAN 可以配置为允许服务器仅与 DMZ 中默认的网关通信,并拒绝服务器间通信。如果其中一个服务器被黑客破坏或感染了病毒,DMZ 中的其他服务器仍将处于安全状态。
专用 VLAN 的基本设计理念是将现有 VLAN 划分成一个或多个隔离的 VLAN,现有的 VLAN 称为主 VLAN,划分后隔离的 VLAN 则称为辅助 VLAN。
存在三种类型的辅助 VLAN:混杂、隔离和团体。
混杂型专用 VLAN 中的虚拟机可以与同一主 VLAN 中的任意虚拟机相互通信。在此例中,虚拟机 E 和 F 位于混杂型专用 VLAN 5 中,因此,专用 VLAN 5 中的所有虚拟机都可以与它们通信。在配置专用 VLAN 时,vSphere Client 会自动创建一个 ID 与主专用 VLAN ID 相同的混杂型辅助专用 VLAN。
隔离型专用 VLAN 中的虚拟机除了可以与混杂型专用 VLAN 中的虚拟机通信外,不能与任何其他虚拟机通信。在此例中,虚拟机 C 和 D 位于隔离型专用 VLAN 155 中,因此它们只能与虚拟机 E 和 F 进行通信。
团体型专用 VLAN 中的虚拟机可以互相通信,也可以与混杂型专用 VLAN 中的虚拟机通信,但不能与任何其他虚拟机通信。在此例中,虚拟机 A 和 B 可以互相通信,也可以与虚拟机 E 和 F 通信,因为 E 和 F 位于混杂型 VLAN 中。但是,它们不能与 C 或 D 通信,因为 C 和 D 不在团体型 VLAN 中。
在团体型和隔离型 VLAN 中传输的流量均标记为关联的辅助专用 VLAN 流量。
有关虚拟网络如何实施专用 VLAN 的问题,您需要注意以下两点:
首先,虚拟网络不对专用 VLAN 内的流量进行封装。换言之,主专用 VLAN 数据包内不存在封装的辅助专用 VLAN。
另外,同一专用 VLAN 中不同 ESX 或 ESXi 主机上的虚拟机之间的流量由物理交换机传输。因此,物理交换机必须支持专用 VLAN 且正确配置,辅助专用 VLAN 内的流量才能抵达其目的地。
在此操作指南中,您将创建一个专用 VLAN 并将它分配给分布式端口组。当您准备好开始观看此演示时,请单击“播放”按钮。
HYPERLINK "/vNetwork_CN_03_Slide8" /vNetwork_CN_03_Slide8
在采用 1 Gb 以太网物理上行链路的环境中,多个物理适配器专门用于某些流量类型的情况很常见。在这张幻灯片所显示的示例中,有多个不同的物理网卡专门供虚拟机使用,还有一些网卡专门供 VMkernel 用于存储、容错和 vMotion 流量。
随着 10 Gb 以太网的出现,流量通常汇聚到 10 Gb 以太网链路中。在这种环境中,有些类型的流量相对其他流量而言可能往往要占上风。这种问题即所谓的“过度使用”。
NetIORM 使用网络资源组来动态地控制网络流量。NetIORM 预定义了六个可用来动态控制网络流量的资源组。这些组基于分布式虚拟交换机端口,而非 TCP 或 UDP 端口。
NetIORM 的六个预定义端口为:vMotion、NFS、ISCSI、容错、管理和虚拟机。不可以定义其他资源组。
NetIORM 的两个主要目标是实现隔离和灵活分区。
对于隔离:不应允许一种流量在所有流量中占主导地位。
对于灵活分区,目标是允许隔离和过度使用,并保证出现流量竞争时的服务级别。
NetIORM 使用份额来指定流量的相对重要性。
此处的份额类似于虚拟机 CPU 和内存的占用份额。NetIORM 将合计所有份额,并设置相对于总和的份额。
因此,在这张幻灯片所显示的示例中,NFS 的份额值为 50 不一定意味着 NFS 组有资格占用 50% 的带宽。真实情况是,经过对所有份额的计算,能保证 NFS 占用不低于 15% 的可用带宽。
限制用于指定流量的绝对带宽。决不允许指定数据流的流量超出其限制。限制以 Mb/s 为单位进行指定。如果不希望其他网络事件对其他流量产生太大影响,就可以使用限制来实现此目的。
例如,以虚拟机流量和 ISCSI 流量几乎占用了所有可用带宽时的情况为例。vMotion 启动时会占用很大比例的带宽。在这种情况下,限制 vMotion 的带宽可能是明智之举。
在 NetIORM 操作指南中,我们将向您演示设置和配置网络 IO 资源管理功能的步骤。当您准备好开始观看此演示时,请单击“播放”按钮。
HYPERLINK "/vNetwork_CN_03_Slide15" /vNetwork_CN_03_Slide15
使用负载平衡策略和故障切换策略可决定网络流量在适配器间的分配量,以及如何在发生故障时重新路由流量。可以通过配置以下参数来编辑负载平衡策略和故障切换策略:
负载平衡策略
故障切换检测
网络适配器顺序
负载平衡策略和故障切换策略可以在虚拟交换机级别进行控制,也可以在端口组级别进行控制。
通过负载平衡设置,您可以指定 VMkernel 选择物理上行链路的方式。本节中讨论的负载平衡策略为:基于源端口 ID 的路由、基于 IP 或 MAC 哈希的路由以及基于负载的绑定。
基于源端口 ID 的路由将根据流量进入虚拟交换机时所用的虚拟端口来平衡负载。基于端口 ID 的分配采用固定分配方式。如果有三张网卡,则会将第一个、第四个和第七个端口分配给第一个物理网卡,将第二个和第五个端口分配给第二个物理网卡,以此类推。
在有些情况下,会有多个负载很高的虚拟机连接到同一物理网卡,此时各物理网卡之间的负载是不平衡的。在这张幻灯片中,您会看到网卡 2 连接到 2 个负载较高的虚拟机,已经过载;而网卡 3 则只有一个负载较低的虚拟机。
采用基于源 MAC 哈希的路由时,根据来自源以太网适配器的哈希值来选择上行链路。?
MAC 哈希基于虚拟机的固定 MAC 地址;而 TCP/IP 哈希则基于虚拟机的 IP 地址。因此,除非配置发生变更,否则一台虚拟机始终分配给同一物理网卡。
采用端口 ID 时,虚拟机在重新启动或运行 vMotion 后可能会被分配给与原来不同的物理网卡。
和采用源端口负载平衡时一样,可能会出现一个物理网卡过载而其他物理网卡未频繁使用的情况。
基于负载的绑定仅适用于分布式虚拟交换机。最初,端口的分配方式与采用基于源端口的负载平衡时相似。采用基于负载的绑定时,相应算法会定期检查所有绑定网卡的负载。如果其中一个网卡过载而另一个网卡尚有可用带宽,则分布式虚拟交换机会重新分配端口与网卡的映射关系,以便达到平衡状态。在下次执行检查之前的这段时间,这种映射关系会保持稳定。
基于负载的绑定在工作原理上与 VMware DRS 类似:会检查当前负载,并将负载较高的虚拟机移至更加合适的物理网卡。
故障切换策略决定了进行故障切换检测所采用的方法以及在主机上出现物理适配器故障时如何对流量进行重新路由。
可以设置的故障切换策略有:
网络故障检测 ?
通知交换机 ?
故障恢复 ?
故障切换顺序
网络故障切换检测指定进行故障切换检测时所采用的方法。
此策略设置为“Link Status only”(仅链路状态)时,故障切换检测将完全依赖于网络适配器提供的链路状态。此选项用于检测诸如拔掉电缆和物理交换机电源故障等故障,但不可用于检测配置错误。
此策略设置为“Beaconing”(信标)时,会在组中的所有网卡上发出一个信标探测信号,并且会将此信息与链路状态结合使用来判断故障。信标可以检测由生成树阻止的端口、错误配置的 VLAN,或本该拔掉交换机某一端的电缆时却拔掉了另一端的电缆等故障。如果错过了三个以上的连续信标,VMkernel 将在主机上触发警报。
使用“通知交换机”策略时,您将指定在进行故障切换时 VMkernel 如何与物理交换机通信。如果选择“Yes”(是),则每当虚拟以太网适配器连接到虚拟交换机,或者虚拟以太网适配器的流量因故障切换事件而由组中其他物理以太网适配器路由时,都将通过网络发出通知以更新物理交换机上的查找表。在绝大多数情况下,这样做都是合乎需要的,因为这样可以最大限度降低故障切换时所造成的延迟。
默认情况下,网卡绑定会应用故障恢复策略。也就是说,如果出现故障的物理以太网适配器恢复联机,则该适配器会立即恢复到活动状态,取代接管其插槽的备用适配器。此策略在“Rolling Failover”(滚动故障切换)设置为“No”(是)时有效。
如果主物理适配器出现间歇性故障,则此设置可能导致正在使用的适配器频繁变更。
另一种方法是将“Rolling Failover”(滚动故障切换)设置为“Yes”(是)。这样设置后,即使发生故障的适配器已经恢复,它仍将保持非活动状态,直到当前处于活动状态的其他适配器发生故障而需要由它替换为止。
使用“故障切换顺序”策略设置,可以指定如何为主机上的物理以太网适配器分配工作负载。可以将某些适配器置于活动状态;指定另一个组作为备用适配器以便在故障切换的情况下使用;将其他适配器指定为未使用,从而将它们排除在网卡绑定范围之外。
在“网卡绑定”操作指南中,您将了解如何配置负载平衡和故障切换检测。当您准备好开始观看此演示时,请单击“播放”按钮。
HYPERLINK "/vNetwork_CN_03_Slide27" /vNetwork_CN_03_Slide27
推荐访问:nobook虚拟实验室官网 虚拟