Créame, las redes de VMware vSphere, los vSwitches y los grupos de puertos son fáciles.

Cuando se trata de entornos virtuales, la red de VMware vSphere es quizás uno de los componentes más críticos.

¿Cómo se comunican sus hosts ESXi y sus máquinas virtuales?

Dado que las redes virtuales son la clave de cómo funciona todo lo demás, necesitamos una buena comprensión de cómo funcionan las redes ESXi.

1. Análisis de red ESXi

Cuando se trata de nuestros hosts ESXi y su comunicación de red, lo primero que debemos entender es lo que deben hacer, hay algunas formas diferentes de comunicarse:

  • Comunicación mutua (piense en vMotion)
  • Comuníquese con vCenter (piense en HA)
  • Comunicarse con los recursos externos de los que dependen, como arreglos de almacenamiento o Active Directory
  • Permitir que sus máquinas virtuales residentes se comuniquen con otras máquinas virtuales y recursos externos de los que pueden depender

Por lo tanto, varios componentes diferentes de redes ESXi en VMware vSphere tuvieron que configurarse en nuestro entorno.

  • Conmutadores virtuales en hosts ESXi
  • Grupos de puertos en conmutadores virtuales

Dentro de cada una de estas categorías, hay muchas cosas a considerar.

2. Conmutadores virtuales en hosts ESXi

Piense en un conmutador virtual en un host ESXi como cualquier otro conmutador que haya encontrado antes, cuando se trata de la capa de red, el conmutador virtual en ESXi es cómo nuestros hosts ESXi brindan conectividad, redundancia y equilibrio de carga.

Hay dos tipos de interruptores, aunque es posible que los escuche con varios nombres diferentes.

  • Conmutador estándar de vSphere
  • vSphere Distributed Switch (se requiere licencia de vSphere Enterprise Plus)

Echemos un vistazo a cada conmutador virtual y sus características.

3. Conmutador estándar de vSphere/vSwitch estándar/vSwitch

El conmutador virtual base, también conocido como vSwitch. Fue el primer tipo de conmutador disponible en VMware vSphere y no tiene nada de malo usar conmutadores virtuales estándar, aunque son más difíciles de administrar que los conmutadores distribuidos de vSphere.

Los vSwitches estándar residen en hosts ESXi y deben configurarse individualmente en cada host. Hay varias formas de simplificar este proceso, como usar PowerCLI o perfiles de host.

Los conmutadores de red se conectan a las NIC en los hosts ESXi y las NIC en los hosts ESXi se conectan a los conmutadores virtuales en ESXi. ¡Eso es todo!

Cuando hablamos de las NIC de un host ESXi, las llamamos vmnics porque así se llaman en ESXi. vmincs siempre comienza en 0, por lo que su primer puerto NIC físico corresponderá a vmnic0.

Según cómo haya diseñado su red virtual, es posible que tenga varios vSwitches en su host ESXi.

4. Conmutador distribuido de vSphere/conmutador virtual distribuido/dvSwitch

En el lado físico, no hay mucha diferencia entre un vSwitch estándar y un vSwitch distribuido, todavía conectamos de manera redundante las NIC en los hosts ESXi a los conmutadores de red, lo que cambia es la capa de virtualización y los conmutadores dentro de VMware vSphere.

Aquí hay una imagen del conmutador virtual distribuido:

Como puede ver, la configuración del conmutador en sí está en el servidor vCenter y no en el host ESXi, por supuesto, si algo sale mal con vCenter, eso podría ser un problema, ¿verdad?

Hay una copia de la configuración del conmutador virtual distribuido en cada host ESXi, como puede ver en el conmutador azul brillante en cada host, de modo que si algo sale mal con vCenter, nuestras máquinas virtuales no se verán afectadas.

Recuerdo que cuando Distributed Virtual Switch apareció por primera vez en vSphere 4, tomó a todos por sorpresa porque hubo un cambio tan drástico en la forma en que estábamos acostumbrados a hacer las cosas, así que analicemos de nuevo nuestro vSphere Distributed Switch:

Cada vmnic está conectado a un puerto dvUplink correspondiente en el conmutador virtual distribuido. Luego, el conmutador virtual distribuido se administra a través del servidor vCenter. La parte importante de esto es que la configuración del conmutador virtual distribuido está diseñada para ser la misma en todos los hosts ESXi.

Al igual que los vSwitches estándar, los vSwitches distribuidos se pueden administrar mediante vSphere Client, PowerCLI o perfiles de host. La diferencia aquí es que configura un único conmutador virtual distribuido en el servidor vCenter en lugar de un único conmutador virtual en el host ESXi.

5. ¿Qué conmutador virtual de VMware es adecuado para mi entorno?

Esta es una buena pregunta, lamentablemente no hay una respuesta única. Su elección de usar un conmutador virtual estándar o un conmutador virtual distribuido dependerá de los requisitos únicos de su entorno.

Al hacer su elección, es importante tener en cuenta la calidad del diseño de la infraestructura al determinar qué cumplirá con sus requisitos. ellos son:

  • disponibilidad
  • Manejabilidad
  • actuación
  • Recuperabilidad
  • Seguridad

También puede ser útil clasificar estas cualidades según su importancia para el proyecto.

Asegúrese de probar exhaustivamente su configuración de red de VMware vSphere antes de declarar que su entorno de VMware vSphere está listo para la producción.

Recuerde, vSphere Distributed Switch requiere una licencia de VMware Enterprise Plus.

6. Política de formación de equipos NIC en VMware

Otro componente importante de las redes de VMware es la formación de equipos de NIC. La formación de equipos de NIC está configurando nuestros conmutadores virtuales de una manera que facilita el equilibrio de carga y protege contra fallas de componentes.

Por ejemplo, si tengo dos NIC físicas conectadas a mi conmutador, idealmente me gustaría asegurarme de que el tráfico fluya a través de ambas NIC físicas, y si falla una de las NIC o el conmutador ascendente, mi conmutador permanecerá operativo.

Hay varias formas de lograr esto en VMware vSphere Networking.

Ahora, suponiendo que hayamos configurado nuestro interruptor, avance al siguiente paso.

7. Configure el grupo de puertos en el conmutador virtual

Cuando nos conectamos a nuestro conmutador virtual, nos conectamos a algo llamado grupo de puertos. Como sugiere el nombre, un grupo de puertos es un grupo de puertos virtuales en nuestro conmutador virtual.

Hay varios tipos diferentes de grupos de puertos:

  • grupo de puertos de máquina virtual
  • Grupo de puertos VMkernel

Los grupos de puertos de máquinas virtuales son la forma en que conectamos las máquinas virtuales. Por ejemplo, podría tener un grupo de puertos con una sola VLAN, varias VLAN (enlace troncal de VLAN) o, en el caso de un conmutador virtual distribuido, una VLAN dedicada.

En cuanto a los grupos de puertos de VMkernel, podría preguntarse...

8. ¿Qué es un puerto VMkernel?

¡buena pregunta! Los puertos VMkernel se utilizan para el tráfico de máquinas no virtuales en VMware vSphere y, como puede ver en las capturas de pantalla que tomó mientras configuraba la red, hay muchos tipos diferentes de puertos VMkernel:

Como mínimo, cada host ESXi tiene un puerto VMkernel para la administración del host. Si es miembro de un clúster de vSphere, también tendrá un puerto VMkernel para vMotion. Si el clúster es un clúster de vSAN, habrá un puerto VMkernel para vSAN.

Si está aprovechando esa característica, también habrá puertos VMkernel para almacenamiento basado en IP, como iSCSI, NFS o FCoE, y puertos VMkernel para tolerancia a fallas.

La mayor diferencia entre un grupo de puertos de máquina virtual y un grupo de puertos de VMkernel es el tipo de tráfico que pasa, un puerto de VMkernel pasa tráfico específico de VMware vSphere, un grupo de puertos de máquina virtual solo pasa el tráfico de varias máquinas virtuales.

Puede obtener más información sobre los tipos de tráfico del sistema VMkernel en la documentación oficial de redes de vSphere.

Cada puerto VMkernel tiene su propia dirección IP única y también puede cambiar la MTU predeterminada de 1500 en un puerto VMkernel.

9. Configuración de seguridad de VMware vSwitch

Ahora que hemos cubierto la mayoría de los aspectos básicos de las redes de vSphere, quiero profundizar un poco más en algunas áreas relacionadas con la configuración de conmutadores de VMware. La configuración de seguridad de VMware vSwitch a menudo se malinterpreta.

Cada una de estas configuraciones de seguridad tiene dos opciones: Denegar o Aceptar.

De forma predeterminada, esta configuración de seguridad está configurada para denegar en este grupo de puertos de conmutador virtual distribuido que acabo de crear, así que veamos qué significa realmente cada uno de ellos.

9.1, Política de seguridad de VMware en modo promiscuo

Eso suena más o menos exactamente lo que significa. Si el modo promiscuo está configurado para aceptar, la NIC de la máquina virtual aceptará todas las tramas enviadas a la VLAN activa en ese grupo de puertos.

No es seguro, pero tiene sus casos de uso. Si está ejecutando una máquina virtual que necesita inspeccionar todos los paquetes, como un sistema de detección de intrusos, puede establecer esta opción en Aceptar.

De forma predeterminada, está configurado para denegar y debería permanecer así.

9.2 Cambio de dirección MAC Política de seguridad de VMware

Los cambios de dirección MAC analizan el tráfico entrante a una máquina virtual.

Cuando se trata de la interfaz de red de una máquina virtual, hay varias direcciones MAC diferentes.

Primero, está la dirección MAC especificada en el archivo VMX de la máquina virtual, piense en esto como si su máquina virtual tuviera una tarjeta NIC física, es la dirección MAC de la tarjeta NIC especificada por el fabricante.

También está la dirección MAC especificada en la máquina virtual, que es la misma que la del archivo VMX... a menos que necesite cambiarla por algún motivo.

En las propiedades de la máquina virtual se puede cambiar la dirección MAC. En el pasado, cambié para garantizar que la dirección MAC de la máquina virtual sea la misma que la dirección MAC de la máquina física después de P2V, porque las licencias de software están vinculadas a las direcciones MAC.

En algunos casos de uso válidos, estas direcciones MAC pueden ser diferentes y debe configurar los cambios de dirección MAC para aceptar.

De lo contrario, debe establecerse en Denegar, ya que los actores maliciosos también pueden causar estragos en su entorno utilizando direcciones MAC falsificadas.

9.3 Transferencias falsificadas Políticas de seguridad de VMware

La transmisión falsificada también analiza la dirección MAC de la máquina virtual, pero maneja el tráfico saliente.

Si las dos direcciones MAC no coinciden, perderá tramas, de forma similar a un cambio de dirección MAC.

Nuevamente, hay casos de uso válidos para configurar transportes falsos para aceptar, como ESXi anidado. En este caso, ¡estaremos enviando todo tipo de paquetes locos!

Las transmisiones falsificadas y los cambios de dirección MAC están estrechamente relacionados.

10. VLAN privada en VMware

Cuando hablamos de grupos de puertos, también hablamos de VLAN privadas.

Las VLAN privadas son un enfoque más granular que aislar el tráfico a nivel de VLAN, razón por la cual lo mencioné después de que comenzamos nuestra discusión sobre seguridad.

Las VLAN privadas están dedicadas al conmutador virtual distribuido , y el conmutador físico al que están conectados sus hosts ESXi también debe admitir VLAN privadas.

Cuando usamos PVLAN, las VLAN que usamos se descomponen de varias maneras:

  • PVLAN principal, que es promiscuo.
  • Hay dos tipos de PVLAN auxiliares, comunitarios y aislados.

Miremos la imagen a continuación, la PVLAN primaria es verde y la PVLAN secundaria es azul.

Los puertos de máquinas virtuales en una PVLAN aislada solo pueden comunicarse con puertos promiscuos en la PVLAN principal y los puertos de máquinas virtuales no pueden comunicarse con otros puertos en la PVLAN aislada.

Los puertos de máquina virtual en la PVLAN comunitaria y los puertos promiscuos en la PVLAN principal pueden comunicarse entre sí.

11. Resumen de seguridad de VMware vSwitch

Cuando se trata de la configuración de la política de seguridad para conmutadores virtuales, es mejor configurarlos para que se nieguen , a menos que tenga un caso de uso específico, y si realmente tiene una razón para necesitar configurar el modo promiscuo, cambiar las direcciones MAC o falsificar transmisiones para aceptar, modifique la configuración de seguridad en consecuencia.

Las VLAN privadas son otra forma de proporcionar segmentación de tráfico en un entorno de red virtual; es importante prestar especial atención al tipo de PVLAN secundaria para garantizar que todo funcione como se espera.

La buena noticia es que la configuración de PVLAN es fácil de cambiar para solucionar problemas, como se describe con más detalle en la documentación de red de VMware vSphere.

12. Conocimientos básicos de la red VMware vSphere

Comprender los fundamentos de las redes de VMware vSphere es importante para los administradores de VMware, los administradores de redes, los analistas de seguridad de TI y casi cualquier persona que necesite exponerse a un entorno de VMware vSphere, y aunque muchos conceptos de redes tradicionales se aplican a VMware vSphere, la familiarización con la virtualización Cómo son las capas transformado es muy importante.

Supongo que te gusta

Origin blog.csdn.net/weixin_43025343/article/details/132236198
Recomendado
Clasificación