Come creare un Virtual networking in VMware vSphere - SoS Apple

Come creare un Virtual networking in VMware vSphere - SoS Apple

Vai ai contenuti

Menu principale:

Come creare un Virtual networking in VMware vSphere

TUTORIAL > GUIDE SERVER VMWARE

Come creare un Virtual networking in VMware vSphere (Concetti Base)
Settembre 2013 di Vito S. su sosapple.it
Tags: vMware, Esxi, vSphere Esxi 5.1, esxi 5.5, Tutorial

Uno degli aspetti più interessanti della virtualizzazione riguarda il networking. Il networking virtuale e gli switch virtuali permettono il collegamento in rete delle macchine virtuali, e consentono l’interfacciamento di queste alla rete fisica.  


Gli switch virtuali consentono alle VM di comunicare in rete utilizzando gli stessi protocolli utilizzati negli switch fisici, senza la necessità di hardware di rete aggiuntivo; vi è inoltre pieno supporto alle VLAN (standard 802.1Q). Le stesse VM, così come PC o server fisici, sono dotate di una o più schede Ethernet, ognuna con proprio indirizzo IP e indirizzo MAC. Dal punto di vista della rete, le macchine virtuali hanno le stesse proprietà delle macchine fisiche. Gli switch virtuali possono poi essere collegati alla rete fisica semplicemente associandoli a una o più interfacce di rete disponibili nell’host ESXi.


Le basi del networking in VMware vSphere sono elencate di seguito.


- Interfacce di rete virtuali, o Virtual NIC, utilizzate dalle singole macchine virtuali.
- Switch virtuali standard, tecnicamente chiamati vSphere Standard Switch (VSS), che collegano le macchine virtuali tra loro e con la rete fisica esterna, in quest’ultimo caso sfruttando le interfacce fisiche dell'host ESXi. Uno switch virtuale può collegarsi tramite porte di    uplink (uplink ports) a una o più schede Ethernet fisiche, con la possibilità di fare NIC Teaming (cioè di aggregare più canali Ethernet).
- Gruppi di porte, o Port Groups, ossia insiemi di porte accomunate dalle stesse caratteristiche (all’interno di uno stesso vSwitch).
- Switch virtuali distribuiti, tecnicamente chiamati vSphere Distributed Switch (VDS), che permettono di operare come se si avesse un singolo switch centralizzato, utilizzato contemporaneamente da più host ESXi.


Uno switch virtuale, sia di tipo standard sia distribuito, funziona come uno switch Ethernet fisico, operando al livello due della pila ISO-OSI e mantenendo una tabella di MAC address (mac-address table) aggiornata ogni volta che il traffico attraversa lo switch. Tuttavia, a differenza degli switch fisici, quelli virtuali non richiedono alcuna fase di apprendimento degli indirizzi MAC per la compilazione della mac-address table, perché conoscono in maniera implicita quali sono i dispositivi collegati su ogni porta. Inoltre, gli switch virtuali non aggiornano la tabella d’inoltro con informazioni provenienti dalla rete fisica. Questo pone al riparo da attacchi di denial of service o tentativi di worm o virus che provano a scansionare gli host in rete, alla ricerca di vulnerabilità.


Switch virtuali differenti non possono condividere la stessa interfaccia fisica di un host: una volta che questa è assegnata a uno switch virtuale, non sarà più disponibile per gli altri. A differenza del mondo reale, in una rete virtuale non c'è possibilità di interconnettere più switch tra loro, ma si è obbligati a utilizzare una topologia di rete a livello singolo: il vantaggio è che non possono generarsi loop di rete, pertanto il protocollo Spanning Tree, non essendo necessario, non è previsto. Questa caratteristica è chiamata Virtual Switch Isolation.  


Per la gestione del virtual networking ci si collega al vCenter Server tramite vSphere Client o vSphere Web Client. In alternativa, se si devono gestire switch standard, ci si può collegare in modo diretto agli host ESXi con vSphere Client. Indipendentemente dal tipo di client utilizzato, gli switch distribuiti possono essere gestito solo collegandosi al vCenter Server.


Qui sotto possiamo vedere una schermata esplicativa, relativa a un host ESXi. Gli elementi messi in evidenza saranno trattati nel dettaglio nei paragrafi che seguono.


Uplink e porte di uplink

Una porta di uplink è la porta di uno switch virtuale associata ad una o più interfacce fisiche di rete dell’host ESXi, e permette il collegamento della rete virtuale con quella fisica. Ognuna delle interfacce fisiche di rete dell’host ESXi è chiamata semplicemente uplink. È possibile configurare gli switch virtuali senza uplink: uno switch privo di uplink crea una virtual intranet. Si usa questa modalità quando lo switch virtuale deve fornire connessione a macchine virtuali protette da un firewall, anch'esso installato all'interno di una VM. In tal caso il firewall virtuale avrà più interfacce virtuali, una delle quali dovrà essere collegata allo switch privo di uplink. Chiaramente, per tutto il traffico interno alla rete virtuale, gli uplink non sono necessari.


Port Group

Costituiscono una funzionalità del virtual networking non presente nelle reti fisiche. Un Port Group, o gruppo di porte, può essere visto come un insieme di porte con caratteristiche comuni. In sostanza, un port group definisce tutte le caratteristiche di ogni porta che gli appartiene. Proprio per questo motivo, quando si desidera collegare una macchina virtuale ad una porta, è sufficiente specificare il nome del Port Group a cui collegarla.


Fra le caratteristiche che si possono definire a monte vi sono:


- Nome del vSwitch di appartenenza;
- VLAN ID e politiche per il tagging e il filtraggio (è concesso che diversi gruppi di porte possano avere lo stesso VLAN ID);
- Politica di Teaming (unione uplink, bilanciamento, ordine di failover, ecc.);
- Opzioni di sicurezza;
- Parametri di traffic shaping.

Tipologia delle connessioni
Un vSwitch permette essenzialmente due tipi di connessione.


VMkernel - connessione ai servizi tramite le cosiddette VMkernel ports. I servizi gestibili con una porta VMkernel includono l’accesso allo storage IP (NFS e iSCSI), le migrazioni vMotion, le funzioni di Fault Tolerance, l’accesso alla rete di management.
Virtual Machine - connessione per le macchine virtuali tramite port group.


L’installazione di VMware ESXi su un host comporta la creazione di un vSwitch predefinito di tipo standard, dove all’interno troviamo un port group chiamato VM Network ed una porta VMkernel chiamata Management Network, utilizzata per la gestione dell’host ESXi.



È sempre buona pratica separare la rete delle macchine virtuali dalla rete di management, per ragioni di prestazioni ma soprattutto di sicurezza.

Uso delle VLAN
Per definizione, le VLAN rappresentano un metodo per segmentare un dominio di broadcast in più domini di dimensione ridotta. A livello 2, ogni VLAN contiene solo il traffico dei dispositivi appartenenti a quella VLAN.  
Il termine dominio di broadcast si riferisce a quella parte di rete raggiunta dai pacchetti di broadcast, ossia quei pacchetti indirizzati a tutti i dispositivi di rete; pertanto fanno parte dello stesso dominio di broadcast tutti i nodi raggiunti da quel pacchetto (ad esempio pacchetti di richieste ARP o richieste di nomi NetBIOS). Il broadcast colpisce l'intera rete, poiché ciascun dispositivo appartenente a quella ete è costretto ad analizzarlo. Se il broadcast cresce nella frequenza, la banda disponibile comincia a diminuire sensibilmente, fino a consumarsi. Le VLAN definiscono e ridimensionano i domini di broadcast, perché ogni VLAN contiene solo il traffico dei dispositivi che le appartengono.




Per definire le VLAN, uno switch associa ogni porta a un identificativo, detto VLAN ID. Appena un frame ethernet entra nello switch, viene marcato con il VLAN ID. Lo standard VLAN più comune è rappresentato dal protocollo IEEE 802.1Q e prevede l’inserimento di un tag di quattro byte nel frame Ethernet. L’operazione è chiamata tecnicamente VLAN tagging.  


Gli switch che vogliono trattare le VLAN 802.1q devono supportare il protocollo 802.1q. Gli host VMware ESXi supportano il VLAN tagging 802.1q.


Le porte di uno switch possono essere di accesso (access port), usate per collegare gli host, o di trunk, usate per gli uplink tra diversi switch o tra switch e router. Le porte degli switch utilizzate per un collegamento trunk devono essere configurate in modalità trunk. Le trame girano in formato 802.1Q solo sulle porte di trunk. Quando sono inoltrate agli host, il tag VLAN viene eliminato e il formato del frame torna ad essere quello dello standard Ethernet. Gli host infatti non sono a conoscenza delle VLAN.


Nel networking virtuale di VMware vSphere, le VLAN si configurano a livello di port group, sia che si tratti di Standard vSwitch, sia di Distributed vSwitch. Un port group può essere configurato con un VLAN ID compreso tra 0 (nessuna VLAN) e 4095 (trunk). È possibile definire un VLAN ID per un determinato port group, come mostrato nelle immagini sotto. I pacchetti provenienti da una VM collegata a quel port group vengono taggati con il VLAN ID all’uscita del virtual switch, e sono privati del tag appena ritornano nella VM.






Riepilogo - configurazione delle VLAN in un port group.

• VLAN ID da 1 a 4094 – intervallo degli ID da utilizzare per le singole VLAN.
• VLAN ID 0 (Zero) – utilizzato per disattivare il VLAN tagging. È il valore predefinito, da utilizzare se non si desidera alcuna VLAN.
• VLAN ID 4095 – è un valore che corrisponde a tutte le VLAN, in pratica abilita il funzionamento del trunk nel port group.

Spero che Vi è stata utile questa Guida, Prima di andarvene vi chiedo gentilmente di mettere mi piace alla nostra pagina Facebook o Twitter
  Grazie....





 
Pagerank


Statistiche
Torna ai contenuti | Torna al menu