July 11th, 2012 
admin
Здесь будет рассказано о настройках, которые применимы и к стандартным (за редким исключением), и к распределенным виртуальным коммутаторам VMware. Напомню, что часть настроек распределенных виртуальных коммутаторов уникальна и доступна только для них. Такие настройки описаны в разделах 2.3.4 и 2.3.5.
2.4.1. VLAN, виртуальные локальные сети. Настройка VLAN для стандартных виртуальных коммутаторов
Немножко общей теории о виртуальных локальных сетях. VLAN поддержива ются как стандартными, так и распределенными виртуальными коммутаторами. Суть их в том, чтобы возложить на коммутатор работу по анализу и контролю трафика на втором уровне модели OSI с целью создавать не связанные между собой сети без физической их изоляции друг от друга.
Рис. 2.22. Серверы (ВМ) подключены к одному коммутатору, но к разным VLAN
Что мы здесь видим?
Все серверы (в нашем случае это ВМ, но для VLAN это не принципиально) подключены к одному коммутатору (слева), но на этом коммутаторе настроены несколько VLAN, и все ВМ подключены к разным (справа). Это означает, что на коммутаторе (в случае виртуальных машин – на вКоммутаторе) мы сделали настройку – порт для ВМ1 принадлежит виртуальной сети 1 (с идентификатором VLAN ID = 1), порт для ВМ2 принадлежит VLAN 2 и т. д. Это означает, что эти ВМ друг с другом взаимодействовать не могут, им не даст такой возможности сам коммутатор. Изоляция между серверами (ВМ) получается практически такой же, как если бы они были подключены к разным коммутаторам.
Небольшое примечание: на коммутаторе физическом, к которому подключены коммутаторы виртуальные, также в обязательном порядке должны быть настроены VLAN.
В общем случае VLAN – это разделение всей нашей сети на несколько как будто бы не связанных сегментов. Именно всей сети, а не отдельно взятого коммутатора.
Зачем это надо:
Q для того чтобы уменьшить домены широковещательной рассылки, следовательно, снизить нагрузку на сеть;
Q для того чтобы повысить безопасность – хотя устройства подключены
в одну сеть физически, находясь в разных vlan, они не смогут взаимодействовать по сети.
Если используются VLAN, то коммутаторы (обычно этим занимаются именно коммутаторы) добавляют в каждый кадр поле, в которое записывают так называемый «vlan id» (тег VLAN, идентификатор VLAN) – число в диапазоне от 1 до
4094. Получается, для каждого порта указано, кадры с каким vlan id могут пройти в порт, а в кадрах прописано, к какому vlan относится каждый кадр. Эту операцию называют «тегированием», добавлением в кадр тега vlan.
Обычно VLAN настраиваются на коммутаторах, и только коммутаторы о них знают – с точки зрения конечного устройства (такого, как физический сервер или виртуальная машина) в сети не меняется ничего. Что означает настроить vlan на коммутаторе? Это означает для всех или части портов указать vlan id, то есть vlan с каким номером принадлежит порт. Теперь если сервер подключен к порту с vlan id = «10», то коммутатор гарантированно не перешлет его трафик в порты с другим vlan id, даже если сервер посылает широковещательный трафик.
Один VLAN может распространяться (и, как правило, распространяется) на несколько коммутаторов. То есть устройства, находящиеся в одном VLAN, могут физически быть подключены к разным коммутаторам.
Если за настройки сети отвечаете не вы, то формально, с точки зрения администрирования ESX(i), нам достаточно знать: ESX(i) поддерживает VLAN. Мы можем настроить vlan id для групп портов на вКоммутаторе, и они будут тегировать и ограничивать проходящий через них трафик.
Если тема настройки VLAN вас касается, то несколько слов подробнее.
У вас есть три принципиально разных варианта настройки vlan:
Q external switch tagging, EST – установка тегов VLAN только на внешних, физических, коммутаторах. За VLAN отвечают только физические коммутаторы, на вКоммутаторы трафик приходит без тегов VLAN;
Q virtual switch tagging, VST – установка тегов VLAN на виртуальных ком-
мутаторах. Коммутаторы физические настраиваются таким образом, чтобы теги VLAN не вырезались из кадров, передаваемых на физические интерфейсы серверов ESX(i), то есть виртуальным коммутаторам;
Q virtual guest tagging, VGT – установка тегов VLAN на гостевой ОС в вир-
туальной машине. В этом случае коммутаторы (и виртуальные, и физиче ские) не вырезают тег VLAN при пересылке кадра на клиентское устройство (в нашем случае на ВМ), а теги VLAN вставляются в кадры самим клиентским устройством (в нашем случае виртуальной машиной).
EST – схема на рис. 2.23.
Рис. 2.23. External switch tagging
Этот подход хорош тем, что все настройки VLAN задаются только на физических коммутаторах. Вашим сетевым администраторам не придется задействовать в этом вКоммутаторы ESX(i) – порты физических коммутаторов, куда подключены физические сетевые контроллеры ESX, должны быть настроены обычным образом, чтобы коммутаторы вырезали тег VLAN при покидании кадром порта. Минус подхода EST в том, что на каждый VLAN нам нужен выделенный физиче ский сетевой контроллер в ESX(i).
Таким образом, при реализации схемы EST уже физические коммутаторы пропускают в порты к ESX(i) пакеты только из нужных VLAN (5 и 15 в моем примере). Виртуальные машины и виртуальные коммутаторы про VLAN ничего не знают.
VST – схема на рис. 2.24.
Рис. 2.24. Схема Virtual switch tagging
Этот подход предполагает настройку VLAN и на вКоммутаторах. Удобен тем, что на один вКоммутатор (и на одни и те же vmnic) может приходить трафик множества VLAN. Из минусов – требует настройки на стороне и физических, и виртуальных коммутаторов. Те порты физических коммутаторов, к которым подключены контроллеры серверов ESX(i), следует настроить «транковые», то есть пропускающие пакеты из всех (или нескольких нужных) VLAN, и не вырезающие теги VLAN при проходе кадра сквозь порт. А на вКоммутаторах надо сопоставить VLAN ID соответствующим группам портов. Впрочем, это несложно –
Configuration ? Networking ? свойства vSwitch ? свойства группы портов ?
в поле VLAN ID ставим нужную цифру.
VGT – схема на рис. 2.25.
Этот подход хорош в тех редких случаях, когда одна ВМ должна взаимодействовать с машинами из многих VLAN одновременно. Для этого вКоммутатор мы настроим не вырезать теги VLAN из кадров к этой ВМ (фактически сделаем транковый порт на вКоммутаторе). Чтобы настроить транковый порт на стандартном виртуальном коммутаторе VMware, необходимо для группы портов, к которой подключена ВМ, в качестве VLAN ID прописать значение «4095». Пройдите
Configuration ? Networking ? свойства vSwitch ? свойства группы портов ?
в поле VLAN ID.
Рис. 2.25. Схема Virtual guest tagging
Минус конфигурации в том, что внутри ВМ должно быть ПО, обрабатыва ющее VLAN, – так как вКоммутатор теги VLAN вырезать не будет и они будут доходить прямо до ВМ. На физических серверах очень часто этим ПО является драйвер сетевых контроллеров. Это актуально и для ВМ.
Для реализации схемы VGT виртуальные машины должны использовать виртуальные сетевые карты типа e1000 или vmxnet3.
Драйверы vmxnet3 для Windows из состава VMware Tools позволяют настраивать VLAN, но какой-то один – см. рис. 2.26.
Рис. 2.26. Настройка VLAN в драйвере vmxnet3
Виртуальный контроллер E1000 эмулирует контроллер Intel Pro1000, и если установить соответствующий драйвер Intel (http://www.intel.com/design/network/ drivers/), то получим все его возможности, в частности возможность настраивать VLAN – см. рис. 2.27.
Рис. 2.27. Настройка VLAN в драйвере e1000/Intel Pro 1000
К сожалению, Intel не предоставляет специального драйвера для 64-битных операционных систем.
Кроме стандартных виртуальных коммутаторов VMware, некоторые лицензии позволяют использовать распределенные виртуальные коммутаторы VMware. У них немного больше возможностей работы с VLAN (они позволяют использо вать Private VLAN) и чуть-чуть по-другому выглядят окна настройки. Подробно сти см. в следующем разделе.
Источник: Михеев М. О. Администрирование VMware vSphere 4.1. – М.: ДМК Пресс, 2011. – 448 с.: ил.
Опубликовано в рубрике