【深智書摘】安全穩定的伺服器虛擬化，不可不知VMware vSphere網路

　　2020年VMware發布VMware vSphere 7.0，透過整合資料中心伺服器、靈活設定資源等方式降低了營運成本，同時還可在不增加成本的情況下提供給使用者高可用、災難恢復等進階特性。而作為企業虛擬化架構實施人員或管理人員，必須要考慮如何在企業生產環境建構高可用的虛擬化環境。

　　其中，網路在VMware vSphere環境中相當重要，無論是管理ESXi主機還是ESXi主機上運行的虛擬機器對外提供服務都依賴於網路。VMware vSphere提供了強大的網路功能，其基本的網路設定就是標準交換機和分散式交換機。以下就VMware vSphere網路作相關介紹。

　　VMware vSphere網路是管理ESXi主機及虛擬機器進行外部通訊的關鍵，如果設定不當可能會出現問題，嚴重影響網路的性能，甚至導致服務全部停止。

1. 虛擬網路通訊原理

　　ESXi主機透過模擬出一個虛擬交換機（Virtual Switch）實現虛擬機器對外通訊，其功能相當於一台傳統的二層交換機。圖4-1-1所示是ESXi主機的通訊原理示意圖。

　　安裝完ESXi主機後，會預設建立一個虛擬交換機，物理網路卡作為虛擬標準交換機的上行鏈路介面與物理交換機連接對外提供服務。在圖4-1-1 中，左邊有4台虛擬機器，每台虛擬機器設定1個虛擬網路卡，這些虛擬網路卡連接到虛擬交換機的通訊埠，然後透過上行鏈路介面連接到物理交換機，虛擬機器即可對外提供服務。如果上行鏈路介面沒有對應的物理網路卡，那麼這些虛擬機器就形成一個網路孤島，無法對外提供服務。

2. 虛擬網路元件

　　了解了ESXi主機通訊原理後，接下來對ESXi主機所涉及的網路元件進行簡要的介紹。

【Standard Switch】

Standard Switch，中文稱為標準交換機，簡稱vSS。它是由ESXi主機虛擬出來的交換機，在安裝完ESXi後，系統會自動建立一個標準交換機vSwitch0，這個虛擬交換機的主要功能是提供管理、虛擬機器與外界通訊等功能。在生產環境中，一般會根據應用需要，建立多個標準交換機對各種流量進行分離，並提供容錯及負載平衡。除了預設的vSwitch0外，還建立vSwitch1 用於iSCSI，以及vSwitch2用於vMotion。在生產環境中，應該根據實際情況建立多個標準交換機。

【Distributed Switch】

Distributed Switch，中文稱為分散式交換機，簡稱vDS。vDS是橫跨多台ESXi主機的虛擬交換機。如果使用vSS，需要在每台ESXi主機進行網路設定。如果ESXi主機數量較少，其比較適用。如果ESXi主機數量較多，vSS就不適用了，會極大增加管理人員的工作量。

【vSwitch Port】

vSwitch Port，中文稱為虛擬交換機通訊埠。在ESXi主機上建立的vSwitch相當於一個傳統的二層交換機，既然是交換機，那麼就存在通訊埠，預設情況下，一個vSwitch的通訊埠為120個。

【Port Group】

Port Group，中文稱為通訊埠組。在一個vSwitch中，可以建立一個或多個Port roup，並且針對不同的Port Group進行VLAN及流量控制等方面的設定，然後將虛擬機器劃入不同的Port Group，這樣可以提供不同優先順序的網路使用率。在生產環境中可以建立多個通訊埠組用以滿足不同的應用。

【Virtual Machine Port Group】

Virtual Machine Port Group，中文稱為虛擬機器通訊埠組。在ESXi系統安裝完成後系統自動建立的vSwitch0上預設建立一個虛擬機器通訊埠組，供虛擬機器與外部通訊使用。在生產環境中，建議將管理網路與虛擬機器通訊埠組進行分離。

【VMkernel Port】

VMkernel Port在ESXi主機網路中是一個特殊的通訊埠，VMware對其的定義為運行特殊流量的通訊埠，如管理流量、iSCSI流量、NFS流量、vMotion流量等。與虛擬機器通訊埠組不同的是，VMkernel Port必須設定IP位址。

3. 虛擬網路VLAN

　　在生產環境中，VLAN的使用相當普遍。ESXi主機的標準交換機和分散式交換機都支援802.1Q標準，當然與傳統的支援方式也有一定差異。其比較常用的實現方式有以下兩種。

【External Switch Tagging】

External Switch Tagging，簡稱EST模式。這種模式將ESXi主機物理網路卡對應的物理交換機通訊埠劃入VLAN，ESXi主機不需額外設定。圖4-1-2所示為EST模式下VLAN的實現方式。這種模式下只需將通訊埠劃入VLAN，該通訊埠就會傳遞對應的VLAN資訊。

【Virtual Switch Tagging】

Virtual Switch Tagging，簡稱VST模式。這種模式要求ESXi主機物理網路卡對應的物理交換機通訊埠設定為Trunk模式，同時ESXi主機需要啟用Trunk模式，以便通訊埠組接受對應的VLAN Tag資訊。圖4-1-3所示為VST模式下VLAN的實現方式。這種模式下先要設定物理交換機通訊埠模式為Trunk，然後在ESXi主機網路對應的通訊埠組下設定對應的VLAN資訊。

4. 虛擬網路NIC Teaming

　　如果ESXi主機的虛擬交換機只使用一個物理網路卡，那麼就存在單點故障隱憂，當這個物理網路卡發生故障則整個網路將中斷，ESXi 主機服務全部停止。所以，對虛擬交換機來說，負載平衡是必須要考慮的事情。當一個虛擬交換機有多個物理網路卡的時候，就可以形成負載平衡。多物理網路卡情況下負載平衡是如何實現的呢？主要有以下幾種方式。

【Originating Virtual Port ID】

Originating Virtual Port ID，基於來源虛擬通訊埠的負載平衡。這是ESXi主機網路預設的負載平衡方式。採用這種方式，系統會將虛擬機器網路卡與虛擬交換機所屬的物理網路卡進行對應和綁定，綁定後虛擬機器流量始終走虛擬交換機分配的物理網路卡，而不管這個物理網路卡流量是否超載，除非分配的這個物理網路卡發生故障後才會嘗試走另外活動的物理網路卡。也就是說，基於來源虛擬通訊埠的負載平衡不屬於動態的負載平衡方式，但可以實現容錯備份功能。

圖4-1-4所示為基於來源虛擬通訊埠負載平衡示意圖。在這種模式下，虛擬機

器透過演算法與ESXi主機物理網路卡進行綁定，虛擬機器01和虛擬機器02與ESXi 主機物理網路卡vmnic0進行綁定，虛擬機器03和虛擬機器04與ESXi主機物理網路卡vmnic1進行綁定，無論網路流量是否超載，虛擬機器只會透過綁定的網路卡對外進行通訊。當虛擬機器03和虛擬機器04綁定的ESXi主機物理網路卡vmnic1出現故障時，虛擬機器才會使用ESXi主機物理網路卡vmnic0對外進行通訊，如圖4-1-5所示。

【Source MAC Hash】

Source MAC Hash，基於來源MAC位址雜湊演算法的負載平衡。這種方式與基於來源虛擬通訊埠的負載平衡方式相似，如果虛擬機器只使用一個物理網路卡，那麼它的來源MAC位址不會發生任何變化，系統分配物理網路卡及綁定後，無論網路流量是否超載，虛擬機器流量始終「走」虛擬交換機分配的物理網路卡，除非分配的這個物理網路卡故障，才會嘗試走另外活動的物理網路卡。基於來源MAC位址雜湊演算法的負載平衡還有另外一種實現方式，就是虛擬機器使用多個虛擬網路卡，以便生成多個MAC位址，這樣虛擬機器就能綁定多個物理網路卡以實現負載平衡。

圖4-1-6所示為基於來源MAC位址的負載平衡示意圖。虛擬機器如果只有一個MAC位址，則與基於來源虛擬通訊埠的負載平衡相同，虛擬機器01和虛擬機器02與ESXi主機物理網路卡vmnic0進行綁定，虛擬機器03和虛擬機器04與ESXi主機物理網路卡vmnic1進行綁定，那麼無論網路流量是否超載，虛擬機器只會透過綁定的網路卡對外進行通訊。只有當虛擬機器03和虛擬機器04綁定的ESXi主機物理網路卡vmnic1出現故障時，虛擬機器才會使用ESXi主機物理網路卡vmnic0對外進行通訊，如圖4-1-7所示。

基於來源MAC位址的負載平衡還會有另外一種方式，就是虛擬機器多MAC位址模式。也就是說，虛擬機器有多個虛擬網路卡，圖4-1-8中的虛擬機器02和虛擬機器03有兩個網路卡，表示虛擬機器有2個MAC位址。在這樣的模式下，透過基於來源MAC位址雜湊演算法的負載平衡，虛擬機器可能使用不同的ESXi主機物理網路卡對外通訊。

【IP Base Hash】

IP Base Hash，基於IP雜湊演算法的負載平衡。這種方式與前兩種負載平衡方式是完全不一樣的，IP雜湊演算法是基於來源IP位址和目標IP位址計算出一個雜湊值，來源IP位址和不同目標IP位址計算的雜湊值不一樣，當虛擬機器與不同目標IP位址通訊時使用不同的雜湊值，這個雜湊值就會「走」不同的物理網路卡，這樣就可以實現動態的負載平衡。在ESXi主機網路上使用基於IP雜湊演算法的負載平衡，還必須滿足一個前提，就是物理交換機必須支援鏈路聚合控制協定（Link Aggregation Control Protocol，LACP）以及思科私有的通訊埠聚合協定（Port Aggregation Protocol，PAP），同時要求通訊埠必須處於同一物理交換機（如果使用思科Nexus 交換機的Virtual Port Channel 功能，則不需要通訊埠處於同一物理交換機）。

圖4-1-9 所示為基於IP雜湊演算法的負載平衡示意圖。由於虛擬機器來源IP位址和不同目標IP位址計算的雜湊值不一樣，所以虛擬機器就不存在綁定某個ESXi主機物理網路卡的情況，虛擬機器01∼04可以根據不同的雜湊值，選擇不同ESXi主機物理網路卡對外進行通訊。需要特別注意的是，如果交換機不設定使用鏈路聚合協定，那麼基於IP雜湊演算法的負載平衡模式無效。

5. 網路虛擬化NSX

NSX Data Center是VMware網路虛擬化的解決方案。借助網路虛擬化，可在軟體中重現第2至7層的全套網路連接服務（如交換、路由、存取控制、防火牆、服務品質）。NSX是一個支援虛擬雲端網路的網路虛擬化和安全性平台，能夠以軟體定義的方式實現跨資料中心、雲端環境和應用框架進行延展的網路。借助NSX Data Center，可以使網路和安全性更接近應用，而無關應用在何處（包括虛擬機器、容器和裸機）運行。與虛擬機器的運行維護模式類似，可獨立於底層硬體對網路進行轉換和管理。

NSX Data Center 透過軟體方式重現整個網路模型，從而實現在幾秒內建立和轉換從簡單網路到複雜多層網路的任何網路拓撲。使用者可以建立多個具有不同要求的虛擬網路，利用由NSX或泛第三方整合生態系統（從新一代防火牆到高性能管了解決方案）提供的服務組合建構本質上更敏捷、更安全的環境。可以將這些服務延展至同一雲端環境或跨多個雲端環境的端點。

圖4-1-10 所示為VMware NSX Data Center網路虛擬化和安全性平台示意圖。軟體形式的網路VMware NSX Data Center提供了一種透過軟體定義的全新網路運行維護模式，組成了軟體定義資料中心的基礎並延展至虛擬雲端網路。資料中心操作員現在可獲得的敏捷性、安全性和經濟性，在以前資料中心網路僅與物理硬體元件緊密連結時，是無法實現的。NSX Data Center提供了一組完整的邏輯網路和安全功能及服務，其中包括邏輯交換、路由、防火牆保護、負載平衡、虛擬私人網絡、服務品質和監控。人們可以透過利用NSX Data Center API的任何雲端運算管理平台在虛擬網路中對這些服務進行轉換。虛擬網路可以無中斷地部署到任何現有網路硬體上，並可跨資料中心、公有雲和私有雲、容器平台和裸機伺服器進行延展。

本文節錄自深智數位出版之《企業虛擬化架構：雲端世代VMware vSphere 7高效管理》。