Come creare un Virtual networking con switch standard - SoS Apple

Menu principale:

Come creare un Virtual networking con switch standard

TUTORIAL > GUIDE SERVER VMWARE

Come creare un Virtual networking con switch standard
Settembre 2013 di Vito S. su sosapple.it
Tags: vMware, Esxi, vSphere Esxi 5.1, Tutorial

Uno switch virtuale standard, nell'ambiente di VMware vSphere, consente alle macchine virtuali di comunicare tra loro con gli stessi protocolli utilizzati negli switch fisici, senza la necessità di hardware di rete aggiuntivo. In generale, gli switch virtuali possono essere interfacciati alla rete fisica semplicemente associandoli a una o più interfacce fisiche disponibili negli host. Nello schema qui sotto viene schematizzato il virtual networking di VMware vSphere con l’impiego di uno switch standard, o Standard vSwitch.

Possiamo osservare, partendo dall’alto, delle macchine virtuali dotate di interfacce virtuali, queste ultime connesse alle porte di uno switch virtuale standard, o Standard vSwitch. Lo switch virtuale è suddiviso in diversi Port Group, ed è collegato alle interfacce fisiche del server fisico tramite le porte di uplink. Esiste una porta di uplink per ogni interfaccia fisica collegata allo switch virtuale.

Creazione di uno switch standard

Procedura tramite vSphere Client

1) All'interno del tab Configuration dell’host selezionato, andare nella sezione Networking, quindi selezionare la voce Add Networking.

2) Selezionare il tipo di connessione necessaria. Le connessioni di tipo Virtual Machine consentono di creare un nuovo switch standard, oppure un nuovo port group all’interno di uno switch esistente.

3) Creare un nuovo virtual switch. In maniera predefinita, un nuovo switch virtuale standard sarà dotato di 120 porte: ogni interfaccia di rete virtuale connessa occupa una porta. Si tenga conto del fatto che anche ogni uplink collegato occupa una porta. Si possono configurare sino a un massimo di 4.088 porte per ogni switch standard, con un limite complessivo di 4.096 porte per tutti gli switch virtuali standard all’interno di un singolo host ESXi.

4) La creazione di un nuovo switch prevede, in maniera implicita, la creazione di un primo port group. Assegnare un nome al gruppo e un VLAN ID se necessario. Il port group dell’esempio mostrato raccoglierà macchine da proteggere in DMZ dietro un firewall; lo switch sarà privo di uplink, perché deve semplicemente fornire connessione a macchine virtuali protette dal firewall (anch'esso installato su una macchina virtuale). In tal caso il firewall avrà più interfacce virtuali, e almeno una di esse sarà collegata allo switch appena creato.

5)Dopo aver terminato la procedura, si può vedere il riepilogo di quanto configurato.

Procedura tramite vSphere Web Client

1) Tramite il pannello di navigazione a sinistra, individuare l’host desiderato, fare clic con il tasto destro su di esso e selezionare All vCenter Actions > Add Networking.

2) Su Select connection type, selezionare la voce Virtual Machine Port Group for a Standard Switch e fare clic su Next.

3)Su Select target device, creare un nuovo switch standard, specificando il numero di porte desiderate.

4) Su Create a Standard Switch, assegnare le interfacce di rete fisiche al nuovo switch virtuale, facendo clic sul simbolo "+". Le interfacce possono essere assegnate ad uno dei gruppi di failover seguenti: Active Adapters, Standy Adapters, Unused Adapters. È comunque possibile creare il nuovo switch senza interfacce.

5) Su Connection settings, assegnare un nome al port group, oppure accettare quello generato dal sistema.

6)Andando avanti, sarà possibile rivedere le impostazioni assegnate. Fare clic su Back per eseguire le modifiche necessarie, oppure fare clic su Finish per terminare.

Creazione di un port group
Procedura con vSphere Client
1) All'interno del tab Configuration dell’host selezionato, andare nella sezione Networking, quindi selezionare la voce Add Networking.
2) Selezionare il tipo di connessione necessaria. Le connessioni di tipo Virtual Machine consentono di creare un nuovo switch standard, oppure un nuovo port group all’interno di uno switch esistente.
3) Utilizzare uno switch esistente per creare un nuovo gruppo di porte al suo interno.

4) Un Port Group può essere visto come insieme di caratteristiche ben precise che accomuna tutte le porte appartenenti al gruppo stesso. Al port group può essere assegnato un VLAN ID. Se non si vogliono utilizzare VLAN, lasciare il valore predefinito (0).

5) Per collegare una macchina virtuale (o meglio una o più interfacce virtuali) ad un port group, è sufficiente specificare il nome del port group a cui collegare l'interfaccia. Qui sotto vediamo un esempio con una macchina virtuale denominata "Ubuntu Server".

Procedura con vSphere Web Client

- Tramite il pannello di navigazione a sinistra, individuare l’host desiderato, fare clic con il tasto destro su di esso e selezionare All vCenter Actions > Add Networking.
- Su Select connection type, selezionare la voce Virtual Machine Port Group for a Standard Switch e fare clic su Next.
- Su Select target device, selezionare uno switch esistente per creare al suo interno un nuovo port group.

- Su Connection settings, assegnare un nome al port group, oppure accettare quello generato dal sistema.

5) Andando avanti, sarà possibile rivedere le impostazioni assegnate. Fare clic su Back per eseguire le modifiche necessarie, oppure fare clic su Finish per terminare.

Impostazioni di sicurezza

Le impostazioni di sicurezza della rete virtuale (network security policies) sono configurabili sia a livello di switch sia di port group. Se vengono definite impostazioni specifiche per un port group, allora queste prevalgono sulle impostazioni assegnate a livello di switch. I parametri si configurano nelle proprietà dello switch o del port group, tramite vSphere Client o vSphere Web Client. Come già indicato in più occasioni, solo se si utilizza vSphere Client ci si può collegare direttamente all’host ESXi che contiene lo switch da modificare.

- Promiscuous Mode: impostazione della modalità promiscua per le interfacce di rete virtuali. È definita in modalità promiscua una scheda di rete che rimane in ascolto su tutto il traffico che passa sul cavo attestato ad essa. In maniera predefinita, in una rete Ethernet ogni interfaccia di rete rimane in ascolto dei soli pacchetti il cui MAC-address di destinazione corrisponde al proprio. È chiamata sniffing l'attività di ascolto di tutto il traffico passante; lo sniffing prevede appunto di impostare la scheda di rete in modalità promiscua. Con l’impostazione Reject, le interfacce virtuali non saranno in grado di intercettare il traffico non indirizzato ad esse, anche se impostate in modalità promiscua. Con l’impostazione Accept, è possibile compiere attività di sniffing in rete (di default è su Reject).
- MAC Address Changes: rende possibile la modifica del mac-address nelle macchine virtuali. Se impostato su Reject, nel momento in cui una macchina virtuale utilizza un mac-address differente da quello assegnato alla sua interfaccia virtuale, non sarà più in grado di ricevere pacchetti: tecnicamente viene disabilitata la relativa porta sullo switch virtuale, finché non si ripristina l'indirizzo MAC corretto. Di default l’impostazione è su Accept.
- Forged Transmits: specifica se devono essere accettati pacchetti con mac address modificato. Se l’impostazione corrisponde a Reject, saranno bloccati tutti i pacchetti in uscita con mac-address sorgente diverso da quello assegnato all’interfaccia virtuale (di default è su Accept).

Procedura tramite vSphere Client

1) All'interno del tab Configuration dell’host selezionato, andare nella sezione Networking, selezionare uno switch standard e fare clic su Properties.
2) Nel tab Ports, selezionare lo switch o un port group, quindi fare clic su Edit. Le impostazioni assegnate a livello di port group sovrascrivono quelle assegnate a livello di switch.
3) Fare clic sul tab Security e impostare i parametri come desiderato.

Procedura tramite vSphere Web Client

1) Nel pannello di navigazione a sinistra, individuare l’host desiderato, fare clic sul tab Manage, quindi su Networking > Virtual Switches.
2) Selezionare lo switch dalla lista e fare clic su Edit settings. Se le impostazioni devono essere assegnate ad un port group, selezionarlo nello schema di rete che appare più sotto e fare clic su Edit Settings.
3) Fare clic su Security e impostare i parametri desiderati. Nel caso di un port group, abilitare la voce Override per sovrascrivere i parametri impostati a livello di switch.

Gestione del traffico

Le impostazioni del Traffic Shaping, disponibili sia a livello di switch che di port group, consentono di ottimizzare e garantire le prestazioni del traffico di rete, riducendo i tempi di latenza e sfruttando al meglio la banda disponibile grazie a meccanismi che prevedono l'accodamento e il ritardo dei pacchetti in uscita (outbound traffic). Le impostazioni, indicate qui sotto, valgono per tutte le porte virtuali connesse allo switch o al port group.

Average Bandwidth: valore di traffico medio (bit per secondo) che lo switch cerca di far rispettare.
Peak Bandwidth: larghezza di banda extra disponibile per brevi istanti.
Burst Size: quantità di traffico che può essere trasmesso o ricevuto alla velocità di picco.

Procedura tramite vSphere Client

1) All'interno del tab Configuration dell’host selezionato, andare nella sezione Networking e selezionare uno switch standard, quindi fare clic su Properties.
2) Nel tab Ports, selezionare lo switch o un port group, quindi fare clic su Edit. Le impostazioni assegnate a livello di port group sovrascrivono quelle assegnate a livello di switch.
3) Fare clic sul tab Traffic Shaping.
4) Selezionare la voce Enabled dal menu Status per abilitare le politiche di gestione sotto indicate.

Procedura tramite vSphere Web Client

1) Nel pannello di navigazione a sinistra, individuare l’host desiderato, fare clic sul tab Manage, quindi su Networking > Virtual Switches.
2) Selezionare lo switch dalla lista e fare clic su Edit settings. Se le impostazioni devono essere assegnate ad un port group, selezionarlo nello schema di rete che appare più sotto e fare clic su Edit Settings.
3) Fare clic su Traffic shaping e selezionare la voce Enabled dal menu Status per abilitare le politiche di gestione. Nel caso di un port group, abilitare la voce Override per sovrascrivere le impostazioni assegnate a livello di switch.

4) Per ogni policy (Average Bandwidth, Peak Bandwidth, Burst Size), inserire il valore desiderato.
5) Fare clic su OK per terminare la procedura.

Bilanciamento del carico di rete e tecniche di failover

Uno switch virtuale può essere connesso a più interfacce di rete fisiche (quelle dell'host ESXi) e sfruttare più uplink per il collegamento alla rete fisica; la funzionalità che permette l’uso contemporaneo di più uplink è chiamata NIC Teaming.

Le interfacce fisiche di uno stesso team devono trovarsi nello stesso dominio di broadcast. Per intenderci, non devono essere attestate su porte appartenenti a VLAN diverse. Il NIC Teaming è configurabile sia a livello di switch virtuale che di port group. Se per un port group non vengono specificate impostazioni, allora vengono ereditate le impostazioni dello switch virtuale. Le impostazioni possibili riguardano principalmente due aspetti: il bilanciamento del carico e il failover.

Il bilanciamento del carico (Load Balancing) permette di distribuire il traffico tra macchine virtuali e rete fisica attraverso due o più uplink. In pratica si ottiene un throughput più alto, e la quantità di dati trasmessi nell'unità di tempo sarà superiore a quella disponibile con un solo uplink.
Il failover è il meccanismo con cui il traffico di rete viene instradato su un'altra interfaccia di rete fisica quando la prima non è più operativa.

Configurazione del Teaming e del Failover

Procedura con vSphere Client

3) Per modificare le impostazioni di Failover e Load Balancing, selezionare il tab NIC Teaming.

Procedura con vSphere Web Client

3) Fare clic su Teaming and failover e impostare i parametri come desiderato.

I parametri di Teaming e Failover

Load Balancing

- Route based on the originating port ID - con questo metodo il traffico in uscita dalla rete virtuale viene mappato ad una specifica interfaccia fisica. L’algoritmo utilizzato prevede che l’interfaccia fisica sia scelta in base all’ID della porta virtuale su cui è collegata la VM. Per capire meglio, ogni macchina virtuale ha un port-ID che identifica la sua associazione allo switch virtuale: il carico è bilanciato in base all'ID e nient'altro. È un meccanismo che abbraccia tutti i protocolli. Quando si utilizza questa impostazione, il traffico in uscita da un'interfaccia virtuale è inviato sempre allo stesso uplink, purché non avvenga un failover verso un'altra interfaccia fisica. Anche le risposte sono ricevute sulla stessa interfaccia fisica, perché lo switch fisico esterno memorizza l'associazione con essa (associazione porta - indirizzo MAC). Questa impostazione fornisce una distribuzione uniforme del traffico se il numero di interfacce di rete virtuali è superiore al numero di uplink fisici.

Con l'instradamento basato sul port ID, il traffico in uscita da una macchina virtuale è mappato in modo statico a un'interfaccia fisica: non importa quanto sia occupata la scheda di rete, il traffico continuerà a transitare per la stessa scheda e non sarà mai inoltrato verso un'interfaccia inattiva o più scarica (a meno di failover). Tuttavia, poiché il calcolo per la scelta della scheda di rete è eseguito solo una volta, questo metodo impegna pochissimo la CPU. Inoltre, poiché ci si basa sulle porte, se una macchina virtuale è stata configurata con più interfacce di rete virtuali, si ha la certezza che per ognuna di queste saranno utilizzati uplink diversi.

- Route based on source MAC hash - con questo metodo l'instradamento è basato sull'hash dell'indirizzo MAC sorgente. In pratica il traffico in uscita da una VM è indirizzato ad uno specifico uplink in base all'indirizzo MAC dell'interfaccia virtuale. Valgono le stesse considerazioni del punto precedente: il traffico proveniente da un'interfaccia di rete virtuale è inviato sempre alla stessa scheda fisica dell'host ESXi ed anche le risposte vengono ricevute sulla stessa scheda fisica, in quanto lo switch fisico esterno memorizza l'associazione con essa (associazione porta - indirizzo MAC). Una macchina virtuale non può utilizzare più di un uplink a meno che non utilizzi più indirizzi MAC sorgenti (e quindi più interfacce virtuali) per il traffico in uscita.

Con il metodo basato su MAC sorgente, il traffico in uscita da ogni macchina virtuale è associato a una specifica scheda di rete fisica, in base all'indirizzo MAC dell’interfaccia virtuale. Questo comportamento è quasi identico al precedente, ma per macchine con più interfacce virtuali non è garantito l'uso di uplink differenti; per questo motivo il metodo in oggetto non è quasi mai consigliato.

- Route based on IP hash - l'instradamento è basato sull’hash degli indirizzi IP (sorgente e destinazione) di ogni pacchetto. Affinché questo metodo possa funzionare, è necessario che lo switch fisico esterno aggreghi le porte tramite protocollo EtherChannel o secondo standard 802.3ad (in particolare il protocollo LACP che rappresenta una parte delle specifiche 802.3ad). Il bilanciamento viene eseguito per il traffico in uscita: si utilizza un uplink differente per ogni sessione "IP-sorgente/IP-destinazione". Ad esempio, se una VM con un determinato IP comunica con due destinazioni IP differenti (esterne all'host ESXi), impegna due interfacce fisiche (uplink) distinte.

L'instradamento basato su IP è l'unico metodo che permette, a una macchina virtuale dotata di una sola vNIC, di utilizzare la larghezza di banda complessiva di più interfacce di rete fisiche. Richiede tuttavia una modifica sulla configurazione dello switch fisico esterno, con l'attivazione di funzioni (EtherChannel) che non tutti gli switch supportano.

- Use explicit failover order - con questa impostazione non c'è bilanciamento del carico ma solo failover, in base alle impostazioni di failover specificate nel riquadro "Failover order". Quando accade un evento di failover, la scelta del nuovo uplink da utilizzare ricade su quello in linea da più tempo, in base al valore di reported uptime.

Failover

- Link Status only - si basa esclusivamente sullo stato del collegamento (link status) fornito dall’interfaccia fisica dell’host ESXi. Possono essere rilevati guasti dovuti a un cavo di rete staccato o allo switch fisico con problemi di alimentazione. Non è possibile tuttavia rilevare errori di configurazione, come ad esempio una porta dello switch fisico bloccata dal protocollo spanning tree, o configurata in modo errato a livello di VLAN.

- Beacon Probing – vengono inviati dei beacon packets (pacchetti per il rilevamento di errori sulla rete) e si rimane in ascolto di essi. I pacchetti beacon sono inviati in broadcast da tutti gli uplink del team. Lo switch fisico esterno inoltra (per sua natura) i pacchetti su tutte le porte appartenenti allo stesso dominio di broadcast. Ogni uplink rimane in attesa di ricevere i pacchetti dagli altri uplink dello stesso team; se un uplink non riceve pacchetti per tre volte consecutive, è marcato come "failed". In tal caso la caduta del link può essere dovuta sia a problemi sull’interfaccia fisica connessa allo switch esterno, sia a problemi a valle che non permettono ai pacchetti beacon di raggiungere l'uplink. Questo metodo permette di rilevare problemi sui collegamenti in maniera più precisa della semplice modalità "Link Status only".

Notify switch

L'opzione Notify Switch, quando attiva, permette all'host ESXi di notificare immediatamente, allo switch fisico esterno, i cambiamenti avvenuti a seguito di failover. Le notifiche avvengono anche quando un'interfaccia virtuale di una qualsiasi VM viene collegata allo switch virtuale, nell'ottica di diminuire i tempi di latenza.

Failback

Per impostazione predefinita, le interfacce fisiche dello stesso team lavorano secondo una logica di Failback: se una scheda fisica in stato "failed" torna in linea, riprende servizio immediatamente, rimpiazzando l'interfaccia che aveva assunto il suo ruolo. Di default, la modalità Failback è impostata su Yes. Al contrario, impostando il Failback su No, l'interfaccia di rete è tenuta inattiva anche dopo il suo ritorno in linea (ovviamente finché l'altra interfaccia non va in errore e si riattiva una nuova procedura di failover).

Failover order

L'opzione Failover Order specifica come distribuire il carico di lavoro sulle interfacce di rete fisiche.

Active Uplinks - le interfacce in questo gruppo sono tutte parte attiva del team.
Stanby Uplinks - le interfacce in questo gruppo rimangono in standby per entrare in funzione nelle situazioni di failover, in cui prendono il posto di quelle andate in down.
Unused Uplinks - le interfacce in questo gruppo semplicemente non sono utilizzate.

Inserimento di una nuova interfaccia di uplink

Per sfruttare i vantaggi offerti dal NIC Teaming, è necessario associare ad un singolo switch virtuale un minimo di due interfacce fisiche di rete. Lo switch virtuale sarà dotato di tanti uplink quante sono le interfacce fisiche associate.

Procedura con vSphere Client

1) All'interno del tab Configuration dell’host selezionato, andare nella sezione Networking e fare clic sulla voce Properties relativa allo switch da modificare.
2) Selezionare il tab Network Adapters.
3) Fare clic su Add per avviare la procedura guidata di aggiunta di un’interfaccia. Selezionare una o più interfacce dalla lista e fare clic su Next.
4) (Opzionale) Per riordinare le interfacce rispetto alle due categorie Active Adapters e Standby Adapters, fare clic su Move Up o Move Down.
5) Fare clic su Next, quindi su Finish.

Procedura con vSphere Web Client

3) Fare clic su Add adapters.

4)Selezionare un’interfaccia dalla lista e impostare il Failover order group dal menu a tendina in alto. Quindi fare clic su OK.

5)L’interfaccia aggiunta apparirà nella lista sotto la voce Assigned Adapters.
6)Fare clic su OK per concludere la procedura.

Impostazione dell’MTU

MTU, Maximum Transmission Unit, è la grandezza massima che può avere un pacchetto di livello 3 della pila ISO OSI, o livello rete nella pila TCP/IP (immagine sotto). In condizioni normali, tale dimensione è di 1500 byte.

È possibile migliorare il rendimento della rete e ridurre l’utilizzo della CPU durante il trasferimento di file di grandi dimensioni, abilitando carichi maggiori e più efficienti per ogni pacchetto trasmesso. Per fare questo si utilizzano i Jumbo frame, ossia frame Ethernet di dimensioni superiori a 1500 byte. Se un dispositivo utilizza i Jumbo Frame, anche gli altri dispositivi della stessa rete devono avere la funzione Jumbo Frame abilitata, ed in particolare devono utilizzare lo stesso valore MTU. Gli host ESXi supportano Jumbo frame con MTU sino a 9000 byte. È possibile impostare il parametro per ogni switch virtuale e per ogni interfaccia VMkernel.

Procedura tramite vSphere Client

1) Nel tab Configuration, fare clic su Networking.
2) Fare clic sulle proprietà dello switch che si vuole modificare.
3) Nel tab Ports, selezionare il virtual switch o l’interfaccia VMkernel da modificare e fare clic su Edit;
4) Su NIC Settings, impostare il valore di MTU e fare clic su OK.

Procedura tramite vSphere Web Client

Nel pannello di navigazione a sinistra, individuare l’host desiderato, fare clic con il tasto destro su di esso, fare clic sul tab Manage, quindi su Networking > Virtual Switches.
Selezionare lo switch da modificare e fare clic su Edit settings. 3) Nella pagina Properties, impostare il valore di MTU come desiderato.

Procedura da riga di comando

Collegandosi alla console dell’host ESXi, è possibile impostare i Jumbo Frame da riga di comando, rispettando la sintassi seguente:

# esxcli network vswitch standard set -m MTU -v vSwitch#

Il comando imposta l’MTU per tutti gli uplink dello switch virtuale. Se invece si vuole visualizzare la lista di tutti gli switch dell’host, con i relativi parametri di configurazione, si utilizza il comando seguente:

# esxcli network vswitch standard list

Spero che Vi è stata utile questa Guida, Prima di andarvene vi chiedo gentilmente di mettere mi piace alla nostra pagina Facebook o Twitter
Grazie....

Tweets by @SoSApple.it