虚拟网1

虚拟网络:高级主题专用VLAN是分布式虚拟交换机的一项功能。在本节中，我们将对专用VLAN进行概括性的探讨，并讨论专用VLAN的设置和配置。通过支持专用VLAN，可以在更多方面与采用专用VLAN技术的现有网络连接环境兼容。借助专用VLAN，用户可以限制同一VLAN或网段中不同虚拟机之间的通信，从而大大减少了某些网络配置所需的子网数。PVLAN在DMZ中十分有用。在DMZ中，服务器需要供外部连接访问，可能还需要供内部连接访问，但一般不需要与DMZ中的其他服务器进行通信。PVLAN可以配置为允许服务器仅与DMZ中默认的网关通信，并拒绝服务器间通信。如果其中一个服务器被黑客破坏或感染了病毒，DMZ中的其他服务器仍将处于安全状态。专用VLAN的基本设计理念是将现有VLAN划分成一个或多个隔离的VLAN，现有的VLAN称为主VLAN，划分后隔离的VLAN则称为辅助VLAN。存在三种类型的辅助VLAN：混杂、隔离和团体。混杂型专用VLAN中的虚拟机可以与同一主VLAN中的任意虚拟机相互通信。在此例中，虚拟机E和F位于混杂型专用VLAN5中，因此，专用VLAN5中的所有虚拟机都可以与它们通信。在配置专用VLAN时，vSphereClient会自动创建一个ID与主专用VLANID相同的混杂型辅助专用VLAN。隔离型专用VLAN中的虚拟机除了可以与混杂型专用VLAN中的虚拟机通信外，不能与任何其他虚拟机通信。在此例中，虚拟机C和D位于隔离型专用VLAN155中，因此它们只能与虚拟机E和F进行通信。团体型专用VLAN中的虚拟机可以互相通信，也可以与混杂型专用VLAN中的虚拟机通信，但不能与任何其他虚拟机通信。在此例中，虚拟机A和B可以互相通信，也可以与虚拟机E和F通信，因为E和F位于混杂型VLAN中。但是，它们不能与C或D通信，因为C和D不在团体型VLAN中。在团体型和隔离型VLAN中传输的流量均标记为关联的辅助专用VLAN流量。有关虚拟网络如何实施专用VLAN的问题，您需要注意以下两点：首先，虚拟网络不对专用VLAN内的流量进行封装。换言之，主专用VLAN数据包内不存在封装的辅助专用VLAN。另外，同一专用VLAN中不同ESX或ESXi主机上的虚拟机之间的流量由物理交换机传输。因此，物理交换机必须支持专用VLAN且正确配置，辅助专用VLAN内的流量才能抵达其目的地。在此操作指南中，您将创建一个专用VLAN并将它分配给分布式端口组。当您准备好开始观看此演示时，请单击“播放”按钮。，多个物理适配器专门用于某些流量类型的情况很常见。在这张幻灯片所显示的示例中，有多个不同的物理网卡专门供虚拟机使用，还有一些网卡专门供VMkernel用于存储、容错和vMotion流量。随着10Gb以太网的出现，流量通常汇聚到10Gb以太网链路中。在这种环境中，有些类型的流量相对其他流量而言可能往往要占上风。这种问题即所谓的“过度使用”。NetIORM使用网络资源组来动态地控制网络流量。NetIORM预定义了六个可用来动态控制网络流量的资源组。这些组基于分布式虚拟交换机端口，而非TCP或UDP端口。NetIORM的六个预定义端口为：vMotion、NFS、ISCSI、容错、管理和虚拟机。不可以定义其他资源组。NetIORM的两个主要目标是实现隔离和灵活分区。对于隔离：不应允许一种流量在所有流量中占主导地位。对于灵活分区，目标是允许隔离和过度使用，并保证出现流量竞争时的服务级别。NetIORM使用份额来指定流量的相对重要性。此处的份额类似于虚拟机CPU和内存的占用份额。NetIORM将合计所有份额，并设置相对于总和的份额。因此，在这张幻灯片所显示的示例中，NFS的份额值为50不一定意味着NFS组有资格占用50%的带宽。真实情况是，经过对所有份额的计算，能保证NFS占用不低于15%的可用带宽。限制用于指定流量的绝对带宽。决不允许指定数据流的流量超出其限制。限制以Mb/s为单位进行指定。如果不希望其他网络事件对其他流量产生太大影响，就可以使用限制来实现此目的。例如，以虚拟机流量和ISCSI流量几乎占用了所有可用带宽时的情况为例。vMotion启动时会占用很大比例的带宽。在这种情况下，限制vMotion的带宽可能是明智之举。在NetIORM操作指南中，我们将向您演示设置和配置网络IO资源管理功能的步骤。当您准备好开始观看此演示时，请单击“播放”按钮。，以及如何在发生故障时重新路由流量。可以通过配置以下参数来编辑负载平衡策略和故障切换策略：负载平衡策略故障切换检测网络适配器顺序负载平衡策略和故障切换策略可以在虚拟交换机级别进行控制，也可以在端口组级别进行控制。通过负载平衡设置，您可以指定VMkernel选择物理上行链路的方式。本节中讨论的负载平衡策略为：基于源端口ID的路由、基于IP或MAC哈希的路由以及基于负载的绑定。基于源端口ID的路由将根据流量进入虚拟交换机时所用的虚拟端口来平衡负载。基于端口ID的分配采用固定分配方式。如果有三张网卡，则会将第一个、第四个和第七个端口分配给第一个物理网卡，将第二个和第五个端口分配给第二个物理网卡，以此类推。在有些情况下，会有多个负载很高的虚拟机连接到同一物理网卡，此时各物理网卡之间的负载是不平衡的。在这张幻灯片中，您会看到网卡2连接到2个负载较高的虚拟机，已经过载；而网卡3则只有一个负载较低的虚拟机。采用基于源MAC哈希的路由时，根据来自源以太网适配器的哈希值来选择上行链路。MAC哈希基于虚拟机的固定MAC地址；而TCP/IP哈希则基于虚拟机的IP地址。因此，除非配置发生变更，否则一台虚拟机始终分配给同一物理网卡。采用端口ID时，虚拟机在重新启动或运行vMotion后可能会被分配给与原来不同的物理网卡。和采用源端口负载平衡时一样，可能会出现一个物理网卡过载而其他物理网卡未频繁使用的情况。基于负载的绑定仅适用于分布式虚拟交换机。最初，端口的分配方式与采用基于源端口的负载平衡时相似。采用基于负载的绑定时，相应算法会定期检查所有绑定网卡的负载。如果其中一个网卡过载而另一个网卡尚有可用带宽，则分布式虚拟交换机会重新分配端口与网卡的映射关系，以便达到平衡状态。在下次执行检查之前的这段时间，这种映射关系会保持稳定。基于负载的绑定在工作原理上与VMwareDRS类似：会检查当前负载，并将负载较高的虚拟机移至更加合适的物理网卡。故障切换策略决定了进行故障切换检测所采用的方法以及在主机上出现物理适配器故障时如何对流量进行重新路由。可以设置的故障切换策略有：网络故障检测通知交换机故障恢复故障切换顺序网络故障切换检测指定进行故障切换检测时所采用的方法。此策略设置为“LinkStatusonly”（仅链路状态）时，故障切换检测将完全依赖于网络适配器提供的链路状态。此选项用于检测诸如拔掉电缆和物理交换机电源故障等故障，但不可用于检测配置错误。此策略设置为“Beaconing”（信标）时，会在组中的所有网卡上发出一个信标探测信号，并且会将此信息与链路状态结合使用来判断故障。信标可以检测由生成树阻止的端口、错误配置的VLAN，或本该拔掉交换机某一端的电缆时却拔掉了另一端的电缆等故障。如果错过了三个以上的连续信标，VMkernel将在主机上触发警报。使用“通知交换机”策略时，您将指定在进行故障切换时VMkernel如何与物理交换机通信。如果选择“Yes”（是），则每当虚拟以太网适配器连接到虚拟交换机，或者虚拟以太网适配器的流量因故障切换事件而由组中其他物理以太网适配器路由时，都将通过网络发出通知以更新物理交换机上的查找表。在绝大多数情况下，这样做都是合乎需要的，因为这样可以最大限度降低故障切换时所造成的延迟。默认情况下，网卡绑定会应用故障恢复策略。也就是说，如果出现故障的物理以太网适配器恢复联机，则该适配器会立即恢复到活动状态，取代接管其插槽的备用适配器。此策略在“RollingFailover”（滚动故障切换）设置为“No”（是）时有效。如果主物理适配器出现间歇性故障，则此设置可能导致正在使用的适配器频繁变更。另一种方法是将“RollingFailover”（滚动故障切换）设置为“Yes”（是）。这样设置后，即使发生故障的适配器已经恢复，它仍将保持非活动状态，直到当前处于活动状态的其他适配器发生故障而需要由它替换为止。使用“故障切换顺序”策略设置，可以指定如何为主机上的物理以太网适配器分配工作负载。可以将某些适配器置于活动状态；指定另一个组作为备用适配器以便在故障切换的情况下使用；将其他适配器指定为未使用，从而将它们排除在网卡绑定范围之外。在“网卡绑定”操作指南中，您将了解如何配置负载平衡和故障切换检测。当您准备好开始观看此演示时，请单击“播放”按钮。