VMware vSphere Netzwerkkonfiguration

Aus Thomas-Krenn-Wiki
Zur Navigation springen Zur Suche springen

Ein VMware vSphere System bietet vielerlei Optionen bei der Netzwerkkonfiguration. In diesem Artikel möchten wir Ihnen deshalb aufzeigen, wie Sie bei einem VMware vSphere Host die Netzwerkkonfiguration durchführen können und welche Features verfügbar sind.

Virtual Standard-Switch (vSS)

Nach jeder vSphere Installation gibt es automatisch den ersten virtuellen Switch vSwitch0. Dieser Switch hat standardmäßig auf jedem System vmnic0 konfiguriert, unabhängig von der NIC-Anzahl.

Die NIC Nummerierung beginnt bei VMware immer bei den onboard NICs (z.B. vmnic0 und vmnic1) und geht anschließend über die PCIe Slotbelegung weiter (CPU1 PCIe Slot1). vSwitch0 enthält eine Portgruppe für VMs (VM Network) und den Management VMkernel vmk0. Es können weitere vSwitches für verschiedene Dienste oder Protokolle erstellt werden, es wird in der Regel immer ein separater Switch für iSCSI oder NFS erstellt.

Bei der Erstellung eines neuen Switches können Sie den Namen, einen freien physischen Adapter, die MTU und Sicherheitsoptionen[1] angeben.

  • Übersicht vSwitch0

    Übersicht vSwitch0

  • Neuen vSwitch erstellen

    Neuen vSwitch erstellen

  • Konfigurationsoptionen für vSwitch

    Konfigurationsoptionen für vSwitch

Promiscuous Mode

Der Promiscuous Mode deaktiviert jegliche Empfangsfilterung, die der Adapter der virtuellen Maschine ausführt, sodass das Gastbetriebssystem den gesamten Datenverkehr aus dem Netzwerk empfängt. Standardmäßig kann der Adapter der virtuellen Maschine nicht im Promiscuous-Modus betrieben werden. Der Promiscuous-Modus kann zwar für die Nachverfolgung von Netzwerkaktivitäten nützlich sein, aber er ist ein unsicherer Betriebsmodus, da jeder Adapter im Promiscuous-Modus Zugriff auf alle Pakete hat, selbst wenn manche Pakete nur für einen spezifischen Netzwerkadapter bestimmt sind. Das bedeutet, dass ein Administrator oder Root-Benutzer in einer virtuellen Maschine rein theoretisch den Datenverkehr, der für andere Gast- oder Hostbetriebssysteme bestimmt ist, einsehen kann.

MAC Address Changes

Die Sicherheitsrichtlinie eines virtuellen Switches beinhaltet die Option MAC-Adressänderungen. Diese Option betrifft Datenverkehr, der von einer virtuellen Maschine empfangen wird. Wenn die Option MAC-Adressänderungen auf Akzeptieren festgelegt ist, akzeptiert ESXi Anforderungen, die geltende MAC-Adresse in eine andere als die ursprünglich zugewiesene Adresse zu ändern. Wenn die Option MAC-Adressänderungen auf Ablehnen festgelegt ist, lehnt ESXi Anforderungen ab, die geltende MAC-Adresse in eine andere als die ursprünglich zugewiesene Adresse zu ändern. Diese Einstellung schützt den Host vor MAC-Imitationen. Der Port, der von dem Adapter der virtuellen Maschine zum Senden der Anforderung verwendet wird, ist deaktiviert, und der Adapter der virtuellen Maschine erhält keine weiteren Frames mehr, bis die geltende MAC-Adresse mit der ursprünglichen MAC-Adresse übereinstimmt. Das Gastbetriebssystem erkennt nicht, dass die Anforderung zum Ändern der MAC-Adresse nicht angenommen wurde.

Forged Transmits

Wenn die Option Gefälschte Übertragungen auf Akzeptieren festgelegt ist, vergleicht ESXi die Quell- und die geltende MAC-Adresse nicht. Zum Schutz gegen MAC-Imitation können Sie die Option Gefälschte Übertragungen auf Ablehnen einstellen. In diesem Fall vergleicht der Host die Quell-MAC-Adresse, die vom Gastbetriebssystem übertragen wird, mit der geltenden MAC-Adresse für den Adapter der virtuellen Maschine, um festzustellen, ob sie übereinstimmen. Wenn die Adressen nicht übereinstimmen, verwirft der ESXi-Host das Paket. Das Gastbetriebssystem erkennt nicht, dass der Adapter der virtuellen Maschine die Pakete mit der imitierten MAC-Adresse nicht senden kann. Der ESXi-Host fängt alle Pakete mit imitierten Adressen vor der Übermittlung ab. Das Gastbetriebssystem geht ggf. davon aus, dass die Pakete verworfen wurden.

Virtual Machine Portgroup

VMs benötigen zur Kommunikation untereinander und nach außen eine Portgroup. Es können mehrere Portgroups an einem Switch konfiguriert werden. Sollten unterschiedliche IP Subnetze zum Einsatz kommen, sollten die Portgroups mit einem entsprechenden VLAN Tag konfiguriert werden. Alle VMs der gleichen Portgroup, die lokal auf dem gleichen Server ausgeführt werden, kommunizieren direkt auf dem Host, d.h. der Netzwerktraffic geht nicht über die physischen NICs. Dadurch lassen sich bei Netzwerk-Performancetests bis zu 30Gbit/s zwischen den VMs messen.

Beim Erstellen der Portgroup können Sie den Namen, den vSwitch, eine VLAN ID und Sicherheitsoptionen wählen. Die Sicherheitsoptionen werden vom vSwitch übernommen, können aber für jede Portgroup angepasst werden.

  • Neue Portgroup erstellen

    Neue Portgroup erstellen

  • Konfigurationsoptionen für vSwitch

    Konfigurationsoptionen für vSwitch

VMkernel Adapter

Ein VMkernel Adapter wird für bestimmte Services von VMware und für IP-basierten Storage (NFS, iSCSI) benötigt. Jeder Host verfügt über mindestens ein VMkernel Adapter, vmk0. Dieser VMkernel hat den Managegment Tag und stellt die vSphere Management IP bereit. Weitere VMkernel werden numerisch hochgezählt, der Name kann nicht geändert werden. Features wie vMotion, vSAN und Fault Tolerance benötigen immer einen separaten VMkernel mit entsprechendem Service-Tag. Eine Liste aller verfügbaren Service-Tags:

  • vSAN (nur mit vCenter verfügbar)
  • vSANWitness (nur per CLI verfügbar)
  • Management
  • Replication
  • NFC Replication
  • vMotion
  • Provisioning
  • Fault Tolerance Logging

Bei der Erstellung eines neuen VMkernel Adapters können Sie die Portgroup, die MTU, IPv4 oder IPv6, IP Konfiguration statisch / DHCP, TCP/IP Stack und die Services wählen.

  • Neuen VMkernel erstellen

    Neuen VMkernel erstellen

  • Konfigurationsoptionen für VMkernel

    Konfigurationsoptionen für VMkernel

Teaming & Failover

Des weiteren stehen noch verschiedene Möglichkeiten zur Lastverteilung und Ausfallsicherung der Netzwerkadapter bereit.

Load Balancing

Sobald am vSwitch mehrere Netzwerkadapter konfiguriert wurden, müssen die Teaming- und Failoveroptionen[2] konfiguriert werden. Standardmäßig ist dabei immer Route based on originating port ID als Load-Balance Algorithmus konfiguriert und benötigt keine weitere Konfiguration am physischen Switch. Dieser Algorithmus verteilt Pakete anhand der Port ID der einzelnen VMs. Weitere Optionen sind Route based on IP hash und Route based on Source MAC hash, diese benötigen eine Link Aggregation Group (LAG) Konfiguration am Switch. Die Option Use explicit failover order ist kein Load-Balancing, sondern nur eine festgelegte Reihenfolge der zu benutzenden NICs.

Network Failover Detection

Die Link Status Only Option erkennt nur physische Fehler im Netzwerk, wie beispielsweise ein gezogenes Netzwerkkabel oder den Ausfall eines physischen Switches.

Beacon Probing[3] erkennt zudem noch Konfigurationsfehler wie beispielsweise eine falsche VLAN ID, durch Spanning Tree (STP) geblockte Ports etc.

Notify Switches

Physische Switches werden über den Ausfall eines physischen Netzwerkadapters des Hosts informiert, damit der Datentransfer problemlos über weitere Adapter aus dem Team läuft. Diese Option steht standardmäßig immer auf Yes.

Failback

Die Failback Option bestimmt, ob ein ausgefallener Adapter automatisch wieder aktiv geschaltet werden soll, sobald er wieder verfügbar ist. Diese Option steht standardmäßig immer auf Yes.

Failover Order

Diese Option bestimmt eine genaue Reihenfolge der Netzwerkadapter wenn die Load-Balance Richtlinie "Use explicit failover order" genutzt wird:

  • Uplink hinzufügen

    Uplink hinzufügen

  • Konfigurationsoption für vSwitch

    Konfigurationsoption für vSwitch

  • NIC Teaming und Load Balancing

    NIC Teaming und Load Balancing

TCP/IP Stack

Die TCP/IP Stack Konfiguration enthält den Hostnamen, die Default DNS Server, den Domänennamen sowie das Default Gateway. Wenn neue VMkernel angelegt werden, können diese Werte aus dem Stack übernommen werden. Somit lassen sich bei Konfigurationen mit mehreren IP Subnetzen und VLANs verschiedene TCP/IP Stacks konfigurieren.

  • Neuen TCP/IP Stack erstellen

    Neuen TCP/IP Stack erstellen

  • Konfigurationsoptionen für TCP/IP Stack

    Konfigurationsoptionen für TCP/IP Stack

Einzelnachweise

  1. vSwitch Security (docs.vmware.com)
  2. Teaming and Failover (docs.vmware.com)
  3. What is Beacon? (vmware.com)


Foto Thomas-Krenn.AG.jpg

Autor: Thomas-Krenn.AG

Bei der Thomas-Krenn.AG achten wir auf den bestmöglichen Service. Um dem gerecht zu werden, haben wir unser Thomas-Krenn Wiki ins Leben gerufen. Hier teilen wir unser Wissen mit Ihnen und informieren Sie über Grundlagen und Aktuelles aus der IT-Welt. Ihnen gefällt unsere Wissenskultur und Sie wollen Teil des Teams werden? Besuchen Sie unsere Stellenangebote.

Icon-Facebook.png Icon-Twitter.png Icon-Github.png Icon-Xing.png Icon-LinkedIn.png

Das könnte Sie auch interessieren

Adaptec Firmwareupdate mit arcconf auf VMware Systemen
Zum Artikel
StorCLI unter VMware vSphere installieren
Zum Artikel
VMware vCenter Server Appliance (vCSA) Backup and Restore
Zum Artikel