vSphere 网络连接 - VMware

Transcription

1 VMware vsphere 6.5 VMware ESXi 6.5 vcenter Server 6.5 在本文档被更新的版本替代之前, 本文档支持列出的每个产品的版本和所有后续版本 要查看本文档的更新版本, 请访问 ZH_CN

2 最新的技术文档可以从 VMware 网站下载 : VMware 网站还提供最近的产品更新信息 您如果对本文档有任何意见或建议, 请把反馈信息提交至 : docfeedback@vmware.com 版权所有 VMware, Inc. 保留所有权利 版权和商标信息 VMware, Inc Hillview Ave. Palo Alto, CA 北京办公室北京市海淀区科学院南路 2 号融科资讯中心 C 座南 8 层 上海办公室上海市浦东新区浦东南路 999 号新梅联合广场 23 楼 广州办公室广州市天河北路 233 号中信广场 7401 室 2 VMware, Inc.

3 目录 关于 vsphere 网络连接 11 更新信息 13 1 网络简介 15 网络概念概述 15 ESXi 中的网络服务 16 VMware ESXi Dump Collector 支持 16 2 使用 vsphere 标准交换机设置网络连接 19 vsphere 标准交换机 19 创建 vsphere 标准交换机 20 虚拟机的端口组配置 21 添加虚拟机端口组 22 编辑标准交换机端口组 23 从 vsphere 标准交换机移除端口组 23 vsphere 标准交换机属性 24 更改 vsphere 标准交换机上 MTU 的大小 24 更改物理适配器的速度 24 在 vsphere 标准交换机中添加物理适配器并使这些适配器成组 25 查看 vsphere 标准交换机的拓扑图 25 3 使用 vsphere Distributed Switch 设置网络连接 27 vsphere Distributed Switch 架构 28 创建 vsphere Distributed Switch 31 将 vsphere Distributed Switch 升级到更高版本 32 编辑 vsphere Distributed Switch 常规和高级设置 33 在 vsphere Distributed Switch 上管理多个主机上的网络连接 33 在 vsphere Distributed Switch 上管理主机网络的任务 34 将主机添加到 vsphere Distributed Switch 35 在 vsphere Distributed Switch 上配置物理网络适配器 36 将 VMkernel 适配器迁移到 vsphere Distributed Switch 37 在 vsphere Distributed Switch 上创建 VMkernel 适配器 37 将虚拟机网络迁移到 vsphere Distributed Switch 39 使用主机作为模板为 vsphere Distributed Switch 创建统一的网络配置 40 从 vsphere Distributed Switch 中移除主机 41 在主机代理交换机上管理网络连接 42 将主机上的网络适配器迁移到 vsphere Distributed Switch 42 将主机上的 VMkernel 适配器迁移到 vsphere 标准交换机 43 VMware, Inc. 3

4 将主机的物理网卡分配给 vsphere Distributed Switch 43 从 vsphere Distributed Switch 移除物理网卡 43 从活动虚拟机中移除网卡 44 分布式端口组 44 添加分布式端口组 44 编辑常规分布式端口组设置 47 在端口级别配置替代网络策略 48 移除分布式端口组 48 使用分布式端口 48 监控分布式端口的状况 49 配置分布式端口设置 49 在 vsphere Distributed Switch 上配置虚拟机网络连接 50 将虚拟机迁入或迁出 vsphere Distributed Switch 50 将单个虚拟机连接到分布式端口组 50 vsphere Web Client 中的 vsphere Distributed Switch 拓扑图 50 查看 vsphere Distributed Switch 的拓扑 51 查看主机代理交换机的拓扑 52 4 设置 VMkernel 网络 53 VMkernel 网络层 54 查看有关主机上的 VMkernel 适配器的信息 55 在 vsphere 标准交换机上创建 VMkernel 适配器 56 在与 vsphere Distributed Switch 关联的主机上创建 VMkernel 适配器 58 编辑 VMkernel 适配器配置 59 替代 VMkernel 适配器的默认网关 60 使用 ESXCLI 配置 VMkernel 适配器网关 61 查看主机上的 TCP/IP 堆栈配置 61 更改主机上的 TCP/IP 堆栈配置 61 创建自定义 TCP/IP 堆栈 62 移除 VMkernel 适配器 62 5 vsphere Distributed Switch 上的 LACP 支持 65 转换为 vsphere Distributed Switch 上的增强型 LACP 支持 66 分布式端口组的 LACP 成组和故障切换配置 68 配置链路聚合组处理分布式端口组的流量 68 创建链路聚合组 69 在分布式端口组的绑定和故障切换顺序中将链路聚合组设置为备用状态 69 将物理网卡分配给链路聚合组的端口 70 在分布式端口组的绑定和故障切换顺序中将链路聚合组设置为活动状态 70 编辑链路聚合组 71 在上行链路端口组上启用 LACP 5.1 支持 72 vsphere Distributed Switch 的 LACP 支持限制 72 6 备份和还原网络配置 75 备份和还原 vsphere Distributed Switch 配置 75 导出 vsphere Distributed Switch 配置 75 4 VMware, Inc.

5 目录 导入 vsphere Distributed Switch 配置 76 还原 vsphere Distributed Switch 配置 76 导出 导入和还原 vsphere 分布式端口组配置 77 导出 vsphere 分布式端口组配置 77 导入 vsphere 分布式端口组配置 77 还原 vsphere 分布式端口组配置 78 7 管理网络的回滚和恢复 79 vsphere 网络连接回滚 79 禁用网络回滚 80 使用 vcenter Server 配置文件禁用网络回滚 80 解决 vsphere Distributed Switch 上的管理网络配置中的错误 81 8 网络策略 83 在 vsphere 标准交换机或 Distributed Switch 上应用网络策略 84 在端口级别配置替代网络策略 85 成组和故障切换策略 85 可用于虚拟交换机的负载平衡算法 86 在 vsphere 标准交换机或标准端口组上配置网卡绑定 故障切换和负载平衡 89 在分布式端口组或分布式端口上配置网卡绑定 故障切换和负载平衡 90 VLAN 策略 92 在分布式端口组或分布式端口上配置 VLAN 标记 92 配置上行链路端口组或上行链路端口上的 VLAN 标记 93 安全策略 94 配置 vsphere Standard Switch 或标准端口组的安全策略 94 配置分布式端口组或分布式端口的安全策略 95 流量调整策略 96 配置 vsphere Standard Switch 或标准端口组的流量调整 96 编辑分布式端口组或分布式端口的流量调整策略 97 资源分配策略 98 编辑分布式端口组的资源分配策略 98 编辑分布式端口的资源分配策略 98 监控策略 99 在分布式端口组或分布式端口上启用或禁用 NetFlow 监控 99 流量筛选和标记策略 99 分布式端口组或上行链路端口组的流量筛选和标记 100 分布式端口或上行链路端口的流量筛选和标记 105 限定要筛选和标记的流量 111 管理 vsphere Distributed Switch 上的多个端口组的策略 113 端口阻止策略 117 编辑分布式端口组的端口阻止策略 117 编辑分布式端口或上行链路端口的阻止策略 使用 VLAN 隔离网络流量 119 VLAN 配置 119 VMware, Inc. 5

6 专用 VLAN 120 创建专用 VLAN 120 移除主专用 VLAN 121 移除次专用 VLAN 管理网络资源 123 DirectPath I/O 123 为主机上的网络设备启用直通功能 124 在虚拟机上配置 PCI 设备 124 单根 I/O 虚拟化 (SR-IOV) 125 SR-IOV 支持 125 SR-IOV 组件架构和交互 127 vsphere 和虚拟功能交互 129 DirectPath I/O 和 SR-IOV 129 配置虚拟机以使用 SR-IOV 129 与已启用 SR-IOV 的虚拟机关联的流量网络选项 131 使用 SR-IOV 物理适配器处理虚拟机流量 132 使用主机配置文件或 ESXCLI 命令启用 SR-IOV 132 由于主机的中断向量已耗尽, 因此使用 SR-IOV 虚拟功能的虚拟机打开电源失败 134 虚拟机的远程直接内存访问 134 PVRDMA 支持 135 为 ESXi 主机配置 PVRDMA 135 向虚拟机分配 PVRDMA 适配器 136 聚合以太网 RDMA 的网络要求 137 巨帧 137 在 vsphere Distributed Switch 上启用巨帧 137 在 vsphere 标准交换机上启用巨帧 138 为 VMkernel 适配器启用巨帧 138 在虚拟机上启用巨帧支持 138 TCP 分段清除 139 在 VMkernel 中启用或禁用软件 TSO 139 确定在 ESXi 主机的物理网络适配器上是否支持 TSO 140 在 ESXi 主机上启用或禁用 TSO 140 确定 TSO 在 ESXi 主机上是否处于启用状态 141 在 Linux 虚拟机上启用或禁用 TSO 141 在 Windows 虚拟机上启用或禁用 TSO 141 大型接收卸载 142 为 ESXi 主机上的所有 VMXNET3 适配器启用硬件 LRO 142 为 ESXi 主机上的所有 VMXNET3 适配器启用或禁用软件 LRO 142 确保是否为 ESXi 主机上的 VMXNET3 适配器启用了 LRO 143 更改 VMXNET 3 适配器的 LRO 缓冲区大小 143 为 ESXi 主机上的所有 VMkernel 适配器启用或禁用 LRO 143 更改 VMkernel 适配器的 LRO 缓冲区大小 144 在 Linux 虚拟机的 VMXNET3 适配器上启用或禁用 LRO 144 在 Windows 虚拟机的 VMXNET3 适配器上启用或禁用 LRO 144 在 Windows 虚拟机上全局启用 LRO VMware, Inc.

7 目录 NetQueue 和网络性能 146 在主机上启用 NetQueue 146 在主机上禁用 NetQueue vsphere Network I/O Control 147 关于 vsphere Network I/O Control 版本 将 vsphere Distributed Switch 上的 Network I/O Control 升级到版本 在 vsphere Distributed Switch 上启用 Network I/O Control 150 系统流量的带宽分配 150 系统流量的带宽分配参数 151 系统流量的带宽预留示例 151 配置系统流量的带宽分配 152 虚拟机流量的带宽分配 153 关于为虚拟机分配带宽 153 虚拟机流量的带宽分配参数 154 虚拟机带宽的接入控制 154 创建网络资源池 155 向网络资源池中添加分布式端口组 156 为虚拟机配置带宽分配 157 在多个虚拟机上配置带宽分配 158 更改网络资源池的配额 158 从网络资源池中移除分布式端口组 159 删除网络资源池 159 将物理适配器移到 Network I/O Control 的范围之外 159 使用 Network I/O Control 版本 在 Network I/O Control 版本 2 中创建网络资源池 160 在 Network I/O Control 版本 2 中编辑网络资源池的设置 MAC 地址管理 163 从 vcenter Server 的 MAC 地址分配 163 VMware OUI 分配 164 基于前缀的 MAC 地址分配 164 基于范围的 MAC 地址分配 164 分配 MAC 地址 164 在 ESXi 主机上生成 MAC 地址 166 为虚拟机设置静态 MAC 地址 167 静态 MAC 地址的 VMware OUI 167 通过使用 vsphere Web Client 分配静态 MAC 地址 168 在虚拟机配置文件中分配静态 MAC 地址 针对 IPv6 配置 vsphere 169 vsphere IPv6 连接 169 在 IPv6 中部署 vsphere 170 在 vsphere 安装中启用 IPv6 171 在升级的 vsphere 环境中启用 IPv6 171 在主机上启用或禁用 IPv6 支持 172 VMware, Inc. 7

8 在 ESXi 主机上设置 IPv6 173 在 vcenter Server 上设置 IPv6 173 在 vcenter Server Appliance 上设置 IPv6 173 使用 IPv6 在 Windows 中设置 vcenter Server 监控网络连接和流量 175 使用 pktcap-uw 实用程序捕获和跟踪网络数据包 175 用于捕获数据包的 pktcap-uw 命令语法 175 用于跟踪数据包的 pktcap-uw 命令语法 177 用于输出控制的 pktcap-uw 选项 177 用于筛选数据包的 pktcap-uw 选项 178 使用 pktcap-uw 实用程序捕获数据包 179 使用 pktcap-uw 实用程序跟踪数据包 186 配置 vsphere Distributed Switch 的 NetFlow 设置 187 使用端口镜像 188 端口镜像版本兼容性 188 端口镜像互操作性 189 创建端口镜像会话 190 查看端口镜像会话详细信息 192 编辑端口镜像会话详细信息 源和目标 192 vsphere Distributed Switch 运行状况检查 194 启用或禁用 vsphere Distributed Switch 健康状况检查 194 查看 vsphere Distributed Switch 健康状况 195 交换机发现协议 195 在 vsphere Distributed Switch 上启用 Cisco 发现协议 195 在 vsphere Distributed Switch 上启用链路层发现协议 196 查看交换机信息 配置用于虚拟机网络连接的协议配置文件 197 添加网络协议配置文件 197 选择网络协议配置文件的名称和网络 198 指定网络协议配置文件中的 IPv4 配置 198 指定网络协议配置文件的 IPv6 配置 198 指定网络协议配置文件的 DNS 和其他配置 199 完成网络协议配置文件的创建 199 将端口组与网络协议配置文件关联 199 配置虚拟机或 vapp 以使用网络协议配置文件 多播筛选 201 多播筛选模式 201 在 vsphere Distributed Switch 上启用多播侦听 202 编辑多播侦听的查询时间间隔 202 编辑 IGMP 和 MLD 的源 IP 地址数量 无状态网络部署 VMware, Inc.

9 目录 18 网络最佳做法 207 索引 209 VMware, Inc. 9

10 10 VMware, Inc.

11 关于 vsphere 网络连接 目标读者 vsphere 网络连接 提供有关配置 VMware vsphere 网络连接的信息, 包括如何创建 vsphere Distributed Switch 和 vsphere 标准交换机 vsphere 网络连接 还提供有关监控网络 管理网络资源和网络连接最佳做法的信息 提供的信息面向熟悉网络配置和虚拟机技术的有经验的 Windows 或 Linux 系统管理员 vsphere Web Client 和 vsphere Client 本指南中的任务说明基于 vsphere Web Client 您也可以使用新的 vsphere Client 执行本指南中的大部分任务 新的 vsphere Client 用户界面术语 拓扑及工作流与 vsphere Web Client 用户界面的相同方面和元素保持高度一致 可以将 vsphere Web Client 说明应用到新的 vsphere Client, 除非另有指示 注意在 vsphere 6.5 版本中, 并未针对 vsphere Client 实现 vsphere Web Client 中的所有功能 有关不受支持的功能的最新列表, 请参见 vsphere Client 功能更新指南, 网址为 VMware, Inc. 11

12 12 VMware, Inc.

13 更新信息 本 vsphere 网络连接 随产品的每个版本更新或在必要时更新 下表提供了 vsphere 网络连接 的更新历史记录 修订版本 描述 ZH_CN 更新了第 37 页, 在 vsphere Distributed Switch 上创建 VMkernel 适配器 第 54 页, VMkernel 网络层 第 59 页, 编辑 VMkernel 适配器配置 第 56 页, 在 vsphere 标准交换机上创建 VMkernel 适配器 第 58 页, 在与 vsphere Distributed Switch 关联的主机上创建 VMkernel 适配器 中有关置备 TCP/IP 堆栈和置备流量的信息 第 40 页, 示例 : 使用模板主机配置物理适配器和 VMkernel 适配器 中进行了细微修改 表 14 1 和第 186 页, 独立捕获点 中添加了对 VMware NSX 的引用 第 15 页, 网络概念概述 中的网络概念列表更新了有关含糊网络的信息 ZH_CN 更新了第 194 页, vsphere Distributed Switch 运行状况检查 中的信息, 增加了 vsphere Distributed Switch 运行状况检查可能产生额外网络流量的说明 ZH_CN 更新了第 123 页, DirectPath I/O 部分中的信息 更新了第 40 页, 使用主机作为模板为 vsphere Distributed Switch 创建统一的网络配置 中的信息 初始版本 VMware, Inc. 13

14 14 VMware, Inc.

15 网络简介 1 将讨论 ESXi 网络的基本概念以及如何在 vsphere 环境中设置和配置网络 本章讨论了以下主题 : 第 15 页, 网络概念概述 第 16 页, ESXi 中的网络服务 第 16 页, VMware ESXi Dump Collector 支持 网络概念概述 一些概念对透彻了解虚拟网络至关重要 如果您是 ESXi 的新用户, 则了解这些概念将对您很有帮助 物理网络虚拟网络含糊网络物理以太网交换机 vsphere 标准交换机标准端口组 为了使物理机之间能够收发数据, 在物理机间建立的网络 VMware ESXi 运行于物理机之上 在单台物理机上运行的虚拟机之间为了互相发送和接收数据而相互逻辑连接所形成的网络 虚拟机可连接到在添加网络时创建的虚拟网络 含糊网络是由 vsphere 以外的单独实体创建和管理的网络 例如, 由 VMware NSX 创建和管理的逻辑网络在 vcenter Server 中显示为 nsx.logicalswitch 类型的含糊网络 可以选择一个含糊网络作为虚拟机网络适配器的支持 要管理含糊网络, 请使用与含糊网络关联的管理工具, 例如 VMware NSX Manager 或 VMware NSX API 管理工具 管理物理网络上计算机之间的网络流量 一台交换机可具有多个端口, 每个端口都可与网络上的一台计算机或其他交换机连接 可按某种方式对每个端口的行为进行配置, 具体取决于其所连接的计算机的需求 交换机将会了解到连接其端口的主机, 并使用该信息向正确的物理机转发流量 交换机是物理网络的核心 可将多个交换机连接在一起, 以形成较大的网络 其运行方式与物理以太网交换机十分相似 它检测与其虚拟端口进行逻辑连接的虚拟机, 并使用该信息向正确的虚拟机转发流量 可使用物理以太网适配器 ( 也称为上行链路适配器 ) 将虚拟网络连接至物理网络, 以将 vsphere 标准交换机连接到物理交换机 此类型的连接类似于将物理交换机连接在一起以创建较大型的网络 即使 vsphere 标准交换机的运行方式与物理交换机十分相似, 但它不具备物理交换机所拥有的一些高级功能 标准端口组为每个成员端口指定了诸如带宽限制和 VLAN 标记策略之类的端口配置选项 网络服务通过端口组连接到标准交换机 端口组定义通过交换机连接网络的方式 通常, 单个标准交换机与一个或多个端口组关联 VMware, Inc. 15

16 vsphere Distributed Switch 主机代理交换机 分布式端口 分布式端口组 网卡绑定 VLAN VMkernel TCP/IP 网络层 IP 存储 TCP 分段卸载 它可充当数据中心中所有关联主机的单一交换机, 以提供虚拟网络的集中式置备 管理以及监控 您可以在 vcenter Server 系统上配置 vsphere Distributed Switch, 该配置将传播至与该交换机关联的所有主机 这使得虚拟机可在跨多个主机进行迁移时确保其网络配置保持一致 驻留在与 vsphere Distributed Switch 关联的每个主机上的隐藏标准交换机 主机代理交换机会将 vsphere Distributed Switch 上设置的网络配置复制到特定主机 连接到主机的 VMkernel 或虚拟机的网络适配器的 vsphere Distributed Switch 上的一个端口 与 vsphere Distributed Switch 关联的一个端口组, 并为每个成员端口指定端口配置选项 分布式端口组可定义通过 vsphere Distributed Switch 连接到网络的方式 当多个上行链路适配器与单个交换机相关联以形成小组时, 就会发生网卡绑定 小组将物理网络和虚拟网络之间的流量负载分摊给其所有或部分成员, 或在出现硬件故障或网络中断时提供被动故障切换 VLAN 可用于将单个物理 LAN 分段进一步分段, 以便使端口组中的端口互相隔离, 如同位于不同物理分段上一样 标准是 802.1Q VMkernel 网络层提供与主机的连接, 并处理 vsphere vmotion IP 存储 Fault Tolerance 和 Virtual SAN 的标准基础架构流量 将 TCP/IP 网络通信用作其基础的任何形式的存储 iscsi 可用作虚拟机数据存储,NFS 可用作虚拟机数据存储并用于直接挂载.ISO 文件, 这些文件对于虚拟机显示为 CD-ROM TCP 分段卸载 (TSO) 可使 TCP/IP 堆栈发出非常大的帧 ( 达到 64 KB), 即使接口的最大传输单元 (MTU) 较小也是如此 然后网络适配器将较大的帧分成 MTU 大小的帧, 并预置一份初始 TCP/IP 标头的调整后副本 ESXi 中的网络服务 虚拟网络向主机和虚拟机提供了多种服务 可以在 ESXi 中启用两种类型的网络服务 : 将虚拟机连接到物理网络以及相互连接虚拟机 将 VMkernel 服务 ( 如 NFS iscsi 或 vmotion) 连接至物理网络 VMware ESXi Dump Collector 支持 当系统遇到重大故障时,ESXi Dump Collector 会将 VMkernel 内存 ( 即核心转储 ) 的状态发送到网络服务器 ESXi 5.1 及更高版本中的 ESXi Dump Collector 支持 vsphere 标准交换机和 vsphere Distributed Switch ESXi Dump Collector 还可将任意活动上行链路适配器运用于收集器, 此活动上行链路适配器来自处理 VMkernel 适配器的端口组组合 如果已配置的 VMkernel 适配器的 IP 地址发生更改, 则对 ESXi Dump Collector 接口 IP 地址的更改也将自动更新 如果 VMkernel 适配器的网关配置发生更改,ESXi Dump Collector 也将调整其默认网关 如果您尝试删除 ESXi Dump Collector 使用的 VMkernel 网络适配器, 操作会失败并显示警告消息 要删除 VMkernel 网络适配器, 请禁用转储收集, 然后再删除适配器 16 VMware, Inc.

17 第 1 章网络简介 从已崩溃的主机到 ESXi Dump Collector 的文件传输会话中不存在身份验证或加密 您应尽可能在单独的 VLAN 上配置 ESXi Dump Collector, 以便将 ESXi 核心转储与常规网络流量隔离 有关安装和配置 ESXi Dump Collector 的信息, 请参见 vsphere 安装和设置文档 VMware, Inc. 17

18 18 VMware, Inc.

19 使用 vsphere 标准交换机设置网络连接 2 在 vsphere 部署中,vSphere 标准交换机在主机级别处理网络流量 本章讨论了以下主题 : 第 19 页, vsphere 标准交换机 第 20 页, 创建 vsphere 标准交换机 第 21 页, 虚拟机的端口组配置 第 24 页, vsphere 标准交换机属性 vsphere 标准交换机 可以创建名为 vsphere 标准交换机的抽象网络设备 使用标准交换机来提供主机和虚拟机的网络连接 标准交换机可在同一 VLAN 中的虚拟机之间进行内部流量桥接, 并链接至外部网络 标准交换机概览 要提供主机和虚拟机的网络连接, 请在标准交换机上将主机的物理网卡连接到上行链路端口 虚拟机具有在标准交换机上连接到端口组的网络适配器 (vnic) 每个端口组可使用一个或多个物理网卡来处理其网络流量 如果某个端口组没有与其连接的物理网卡, 则相同端口组上的虚拟机只能彼此进行通信, 而无法与外部网络进行通信 VMware, Inc. 19

20 图 2 1 vsphere 标准交换机架构 vsphere 标准交换机与物理以太网交换机非常相似 主机上的虚拟机网络适配器和物理网卡使用交换机上的逻辑端口, 每个适配器使用一个端口 标准交换机上的每个逻辑端口都是单一端口组的成员 有关允许的最大端口和端口组数的信息, 请参见 最高配置 文档 标准端口组 标准交换机上的每个标准端口组都由一个对于当前主机必须保持唯一的网络标签来标识 可以使用网络标签来使虚拟机的网络配置可在主机间移植 应为数据中心的端口组提供相同标签, 这些端口组使用在物理网络中连接到一个广播域的物理网卡 反过来, 如果两个端口组连接不同广播域中的物理网卡, 则这两个端口组应具有不同的标签 例如, 可以创建生产和测试环境端口组来作为在物理网络中共享同一广播域的主机上的虚拟机网络 VLAN ID 是可选的, 它用于将端口组流量限制在物理网络内的一个逻辑以太网网段中 要使端口组接收同一个主机可见 但来自多个 VLAN 的流量, 必须将 VLAN ID 设置为 VGT (VLAN 4095) 标准端口数 为了确保高效使用主机资源, 在运行 ESXi 5.5 及更高版本的主机上, 标准交换机的端口数将按比例自动增加和减少 此主机上的标准交换机可扩展至主机上支持的最大端口数 创建 vsphere 标准交换机 创建 vsphere 标准交换机, 以便为主机和虚拟机提供网络连接并处理 VMkernel 流量 根据要创建的连接类型, 可以使用 VMkernel 适配器创建新的 vsphere 标准交换机, 仅将物理网络适配器连接到新交换机, 或使用虚拟机端口组创建交换机 1 在 vsphere Web Client 中, 导航到主机 2 在配置选项卡上, 展开网络, 然后选择虚拟交换机 3 单击添加主机网络 20 VMware, Inc.

21 第 2 章使用 vsphere 标准交换机设置网络连接 4 选择要使用新标准交换机的连接类型, 然后单击下一步 选项 VMkernel 网络适配器物理网络适配器标准交换机的虚拟机端口组 描述 创建新的 VMkernel 适配器, 以便处理主机管理流量 vmotion 网络存储 容错或 Virtual SAN 流量 将物理网络适配器添加到现有或新的标准交换机 为虚拟机网络创建新的端口组 5 选择新建标准交换机, 然后单击下一步 6 将物理网络适配器添加到新的标准交换机 a b c 在 分配的适配器 下, 单击添加适配器 从列表中选择一个或多个物理网络适配器 在故障切换顺序组下拉菜单中, 从 活动 或 备用 故障切换列表中进行选择 若要实现更高的吞吐量并提供冗余, 请在 活动 列表中至少配置两个物理网络适配器 d 单击确定 7 如果使用 VMkernel 适配器或虚拟机端口组创建新的标准交换机, 请输入适配器或端口组的连接设置 选项 描述 VMkernel 适配器 a 输入表示 VMkernel 适配器的流量类型的标签, 例如 vmotion b 设置 VLAN ID 以标识 VMkernel 适配器的网络流量将使用的 VLAN c d e f 选择 IPv4 IPv6 或同时选择两者 选择一个 TCP/IP 堆栈 为 VMkernel 适配器设置 TCP/IP 堆栈后, 以后便无法再更改该堆栈 如果选择 vmotion 或置备 TCP/IP 堆栈, 您将只能使用此堆栈来处理主机上的 vmotion 或置备流量 如果使用默认 TCP/IP 堆栈, 请从可用服务中进行选择 配置 IPv4 和 IPv6 设置 虚拟机端口组 a 输入网络标签或端口组, 或接受生成的标签 b 设置 VLAN ID, 以便在端口组中配置 VLAN 处理 8 在 即将完成 页面上, 单击确定 下一步 可能需要更改新标准交换机的绑定和故障切换策略 例如, 如果主机连接到物理交换机上的以太通道, 则必须将 vsphere 标准交换机配置为使用基于 IP 哈希的路由作为负载平衡算法 有关详细信息, 请参见第 85 页, 成组和故障切换策略 如果使用端口组为虚拟机网络创建新的标准交换机, 请将虚拟机连接到端口组 虚拟机的端口组配置 您可以添加或修改虚拟机端口组, 以便对一组虚拟机设置流量管理 vsphere Web Client 中的添加网络向导将引导您完成与虚拟机相连接的虚拟网络的创建过程, 包括创建 vsphere 标准交换机和配置网络标签设置 设置虚拟机网络时, 需要考虑是否在主机之间的网络中迁移虚拟机 如果需要, 请确保两台主机均位于同一广播域 ( 即同一第 2 层子网 ) 内 VMware, Inc. 21

22 ESXi 不支持在不同广播域中的主机之间进行虚拟机迁移, 因为迁移后的虚拟机可能需要新网络中不再可访问的系统和资源 即使网络配置设置为高可用性环境或包括可解决不同网络中虚拟机需求的智能交换机, 当 ARP 表格为虚拟机进行更新并恢复网络流量时, 仍会遇到网络延迟 虚拟机通过上行链路适配器接入物理网络 只有当一个或多个网络适配器附加到 vsphere 标准交换机时,vSphere 标准交换机才能将数据传输到外部网络 当两个或多个适配器连接到单个标准交换机时, 它们便以透明方式进行组合 添加虚拟机端口组 在 vsphere 标准交换机中创建端口组, 以便为虚拟机提供连接和常用网络配置 1 在 vsphere Web Client 中, 导航到主机 2 右键单击主机, 然后选择添加网络 3 在选择连接类型中, 选择标准交换机的虚拟机端口组, 然后单击下一步 4 在选择目标设备中, 选择现有标准交换机或创建新的标准交换机 5 如果新端口组用于现有标准交换机, 请导航至该交换机 a b 单击浏览 从列表中选择标准交换机, 然后单击确定 c 单击下一步, 然后转至 7 6 ( 可选 ) 在 创建标准交换机 页面上, 将物理网络适配器分配给该标准交换机 创建标准交换机不一定需要适配器 如果创建的标准交换机不带物理网络适配器, 则该交换机上的所有流量仅限于其内部 物理网络上的其他主机或其他标准交换机上的虚拟机均无法通过此标准交换机发送或接收流量 如果想要一组虚拟机互相进行通信但不与其他主机或虚拟机组之外的虚拟机进行通信, 则可创建一个不带物理网络适配器的标准交换机 a b 单击添加适配器 从网络适配器列表中选择一个适配器 c 使用故障切换顺序组下拉菜单将该适配器分配到 活动适配器 备用适配器 或 未用的适配器, 然后单击确定 d e ( 可选 ) 根据需要在分配的适配器列表中使用向上和向下箭头更改适配器的位置 单击下一步 7 在 连接设置 页面上, 标识通过该组的各个端口的流量 a b 为端口组键入网络标签, 或接受生成的标签 设置 VLAN ID, 以便在端口组中配置 VLAN 处理 VLAN ID 也会在端口组中反映 VLAN 标记模式 VLAN 标记模式 VLAN ID 描述 外部交换机标记 (EST) 0 虚拟交换机不会传递与 VLAN 关联的流量 虚拟交换机标记 (VST) 从 1 到 4094 虚拟交换机将使用输入的标记来标记流量 虚拟客户机标记 (VGT) 4095 虚拟机会处理 VLAN 虚拟交换机会传递来自任意 VLAN 的流量 c 单击下一步 22 VMware, Inc.

23 第 2 章使用 vsphere 标准交换机设置网络连接 8 在 即将完成 页面中查看端口组设置, 然后单击完成 如果要更改任何设置, 请单击上一步 编辑标准交换机端口组 可以使用 vsphere Web Client 编辑标准交换机端口组的名称和 VLAN ID, 并在端口组级别替代网络策略 1 在 vsphere Web Client 中, 导航到主机 2 在配置选项卡上, 展开网络, 然后选择虚拟交换机 3 在列表中选择一个标准交换机 此时将显示交换机的拓扑图 4 在交换机的拓扑图中, 单击端口组的名称 5 在拓扑图标题下, 单击编辑设置图标 6 在 属性 页面的网络标签文本字段中, 重命名端口组 7 在 VLAN ID 下拉菜单中配置 VLAN 标记 VLAN 标记模式 VLAN ID 描述 外部交换机标记 (EST) 0 虚拟交换机不会传递与 VLAN 关联的流量 虚拟交换机标记 (VST) 从 1 到 4094 虚拟交换机将使用输入的标记来标记流量 虚拟客户机标记 (VGT) 4095 虚拟机会处理 VLAN 虚拟交换机会传递来自任意 VLAN 的流量 8 在 安全 页面上, 替代交换机设置, 以防止 MAC 地址模拟, 并在混杂模式下运行虚拟机 9 在 流量调整 页面上, 在端口组级别替代平均带宽 峰值带宽和突发的大小 10 在 绑定和故障切换 页面上, 替代从标准交换机继承的绑定和故障切换设置 您可以在与端口组关联的物理适配器之间配置流量分布和重新路由 也可以更改发生故障时使用主机物理适配器的顺序 11 单击确定 从 vsphere 标准交换机移除端口组 如果不再需要关联的带标记网络, 则可从 vsphere 标准交换机移除端口组 前提条件确认要移除的端口组未连接任何已打开电源的虚拟机 1 在 vsphere Web Client 中, 导航到主机 2 在配置选项卡上, 展开网络, 然后选择虚拟交换机 3 选择标准交换机 4 从交换机的拓扑图中, 单击端口组的标签以选择要移除的端口组 5 在交换机拓扑的工具栏中, 单击移除选定的端口组操作图标 VMware, Inc. 23

24 vsphere 标准交换机属性 vsphere 标准交换机设置可控制端口的交换机层面默认值, 而每个标准交换机的端口组设置均可覆盖这些值 您可以编辑标准交换机属性, 如上行链路配置和可用端口数 ESXi 主机上的端口数量 为了确保高效使用主机资源, 在运行 ESXi 5.5 及更高版本的主机上, 虚拟交换机的端口数将按比例动态增加和减少 此主机上的交换机可扩展至主机上支持的最大端口数 端口限制基于主机可处理的最大虚拟机数来确定 运行 ESXi 5.1 及更低版本的主机上的每个虚拟交换机均提供有限数量的端口, 虚拟机和网络服务可以通过这些端口访问一个或多个网络 您必须根据您的部署要求手动增加或减少端口数 注意增加交换机的端口数将导致预留和消耗主机上更多的资源 如果某些端口未被占用, 则某些可能需要用于其他操作的主机资源将保持锁定和未使用状态 更改 vsphere 标准交换机上 MTU 的大小 更改 vsphere 标准交换机上最大传输单元 (MTU) 的大小, 即增加使用单个数据包传输的负载数据量 ( 也就是启用巨帧 ) 来提高网络效率 1 在 vsphere Web Client 中, 导航到主机 2 在配置选项卡上, 展开网络, 然后选择虚拟交换机 3 从表中选择一台标准交换机, 然后单击编辑设置 4 更改标准交换机的 MTU ( 字节 ) 值 您可以通过设置大于 1500 的 MTU 值启用巨帧 设置的 MTU 大小不能超过 9000 字节 5 单击确定 更改物理适配器的速度 如果物理适配器速度与应用程序要求不匹配, 则该适配器可能会成为网络流量的瓶颈 您可以更改物理适配器的连接速度和双工模式, 以便按照流量速率来传输数据 如果该物理适配器支持 SR-IOV, 可以启用它, 并配置虚拟机网络连接要使用的虚拟功能数 1 在 vsphere Web Client 中, 导航到主机 2 在配置选项卡上, 展开网络, 然后选择物理适配器 主机的物理网络适配器会显示在一个表中, 该表包含每个物理网络适配器的详细信息 3 从列表中选择物理网络适配器, 然后单击编辑适配器设置图标 4 从下拉菜单中选择该物理网络适配器的速度和双工模式 5 单击确定 24 VMware, Inc.

25 第 2 章使用 vsphere 标准交换机设置网络连接 在 vsphere 标准交换机中添加物理适配器并使这些适配器成组 向标准交换机分配物理适配器可提供与主机上的虚拟机和 VMkernel 适配器的连接 可以组建一个网卡组, 以分布流量负载并配置故障切换 网卡绑定可将多个网络连接组合在一起来增加吞吐量, 并在链路出现故障时提供冗余 要创建组, 请将多个物理适配器与一个 vsphere 标准交换机关联起来 1 在 vsphere Web Client 中, 导航到主机 2 在配置选项卡上, 展开网络, 然后选择虚拟交换机 3 选择要添加物理适配器的标准交换机 4 单击管理已连接到选定交换机的物理网络适配器图标 5 向交换机添加一个或多个可用的物理网络适配器 a b 单击添加适配器 选择要向其分配适配器的故障切换顺序组 该故障切换组将决定适配器与外部网络交换数据的角色, 即活动 备用或未使用 默认情况下, 适配器会作为活动角色添加到标准交换机 c 单击确定 选定适配器会显示在 分配的适配器 列表下的选定故障切换组列表中 6 ( 可选 ) 使用向上和向下箭头可更改适配器在故障切换组中的位置 7 单击确定应用物理适配器配置 查看 vsphere 标准交换机的拓扑图 可以使用 vsphere 标准交换机的拓扑图检查该交换机的结构和组件 标准交换机的拓扑图提供连接到该交换机的适配器和端口组的直观表示 在该拓扑图中, 您可以编辑所选端口组和所选适配器的设置 1 在 vsphere Web Client 中, 导航到主机 2 在配置选项卡上, 展开网络, 然后选择虚拟交换机 3 在列表中选择标准交换机 拓扑图将显示在主机上虚拟交换机的列表下 示例 : 将 VMkernel 和虚拟机连接到网络的标准交换机图 在您的虚拟环境中,vSphere 标准交换机为 vsphere vmotion 和管理网络处理 VMkernel 适配器以及分组的虚拟机 可以使用中心拓扑图来检查虚拟机或 VMkernel 适配器是否连接到外部网络, 并确定承载数据的物理适配器 VMware, Inc. 25

26 图 2 2 将 VMkernel 和虚拟机连接到网络的标准交换机拓扑图 26 VMware, Inc.

27 使用 vsphere Distributed Switch 设置 3 网络连接 通过 vsphere Distributed Switch, 可以在 vsphere 环境中设置和配置网络连接 本章讨论了以下主题 : 第 28 页, vsphere Distributed Switch 架构 第 31 页, 创建 vsphere Distributed Switch 第 32 页, 将 vsphere Distributed Switch 升级到更高版本 第 33 页, 编辑 vsphere Distributed Switch 常规和高级设置 第 33 页, 在 vsphere Distributed Switch 上管理多个主机上的网络连接 第 42 页, 在主机代理交换机上管理网络连接 第 44 页, 分布式端口组 第 48 页, 使用分布式端口 第 50 页, 在 vsphere Distributed Switch 上配置虚拟机网络连接 第 50 页, vsphere Web Client 中的 vsphere Distributed Switch 拓扑图 VMware, Inc. 27

28 vsphere Distributed Switch 架构 vsphere Distributed Switch 为与交换机关联的所有主机的网络连接配置提供集中化管理和监控 您可以在 vcenter Server 系统上设置 Distributed Switch, 其设置将传播至与该交换机关联的所有主机 图 3 1 vsphere Distributed Switch 架构 vsphere 中的网络交换机由两个逻辑部分组成 : 数据面板和管理面板 数据面板可实现软件包交换 筛选和标记等 管理面板是用于配置数据面板功能的控制结构 vsphere 标准交换机同时包含数据面板和管理面板, 您可以单独配置和维护每个标准交换机 vsphere Distributed Switch 的数据面板和管理面板相互分离 Distributed Switch 的管理功能驻留在 vcenter Server 系统上, 您可以在数据中心级别管理环境的网络配置 数据面板则保留在与 Distributed Switch 关联的每台主机本地 Distributed Switch 的数据面板部分称为主机代理交换机 在 vcenter Server( 管理面板 ) 上创建的网络配置将被自动向下推送至所有主机代理交换机 ( 数据面板 ) 28 VMware, Inc.

29 第 3 章使用 vsphere Distributed Switch 设置网络连接 vsphere Distributed Switch 引入的两个抽象概念可用于为物理网卡 虚拟机和 VMkernel 服务创建一致的网络配置 上行链路端口组上行链路端口组或 dvuplink 端口组在创建 Distributed Switch 期间进行定义, 可以具有一个或多个上行链路 上行链路是可用于配置主机物理连接以及故障切换和负载平衡策略的模板 您可以将主机的物理网卡映射到 Distributed Switch 上的上行链路 在主机级别, 每个物理网卡将连接到特定 ID 的上行链路端口 您可以对上行链路设置故障切换和负载平衡策略, 这些策略将自动传播到主机代理交换机或数据面板 因此, 您可以为与 Distributed Switch 关联的所有主机的物理网卡应用一致的故障切换和负载平衡配置 分布式端口组 分布式端口组可向虚拟机提供网络连接并供 VMkernel 流量使用 您使用对于当前数据中心唯一的网络标签来标识每个分布式端口组 您可以在分布式端口组上配置网卡成组 故障切换 负载平衡 VLAN 安全 流量调整和其他策略 连接到分布式端口组的虚拟端口具有为该分布式端口组配置的相同属性 与上行链路端口组一样, 在 vcenter Server( 管理面板 ) 上为分布式端口组设置的配置将通过其主机代理交换机 ( 数据面板 ) 自动传播到 Distributed Switch 上的所有主机 因此, 您可以配置一组虚拟机以共享相同的网络配置, 方法是将虚拟机与同一分布式端口组关联 例如, 假设在数据中心创建一个 vsphere Distributed Switch, 然后将两个主机与其关联 您为上行链路端口组配置了三个上行链路, 然后将每个主机的一个物理网卡连接到一个上行链路 通过此方法, 每个上行链路可将每个主机的两个物理网卡映射到其中, 例如上行链路 1 使用主机 1 和主机 2 的 vmnic0 进行配置 接下来, 您可以为虚拟机网络和 VMkernel 服务创建生产和 VMkernel 网络分布式端口组 此外, 还会分别在主机 1 和主机 2 上创建生产和 VMkernel 网络端口组的表示 您为生产和 VMkernel 网络端口组设置的所有策略都将传播到其在主机 1 和主机 2 上的表示 为了确保有效地利用主机资源, 将在运行 ESXi 5.5 及更高版本的主机上动态地按比例增加和减少代理交换机的分布式端口数 此主机上的代理交换机可扩展至主机上支持的最大端口数 端口限制基于主机可处理的最大虚拟机数来确定 vsphere Distributed Switch 数据流 从虚拟机和 VMkernel 适配器向下传递到物理网络的数据流取决于为分布式端口组设置的网卡成组和负载平衡策略 数据流还取决于 Distributed Switch 上的端口分配 VMware, Inc. 29

30 图 3 2 vsphere Distributed Switch 上的网卡成组和端口分配 例如, 假设创建分别包含 3 个和 2 个分布式端口的虚拟机网络和 VMkernel 网络分布式端口组 Distributed Switch 会按 ID 从 0 到 4 的顺序分配端口, 该顺序与创建分布式端口组的顺序相同 然后, 将主机 1 和主机 2 与 Distributed Switch 关联 Distributed Switch 会为主机上的每个物理网卡分配端口, 端口将按添加主机的顺序从 5 继续编号 要在每个主机上提供网络连接, 请将 vmnic0 映射到上行链路 1 将 vmnic1 映射到上行链路 2 将 vmnic2 映射到上行链路 3 要向虚拟机提供连接并供 VMkernel 流量使用, 可以为虚拟机网络端口组和 VMkernel 网络端口组配置成组和故障切换 上行链路 1 和上行链路 2 处理虚拟机网络端口组的流量, 而上行链路 3 处理 VMkernel 网络端口组的流量 图 3 3 主机代理交换机上的数据包流量 30 VMware, Inc.

31 第 3 章使用 vsphere Distributed Switch 设置网络连接 在主机端, 虚拟机和 VMkernel 服务的数据包流量将通过特定端口传递到物理网络 例如, 从主机 1 上的 VM1 发送的数据包将先到达虚拟机网络分布式端口组上的端口 0 由于上行链路 1 和上行链路 2 处理虚拟机网络端口组的流量, 数据包可以通过上行链路端口 5 或上行链路端口 6 继续传递 如果数据包通过上行链路端口 5, 则将继续传递 vmnic0; 如果数据包通过上行链路端口 6, 则将继续传递到 vmnic1 创建 vsphere Distributed Switch 在数据中心创建 vsphere Distributed Switch, 以便在一个中央位置同时处理多个主机的网络配置 1 在 vsphere Web Client 中, 导航到数据中心 2 在导航器中, 右键单击数据中心, 并选择 Distributed Switch > 新建 Distributed Switch 3 在 名称和位置 页面上, 键入新的 Distributed Switch 的名称, 或接受生成的名称, 然后单击下一步 4 在 选择版本 页面上, 选择 Distributed Switch 版本, 然后单击下一步 选项 Distributed Switch: Distributed Switch: Distributed Switch: Distributed Switch: Distributed Switch: 描述 与 ESXi 6.5 及更高版本兼容 与 ESXi 6.0 及更高版本兼容 不支持与更高版本的 vsphere Distributed Switch 一起发布的功能 与 ESXi 5.5 及更高版本兼容 不支持与更高版本的 vsphere Distributed Switch 一起发布的功能 与 VMware ESXi 5.1 及更高版本兼容 不支持与更高版本的 vsphere Distributed Switch 一起发布的功能 与 VMware ESXi 5.0 及更高版本兼容 不支持与更高版本的 vsphere Distributed Switch 一起发布的功能 5 在 编辑设置 页面上, 配置 Distributed Switch 设置 a 使用箭头按钮选择上行链路数 上行链路端口将 Distributed Switch 连接到关联主机上的物理网卡 上行链路端口数是允许每台主机与 Distributed Switch 建立的最大物理连接数 b 使用此下拉菜单启用或禁用 Network I/O Control 利用 Network I/O Control 可以根据部署要求设定特定类型基础架构的网络资源以及工作负载流量的访问优先级 Network I/O Control 会持续监控整个网络的 I/O 负载, 并动态地分配可用资源 c d 选中创建默认端口组复选框使用默认设置为该交换机创建新的分布式端口组 ( 可选 ) 要创建默认的分布式端口组, 可以在端口组名称中键入端口组的名称, 或者接受生成的名称 如果系统具有自定义端口组要求, 则在添加 Distributed Switch 后, 创建满足这些要求的分布式端口组 e 单击下一步 6 在 即将完成 页面上, 查看您选择的设置, 然后单击完成 使用上一步按钮可编辑任何设置 Distributed Switch 即在数据中心创建完毕 您可以通过导航到该新的 Distributed Switch 并单击摘要选项卡, 查看该 Distributed Switch 支持的功能及其他详细信息 下一步 为 Distributed Switch 添加主机, 并配置这些主机在交换机上的网络适配器 VMware, Inc. 31

32 将 vsphere Distributed Switch 升级到更高版本 您可以将 vsphere Distributed Switch 5.x 版升级到更高版本 升级可以使 Distributed Switch 利用仅在更高版本中提供的功能 升级 Distributed Switch 的过程是一个非破坏性操作, 也就是说, 连接到交换机的主机和虚拟机根本不会发生停机 注意要能够在升级失败时还原虚拟机和 VMkernel 适配器的连接, 请备份 Distributed Switch 的配置 如果升级不成功, 要使用其端口组和连接的主机重新创建交换机, 可以导入交换机配置文件 请参见第 75 页, 导出 vsphere Distributed Switch 配置 和第 76 页, 导入 vsphere Distributed Switch 配置 前提条件 将 vcenter Server 升级到版本 6.5 将连接到 Distributed Switch 的所有主机升级到 ESXi 在 vsphere Web Client 中, 导航到 Distributed Switch 2 右键单击 Distributed Switch, 然后选择升级 > 升级 Distributed Switch 3 选择要将交换机升级到的 vsphere Distributed Switch 版本, 然后单击下一步 选项 版本 版本 描述 与 ESXi 6.5 及更高版本兼容 与 ESXi 6.0 版及更高版本兼容 不支持与更高版本的 vsphere Distributed Switch 一起发布的功能 版与 ESXi 5.5 及更高版本兼容 不支持与更高版本的 vsphere Distributed Switch 一起发布的功能 版本 与 ESXi 5.1 及更高版本兼容 不支持与更高版本的 vsphere Distributed Switch 一起发布的功能 4 检查主机兼容性, 然后单击下一步 连接到该 Distributed Switch 的一些 ESXi 实例可能与选定的目标版本不兼容 进行升级或移除不兼容的主机, 或者选择 Distributed Switch 的其他升级版本 5 完成升级配置, 然后单击完成 小心升级 vsphere Distributed Switch 后, 无法将其恢复到早期版本 也无法添加正在运行的版本低于该交换机新版本的 ESXi 主机 a b c 查看升级设置 如果从 vsphere Distributed Switch 5.1 进行升级, 请计划转换为增强型 LACP 支持 如果从 vsphere Distributed Switch 5.1 及更高版本进行升级, 请计划转换为 Network I/O Control 版本 3 有关转换为增强型 LACP 支持的信息, 请参见第 66 页, 转换为 vsphere Distributed Switch 上的增强型 LACP 支持 有关转换为 Network I/O Control 版本 3 的信息, 请参见第 148 页, 将 vsphere Distributed Switch 上的 Network I/O Control 升级到版本 3 32 VMware, Inc.

33 第 3 章使用 vsphere Distributed Switch 设置网络连接 编辑 vsphere Distributed Switch 常规和高级设置 vsphere Distributed Switch 的常规设置包括交换机名称和上行链路数量 Distributed Switch 的高级设置包括 Cisco 发现协议和交换机的最大 MTU 1 在 vsphere Web Client 中, 导航到 Distributed Switch 2 在配置选项卡上, 展开设置并选择属性 3 单击编辑 4 单击常规以编辑 vsphere Distributed Switch 设置 选项名称上行链路数端口数 描述键入 Distributed Switch 的名称 选择 Distributed Switch 的上行链路端口数 单击编辑上行链路名称更改上行链路的名称 该 Distributed Switch 的端口数 该信息不能编辑 Network I/O Control 使用此下拉菜单启用或禁用 Network I/O Control 描述 添加或修改 Distributed Switch 设置的描述 5 单击高级编辑 vsphere Distributed Switch 设置 选项 MTU ( 字节 ) 描述 vsphere Distributed Switch 的最大 MTU 大小 要启用巨帧, 请设置一个大于 1500 字节的值 多播筛选模式 基本 Distributed Switch 根据从组 IPv4 地址的最后 23 位生成的 MAC 地址转发与多播组相关的流量 IGMP/MLD 侦听 Distributed Switch 使用由 Internet 组管理协议 (IGMP) 和多播侦听器发现协议定义的成员身份消息, 根据已订阅多播组的 IPv4 和 IPv6 地址将多播流量转发到虚拟机 发现协议 a 从类型下拉菜单中选择 Cisco 发现协议 链路层发现协议 或 ( 已 禁用 ) b 将 操作 设置为 侦听 通告 或 二者 有关发现协议的信息, 请参见第 195 页, 交换机发现协议 管理员联系方式 键入 Distributed Switch 管理员的姓名和其他详细信息 6 单击确定 在 vsphere Distributed Switch 上管理多个主机上的网络连接 可以通过将主机添加到交换机并将其网络适配器连接到交换机, 在 vsphere Distributed Switch 上创建和管理虚拟网络 要在 Distributed Switch 的多个主机上创建统一的网络连接配置, 可以选择一个主机作为模板, 并将其配置应用到其他主机 在 vsphere Distributed Switch 上管理主机网络的任务第 34 页, 您可以为 vsphere Distributed Switch 添加新主机 将网络适配器连接到交换机以及从交换机移除主机 在生产环境中, 当您管理 Distributed Switch 上的主机时, 可能需要保持虚拟机和 VMkernel 服务的网络连接有效 VMware, Inc. 33

34 将主机添加到 vsphere Distributed Switch 第 35 页, 要使用 vsphere Distributed Switch 管理 vsphere 环境的网络, 必须将主机与交换机关联 可以将主机的物理网卡 VMkernel 适配器和虚拟机网络适配器连接到 Distributed Switch 在 vsphere Distributed Switch 上配置物理网络适配器第 36 页, 对于与 Distributed Switch 关联的主机, 可以将物理网卡分配给交换机上的上行链路 可以在 Distributed Switch 上一次为多个主机配置物理网卡 将 VMkernel 适配器迁移到 vsphere Distributed Switch 第 37 页, 如果想要仅使用 vsphere Distributed Switch 来处理 VMkernel 服务的流量, 并且不再需要其他标准交换机或 Distributed Switch 上的适配器, 请将 VMkernel 适配器迁移到 vsphere Distributed Switch 在 vsphere Distributed Switch 上创建 VMkernel 适配器第 37 页, 在与 Distributed Switch 关联的主机上创建 VMkernel 适配器, 以便向主机提供网络连接并处理 vsphere vmotion IP 存储 Fault Tolerance 日志记录和 Virtual SAN 的流量 可以通过使用添加和管理主机向导同时在多个主机上创建 VMkernel 适配器 将虚拟机网络迁移到 vsphere Distributed Switch 第 39 页, 要使用 Distributed Switch 管理虚拟机网络连接, 请将虚拟机网络适配器迁移到交换机上有标记的网络 使用主机作为模板为 vsphere Distributed Switch 创建统一的网络配置第 40 页, 如果您计划使多台主机拥有统一的网络配置, 则可选择其中一台主机作为模板, 并将其物理网卡和 VMkernel 适配器的配置应用到 Distributed Switch 上的其他主机 从 vsphere Distributed Switch 中移除主机第 41 页, 如果为主机配置了其他交换机, 则可以从 vsphere Distributed Switch 中移除主机 在 vsphere Distributed Switch 上管理主机网络的任务 您可以为 vsphere Distributed Switch 添加新主机 将网络适配器连接到交换机以及从交换机移除主机 在生产环境中, 当您管理 Distributed Switch 上的主机时, 可能需要保持虚拟机和 VMkernel 服务的网络连接有效 为 vsphere Distributed Switch 添加主机 在为 Distributed Switch 添加主机之前, 应考虑做好环境准备 为虚拟机网络创建分布式端口组 为 VMkernel 服务创建分布式端口组 例如, 为管理网络 vmotion 和 Fault Tolerance 创建分布式端口组 在 Distributed Switch 上为要连接交换机的所有物理网卡配置足够的上行链路 例如, 如果要连接 Distributed Switch 的每个主机都有八个物理网卡, 则在 Distributed Switch 上配置八个上行链路 确保为具有特殊网络要求的服务准备了 Distributed Switch 的配置 例如,iSCSI 对用来连接 iscsi VMkernel 适配器的分布式端口组的绑定和故障切换配置具有特殊要求 可以在 vsphere Web Client 中使用添加和管理主机向导一次添加多个主机 在 vsphere Distributed Switch 上管理网络适配器 为 Distributed Switch 添加主机后, 可以将物理网卡连接到交换机上的上行链路 配置虚拟机网络适配器以及管理 VMkernel 网络 如果 Distributed Switch 上的部分主机与数据中心内的其他主机关联, 可以将网络适配器迁移到 Distributed Switch, 或者从 Distributed Switch 中迁移出网络适配器 34 VMware, Inc.

35 第 3 章使用 vsphere Distributed Switch 设置网络连接 如果迁移虚拟机网络适配器或 VMkernel 适配器, 应确保目标分布式端口组至少有一个活动的上行链路, 并且该链路与主机上的物理网卡连接 另一个方法是同时迁移物理网卡 虚拟网络适配器和 VMkernel 适配器 如果迁移物理网卡, 至少应使一个网卡处于活动状态, 以处理端口组的流量 例如, 如果 vmnic0 和 vmnic1 处理 VM Network 端口组的流量, 则迁移 vmnic0, 并使 vmnic1 与该组保持连接 从 vsphere Distributed Switch 移除主机 从 Distributed Switch 移除主机之前, 必须将使用中的网络适配器迁移到不同的交换机 要在不同的 Distributed Switch 中添加主机, 可以使用添加和管理主机向导将主机上的所有网络适配器一起迁移到新的交换机 然后便可以从当前的 Distributed Switch 中安全地移除主机 要将主机网络迁移到标准交换机, 必须分阶段迁移网络适配器 例如, 使每个主机上的一个物理网卡与交换机保持连接以保证网络连接有效, 即可从 Distributed Switch 移除主机上的物理网卡 接着, 将物理网卡连接到标准交换机, 并将 VMkernel 适配器和虚拟机网络适配器迁移到交换机 最后, 将与 Distributed Switch 保持连接的物理网卡迁移到标准交换机 将主机添加到 vsphere Distributed Switch 要使用 vsphere Distributed Switch 管理 vsphere 环境的网络, 必须将主机与交换机关联 可以将主机的物理网卡 VMkernel 适配器和虚拟机网络适配器连接到 Distributed Switch 前提条件 验证 Distributed Switch 上有足够的可用上行链路, 可以分配给要连接交换机的物理网卡 确认在 Distributed Switch 上至少有一个分布式端口组 确认分布式端口组的绑定和故障切换策略中已配置了活动上行链路 如果为 iscsi 迁移或创建 VMkernel 适配器, 请确认目标分布式端口组的绑定和故障切换策略满足 iscsi 的要求 : 确认只有一个上行链路处于活动状态, 待机列表为空, 其余上行链路未被使用 确认每个主机只有一个物理网卡分配给活动上行链路 1 在 vsphere Web Client 中, 导航到 Distributed Switch 2 从操作菜单中, 选择添加和管理主机 3 在 选择任务 页面上, 选择添加主机, 然后单击下一步 4 在 选择主机 页面上, 单击新主机, 选择数据中心内的主机, 单击确定, 然后单击下一步 5 在 选择网络适配器任务 页面上, 选择配置 Distributed Switch 的网络适配器的任务, 然后单击下一步 6 在 管理物理网络适配器 页面上, 配置 Distributed Switch 上的物理网卡 a 从 其他交换机上 / 空闲 列表中选择一个物理网卡 b c 如果选择已经连接其他交换机的物理网卡, 这些物理网卡即迁移到当前的 Distributed Switch 上 单击分配上行链路 选择一个上行链路, 然后单击确定 为实现网络配置的一致性, 可以将每个主机上的一个相同的物理网卡与 Distributed Switch 上的相同的上行链路连接 例如, 如果要添加两个主机, 则将每个主机上的 vmnic1 与 Distributed Switch 上的 Uplink1 连接 7 单击下一步 VMware, Inc. 35

36 8 在 管理 VMkernel 网络适配器 页面上, 配置 VMkernel 适配器 a b 选择 VMkernel 适配器并单击分配端口组 选择分布式端口组, 然后单击确定 9 查看受影响的服务以及影响的程度 选项无影响重要影响严重影响 描述应用新的网络连接配置之后,iSCSI 将继续执行其常规功能 如果应用了新的网络连接配置, 则可能会中断 iscsi 的常规功能 如果应用了新的网络连接配置, 则将中断 iscsi 的常规功能 a b 如果 iscsi 受到的影响非常重要或严重, 请单击 iscsi 条目, 然后查看 分析详细信息 窗格中所显示的原因 排除对 iscsi 造成的影响之后, 请继续进行网络连接配置 10 单击下一步 11 在 迁移虚拟机网络 页面上, 配置虚拟机网络连接 a b c 要将某个虚拟机的所有网络适配器连接到分布式端口组, 请选择该虚拟机, 或者选择单个网络适配器以仅连接该适配器 单击分配端口组 从列表中选择一个分布式端口组, 然后单击确定 12 单击下一步, 然后单击完成 下一步 将主机与 Distributed Switch 关联后, 可以管理物理网卡 VMkernel 适配器和虚拟机网络适配器 在 vsphere Distributed Switch 上配置物理网络适配器 对于与 Distributed Switch 关联的主机, 可以将物理网卡分配给交换机上的上行链路 可以在 Distributed Switch 上一次为多个主机配置物理网卡 要确保所有主机的网络连接配置保持一致, 可以将每个主机上的相同物理网卡分配到 Distributed Switch 上的相同上行链路 例如, 可以将主机 ESXi A 和 ESXi B 中的 vmnic1 分配到 Uplink 1 1 在 vsphere Web Client 中, 导航到 Distributed Switch 2 从操作菜单中, 选择添加和管理主机 3 在选择任务中, 选择管理主机网络, 然后单击下一步 4 在选择主机中, 单击连接的主机, 然后从与 Distributed Switch 关联的主机中进行选择 5 单击下一步 6 在选择网络适配器任务中, 选择管理物理适配器, 然后单击下一步 7 在管理物理网络适配器中, 从 其他交换机上 / 空闲 列表中选择一个物理网卡 如果选择已分配到其他交换机的物理网卡, 请将其迁移至当前的 Distributed Switch 8 单击分配上行链路 9 选择一个上行链路或选择自动分配 10 单击下一步 36 VMware, Inc.

37 第 3 章使用 vsphere Distributed Switch 设置网络连接 11 查看受影响的服务以及影响的程度 选项无影响重要影响严重影响 描述应用新的网络连接配置之后,iSCSI 将继续执行其常规功能 如果应用了新的网络连接配置, 则可能会中断 iscsi 的常规功能 如果应用了新的网络连接配置, 则将中断 iscsi 的常规功能 a b 如果 iscsi 受到的影响非常重要或严重, 请单击 iscsi 条目, 然后查看 分析详细信息 窗格中所显示的原因 排除对 iscsi 造成的影响之后, 请继续进行网络连接配置 12 单击下一步, 然后单击完成 将 VMkernel 适配器迁移到 vsphere Distributed Switch 如果想要仅使用 vsphere Distributed Switch 来处理 VMkernel 服务的流量, 并且不再需要其他标准交换机或 Distributed Switch 上的适配器, 请将 VMkernel 适配器迁移到 vsphere Distributed Switch 1 在 vsphere Web Client 中, 导航到 Distributed Switch 2 从操作菜单中, 选择添加和管理主机 3 在选择任务中, 选择管理主机网络, 然后单击下一步 4 在选择主机中, 单击连接的主机, 然后从与 Distributed Switch 关联的主机中进行选择 5 单击下一步 6 在选择网络适配器任务中, 选择管理 VMkernel 适配器, 然后单击下一步 7 在管理 VMkernel 网络适配器中, 选择适配器并单击分配端口组 8 选择分布式端口组, 然后单击确定 9 单击下一步 10 查看受影响的服务以及影响的程度 选项无影响重要影响严重影响 描述应用新的网络连接配置之后,iSCSI 将继续执行其常规功能 如果应用了新的网络连接配置, 则可能会中断 iscsi 的常规功能 如果应用了新的网络连接配置, 则将中断 iscsi 的常规功能 a b 如果 iscsi 受到的影响非常重要或严重, 请单击 iscsi 条目, 然后查看 分析详细信息 窗格中所显示的原因 排除对 iscsi 造成的影响之后, 请继续进行网络连接配置 11 单击下一步, 然后单击完成 在 vsphere Distributed Switch 上创建 VMkernel 适配器 在与 Distributed Switch 关联的主机上创建 VMkernel 适配器, 以便向主机提供网络连接并处理 vsphere vmotion IP 存储 Fault Tolerance 日志记录和 Virtual SAN 的流量 可以通过使用添加和管理主机向导同时在多个主机上创建 VMkernel 适配器 应专门针对每个 VMkernel 适配器使用一个分布式端口组 一个 VMkernel 适配器应仅处理一种流量类型 VMware, Inc. 37

38 1 在 vsphere Web Client 中, 导航到 Distributed Switch 2 从操作菜单中, 选择添加和管理主机 3 在选择任务中, 选择管理主机网络, 然后单击下一步 4 在选择主机中, 单击连接的主机, 然后从与 Distributed Switch 关联的主机中进行选择 5 单击下一步 6 在选择网络适配器任务中, 选择管理 VMkernel 适配器, 然后单击下一步 7 单击新建适配器 此时会打开添加网络向导 8 在选择目标设备中, 选择一个分布式端口组, 然后单击下一步 9 在 端口属性 页面上, 配置 VMkernel 适配器的设置 选项网络标签 IP 设置 TCP/IP 堆栈 描述 网络标签从分布式端口组的标签继承 选择 IPv4 IPv6 或同时选择两者 注意在未启用 IPv6 的主机上,IPv6 选项不会显示 在列表中选择一个 TCP/IP 堆栈 为 VMkernel 适配器设置了 TCP/IP 堆栈后, 日后将不能再进行更改 如果选择 vmotion 或置备 TCP/IP 堆栈, 您将只能使用这些堆栈处理主机上的 vmotion 或置备流量 默认 TCP/IP 堆栈上所有适用于 vmotion 的 VMkernel 适配器将被禁止用于未来的 vmotion 会话 如果设置了置备 TCP/IP 堆栈, 将针对包括置备流量的操作 ( 如虚拟机冷迁移 克隆和快照迁移 ) 禁用默认 TCP/IP 堆栈上的 VMkernel 适配器 启用服务可以为主机上的默认 TCP/IP 堆栈启用服务 请从以下可用服务中选择 : vmotion 流量 允许 VMkernel 适配器向另一台主机播发声明, 自己就是发送 vmotion 流量所应使用的网络连接 如果未对默认 TCP/IP 堆栈上的任何 VMkernel 适配器启用 vmotion 服务, 或者根本不存在使用 vmotion TCP/IP 堆栈的适配器, 将不能使用 vmotion 迁移到选定的主机 置备流量 处理虚拟机冷迁移 克隆和快照迁移传输的数据 Fault Tolerance 流量 在主机上启用 Fault Tolerance 日志记录 对每台主机的 FT 流量只能使用一个 VMkernel 适配器 管理流量 为主机和 vcenter Server 启用管理流量 通常, 安装 ESXi 软件后, 主机将创建这样的 VMkernel 适配器 可以为主机上的管理流量创建其他 VMkernel 适配器以提供冗余 vsphere Replication 流量 处理从源 ESXi 主机发送到 vsphere Replication 服务器的出站复制数据 vsphere Replication NFC 流量 处理目标复制站点上的入站复制数据 Virtual SAN 在主机上启用 Virtual SAN 流量 属于 Virtual SAN 群集的每台主机都必须具有这样的 VMkernel 适配器 10 如果选择了 vmotion TCP/IP 或置备堆栈, 在显示的警告对话框中单击确定 如果实时迁移已启动, 即使已在默认 TCP/IP 堆栈上禁止将涉及的 VMkernel 适配器用于 vmotion, 该迁移也会成功完成 同样, 在默认 TCP/IP 堆栈上包括为置备流量设置的 VMkernel 适配器也是一样 38 VMware, Inc.

39 第 3 章使用 vsphere Distributed Switch 设置网络连接 11 ( 可选 ) 在 IPv4 设置 页面上, 选择用于获取 IP 地址的选项 选项 自动获取 IPv4 设置 使用静态 IPv4 设置 描述 使用 DHCP 获取 IP 设置 网络上必须存在 DHCP 服务器 输入 VMkernel 适配器的 IPv4 IP 地址和子网掩码 IPv4 的 VMkernel 默认网关和 DNS 服务器地址将从选定的 TCP/IP 堆栈中获取 如果要为 VMkernel 适配器指定其他网关, 请选中替代此适配器的默认网关复选框并输入网关地址 12 ( 可选 ) 在 IPv6 设置 页面上, 选择用于获取 IPv6 地址的选项 选项 通过 DHCP 自动获取 IPv6 地址 通过路由器播发自动获取 IPv6 地址 描述 使用 DHCP 获取 IPv6 地址 网络上必须存在 DHCPv6 服务器 使用路由器播发获取 IPv6 地址 在 ESXi 6.5 和更高版本中, 路由器播发在默认情况下处于启用状态, 并且支持符合 RFC 4861 的 M 和 O 标记 静态 IPv6 地址 a 单击添加 IPv6 地址以添加新的 IPv6 地址 b 输入 IPv6 地址和子网前缀长度, 然后单击确定 c 要更改 VMkernel 默认网关, 请单击替代此适配器的默认网关 IPv6 的 VMkernel 默认网关地址将从选定的 TCP/IP 堆栈中获取 13 检查 即将完成 页面上的设置选项, 然后单击完成 14 按照提示完成向导 将虚拟机网络迁移到 vsphere Distributed Switch 要使用 Distributed Switch 管理虚拟机网络连接, 请将虚拟机网络适配器迁移到交换机上有标记的网络 前提条件验证 Distributed Switch 上是否至少有一个适用于虚拟机网络连接的分布式端口组 1 在 vsphere Web Client 中, 导航到 Distributed Switch 2 从操作菜单中, 选择添加和管理主机 3 在选择任务中, 选择管理主机网络, 然后单击下一步 4 在选择主机中, 单击连接的主机, 然后从与 Distributed Switch 关联的主机中进行选择 5 单击下一步 6 在选择网络适配器任务中, 选择迁移虚拟机网络, 然后单击下一步 7 为 Distributed Switch 配置虚拟机网络适配器 a b c 要将某个虚拟机的所有网络适配器连接到分布式端口组, 请选择该虚拟机, 或者选择单个网络适配器以仅连接该适配器 单击分配端口组 从列表中选择一个分布式端口组, 然后单击确定 8 单击下一步, 然后单击完成 VMware, Inc. 39

40 使用主机作为模板为 vsphere Distributed Switch 创建统一的网络配置 如果您计划使多台主机拥有统一的网络配置, 则可选择其中一台主机作为模板, 并将其物理网卡和 VMkernel 适配器的配置应用到 Distributed Switch 上的其他主机 1 在 vsphere Web Client 中, 导航到 Distributed Switch 2 从操作菜单中, 选择添加和管理主机 3 选择管理主机网络的任务, 然后单击下一步 4 选择要在 Distributed Switch 上添加或进行管理的主机 5 在对话框的底部, 选择在多个主机上配置相同的网络设置, 然后单击下一步 6 选择要用作模板的主机, 然后单击下一步 7 选择网络适配器任务, 然后单击下一步 8 在 管理物理网络适配器 和 管理 VMkernel 网络适配器 页面上, 对模板主机进行所需的配置更改, 然后针对所有其他主机单击应用于全部 9 在 即将完成 页面上, 单击完成 示例 : 使用模板主机配置物理适配器和 VMkernel 适配器 使用添加和管理主机向导中的模板主机模式在 Distributed Switch 上的所有主机之间创建统一的网络配置 在向导的 管理物理网络适配器 页面上, 将一个物理网卡分配给模板主机上的上行链路, 然后单击应用于全部以便在其他主机上创建相同的配置 图 3 4 使用模板主机在 vsphere Distributed Switch 上应用物理网卡配置 在 管理 VMkernel 网络适配器 页面, 向端口组分配一个 VMkernel 适配器, 并单击应用于全部以向其他主机应用相同的配置 40 VMware, Inc.

41 第 3 章使用 vsphere Distributed Switch 设置网络连接 单击应用于全部按钮后, 目标 VMkernel 适配器同时具有 已修改 和 已重新分配 限定符 之所以显示 已修改 限定符是因为, 单击应用于全部按钮后,vCenter Server 会将模板 VMKernel 适配器的配置规范复制到目标 VMkernel 适配器, 即使模板适配器和目标适配器的配置完全相同也是如此 因此, 目标适配器总是会被修改 图 3 5 使用模板主机在 vsphere Distributed Switch 上应用 VMkernel 适配器配置 从 vsphere Distributed Switch 中移除主机 如果为主机配置了其他交换机, 则可以从 vsphere Distributed Switch 中移除主机 前提条件 确认将目标主机上的物理网卡迁移到其他交换机 确认将主机上的 VMkernel 适配器迁移到其他交换机 确认将虚拟机网络适配器迁移到其他交换机 有关将网络适配器迁移到其他交换机的详细信息, 请参见第 34 页, 在 vsphere Distributed Switch 上管理主机网络的任务 1 在 vsphere Web Client 中, 导航到 Distributed Switch 2 从操作菜单中, 选择添加和管理主机 3 选择移除主机, 然后单击下一步 4 选择要移除的主机, 然后单击下一步 5 单击完成 VMware, Inc. 41

42 在主机代理交换机上管理网络连接 您可以更改与 vsphere Distributed Switch 关联的各个主机上的代理交换机的配置 您可以管理物理网卡 VMkernel 适配器和虚拟机网络适配器 有关在主机代理交换机上设置 VMkernel 网络的详细信息, 请参见第 37 页, 在 vsphere Distributed Switch 上创建 VMkernel 适配器 将主机上的网络适配器迁移到 vsphere Distributed Switch 对于与 Distributed Switch 关联的主机, 可以将网络适配器从标准交换机迁移至 Distributed Switch 可以同时迁移物理网卡 VMkernel 适配器和虚拟机网络适配器 如果迁移虚拟机网络适配器或 VMkernel 适配器, 应确保目标分布式端口组至少有一个活动的上行链路, 并且该链路与此主机上的物理网卡连接 或者, 也可以同时迁移物理网卡 虚拟网络适配器和 VMkernel 适配器 要迁移物理网卡, 请确保标准交换机上的源端口组至少具有一个物理网卡以处理其流量 例如, 如果要迁移分配给虚拟机网络的端口组的物理网卡, 请确保该端口组至少连接到一个物理网卡 否则, 标准交换机上同一 VLAN 中的虚拟机将相互连接, 但与外部网络之间无连接 1 在 vsphere Web Client 中, 导航到主机 2 在配置选项卡上, 展开网络, 然后选择虚拟交换机 3 选择目标 Distributed Switch, 然后单击将物理网络适配器或虚拟网络适配器迁移到此 Distributed Switch 4 选择迁移网络适配器的任务, 然后单击下一步 5 配置物理网卡 a b c 从其他交换机上 / 空闲列表中, 选择一个物理网卡, 然后单击分配上行链路 选择一个上行链路, 然后单击确定 单击下一步 6 配置 VMkernel 适配器 a b 选择一个适配器, 然后单击分配端口组 选择分布式端口组, 然后单击确定 一次应将一个 VMkernel 适配器连接到一个分布式端口组 c 单击下一步 7 检查受新网络配置影响的服务 a 如果某个服务中报告了重要的或严重的影响, 请单击该服务并检查分析详细信息 例如, 可能会报告 iscsi 上由迁移 iscsi VMkernel 适配器的分布式端口组上不正确的绑定和故障切换配置导致的重要影响 必须在分布式端口组的绑定和故障切换顺序中保留一个活动的上行链路, 将备用列表保留为空, 并将其余的上行链路移至未使用 b 对受影响的服务造成的任何影响进行故障排除后, 单击下一步 42 VMware, Inc.

43 第 3 章使用 vsphere Distributed Switch 设置网络连接 8 配置虚拟机网络适配器 a 选择一个虚拟机或虚拟机网络适配器, 然后单击分配端口组 如果选择虚拟机, 则应迁移虚拟机上的所有网络适配器 如果选择网络适配器, 则只需迁移此网络适配器 b c 从列表中选择一个分布式端口组, 然后单击确定 单击下一步 9 在 即将完成 页上, 检查新网络配置并单击完成 将主机上的 VMkernel 适配器迁移到 vsphere 标准交换机 如果主机与 Distributed Switch 关联, 则可以将 VMkernel 适配器从 Distributed Switch 迁移到标准交换机 有关在 vsphere Distributed Switch 上创建 VMkernel 适配器的详细信息, 请参见第 37 页, 在 vsphere Distributed Switch 上创建 VMkernel 适配器 前提条件 确认目标标准交换机至少有一个物理网卡 1 在 vsphere Web Client 中, 导航到主机 2 在配置选项卡上, 展开网络, 然后选择虚拟交换机 3 在列表中选择目标标准交换机 4 单击将 VMkernel 网络适配器迁移到选定交换机 5 在 选择 VMkernel 网络适配器 页面上, 在列表中选择要迁移到标准交换机的虚拟网络适配器 6 在 配置设置 页面上, 编辑网络适配器的网络标签和 VLAN ID 7 在 即将完成 页面上, 检查迁移详细信息, 然后单击完成 单击上一步以编辑设置 将主机的物理网卡分配给 vsphere Distributed Switch 您可以将与 Distributed Switch 关联的主机的物理网卡分配给主机代理交换机上的上行链路端口 1 在 vsphere Web Client 中, 导航到主机 2 在配置选项卡上, 展开网络, 然后选择虚拟交换机 3 从列表中选择 Distributed Switch 4 单击管理已连接到选定交换机的物理网络适配器图标 5 从列表中选择一个空闲的上行链路, 然后单击添加适配器 6 选择物理网卡, 然后单击确定 从 vsphere Distributed Switch 移除物理网卡 您可以从 vsphere Distributed Switch 的上行链路中移除主机的物理网卡 1 在 vsphere Web Client 中, 导航到主机 VMware, Inc. 43

44 2 在配置选项卡上, 展开网络, 然后选择虚拟交换机 3 选择 Distributed Switch 4 单击管理已连接到选定交换机的物理网络适配器图标 5 选择上行链路, 然后单击移除选定适配器 6 单击确定 下一步 从活动虚拟机中移除物理网卡时, 可能会看到 vsphere Web Client 中报告已移除的网卡 请参见第 44 页, 从活动虚拟机中移除网卡 从活动虚拟机中移除网卡 从活动虚拟机中移除网卡时, 可能仍会看到 vsphere Web Client 中已移除的网卡 从未安装客户机操作系统的活动虚拟机中移除网卡 不能从未安装任何操作系统的活动虚拟机中移除网卡 vsphere Web Client 可能会报告网卡已被移除, 但是您看到它仍然附加在虚拟机上 从已安装客户机操作系统的活动虚拟机中移除网卡 可以从活动虚拟机中移除网卡, 但有时这可能不会报告给 vsphere Web Client 如果您单击虚拟机的编辑设置, 可能会看到被移除的网卡仍被列出, 即便移除任务已完成 虚拟机的 编辑设置 对话框不会立即显示移除的网卡 如果虚拟机的客户机操作系统不支持热移除网卡, 则您可能仍会看到网卡附加在虚拟机上 分布式端口组 分布式端口组为 vsphere Distributed Switch 上的每个成员端口指定端口配置选项 分布式端口组可定义连接到网络的方式 添加分布式端口组 将分布式端口组添加到 vsphere Distributed Switch 以为虚拟机创建 Distributed Switch 网络并关联 VMkernel 适配器 1 在 vsphere Web Client 中, 导航到 Distributed Switch 2 右键单击 Distributed Switch, 然后选择分布式端口组 > 新建分布式端口组 3 在 选择名称和位置 页面上, 键入新分布式端口组的名称, 或接受生成的名称, 然后单击下一步 44 VMware, Inc.

45 第 3 章使用 vsphere Distributed Switch 设置网络连接 4 在 配置设置 页面上, 设置新分布式端口组的常规属性, 然后单击下一步 设置 端口绑定 描述 选择将端口分配到与该分布式端口组相连的虚拟机的时间 静态绑定 : 虚拟机连接到分布式端口组后, 为该虚拟机分配一个端口 动态绑定 : 虚拟机连接到分布式端口组后首次打开该虚拟机的电源时, 为该虚拟机分配一个端口 自 ESXi 5.0 开始, 已弃用动态绑定 极短 - 无绑定 : 无端口绑定 此外, 连接到主机时, 还可以将虚拟机分配给带有极短端口绑定的分布式端口组 端口分配 弹性 : 默认端口数为 8 个 分配了所有端口后, 将创建一组新的 8 个端口 这是默认行为 端口数 网络资源池 固定 : 默认端口数设置为 8 个 分配了所有端口后, 不会创建额外端口 输入分布式端口组上的端口数 使用下拉菜单将新的分布式端口组分配给用户定义的网络资源池 如果尚未创建网络资源池, 则此菜单为空 VLAN 使用 VLAN 类型下拉菜单选择 VLAN 选项 : 高级 无 : 不使用 VLAN VLAN: 在 VLAN ID 字段中, 输入一个介于 1 和 4094 之间的数字 VLAN 中继 : 输入 VLAN 中继范围 专用 VLAN: 选择专用 VLAN 条目 如果未创建任何专用 VLAN, 则此菜单为空 选中该复选框可为新的分布式端口组自定义策略配置 5 ( 可选 ) 在 安全 页面上, 编辑安全异常, 然后单击下一步 设置 描述 混杂模式 拒绝 在客户机操作系统中将适配器置于混杂模式不会导致接收其他虚拟机的帧 接受 如果在客户机操作系统中将适配器置于混杂模式, 则交换机将允许客户机适配器按照该适配器所连接到的端口上的活动 VLAN 策略接收在交换机上传递的所有帧 防火墙 端口扫描程序 入侵检测系统等需要在混杂模式下运行 MAC 地址更改 拒绝 如果将此选项设置为拒绝, 并且客户机操作系统将适配器的 MAC 地址更改为不同于.vmx 配置文件中的地址, 则交换机会丢弃所有到虚拟机适配器的入站帧 如果客户机操作系统恢复 MAC 地址, 则虚拟机将再次收到帧 接受 如果客户机操作系统更改了网络适配器的 MAC 地址, 则适配器会将帧接收到其新地址 伪信号 拒绝 如果任何出站帧的源 MAC 地址不同于.vmx 配置文件中的源 MAC 地址, 则交换机会丢弃该出站帧 接受 交换机不执行筛选, 允许所有出站帧通过 6 ( 可选 ) 在 流量调整 页面上, 启用或禁用 输入流量调整 或 输出流量调整, 然后单击下一步 设置 状态 平均带宽 描述 如果启用输入流量调整或输出流量调整, 将为与该特定端口组关联的每个虚拟适配器设置网络连接带宽分配量的限制 如果禁用策略, 则在默认情况下, 服务将能够自由 顺畅地连接物理网络 规定某段时间内允许通过端口的平均每秒位数 这是允许的平均负载 VMware, Inc. 45

46 设置 峰值带宽 突发大小 描述 当端口发送和接收流量突发时, 每秒钟允许通过该端口的最大位数 此数值是端口使用额外突发时所能使用的最大带宽 突发中所允许的最大字节数 如果设置了此参数, 则在端口没有使用为其分配的所有带宽时可能会获取额外的突发 当端口所需带宽大于平均带宽所指定的值时, 如果有额外突发可用, 则可能会临时以更高的速度传输数据 此参数为额外突发中可累积的最大字节数, 使数据能以更高速度传输 7 ( 可选 ) 在 绑定和故障切换 页面上, 编辑设置, 然后单击下一步 设置负载平衡网络故障检测通知交换机故障恢复故障切换顺序 描述 指定如何选择上行链路 基于源虚拟端口的路由 根据流量进入 Distributed Switch 所经过的虚拟端口选择上行链路 基于 IP 哈希的路由 根据每个数据包的源和目标 IP 地址哈希值选择上行链路 对于非 IP 数据包, 偏移量中的任何值都将用于计算哈希值 基于源 MAC 哈希的路由 根据源以太网哈希值选择上行链路 基于物理网卡负载的路由 根据物理网卡的当前负载选择上行链路 使用明确故障切换顺序 始终使用 活动适配器 列表中位于最前列的符合故障切换检测标准的上行链路 注意基于 IP 的绑定要求为物理交换机配置以太通道 对于所有其他选项, 禁用以太通道 指定用于故障切换检测的方法 仅链路状态 仅依靠网络适配器提供的链路状态 该选项可检测故障 ( 如拨掉线缆和物理交换机电源故障 ), 但无法检测配置错误 ( 如物理交换机端口受跨树阻止 配置到了错误的 VLAN 中或者拔掉了物理交换机另一端的线缆 ) 信标探测 发出并侦听组中所有网卡上的信标探测, 使用此信息并结合链路状态来确定链接故障 该选项可检测上述许多仅通过链路状态无法检测到的故障 注意不要使用包含 IP 哈希负载平衡的信标探测 选择是或否指定发生故障切换时是否通知交换机 如果选择是, 则每当虚拟网卡连接到 Distributed Switch 或虚拟网卡的流量因故障切换事件而由网卡组中的其他物理网卡路由时, 都将通过网络发送通知以更新物理交换机的查看表 几乎在所有情况下, 为了使出现故障切换以及通过 vmotion 迁移时的延迟最短, 最好使用此过程 注意当使用端口组的虚拟机正在以单播模式使用 Microsoft 网络负载平衡时, 请勿使用此选项 以多播模式运行网络负载平衡时不存在此问题 选择是或否以禁用或启用故障恢复 此选项确定物理适配器从故障恢复后如何返回到活动的任务 如果故障恢复设置为是 ( 默认值 ), 则适配器将在恢复后立即返回到活动任务, 并取代接替其位置的备用适配器 ( 如果有 ) 如果故障恢复设置为否, 那么, 即使发生故障的适配器已经恢复, 它仍将保持非活动状态, 直到当前处于活动状态的另一个适配器发生故障并要求替换为止 指定如何分布上行链路的工作负载 要使用一部分上行链路, 保留另一部分来应对使用的上行链路发生故障时的紧急情况, 请通过将它们移到不同的组来设置此条件 : 活动上行链路 当网络适配器连接正常且处于活动状态时, 继续使用此上行链路 备用上行链路 如果其中一个活动适配器的连接中断, 则使用此上行链路 未使用的上行链路 不使用此上行链路 注意当使用 IP 哈希负载平衡时, 不要配置待机上行链路 46 VMware, Inc.

47 第 3 章使用 vsphere Distributed Switch 设置网络连接 8 ( 可选 ) 在 监控 页面上, 启用或禁用 NetFlow, 然后单击下一步 设置 描述 已禁用在分布式端口组上禁用了 NetFlow 已启用 在分布式端口组上启用了 NetFlow 可以在 vsphere Distributed Switch 级别配置 NetFlow 设置 9 ( 可选 ) 在 其他 页面上, 选择是或否, 然后单击下一步 选择是可关闭端口组中的所有端口 该操作可能中断正在使用这些端口的主机或虚拟机的正常网络操作 10 ( 可选 ) 在 编辑其他设置 页面上, 添加对端口组的描述并设置每个端口的任何策略替代项, 然后单击下一步 11 在 即将完成 页面上, 检查设置, 然后单击完成 单击上一步按钮可更改任何设置 编辑常规分布式端口组设置 可以编辑常规分布式端口组设置, 例如分布式端口组名称 端口设置和网络资源池 1 在 vsphere Web Client 中找到分布式端口组 a b 选择 Distributed Switch, 然后单击网络选项卡 单击分布式端口组 2 右键单击分布式端口组, 然后选择编辑设置 3 选择常规以编辑下面的分布式端口组设置 选项 名称 端口绑定 描述 分布式端口组的名称 您可在文本字段中编辑名称 选择将端口分配到与该分布式端口组相连的虚拟机的时间 静态绑定 : 虚拟机连接到分布式端口组后, 为该虚拟机分配一个端口 动态绑定 : 在虚拟机连接到分布式端口组后首次打开该虚拟机的电源时, 为该虚拟机分配一个端口 自 ESXi 5.0 开始, 已弃用动态绑定 极短 : 无端口绑定 此外, 连接到主机时, 还可以将虚拟机分配给带有极短端口绑定的分布式端口组 端口分配 弹性 : 默认端口数设置为八个 分配了所有端口后, 将创建一组新的 8 个端口 这是默认行为 固定 : 默认端口数设置为 8 个 分配了所有端口后, 不会创建额外端口 端口数 网络资源池 描述 输入分布式端口组上的端口数 使用下拉菜单将新的分布式端口组分配给用户定义的网络资源池 如果尚未创建网络资源池, 则此菜单为空 请在描述字段中输入有关分布式端口组的信息 4 单击确定 VMware, Inc. 47

48 在端口级别配置替代网络策略 要对分布式端口应用不同的策略, 您可以配置在端口组级别设置的每个端口替代策略 当分布式端口与虚拟机断开连接时, 您也可以启用重置在每个端口级别设置的任何配置 1 在 vsphere Web Client 中找到分布式端口组 a b 选择 Distributed Switch, 然后单击网络选项卡 单击分布式端口组 2 右键单击分布式端口组, 然后选择编辑设置 3 选择高级页面 选项 断开连接时配置重置 替代端口策略 描述 从下拉菜单中启用或禁用断开连接时重置 当分布式端口与虚拟机断开连接时, 分布式端口的配置重置为分布式端口组设置 每个端口的替代都会被丢弃 选择要在每个端口级别替代的分布式端口组策略 4 ( 可选 ) 使用策略页面设置每个端口策略的替代 5 单击确定 移除分布式端口组 当您不再需要相应的有标记网络时, 请移除分布式端口组, 以便为虚拟机或 VMkernel 网络提供连接及配置连接设置 前提条件 验证已将连接到相应有标记网络的所有虚拟机迁移到其他有标记网络 验证已将连接到分布式端口组的所有 VMkernel 适配器迁移到其他端口组, 或已将其删除 1 在 vsphere Web Client 中找到分布式端口组 a b 选择 Distributed Switch, 然后单击网络选项卡 单击分布式端口组 2 选择分布式端口组 3 在操作菜单中, 选择删除 使用分布式端口 分布式端口是连接到 VMkernel 或虚拟机的网络适配器的 vsphere Distributed Switch 上的一个端口 默认分布式端口配置是由分布式端口组设置确定的, 但可以替代各个分布式端口的某些设置 48 VMware, Inc.

49 第 3 章使用 vsphere Distributed Switch 设置网络连接 监控分布式端口的状况 vsphere 可以监控分布式端口并提供关于每个端口的当前状况和运行时统计信息 1 在 vsphere Web Client 中找到分布式端口组 a b 选择 Distributed Switch, 然后单击网络选项卡 单击分布式端口组 2 双击分布式端口组 3 单击端口选项卡, 然后从列表中选择端口 4 单击开始监控端口状况图标 分布式端口组的端口表将显示每个分布式端口的运行时统计信息 状况列会显示每个分布式端口的当前状况 选项 描述 已连接 此分布式端口的链接已打开 已断开 此分布式端口的链接已关闭 已阻止 此分布式端口已阻止 -- 当前此分布式端口的状况不可用 配置分布式端口设置 可以更改分布式端口的常规设置, 如端口名称和描述 1 在 vsphere Web Client 中找到分布式端口组 a b 选择 Distributed Switch, 然后单击网络选项卡 单击分布式端口组 2 在列表中双击一个分布式端口组 3 单击端口选项卡, 然后从表中选择分布式端口 有关分布式端口的信息会显示在屏幕底部 4 单击编辑分布式端口设置图标 5 在 属性 页面和策略页面上, 编辑有关分布式端口的信息, 然后单击确定 如果不允许替代项, 则策略选项将处于禁用状态 您可以通过更改分布式端口组的高级设置允许端口级别的替代项 请参见第 48 页, 在端口级别配置替代网络策略 VMware, Inc. 49

50 在 vsphere Distributed Switch 上配置虚拟机网络连接 可以通过配置单个虚拟机网卡, 或通过从 vsphere Distributed Switch 自身迁移多组虚拟机, 将虚拟机连接到 vsphere Distributed Switch 通过将虚拟机关联的虚拟网络适配器连接到分布式端口组, 可以将虚拟机连接到 vsphere Distributed Switch 对于单个虚拟机, 可以通过修改虚拟机的网络适配器配置来完成 ; 对于虚拟机组, 可以通过将虚拟机从现有虚拟网络迁移到 vsphere Distributed Switch 来完成 将虚拟机迁入或迁出 vsphere Distributed Switch 除了在单个虚拟机级别将虚拟机连接到 Distributed Switch 以外, 还可以在 vsphere Distributed Switch 网络和 vsphere 标准交换机网络之间迁移一组虚拟机 1 在 vsphere Web Client 中, 导航到数据中心 2 在导航器中右键单击数据中心, 然后选择将虚拟机迁移到其他网络 3 选择源网络 选择特定网络并使用浏览按钮选择一个特定源网络 选择无网络可迁移未连接到任何其他网络的所有虚拟机网络适配器 4 使用浏览选择一个目标网络, 然后单击下一步 5 从列表中选择要从源网络迁移到目标网络的虚拟机, 然后单击下一步 6 检查选择内容, 然后单击完成 单击上一步以编辑任何选择 将单个虚拟机连接到分布式端口组 通过修改虚拟机的网卡配置, 可将单个虚拟机连接到 vsphere Distributed Switch 1 在 vsphere Web Client 中找到虚拟机 a b 选择数据中心 文件夹 群集 资源池或主机, 然后单击虚拟机选项卡 单击虚拟机, 然后从列表中双击虚拟机 2 在虚拟机的配置选项卡上, 展开设置, 然后选择虚拟机硬件 3 单击编辑 4 展开网络适配器部分, 并从网络适配器下拉菜单选择显示更多网络 5 在 选择网络 对话框中, 选择一个分布式端口组, 然后单击确定 6 单击确定 vsphere Web Client 中的 vsphere Distributed Switch 拓扑图 vsphere Web Client 中的 vsphere Distributed Switch 拓扑图显示了交换机中虚拟机适配器 VMkernel 适配器和物理适配器的结构 您可以检查端口组中排列的组件 ( 其流量由交换机进行处理 ) 以及这些组件之间的连接 此拓扑图显示了有关将虚拟适配器连接到外部网络的物理适配器的信息 50 VMware, Inc.

51 第 3 章使用 vsphere Distributed Switch 设置网络连接 您可以查看在整个 Distributed Switch 上以及在加入此 Distributed Switch 的每台主机上运行的组件 有关可从 vsphere Distributed Switch 拓扑图执行的操作, 请观看视频 使用 VDS 拓扑图处理虚拟网络连接 ( bctid=ref:video_using_vds_topology_diagram) 中心拓扑图 您可使用交换机的中心拓扑图找到并编辑与多个主机关联的分布式端口组和上行链路组的设置 可以启动将虚拟机适配器从端口组迁移到相同或其他交换机上的目标位置的操作 此外, 还可以使用添加和管理主机向导重新组织交换机上的主机及其网络 主机代理交换机的拓扑图 主机代理交换机的拓扑图显示了连接到主机上的交换机端口的适配器 您可以编辑 VMkernel 适配器和物理适配器的设置 图表筛选器 您可使用图表筛选器来限制拓扑图中显示的信息 默认筛选器将限制拓扑图只显示 32 个端口组 32 台主机和 1024 台虚拟机 不使用任何筛选器或应用自定义筛选器可更改图表的范围 通过使用自定义筛选器, 您可以查看仅与某一组虚拟机 特定主机上的某一组端口组或某一端口相关的信息 您可以通过 Distributed Switch 的中心拓扑图创建筛选器 查看 vsphere Distributed Switch 的拓扑 在 vcenter Server 中检查跨主机连接 Distributed Switch 的组件的组织 1 导航至 vsphere Web Client 中的 vsphere Distributed Switch 2 在配置选项卡上, 展开设置, 然后选择拓扑 默认情况下, 此图最多显示 32 个分布式端口组 32 个主机和 1024 个虚拟机 示例 : 将 VMkernel 和虚拟机连接网络的 Distributed Switch 图 在您的虚拟环境中,vSphere Distributed Switch 为 vsphere vmotion 和管理网络处理 VMkernel 适配器以及分组的虚拟机 可以使用中心拓扑图来检查虚拟机或 VMkernel 适配器是否连接到外部网络, 并确定承载数据的物理适配器 VMware, Inc. 51

52 图 3 6 处理 VMkernel 和虚拟机网络连接的 Distributed Switch 的拓扑图 下一步 可以执行 Distributed Switch 的拓扑中的下列常见任务 : 使用筛选器仅查看特定主机上选定的端口组 选择的虚拟机或端口的网络连接组件 使用迁移虚拟机网络向导在主机和端口组之间查找 配置和迁移虚拟机网络连接组件 使用迁移虚拟机网络向导检测未向其分配网络的虚拟机适配器, 并将这些虚拟机适配器移至选定的端口组 使用添加和管理主机向导处理多个主机上的网络连接组件 查看承载与选定的虚拟机适配器或 VMkernel 适配器关联的流量的物理网卡或网卡组 通过此方法, 还可以查看驻留选定 VMkernel 适配器的主机 选择适配器, 跟踪到关联的物理网卡的路由, 并查看位于网卡旁边的 IP 地址或域名称 确定端口组的 VLAN 模式和 ID 有关 VLAN 模式的信息, 请参见第 119 页, VLAN 配置 查看主机代理交换机的拓扑 检查并重新组织 vsphere Distributed Switch 在主机上处理的 VMkernel 和虚拟机的网络连接 1 在 vsphere Web Client 中, 导航到主机 2 在配置选项卡上, 展开网络, 然后选择虚拟交换机 3 从列表中选择 Distributed Switch 主机代理交换机的拓扑会显示在列表下方 52 VMware, Inc.

53 设置 VMkernel 网络 4 可设置 VMkernel 适配器向主机提供网络连接并接受 vmotion IP 存储器 Fault Tolerance 日志记录 Virtual SAN 等服务的系统流量 VMkernel 网络层第 54 页, VMkernel 网络层提供与主机的连接, 并处理 vsphere vmotion IP 存储 Fault Tolerance Virtual SAN 等其他服务的标准系统流量 您还可以在源和目标 vsphere Replication 主机上创建 VMkernel 适配器, 以隔离复制数据流量 查看有关主机上的 VMkernel 适配器的信息第 55 页, 您可以查看每个 VMkernel 适配器的已分配的服务 关联的交换机 端口设置 IP 设置 TCP/IP 堆栈 VLAN ID 和策略 在 vsphere 标准交换机上创建 VMkernel 适配器第 56 页, 在 vsphere 标准交换机上创建 VMkernel 网络适配器, 可为主机提供网络连接并处理 vsphere vmotion IP 存储 Fault Tolerance 日志记录 Virtual SAN 等服务的系统流量 您还可以在源和目标 vsphere Replication 主机上创建 VMkernel 适配器, 以隔离复制数据流量 将 VMkernel 适配器专用于一种流量类型 在与 vsphere Distributed Switch 关联的主机上创建 VMkernel 适配器第 58 页, 在与 Distributed Switch 关联的主机上创建 VMkernel 适配器, 可向主机提供网络连接并处理 vsphere vmotion IP 存储 Fault Tolerance 日志记录 Virtual SAN 等服务的流量 您可为 vsphere 标准交换机和 vsphere Distributed Switch 上的标准系统流量设置 VMkernel 适配器 编辑 VMkernel 适配器配置第 59 页, 您可能需要更改 VMkernel 适配器所支持的流量类型或者 IPv4 或 IPv6 地址的获取方式 替代 VMkernel 适配器的默认网关第 60 页, 可能需要替代 VMkernel 适配器的默认网关, 以便为 vmotion Fault Tolerance 日志记录和 Virtual SAN 等服务提供不同的网关 使用 ESXCLI 配置 VMkernel 适配器网关第 61 页, 可替代 VMkernel 适配器的默认网络, 以便为 vmotion Fault Tolerance 日志记录和 Virtual SAN 之类的服务提供不同的网关 查看主机上的 TCP/IP 堆栈配置第 61 页, 您可查看主机上 TCP/IP 堆栈的 DNS 和路由配置 还可查看 IPv4 和 IPv6 路由表 拥堵控制算法和允许的最大连接数 更改主机上的 TCP/IP 堆栈配置第 61 页, 您可更改主机上 TCP/IP 堆栈的 DNS 和默认路由配置 还可更改自定义 TCP/IP 堆栈的拥堵控制算法 最大连接数和名称 VMware, Inc. 53

54 创建自定义 TCP/IP 堆栈第 62 页, 可以在主机上创建一个自定义 TCP/IP 堆栈通过自定义应用程序转发网络流量 移除 VMkernel 适配器第 62 页, 不再需要 VMkernel 适配器时, 请从 vsphere Distributed Switch 或标准交换机中移除该适配器 确保在主机上至少保留一个用于管理流量的 VMkernel 适配器, 以保持网络连接不中断 VMkernel 网络层 VMkernel 网络层提供与主机的连接, 并处理 vsphere vmotion IP 存储 Fault Tolerance Virtual SAN 等其他服务的标准系统流量 您还可以在源和目标 vsphere Replication 主机上创建 VMkernel 适配器, 以隔离复制数据流量 VMkernel 级别的 TCP/IP 堆栈 默认 TCP/IP 堆栈 vmotion TCP/IP 堆栈置备 TCP/IP 堆栈自定义 TCP/IP 堆栈 为 vcenter Server 与 ESXi 主机之间的管理流量和 vmotion IP 存储 Fault Tolerance 等服务的系统流量提供网络支持 为虚拟机实时迁移的流量提供支持 使用 vmotion TCP/IP 可以为 vmotion 流量提供更好的隔离 在 vmotion TCP/IP 堆栈上创建 VMkernel 适配器后, 只能将此堆栈用于此主机上的 vmotion 默认 TCP/IP 堆栈上的 VMkernel 适配器对于 vmotion 服务均处于禁用状态 如果某个实时迁移使用默认 TCP/IP 堆栈, 而您却使用 vmotion TCP/IP 堆栈配置了 VMkernel 适配器时, 迁移会成功完成 但是, 默认 TCP/IP 堆栈上的 VMkernel 适配器对于未来 vmotion 会话将处于禁用状态 支持虚拟机冷迁移 克隆和快照迁移的流量 在远距离 vmotion 期间, 可以使用置备 TCP/IP 处理网络文件复制 (Network File Copy, NFC) 流量 NFC 为 vsphere 提供文件特定的 FTP 服务 ESXi 使用 NFC 在数据存储之间复制和移动数据 使用置备 TCP/IP 堆栈配置的 VMkernel 适配器会处理在长途 vmotion 中克隆已迁移虚拟机的虚拟磁盘的流量 置备 TCP/IP 堆栈可用于隔离单独网关上克隆操作的流量 使用置备 TCP/IP 堆栈配置 VMkernel 适配器后, 默认 TCP/IP 堆栈上的所有适配器对于置备流量均处于禁用状态 您可以添加 VMkernel 级别的自定义 TCP/IP 堆栈, 并通过自定义应用程序处理网络流量 确保系统流量安全 采取适当的安全措施来防止对 vsphere 环境中的管理和系统的未授权访问 例如, 在仅包括参与迁移的 ESXi 主机的单独网络中隔离 vmotion 流量 在只有网络和安全管理员能够访问的网络中隔离管理流量 有关详细信息, 请参见 vsphere 安全性 和 vsphere 安装和设置 54 VMware, Inc.

55 第 4 章设置 VMkernel 网络 系统流量类型 专门针对每种流量类型使用单独的 VMkernel 适配器 对于 Distributed Switch, 专门针对每个 VMkernel 适配器使用单独的分布式端口组 管理流量 vmotion 流量 承载着 ESXi 主机和 vcenter Server 以及主机对主机 High Availability 流量的配置和管理通信 默认情况下, 在安装 ESXi 软件时, 会在主机上为管理流量创建 vsphere 标准交换机以及 VMkernel 适配器 为提供冗余, 可以将两个或更多个物理网卡连接到 VMkernel 适配器以进行流量管理 容纳 vmotion 源主机和目标主机上都需要一个用于 vmotion 的 VMkernel 适配器 将用于 vmotion 的 VMkernel 适配器配置为仅处理 vmotion 流量 为了实现更好的性能, 可以配置多网卡 vmotion 要拥有多网卡 vmotion, 可以将两个或更多端口组专门用于 vmotion 流量, 每个端口组必须分别有一个与其关联的 vmotion VMkernel 适配器 然后可以将一个或多个物理网卡连接到每个端口组 这样, 有多个物理网卡用于 vmotion, 从而可以增加带宽 注意 vmotion 网络流量未加密 应置备安全专用网络, 仅供 vmotion 使用 置备流量 IP 存储流量和发现 Fault Tolerance 流量 vsphere Replication 流量 vsphere Replication NFC 流量 Virtual SAN 流量 处理虚拟机冷迁移 克隆和快照迁移传输的数据 处理使用标准 TCP/IP 网络和取决于 VMkernel 网络的存储类型的连接 此类存储类型包括软件 iscsi 从属硬件 iscsi 以及 NFS 如果 iscsi 具有两个或多个物理网卡, 则可以配置 iscsi 多路径 ESXi 主机支持 NFS 3 和 4.1 要配置软件以太网光纤通道 (FCoE) 适配器, 必须使用专用的 VMkernel 适配器 软件 FCoE 使用 Cisco 发现协议 (CDP) VMkernel 模块通过数据中心桥接交换 (DCBX) 协议传递配置信息 处理主容错虚拟机通过 VMkernel 网络层向辅助容错虚拟机发送的数据 vsphere HA 群集中的每台主机上都需要用于 Fault Tolerance 日志记录的单独 VMkernel 适配器 处理源 ESXi 主机传输至 vsphere Replication 服务器的出站复制数据 在源站点上使用一个专用的 VMkernel 适配器, 以隔离出站复制流量 处理目标复制站点上的入站复制数据 加入 Virtual SAN 群集的每台主机都必须有用于处理 Virtual SAN 流量的 VMkernel 适配器 查看有关主机上的 VMkernel 适配器的信息 您可以查看每个 VMkernel 适配器的已分配的服务 关联的交换机 端口设置 IP 设置 TCP/IP 堆栈 VLAN ID 和策略 1 在 vsphere Web Client 中, 导航到主机 2 单击配置选项卡, 然后展开网络菜单 3 要查看有关主机上所有 VMkernel 适配器的信息, 请选择 VMkernel 适配器 VMware, Inc. 55

56 4 从 VMkernel 适配器列表中选择一个适配器以查看其设置 选项卡全部属性 IP 设置策略 描述 显示有关 VMkernel 适配器的所有配置信息 此信息包括端口和网卡设置 IPv4 和 IPv6 设置 流量调整 绑定和故障切换以及安全策略 显示 VMkernel 适配器的端口属性和网卡设置 端口属性包括与该适配器关联的端口组 ( 网络标签 ) VLAN ID 和已启用的服务 网卡设置包括 MAC 地址和已配置的 MTU 大小 显示 VMkernel 适配器的所有 IPv4 和 IPv6 设置 如果未在主机上启用 IPv6, 则不会显示 IPv6 信息 显示已配置的流量调整 绑定和故障切换以及安全策略, 这些策略将应用于 VMkernel 适配器所连接到的端口组 在 vsphere 标准交换机上创建 VMkernel 适配器 在 vsphere 标准交换机上创建 VMkernel 网络适配器, 可为主机提供网络连接并处理 vsphere vmotion IP 存储 Fault Tolerance 日志记录 Virtual SAN 等服务的系统流量 您还可以在源和目标 vsphere Replication 主机上创建 VMkernel 适配器, 以隔离复制数据流量 将 VMkernel 适配器专用于一种流量类型 1 在 vsphere Web Client 中, 导航到主机 2 在配置选项卡上, 展开网络, 然后选择 VMkernel 适配器 3 单击添加主机网络 4 在 选择连接类型 页面上, 选择 VMkernel 网络适配器, 然后单击下一步 5 在 选择目标设备 页面上, 选择现有标准交换机或选择新建标准交换机 6 ( 可选 ) 在 创建标准交换机 页面上, 为交换机分配物理网卡 可以创建不带物理网卡的标准交换机, 稍后再配置网卡 在此期间没有物理网卡连接到主机, 从而主机无法通过网络连接到物理网络上的其他主机 主机上的各个虚拟机能够互相通信 a b 单击添加适配器, 然后根据需要选择物理网卡数 使用上下箭头配置活动网卡和备用网卡 7 在 端口属性 页面上, 配置 VMkernel 适配器的设置 选项 网络标签 描述 请为该标签键入一个值以表示 VMkernel 适配器的流量类型, 例如 Management traffic 或 vmotion VLAN ID 设置 VLAN ID 以标识 VMkernel 适配器的网络流量将使用的 VLAN IP 设置 选择 IPv4 IPv6 或同时选择两者 注意在未启用 IPv6 的主机上,IPv6 选项不会显示 56 VMware, Inc.

57 第 4 章设置 VMkernel 网络 选项 描述 TCP/IP 堆栈在列表中选择一个 TCP/IP 堆栈 为 VMkernel 适配器设置 TCP/IP 堆栈后, 以后便无法再更改该堆栈 如果选择 vmotion 或置备 TCP/IP 堆栈, 您将只能使用此堆栈来处理主机上的 vmotion 或置备流量 默认 TCP/IP 堆栈上所有适用于 vmotion 的 VMkernel 适配器将被禁止用于未来的 vmotion 会话 如果使用置备 TCP/IP 堆栈, 将针对包括置备流量的操作 ( 如虚拟机冷迁移 克隆和快照迁移 ) 禁用默认 TCP/IP 堆栈上的 VMkernel 适配器 启用服务可以为主机上的默认 TCP/IP 堆栈启用服务 请从以下可用服务中选择 : vmotion 流量 允许 VMkernel 适配器向另一台主机播发声明, 自己就是发送 vmotion 流量所应使用的网络连接 如果默认 TCP/IP 堆栈上的任何 VMkernel 适配器均未启用 vmotion 服务, 或任何适配器均未使用 vmotion TCP/IP 堆栈, 则无法使用 vmotion 迁移到所选主机 置备流量 处理虚拟机冷迁移 克隆和快照迁移传输的数据 Fault Tolerance 流量 在主机上启用 Fault Tolerance 日志记录 对每台主机的 FT 流量只能使用一个 VMkernel 适配器 管理流量 为主机和 vcenter Server 启用管理流量 通常, 安装 ESXi 软件后, 主机将创建这样的 VMkernel 适配器 可以为主机上的管理流量创建其他 VMkernel 适配器以提供冗余 vsphere Replication 流量 处理源 ESXi 主机发送至 vsphere Replication 服务器的出站复制数据 vsphere Replication NFC 流量 处理目标复制站点上的入站复制数据 Virtual SAN 在主机上启用 Virtual SAN 流量 属于 Virtual SAN 群集的每台主机都必须具有这样的 VMkernel 适配器 8 如果选择了 vmotion TCP/IP 或置备堆栈, 在显示的警告对话框中单击确定 如果实时迁移已启动, 即使已在默认 TCP/IP 堆栈上禁止将涉及的 VMkernel 适配器用于 vmotion, 该迁移也会成功完成 同样, 在默认 TCP/IP 堆栈上包括为置备流量设置的 VMkernel 适配器也是一样 9 ( 可选 ) 在 IPv4 设置 页面上, 选择用于获取 IP 地址的选项 选项 自动获取 IPv4 设置 使用静态 IPv4 设置 描述 使用 DHCP 获取 IP 设置 网络上必须存在 DHCP 服务器 输入 VMkernel 适配器的 IPv4 IP 地址和子网掩码 IPv4 的 VMkernel 默认网关和 DNS 服务器地址将从选定的 TCP/IP 堆栈中获取 如果要为 VMkernel 适配器指定其他网关, 请选中替代此适配器的默认网关复选框并输入网关地址 10 ( 可选 ) 在 IPv6 设置 页面上, 选择用于获取 IPv6 地址的选项 选项 通过 DHCP 自动获取 IPv6 地址 通过路由器播发自动获取 IPv6 地址 描述 使用 DHCP 获取 IPv6 地址 网络上必须存在 DHCPv6 服务器 使用路由器播发获取 IPv6 地址 在 ESXi 6.5 和更高版本中, 路由器播发在默认情况下处于启用状态, 并且支持符合 RFC 4861 的 M 和 O 标记 静态 IPv6 地址 a 单击添加 IPv6 地址以添加新的 IPv6 地址 b 输入 IPv6 地址和子网前缀长度, 然后单击确定 c 要更改 VMkernel 默认网关, 请单击替代此适配器的默认网关 IPv6 的 VMkernel 默认网关地址将从选定的 TCP/IP 堆栈中获取 11 检查 即将完成 页面上的设置选项, 然后单击完成 VMware, Inc. 57

58 在与 vsphere Distributed Switch 关联的主机上创建 VMkernel 适配器 在与 Distributed Switch 关联的主机上创建 VMkernel 适配器, 可向主机提供网络连接并处理 vsphere vmotion IP 存储 Fault Tolerance 日志记录 Virtual SAN 等服务的流量 您可为 vsphere 标准交换机和 vsphere Distributed Switch 上的标准系统流量设置 VMkernel 适配器 应为每个 VMkernel 适配器指定一个专用的分布式端口组 为了进行更好的隔离, 您应使用一种流量类型配置一个 VMkernel 适配器 1 在 vsphere Web Client 中, 导航到主机 2 在配置选项卡上, 展开网络, 然后选择 VMkernel 适配器 3 单击添加主机网络 4 在 选择连接类型 页面上, 选择 VMkernel 网络适配器, 然后单击下一步 5 从选择现有网络选项中, 选择一个分布式端口组, 然后单击下一步 6 在 端口属性 页面上, 配置 VMkernel 适配器的设置 选项网络标签 IP 设置 TCP/IP 堆栈 描述 网络标签从分布式端口组的标签继承 选择 IPv4 IPv6 或同时选择两者 注意在未启用 IPv6 的主机上,IPv6 选项不会显示 在列表中选择一个 TCP/IP 堆栈 为 VMkernel 适配器设置了 TCP/IP 堆栈后, 日后将不能再进行更改 如果选择 vmotion 或置备 TCP/IP 堆栈, 您将只能使用这些堆栈处理主机上的 vmotion 或置备流量 默认 TCP/IP 堆栈上所有适用于 vmotion 的 VMkernel 适配器将被禁止用于未来的 vmotion 会话 如果设置了置备 TCP/IP 堆栈, 将针对包括置备流量的操作 ( 如虚拟机冷迁移 克隆和快照迁移 ) 禁用默认 TCP/IP 堆栈上的 VMkernel 适配器 启用服务可以为主机上的默认 TCP/IP 堆栈启用服务 请从以下可用服务中选择 : vmotion 流量 允许 VMkernel 适配器向另一台主机播发声明, 自己就是发送 vmotion 流量所应使用的网络连接 如果未对默认 TCP/IP 堆栈上的任何 VMkernel 适配器启用 vmotion 服务, 或者根本不存在使用 vmotion TCP/IP 堆栈的适配器, 将不能使用 vmotion 迁移到选定的主机 置备流量 处理虚拟机冷迁移 克隆和快照迁移传输的数据 Fault Tolerance 流量 在主机上启用 Fault Tolerance 日志记录 对每台主机的 FT 流量只能使用一个 VMkernel 适配器 管理流量 为主机和 vcenter Server 启用管理流量 通常, 安装 ESXi 软件后, 主机将创建这样的 VMkernel 适配器 可以为主机上的管理流量创建其他 VMkernel 适配器以提供冗余 vsphere Replication 流量 处理从源 ESXi 主机发送到 vsphere Replication 服务器的出站复制数据 vsphere Replication NFC 流量 处理目标复制站点上的入站复制数据 Virtual SAN 在主机上启用 Virtual SAN 流量 属于 Virtual SAN 群集的每台主机都必须具有这样的 VMkernel 适配器 7 如果选择了 vmotion TCP/IP 或置备堆栈, 在显示的警告对话框中单击确定 如果实时迁移已启动, 即使已在默认 TCP/IP 堆栈上禁止将涉及的 VMkernel 适配器用于 vmotion, 该迁移也会成功完成 同样, 在默认 TCP/IP 堆栈上包括为置备流量设置的 VMkernel 适配器也是一样 58 VMware, Inc.

59 第 4 章设置 VMkernel 网络 8 ( 可选 ) 在 IPv4 设置 页面上, 选择用于获取 IP 地址的选项 选项 自动获取 IPv4 设置 使用静态 IPv4 设置 描述 使用 DHCP 获取 IP 设置 网络上必须存在 DHCP 服务器 输入 VMkernel 适配器的 IPv4 IP 地址和子网掩码 IPv4 的 VMkernel 默认网关和 DNS 服务器地址将从选定的 TCP/IP 堆栈中获取 如果要为 VMkernel 适配器指定其他网关, 请选中替代此适配器的默认网关复选框并输入网关地址 9 ( 可选 ) 在 IPv6 设置 页面上, 选择用于获取 IPv6 地址的选项 选项 通过 DHCP 自动获取 IPv6 地址 通过路由器播发自动获取 IPv6 地址 描述 使用 DHCP 获取 IPv6 地址 网络上必须存在 DHCPv6 服务器 使用路由器播发获取 IPv6 地址 在 ESXi 6.5 和更高版本中, 路由器播发在默认情况下处于启用状态, 并且支持符合 RFC 4861 的 M 和 O 标记 静态 IPv6 地址 a 单击添加 IPv6 地址以添加新的 IPv6 地址 b 输入 IPv6 地址和子网前缀长度, 然后单击确定 c 要更改 VMkernel 默认网关, 请单击替代此适配器的默认网关 IPv6 的 VMkernel 默认网关地址将从选定的 TCP/IP 堆栈中获取 10 检查 即将完成 页面上的设置选项, 然后单击完成 编辑 VMkernel 适配器配置 您可能需要更改 VMkernel 适配器所支持的流量类型或者 IPv4 或 IPv6 地址的获取方式 1 在 vsphere Web Client 中, 导航到主机 2 在配置选项卡上, 展开网络, 然后选择 VMkernel 适配器 3 选择驻留在目标 Distributed Switch 或标准交换机上的 VMkernel 适配器, 然后单击编辑 4 在 端口属性 页面上, 选择要启用的服务 复选框 vmotion 流量置备流量 Fault Tolerance 流量管理流量 vsphere Replication 流量 vsphere Replication NFC 流量 Virtual SAN 描述 允许 VMkernel 适配器向另一台主机播发声明, 自己就是发送 vmotion 流量所应使用的网络连接 如果没有为任何 VMkernel 适配器启用此属性, 则无法通过 vmotion 向所选主机进行迁移 处理虚拟机冷迁移 克隆和快照迁移传输的数据 在主机上启用 Fault Tolerance 日志记录 对每台主机的 FT 流量只能使用一个 VMkernel 适配器 为主机和 vcenter Server 启用管理流量 通常, 安装 ESXi 软件后, 主机将创建这样的 VMkernel 适配器 您可以为主机上的管理流量添加额外的 VMkernel 适配器以提供冗余 处理从源 ESXi 主机发送到 vsphere Replication 服务器的出站复制数据 处理目标复制站点上的入站复制数据 启用主机上的 Virtual SAN 流量 属于 Virtual SAN 群集的每台主机都必须具有这样的 VMkernel 适配器 5 在 网卡设置 页面上, 为网络适配器设置 MTU VMware, Inc. 59

60 6 在启用 IPv4 的情况下, 在 IPv4 设置 部分中选择 IP 地址的获取方法 选项 自动获取 IPv4 设置 使用静态 IPv4 设置 描述 使用 DHCP 获取 IP 设置 网络上必须存在 DHCP 服务器 输入 VMkernel 适配器的 IPv4 IP 地址和子网掩码 IPv4 的 VMkernel 默认网关和 DNS 服务器地址将从选定的 TCP/IP 堆栈中获取 如果要为 VMkernel 适配器指定其他网关, 请选中替代此适配器的默认网关复选框并输入网关地址 7 在启用 IPv6 的情况下, 在 IPv6 设置 中选择用于获取 IPv6 地址的选项 注意在未启用 IPv6 的主机上,IPv6 选项不会显示 选项 通过 DHCP 自动获取 IPv6 地址 通过路由器播发自动获取 IPv6 地址 描述 使用 DHCP 获取 IPv6 地址 网络上必须存在 DHCPv6 服务器 使用路由器播发获取 IPv6 地址 在 ESXi 6.5 和更高版本中, 路由器播发在默认情况下处于启用状态, 并且支持符合 RFC 4861 的 M 和 O 标记 静态 IPv6 地址 a 单击添加 IPv6 地址以添加新的 IPv6 地址 b 输入 IPv6 地址和子网前缀长度, 然后单击确定 c 要更改 VMkernel 默认网关, 请单击替代此适配器的默认网关 IPv6 的 VMkernel 默认网关地址将从选定的 TCP/IP 堆栈中获取 在 IPv6 设置 页面上, 单击 高级设置 以移除 IPv6 地址 如果启用了路由器通告, 则在此处移除的地址可能会再次出现 不支持移除 VMkernel 适配器上的 DHCP 地址 这些地址只能在 DHCP 选项处于关闭状态时移除 8 在 分析影响 页面上, 验证对 VMKernel 适配器所做的更改是否会中断其他操作 9 单击确定 替代 VMkernel 适配器的默认网关 可能需要替代 VMkernel 适配器的默认网关, 以便为 vmotion Fault Tolerance 日志记录和 Virtual SAN 等服务提供不同的网关 主机上的每个 TCP/IP 堆栈只能有一个默认网关 此默认网关是路由表的一部分, 在 TCP/IP 堆栈上运行的所有服务都会使用该网关 例如, 可以在主机上配置 VMkernel 适配器 vmk0 和 vmk1 vmk0 用于 /24 子网上的管理流量, 默认网关为 vmk1 用于 /24 子网上 vmotion 流量 如果将 设置为 vmk1 的默认网关,vMotion 将 vmk1 与网关 一起用作其输出接口 网关是 vmk1 配置的一部分, 不在路由表中 只有将 vmk1 指定为输出接口的服务使用此网关 这为需要多个网关的服务提供了额外的第 3 层连接选项 可以使用 vsphere Web Client 或 ESXCLI 命令配置 VMkernel 适配器的默认网关 请参见第 56 页, 在 vsphere 标准交换机上创建 VMkernel 适配器 第 58 页, 在与 vsphere Distributed Switch 关联的主机上创建 VMkernel 适配器 和第 61 页, 使用 ESXCLI 配置 VMkernel 适配器网关 60 VMware, Inc.

61 第 4 章设置 VMkernel 网络 使用 ESXCLI 配置 VMkernel 适配器网关 可替代 VMkernel 适配器的默认网络, 以便为 vmotion Fault Tolerance 日志记录和 Virtual SAN 之类的服务提供不同的网关 1 打开与主机的 SSH 连接 2 以 root 用户身份登录 3 运行 ESXCLI 命令 esxcli network ip interface ipv4 set i vmknic -t static g gateway -I IP address -N mask 其中 vmknic 是 VMkernel 适配器的名称,gateway 是网关的 IP 地址,IP address 是 VMkernel 适配器的地址,mask 是网络掩码 查看主机上的 TCP/IP 堆栈配置 您可查看主机上 TCP/IP 堆栈的 DNS 和路由配置 还可查看 IPv4 和 IPv6 路由表 拥堵控制算法和允许的最大连接数 1 在 vsphere Web Client 中, 导航到主机 2 在配置选项卡上, 展开网络, 然后选择 TCP/IP 配置 3 从 TCP/IP 堆栈 表中选择堆栈 如果主机上未配置自定义 TCP/IP 堆栈, 则查看主机上的默认堆栈 vmotion 堆栈和置备 TCP/IP 堆栈 选定 TCP/IP 堆栈的相关 DNS 和路由详细信息显示在 TCP/IP 堆栈 表下方 您可以查看 IPv4 和 IPv6 路由表以及堆栈的 DNS 和路由配置 注意仅在主机上启用了 IPv6 时才能看到 IPv6 路由表 高级选项卡包含有关配置的拥堵控制算法和堆栈允许的最大连接数的信息 更改主机上的 TCP/IP 堆栈配置 您可更改主机上 TCP/IP 堆栈的 DNS 和默认路由配置 还可更改自定义 TCP/IP 堆栈的拥堵控制算法 最大连接数和名称 1 在 vsphere Web Client 中, 导航到主机 2 在配置选项卡上, 展开网络, 然后选择 TCP/IP 配置 VMware, Inc. 61

62 3 从表中选择一个堆栈, 单击编辑并进行适当更改 页面名称 DNS 配置路由高级 选项 更改自定义 TCP/IP 堆栈的名称 选择 DNS 服务器的获取方法 选择自动从 VMkernel 网络适配器获取设置, 然后从 VMKernel 网络适配器下拉菜单中选择一个网络适配器 选择手动输入设置, 然后编辑 DNS 配置设置 a b c d e 编辑主机名 编辑域名 键入首选 DNS 服务器 IP 地址 键入备用 DNS 服务器 IP 地址 ( 可选 ) 使用搜索域文本框指定解析非限定域名时要在 DNS 搜索中使用的 DNS 后缀 编辑 VMkernel 网关信息 注意移除默认网关可能会导致客户端与主机断开连接 编辑堆栈的最大连接数和拥堵控制算法 4 单击确定应用更改 下一步 您可以使用 CLI 命令将静态路由添加到其他网关 有关详细信息, 请参见 创建自定义 TCP/IP 堆栈 可以在主机上创建一个自定义 TCP/IP 堆栈通过自定义应用程序转发网络流量 1 打开与主机的 SSH 连接 2 以 root 用户身份登录 3 运行以下 vsphere CLI 命令 esxcli network ip netstack add -N="stack_name" 在主机上创建自定义 TCP/IP 堆栈 可以将 VMkernel 适配器分配给该堆栈 移除 VMkernel 适配器 不再需要 VMkernel 适配器时, 请从 vsphere Distributed Switch 或标准交换机中移除该适配器 确保在主机上至少保留一个用于管理流量的 VMkernel 适配器, 以保持网络连接不中断 1 在 vsphere Web Client 中, 导航到主机 2 在配置选项卡上, 展开网络, 然后选择 VMkernel 适配器 3 从列表中选择 VMkernel 适配器, 然后单击移除选定的网络适配器图标 4 在确认对话框中, 单击分析影响 62 VMware, Inc.

63 第 4 章设置 VMkernel 网络 5 如果使用具有端口绑定的软件 iscsi 适配器, 请查看对其网络配置的影响 选项无影响重要影响严重影响 描述应用新的网络连接配置之后,iSCSI 将继续执行其常规功能 如果应用了新的网络连接配置, 则可能会中断 iscsi 的常规功能 如果应用了新的网络连接配置, 则将中断 iscsi 的常规功能 a b 如果 iscsi 受到的影响非常重要或严重, 请单击 iscsi 条目, 然后查看 分析详细信息 窗格中所显示的原因 请取消移除 VMkernel 适配器, 直到解决对服务产生的任何严重或重要影响的原因, 或者, 如果不存在受影响的服务, 请关闭 分析影响 对话框 6 单击确定 VMware, Inc. 63

64 64 VMware, Inc.

65 vsphere Distributed Switch 上的 LACP 5 支持 通过 vsphere Distributed Switch 上的 LACP 支持, 您可以使用动态链路聚合将 ESXi 主机连接到物理交换机 您可以在 Distributed Switch 上创建多个链路聚合组 (LAG), 以汇总连接到 LACP 端口通道的 ESXi 主机上的物理网卡带宽 图 5 1 vsphere Distributed Switch 上的增强型 LACP 支持 VMware, Inc. 65

66 Distributed Switch 上的 LACP 配置 您可以配置一个具有两个或多个端口的 LAG, 然后将物理网卡连接到这些端口 LAG 的端口在 LAG 中以成组形式存在, 网络流量通过 LACP 哈希算法在这些端口之间实现负载平衡 您可以使用 LAG 处理分布式端口组的流量, 以便为端口组提供增强型网络带宽 冗余和负载平衡 在 Distributed Switch 上创建 LAG 时, 同时会在与 Distributed Switch 相连的每个主机的代理交换机上创建 LAG 对象 例如, 如果创建包含两个端口的 LAG1, 则将在连接到 Distributed Switch 的每台主机上创建具有相同端口数的 LAG1 在主机代理交换机上, 一个物理网卡只能连接到一个 LAG 端口 在 Distributed Switch 上, 一个 LAG 端口可能具有来自所连接的不同主机的多个物理网卡 必须将连接到 LAG 端口的主机上的物理网卡连接到加入物理交换机上的 LACP 端口通道的链路 最多可以在一个 Distributed Switch 上创建 64 个 LAG 一个主机最多可支持 32 个 LAG 但是, 您实际可以使用的 LAG 数量取决于基础物理环境的功能和虚拟网络的拓扑 例如, 如果物理交换机在 LACP 端口通道中最多支持四个端口, 则最多可将每台主机的四个物理网卡连接到 LAG 物理交换机上的端口通道配置 对于每个要使用 LACP 的主机, 必须在物理交换机上为其创建一个单独的 LACP 端口通道 在物理交换机上配置 LACP 时, 必须考虑以下要求 : LACP 端口通道中的端口数量必须等于要在主机上建组的物理网卡数量 例如, 如果要在主机上聚合两个物理网卡的带宽, 必须在物理交换机上创建一个具有两个端口的 LACP 端口通道 Distributed Switch 上的 LAG 必须至少配置两个端口 物理交换机上的 LACP 端口通道的哈希算法必须与 Distributed Switch 上为 LAG 配置的哈希算法相同 所有要连接到 LACP 端口通道的物理网卡必须采用相同的速度和双工配置 本章讨论了以下主题 : 第 66 页, 转换为 vsphere Distributed Switch 上的增强型 LACP 支持 第 68 页, 分布式端口组的 LACP 成组和故障切换配置 第 68 页, 配置链路聚合组处理分布式端口组的流量 第 71 页, 编辑链路聚合组 第 72 页, 在上行链路端口组上启用 LACP 5.1 支持 第 72 页, vsphere Distributed Switch 的 LACP 支持限制 转换为 vsphere Distributed Switch 上的增强型 LACP 支持 在将 vsphere Distributed Switch 从版本 5.1 升级到版本 或 6.5 之后, 可以转换为增强型 LACP 支持, 以便在 Distributed Switch 上创建多个 LAG 如果 Distributed Switch 上已存在 LACP 配置, 增强 LACP 支持将创建一个新的 LAG, 并将所有物理网卡从独立上行链路迁移到 LAG 端口 要创建不同的 LACP 配置, 应禁用上行链路端口组上的 LACP 支持, 然后再启动转换 如果转换为增强型 LACP 支持失败, 请参见 vsphere 故障排除 了解有关手动完成该过程的详细信息 前提条件 确认 vsphere Distributed Switch 的版本是 或 6.5 确认所有分布式端口组都不允许替代单个端口上的上行链路绑定策略 66 VMware, Inc.

67 第 5 章 vsphere Distributed Switch 上的 LACP 支持 如果从现有 LACP 配置进行转换, 请确认 Distributed Switch 上只有一个上行链路端口组 确认加入 Distributed Switch 的主机已连接并有响应 确认对交换机上的分布式端口组具有 dvport 组. 修改特权 确认对 Distributed Switch 上的主机具有主机. 配置. 修改特权 注意将 vsphere Distributed Switch 从版本 5.1 升级到版本 6.5 时, 将自动增强 LACP 支持 如果升级前已在 Distributed Switch 上启用基本 LACP 支持, 则应手动增强 LACP 支持 1 在 vsphere Web Client 中, 导航到 Distributed Switch 2 选择摘要 3 在 功能 部分中, 单击链路聚合控制协议旁的增强 4 ( 可选 ) 选择导出配置以备份 Distributed Switch 的配置, 然后单击下一步 该备份过程仅存储 vcenter Server 端的 Distributed Switch 配置 如果转换为增强型 LACP 支持失败, 您可以使用备份创建一个具有相同配置的新 Distributed Switch, 或手动完成转换 5 查看验证必备条件 必备条件端口组的可访问性 LACP 配置上行链路绑定策略替代主机的可访问性主机的连接 描述您有访问和修改交换机上的上行链路和分布式端口组所需的足够特权 Distributed Switch 上仅有一个上行链路端口组 分布式端口组不允许替代单个端口上的上行链路绑定策略 您有修改连接到 Distributed Switch 的主机的网络连接配置所需的足够特权 加入 Distributed Switch 的主机已连接并有响应 6 单击下一步 7 如果从现有 LACP 配置进行转换, 请在 名称 文本字段中键入新 LAG 的名称 8 单击下一步查看有关转换的详细信息, 然后单击完成 已在 vsphere Distributed Switch 上转换为增强型 LACP 支持 下一步 在 Distributed Switch 上创建 LAG 以汇总所关联的主机上多个物理网卡的带宽 VMware, Inc. 67

68 分布式端口组的 LACP 成组和故障切换配置 要使用 LAG 处理分布式端口组的网络流量, 您可以为 LAG 端口分配物理网卡, 并将分布式端口组的成组和故障切换顺序中的 LAG 设置为活动 表 5 1 分布式端口组的 LACP 成组和故障切换配置 故障切换顺序上行链路描述 活动 单个 LAG 只能使用一个活动 LAG 或多个独立上行链路来处理分布式端口 组的流量 无法配置多个活动 LAG, 也无法配置活动 LAG 和独 立上行链路的混合设置 备用 空 支持一个活动 LAG 和备用上行链路组合, 但不支持备用 LAG 和 活动上行链路组合 不支持一个活动 LAG 和另一个备用 LAG 的 组合 未使用 所有独立上行链路和其他 LAG( 如果有 ) 由于只能有一个 LAG 处于活动状态, 且 备用 列表必须为空, 因此必须将所有独立上行链路和其他 LAG 设置为 未使用 配置链路聚合组处理分布式端口组的流量 要聚合主机上多个物理网卡的带宽, 您可以在 Distributed Switch 上创建一个链路聚合组 (LAG), 并将其用于处理分布式端口组的流量 新建的 LAG 未用于分布式端口组的成组和故障切换顺序中, 其端口也未分配物理网卡 要使用 LAG 处理分布式端口组的网络流量, 必须将流量从独立上行链路迁移到 LAG 前提条件 验证对于每个要使用 LACP 的主机, 物理交换机上是否都有一个单独的 LACP 端口通道 请参见第 65 页, 第 5 章 vsphere Distributed Switch 上的 LACP 支持 验证配置 LAG 所在的 vsphere Distributed Switch 的版本是 5.5 还是 6.0 验证 Distributed Switch 上是否支持增强型 LACP 1 创建链路聚合组第 69 页, 要将分布式端口组的网络流量迁移到链路聚合组 (LAG), 请在 Distributed Switch 上创建新的 LAG 2 在分布式端口组的绑定和故障切换顺序中将链路聚合组设置为备用状态第 69 页, 默认情况下, 新的链路聚合组 (LAG) 未包含在分布式端口组的绑定和故障切换顺序中 对于分布式端口组而言, 由于只有一个 LAG 或独立上行链路可以处于活动状态, 因此必须创建一个中间绑定和故障切换配置, 其中 LAG 为备用状态 在保持网络连接正常的情况下, 可以通过此配置将物理网卡迁移到 LAG 端口 3 将物理网卡分配给链路聚合组的端口第 70 页, 您已在分布式端口组的绑定和故障切换顺序中将新的链路聚合组 (LAG) 设置为备用状态 通过将 LAG 设置为备用状态, 可在不丢失网络连接的情况下, 将物理网卡安全地从独立上行链路迁移到 LAG 端口 4 在分布式端口组的绑定和故障切换顺序中将链路聚合组设置为活动状态第 70 页, 您已将物理网卡迁移到链路聚合组 (LAG) 的端口 请在分布式端口组的绑定和故障切换顺序中将 LAG 设置为活动状态, 并将所有独立的上行链路移至未使用状态 68 VMware, Inc.

69 第 5 章 vsphere Distributed Switch 上的 LACP 支持 创建链路聚合组 要将分布式端口组的网络流量迁移到链路聚合组 (LAG), 请在 Distributed Switch 上创建新的 LAG 1 在 vsphere Web Client 中, 导航到 Distributed Switch 2 在配置选项卡上, 展开设置并选择 LACP 3 单击新建链路聚合组图标 4 命名新的 LAG 5 设置 LAG 的端口数 请将为 LAG 设置与物理交换机上的 LACP 端口通道中相同的端口数 LAG 端口具有与 Distributed Switch 上的上行链路相同的功能 所有 LAG 端口将构成 LAG 上下文中的网卡组 6 选择 LAG 的 LACP 协商模式 选项 主动节点 被动节点 描述 所有 LAG 端口都处于主动协商模式 LAG 端口通过发送 LACP 数据包启动与物理交换机上的 LACP 端口通道的协商 LAG 端口处于被动协商模式 端口对接收的 LACP 数据包做出响应, 但是不会启动 LACP 协商 如果物理交换机上启用 LACP 的端口处于主动协商模式, 则可以将 LAG 端口置于被动模式, 反之亦然 7 从 LACP 定义的哈希算法中选择一个负载平衡模式 注意该哈希算法必须与为物理交换机上的 LACP 端口通道设置的哈希算法相同 8 为 LAG 设置 VLAN 和 NetFlow 策略 当在上行链路端口组中启用了按单个上行链路端口替代 VLAN 和 NetFlow 策略时, 此选项将处于活动状态 如果为 LAG 设置了 VLAN 和 NetFlow 策略, 则这些策略将替代上行链路端口组级别上设置的策略 9 单击确定 新的 LAG 未包含在分布式端口组的绑定和故障切换顺序中 未向 LAG 端口分配任何物理网卡 和独立上行链路一样,LAG 在每个与 Distributed Switch 关联的主机上都有表示形式 例如, 如果您在 Distributed Switch 上创建包含两个端口的 LAG1, 将在每个与该 Distributed Switch 关联的主机上创建一个具有两个端口的 LAG1 下一步 在分布式端口组的绑定和故障切换配置中将 LAG 设置为备用状态 通过这一方式可以创建中间配置, 从而将网络流量迁移到 LAG 而不会断开网络连接 在分布式端口组的绑定和故障切换顺序中将链路聚合组设置为备用状态 默认情况下, 新的链路聚合组 (LAG) 未包含在分布式端口组的绑定和故障切换顺序中 对于分布式端口组而言, 由于只有一个 LAG 或独立上行链路可以处于活动状态, 因此必须创建一个中间绑定和故障切换配置, 其中 LAG 为备用状态 在保持网络连接正常的情况下, 可以通过此配置将物理网卡迁移到 LAG 端口 1 导航至 Distributed Switch VMware, Inc. 69

70 2 在操作菜单中, 选择分布式端口组 > 管理分布式端口组 3 选择绑定和故障切换, 然后单击下一步 4 选择要在其中使用 LAG 的端口组 5 在 故障切换顺序 中, 选择 LAG 并使用向上箭头将其移至备用上行链路列表中 6 单击下一步, 查看通知您有关中间绑定和故障切换配置的使用情况的消息, 然后单击确定 7 在 即将完成 页面上, 单击完成 下一步将物理网卡从独立上行链路迁移到 LAG 端口 将物理网卡分配给链路聚合组的端口 您已在分布式端口组的绑定和故障切换顺序中将新的链路聚合组 (LAG) 设置为备用状态 通过将 LAG 设置为备用状态, 可在不丢失网络连接的情况下, 将物理网卡安全地从独立上行链路迁移到 LAG 端口 前提条件 确认所有 LAG 端口以及物理交换机上对应的已启用 LACP 的端口均处于主动 LACP 协商模式 确认要为 LAG 端口分配的物理网卡具有相同的速度, 并配置为全双工 1 在 vsphere Web Client 中, 导航到 LAG 所在的 Distributed Switch 2 从操作菜单中, 选择添加和管理主机 3 选择管理主机网络 4 选择要为 LAG 端口分配其物理网卡的主机, 然后单击下一步 5 在 选择网络适配器任务 页面上, 选择管理物理适配器, 然后单击下一步 6 在 管理物理网络适配器 页面上, 选择某个网卡, 然后单击分配上行链路 7 选择 LAG 端口, 然后单击确定 8 对要分配给 LAG 端口的所有物理网卡重复 6 和 7 9 完成向导中的操作 示例 : 在 添加和管理主机 向导中为 LAG 分配两个物理网卡 例如, 如果一个 LAG 中包含两个端口, 则可以在添加和管理主机向导中为每个 LAG 端口配置一个物理网卡 下一步 在分布式端口组的绑定和故障切换顺序中将 LAG 设置为活动状态, 并将所有独立上行链路设置为未使用状态 在分布式端口组的绑定和故障切换顺序中将链路聚合组设置为活动状态 您已将物理网卡迁移到链路聚合组 (LAG) 的端口 请在分布式端口组的绑定和故障切换顺序中将 LAG 设置为活动状态, 并将所有独立的上行链路移至未使用状态 1 导航至 Distributed Switch 2 在操作菜单中, 选择分布式端口组 > 管理分布式端口组 70 VMware, Inc.

71 第 5 章 vsphere Distributed Switch 上的 LACP 支持 3 选择绑定和故障切换, 然后单击下一步 4 选择将 LAG 设置为备用状态的端口组, 然后单击下一步 5 在故障切换顺序中, 使用向上和向下箭头移动 活动 列表中的 LAG 未使用 列表中的所有独立上行链路, 并将 备用 列表留空 6 单击下一步, 然后单击完成 您已安全地将网络流量从独立上行链路迁移至分布式端口组的 LAG, 并且为组创建了有效的 LACP 绑定和故障切换配置 示例 : 使用 LAG 的 Distributed Switch 的拓扑 如果您配置了一个具有两个端口的 LAG 以处理分布式端口组流量, 则可以检查 Distributed Switch 的拓扑以查看新配置所导致的拓扑更改 图 5 2 具有一个 LAG 的 Distributed Switch 拓扑 编辑链路聚合组 如果需要向链路聚合组 (LAG) 添加多个端口或者更改 LACP 协商模式 负载平衡算法或 VLAN 和 NetFlow 策略, 请编辑该 LAG 的设置 1 在 vsphere Web Client 中, 导航到 vsphere Distributed Switch 2 在配置选项卡上, 展开设置并选择 LACP 3 单击新建链路聚合组图标 4 在名称文本框中, 键入 LAG 的新名称 5 如果要向 LAG 添加更多物理网卡, 请更改 LAG 的端口数 必须将新网卡连接到属于物理交换机上某个 LACP 端口通道的端口 6 更改 LAG 的 LACP 协商模式 如果物理 LACP 端口通道上的所有端口均处于 主动 LACP 模式, 则可以将 LAG 的 LACP 模式更改为 被动, 反之亦然 VMware, Inc. 71

72 7 更改 LAG 的负载平衡模式 可从 LACP 定义的负载平衡算法中进行选择 8 更改 VLAN 和 NetFlow 策略 如果上行链路端口组支持替代各个端口的 VLAN 和 NetFlow 策略, 此选项将处于活动状态 如果更改了 LAG 的 VLAN 和 NetFlow 策略, 则这些策略将替代上行链路端口组级别上设置的策略 9 单击确定 在上行链路端口组上启用 LACP 5.1 支持 您可以为 vsphere Distributed Switch 5.1 和已升级到 5.5 或 6.0 但无增强型 LACP 支持的交换机的上行链路端口组启用 LACP 支持 前提条件 验证对于每个要使用 LACP 的主机, 物理交换机上是否都有一个单独的 LACP 端口通道 验证分布式端口组是否已将其负载平衡策略设置为 IP 哈希 验证物理交换机上的 LACP 端口通道是否配置了 IP 哈希负载平衡 验证分布式端口组是否已将网络故障检测策略设置仅为链路状态 验证分布式端口组是否已将所有上行链路在其绑定和故障切换顺序中设置为活动 验证连接到上行链路的所有物理网卡是否速度相同并配置为采用全双工模式 1 在 vsphere Web Client 中, 导航到上行链路端口组 a b 选择 Distributed Switch, 然后单击网络选项卡 单击上行链路端口组, 然后选择上行链路端口组 2 单击配置选项卡, 然后选择属性 3 单击编辑 4 在 LACP 部分中, 使用下拉列表启用 LACP 5 为上行链路端口组设置 LACP 协商模式 选项 主动节点 描述 该组中的所有上行链路端口都处于主动协商模式 上行链路端口通过发送 LACP 数据包对物理交换机上启用了 LACP 的端口启动协商 被动节点所有上行链路端口处于被动协商模式 端口对接收的 LACP 数据包做出响应, 但是不会启动 LACP 协商 如果物理交换机上启用了 LACP 的端口处于主动协商模式, 则可以将上行链路端口置于被动模式, 反之亦然 6 单击确定 vsphere Distributed Switch 的 LACP 支持限制 vsphere Distributed Switch 上的 LACP 支持允许网络设备通过向对等设备发送 LACP 数据包来协商链路的自动绑定 但是,vSphere Distributed Switch 上的 LACP 支持具有限制 LACP 支持与软件 iscsi 多路径不兼容 72 VMware, Inc.

73 第 5 章 vsphere Distributed Switch 上的 LACP 支持 LACP 支持设置在主机配置文件中不可用 无法在两个嵌套的 ESXi 主机之间使用 LACP 支持 LACP 支持无法与 ESXi Dump Collector 一起使用 LACP 支持无法与端口镜像一起使用 成组和故障切换健康状况检查不适用于 LAG 端口 LACP 检查 LAG 端口的连接性 当只有一个 LAG 处理每个分布式端口或端口组的流量时, 增强型 LACP 支持可以正常运行 LACP 5.1 支持只能与 IP 哈希负载平衡和链路状态网络故障切换检测一起使用 LACP 5.1 支持只为每个 Distributed Switch 和每台主机提供一个 LAG VMware, Inc. 73

74 74 VMware, Inc.

75 备份和还原网络配置 6 如果发生无效更改或转移到其他部署,vSphere 5.1 及更高版本可使您能够备份和还原 vsphere Distributed Switch 分布式端口组和上行链路端口组的配置 本章讨论了以下主题 : 第 75 页, 备份和还原 vsphere Distributed Switch 配置 第 77 页, 导出 导入和还原 vsphere 分布式端口组配置 备份和还原 vsphere Distributed Switch 配置 vcenter Server 提供 vsphere Distributed Switch 配置的备份和还原功能 如数据库故障或升级失败, 可以还原虚拟网络配置 还可以将已保存的交换机配置用作模板, 以在相同或新的 vsphere 环境中创建交换机的副本 可以导入或导出分布式交换机 ( 包括其端口组 ) 的配置 有关导出 导入和还原端口组配置的信息, 请参见第 77 页, 导出 导入和还原 vsphere 分布式端口组配置 注意您可以使用已保存的配置文件来还原 Distributed Switch 上的策略和主机关联 无法还原物理网卡与上行链路端口或链路聚合组端口的连接 导出 vsphere Distributed Switch 配置 可以将 vsphere Distributed Switch 和分布式端口组配置导出到某一文件 该文件保留有效的网络配置, 使这些配置能够传输至其他环境 此功能仅适用于 vcenter Server 5.1 及更高版本 如果从 vcenter Server 5.1 进行升级, 则可以先导出交换机的配置, 然后再升级 vcenter Server 如果从 5.1 之前的版本升级 vcenter Server, 请先将 vcenter Server 升级到 6.0 版, 然后再备份交换机的配置 前提条件 验证 vcenter Server 是否为 5.1 版或更高版本 1 在 vsphere Web Client 中, 导航到 Distributed Switch 2 右键单击 Distributed Switch, 然后选择设置 > 导出配置 3 选择导出分布式交换机配置, 或者导出分布式交换机配置和所有端口组 4 ( 可选 ) 在描述字段中输入有关此配置的说明 5 单击确定 VMware, Inc. 75

76 6 单击是可将配置文件保存到您的本地系统 下一步通过使用已导出配置文件, 可执行以下任务 : 在 vsphere 环境中, 为导出的 Distributed Switch 创建一份副本 请参见第 76 页, 导入 vsphere Distributed Switch 配置 覆盖现有 Distributed Switch 中的设置 请参见第 76 页, 还原 vsphere Distributed Switch 配置 也可以仅导出 导入和还原端口组配置 请参见第 77 页, 导出 导入和还原 vsphere 分布式端口组配置 导入 vsphere Distributed Switch 配置 导入存储的配置文件可创建一个新 vsphere Distributed Switch 或还原之前已删除的交换机 在 vsphere 5.1 及更高版本中, 可以使用 vsphere Web Client 导入 Distributed Switch 配置文件中包含交换机的网络连接设置 使用 vsphere Web Client, 还可以复制其他虚拟环境中的虚拟机 注意可以使用已保存的配置文件复制交换机实例 其主机关联以及策略 无法复制物理网卡到上行链路端口或链路聚合组上的端口的连接 前提条件验证 vcenter Server 是否为 版或更高版本 1 在 vsphere Web Client 中, 导航到数据中心 2 右键单击该数据中心, 然后选择 Distributed Switch > 导入 Distributed Switch 3 浏览到配置文件的位置 4 要将配置文件中的密钥分配给交换机及其端口组, 请选中保留原始 Distributed Switch 标识符和端口组标识符复选框, 然后单击下一步 在以下情况中, 可以使用保留原始 Distributed Switch 标识符和端口组标识符选项 : 重新创建已删除的交换机 还原升级失败的交换机 所有端口组均重新创建, 已连接到交换机的主机重新添加 5 检查交换机的设置, 然后单击完成 系统将使用配置文件中的设置创建一个新 Distributed Switch 如果在配置文件中包含了分布式端口组信息, 则也会创建端口组 还原 vsphere Distributed Switch 配置 使用还原选项将现有分布式交换机的配置重置为配置文件中的设置 还原分布式交换机会将所选交换机的设置改回配置文件中保存的设置 注意您可以使用已保存的配置文件来还原 Distributed Switch 上的策略和主机关联 无法还原物理网卡与上行链路端口或链路聚合组端口的连接 前提条件 验证 vcenter Server 是否为 5.1 版或更高版本 76 VMware, Inc.

77 第 6 章备份和还原网络配置 1 在 vsphere Web Client 中, 导航到 Distributed Switch 2 在导航器中右键单击 Distributed Switch, 然后选择设置 > 还原配置 3 浏览到要使用的配置备份文件 4 选择还原 Distributed Switch 和所有端口组或仅还原 Distributed Switch, 然后单击下一步 5 查看还原的摘要信息 还原分布式交换机将覆盖分布式交换机及其端口组的当前设置 不会删除不属于配置文件的现有端口组 6 单击完成 分布式交换机配置即已还原到配置文件中的设置 导出 导入和还原 vsphere 分布式端口组配置 可以将 vsphere 分布式端口组配置导出到某一文件 通过该配置文件, 可以保留有效的端口组配置, 从而将这些配置分发到其他部署 在导出 Distributed Switch 配置时, 可以同时导出端口组信息 请参见第 75 页, 备份和还原 vsphere Distributed Switch 配置 导出 vsphere 分布式端口组配置 可以将分布式端口组配置导出到某一文件 该配置保留有效的网络配置, 使这些配置能够分发到其他部署 该功能仅在 vsphere Web Client 5.1 或更高版本中可用 但是, 如果您使用 vsphere Web Client 5.1 或更高版本, 则可以从任何版本的分布式端口导出设置 1 在 vsphere Web Client 中找到分布式端口组 a b 选择 Distributed Switch, 然后单击网络选项卡 单击分布式端口组 2 右键单击分布式端口组, 然后选择导出配置 3 ( 可选 ) 在描述字段中, 键入有关此配置的备注 4 单击确定 单击是可将配置文件保存到您的本地系统 现在即拥有一个包含选定分布式端口组的所有设置的配置文件 您可以使用这一文件在现有部署中创建该配置的多个副本, 或者覆盖现有分布式端口组的设置以符合选定设置 下一步 通过使用已导出配置文件, 可执行以下任务 : 若要创建已导出分布式端口组的副本, 请参见第 77 页, 导入 vsphere 分布式端口组配置 若要覆盖现有分布式端口组中的设置, 请参见第 78 页, 还原 vsphere 分布式端口组配置 导入 vsphere 分布式端口组配置 使用导入可从配置文件创建分布式端口组 如果现有端口组与已导入的端口组同名, 则新端口组名称末尾将包含一个放在括号内的数字 已导入配置的设置将应用到新端口组, 而原始端口组的设置保持不变 VMware, Inc. 77

78 该功能仅在 vsphere Web Client 5.1 或更高版本中可用 但是, 如果您使用 vsphere Web Client 5.1 及更高版本, 则可以从任何版本的分布式端口导出设置 1 在 vsphere Web Client 中, 导航到 Distributed Switch 2 右键单击 Distributed Switch, 然后选择分布式端口组 > 导入分布式端口组 3 浏览到已保存的配置文件的位置, 然后单击下一步 4 请在完成导入之前检查导入设置 5 单击完成 还原 vsphere 分布式端口组配置 使用还原选项将现有分布式端口组的配置重置为配置文件中的设置 该功能仅在 vsphere Web Client 5.1 或更高版本中可用 但是, 如果使用 vsphere Web Client 5.1 或更高版本, 则可从任何版本的 Distributed Switch 还原设置 1 在 vsphere Web Client 中找到分布式端口组 a b 选择 Distributed Switch, 然后单击网络选项卡 单击分布式端口组 2 右键单击分布式端口组, 然后选择还原配置 3 选择以下选项之一, 然后单击下一步 : u u 还原为之前的配置可将您的端口组配置回滚一个 如果您已执行多个, 则无法完全还原端口组配置 从文件还原配置使您从一个导出的备份文件还原端口组配置 您还可以使用 Distributed Switch 备份文件, 只要其包含端口组的配置信息即可 4 查看还原的摘要信息 还原操作将使用备份中的设置覆盖分布式端口组的当前设置 如果从交换机备份文件还原端口组配置, 则还原操作不会删除不属于该文件的当前端口组 5 单击完成 78 VMware, Inc.

79 管理网络的回滚和恢复 7 在 vsphere 5.1 及更高版本中, 可以使用 vsphere Distributed Switch 和 vsphere 标准交换机的回滚和恢复支持防止管理网络配置错误并从配置错误中恢复 回滚可用于标准交换机和 Distributed Switch 要修复管理网络的无效配置, 可以直接连接到主机, 通过 DCUI 修复该问题 本章讨论了以下主题 : 第 79 页, vsphere 网络连接回滚 第 81 页, 解决 vsphere Distributed Switch 上的管理网络配置中的错误 vsphere 网络连接回滚 通过回滚配置更改,vSphere 可防止错误配置管理网络导致主机丢失与 vcenter Server 的连接 在 vsphere 5.1 及更高版本中, 默认启用网络连接回滚 但是, 您可以在 vcenter Server 级别启用或禁用回滚 主机网络连接回滚 如果对与 vcenter Server 的连接的网络连接配置所做的更改无效, 则将发生主机网络连接回滚 每个可断开主机连接的网络更改也将触发回滚 以下是可能触发回滚的对主机网络配置的更改示例 : 更新物理网卡的速度或双工 更新 DNS 和路由设置 更新包含管理 VMkernel 网络适配器的标准端口组的成组和故障切换策略或流量调整策略 更新包含管理 VMkernel 网络适配器的标准端口组的 VLAN 将管理 VMkernel 网络适配器及其交换机的 MTU 增加至物理基础架构不支持的值 更改管理 VMkernel 网络适配器的 IP 设置 从标准交换机或 Distributed Switch 中移除管理 VMkernel 网络适配器 移除包含管理 VMkernel 网络适配器的标准交换机或 Distributed Switch 的物理网卡 将管理 VMkernel 适配器从 vsphere Standard Switch 迁移到 Distributed Switch 如果出于其中任一原因而断开网络连接, 任务将失败并且主机将恢复为上次有效配置 VMware, Inc. 79

80 vsphere Distributed Switch 回滚 当对 Distributed Switch 分布式端口组或分布式端口进行无效更新时, 将发生 Distributed Switch 回滚 对 Distributed Switch 配置进行以下更改将触发回滚 : 更改 Distributed Switch 的 MTU 更改管理 VMkernel 网络适配器的分布式端口组中的以下设置 : 成组和故障切换 VLAN 流量调整 阻止包含管理 VMkernel 网络适配器的分布式端口组中的所有端口 在管理 VMkernel 网络适配器的分布式端口级别替代策略 如果由于任意更改导致配置无效, 则一台或多台主机可能无法与 Distributed Switch 保持同步 如果您知道有冲突的配置设置的所在位置, 可以手动更正设置 例如, 如果将管理 VMkernel 网络适配器迁移到了一个新的 VLAN, 则该 VLAN 实际可能无法在物理交换机上进行中继 更正物理交换机配置后, 下一次 Distributed Switch- 主机同步将解决配置问题 如果您不知道问题出自哪里, 可以将 Distributed Switch 或分布式端口组的状态还原到以前的配置 请参见第 78 页, 还原 vsphere 分布式端口组配置 禁用网络回滚 默认情况下, 回滚在 vsphere 5.1 及更高版本中处于启用状态 您可以使用 vsphere Web Client 在 vcenter Server 中禁用回滚 1 在 vsphere Web Client 中, 导航到 vcenter Server 实例 2 在配置选项卡上, 展开设置, 然后选择高级设置 3 单击编辑 4 选择 config.vpxd.network.rollback 项, 然后将值更改为 false 如果未提供该密钥, 您可添加并将值设置为 false 5 单击确定 6 重新启动 vcenter Server 应用更改 使用 vcenter Server 配置文件禁用网络回滚 默认情况下, 回滚在 vsphere 5.1 及更高版本中处于启用状态 可以通过直接编辑 vcenter Server 的 vpxd.cfg 配置文件禁用回滚 1 在 vcenter Server 的主机上, 导航到包含配置文件的目录 : 在 Windows Server 操作系统上, 目录的位置为 C:\ProgramData\VMware\CIS\cfg\vmware-vpx 在 vcenter Server Appliance 上, 目录的位置为 /etc/vmware-vpx 2 打开 vpxd.cfg 文件进行编辑 80 VMware, Inc.

81 第 7 章管理网络的回滚和恢复 3 在 <network> 元素中, 将 <rollback> 元素设置为 false: <config> <vpxd> <network> <rollback>false</rollback> </network> </vpxd> </config> 4 保存并关闭文件 5 重新启动 vcenter Server 系统 解决 vsphere Distributed Switch 上的管理网络配置中的错误 在 vsphere 5.1 及更高版本中, 可以使用直接控制台用户界面 (DCUI) 还原 vcenter Server 与主机 ( 通过 Distributed Switch 访问管理网络 ) 之间的连接 如果禁用了网络连接回滚, 则在 Distributed Switch 上错误配置管理网络的端口组将会导致 vcenter Server 与添加到交换机的主机之间的连接丢失 必须使用 DCUI 分别连接每个主机 如果用来还原管理网络的上行链路也由处理其他类型流量 (vmotion Fault Tolerance 等 ) 的 VMkernel 适配器使用, 则适配器会在还原后丢失网络连接 有关访问和使用 DCUI 的详细信息, 请参见 vsphere 安全性文档 注意无状态的 ESXi 实例不支持在 Distributed Switch 上恢复管理连接 前提条件验证 Distributed Switch 的端口组上是否已配置管理网络 1 连接到主机的 DCUI 2 从网络还原选项菜单中, 选择还原 vds 3 配置上行链路并可选择为管理网络配置 VLAN 4 应用配置 DCUI 将创建本地极短端口并应用为 VLAN 和上行链路所提供的值 DCUI 将管理网络的 VMkernel 适配器移至新的本地端口, 以便还原到 vcenter Server 的连接 下一步 还原主机到 vcenter Server 的连接之后, 请更正分布式端口组的配置并将 VMkernel 适配器重新添加到组中 VMware, Inc. 81

82 82 VMware, Inc.

83 网络策略 8 在标准交换机或分布式端口组级别设置的策略将应用于该标准交换机上的所有端口组, 或者应用于该分布式端口组中的端口 可在标准端口组或分布式端口级别替代的配置选项是例外 有关 vsphere Standard Switch 和 Distributed Switch 上的应用网络连接策略, 请观看视频 使用网络连接策略 ( bctid=ref:video_working_with_network_policies) 在 vsphere 标准交换机或 Distributed Switch 上应用网络策略第 84 页, 对 vsphere 标准交换机和 vsphere Distributed Switch 应用不同的网络策略 并非所有适用于 vsphere Distributed Switch 的策略也适用于 vsphere 标准交换机 在端口级别配置替代网络策略第 85 页, 要对分布式端口应用不同的策略, 您可以配置在端口组级别设置的每个端口替代策略 当分布式端口与虚拟机断开连接时, 您也可以启用重置在每个端口级别设置的任何配置 成组和故障切换策略第 85 页, 通过网卡成组, 您可以在组中加入两个或多个物理网卡来增加虚拟交换机的网络容量 要确定如何在适配器发生故障时重新路由流量, 您可以在故障切换顺序中加入物理网卡 要确定虚拟交换机在组内的物理网卡之间如何分布网络流量, 您可以根据您的环境需要和功能选择负载平衡算法 VLAN 策略第 92 页, VLAN 策略决定了 VLAN 在网络环境中的运行方式 安全策略第 94 页, 网络安全策略可保护流量免受 MAC 地址模拟和有害端口扫描的威胁 流量调整策略第 96 页, 流量调整策略是由平均带宽 峰值带宽和突发大小所定义的 可以为每个端口组和每个分布式端口或分布式端口组建立流量调整策略 资源分配策略第 98 页, 可以使用资源分配策略将分布式端口或端口组与用户创建的网络资源池关联 通过此策略可以更有效地控制为端口或端口组指定的带宽 监控策略第 99 页, 监控策略在分布式端口或端口组上启用或禁用 NetFlow 监控 流量筛选和标记策略第 99 页, 在 vsphere Distributed Switch 5.5 及更高版本中, 通过使用流量筛选和标记策略, 您可以避免虚拟网络进入有害的流量和遭受安全攻击, 或将 QoS 标记应用于某种类型的流量 VMware, Inc. 83

84 管理 vsphere Distributed Switch 上的多个端口组的策略第 113 页, 可以修改 vsphere Distributed Switch 上多个端口组的网络连接策略 端口阻止策略第 117 页, 端口阻止策略允许有选择地阻止端口发送或接收数据 在 vsphere 标准交换机或 Distributed Switch 上应用网络策略 对 vsphere 标准交换机和 vsphere Distributed Switch 应用不同的网络策略 并非所有适用于 vsphere Distributed Switch 的策略也适用于 vsphere 标准交换机 表 8 1 应用策略的虚拟交换机对象 虚拟交换机虚拟交换机对象描述 vsphere 标准交换机 整个交换机 对整个标准交换机应用策略时, 策略将传播到交换机 上的所有标准端口组 标准端口组 通过替代从交换机继承的策略, 您可以对单个端口组应用不同的策略 vsphere Distributed Switch 分布式端口组 对分布式端口组应用策略时, 策略将传播到组中的所 有端口 分布式端口 上行链路端口组 上行链路端口 通过替代从分布式端口组继承的策略, 您可以对单个分布式端口应用不同的策略 您可以在上行链路端口组级别应用策略, 策略将传播到组中的所有端口 通过替代从上行链路端口组继承的策略, 您可以对单个上行链路端口应用不同的策略 表 8 2 适用于 vsphere 标准交换机和 vsphere Distributed Switch 的策略 策略 标准交换机 Distributed Switch 描述 成组和故障切换 是 是 可用于配置物理网卡以处理标准交换机 标准端口组 分布式端口 组或分布式端口的网络流量 您可以在故障切换顺序中排列物理网 卡, 并对其应用不同的负载平衡策略 安全 是 是 可保护流量免受 MAC 地址模拟和有害端口扫描的威胁 在网络协 议堆栈的第 2 层执行网络安全策略 流量调整 是 是 可限制端口的可用网络带宽, 但也可以允许流量突发, 使流量以更 高的速度通过端口 ESXi 调整标准交换机上的出站网络流量以及分 布式交换机上的入站和出站流量 VLAN 是 是 可用于配置标准交换机或 Distributed Switch 的 VLAN 标记 您可 以配置外部交换机标记 (EST) 虚拟交换机标记 (VST) 和虚拟客户机 标记 (VGT) 正在监控否是在分布式端口或端口组上启用和禁用 NetFlow 监控 流量筛选和标记 否 是 可以避免虚拟网络进入有害的流量和遭受安全攻击, 或将 QoS 标记 应用于某种类型的流量 资源分配 否 是 可以将分布式端口或端口组与用户定义的网络资源池关联 通过此 方式, 您可以更有效地控制端口或端口组可用的带宽 您可以在 vsphere Network I/O Control 版本 2 和 3 中使用资源分配策略 端口阻止否是可以有选择地阻止端口发送和接收数据 84 VMware, Inc.

85 第 8 章网络策略 在端口级别配置替代网络策略 要对分布式端口应用不同的策略, 您可以配置在端口组级别设置的每个端口替代策略 当分布式端口与虚拟机断开连接时, 您也可以启用重置在每个端口级别设置的任何配置 1 在 vsphere Web Client 中找到分布式端口组 a b 选择 Distributed Switch, 然后单击网络选项卡 单击分布式端口组 2 右键单击分布式端口组, 然后选择编辑设置 3 选择高级页面 选项 断开连接时配置重置 替代端口策略 描述 从下拉菜单中启用或禁用断开连接时重置 当分布式端口与虚拟机断开连接时, 分布式端口的配置重置为分布式端口组设置 每个端口的替代都会被丢弃 选择要在每个端口级别替代的分布式端口组策略 4 ( 可选 ) 使用策略页面设置每个端口策略的替代 5 单击确定 成组和故障切换策略 通过网卡成组, 您可以在组中加入两个或多个物理网卡来增加虚拟交换机的网络容量 要确定如何在适配器发生故障时重新路由流量, 您可以在故障切换顺序中加入物理网卡 要确定虚拟交换机在组内的物理网卡之间如何分布网络流量, 您可以根据您的环境需要和功能选择负载平衡算法 网卡成组策略 可以使用网卡成组将虚拟交换机连接至主机上的多个物理网卡, 以增加交换机的网络带宽以及提供冗余 网卡组可在其成员之间分布流量, 并在出现适配器故障或网络中断时提供被动故障切换 您可以在虚拟交换机或端口组级别设置 vsphere 标准交换机的网卡成组策略, 以及在端口组或端口级别设置 vsphere Distributed Switch 的网卡成组策略 注意同一组内物理交换机上的所有端口必须位于第 2 层的同一广播域内 负载平衡策略 负载平衡策略确定网络流量如何在网卡组中的网络适配器之间分布 vsphere 虚拟交换机仅对出站流量进行负载平衡 输入流量由物理交换机上的负载平衡策略控制 有关每个负载平衡算法的详细信息, 请参见第 86 页, 可用于虚拟交换机的负载平衡算法 网络故障检测策略 您可以指定下列方法之一以供虚拟交换机用于故障切换检测 仅链路状态 仅取决于网络适配器提供的链接状态 用于检测故障, 如电缆移除和物理交换机电源故障 但是, 链路状态不会检测以下配置错误 : 物理交换机端口被跨接树阻止, 或者错误地配置为不正确的 VLAN VMware, Inc. 85

86 拔下了用于将物理交换机与其他网络设备 ( 如上游交换机 ) 相连接的电缆 信标探测 发出并侦听物理网卡发送的以太网广播帧或信标探测, 以检测组中所有物理网卡中存在的链路故障 ESXi 主机每秒发送一次信标数据包 信标探测对于检测距离 ESXi 主机最近的物理交换机的故障十分有用, 此类故障不会导致主机发生链路关闭事件 请将信标探测与组中的三个或更多网卡配合使用, 因为 ESXi 可以检测单个适配器的故障 如果只分配两个网卡, 而其中的一个网卡失去连接, 则由于二者均不接收信标, 因此所有数据包都发送到这两个上行链路, 从而使交换机无法检测需要停用哪个网卡 在此类组中使用至少三个网卡, 则允许出现 n-2 个故障, 其中 n 是指该组出现不明确的状况时组中的网卡数量 故障恢复策略 默认情况下, 将对网卡组启用故障恢复策略 如果出现故障的物理网卡恢复联机状态, 则虚拟交换机会将该网卡重新设置为活动状态, 替换接替其位置的备用网卡 如果在故障切换顺序中位居首位的物理网卡遇到间歇性故障, 则故障恢复策略可能导致频繁更改使用的网卡 物理交换机可看到 MAC 地址频繁更改, 在适配器联机时, 物理交换机端口可能无法立即接受流量 要最大限度地减少此类延迟, 可考虑在物理交换机上更改以下设置 : 对已连接到 ESXi 主机的物理网卡禁用跨树协议 (STP) 对于基于 Cisco 的网络, 为访问接口启用 PortFast 模式或为中继接口启用 PortfFast 中继模式 在初始化 物理交换机端口期间, 此操作可节省约 30 秒 禁用中继协商 通知交换机策略 使用通知交换机策略, 您可以确定 ESXi 主机如何传达故障切换事件 当物理网卡连接到虚拟交换机或流量重新路由到网卡组中的其他物理网卡时, 虚拟交换机将通过网络发送通知, 以更新物理交换机上的查找表 为物理交换机发送通知可以在出现故障切换或使用 vsphere vmotion 进行迁移时获得最低延迟 可用于虚拟交换机的负载平衡算法 可以在虚拟交换机上配置各种负载平衡算法, 以确定网络流量在网卡组中的物理网卡之间如何分布 基于源虚拟端口的路由第 87 页, 虚拟交换机可根据 vsphere 标准交换机或 vsphere Distributed Switch 上的虚拟机端口 ID 选择上行链路 基于源 MAC 哈希的路由第 87 页, 虚拟交换机可基于虚拟机 MAC 地址选择虚拟机的上行链路 要计算虚拟机的上行链路, 虚拟交换机将使用虚拟机 MAC 地址和网卡组中的上行链路数目 基于 IP 哈希的路由第 87 页, 虚拟交换机可根据每个数据包的源和目标 IP 地址选择虚拟机的上行链路 基于物理网卡负载的路由第 88 页, 基于物理网卡负载的路由以基于源虚拟端口的路由为基础, 其中虚拟交换机将检查上行链路的实际负载, 并采取措施以减少过载上行链路上的负载 仅适用于 vsphere Distributed Switch 使用明确故障切换顺序第 89 页, 没有可用于此策略的实际负载平衡 虚拟交换机始终使用 活动适配器 列表中按故障切换顺序位于最前列且符合故障切换检测标准的上行链路 如果活动列表中没有可用的上行链路, 则虚拟交换机将使用备用列表中的上行链路 86 VMware, Inc.

87 第 8 章网络策略 基于源虚拟端口的路由 虚拟交换机可根据 vsphere 标准交换机或 vsphere Distributed Switch 上的虚拟机端口 ID 选择上行链路 基于源虚拟端口的路由是 vsphere 标准交换机和 vsphere Distributed Switch 上的默认负载平衡方法 ESXi 主机上运行的每个虚拟机在虚拟交换机上都有一个关联的虚拟端口 ID 要计算虚拟机的上行链路, 虚拟交换机将使用虚拟机端口 ID 和网卡组中的上行链路数目 虚拟交换机为虚拟机选择上行链路后, 只要该虚拟机在相同的端口上运行, 就会始终通过此虚拟机的同一上行链路转发流量 除非在网卡组中添加或移除上行链路, 否则虚拟交换机仅计算虚拟机上行链路一次 当虚拟机在同一主机上运行时, 虚拟机的端口 ID 固定不变 如果迁移或删除虚拟机, 或者关闭虚拟机电源, 则此虚拟机在虚拟交换机上的端口 ID 将变为空闲状态 虚拟交换机将停止向此端口发送流量, 这会减少其关联的上行链路的总流量 如果打开虚拟机电源或迁移虚拟机, 则虚拟机可能会出现在不同的端口上并使用与新端口关联的上行链路 表 8 3 使用基于源虚拟端口的路由的注意事项 注意事项 描述 优势 当组中虚拟网卡数大于物理网卡数时, 流量分布均匀 资源消耗低, 因为在大多数情况下, 虚拟交换机仅计算虚拟机上行链路一次 无需在物理交换机上进行更改 劣势 虚拟交换机无法识别上行链路的流量负载, 且不会对很少使用的上行链路的流量进行负载平衡 虚拟机可用的带宽受限于与相关端口 ID 关联的上行链路速度, 除非该虚拟机具有多个虚拟网卡 基于源 MAC 哈希的路由 虚拟交换机可基于虚拟机 MAC 地址选择虚拟机的上行链路 要计算虚拟机的上行链路, 虚拟交换机将使用虚拟机 MAC 地址和网卡组中的上行链路数目 表 8 4 使用基于源 MAC 哈希的路由的注意事项 注意事项 描述 优势 与基于源虚拟端口的路由相比, 可更均匀地分布流量, 因为虚拟交换机会计算每个数据包的上行链路 虚拟机会使用相同的上行链路, 因为 MAC 地址是静态地址 启动或关闭虚拟机不会更改虚拟机使用的上行链路 无需在物理交换机上进行更改 劣势 可用于虚拟机的带宽受限于与相关端口 ID 关联的上行链路速度, 除非该虚拟机使用多个源 MAC 地址 资源消耗比基于源虚拟端口的路由更高, 因为虚拟交换机会计算每个数据包的上行链路 虚拟交换机无法识别上行链路的负载, 因此上行链路可能会过载 基于 IP 哈希的路由 虚拟交换机可根据每个数据包的源和目标 IP 地址选择虚拟机的上行链路 要计算虚拟机的上行链路, 虚拟交换机会获取数据包中源和目标 IP 地址的最后一个八位字节并对其执行 XOR 运算, 然后根据网卡组中的上行链路数将所得的结果用于另一个计算 结果是一个介于 0 和组中上行链路数减一之间的数字 例如, 如果网卡组有四个上行链路, 则结果是一个介于 0 和 3 之间的数字, 因为每个数字与组中的一个网卡相关联 对于非 IP 数据包, 虚拟交换机会从 IP 地址所在的帧或数据包中提取两个 32 位二进制值 VMware, Inc. 87

88 任何虚拟机都可根据源和目标 IP 地址使用网卡组中的任何上行链路 因此, 每台虚拟机都可以使用网卡组中任何上行链路的带宽 如果虚拟机在包含大量独立虚拟机的环境中运行, 则 IP 哈希算法可在组中的网卡之间均匀地分布流量 当虚拟机与多个目标 IP 地址通信时, 虚拟交换机可为每个目标 IP 生成不同的哈希 因此, 数据包可以使用虚拟交换机上的不同上行链路, 从而可能实现更高的吞吐量 但是, 如果环境中包含的 IP 地址较少, 则虚拟交换机可能会始终通过组中的一个上行链路传递流量 例如, 如果一个应用程序服务器访问一个数据库服务器, 则虚拟交换机会始终计算同一个上行链路, 因为只存在一个源 - 目标对 物理交换机配置 要确保 IP 哈希负载平衡运行正常, 必须在物理交换机上配置以太通道 以太通道可以将多个网络适配器合并到单条逻辑链路中 如果将多个端口绑定到一个以太通道, 则每次物理交换机接收不同端口上同一虚拟机 MAC 地址发出的数据包时, 该交换机会正确更新其内容可寻址内存 (CAM) 表 例如, 如果物理交换机在端口 01 和 02 上收到 MAC 地址 A 发出的数据包, 则该交换机会在其 CAM 表中创建 01-A 和 02-A 条目 因此, 物理交换机会将入站流量分布到正确的端口 如果没有以太通道, 则物理交换机会首先记录下在端口 01 上收到 MAC 地址 A 发出的数据包, 然后将同一记录更新为在端口 02 上收到 MAC 地址 A 发出的数据包 因此, 物理交换机只会转发端口 02 上的入站流量, 并可能导致数据包无法到达其目标以及相应的上行链路过载 限制和配置要求 ESXi 主机支持单个物理交换机或堆栈交换机上的 IP 哈希成组 ESXi 主机仅支持静态模式下的 802.3ad 链路聚合 只能将静态以太通道与 vsphere 标准交换机配合使用 不支持 LACP 要使用 LACP, 必须具有 vsphere Distributed Switch 5.1 及更高版本或 Cicso Nexus 1000V 如果启用 IP 哈希负载平衡但无 802.3ad 链路聚合 ( 或者相反 ), 则可能会遇到网络中断 必须使用 仅链路状态 作为网络故障检测方法, 并使用 IP 哈希负载平衡 必须在 活动故障切换 列表中设置组的所有上行链路 备用 和 未使用 列表必须为空 以太通道中的端口数必须与组中的上行链路数相同 使用基于 IP 哈希的路由的注意事项 注意事项 描述 优势 与基于源虚拟端口的路由和基于源 MAC 哈希的路由相比, 可更均匀地分布负载, 因为虚拟交换机会计算每个数据包的上行链路 与多个 IP 地址通信的虚拟机可能实现更高的吞吐量 劣势 与其他负载平衡算法相比, 资源消耗最高 虚拟交换机无法识别上行链路的实际负载 需要在物理网络上进行更改 故障排除较为复杂 基于物理网卡负载的路由 基于物理网卡负载的路由以基于源虚拟端口的路由为基础, 其中虚拟交换机将检查上行链路的实际负载, 并采取措施以减少过载上行链路上的负载 仅适用于 vsphere Distributed Switch Distributed Switch 将使用虚拟机端口 ID 和网卡组中的上行链路数目来计算虚拟机的上行链路 Distributed Switch 将每 30 秒测试一次上行链路, 如果上行链路的负载超过 75% 的使用率, 则拥有最高 I/O 的虚拟机的端口 ID 将移到其他上行链路 88 VMware, Inc.

89 第 8 章网络策略 表 8 5 使用基于物理网卡负载的路由的注意事项 注意事项 描述 优势 资源消耗较低, 因为 Distributed Switch 仅计算一次虚拟机的上行链路并检查影响最小的上行链路 Distributed Switch 可识别上行链路的负载, 并在需要时负责减少其负载 无需在物理交换机上进行更改 劣势 可用于虚拟机的带宽受限于与 Distributed Switch 连接的上行链路 使用明确故障切换顺序 没有可用于此策略的实际负载平衡 虚拟交换机始终使用 活动适配器 列表中按故障切换顺序位于最前列且符合故障切换检测标准的上行链路 如果活动列表中没有可用的上行链路, 则虚拟交换机将使用备用列表中的上行链路 在 vsphere 标准交换机或标准端口组上配置网卡绑定 故障切换和负载平衡 在组中包括两个或多个物理网卡可增加 vsphere 标准交换机或标准端口组的网络容量 配置故障切换顺序以确定如何在适配器发生故障时重新路由网络流量 选择负载平衡算法以确定标准交换机如何在组内物理网卡之间分布流量 根据物理交换机的网络配置和标准交换机的拓扑配置网卡绑定 故障切换和负载平衡 有关详细信息, 请参见第 85 页, 成组和故障切换策略 和第 86 页, 可用于虚拟交换机的负载平衡算法 如果在标准交换机上配置绑定和故障切换策略, 该策略将传播到交换机中的所有端口组 如果在标准端口组上配置策略, 该策略将替代从交换机继承的策略 1 在 vsphere Web Client 中, 导航到主机 2 在配置选项卡上, 展开网络, 然后选择虚拟交换机 3 导航到标准交换机或标准端口组的绑定和故障切换策略 选项 操作 标准交换机 a 从列表中选择交换机 b 单击编辑设置, 然后选择绑定和故障切换 标准端口组 a 选择端口组所在的交换机 b 从交换机拓扑图中, 选择标准端口组并单击编辑设置 c 选择绑定和故障切换 d 选择要替代的策略旁边的替代 4 从负载平衡下拉菜单中, 指定虚拟交换机如何对组内物理网卡之间的出站流量进行负载平衡 选项 基于源虚拟端口的路由 描述 根据交换机上的虚拟端口 ID 选择上行链路 虚拟交换机为虚拟机或 VMkernel 适配器选择上行链路后, 便始终会通过此虚拟机或 VMkernel 适配器的同一上行链路转发流量 基于 IP 哈希的路由根据每个数据包的源和目标 IP 地址哈希选择上行链路 对于非 IP 数据包, 交换机在相应字段中使用这些数据来计算哈希值 基于 IP 的绑定要求为物理交换机配置以太通道 VMware, Inc. 89

90 选项 基于源 MAC 哈希的路由 使用明确故障切换顺序 描述 根据源以太网的哈希选择上行链路 在活动适配器列表中, 始终使用最前面的上行链路传递故障切换检测条件 此选项不会执行任何实际负载平衡 5 从网络故障检测下拉菜单中, 选择虚拟交换机用于故障切换检测的方法 选项 仅链路状态 信标探测 描述 仅取决于网络适配器提供的链路状态 该选项可用于检测故障, 如电缆移除和物理交换机电源故障 发出并侦听组中所有网卡上的信标探测, 并使用此信息结合链路状态来确定链接故障 ESXi 每秒发送一次信标数据包 网卡必须处于活动 / 活动或活动 / 备用配置中, 因为 未使用 状态中的网卡不会加入信标探测 6 从通知交换机下拉菜单中, 选择在出现故障切换时, 标准交换机或 Distributed Switch 是否通知物理交换机 注意如果连接的虚拟机以单播模式使用 Microsoft 网络负载平衡, 则将该选项设置为否 网络负载平衡在多播模式下运行时不存在任何问题 7 从故障恢复下拉菜单中, 选择物理适配器从故障恢复后是否返回到活动状态 如果故障恢复设置为是 ( 默认选择 ), 则适配器将在恢复后立即返回到活动任务, 并取代接替其位置的备用适配器 ( 如果有 ) 如果标准端口的故障恢复设置为否, 则出现故障的适配器在恢复后仍为非活动状态, 直至另有一个当前处于活动状态的适配器出现故障, 必须进行更换 8 通过配置 故障切换顺序 列表指定在出现故障切换时如何使用网卡组中的上行链路 如果要使用部分上行链路而要保留另外一些上行链路, 以备使用中的上行链路出现故障时的紧急情况, 请使用向上箭头或向下箭头键将这些上行链路移至其他组中 选项活动适配器备用适配器未用的适配器 描述如果网络适配器连接运行正常并处于活动状态, 则继续使用上行链路 如果其中一个活动物理适配器停机, 则使用此上行链路 不使用此上行链路 9 单击确定 在分布式端口组或分布式端口上配置网卡绑定 故障切换和负载平衡 在组中包括两个或多个物理网卡可增加分布式端口组或端口的网络容量 配置故障切换顺序以确定如何在适配器发生故障时重新路由网络流量 选择负载平衡算法以确定 Distributed Switch 如何在组内物理网卡之间进行流量负载平衡 根据物理交换机的网络配置和 Distributed Switch 的拓扑配置网卡绑定 故障切换和负载平衡 有关详细信息, 请参见第 85 页, 成组和故障切换策略 和第 86 页, 可用于虚拟交换机的负载平衡算法 如果为分布式端口组配置绑定和故障切换策略, 策略将传播到组中的所有端口 如果为分布式端口配置策略, 该策略将替代从组继承的策略 前提条件 要替代分布式端口级别的策略, 请为此策略启用端口级别替代选项 请参见第 48 页, 在端口级别配置替代网络策略 90 VMware, Inc.

91 第 8 章网络策略 1 在 vsphere Web Client 中, 导航到 Distributed Switch 2 浏览分布式端口组或端口的绑定和故障切换策略 选项 操作 分布式端口组 a 在操作菜单中, 选择分布式端口组 > 管理分布式端口组 b c 选择绑定和故障切换 选择端口组, 然后单击下一步 分布式端口 a 在网络选项卡上, 单击分布式端口组, 然后双击分布式端口组 b 在端口选项卡上, 选择端口, 然后单击编辑分布式端口设置 c 选择绑定和故障切换 d 选择要替代的属性旁边的替代 3 从负载平衡下拉菜单中, 指定虚拟交换机如何对组内物理网卡之间的出站流量进行负载平衡 选项 描述 基于源虚拟端口的路由 根据交换机上的虚拟端口 ID 选择上行链路 虚拟交换机为虚拟机或 VMkernel 适配器选择上行链路后, 便始终会通过此虚拟机或 VMkernel 适配器的同一上行链路转发流量 基于 IP 哈希的路由根据每个数据包的源和目标 IP 地址哈希选择上行链路 对于非 IP 数据包, 交换机在相应字段中使用这些数据来计算哈希值 基于 IP 的绑定要求为物理交换机配置以太通道 基于源 MAC 哈希的路由 基于物理网卡负载的路由 使用明确故障切换顺序 根据源以太网的哈希选择上行链路 可用于分布式端口组或分布式端口 根据连接到端口组或端口的物理网络适配器的当前负载选择上行链路 如果上行链路 75% 或更高持续 30 秒保持忙碌状态, 主机代理交换机会将一部分虚拟机流量移至具有可用容量的物理适配器 在活动适配器列表中, 始终使用最前面的上行链路传递故障切换检测条件 此选项不会执行任何实际负载平衡 4 从网络故障检测下拉菜单中, 选择虚拟交换机用于故障切换检测的方法 选项 仅链路状态 信标探测 描述 仅取决于网络适配器提供的链路状态 该选项可用于检测故障, 如电缆移除和物理交换机电源故障 发出并侦听组中所有网卡上的信标探测, 并使用此信息结合链路状态来确定链接故障 ESXi 每秒发送一次信标数据包 网卡必须处于活动 / 活动或活动 / 备用配置中, 因为 未使用 状态中的网卡不会加入信标探测 5 从通知交换机下拉菜单中, 选择在出现故障切换时, 标准交换机或 Distributed Switch 是否通知物理交换机 注意如果连接的虚拟机以单播模式使用 Microsoft 网络负载平衡, 则将该选项设置为否 网络负载平衡在多播模式下运行时不存在任何问题 6 从故障恢复下拉菜单中, 选择物理适配器从故障恢复后是否返回到活动状态 如果故障恢复设置为是 ( 默认选择 ), 则适配器将在恢复后立即返回到活动任务, 并取代接替其位置的备用适配器 ( 如果有 ) VMware, Inc. 91

92 如果分布式端口的故障恢复设置为否, 则仅当关联的虚拟机在运行时, 出现故障的适配器才会在恢复后保持非活动状态 当故障恢复选项为否并且虚拟机已关闭电源时, 如果所有活动的物理适配器发生故障, 然后其中一个物理适配器恢复, 则打开虚拟机电源后, 虚拟网卡将连接到恢复的适配器而非待机适配器 关闭虚拟机电源然后再打开电源会将虚拟网卡重新连接到分布式端口 Distributed Switch 将该端口视为新添加的端口, 并将其作为默认上行链路端口 ( 即活动的上行链路适配器 ) 7 通过配置 故障切换顺序 列表指定在出现故障切换时如何使用网卡组中的上行链路 如果要使用部分上行链路而要保留另外一些上行链路, 以备使用中的上行链路出现故障时的紧急情况, 请使用向上箭头或向下箭头键将这些上行链路移至其他组中 选项活动适配器备用适配器未用的适配器 描述如果网络适配器连接运行正常并处于活动状态, 则继续使用上行链路 如果其中一个活动物理适配器停机, 则使用此上行链路 不使用此上行链路 8 查看设置并应用配置 VLAN 策略 VLAN 策略决定了 VLAN 在网络环境中的运行方式 虚拟局域网 (VLAN) 是一组有着共同要求的主机, 无论其物理位置如何, 都像连接到同一广播域一样进行通信 VLAN 与物理局域网 (LAN) 的属性相同, 但是 VLAN 允许终端站组合在一起, 即使它们不在同一网络交换机上也是如此 VLAN 策略的适用范围可以是分布式端口组和端口以及上行链路端口组和端口 在分布式端口组或分布式端口上配置 VLAN 标记 要在所有分布式端口上全局应用 VLAN 标记, 必须设置分布式端口组的 VLAN 策略 要以不同于父级分布式端口组的方式将通过该端口的虚拟流量与物理 VLAN 相整合, 必须使用分布式端口的 VLAN 策略 前提条件 要替代分布式端口级别的策略, 请为此策略启用端口级别替代选项 请参见第 48 页, 在端口级别配置替代网络策略 1 在 vsphere Web Client 中, 导航到 Distributed Switch 2 导航到分布式端口组或分布式端口的 VLAN 策略 选项 操作 分布式端口组 a 在操作菜单中, 选择分布式端口组 > 管理分布式端口组 b c 选择 VLAN, 然后单击下一步 选择端口组, 然后单击下一步 分布式端口 a 在网络选项卡上, 单击分布式端口组, 然后双击分布式端口组 b 在端口选项卡上, 选择端口, 然后单击编辑分布式端口设置图标 c 选择 VLAN d 选择要替代的属性旁边的替代 92 VMware, Inc.

93 第 8 章网络策略 3 从 VLAN 类型下拉菜单中选择 VLAN 流量筛选和标记的类型, 然后单击下一步 选项 描述 无不使用 VLAN VLAN VLAN 中继 专用 VLAN 如果是外部交换机标记, 则使用此选项 使用 VLAN ID 字段中的 ID 来标记流量 为虚拟交换机标记键入介于 1 和 4094 之间的数字 将 ID 在 VLAN 中继范围内的 VLAN 流量传递到客户机操作系统 可以使用逗号分隔的列表来设置多个范围和各个 VLAN 为虚拟客户机标记使用此选项 将流量与在 Distributed Switch 上创建的专用 VLAN 相关联 4 查看设置并应用配置 配置上行链路端口组或上行链路端口上的 VLAN 标记 通常, 要为所有成员上行链路配置 VLAN 流量处理, 必须设置上行链路端口的 VLAN 策略 要以不同于父级上行链路端口组的方式处理通过该端口的 VLAN 流量, 必须设置上行链路的 VLAN 策略 在上行链路端口级别使用 VLAN 策略可将 VLAN ID 的中继范围传播至物理网络适配器以执行流量筛选 如果物理网络适配器支持按 VLAN 筛选, 这些网络适配器将丢弃来自其他 VLAN 的数据包 设置一个中继范围可改进网络连接性能, 因为物理网络适配器负责筛选流量 ( 而非组中的上行链路端口 ) 如果您的物理网络适配器不支持 VLAN 筛选, 这些 VLAN 仍不会受到阻止 此时, 可在分布式端口组或分布式端口上配置 VLAN 筛选 有关 VLAN 筛选支持的信息, 请参见适配器供应商提供的技术文档 前提条件 要替代端口级别的 VLAN 策略, 请启用端口级别替代 请参见第 48 页, 在端口级别配置替代网络策略 1 在 vsphere Web Client 中, 导航到 Distributed Switch 2 在网络选项卡上, 单击上行链路端口组 3 导航到上行链路端口组或端口的 VLAN 策略 选项 操作 上行链路端口组 a 右键单击列表中的上行链路端口组, 然后选择编辑设置 b 单击 VLAN 上行链路端口 a 双击上行链路端口组 b 在端口选项卡上, 选择端口, 然后单击编辑分布式端口设置选项卡 c 单击 VLAN 并选中替代 4 键入要传播到物理网络适配器的 VLAN 中继范围值 要中继多个范围和各个 VLAN, 可用逗号分隔各个条目 5 单击确定 VMware, Inc. 93

94 安全策略 网络安全策略可保护流量免受 MAC 地址模拟和有害端口扫描的威胁 在网络协议堆栈的第 2 层 ( 数据链路层 ) 执行标准交换机或 Distributed Switch 的安全策略 安全策略的三大要素是杂乱模式 MAC 地址更改和伪信号 有关潜在网络威胁的信息, 请参见 vsphere 安全性文档 配置 vsphere Standard Switch 或标准端口组的安全策略 对于 vsphere Standard Switch, 您可以在虚拟机的客户机操作系统中配置安全策略以拒绝 MAC 地址和混杂模式更改 可以替代从单个端口组上的标准交换机继承的安全策略 1 在 vsphere Web Client 中, 导航到主机 2 在配置选项卡上, 展开网络, 然后选择虚拟交换机 3 导航到标准交换机或端口组的安全策略 选项 操作 vsphere 标准交换机 a 在列表中选择一个标准交换机 b 单击编辑设置 c 选择安全 标准端口组 a 选择端口组所在的标准交换机 b 在拓扑图中, 选择一个标准端口组 c 单击编辑设置 d 选择安全, 然后选择选项旁边的替代以替代 4 拒绝或接受与标准交换机或端口组相连的虚拟机的客户机操作系统中混杂模式激活或 MAC 地址更改 选项 描述 混杂模式 拒绝 虚拟机网络适配器仅接收发送到虚拟机的帧 接受 虚拟交换机会将所有帧转发到符合虚拟机网络适配器所连接端口的活动 VLAN 策略的虚拟机 注意混杂模式是一种不安全的运行模式 防火墙 端口扫描程序 入侵检测系统必须在混杂模式下运行 MAC 地址更改 拒绝 如果客户机操作系统将虚拟机的有效 MAC 地址更改为与虚拟机网络适配器的 MAC 地址 ( 在.vmx 配置文件中设置 ) 不同的值, 则交换机会丢弃所有到适配器的入站帧 如果客户机操作系统将虚拟机的有效 MAC 地址更改回虚拟机网络适配器的 MAC 地址, 则虚拟机将重新接收帧 接受 如果客户机操作系统将虚拟机的有效 MAC 地址更改为与虚拟机网络适配器的 MAC 地址不同的值, 则交换机将允许传递到新地址的帧 伪信号 拒绝 如果从虚拟机适配器发出的出站帧的源 MAC 地址不同于.vmx 配置文件中的源 MAC 地址, 则交换机会丢弃该出站帧 接受 交换机不执行筛选, 并允许所有出站帧通过 5 单击确定 94 VMware, Inc.

95 第 8 章网络策略 配置分布式端口组或分布式端口的安全策略 可以对分布式端口组设置安全策略, 以允许或拒绝在与端口组关联的虚拟机的客户机操作系统中启用混杂模式和 MAC 地址更改 可以替代从单个端口上的分布式端口组继承的安全策略 前提条件 要替代分布式端口级别的策略, 请为此策略启用端口级别替代选项 请参见第 48 页, 在端口级别配置替代网络策略 1 在 vsphere Web Client 中, 导航到 Distributed Switch 2 导航到分布式端口组或端口的安全策略 选项 操作 分布式端口组 a 在操作菜单中, 选择分布式端口组 > 管理分布式端口组 b c 选择安全 选择端口组, 然后单击下一步 分布式端口 a 在网络选项卡上, 单击分布式端口组, 然后双击分布式端口组 b 在端口选项卡上, 选择端口, 然后单击编辑分布式端口设置图标 c 选择安全 d 选择要替代的属性旁边的替代 3 拒绝或接受与分布式端口组或端口相连的虚拟机的客户机操作系统中混杂模式激活或 MAC 地址更改 选项 描述 混杂模式 拒绝 虚拟机网络适配器仅接收发送到虚拟机的帧 接受 虚拟交换机会将所有帧转发到符合虚拟机网络适配器所连接端口的活动 VLAN 策略的虚拟机 注意混杂模式是一种不安全的运行模式 防火墙 端口扫描程序 入侵检测系统必须在混杂模式下运行 MAC 地址更改 拒绝 如果客户机操作系统将虚拟机的有效 MAC 地址更改为与虚拟机网络适配器的 MAC 地址 ( 在.vmx 配置文件中设置 ) 不同的值, 则交换机会丢弃所有到适配器的入站帧 如果客户机操作系统将虚拟机的有效 MAC 地址更改回虚拟机网络适配器的 MAC 地址, 则虚拟机将重新接收帧 接受 如果客户机操作系统将虚拟机的有效 MAC 地址更改为与虚拟机网络适配器的 MAC 地址不同的值, 则交换机将允许传递到新地址的帧 伪信号 拒绝 如果从虚拟机适配器发出的出站帧的源 MAC 地址不同于.vmx 配置文件中的源 MAC 地址, 则交换机会丢弃该出站帧 接受 交换机不执行筛选, 并允许所有出站帧通过 4 查看设置并应用配置 VMware, Inc. 95

96 流量调整策略 流量调整策略是由平均带宽 峰值带宽和突发大小所定义的 可以为每个端口组和每个分布式端口或分布式端口组建立流量调整策略 ESXi 调整标准交换机上的出站网络流量以及分布式交换机上的入站和出站流量 流量调整功能会限制可用于端口的网络带宽, 但也可以将其配置为允许流量突发, 使流量以更高的速度通过端口 平均带宽 带宽峰值 突发大小 规定某段时间内允许通过端口的平均每秒位数 此数值是允许的平均负载 端口发送或接收突发流量时, 每秒允许通过端口的最大位数 此数值会限制端口经历额外突发时所用的带宽 突发中所允许的最大字节数 如果设置了此参数, 则在端口没有使用为其分配的所有带宽时可能会获取额外的突发 当端口所需带宽大于平均带宽所指定的值时, 如果有额外突发可用, 则可能会临时允许以更高的速度传输数据 此参数限制在额外突发中累积的字节数, 使流量以更高的速度传输 配置 vsphere Standard Switch 或标准端口组的流量调整 ESXi 允许您调整标准交换机或端口组的出站流量 流量调整程序可限制任意端口的可用网络带宽, 但也可将其配置为临时允许流量突发, 使流量以更高的速度通过端口 在交换机或端口组级别设置的流量调整策略适用于加入了该交换机或端口组的每个单独的端口 例如, 如果在标准端口组上设置 Kbps 的平均带宽, 则一段时间内平均 Kbps 可通过与标准端口组关联的每个端口 1 在 vsphere Web Client 中, 导航到主机 2 在配置选项卡上, 展开网络, 然后选择虚拟交换机 3 导航到标准交换机或端口组的流量调整策略 选项 操作 vsphere 标准交换机 a 在列表中选择一个标准交换机 b 单击编辑设置 c 选择流量调整 标准端口组 a 选择端口组所在的标准交换机 b 在拓扑图中, 选择一个标准端口组 c 单击编辑设置 d 选择流量调整, 然后选择选项旁边的替代以替代 4 配置流量调整策略 选项 状态 平均带宽 描述 针对与标准交换机或端口组关联的每个端口启用了网络带宽分配量的设置限制 设定每秒允许通过端口的位数, 这是一段时间内的平均值 ( 允许的平均负载 ) 96 VMware, Inc.

97 第 8 章网络策略 选项 带宽峰值 突发大小 描述 发送流量突发时, 每秒钟允许通过端口的最大传输位数 该设置是指流量突发时端口使用的最大带宽 此参数永远不能小于平均带宽 突发中所允许的最大字节数 如果设置了此参数, 则在端口没有使用为其分配的所有带宽时可能会获取额外的突发 当端口所需带宽大于平均带宽所指定的值时, 如果有额外突发可用, 则端口可能会临时以更高的速度传输数据 该参数是指流量突发时可累积且以更高速度传输的最大字节数 5 针对每个流量调整策略 ( 平均带宽 峰值带宽和突发大小 ), 输入带宽值 6 单击确定 编辑分布式端口组或分布式端口的流量调整策略 可以调整 vsphere 分布式端口组或分布式端口上的入站和出站流量 流量调整程序可限制组中任意端口的网络带宽, 但也可将其配置为临时允许流量 突发, 使流量以更高的速度通过端口 在分布式端口组级别设置的流量调整策略适用于加入该端口组的每一个单独端口 例如, 如果在分布式端口组上设置 Kbps 的平均带宽, 则与分布式端口组相关联的每个端口在一段时间内平均可通过 Kbps 前提条件 要替代分布式端口级别的策略, 请为此策略启用端口级别替代选项 请参见第 48 页, 在端口级别配置替代网络策略 1 在 vsphere Web Client 中, 导航到 Distributed Switch 2 导航到分布式端口组或端口的流量调整策略 选项 操作 分布式端口组 a 在操作菜单中, 选择分布式端口组 > 管理分布式端口组 b c 选择流量调整 选择端口组, 然后单击下一步 分布式端口 a 在网络选项卡上, 单击分布式端口组, 然后双击分布式端口组 b 在端口选项卡上, 选择端口, 然后单击编辑分布式端口设置图标 c 选择流量调整 d 选择要替代的属性旁边的替代 3 配置流量调整策略 注意流量根据交换机而非主机中的通信方向分为输入流量和输出流量两类 选项状态平均带宽峰值带宽突发大小 描述 通过使用状态下拉菜单启用输入流量调整或输出流量调整 设定每秒允许通过端口的位数, 这是一段时间内的平均值, 即允许的平均负载 端口在发送或接收流量突发时, 每秒钟允许通过端口的最大传输位数 该参数是指流量突发时端口使用的最大带宽 突发中所允许的最大字节数 如果设置了此参数, 则在端口没有使用为其分配的所有带宽时可能会获取额外的突发 当端口所需带宽大于平均带宽所指定的值时, 如果有额外突发可用, 则端口可能会临时以更高的速度传输数据 该参数是指流量突发时可累积且以更高速度传输的最大字节数 4 查看设置并应用配置 VMware, Inc. 97

98 资源分配策略 可以使用资源分配策略将分布式端口或端口组与用户创建的网络资源池关联 通过此策略可以更有效地控制为端口或端口组指定的带宽 有关创建和配置网络资源池的信息, 请参见第 147 页, 第 11 章 vsphere Network I/O Control 编辑分布式端口组的资源分配策略 通过将分布式端口组与网络资源池关联, 您可更有效地控制为分布式端口组分配的带宽 前提条件 在 Distributed Switch 上启用 Network I/O Control 请参见第 150 页, 在 vsphere Distributed Switch 上启用 Network I/O Control 创建并配置网络资源池 请参见第 155 页, 创建网络资源池 1 在 vsphere Web Client 中, 导航到 Distributed Switch 2 在导航器中右键单击 Distributed Switch, 然后选择分布式端口组 > 管理分布式端口组 3 选中资源分配复选框, 然后单击下一步 4 选择要配置的分布式端口组, 然后单击下一步 5 在网络资源池中添加或移除分布式端口组, 然后单击下一步 要添加分布式端口组, 请从网络资源池下拉菜单中选择用户定义的资源池 要移除分布式端口组, 请从网络资源池下拉菜单中选择默认 6 在即将完成部分中查看您的设置, 然后单击完成 使用上一步按钮更改任意设置 编辑分布式端口的资源分配策略 如果在 vsphere Distributed Switch 中使用 Network I/O Control 版本 2, 则可以明确地将分布式端口与用户定义的资源池关联, 以使用 Network I/O Control 控制提供给连接到端口的虚拟机的带宽 前提条件 确认 Network I/O Control 为版本 2 在 Distributed Switch 上启用 Network I/O Control 请参见第 150 页, 在 vsphere Distributed Switch 上启用 Network I/O Control 在 Network I/O Control 版本 2 中创建并配置网络资源池 请参见第 160 页, 在 Network I/O Control 版本 2 中创建网络资源池 为资源分配策略启用端口级别替代 请参见第 48 页, 在端口级别配置替代网络策略 1 在 vsphere Web Client 中, 导航到 Distributed Switch 2 在配置选项卡上, 展开更多, 并单击端口 3 从列表中选择端口, 然后单击编辑分布式端口设置图标 4 选择属性 98 VMware, Inc.

99 第 8 章网络策略 5 在 网络资源池 下单击替代复选框, 并从下拉菜单中向该端口分配网络资源池 如果未为资源分配策略启用端口级别替代, 则该选项将处于禁用状态 要将分布式端口与资源池关联, 请选择用户定义的资源池 要移除分布式端口与资源池之间的关联, 请选择默认 6 单击确定 监控策略 监控策略在分布式端口或端口组上启用或禁用 NetFlow 监控 在 vsphere Distributed Switch 级别配置 NetFlow 设置 请参见第 187 页, 配置 vsphere Distributed Switch 的 NetFlow 设置 在分布式端口组或分布式端口上启用或禁用 NetFlow 监控 启用 NetFlow 以监控通过分布式端口组的端口或通过单个分布式端口的 IP 数据包 在 vsphere Distributed Switch 上配置 NetFlow 设置 请参见第 187 页, 配置 vsphere Distributed Switch 的 NetFlow 设置 前提条件 要替代分布式端口级别的策略, 请为此策略启用端口级别替代选项 请参见第 48 页, 在端口级别配置替代网络策略 1 在 vsphere Web Client 中, 导航到 Distributed Switch 2 导航到分布式端口组或分布式端口的监控策略 选项 操作 分布式端口组 a 在操作菜单中, 选择分布式端口组 > 管理分布式端口组 b c 选择监控 选择端口组, 然后单击下一步 分布式端口 a 在网络选项卡上, 单击分布式端口组, 然后双击分布式端口组 b 在端口选项卡上, 选择端口, 然后单击编辑分布式端口设置图标 c 选择监控 d 选择要替代的属性旁边的替代 3 从 NetFlow 下拉菜单中启用或禁用 NetFlow, 然后单击下一步 4 验证设置并应用配置 流量筛选和标记策略 在 vsphere Distributed Switch 5.5 及更高版本中, 通过使用流量筛选和标记策略, 您可以避免虚拟网络进入有害的流量和遭受安全攻击, 或将 QoS 标记应用于某种类型的流量 流量筛选和标记策略表示一组有序的网络流量规则, 用于对通过 Distributed Switch 端口的数据流实施安全保护和应用 QoS 标记 一般而言, 规则包括流量限定符以及限制或设置匹配流量优先级的操作 vsphere Distributed Switch 将规则应用于数据流中不同位置的流量 Distributed Switch 将流量筛选规则应用于虚拟机网络适配器与分布式端口之间的数据路径, 或将上行链路规则应用于上行链路端口与物理网络适配器之间的数据路径 VMware, Inc. 99

100 分布式端口组或上行链路端口组的流量筛选和标记 在分布式端口组级别或上行链路端口组级别设置流量规则, 从而引入对通过虚拟机 VMkernel 适配器或物理适配器的流量访问的筛选和优先级标记功能 启用分布式端口组或上行链路端口组的流量筛选和标记第 100 页, 如果要在加入端口组的所有虚拟机网络适配器或上行链路适配器上配置流量安全和标记, 请为该组启用流量筛选和标记策略 标记分布式端口组或上行链路端口组的流量第 100 页, 可向在带宽 低延迟等方面具有较高网络要求的流量 ( 如 VoIP 和流视频 ) 分配优先级标记 您可以在网络协议堆栈的第 2 层使用 CoS 标记或在第 3 层使用 DSCP 标记来标记流量 筛选分布式端口组或上行链路端口组的流量第 102 页, 允许或停止流量, 以确保流经分布式端口组或上行链路端口组的端口的数据的安全 使用分布式端口组或上行链路端口组上的网络流量规则第 103 页, 定义在分布式端口组或上行链路端口组中的流量规则, 以引入处理与虚拟机或物理适配器相关的流量的策略 可以筛选特定流量或描述其 QoS 需求 禁用分布式端口组或上行链路端口组的流量筛选和标记第 104 页, 通过禁用流量筛选和标记策略来允许流量流向虚拟机或物理适配器, 而无需进行与安全或 QoS 相关的其他控制 启用分布式端口组或上行链路端口组的流量筛选和标记 如果要在加入端口组的所有虚拟机网络适配器或上行链路适配器上配置流量安全和标记, 请为该组启用流量筛选和标记策略 注意您可以对特定端口禁用流量筛选和标记策略, 以避免处理流经该端口的流量 请参见第 110 页, 禁用分布式端口或上行链路端口的流量筛选和标记 1 在 vsphere Web Client 中查找分布式端口组或上行链路端口组 a b 选择 Distributed Switch, 然后单击网络选项卡 单击分布式端口组以查看分布式端口组列表, 或单击上行链路端口组以查看上行链路端口组列表 2 右键单击端口组, 然后选择编辑设置 3 选择流量筛选和标记 4 从状态下拉菜单中选择已启用 5 单击确定 下一步 对流经分布式端口组的端口或流经上行链路端口组的数据设置流量标记或筛选 请参见第 100 页, 标记分布式端口组或上行链路端口组的流量 和第 102 页, 筛选分布式端口组或上行链路端口组的流量 标记分布式端口组或上行链路端口组的流量 可向在带宽 低延迟等方面具有较高网络要求的流量 ( 如 VoIP 和流视频 ) 分配优先级标记 您可以在网络协议堆栈的第 2 层使用 CoS 标记或在第 3 层使用 DSCP 标记来标记流量 优先级标记是一种流量标记机制, 用于标记 QoS 需求较高的流量 网络可以利用这一机制识别不同类的流量 网络设备可以根据每个类的优先级和要求来处理其中的流量 100 VMware, Inc.

101 第 8 章网络策略 您也可以重新标记流量, 以便提高或降低流量的重要性 通过使用较低的 QoS 标记, 可以限制客户机操作系统中标记的数据 1 在 vsphere Web Client 中查找分布式端口组或上行链路端口组 a b 选择 Distributed Switch, 然后单击网络选项卡 单击分布式端口组以查看分布式端口组列表, 或单击上行链路端口组以查看上行链路端口组列表 2 右键单击端口组, 然后选择编辑设置 3 选择流量筛选和标记 4 如果已禁用 流量筛选和标记, 可从状态下拉菜单中将其启用 5 单击新建以创建新规则, 或者选择一个规则并单击编辑以编辑该规则 6 在网络流量规则对话框中, 从操作下拉菜单中选择标记选项 7 为规则范围内的流量设置优先级标记 选项 CoS 值 DSCP 值 描述 在第 2 层网络中使用 CoS 优先级标记来标记与规则匹配的流量 请选择更新 CoS 标记, 并键入一个介于 0 到 7 之间的值 在第 3 层网络中使用 DSCP 标记来标记与规则关联的流量 请选择更新 DSCP 值, 并键入一个介于 0 到 63 之间的值 8 指定此规则所适用的流量种类 要确定某一数据流是否位于要标记或筛选的规则范围内,vSphere Distributed Switch 将检查流量的方向 源和目标等属性 VLAN 下一级别协议 基础架构流量类型等 a 从流量方向下拉菜单中, 选择流量必须为输入 输出还是同时为这两者, 才能使规则将其视为匹配 此方向还会影响您识别流量源和目标的方式 b 通过使用系统数据类型限定符 第 2 层数据包属性和第 3 层数据包属性, 可以设置数据包要与规则匹配而需要具备的属性 一个限定符表示一组与某个网络连接层相关的匹配条件 可以将流量与系统数据类型 第 2 层流量属性和第 3 层流量属性进行匹配 可以使用特定网络连接层的限定符, 也可以结合使用多个限定符, 以便更精确地匹配数据包 使用系统流量限定符将数据包与流经组端口的虚拟基础架构数据的类型进行匹配 例如, 您可以对传输到网络存储的数据选择 NFS 使用 MAC 流量限定符可根据 MAC 地址 VLAN ID 和下一级别协议匹配数据包 可以使用虚拟客户机标记 (VGT) 在分布式端口组上查找具有某个 VLAN ID 的流量 如果要在虚拟交换机标记 (VST) 处于活动状态时将流量与 VLAN ID 进行匹配, 请对上行链路端口组或上行链路端口使用一个规则 使用 IP 流量限定符可根据 IP 版本 IP 地址以及下一级别协议和端口匹配数据包 9 在规则对话框中, 单击确定以保存该规则 示例 :IP 语音流量标记 IP 语音 (VoIP) 流在低丢弃和低延迟方面具有特殊的 QoS 要求 与 VoIP 的会话发起协议 (SIP) 相关的流量通常有一个等于 26 的 DSCP 标记, 该标记值表示保证转发等级为 3 且丢弃概率为低 (AF31) 例如, 要标记到子网 /24 的出站 SIP UDP 数据包, 可以使用以下规则 : VMware, Inc. 101

102 规则参数 参数值 操作 DSCP 值 26 标记 流量方向 流量限定符 协议 输出 IP 限定符 UDP 目标端口 5060 源地址 与 匹配的前缀长度为 24 的 IP 地址 筛选分布式端口组或上行链路端口组的流量允许或停止流量, 以确保流经分布式端口组或上行链路端口组的端口的数据的安全 1 在 vsphere Web Client 中查找分布式端口组或上行链路端口组 a b 选择 Distributed Switch, 然后单击网络选项卡 单击分布式端口组以查看分布式端口组列表, 或单击上行链路端口组以查看上行链路端口组列表 2 右键单击端口组, 然后选择编辑设置 3 选择流量筛选和标记 4 如果已禁用 流量筛选和标记, 可从状态下拉菜单中将其启用 5 单击新建以创建新规则, 或者选择一个规则并单击编辑以编辑该规则 6 在 网络流量规则 对话框中, 使用 操作 选项以允许流量通过分布式端口组或上行链路端口组的端口, 或对其进行限制 7 指定此规则所适用的流量种类 要确定某一数据流是否位于要标记或筛选的规则范围内,vSphere Distributed Switch 将检查流量的方向 源和目标等属性 VLAN 下一级别协议 基础架构流量类型等 a 从流量方向下拉菜单中, 选择流量必须为输入 输出还是同时为这两者, 才能使规则将其视为匹配 此方向还会影响您识别流量源和目标的方式 b 通过使用系统数据类型限定符 第 2 层数据包属性和第 3 层数据包属性, 可以设置数据包要与规则匹配而需要具备的属性 一个限定符表示一组与某个网络连接层相关的匹配条件 可以将流量与系统数据类型 第 2 层流量属性和第 3 层流量属性进行匹配 可以使用特定网络连接层的限定符, 也可以结合使用多个限定符, 以便更精确地匹配数据包 使用系统流量限定符将数据包与流经组端口的虚拟基础架构数据的类型进行匹配 例如, 您可以对传输到网络存储的数据选择 NFS 使用 MAC 流量限定符可根据 MAC 地址 VLAN ID 和下一级别协议匹配数据包 可以使用虚拟客户机标记 (VGT) 在分布式端口组上查找具有某个 VLAN ID 的流量 如果要在虚拟交换机标记 (VST) 处于活动状态时将流量与 VLAN ID 进行匹配, 请对上行链路端口组或上行链路端口使用一个规则 使用 IP 流量限定符可根据 IP 版本 IP 地址以及下一级别协议和端口匹配数据包 8 在规则对话框中, 单击确定以保存该规则 102 VMware, Inc.

103 第 8 章网络策略 使用分布式端口组或上行链路端口组上的网络流量规则 定义在分布式端口组或上行链路端口组中的流量规则, 以引入处理与虚拟机或物理适配器相关的流量的策略 可以筛选特定流量或描述其 QoS 需求 注意可以在端口级别替代流量筛选和标记的策略规则 请参见第 108 页, 使用分布式端口或上行链路端口上的网络流量规则 查看分布式端口组或上行链路组的流量规则第 103 页, 查看形成分布式端口组或上行链路端口组的流量筛选和屏蔽策略的流量规则 编辑分布式端口组或上行链路端口组的流量规则第 103 页, 可以创建或编辑流量规则, 然后使用其参数在分布式端口组或上行链路端口组上配置用于筛选或标记流量的策略 更改分布式端口组或上行链路端口组的规则优先级第 104 页, 对组成分布式端口组或上行链路端口组的流量筛选和标记策略的规则进行重新排序可改变处理流量的操作顺序 删除分布式端口组或上行链路端口组的流量规则第 104 页, 删除分布式端口组或上行链路端口组上的流量规则, 以便以特定方式停止处理数据包流向虚拟机或物理适配器 查看分布式端口组或上行链路组的流量规则 查看形成分布式端口组或上行链路端口组的流量筛选和屏蔽策略的流量规则 1 在 vsphere Web Client 中查找分布式端口组或上行链路端口组 a b 选择 Distributed Switch, 然后单击网络选项卡 单击分布式端口组以查看分布式端口组列表, 或单击上行链路端口组以查看上行链路端口组列表 2 右键单击端口组, 然后选择编辑设置 3 选择流量筛选和标记 4 如果已禁用 流量筛选和标记, 可从状态下拉菜单中将其启用 5 检查操作以查看此规则是否对流量进行了筛选 ( 允许或拒绝 ), 或者是否对具有特殊 QoS 需求的流量进行了标记 ( 标记 ) 6 从上方的列表中, 选择您要查看流量查找条件的规则 此规则的流量限定参数将显示在流量限定符列表中 编辑分布式端口组或上行链路端口组的流量规则可以创建或编辑流量规则, 然后使用其参数在分布式端口组或上行链路端口组上配置用于筛选或标记流量的策略 1 在 vsphere Web Client 中查找分布式端口组或上行链路端口组 a b 选择 Distributed Switch, 然后单击网络选项卡 单击分布式端口组以查看分布式端口组列表, 或单击上行链路端口组以查看上行链路端口组列表 2 右键单击端口组, 然后选择编辑设置 3 选择流量筛选和标记 VMware, Inc. 103

104 4 如果已禁用 流量筛选和标记, 可从状态下拉菜单中将其启用 5 单击新建以创建新规则, 或者选择一个规则并单击编辑以编辑该规则 下一步 为网络流量规则命名, 并拒绝 允许或标记目标流量 更改分布式端口组或上行链路端口组的规则优先级 对组成分布式端口组或上行链路端口组的流量筛选和标记策略的规则进行重新排序可改变处理流量的操作顺序 vsphere Distributed Switch 将按严格的顺序应用网络流量规则 如果某个数据包已符合某个规则, 则该数据包可能不会传递到策略中的下一个规则 1 在 vsphere Web Client 中查找分布式端口组或上行链路端口组 a b 选择 Distributed Switch, 然后单击网络选项卡 单击分布式端口组以查看分布式端口组列表, 或单击上行链路端口组以查看上行链路端口组列表 2 右键单击端口组, 然后选择编辑设置 3 选择流量筛选和标记 4 如果已禁用 流量筛选和标记, 可从状态下拉菜单中将其启用 5 选择一个规则, 并使用箭头按钮来更改其优先级 6 单击确定应用更改 删除分布式端口组或上行链路端口组的流量规则删除分布式端口组或上行链路端口组上的流量规则, 以便以特定方式停止处理数据包流向虚拟机或物理适配器 1 在 vsphere Web Client 中查找分布式端口组或上行链路端口组 a b 选择 Distributed Switch, 然后单击网络选项卡 单击分布式端口组以查看分布式端口组列表, 或单击上行链路端口组以查看上行链路端口组列表 2 右键单击端口组, 然后选择编辑设置 3 选择流量筛选和标记 4 如果已禁用 流量筛选和标记, 可从状态下拉菜单中将其启用 5 选择规则, 然后单击删除 6 单击确定 禁用分布式端口组或上行链路端口组的流量筛选和标记 通过禁用流量筛选和标记策略来允许流量流向虚拟机或物理适配器, 而无需进行与安全或 QoS 相关的其他控制 注意您可以对特定端口启用或设置流量筛选和标记策略 请参见第 105 页, 在分布式端口或上行链路端口上启用流量筛选和标记 104 VMware, Inc.

105 第 8 章网络策略 1 在 vsphere Web Client 中查找分布式端口组或上行链路端口组 a b 选择 Distributed Switch, 然后单击网络选项卡 单击分布式端口组以查看分布式端口组列表, 或单击上行链路端口组以查看上行链路端口组列表 2 右键单击端口组, 然后选择编辑设置 3 选择流量筛选和标记 4 从状态下拉菜单中选择已禁用 5 单击确定 分布式端口或上行链路端口的流量筛选和标记 可以通过对分布式端口或上行链路端口配置流量筛选和标记策略, 为单个虚拟机 VMkernel 适配器或物理适配器筛选流量或描述其 QoS 需求 在分布式端口或上行链路端口上启用流量筛选和标记第 105 页, 在端口上启用流量筛选和标记策略, 以便在虚拟机网络适配器 VMkernel 适配器或上行链路适配器上配置流量安全和标记 标记分布式端口或上行链路端口的流量第 106 页, 在规则中为需要特殊处理的流量 ( 如 VoIP 和流视频 ) 分配优先级标记 您可以在网络协议堆栈的第 2 层使用 CoS 标记或在第 3 层使用 DSCP 标记来标记虚拟机 VMkernel 适配器或物理适配器的流量 筛选分布式端口或上行链路端口上的流量第 107 页, 通过使用规则, 可允许或禁止流量, 从而确保通过虚拟机 VMkernel 适配器或物理适配器的数据流的安全 使用分布式端口或上行链路端口上的网络流量规则第 108 页, 定义分布式端口或上行链路端口组中的流量规则, 以引入处理与虚拟机或物理适配器相关的流量的策略 可以筛选特定流量或描述其 QoS 需求 禁用分布式端口或上行链路端口的流量筛选和标记第 110 页, 对端口禁用流量筛选和标记策略, 以使流至虚拟机或物理适配器的流量不按照安全性进行筛选或按 QoS 进行标记 在分布式端口或上行链路端口上启用流量筛选和标记 在端口上启用流量筛选和标记策略, 以便在虚拟机网络适配器 VMkernel 适配器或上行链路适配器上配置流量安全和标记 前提条件 要替代分布式端口级别的策略, 请为此策略启用端口级别替代选项 请参见第 48 页, 在端口级别配置替代网络策略 1 导航到 Distributed Switch, 然后导航到分布式端口或上行链路端口 要导航到交换机的分布式端口, 请单击网络 > 分布式端口组, 双击列表中的分布式端口组, 然后单击 端口选项卡 要导航到上行链路端口组的上行链路端口, 请单击网络 > 上行链路端口组, 双击列表中的上行链路端 口组, 然后单击端口选项卡 2 从列表中选择端口 VMware, Inc. 105

106 3 单击编辑分布式端口设置 4 选择流量筛选和标记 5 选择替代复选框, 然后在状态下拉菜单中选择已启用 6 单击确定 下一步 为流经分布式端口或上行链路端口的数据设置流量筛选或标记 请参见第 106 页, 标记分布式端口或上行链路端口的流量 和第 107 页, 筛选分布式端口或上行链路端口上的流量 标记分布式端口或上行链路端口的流量 在规则中为需要特殊处理的流量 ( 如 VoIP 和流视频 ) 分配优先级标记 您可以在网络协议堆栈的第 2 层使用 CoS 标记或在第 3 层使用 DSCP 标记来标记虚拟机 VMkernel 适配器或物理适配器的流量 优先级标记是一种流量标记机制, 用于标记 QoS 需求较高的流量 网络可以利用这一机制识别不同类的流量 网络设备可以根据每个类的优先级和要求来处理其中的流量 您也可以重新标记流量, 以便提高或降低流量的重要性 通过使用较低的 QoS 标记, 可以限制客户机操作系统中标记的数据 前提条件 要替代分布式端口级别的策略, 请为此策略启用端口级别替代选项 请参见第 48 页, 在端口级别配置替代网络策略 1 导航到 Distributed Switch, 然后导航到分布式端口或上行链路端口 要导航到交换机的分布式端口, 请单击网络 > 分布式端口组, 双击列表中的分布式端口组, 然后单击 端口选项卡 要导航到上行链路端口组的上行链路端口, 请单击网络 > 上行链路端口组, 双击列表中的上行链路端 口组, 然后单击端口选项卡 2 从列表中选择端口 3 单击编辑分布式端口设置 4 如果没有在端口级别启用流量筛选和标记, 请单击替代, 然后从状态下拉菜单中选择已启用 5 单击新建以创建新规则, 或者选择一个规则并单击编辑以编辑该规则 您可以更改从分布式端口组或上行链路端口组继承的规则 可以通过这一方式使规则在端口范围内具有唯一性 6 在网络流量规则对话框中, 从操作下拉菜单中选择标记选项 7 为规则范围内的流量设置优先级标记 选项 CoS 值 DSCP 值 描述 在第 2 层网络中使用 CoS 优先级标记来标记与规则匹配的流量 请选择更新 CoS 标记, 并键入一个介于 0 到 7 之间的值 在第 3 层网络中使用 DSCP 标记来标记与规则关联的流量 请选择更新 DSCP 值, 并键入一个介于 0 到 63 之间的值 106 VMware, Inc.

107 第 8 章网络策略 8 指定此规则所适用的流量种类 要确定某一数据流是否位于要标记或筛选的规则范围内,vSphere Distributed Switch 将检查流量的方向 源和目标等属性 VLAN 下一级别协议 基础架构流量类型等 a 从流量方向下拉菜单中, 选择流量必须为输入 输出还是同时为这两者, 才能使规则将其视为匹配 此方向还会影响您识别流量源和目标的方式 b 通过使用系统数据类型限定符 第 2 层数据包属性和第 3 层数据包属性, 可以设置数据包要与规则匹配而需要具备的属性 一个限定符表示一组与某个网络连接层相关的匹配条件 可以将流量与系统数据类型 第 2 层流量属性和第 3 层流量属性进行匹配 可以使用特定网络连接层的限定符, 也可以结合使用多个限定符, 以便更精确地匹配数据包 使用系统流量限定符将数据包与流经组端口的虚拟基础架构数据的类型进行匹配 例如, 您可以对传输到网络存储的数据选择 NFS 使用 MAC 流量限定符可根据 MAC 地址 VLAN ID 和下一级别协议匹配数据包 可以使用虚拟客户机标记 (VGT) 在分布式端口组上查找具有某个 VLAN ID 的流量 如果要在虚拟交换机标记 (VST) 处于活动状态时将流量与 VLAN ID 进行匹配, 请对上行链路端口组或上行链路端口使用一个规则 使用 IP 流量限定符可根据 IP 版本 IP 地址以及下一级别协议和端口匹配数据包 9 在规则对话框中, 单击确定以保存该规则 筛选分布式端口或上行链路端口上的流量 通过使用规则, 可允许或禁止流量, 从而确保通过虚拟机 VMkernel 适配器或物理适配器的数据流的安全 前提条件 要替代分布式端口级别的策略, 请为此策略启用端口级别替代选项 请参见第 48 页, 在端口级别配置替代网络策略 1 导航到 Distributed Switch, 然后导航到分布式端口或上行链路端口 要导航到交换机的分布式端口, 请单击网络 > 分布式端口组, 双击列表中的分布式端口组, 然后单击 端口选项卡 要导航到上行链路端口组的上行链路端口, 请单击网络 > 上行链路端口组, 双击列表中的上行链路端 口组, 然后单击端口选项卡 2 从列表中选择端口 3 单击编辑分布式端口设置 4 如果没有在端口级别启用流量筛选和标记, 请单击替代, 然后从状态下拉菜单中选择已启用 5 单击新建以创建新规则, 或者选择一个规则并单击编辑以编辑该规则 您可以更改从分布式端口组或上行链路端口组继承的规则 可以通过这一方式使规则在端口范围内具有唯一性 6 在网络流量规则对话框中, 选择允许操作以允许流量通过分布式端口或上行链路端口, 或选择丢弃操作以对其进行限制 VMware, Inc. 107

108 7 指定此规则所适用的流量种类 要确定某一数据流是否位于要标记或筛选的规则范围内,vSphere Distributed Switch 将检查流量的方向 源和目标等属性 VLAN 下一级别协议 基础架构流量类型等 a 从流量方向下拉菜单中, 选择流量必须为输入 输出还是同时为这两者, 才能使规则将其视为匹配 此方向还会影响您识别流量源和目标的方式 b 通过使用系统数据类型限定符 第 2 层数据包属性和第 3 层数据包属性, 可以设置数据包要与规则匹配而需要具备的属性 一个限定符表示一组与某个网络连接层相关的匹配条件 可以将流量与系统数据类型 第 2 层流量属性和第 3 层流量属性进行匹配 可以使用特定网络连接层的限定符, 也可以结合使用多个限定符, 以便更精确地匹配数据包 使用系统流量限定符将数据包与流经组端口的虚拟基础架构数据的类型进行匹配 例如, 您可以对传输到网络存储的数据选择 NFS 使用 MAC 流量限定符可根据 MAC 地址 VLAN ID 和下一级别协议匹配数据包 可以使用虚拟客户机标记 (VGT) 在分布式端口组上查找具有某个 VLAN ID 的流量 如果要在虚拟交换机标记 (VST) 处于活动状态时将流量与 VLAN ID 进行匹配, 请对上行链路端口组或上行链路端口使用一个规则 使用 IP 流量限定符可根据 IP 版本 IP 地址以及下一级别协议和端口匹配数据包 8 在规则对话框中, 单击确定以保存该规则 使用分布式端口或上行链路端口上的网络流量规则 定义分布式端口或上行链路端口组中的流量规则, 以引入处理与虚拟机或物理适配器相关的流量的策略 可以筛选特定流量或描述其 QoS 需求 查看分布式端口或上行链路端口上的流量规则第 108 页, 查看构成分布式端口或上行链路端口的流量筛选和标记策略的流量规则 编辑分布式端口或上行链路端口上的流量规则第 109 页, 创建或编辑流量规则, 并使用其参数为分布式端口或上行链路端口配置流量筛选或者标记策略 更改分布式端口或上行链路端口的规则优先级第 109 页, 将构成分布式端口或上行链路端口的流量筛选和屏蔽策略的规则重新排序, 以更改流量分析的操作顺序, 确保安全性和服务质量 删除分布式端口或上行链路端口上的流量规则第 110 页, 删除分布式端口或上行链路端口上的流量规则可停止筛选或标记流向虚拟机或物理适配器的特定数据包类型 查看分布式端口或上行链路端口上的流量规则 查看构成分布式端口或上行链路端口的流量筛选和标记策略的流量规则 前提条件 要替代分布式端口级别的策略, 请为此策略启用端口级别替代选项 请参见第 48 页, 在端口级别配置替代网络策略 108 VMware, Inc.

109 第 8 章网络策略 1 导航到 Distributed Switch, 然后导航到分布式端口或上行链路端口 要导航到交换机的分布式端口, 请单击网络 > 分布式端口组, 双击列表中的分布式端口组, 然后单击 端口选项卡 要导航到上行链路端口组的上行链路端口, 请单击网络 > 上行链路端口组, 双击列表中的上行链路端 口组, 然后单击端口选项卡 2 从列表中选择端口 3 单击编辑分布式端口设置 4 选择流量筛选和标记 5 如果没有在端口级别启用流量筛选和标记, 请单击替代, 然后从状态下拉菜单中选择已启用 6 检查操作以查看此规则是否对流量进行了筛选 ( 允许或拒绝 ), 或者是否对具有特殊 QoS 需求的流量进行 了标记 ( 标记 ) 7 从上方的列表中, 选择您要查看流量查找条件的规则 此规则的流量限定参数将显示在流量限定符列表中 编辑分布式端口或上行链路端口上的流量规则 创建或编辑流量规则, 并使用其参数为分布式端口或上行链路端口配置流量筛选或者标记策略 前提条件 要替代分布式端口级别的策略, 请为此策略启用端口级别替代选项 请参见第 48 页, 在端口级别配置替代网络策略 1 导航到 Distributed Switch, 然后导航到分布式端口或上行链路端口 要导航到交换机的分布式端口, 请单击网络 > 分布式端口组, 双击列表中的分布式端口组, 然后单击 端口选项卡 要导航到上行链路端口组的上行链路端口, 请单击网络 > 上行链路端口组, 双击列表中的上行链路端 口组, 然后单击端口选项卡 2 从列表中选择端口 3 单击编辑分布式端口设置 4 选择流量筛选和标记 5 如果没有在端口级别启用流量筛选和标记, 请单击替代, 然后从状态下拉菜单中选择已启用 6 单击新建以创建新规则, 或者选择一个规则并单击编辑以编辑该规则 下一步 您可以更改从分布式端口组或上行链路端口组继承的规则 可以通过这一方式使规则在端口范围内具有唯一性 为网络流量规则命名, 并拒绝 允许或标记目标流量 更改分布式端口或上行链路端口的规则优先级 将构成分布式端口或上行链路端口的流量筛选和屏蔽策略的规则重新排序, 以更改流量分析的操作顺序, 确保安全性和服务质量 vsphere Distributed Switch 将按严格的顺序应用网络流量规则 如果某个数据包已符合某个规则, 则该数据包可能不会传递到策略中的下一个规则 VMware, Inc. 109

110 前提条件 要替代分布式端口级别的策略, 请为此策略启用端口级别替代选项 请参见第 48 页, 在端口级别配置替代网络策略 1 导航到 Distributed Switch, 然后导航到分布式端口或上行链路端口 要导航到交换机的分布式端口, 请单击网络 > 分布式端口组, 双击列表中的分布式端口组, 然后单击 端口选项卡 要导航到上行链路端口组的上行链路端口, 请单击网络 > 上行链路端口组, 双击列表中的上行链路端 口组, 然后单击端口选项卡 2 从列表中选择端口 3 单击编辑分布式端口设置 4 选择流量筛选和标记 5 如果没有在端口级别启用流量筛选和标记, 请单击替代, 然后从状态下拉菜单中选择已启用 6 选择一个规则, 并使用箭头按钮来更改其优先级 7 单击确定应用更改 删除分布式端口或上行链路端口上的流量规则 删除分布式端口或上行链路端口上的流量规则可停止筛选或标记流向虚拟机或物理适配器的特定数据包类型 前提条件 要替代分布式端口级别的策略, 请为此策略启用端口级别替代选项 请参见第 48 页, 在端口级别配置替代网络策略 1 导航到 Distributed Switch, 然后导航到分布式端口或上行链路端口 要导航到交换机的分布式端口, 请单击网络 > 分布式端口组, 双击列表中的分布式端口组, 然后单击 端口选项卡 要导航到上行链路端口组的上行链路端口, 请单击网络 > 上行链路端口组, 双击列表中的上行链路端 口组, 然后单击端口选项卡 2 从列表中选择端口 3 单击编辑分布式端口设置 4 选择流量筛选和标记 5 如果没有在端口级别启用流量筛选和标记, 请单击替代, 然后从状态下拉菜单中选择已启用 6 选择规则, 然后单击删除 7 单击确定 禁用分布式端口或上行链路端口的流量筛选和标记 对端口禁用流量筛选和标记策略, 以使流至虚拟机或物理适配器的流量不按照安全性进行筛选或按 QoS 进行标记 前提条件 要替代分布式端口级别的策略, 请为此策略启用端口级别替代选项 请参见第 48 页, 在端口级别配置替代网络策略 110 VMware, Inc.

111 第 8 章网络策略 1 导航到 Distributed Switch, 然后导航到分布式端口或上行链路端口 要导航到交换机的分布式端口, 请单击网络 > 分布式端口组, 双击列表中的分布式端口组, 然后单击端口选项卡 要导航到上行链路端口组的上行链路端口, 请单击网络 > 上行链路端口组, 双击列表中的上行链路端口组, 然后单击端口选项卡 2 从列表中选择端口 3 单击编辑分布式端口设置 4 选择流量筛选和标记 5 单击替代, 然后从状态下拉菜单中, 选择已禁用 6 单击确定 限定要筛选和标记的流量 可以将要筛选或使用 QoS 标记进行标记的流量与承载的基础架构数据 ( 如用于存储 vcenter Server 管理等的数据 ) 的类型以及第 2 层和第 3 层的属性相匹配 要更精确地匹配规则范围内的流量, 可以将系统数据类型 第 2 层标题和第 3 层标题的条件结合使用 系统流量限定符 通过在端口组或端口的规则中使用系统流量限定符, 您可以确定是否必须使用 QoS 标记来标记某些系统数据流量, 是否允许或丢弃某些系统数据流量 系统流量类型 可以选择通过组的各个端口的承载系统数据的流量类型, 即 vcenter Server 存储 VMware vsphere vmotion 和 vsphere Fault Tolerance 中用于管理的流量 您只能标记或筛选特定的流量类型, 或者某个基础架构功能以外的所有系统数据流量 例如, 您可以用 QoS 值进行标记, 或者筛选 vcenter Server 存储和 vmotion 中用于管理的流量, 但无法标记或筛选承载 Fault Tolerance 数据的流量 MAC 流量限定符 通过在规则中使用 MAC 流量限定符, 您可以为数据包的第 2 层 ( 数据链路层 ) 属性 ( 如 MAC 地址 VLAN ID 和占用帧负载的下一级别协议 ) 定义匹配条件 协议类型 MAC 流量限定符的协议类型属性与以太网帧的 EtherType 字段相对应 EtherType 表示将占用帧负载的下一级别协议的类型 您可以从下拉菜单中选择某个协议或键入其十六进制数字 例如, 要捕获链路层发现协议 (LLDP) 的流量, 请键入 88CC VLAN ID 您可以使用 MAC 流量限定符的 VLAN ID 属性来标记或筛选特定 VLAN 中的流量 注意在分布式端口组中 VLAN ID 限定符可以与虚拟客户机标记 (VGT) 配合使用 如果使用 VLAN ID 通过虚拟交换机标记 (VST) 来标记流, 则无法使用此 ID 在分布式端口组或分布式端口的规则中找到流 其原因是, 交换机取消对流量的标记后,Distributed Switch 会检查规则条件 ( 其中包括 VLAN ID) 在这种情况下, 要通过 VLAN ID 成功匹配流量, 必须对上行链路端口组或上行链路端口使用一个规则 VMware, Inc. 111

112 源地址 通过使用 源地址 属性组, 可以根据源 MAC 地址或源 MAC 网络匹配数据包 可以使用比较运算符来标记或筛选具有或没有特定源地址或源 MAC 网络的数据包 您可以通过多种方法匹配流量源 表 8 6 按 MAC 源地址筛选或标记流量的模式 用于匹配流量源地址的参数比较运算符网络连接参数格式 MAC 地址 是或不是 键入用于匹配的 MAC 地址 使用冒号 分隔其中的八位字节 MAC 网络 匹配或不匹配 键入网络的低位地址和通配符掩码 在 网络位的位置设置 0, 在主机部分设置 1 例如, 对于带有前缀为 05:50:56 且长度为 23 位的 MAC 网络, 地址将设置为 00:50:56:00:00:00, 而掩码为 00:00:01:ff:ff:ff 目标地址 通过使用 目标地址 属性组, 可以将数据包与其目标地址相匹配 MAC 目标地址选项的格式与源地址的格式相同 比较运算符 要使匹配 MAC 限定符的流量更加符合您的需求, 您可以使用肯定比较或否定比较 通过使用这些运算符, 可以将具有某些特定属性的数据包之外的所有数据包均包含在规则的范围之内 IP 流量限定符 通过在规则中使用 IP 流量限定符, 可以针对 IP 版本 IP 地址 下一级别协议和端口等第 3 层 ( 网络层 ) 属性定义匹配的流量标准 协议 IP 流量限定符的协议属性表示占用数据包负载的下一级别协议 您可以从下拉菜单中选择某个协议或按照 RFC 1700 键入其十进制编号 对于 TCP 和 UDP 协议, 还可以按源端口和目标端口匹配流量 源端口 通过使用 源端口 属性, 可以按源端口匹配 TCP 或 UDP 数据包 将流量与源端口匹配时, 请考虑流量方向 目标端口 通过使用 目标端口 属性, 可以按目标端口匹配 TCP 或 UDP 数据包 将流量与目标端口匹配时, 请考虑流量方向 源地址 通过使用 源地址 属性, 可以按源地址或子网匹配数据包 将流量与源地址或网络匹配时, 请考虑流量方向 可以通过多种方法匹配流量源 112 VMware, Inc.

113 第 8 章网络策略 表 8 7 按 IP 源地址筛选或标记流量的模式 用于匹配流量源地址的参数比较运算符网络连接参数格式 IP 版本任意在下拉菜单中选择 IP 版本 IP 地址是或不是键入要匹配的 IP 地址 IP 子网 匹配或不匹配 键入子网中的低位地址和子网前缀的位 长 目标地址 使用 目标地址 可根据 IP 地址 子网或 IP 版本匹配数据包 目标地址的格式与源地址的格式相同 比较运算符 要使匹配 IP 限定符的流量更加符合您的需求, 您可以使用肯定比较或否定比较 您可以定义除具有特定属性的数据包外的所有数据包都包含在规则范围内 管理 vsphere Distributed Switch 上的多个端口组的策略 可以修改 vsphere Distributed Switch 上多个端口组的网络连接策略 前提条件 创建具有一个或多个端口组的 vsphere Distributed Switch 1 在 vsphere Web Client 中, 导航到 Distributed Switch 2 在对象导航器中右键单击 Distributed Switch, 然后选择分布式端口组 > 管理分布式端口组 3 在 选择端口组策略 页面上, 选中要修改的策略类别旁边的复选框, 然后单击下一步 选项安全流量调整 VLAN 成组和故障切换资源分配监控流量筛选和标记其他 描述 为所选端口组设置 MAC 地址更改 伪信号和混杂模式 为所选端口组上的入站和出站流量设置平均带宽 峰值带宽和突发大小 配置所选端口组与物理 VLAN 的连接方式 为所选端口组设置负载平衡 故障切换检测 交换机通知和故障切换顺序 为所选端口组设置网络资源池关联 此选项适用于 vsphere Distributed Switch 版本 5.0 及更高版本 在所选端口组上启用或禁用 NetFlow 此选项适用于 vsphere Distributed Switch 版本 及更高版本 配置筛选 ( 允许或丢弃 ) 策略和通过选定端口组中端口的特定类型流量标记策略 此选项适用于 vsphere Distributed Switch 版本 5.5 及更高版本 在所选端口组上启用或禁用端口阻止 4 在 选择端口组 页面上, 选择要编辑的分布式端口组, 然后单击下一步 VMware, Inc. 113

114 5 ( 可选 ) 在 安全 页面上, 使用下拉菜单以编辑安全例外, 然后单击下一步 选项 描述 混杂模式 拒绝 将客户机适配器置于混杂模式不会对适配器接收哪些帧产生任何影响 接受 将客户机适配器置于混杂模式会使其检测经过 vsphere Distributed Switch 且由适配器所连接到的端口组的 VLAN 策略允许的所有帧 MAC 地址更改 拒绝 如果设置为拒绝并且客户机操作系统将适配器的 MAC 地址更改为不同于.vmx 配置文件的其他任何内容, 则会丢失所有入站帧 如果客户机操作系统将 MAC 地址重新更改为与.vmx 配置文件中的 MAC 地址匹配的地址, 入站帧可以再次通过 接受 从客户机操作系统更改 MAC 地址会达到预期效果 会接收传输到新 MAC 地址的帧 伪信号 拒绝 对于任何出站帧, 如果源 MAC 地址与当前在适配器上设置的地址不同, 则将丢失这些帧 接受 不执行筛选, 所有出站帧均可通过 6 ( 可选 ) 在 流量调整 页面上, 使用下拉菜单以启用或禁用输入或输出流量调整, 然后单击下一步 选项状态平均带宽峰值带宽突发大小 描述 如果启用输入流量调整或输出流量调整, 将为与该端口组关联的每个 VMkernel 适配器或虚拟网络适配器设置网络连接带宽分配量的限制 如果禁用策略, 则在默认情况下, 服务将能够自由 顺畅地连接物理网络 设定每秒允许通过端口的位数, 这是一段时间内的平均值, 即允许的平均负载 当端口正在发送或接收流量突发时为了通过端口而允许采用的平均每秒最大传输位数 此数值是端口使用额外突发时所能使用的最大带宽 突发中所允许的最大字节数 如果设置了此参数, 则在端口没有使用为其分配的所有带宽时可能会获取额外的突发 当端口所需带宽大于平均带宽所指定的值时, 如果有额外突发可用, 则可能会允许以更高的速度传输数据 该参数是指流量突发时可累积且以更高速度传输的最大字节数 7 ( 可选 ) 在 VLAN 页面上, 使用下拉菜单以编辑 VLAN 策略, 然后单击下一步 选项 描述 无 不使用 VLAN VLAN 在 VLAN ID 字段中, 输入一个介于 1 和 4094 之间的数字 VLAN 中继 输入 VLAN 中继范围 专用 VLAN 选择可供使用的专用 VLAN 114 VMware, Inc.

115 第 8 章网络策略 8 ( 可选 ) 在 绑定和故障切换 页面上, 使用下拉菜单以编辑设置, 然后单击下一步 选项负载平衡网络故障检测通知交换机故障恢复故障切换顺序 描述 基于 IP 的绑定要求为物理交换机配置以太通道 对于所有其他选项, 应禁用以太通道 选择如何选择上行链路 基于源虚拟端口的路由 根据流量进入 Distributed Switch 所经过的虚拟端口选择上行链路 基于 IP 哈希的路由 根据每个数据包的源和目标 IP 地址哈希值选择上行链路 对于非 IP 数据包, 偏移量中的任何值都将用于计算哈希值 基于源 MAC 哈希的路由 根据源以太网哈希值选择上行链路 基于物理网卡负载的路由 根据物理网卡的当前负载选择上行链路 使用明确故障切换顺序 始终使用 活动适配器 列表中位于最前列的符合故障切换检测标准的上行链路 选择用于故障切换检测的方法 仅链路状态 仅依靠网络适配器提供的链路状态 该选项可检测故障 ( 如拨掉线缆和物理交换机电源故障 ), 但无法检测配置错误 ( 如物理交换机端口受跨树阻止 配置到了错误的 VLAN 中或者拔掉了物理交换机另一端的线缆 ) 信标探测 发出并侦听组中所有网卡上的信标探测, 使用此信息并结合链路状态来确定链接故障 不要使用包含 IP 哈希负载平衡的信标探测 选择是或否指定发生故障切换时是否通知交换机 当使用端口组的虚拟机正在以单播模式使用 Microsoft 网络负载平衡时, 请勿使用此选项 如果选择是, 则每当虚拟网卡连接到 Distributed Switch 或虚拟网卡的流量因故障切换事件而由网卡组中的其他物理网卡路由时, 都将通过网络发送通知以更新物理交换机的查看表 使用此流程, 使故障切换和 vmotion 迁移的延迟时间降至最少 选择是或否以禁用或启用故障恢复 此选项确定物理适配器从故障恢复后如何返回到活动的任务 是 ( 默认 ) 适配器将在恢复后立即返回到活动任务, 替换接替其位置的备用适配器 ( 如果有 ) 否 即使发生故障的适配器已经恢复, 它仍将保持非活动状态, 直到当前处于活动状态的另一个适配器发生故障并要求替换为止 选择如何分布上行链路的工作负载 要使用一部分上行链路, 保留另一部分来应对使用的上行链路发生故障时的情况, 则可以通过将它们移到不同的组来设置此条件 活动上行链路 当网络适配器连接正常且处于活动状态时, 继续使用此上行链路 备用上行链路 如果其中一个活动适配器的连接中断, 则使用此上行链路 当使用 IP 哈希负载平衡时, 不要配置待机上行链路 未使用的上行链路 不使用此上行链路 9 ( 可选 ) 在 资源分配 页面上, 使用网络资源池下拉菜单以添加或移除资源分配, 然后单击下一步 10 ( 可选 ) 在 监控 页面上, 使用下拉菜单以启用或禁用 NetFlow, 然后单击下一步 选项 描述 已禁用在分布式端口组上禁用了 NetFlow 已启用 在分布式端口组上启用了 NetFlow 可以在 vsphere Distributed Switch 级别配置 NetFlow 设置 VMware, Inc. 115

116 11 ( 可选 ) 在流量筛选和标记页面, 从状态下拉菜单中启用或禁用流量筛选和标记, 为筛选或标记特定数据 流配置流量规则, 然后单击下一步 可以设置规则的以下属性, 以确定目标流量和其上的操作 : 选项 名称 描述 规则的名称 操作 允许 授予特定类型流量的访问权限 丢弃 拒绝特定类型流量的访问权限 标记 通过插入 CoS 和 DSCP 标记或使用 CoS 和 DSCP 标记重新标记流量, 从而按 QoS 分类流量 流量方向 设置规则是否适用于入站流量 出站流量或者入站和出站流量 此方向还会影响您识别流量源和目标的方式 系统流量限定符指示规则适用于系统流量, 并设置要应用规则的基础架构协议类型 例如, 使用优先级标记标识通过 vcenter Server 管理的流量 MAC 限定符 根据第 2 层标题限定规则的流量 协议类型 设置占用负载的下一级别协议 (IPv4 IPv6 等 ) 此属性与以太网帧中的 EtherType 字段相对应 可以从下拉菜单中选择某个协议或键入其十六进制数字 例如, 要捕获链路层发现协议 (LLDP) 的流量, 请键入 88CC VLAN ID 按 VLAN 捕获流量 在分布式端口组中 VLAN ID 限定符可以与虚拟客户机标记 (VGT) 配合使用 如果使用 VLAN ID 通过虚拟交换机标记 (VST) 来标记流, 则无法使用此 ID 在分布式端口组规则中找到流 其原因是, 交换机取消对流量的标记后,Distributed Switch 会检查规则条件 ( 其中包括 VLAN ID) 要成功将流量与 VLAN ID 进行匹配, 请为上行链路端口组或上行链路端口使用一个规则 源地址 设置单个 MAC 地址或 MAC 网络, 以便根据源地址匹配数据包 为 MAC 网络输入网络中的低位地址和通配符掩码 掩码的网络位位置包含 0, 主机部分包含 1 例如, 对于前缀为 05:50:56 且长度为 23 位的 MAC 网络, 地址将设置为 00:50:56:00:00:00, 而掩码为 00:00:01:ff:ff:ff 目标地址 设置单个 MAC 地址或 MAC 网络, 以便根据目标地址匹配数据包 MAC 目标地址支持的格式与源地址支持的格式相同 IP 限定符 根据第 3 层标题限定规则的流量 协议 设置占用负载的下一级别协议 (TCP UDP 等 ) 可以从下拉菜单中选择某个协议或按照 RFC 1700( 指定的编号 ) 键入其十进制数字 对于 TCP 和 UDP 协议, 还可以设置源端口和目标端口 源端口 将 TCP 或 UDP 数据包与源端口相匹配 确定要与数据包相匹配的源端口时, 考虑规则范围内流量的方向 目标端口 按源端口匹配 TCP 或 UDP 数据包 确定要与数据包相匹配的目标端口时, 考虑规则范围内流量的方向 源地址 设置 IP 版本 单个 IP 地址或子网, 以便按源地址匹配数据包 为子网输入低位地址和前缀的位长 目标地址 设置 IP 版本 单个 IP 地址或子网, 以便按源地址匹配数据包 IP 目标地址支持的格式与源地址支持的格式相同 12 ( 可选 ) 在 其他 页面上, 从下拉菜单中选择是或否, 然后单击下一步 选择是可关闭端口组中的所有端口 此关闭可能会中断正在使用端口的主机或虚拟机的正常网络操作 116 VMware, Inc.

117 第 8 章网络策略 13 查看 即将完成 页面上的设置, 然后单击完成 使用上一步按钮更改任意设置 端口阻止策略 端口阻止策略允许有选择地阻止端口发送或接收数据 编辑分布式端口组的端口阻止策略 您可以阻止分布式端口组中的所有端口 如果阻止分布式端口组的端口, 可能会中断正在使用这些端口的主机或虚拟机的正常网络操作 1 在 vsphere Web Client 中, 导航到 Distributed Switch 2 在对象导航器中右键单击 Distributed Switch, 然后选择分布式端口组 > 管理分布式端口组 3 选中其他复选框, 然后单击下一步 4 选择要配置的一个或多个分布式端口组, 然后单击下一步 5 从阻止所有端口下拉菜单中启用或禁用端口阻止, 然后单击下一步 6 查看设置, 然后单击完成 编辑分布式端口或上行链路端口的阻止策略 您可以阻止单个分布式端口或上行链路端口 如果阻止通过端口的流量, 可能会中断正在使用该端口的主机或虚拟机的正常网络操作 前提条件启用端口级别替代 请参见第 48 页, 在端口级别配置替代网络策略 1 导航到 Distributed Switch, 然后导航到分布式端口或上行链路端口 要导航到交换机的分布式端口, 请单击网络 > 分布式端口组, 双击列表中的分布式端口组, 然后单击端口选项卡 要导航到上行链路端口组的上行链路端口, 请单击网络 > 上行链路端口组, 双击列表中的上行链路端口组, 然后单击端口选项卡 2 从列表中选择端口 3 单击编辑分布式端口设置 4 在其他部分中, 选中替代复选框, 然后从下拉菜单中启用或禁用端口阻止 5 单击确定 VMware, Inc. 117

118 118 VMware, Inc.

119 使用 VLAN 隔离网络流量 9 VLAN 配置 VLAN 可让您在网络协议堆栈的第 2 层将网络分段为多个逻辑广播域 本章讨论了以下主题 : 第 119 页, VLAN 配置 第 120 页, 专用 VLAN 通过虚拟 LAN (VLAN), 单个物理 LAN 分段可进一步隔离, 以使端口组互相隔离, 就好像它们位于不同物理分段上一样 在 vsphere 中使用 VLAN 的优点 vsphere 环境中的 VLAN 配置提供了一定的优势 可将 ESXi 主机集成到预先存在的 VLAN 拓扑中 可隔离并确保网络流量的安全 可减少网络流量拥堵情况 有关在 vsphere 环境中引入 VLAN 的优点和主要原则, 请观看视频 在 vsphere 环境中使用 VLAN ( bctid=ref:video_using_vlans_in_vsphere) VLAN 标记模式 在 ESXi 中 vsphere 支持三种 VLAN 标记模式 : 外部交换机标记 (EST) 虚拟交换机标记 (VST) 和虚拟客户机标记 (VGT) VMware, Inc. 119

120 标记 模式 交换机端口组上的 VLAN ID 描述 EST 0 物理交换机可执行 VLAN 标记 为了访问物理交换机上的端口, 会连接主机网络 适配器 VST 介于 1 和 4094 之间 虚拟交换机可在数据包离开主机前执行 VLAN 标记 主机网络适配器必须连接到 物理交换机上的中继端口 VGT 4095( 适用于标准交换机 ) Distributed Switch 的范围和各个 VLAN 虚拟机可执行 VLAN 标记 虚拟交换机在虚拟机网络堆栈和外部交换机之间转发数据包时, 会保留 VLAN 标记 主机网络适配器必须连接到物理交换机上的中继端口 vsphere Distributed Switch 支持修改 VGT 为安全起见, 可以将 Distributed Switch 配置为仅传递属于特定 VLAN 的数据包 注意对于 VGT, 必须在虚拟机的客户机操作系统上安装 802.1Q VLAN 中继驱动程序 有关虚拟交换机中 VLAN 标记模式的介绍, 请观看视频 vsphere 中的 VLAN 标记模式 ( bctid=ref:video_vlan_tagging_modes) 专用 VLAN 专用 VLAN 用于解决 VLAN ID 限制, 方法是将逻辑广播域的进一步分段添加到多个较小的广播子域中 专用 VLAN 由其主专用 VLAN ID 标识 主专用 VLAN ID 可以拥有多个与其关联的次专用 VLAN ID 主专用 VLAN 为杂乱模式, 以便专用 VLAN 上的端口可以与配置为主专用 VLAN 的端口通信 次专用 VLAN 上的端口可以是已隔离 ( 仅与杂乱模式端口通信 ), 也可以是团体 ( 与同一次专用 VLAN 上的杂乱模式端口和其他端口通信 ) 如果要在主机和其余物理网络之间使用专用 VLAN, 则与主机相连的物理交换机必须支持专用 VLAN, 而且需要用 ESXi 所用的 VLAN ID 进行配置以获取专用 VLAN 功能 对于使用基于动态 MAC+VLAN ID 进行学习的物理交换机, 必须首先将所有相应的专用 VLAN ID 输入到交换机的 VLAN 数据库中 创建专用 VLAN 在 vsphere Distributed Switch 上创建必要的专用 VLAN, 以便能够分配用于参与专用 VLAN 的分布式端口 1 在 vsphere Web Client 中, 导航到 Distributed Switch 2 在配置选项卡上, 展开设置并选择专用 VLAN 3 单击编辑 4 要添加主 VLAN, 在 主 VLAN ID 下方单击添加, 然后输入主 VLAN 的 ID 5 单击 主 VLAN ID 前面的加号 (+) 将其添加到列表中 主专用 VLAN 也会显示在 辅助专用 VLAN ID 下 6 要添加辅助 VLAN, 在右侧面板中单击添加, 然后输入 VLAN 的 ID 7 单击 辅助 VLAN ID 前面的加号 (+) 将其添加到列表中 8 从辅助 VLAN 类型列的下拉菜单中, 选择已隔离或社区 9 单击确定 120 VMware, Inc.

121 第 9 章使用 VLAN 隔离网络流量 下一步 对分布式端口组或端口进行配置, 使其将流量与专用 VLAN 关联在一起 请参见第 92 页, 在分布式端口组或分布式端口上配置 VLAN 标记 移除主专用 VLAN 从 vsphere Distributed Switch 的配置中移除未使用的主 VLAN 移除主专用 VLAN 时, 也会移除关联的辅助专用 VLAN 前提条件确认没有端口组配置为使用主 VLAN 及其关联的辅助 VLAN 1 在 vsphere Web Client 中, 导航到 Distributed Switch 2 在配置选项卡上, 展开设置并选择专用 VLAN 3 单击编辑 4 选择要移除的主专用 VLAN 5 在 主 VLAN ID 列表下, 单击移除 6 单击确定确认要移除主 VLAN 7 单击确定 移除次专用 VLAN 从 vsphere Distributed Switch 的配置中移除未使用的辅助专用 VLAN 前提条件确认没有端口组配置为使用辅助 VLAN 1 在 vsphere Web Client 中, 导航到 Distributed Switch 2 在配置选项卡上, 展开设置并选择专用 VLAN 3 单击编辑 4 选择主专用 VLAN 与其关联的辅助专用 VLAN 将在右侧显示 5 选择要移除的次专用 VLAN 6 在辅助 VLAN ID 列表下方, 单击移除, 然后单击确定 VMware, Inc. 121

122 122 VMware, Inc.

123 管理网络资源 10 vsphere 提供了多种帮助您管理网络资源的不同方法 本章讨论了以下主题 : 第 123 页, DirectPath I/O 第 125 页, 单根 I/O 虚拟化 (SR-IOV) 第 134 页, 虚拟机的远程直接内存访问 第 137 页, 巨帧 第 139 页, TCP 分段清除 第 142 页, 大型接收卸载 第 146 页, NetQueue 和网络性能 DirectPath I/O 借助 DirectPath I/O, 虚拟机可以使用 I/O 内存管理单元访问平台上的物理 PCI 功能 配置了 DirectPath 的虚拟机不具有以下功能 : 虚拟设备的热添加和热移除 挂起和恢复 记录和重放 Fault Tolerance High Availability DRS( 有限的可用性 虚拟机可以属于某个群集, 但不能在主机之间迁移 ) 快照 为主机上的网络设备启用直通功能第 124 页, 直通设备可提供有效的方式来使用资源并提高环境性能 您可以为主机上的网络设备启用 DirectPath I/O 直通功能 在虚拟机上配置 PCI 设备第 124 页, 直通设备可在您的环境中提供更有效的方式来使用资源并提高性能 可以在 vsphere Web Client 中的虚拟机上配置直通 PCI 设备 VMware, Inc. 123

124 为主机上的网络设备启用直通功能 直通设备可提供有效的方式来使用资源并提高环境性能 您可以为主机上的网络设备启用 DirectPath I/O 直通功能 小心如果 ESXi 主机被配置为从连接到 USB 通道的 USB 设备或 SD 卡进行引导, 请确保不要为 USB 控制器启用 DirectPath I/O 直通 对通过 USB 设备或 SD 卡进行引导的 ESXi 主机上的 USB 控制器使用直通, 可能会使主机进入无法持久保持配置的状态 1 在 vsphere Web Client 导航器中浏览到主机 2 在配置选项卡上, 展开硬件并单击 PCI 设备 3 要为主机上的 PCI 网络设备启用 DirectPath I/O 直通功能, 请单击编辑 此时将显示可用直通设备的列表 图标 绿色图标 橙色图标 描述 设备处于活动状态且可启用 设备的状态已更改, 并且您必须先重新引导主机, 然后才能使用设备 4 选择要用于直通的网络设备, 然后单击确定 选定的 PCI 设备会显示在表中 设备信息会显示在屏幕底部 5 重新引导主机, 使 PCI 网络设备可供使用 在虚拟机上配置 PCI 设备 直通设备可在您的环境中提供更有效的方式来使用资源并提高性能 可以在 vsphere Web Client 中的虚拟机上配置直通 PCI 设备 将直通设备与 Linux 内核 或更低版本配合使用时, 请避免使用 MSI 和 MSI-X 模式, 因为这会明显影响性能 前提条件 验证是否已在虚拟机的主机上配置直通网络连接设备 请参见第 124 页, 为主机上的网络设备启用直通功能 1 在 vsphere Web Client 中找到虚拟机 a b 选择数据中心 文件夹 群集 资源池或主机, 然后单击虚拟机选项卡 单击虚拟机, 然后从列表中双击虚拟机 2 关闭虚拟机电源 3 在虚拟机的配置选项卡上, 展开设置, 然后选择虚拟机硬件 4 单击编辑, 然后在显示设置的对话框中选择虚拟硬件选项卡 5 展开内存部分, 然后将限制设置为不受限制 6 从新设备下拉菜单中, 选择 PCI 设备, 然后单击添加 7 从新 PCI 设备下拉菜单中, 选择要使用的直通设备, 然后单击确定 8 打开虚拟机电源 124 VMware, Inc.

125 第 10 章管理网络资源 将 DirectPath I/O 设备添加到虚拟机可将内存预留设置为虚拟机的内存大小 单根 I/O 虚拟化 (SR-IOV) vsphere 5.1 及更高版本支持单根 I/O 虚拟化 (SR-IOV) 您可将 SR-IOV 用于滞后敏感或需要更多 CPU 资源的虚拟机的网络连接 SR-IOV 概览 SR-IOV 是一种规范, 使得单根端口下的单个快速外围组件互连 (PCIe) 物理设备可针对管理程序或客户机操作系统显示为多个单独的物理设备 SR-IOV 使用物理功能 (PF) 和虚拟功能 (VF) 为 SR-IOV 设备管理全局功能 PF 是完整的 PCIe 功能, 其能够配置和管理 SR-IOV 功能 可以使用 PF 来配置和控制 PCIe 设备, 且 PF 具有将数据移入和移出设备的完整功能 VF 是轻量级的 PCIe 功能, 其支持数据流动但具有一套受限的配置资源集 向管理程序或客户机操作系统提供的虚拟功能数量取决于设备 已启用 SR-IOV 的 PCIe 设备在客户机操作系统驱动程序或管理程序实例中需要适当的 BIOS 和硬件支持以及 SR-IOV 支持 请参见第 125 页, SR-IOV 支持 在 vsphere 中使用 SR-IOV 在 vsphere 中, 虚拟机可将 SR-IOV 虚拟功能用于网络连接 虚拟机和物理适配器直接交换数据, 而不使用 VMkernel 作为中介 绕过 VMkernel 进行网络连接可减少滞后时间并提高 CPU 效率 在 vsphere 5.5 及更高版本中, 虽然虚拟交换机 ( 标准交换机或 Distributed Switch) 不会处理连接到交换机的已启用 SR-IOV 的虚拟机的网络流量, 但您可使用端口组或端口级别的交换机配置策略来控制已分配的虚拟功能 SR-IOV 支持 vsphere 5.1 及更高版本仅在具有特定配置的环境中支持 SR-IOV 某些 vsphere 功能在启用 SR-IOV 后会失效 支持的配置要在 vsphere 6.0 中使用 SR-IOV, 您的环境必须满足若干配置要求 表 10 1 要使用 SR-IOV 所需支持的配置 组件 要求 vsphere 配备 Intel 处理器的主机需要使用 ESXi 5.1 或更高版本 物理主机 必须与 ESXi 版本兼容 物理网卡 必须与 ESXi 版本兼容 在 ESXi 5.5 或更高版本中, 配备 AMD 处理器的主机受 SR-IOV 支持 如果运行 ESXi 5.1, 则必须配备 Intel 处理器, 如果运行 ESXi 5.5 及更高版本, 则必须配备 Intel 或 AMD 处理器 必须支持 I/O 内存管理单元 (IOMMU), 并且必须在 BIOS 中启用 IOMMU 必须支持 SR-IOV, 并且必须在 BIOS 中启用 SR-IOV 请联系服务器供应商以确定主机是否支持 SR-IOV 根据服务器供应商提供的技术文档, 必须支持用于主机和 SR-IOV 必须在固件中启用 SR-IOV 必须使用 MSI-X 中断 VMware, Inc. 125

126 表 10 1 要使用 SR-IOV 所需支持的配置 ( 续 ) 组件 要求 对于物理网卡, 在 ESXi 中使用 PF 驱动程序 必须经过 VMware 的认证 必须安装在 ESXi 主机上 对于某些网卡,ESXi 版本提供默认驱动程序, 而对于其他版本, 必须下载并手动安装驱动程序 客户机操作系统 根据网卡供应商提供的技术文档, 必须受已安装的 ESXi 版本上的网卡支持 客户机操作系统中使用 VF 驱动程序 必须与网卡兼容 根据网卡供应商提供的技术文档, 必须受客户机操作系统版本的支持 必须由 Microsoft WLK 或 WHCK 针对 Windows 虚拟机进行认证 必须安装在操作系统中 对于某些网卡, 操作系统版本中包含默认驱动程序, 而对于其他网卡, 则必须从网卡供应商或主机供应商所提供的位置下载并安装驱动程序 要确认物理主机和网卡是否与 ESXi 版本兼容, 请参见 VMware 兼容性指南 功能可用性以下功能对配置了 SR-IOV 的虚拟机不可用 : vsphere vmotion Storage vmotion vshield NetFlow VXLAN 虚拟线路 vsphere High Availability vsphere Fault Tolerance vsphere DRS vsphere DPM 虚拟机挂起和恢复 虚拟机快照 用于直通虚拟功能的基于 MAC 的 VLAN 热添加和删除虚拟设备 内存和 vcpu 加入到群集环境 使用 SR-IOV 直通的虚拟机网卡的网络统计信息 注意如果在 vsphere Web Client 中尝试启用或配置使用 SR-IOV 的不受支持的功能, 会导致环境中出现意外行为 受支持的网卡 所有网卡必须具有支持 SR-IOV 的驱动程序和固件 某些网卡可能需要在固件上启用 SR-IOV 配置了 SR-IOV 的虚拟机支持以下网卡 : 基于 Intel 82599ES 10 GB 以太网控制器系列的产品 (Niantic) 126 VMware, Inc.

127 第 10 章管理网络资源 基于 Intel 以太网控制器 X540 系列的产品 (Twinville) 基于 Intel 以太网控制器 X710 系列的产品 (Fortville) 基于 Intel 以太网控制器 XL170 系列的产品 (Fortville) Emulex OneConnect (BE3) 从 vsphere 5.0 及之前的版本升级 如果从 vsphere 5.0 或更早的版本升级到 vsphere 5.5 或更高的版本, 则在为 vsphere 版本更新网卡驱动程序之前, 无法取得 SR-IOV 支持 必须为网卡启用支持 SR-IOV 的固件和驱动程序, 以使 SR-IOV 功能正常运行 从 vsphere 5.1 升级 尽管在满足要求的 ESXi 5.1 主机上支持 SR-IOV, 但您无法使用 vsphere Web Client 在这些主机上配置 SR- IOV 使用网卡驱动程序模块的 max_vfs 参数在这些主机上启用 SR-IOV 请参见第 132 页, 使用主机配置文件或 ESXCLI 命令启用 SR-IOV 您也无法将 SR-IOV 直通适配器分配给此类主机上的虚拟机 该适配器可供与 ESXi 5.5 及更高版本兼容的虚拟机使用 虽然 vcenter Server 5.5 版本可能正在管理 ESXi 5.1 主机, 但配置将与版本 5.1 中相同 必须将 PCI 设备添加到虚拟机硬件, 并手动为该设备选择 VF SR-IOV 组件架构和交互 vsphere SR-IOV 支持依赖于网卡端口虚拟功能 (VF) 和物理功能 (PF) 之间的交互以提高性能, 依赖于 PF 驱动程序和主机交换机之间的交互以实现流量控制 在主机中, 如果在 SR-IOV 物理适配器上运行虚拟机流量, 则虚拟机适配器将直接联系虚拟功能以传递数据 但是, 能否配置网络基于虚拟机所在端口的活动策略 在没有 SR-IOV 的 ESXi 主机上, 虚拟交换机通过主机上的相应端口发送流出或流入相关端口组的物理适配器的外部网络流量 此外, 虚拟交换机也会将网络策略应用于受管数据包 VMware, Inc. 127

128 图 10 1 vsphere SR-IOV 支持中的数据路径和配置路径 SR-IOV 中的数据路径 将虚拟机网络适配器分配给某一虚拟功能后, 客户机操作系统中的 VF 驱动程序会使用 I/O 内存管理单元 (IOMMU) 技术访问必须通过网络才能接收和发送数据的虚拟功能 VMkernel( 尤其是虚拟交换机 ) 不会处理数据流, 这缩短了已启用 SR-IOV 的工作负载的整体滞后时间 SR-IOV 中的配置路径 当客户机操作系统尝试更改映射到 VF 的虚拟机适配器的配置时, 如果与此虚拟机适配器关联的端口上的策略允许此更改, 则将执行更改 配置工作流程包括以下操作 : 1 客户机操作系统请求更改 VF 的配置 2 VF 通过邮箱机制将该请求转发至 PF 3 PF 驱动程序向虚拟交换机 ( 标准交换机或 Distributed Switch 的主机代理交换机 ) 确认配置请求 4 虚拟交换机根据与已启用 VF 的虚拟机适配器关联的端口上的策略验证配置请求 5 如果新的设置符合虚拟机适配器的端口策略, 则 PF 驱动程序将配置 VF 例如, 当 VF 驱动程序尝试修改 MAC 地址时, 如果端口组或端口的安全策略不允许更改 MAC 地址, 则该地址将保持不变 客户机操作系统可能会显示更改已成功完成, 但日志消息将表明此操作失败 因此, 客户机操作系统和虚拟设备保存的 MAC 地址不同 客户机操作系统中的网络接口可能无法获取 IP 地址并进行通信 在这种情况下, 必须重置客户机操作系统中的接口, 以从虚拟设备获得最新的 MAC 地址并获取 IP 地址 128 VMware, Inc.

129 第 10 章管理网络资源 vsphere 和虚拟功能交互 虚拟功能 (VF) 是轻量级的 PCIe 功能, 其包含数据交换所需的所有资源, 但仅有一套最精简的配置资源集 vsphere 与 VF 之间的交互是有限的 物理网卡必须使用 MSI-X 中断 VF 不在 vsphere 中实现速率控制 每个 VF 都可能使用一个物理链路的整个带宽 将 VF 设备配置为虚拟机上的直通设备时, 不支持虚拟机待机和休眠功能 可以创建的最大 VF 数以及可用于直通的最大 VF 数不同 可以实例化的最多 VF 数量取决于网卡功能以及主机的硬件配置 但是, 由于可供直通设备使用的中断向量的数量有限, 在 ESXi 主机上只能使用数量有限 ( 而非全部 ) 的实例化 VF 如果使用 32 个 CPU, 每个 ESXi 主机上的中断向量总数可以扩展到 4096 个 主机引导时, 该主机上的设备 ( 如存储控制器 物理网络适配器和 USB 控制器 ) 将占用这 4096 个向量中的部分向量 如果这些设备需要的向量数超过 1024 个, 则可能支持的最多 VF 数量会减少 Intel 网卡上支持的 VF 数可能与 Emulex 网卡上支持的数目不同 请参见网卡供应商提供的技术文档 如果具有 Intel 和 Emulex 网卡, 并启用了 SR-IOV, 则可供 Intel 网卡使用的 VF 数量取决于为 Emulex 网卡配置的 VF 数量, 反之亦然 可以使用以下公式估算在所有 3072 个中断向量均可用的情况下可用于直通设备的 VF 的最大数量 : 3X + 2Y < 3072 其中 X 是 Intel VF 的数量,Y 是 Emulex VF 的数量 如果在主机上的所有 4096 个向量中, 由主机上其他类型的设备使用的中断向量数超过 1024 个, 则此数值可能会更小 vsphere SR-IOV 在支持的 Intel 和 Emulex 网卡上最多支持 1024 个 VF vsphere SR-IOV 在支持的 Intel 或 Emulex 网卡上最多支持 64 个 VF 如果所用的 Intel 网卡连接丢失, 则来自物理网卡的所有 VF 将完全停止通信 ( 包括 VF 之间的通信 ) 如果所用的 Emulex 网卡连接丢失, 则所有 VF 都将停止与外部环境通信, 但 VF 之间的通信仍可进行 VF 驱动程序提供大量不同的功能, 如 IPv6 支持 TSO 和 LRO 校验和 有关更多详细信息, 请参见网卡 供应商的技术文档 DirectPath I/O 和 SR-IOV SR-IOV 对性能的影响利弊与 DirectPath I/O 相似 DirectPath I/O 与 SR-IOV 功能相似, 但用于完成不同的任务 SR-IOV 对于要求数据包传输速率非常高或延迟非常低的工作负载非常有利 与 DirectPath I/O 一样,SR-IOV 与 vmotion 等某些核心虚拟化功能也不兼容 但是,SR-IOV 允许在多个客户机之间共享一个物理设备 使用 DirectPath I/O, 只能将一项物理功能映射到一个虚拟机 使用 SR-IOV, 您可共享单个物理设备, 使多个虚拟机直接连接到物理功能 配置虚拟机以使用 SR-IOV 要使用 SR-IOV 的功能, 必须在主机上启用 SR-IOV 虚拟功能, 然后将虚拟机连接到这些功能 前提条件验证您的环境配置是否支持 SR-IOV 请参见第 125 页, SR-IOV 支持 VMware, Inc. 129

130 1 在主机物理适配器上启用 SR-IOV 第 130 页, 请先使用 vsphere Web Client 为主机启用 SR-IOV 并设置虚拟功能的数量, 然后才能将虚拟机连接到虚拟功能 2 将虚拟功能作为 SR-IOV 直通适配器分配给虚拟机第 130 页, 要确保虚拟机和物理网卡能够交换数据, 必须将虚拟机与一个或多个虚拟功能关联作为 SR-IOV 直通网络适配器 根据标准交换机或 Distributed Switch 的关联端口上的活动策略, 流量将从 SR-IOV 直通适配器传递到物理适配器 要检查为 SR-IOV 直通网络适配器所分配的虚拟功能, 请在虚拟机的摘要选项卡中, 展开虚拟机硬件面板, 并检查适配器的属性 交换机的拓扑图使用 图标标记使用虚拟功能的虚拟机适配器 下一步 使用交换机 端口组和端口上的网络连接策略设置通过连接到虚拟机的虚拟功能的流量 请参见第 131 页, 与已启用 SR-IOV 的虚拟机关联的流量网络选项 在主机物理适配器上启用 SR-IOV 请先使用 vsphere Web Client 为主机启用 SR-IOV 并设置虚拟功能的数量, 然后才能将虚拟机连接到虚拟功能 1 在 vsphere Web Client 中, 导航到主机 2 在配置选项卡上, 展开网络, 然后选择物理适配器 您可以查看 SR-IOV 属性, 以确定物理适配器是否支持 SR-IOV 3 选择物理适配器, 然后单击编辑适配器设置 4 在 SR-IOV 下, 从状态下拉菜单中选择已启用 5 在虚拟功能数文本框中, 键入要为此适配器配置的虚拟功能的数量 6 单击确定 7 重新启动主机 虚拟功能将在由物理适配器条目表示的网卡端口上变为活动状态 它们将显示在主机的设置选项卡的 PCI 设备列表中 可以使用 esxcli network sriovnic vcli 命令来检查主机上的虚拟功能配置 下一步 通过 SR-IOV 直通网络适配器, 将虚拟机与虚拟功能相关联 将虚拟功能作为 SR-IOV 直通适配器分配给虚拟机 要确保虚拟机和物理网卡能够交换数据, 必须将虚拟机与一个或多个虚拟功能关联作为 SR-IOV 直通网络适配器 前提条件 验证主机上是否存在虚拟功能 在主机的设置选项卡上的 PCI 设备 列表中确认虚拟功能的直通网络设备处于活动状态 130 VMware, Inc.

131 第 10 章管理网络资源 确认虚拟机兼容性为 ESXi 5.5 和更高版本 创建虚拟机时, 确认已选择 Red Hat Enterprise Linux 6 和更高版本或 Windows 作为客户机操作系统 1 在 vsphere Web Client 中找到虚拟机 a b 选择数据中心 文件夹 群集 资源池或主机, 然后单击虚拟机选项卡 单击虚拟机, 然后从列表中双击虚拟机 2 关闭虚拟机电源 3 在虚拟机的配置选项卡上, 展开设置, 然后选择虚拟机硬件 4 单击编辑, 然后在显示设置的对话框中选择虚拟硬件选项卡 5 从新设备下拉菜单中, 选择网络, 然后单击添加 6 展开 新建网络 部分并将虚拟机连接到端口组 虚拟网卡不会为数据流量使用此端口组 此端口组用于提取要应用于数据流量的网络属性 ( 例如 VLAN 标记 ) 7 在适配器类型下拉菜单中, 选择 SR-IOV 直通 8 在物理功能下拉菜单中, 选择要备份直通虚拟机适配器的物理适配器 9 要允许从客户机操作系统更改数据包的 MTU, 请使用客户机操作系统 MTU 更改下拉菜单 10 展开 内存 部分, 选择预留所有客户机内存 ( 全部锁定 ), 然后单击确定 I/O 内存管理单元 (IOMMU) 必须访问所有虚拟机内存, 从而使直通设备可以使用直接内存访问 (DMA) 来访问内存 11 打开虚拟机电源 打开虚拟机电源时,ESXi 主机会从物理适配器中选择可用的虚拟功能, 并将其映射到 SR-IOV 直通适配器 主机将根据虚拟机所属的端口组设置来验证虚拟机适配器的所有属性和底层虚拟功能 与已启用 SR-IOV 的虚拟机关联的流量网络选项 在 vsphere 5.5 及更高版本中, 可以在与虚拟功能 (VF) 关联的虚拟机适配器上配置特定的网络功能 根据处理流量的虚拟交换机的类型 ( 标准或分布式 ) 来使用交换机 端口组或端口的设置 表 10 2 使用 VF 的虚拟机适配器的网络选项 网络选项 MTU 大小 描述 例如, 更改 MTU 的大小以启用巨帧 VF 流量的安全策略 如果客户机操作系统更改使用 VF 的虚拟机网络适配器最初设置的 MAC 地址, 则通过设置 MAC 地址更改选项来接受或丢弃新地址的入站帧 为虚拟机网络适配器 ( 包括使用 VF 的适配器 ) 启用全局混杂模式 VLAN 标记模式在标准交换机或 Distributed Switch 中配置 VLAN 标记, 即, 启用 VLAN 交换机标记 (VST) 模式 ; 或者使标记的流量访问与 VF 关联的虚拟机, 即, 启用虚拟客户机标记 (VGT) VMware, Inc. 131

132 使用 SR-IOV 物理适配器处理虚拟机流量 在 vsphere 5.5 及更高版本中, 可以将同时支持 SR-IOV 物理适配器的物理功能 (PF) 和虚拟功能 (VF) 配置为处理虚拟机流量 SR-IOV 物理适配器的 PF 控制虚拟机使用的 VF, 并且可以承载流经负责处理启用了 SR-IOV 的虚拟机的网络连接的标准交换机或 Distributed Switch 的流量 SR-IOV 物理适配器在不同的模式下运行, 具体取决于该适配器是否备份交换机的流量 混合模式 物理适配器向连接到交换机的虚拟机提供虚拟功能, 并直接处理交换机上来自非 SR-IOV 虚拟机的流量 可以在交换机的拓扑图中检查 SR-IOV 物理适配器是否处于混合模式 处于混合模式的 SR-IOV 物理适配器在 标准交换机的物理适配器列表中或 Distributed Switch 的上行链路组适配器列表中显示时带有 图标 仅 SR-IOV 模式物理适配器向连接到虚拟交换机的虚拟机提供虚拟功能, 但不备份交换机上来自非 SR-IOV 虚拟机的流量 要验证物理适配器是否处于仅 SR-IOV 模式, 请检查交换机的拓扑图 在此模式下, 物理适配器位于称为 外部 SR-IOV 适配器 的独立列表中, 显示时带有图标 非 SR-IOV 模式物理适配器不用于与 VF 感知虚拟机有关的流量 仅负责处理来自非 SR-IOV 虚拟机的流量 使用主机配置文件或 ESXCLI 命令启用 SR-IOV 可以使用 ESXCLI 命令在 ESXi 主机上配置虚拟功能, 或者使用主机配置文件同时设置多个主机或设置无状态的主机 在主机配置文件中启用 SR-IOV 对于多台主机或无状态主机, 可使用主机配置文件来配置物理网卡的虚拟功能, 并使用 Auto Deploy 在主机上应用配置文件 有关将 Auto Deploy 与主机配置文件结合使用来运行 ESXi 的信息, 请参见 vsphere 安装和设置文档 根据驱动程序文档, 还可以通过使用虚拟功能的网卡驱动程序参数中的 esxcli system module parameters set vcli 命令来启用主机上的 SR-IOV 虚拟功能 有关使用 vcli 命令的详细信息, 请参见 vsphere 命令行界面文档 前提条件 验证您的环境配置是否支持 SR-IOV 请参见第 125 页, SR-IOV 支持 基于支持 SR-IOV 的主机, 创建主机配置文件 请参见 vsphere 主机配置文件 文档 1 在 vsphere Web Client 主页中, 单击主机配置文件 2 从列表中选择主机配置文件, 然后单击配置选项卡 3 单击编辑主机配置文件, 然后展开常规系统设置节点 4 展开内核模块参数, 然后选择用于创建虚拟功能的物理功能驱动程序的参数 例如,Intel 物理网卡的物理功能驱动程序的参数为 max_vfs 132 VMware, Inc.

133 第 10 章管理网络资源 5 在值文本框中, 键入以逗号分隔的有效虚拟功能的数量列表 每个列表条目表示要为每项物理功能配置的虚拟功能的数量 值 0 将确保不为该物理功能启用 SR-IOV 例如, 如果配置了双端口, 请将该值设置为 x,y, 其中 x 或 y 表示要为单个端口启用的虚拟功能的数量 如果一个主机上的虚拟功能的目标数为 30 个, 则可将两个双端口卡设置为 0,10,10,10 注意受支持和可配置的虚拟功能数量取决于系统配置 6 单击完成 7 根据需要, 修复主机的主机配置文件 虚拟功能将显示在主机的设置选项卡的 PCI 设备列表中 下一步 使用 SR-IOV 直通网络适配器类型将虚拟功能与虚拟机适配器相关联 请参见第 130 页, 将虚拟功能作为 SR- IOV 直通适配器分配给虚拟机 通过使用 ESXCLI 命令为主机物理适配器启用 SR-IOV 在进行某些故障排除或直接配置主机时, 可在 ESXi 上运行控制台命令, 以便在物理适配器上创建 SR-IOV 虚拟功能 根据驱动程序文档, 可以通过操作虚拟功能的网卡驱动程序参数, 从而在主机上创建 SR-IOV 虚拟功能 前提条件 安装 vcli 软件包 部署 vsphere Management Assistant (vma) 虚拟机, 或者使用 ESXi Shell 请参见 vsphere Command-Line Interface 入门 1 要通过设置网卡驱动程序的虚拟功能参数来创建虚拟功能, 请在命令提示符下运行 esxcli system module parameters set 命令 esxcli system module parameters set -m driver -p vf_param=w,x,y,z 其中,driver 指网卡驱动程序的名称,vf_param 指创建虚拟功能所需的驱动程序特定的参数 您可以使用逗号分隔列表设置 vf_param 参数的值, 其中每个条目表示端口的虚拟功能数量 值 0 将确保不为该物理功能启用 SR-IOV 如果配置了两个双端口网卡, 则可将值设置为 w,x,y,z, 其中 w x y 和 z 指要为单个端口启用的虚拟功能的数量 例如, 要使用 ixgbe 驱动程序创建分布在两个双端口 Intel 卡上的 30 个虚拟功能, 请对 ixgbe 驱动程序和 max_vfs 参数运行以下命令 : esxcli system module parameters set -m ixgbe -p max_vfs=0,10,10,10 2 重新启动主机以创建虚拟功能 下一步 使用 SR-IOV 直通网络适配器类型将虚拟功能与虚拟机适配器相关联 请参见第 130 页, 将虚拟功能作为 SR- IOV 直通适配器分配给虚拟机 VMware, Inc. 133

134 由于主机的中断向量已耗尽, 因此使用 SR-IOV 虚拟功能的虚拟机打开电源失败 在 ESXi 主机上, 使用 SR-IOV 虚拟功能 (VF) 进行网络连接的一个或多个虚拟机电源关闭 问题 在 ESXi 主机中, 如果已分配的虚拟功能 (VF) 总数已接近在 vsphere 的最高配置 指南中指定的最多 VF 数量, 则使用 SR-IOV 虚拟功能进行网络连接的一个或多个虚拟机打开电源将失败 虚拟机日志文件 vmware.log 包含以下有关 VF 的消息 : PCIPassthruChangeIntrSettings:vf_name failed to register interrupt (error code ) VMkernel 日志文件 vmkernel.log 包含以下有关分配给虚拟机的 VF 的消息 : VMKPCIPassthru:2565: BDF = vf_name intrtype = 4 numvectors: 3 WARNING:IntrVector:233: Out of interrupt vectors 原因 可分配的中断向量数量随着 ESXi 主机上的物理 CPU 数量增加 一个具有 32 个 CPU 的 ESXi 主机共计可提供 4096 个中断向量 主机引导时, 该主机上的设备 ( 如存储控制器 物理网络适配器和 USB 控制器 ) 将占用这 4096 个向量中的部分向量 如果这些设备需要的向量数超过 1024 个, 则可能支持的最多 VF 数量会减少 打开虚拟机电源并启动客户机操作系统 VF 驱动程序时, 系统将占用中断向量 如果没有所需数量的中断向量, 则客户机操作系统将意外关闭, 而不会出现任何错误消息 目前, 尚没有规则可以确定主机上已占用的或可用的中断向量数量 该数量取决于主机的硬件配置 解决方案 u 要打开虚拟机电源, 请减少分配给主机上的虚拟机的总 VF 数量 例如, 将虚拟机的 SR-IOV 网络适配器更改为连接到 vsphere 标准交换机或 vsphere Distributed Switch 的适配器 虚拟机的远程直接内存访问 vsphere 6.5 及更高版本支持在具有准虚拟化 RDMA (PVRDMA) 网络适配器的虚拟机之间进行远程直接内存访问 (RDMA) 通信 RDMA 概览 RDMA 允许从一台计算机内存到另一台计算机内存的直接内存访问, 不会涉及操作系统或 CPU 内存的传输卸载至支持 RDMA 的主机通道适配器 (Host Channel Adapter, HCA) PVRDMA 网络适配器在虚拟环境中提供远程直接内存访问 在 vsphere 中使用 RDMA 在 vsphere 中, 虚拟机可以使用 PVRDMA 网络适配器与其他拥有 PVRDMA 设备的虚拟机进行通信 虚拟机必须连接到同一 vsphere Distributed Switch PVRDMA 设备自动选择两个虚拟机之间的通信方法 对于相同 ESXi 主机上运行的虚拟机 ( 无论是否具有物理 RDMA 设备 ), 两个虚拟机之间的数据传输是一种内存复制 这种情况下不使用物理 RDMA 硬件 134 VMware, Inc.

135 第 10 章管理网络资源 对于不同 ESXi 主机上运行的虚拟机 ( 具有物理 RDMA 连接 ), 物理 RDMA 设备必须是 Distributed Switch 上的上行链路 在这种情况下, 两个虚拟机之间的 PVRDMA 通信使用底层物理 RDMA 设备 对于不同 ESXi 主机上运行的两个虚拟机 ( 至少一个虚拟机没有物理 RDMA 设备 ), 通信回退到基于 TCP 的通道, 且性能减弱 PVRDMA 支持 vsphere 6.5 和更高版本仅在具有特定配置的环境中支持 PVRDMA 支持的配置 要在 vsphere 6.5 中使用 PVRDMA, 您的环境必须满足若干配置要求 表 10 3 使用 PVRDMA 所需的支持配置 组件 要求 vsphere ESXi 主机 6.5 或更高版本 vcenter Server 或 vcenter Server Appliance 6.5 或更高版本 vsphere Distributed Switch 物理主机 必须与 ESXi 版本兼容 主机通道适配器 (HCA) 必须与 ESXi 版本兼容 注意不同 ESXi 主机上的虚拟机需要 HCA 才能使用 RDMA 您必须将 HCA 分配为 vsphere Distributed Switch 的上行链路 PVRDMA 不支持网卡绑定 HCA 必须是 vsphere Distributed Switch 上唯一的上行链路 对于同一 ESXi 主机上的虚拟机或使用基于 TCP 的回退的虚拟机,HCA 不是必需的 虚拟机 虚拟硬件版本 13 或更高版本 客户机操作系统 Linux (64 位 ) 要验证物理主机和 HCA 是否与 ESXi 版本兼容, 请参见 VMware 兼容性指南 注意如果在 vsphere Web Client 中尝试使用 PVRDMA 启用或配置不受支持的功能, 则会在该环境中出现意外行为 为 ESXi 主机配置 PVRDMA 配置 ESXi 主机的 VMkernel 适配器和防火墙规则以便实现 PVRDMA 通信 前提条件确认 ESXi 主机满足 PVRDMA 的要求 请参见第 135 页, PVRDMA 支持 为 PVRDMA 标记 VMkernel 适配器第 136 页, 选择 VMkernel 适配器并启用, 以进行 PVRDMA 通信 为 PVRDMA 启用防火墙规则第 136 页, 在 ESXi 主机的安全配置文件中为 PVRDMA 启用防火墙规则 VMware, Inc. 135

136 为 PVRDMA 标记 VMkernel 适配器选择 VMkernel 适配器并启用, 以进行 PVRDMA 通信 1 在 vsphere Web Client 中, 导航到主机 2 在配置选项卡上, 展开系统 3 单击高级系统设置 4 找到 Net.PVRDMAVmknic 并单击编辑 5 输入要使用的 VMkernel 适配器的值 ( 例如 vmk0), 然后单击确定 为 PVRDMA 启用防火墙规则在 ESXi 主机的安全配置文件中为 PVRDMA 启用防火墙规则 1 在 vsphere Web Client 中, 导航到主机 2 在配置选项卡上, 展开系统 3 单击安全配置文件 4 在 防火墙 部分中, 单击编辑 5 滚动到 pvrdma 规则, 然后选中该规则旁边的复选框 6 单击确定 向虚拟机分配 PVRDMA 适配器 要使虚拟机使用 RDMA 交换数据, 您必须将该虚拟机与 PVRDMA 网络适配器关联 前提条件 确认运行该虚拟机的主机配置了 RDMA 请参见第 135 页, 为 ESXi 主机配置 PVRDMA 确认主机已连接到 vsphere Distributed Switch 确认虚拟机使用虚拟硬件版本 13 确认客户机操作系统为 Linux 64 位发行版 1 在 vsphere Web Client 中找到虚拟机 a b 选择数据中心 文件夹 群集 资源池或主机, 然后单击虚拟机选项卡 单击虚拟机, 然后从列表中双击虚拟机 2 关闭虚拟机电源 3 在虚拟机的配置选项卡上, 展开设置, 然后选择虚拟机硬件 4 单击编辑, 然后在显示设置的对话框中选择虚拟硬件选项卡 5 从新设备下拉菜单中, 选择网络, 然后单击添加 6 展开 新建网络 部分并将虚拟机连接到分布式端口组 7 在适配器类型下拉菜单中, 选择 PVRDMA 136 VMware, Inc.

137 第 10 章管理网络资源 8 展开内存部分, 选择预留所有客户机内存 ( 全部锁定 ), 然后单击确定 9 打开虚拟机电源 聚合以太网 RDMA 的网络要求 巨帧 聚合以太网 RDMA 可确保在以太网网络上实现低延迟 高吞吐量的轻量 RDMA 通信 RoCE 需要配置为单独在第 2 层或同时在第 2 层和第 3 层上无损传输信息流量的网络 聚合以太网 RDMA (RDMA over Converged Ethernet, RoCE) 是一种网络协议, 使用 RDMA 为网络密集型应用程序提供更快的数据传输 RoCE 可以在主机之间实现直接的内存传输, 而无需使用主机的 CPU RoCE 协议有两个版本 RoCE v1 在链接网络层 ( 第 2 层 ) 上运行 RoCE v2 在 Internet 网络层 ( 第 3 层 ) 上运行 RoCE v1 和 RoCE v2 都需要无损网络配置 RoCE v1 需要第 2 层无损网络, 而 RoCE v2 则要求为第 2 层和第 3 层均配置无损操作 第 2 层无损网络 要确保第 2 层无损环境, 您必须能够控制流量 可以通过在整个网络上启用全局暂停或使用数据中心桥接组 (Data Center Bridging, DCB) 定义的优先级流量控制 (Priority Flow Control, PFC) 协议来实现流量控制 PFC 是第 2 层协议, 使用 802.1Q VLAN 标记的服务类字段设置各个流量的优先级 它会根据各个服务类优先级暂停到某个接收方的数据包传输 这样, 将由一个链接同时承载无损 RoCE 流量和其他有损但尽力保留的流量 如果发生流量拥堵, 可能会影响到重要的有损流量 要隔离不同的流量, 可以在启用了 PFC 优先级的 VLAN 中使用 RoCE 第 3 层无损网络 RoCE v2 要求在第 3 层路由设备中保留无损数据传输 要跨第 3 层路由器实现第 2 层 PFC 无损优先级传输, 可以对路由器进行相应配置, 把数据包的接收优先级设置映射到第 3 层的相应差异化服务代码点 (Differentiated Serviced Code Point, DSCP) QoS 设置 传输的 RDMA 数据包标记了第 3 层 DSCP 第 2 层优先级代码点 (Priority Code Point, PCP) 或同时标记了这二者 路由器使用 DSCP 或 PCP 从数据包中提取优先级 如果使用 PCP, 数据包必须带有 VLAN 标记, 且路由器必须复制标记的 PCP 位并将其转发到下一个网络 如果数据包标记了 DSCP, 则路由器必须保持 DSCP 位不变 与 RoCE v1 一样,RoCE v2 必须在启用了 PFC 优先级的 VLAN 上运行 注意如果要在 RoCE 网卡上使用 RDMA, 切勿绑定这些网卡 有关供应商特定的配置信息, 请参考相应设备或交换机供应商的官方文档 巨帧允许 ESXi 主机将较大的帧发送到物理网络上 网络必须端到端支持巨帧 ( 包括物理网络适配器 物理交换机和存储设备 ) 在启用巨帧之前, 请与硬件供应商核对, 确保您的物理网络适配器支持巨帧 通过将最大传输单元 (MTU) 更改为大于 1500 字节的值, 可以在 vsphere Distributed Switch 或 vsphere 标准交换机上启用巨帧 您可配置的最大帧大小为 9000 字节 在 vsphere Distributed Switch 上启用巨帧 为流经 vsphere Distributed Switch 的整个流量启用巨帧 1 在 vsphere Web Client 中, 导航到 Distributed Switch 2 在配置选项卡上, 展开设置并选择属性 VMware, Inc. 137

138 3 单击编辑 4 单击高级, 然后将 MTU 属性设置为一个大于 1500 字节的值 不能将 MTU 大小设置为一个大于 9000 字节的值 5 单击确定 在 vsphere 标准交换机上启用巨帧 为主机上流经 vsphere 标准交换机的所有流量启用巨帧 1 在 vsphere Web Client 中, 导航到主机 2 在配置选项卡上, 展开网络, 然后选择虚拟交换机 3 从虚拟交换机表中选择一台标准交换机, 然后单击编辑设置 4 在属性部分, 将 MTU 属性设置为大于 1500 字节的值 可以将 MTU 的大小最大增大到 9000 个字节 5 单击确定 为 VMkernel 适配器启用巨帧 巨帧减少了由传输数据引起的 CPU 负载 在 VMkernel 适配器上通过更改适配器的最大传输单元 (MTU) 来启用巨帧 1 在 vsphere Web Client 中, 导航到主机 2 在配置选项卡上, 展开网络, 然后选择 VMkernel 适配器 3 从适配器表中选择 VMkernel 适配器 此时将显示适配器属性 4 单击 VMkernel 适配器的名称 5 单击编辑 6 选择网卡设置, 然后将 MTU 属性的值设置为大于 1500 可以将 MTU 的大小最大增大到 9000 个字节 7 单击确定 在虚拟机上启用巨帧支持 要在虚拟机上启用巨帧支持, 该虚拟机需要增强型 VMXNET 适配器 1 在 vsphere Web Client 中找到虚拟机 a b 选择数据中心 文件夹 群集 资源池或主机, 然后单击虚拟机选项卡 单击虚拟机, 然后从列表中双击虚拟机 2 在虚拟机的配置选项卡上, 展开设置, 然后选择虚拟机硬件 3 单击编辑, 然后在显示设置的对话框中选择虚拟硬件选项卡 138 VMware, Inc.

139 第 10 章管理网络资源 4 展开网络适配器部分 记录网络适配器所使用的网络设置和 MAC 地址 5 单击移除将该网络适配器从虚拟机中移除 6 从新设备下拉菜单中, 选择网络, 然后单击添加 7 从适配器类型下拉菜单中, 选择 VMXNET 2( 增强型 ) 或 VMXNET 3 8 将网络设置设置为记录的旧网络适配器设置 9 将 MAC 地址设置为手动, 然后键入旧网络适配器使用的 MAC 地址 10 单击确定 下一步 检查增强型 VMXNET 适配器是否连接到已启用巨帧的标准交换机或 Distributed Switch 在客户机操作系统中, 配置网络适配器以允许巨帧 请参见您的客户机操作系统文档 将所有的物理交换机以及与该虚拟机相连的任何物理机或虚拟机配置为支持巨帧 TCP 分段清除 在 VMkernel 网络适配器和虚拟机中使用 TCP 分段清除 (TSO), 可提高具有严格延迟要求的工作负载中的网络性能 物理网络适配器和 VMkernel 及虚拟机网络适配器传输路径的 TSO 可降低 TCP/IP 网络操作的 CPU 开销, 从而提高 ESXi 主机的性能 如果启用 TSO, 网络适配器会将较大的数据块 ( 而非 CPU) 分为多个 TCP 分段 VMkernel 和客户机操作系统可以使用更多的 CPU 周期运行应用程序 要从 TSO 提供的性能改进中受益, 请在 ESXi 主机上通过数据路径启用 TSO, 包括物理网络适配器 VMkernel 和客户机操作系统 默认情况下,ESXi 主机的 VMkernel 及 VMXNET 2 和 VMXNET 3 虚拟机适配器中会启用 LRO 有关数据路径中 TCP 数据包分段的位置的信息, 请参见 VMware 知识库文章 了解 VMware 环境中的 TCP 分段清除 (TSO) 和大型接收卸载 (LRO) 在 VMkernel 中启用或禁用软件 TSO 如果物理网络适配器运行 TSO 时遇到问题, 则可以在 VMkernel 中临时启用 TSO 软件模拟, 直到问题解决 u 运行这些 esxcli network nic software set 控制台命令以在 VMkernel 中启用或禁用 TSO 软件模拟 在 VMkernel 中启用 TSO 软件模拟 esxcli network nic software set --ipv4tso=0 -n vmnicx esxcli network nic software set --ipv6tso=0 -n vmnicx 在 VMkernel 中禁用 TSO 软件模拟 esxcli network nic software set --ipv4tso=1 -n vmnicx esxcli network nic software set --ipv6tso=1 -n vmnicx 其中,vmnicX 中的 X 表示主机上的网卡端口号 此配置更改在主机重新引导后仍然保留 VMware, Inc. 139

140 确定在 ESXi 主机的物理网络适配器上是否支持 TSO 在估算运行延迟敏感型工作负载的主机上的网络性能时, 检查物理网络适配器是否卸载 TCP/IP 数据包分段 如果物理网络适配器支持 TSO, 则 TSO 在默认情况下处于启用状态 u 运行此 esxcli network nic software get 控制台命令可确定 TSO 在主机的物理网络适配器上是否处于启用状态 esxcli network nic tso get 在 ESXi 主机上启用或禁用 TSO 在传输路径上启用 TCP 分段清除 (TSO) 可让网卡将较大的数据块分为多个 TCP 分段 禁用 TSO 可让 CPU 执行 TCP 分段 默认情况下, 如果主机的物理适配器支持硬件 TSO, 则主机可使用硬件 TSO 1 在 vsphere Web Client 中, 导航到主机 2 在配置选项卡上, 展开系统 3 单击高级系统设置 4 编辑 Net.UseHwTSO( 适用于 IPv4) 和 Net.UseHwTSO6( 适用于 IPv6) 参数的值 要启用 TSO, 请将 Net.UseHwTSO 和 Net.UseHwTSO6 设置为 1 要禁用 TSO, 请将 Net.UseHwTSO 和 Net.UseHwTSO6 设置为 0 5 单击确定应用更改 6 要重新加载物理适配器的驱动程序模块, 请在主机的 ESXi Shell 中运行 esxcli system module set 控制台 命令 a 要禁用驱动程序, 请将 esxcli system module set 命令与 --enabled false 选项一起运行 esxcli system module set --enabled false --module nic_driver_module b 要启用驱动程序, 请将 esxcli system module set 命令与 --enabled true 选项一起运行 esxcli system module set --enabled true --module nic_driver_module 如果物理适配器不支持硬件 TSO, 则 VMkernel 会将来自客户机操作系统的大型 TCP 数据包分段并其发送至适配器 140 VMware, Inc.

141 第 10 章管理网络资源 确定 TSO 在 ESXi 主机上是否处于启用状态 在估算运行延迟敏感型工作负载的主机上的网络性能时, 检查硬件 TSO 在 VMkernel 中是否处于启用状态 默认情况下, 硬件 TSO 在 ESXi 主机上处于启用状态 1 在 vsphere Web Client 中, 导航到主机 2 在配置选项卡上, 展开系统 3 单击高级系统设置 4 检查 Net.UseHwTSO 和 Net.UseHwTSO6 参数的值 Net.UseHwTSO 显示 IPv4 的 TSO 状态, 而 Net.UseHwTSO6 显示 IPv6 的 TSO 状态 如果属性设置为 1, 则 TSO 处于启用状态 在 Linux 虚拟机上启用或禁用 TSO 在 Linux 虚拟机的网络适配器上启用 TSO 支持, 以便客户机操作系统将需要分段的 TCP 数据包重定向到 VMkernel 前提条件 确保 ESXi 6.0 支持 Linux 客户机操作系统 请参见 VMware 兼容性指南文档 验证 Linux 虚拟机网络适配器是否为 VMXNET2 或 VMXNET3 u 在 Linux 客户机操作系统的终端窗口中, 要启用或禁用 TSO, 将 ethtool 命令与 -K 和 tso 选项一起运行 要启用 TSO, 请运行以下命令 : ethtool -K ethy tso on 要禁用 TSO, 请运行以下命令 : ethtool -K ethy tso off 其中,ethY 中的 Y 是虚拟机中网卡的序列号 在 Windows 虚拟机上启用或禁用 TSO 默认情况下,TSO 在 Windows 虚拟机的 VMXNET2 和 VXMNET3 网络适配器上处于启用状态 出于性能考虑, 您可能希望禁用 TSO 前提条件 验证 ESXi 6.0 是否支持 Windows 客户机操作系统 请参见 VMware 兼容性指南文档 验证 Windows 虚拟机网络适配器是否为 VMXNET2 或 VMXNET3 VMware, Inc. 141

142 1 在 Windows 控制面板的 网络和共享中心 文件夹中, 单击网络适配器的名称 2 单击其名称 此时对话框将显示适配器的状态 3 单击属性, 然后在网络适配器类型下单击配置 4 在高级选项卡上, 将大量发送卸载 V2 (IPv4) 和大量发送卸载 V2 (IPv6) 属性设置为已启用或已禁用 5 单击确定 6 重新启动虚拟机 大型接收卸载 使用大型接收卸载 (LRO) 可降低因高速处理从网络传入的数据包而产生的 CPU 开销 LRO 将入站网络数据包重新集合到较大的缓冲区, 然后将产生的较大但数量较少的数据包传输到主机或虚拟机的网络堆栈中 与禁用 LRO 时相比,CPU 需要处理的数据包减少, 从而降低了网络利用率, 对于具有高带宽的连接尤为如此 要从 LRO 性能改进中受益, 请在 ESXi 主机的数据路径所涉及的组件上启用 LRO, 这些组件包括 VMkernel 和客户机操作系统 默认情况下,VMkernel 和 VMXNET3 虚拟机适配器中会启用 LRO 有关数据路径中 TCP 数据包聚合的位置的信息, 请参见 VMware 知识库文章 了解 VMware 环境中的 TCP 分段清除 (TSO) 和大型接收卸载 (LRO) 为 ESXi 主机上的所有 VMXNET3 适配器启用硬件 LRO 启用主机物理适配器的硬件功能来为 VXMNET3 虚拟机适配器汇总入站 TCP 数据包, 方法是在客户机操作系统中进行组合时使用 LRO 技术而不是消耗资源 1 在 vsphere Web Client 中, 导航到主机 2 在配置选项卡上, 展开系统 3 单击高级系统设置 4 编辑 Net.Vmxnet3HwLRO 参数的值 要启用硬件 LRO, 请将 Net.Vmxnet3HwLRO 设置为 1 要禁用硬件 LRO, 请将 Net.Vmxnet3HwLRO 设置为 0 5 单击确定应用更改 为 ESXi 主机上的所有 VMXNET3 适配器启用或禁用软件 LRO 如果主机物理适配器不支持硬件 TSO, 则在 VMXNET3 适配器的 VMkernel 后端中可使用软件 LRO 来提高虚拟机的网络性能 vsphere 5.5 及更高版本可为 IPv4 和 IPv6 数据包提供软件 LRO 支持 前提条件 1 在 vsphere Web Client 中, 导航到主机 2 在配置选项卡上, 展开系统 142 VMware, Inc.

143 第 10 章管理网络资源 3 单击高级系统设置 4 编辑 VMXNET3 适配器的 Net.Vmxnet3SwLRO 参数的值 要启用软件 LRO, 请将 Net.Vmxnet3SwLRO 设置为 1 要禁用软件 LRO, 请将 Net.Vmxnet3SwLRO 设置为 0 5 单击确定应用更改 确保是否为 ESXi 主机上的 VMXNET3 适配器启用了 LRO 在估算运行了延迟敏感型工作负载的主机上的网络性能时, 请检查 ESXi 上的 LRO 状态 前提条件 1 在 vsphere Web Client 中, 导航到主机 2 在配置选项卡上, 展开系统 3 单击高级系统设置 4 检查 VMXNET2 和 VMXNET3 的 LRO 参数的值 对于硬件 LRO, 请检查 Net.Vmxnet3HwLRO 参数 如果该参数等于 1, 则硬件 LRO 已启用 对于软件 LRO, 请检查 Net.Vmxnet3SwLRO 参数 如果该参数等于 1, 则硬件 LRO 已启用 更改 VMXNET 3 适配器的 LRO 缓冲区大小 您可以更改用于通过 VMXNET 3 网络适配器的虚拟机连接的数据包汇总的缓冲区大小 增加缓冲区大小可减少 TCP 确认的数量并提高工作负载的效率 1 在 vsphere Web Client 中, 导航到主机 2 在配置选项卡上, 展开系统 3 单击高级系统设置 4 为 Net.VmxnetLROMaxLength 参数输入介于 1 和 之间的值以设置 LRO 缓冲区大小 ( 字节 ) 默认情况下,LRO 缓冲区大小等于 字节 为 ESXi 主机上的所有 VMkernel 适配器启用或禁用 LRO 在 ESXi 主机的 VMkernel 网络适配器中使用 LRO 以提高入站基础架构流量的网络性能 1 在 vsphere Web Client 中, 导航到主机 2 在配置选项卡上, 展开系统 3 单击高级系统设置 4 编辑 Net.TcpipDefLROEnabled 参数的值 要为主机上的 VMkernel 网络适配器启用 LRO, 请将 Net.TcpipDefLROEnabled 设置为 1 要为主机上的 VMkernel 网络适配器禁用软件 LRO, 请将 Net.TcpipDefLROEnabled 设置为 0 5 单击确定应用更改 VMware, Inc. 143

144 更改 VMkernel 适配器的 LRO 缓冲区大小 您可以更改用于 VMkernel 连接的数据包汇总的缓冲区大小 增加缓冲区大小可减少 TCP 确认的数量并提高 VMkernel 中的效率 1 在 vsphere Web Client 中, 导航到主机 2 在配置选项卡上, 展开系统 3 单击高级系统设置 4 为 Net.TcpipDefLROMaxLength 参数输入介于 1 和 之间的值以设置 LRO 缓冲区大小 ( 字节 ) 默认情况下,LRO 缓冲区大小等于 字节 在 Linux 虚拟机的 VMXNET3 适配器上启用或禁用 LRO 如果在主机上为 VMXNET3 适配器启用了 LRO, 则可在 Linux 虚拟机上激活对网络适配器的 LRO 支持, 以确保客户机操作系统不会使用资源将入站数据包汇总成较大的缓存 前提条件 验证 Linux 内核版本是否为 和更高版本 u 在 Linux 客户机操作系统的终端窗口中, 将 ethtool 命令与 -K 和 lro 选项一起运行 要启用 LRO, 请运行以下命令 : ethtool -K ethy lro on 其中,ethY 中的 Y 是虚拟机中网卡的序列号 要禁用 LRO, 请运行以下命令 : ethtool -K ethy lro off 其中,ethY 中的 Y 是虚拟机中网卡的序列号 在 Windows 虚拟机的 VMXNET3 适配器上启用或禁用 LRO 如果在主机上为 VMXNET3 适配器启用了 LRO, 则可在 Windows 虚拟机上激活对网络适配器的 LRO 支持, 以确保客户机操作系统不会使用资源将入站数据包汇总成较大的缓存 在 Windows 上,LRO 技术也称为接收方合并 (RSC) 前提条件 验证虚拟机是否在 Windows Server 2012 及更高版本或 Windows 8 及更高版本上运行 确认虚拟机兼容性为 ESXi 6.0 和更高版本 验证客户机操作系统上安装的 VMXNET3 驱动程序版本是否为 及更高版本 144 VMware, Inc.

145 第 10 章管理网络资源 验证在 Windows Server 2012 及更高版本或 Windows 8 及更高版本上运行的虚拟机上是否已全局启用 LRO 请参见第 145 页, 在 Windows 虚拟机上全局启用 LRO 1 在客户机操作系统控制面板的网络和共享中心中, 单击网络适配器的名称 此时对话框将显示适配器的状态 2 单击属性, 然后在 VMXNET3 网络适配器类型下单击配置 3 在高级选项卡上, 将接收段合并 (IPv4) 和接收段合并 (IPv6) 设置为已启用或已禁用 4 单击确定 在 Windows 虚拟机上全局启用 LRO 要在运行 Windows 8 及更高版本或 Windows Server 2012 及更高版本的 VMXNET3 适配器上使用 LRO, 必须在客户机操作系统上全局启用 LRO 在 Windows 上,LRO 技术也称为接收方合并 (RSC) 1 要验证在 Windows 8 及更高版本或 Windows Server 2012 客户机操作系统上是否已全局禁用 LRO, 请在 命令提示符下运行 netsh int tcp show global 命令 netsh int tcp show global 该命令将显示在 Windows 8.x 操作系统上设置的 TCP 全局参数的状态 TCP 全局参数 接收方缩放状态 : 已启用 烟囱卸载状态 : 已禁用 NetDMA 状况 : 已禁用 直接缓存访问 (DCA): 已禁用 接收窗口自动调谐级别 : 正常 附加拥塞控制提供程序 : 无 ECN 能力 : 已禁用 RFC 1323 时间戳 : 已禁用 初始 RTO: 3000 接收段合并状态 : 已禁用 如果在 Windows 8 及更高版本或 Windows Server 2012 计算机上全局禁用 LRO, 则 接收段合并状态 属性将显示为 已禁用 2 要在 Windows 操作系统上全局启用 LRO, 请在命令提示符下运行 netsh int tcp set global 命令 : netsh int tcp set global rsc=enabled 下一步 为 Windows 8 及更高版本或 Windows Server 2012 虚拟机上的 VMXNET3 适配器启用 LRO 请参见第 144 页, 在 Windows 虚拟机的 VMXNET3 适配器上启用或禁用 LRO VMware, Inc. 145

146 NetQueue 和网络性能 NetQueue 会利用一些网络适配器的功能, 以多个可分别处理的接收队列的形式将网络流量传输到系统, 这样可以使处理扩展到多个 CPU, 从而提高接收端的网络性能 在主机上启用 NetQueue NetQueue 在默认情况下处于启用状态 要在禁用 NetQueue 之后使用 NetQueue, 必须重新启用它 前提条件 1 在主机的 ESXi Shell 中, 键入以下命令 : esxcli system settings kernel set --setting="netnetqueueenabled" --value="true" 2 使用 esxcli module parameters set 命令将网卡驱动程序配置为使用 NetQueue 例如, 在双端口 Emulex 网卡上, 运行此 ESXCLI 命令可用 8 个接收队列配置驱动程序 esxcli system module parameters set -m tg3 -p force_netq=8,8 3 重新引导主机 在主机上禁用 NetQueue NetQueue 在默认情况下处于启用状态 前提条件熟悉 vsphere 命令行界面入门 中有关配置网卡驱动程序的信息 1 在 VMware vsphere CLI 中, 请根据主机版本使用以下命令 : esxcli system settings kernel set --setting="netnetqueueenabled" --value="false" 2 要在网卡驱动程序上禁用 NetQueue, 请使用 esxcli module parameters set 命令 例如, 在双端口 Emulex 网卡上, 运行此 ESXCLI 命令可用 1 个接收队列配置驱动程序 esxcli system module parameters set -m tg3 -p force_netq=1,1 3 重新引导主机 146 VMware, Inc.

147 vsphere Network I/O Control 11 使用 vsphere Network I/O Control 可向关键业务应用程序分配网络带宽以及解决多种流量争用通用资源的情况 关于 vsphere Network I/O Control 版本 3 第 147 页, vsphere Network I/O Control 版本 3 引入了一种基于主机上物理适配器的容量为系统流量预留带宽的机制 这种机制可以在虚拟机网络适配器级别实现精细的资源控制, 类似于分配 CPU 和内存资源使用的模型 将 vsphere Distributed Switch 上的 Network I/O Control 升级到版本 3 第 148 页, 如果已将 vsphere Distributed Switch 升级到版本 6.0.0, 而未将 Network I/O Control 转换为版本 3, 您可以升级 Network I/O Control, 以使用系统流量和单个虚拟机的带宽分配的增强模型 在 vsphere Distributed Switch 上启用 Network I/O Control 第 150 页, 在 vsphere Distributed Switch 上启用网络资源管理以保证用于系统流量针对 vsphere 功能和用于虚拟机流量的带宽最小值 系统流量的带宽分配第 150 页, 您可以基于份额 预留和限制配置 Network I/O Control, 以便为 vsphere Fault Tolerance iscsi 存储器 vsphere vmotion 等服务生成的流量分配一定量的带宽 虚拟机流量的带宽分配第 153 页, Network I/O Control 版本 3 允许为单个虚拟机配置带宽要求 还可以使用可在其中为虚拟机流量分配聚合预留的带宽配额的网络资源池, 然后将池的带宽分配给单个虚拟机 将物理适配器移到 Network I/O Control 的范围之外第 159 页, 在某些情况下, 您可能需要从 Network I/O Control 版本 3 的带宽分配模型中排除容量小的物理适配器 使用 Network I/O Control 版本 2 第 160 页, 在 vsphere Distributed Switch 5.x 上, 以及在已升级到 6.0 但未将 Network I/O Control 增强到版本 3 的 vsphere Distributed Switch 上, 您可确保系统流量和虚拟机可以使用 Network I/O Control 版本 2 的资源池模型收到所需的操作带宽 关于 vsphere Network I/O Control 版本 3 vsphere Network I/O Control 版本 3 引入了一种基于主机上物理适配器的容量为系统流量预留带宽的机制 这种机制可以在虚拟机网络适配器级别实现精细的资源控制, 类似于分配 CPU 和内存资源使用的模型 Network I/O Control 版本 3 的功能改进了整个交换机上的网络资源预留和分配 VMware, Inc. 147

148 带宽资源预留的模型 Network I/O Control 版本 3 支持与基础架构服务 ( 如 vsphere Fault Tolerance) 相关的系统流量的资源管理和虚拟机的资源管理的单独模型 这两种流量类别性质不同 系统流量与 ESXi 主机紧密相关 当在环境中迁移虚拟机时, 网络流量路由会更改 要在忽略主机的情况下为虚拟机提供网络资源, 您可在 Network I/O Control 中为在整个 Distributed Switch 的范围内有效的虚拟机配置资源分配 为虚拟机保证带宽 Network I/O Control 版本 3 使用份额构成 预留和限制为虚拟机的网络适配器置备带宽 若要基于这些构成收到充足的带宽, 虚拟化的工作负载可依赖 vsphere Distributed Switch vsphere DRS 和 vsphere HA 中的接入控制 请参见第 154 页, 虚拟机带宽的接入控制 vsphere 6.0 中的 Network I/O Control 版本 2 和版本 3 在 vsphere 6.0 中,Network I/O Control 版本 2 和版本 3 是同时存在的 这两个版本为虚拟机和系统流量分配带宽所实施的模型不同 在 Network I/O Control 版本 2 中, 可以在物理适配器级别配置虚拟机的带宽分配 而在版本 3 中, 则是在整个 Distributed Switch 级别设置虚拟机的带宽分配 升级 Distributed Switch 时,Network I/O Control 也会升级到版本 3, 除非您正在使用的某些功能在 Network I/O Control 版本 3 中不可用, 如 CoS 标记和用户定义的网络资源池 在这种情况下, 版本 2 和版本 3 资源分配模型的差别不允许进行非破坏性升级 您可以继续使用版本 2 保留虚拟机的带宽分配设置, 也可以切换到版本 3 并在所有交换机主机间量身定制带宽策略 表 11 1 根据 vsphere Distributed Switch 和 ESXi 的版本确定的 Network I/O Control 版本 vsphere Network I/O Control vsphere Distributed Switch 版本 ESXi 版本 功能可用性 SR-IOV 不适用于配置为使用 Network I/O Control 版本 3 的虚拟机 将 vsphere Distributed Switch 上的 Network I/O Control 升级到版本 3 如果已将 vsphere Distributed Switch 升级到版本 6.0.0, 而未将 Network I/O Control 转换为版本 3, 您可以升级 Network I/O Control, 以使用系统流量和单个虚拟机的带宽分配的增强模型 将 Network I/O Control 版本 2 升级到版本 3 时, 在版本 2 中定义的所有现有系统网络资源池的设置均转换为系统流量的份额构成 预留和限制 默认情况下, 不为所有已转换的系统流量类型设置预留 将 Distributed Switch 升级到版本 3 是一个破坏性事件 某些功能仅可在 Network I/O Control 版本 2 中使用, 并在升级到版本 3 的过程中被删除 148 VMware, Inc.

149 第 11 章 vsphere Network I/O Control 表 11 2 升级到 Network I/O Control 版本 3 的过程中被删除的功能 升级过程中被删除的功能 用户定义的资源池, 其中包括这些池与现有分布式端口组之间的所有关联 端口与用户定义的网络资源池之间的现有关联 与网络资源池关联的流量的 CoS 标记功能 描述 通过将用户定义的网络资源池的份额传输至单个网络适配器份额, 您可以保留部分资源分配设置 因此, 在升级到 Network I/O Control 版本 3 之前, 请确保升级未显著影响在 Network I/O Control 版本 2 中为虚拟机配置的带宽分配 在 Network I/O Control 版本 3 中, 无法将单个分布式端口与分配给父级端口组的池之外的网络资源池相关联 相较于版本 2,Network I/O Control 版本 3 不支持替代端口级别的资源分配策略 Network I/O Control 版本 3 不支持用 CoS 标记标记 QoS 需求更高的流量 升级后, 若要还原与用户定义的网络资源池关联的流量的 CoS 标记功能, 请使用流量筛选和标记网络策略 请参见第 100 页, 标记分布式端口组或上行链路端口组的流量 和第 106 页, 标记分布式端口或上行链路端口的流量 前提条件 验证 vsphere Distributed Switch 的版本是否为 验证 Distributed Switch 的 Network I/O Control 功能是否为版本 2 验证对交换机上的分布式端口组是否具有 dvport 组. 修改特权 验证交换机上的所有主机是否都连接到 vcenter Server 1 在 vsphere Web Client 中, 导航到 Distributed Switch 2 从操作菜单中, 选择升级 > 升级 Network I/O Control 此时将显示升级 Network I/O Control 向导 3 ( 可选 ) 在 概览 页面上, 创建一份交换机配置的备份 如果升级失败, 可以使用该备份来还原交换机配置 4 查看升级引起的更改, 然后单击下一步 5 验证 Distributed Switch 满足升级的验证必备条件, 然后单击下一步 必备条件 端口组的可访问性 描述 您有访问和修改交换机上的上行链路和分布式端口组所需的特权 主机状态交换机上的所有主机是否都连接到 vcenter Server 系统流量的 CoS 优先级标记 用户定义的网络资源池 资源分配策略替代 Distributed Switch 没有已分配 CoS 标记的网络资源池 Distributed Switch 不包含用于虚拟机带宽控制的用户定义的资源池 交换机上的分布式端口组不允许在单个端口上替代 Network I/O Control 策略 6 如果 Distributed Switch 包含用户定义的资源池, 请将版本 2 中用户定义的资源池的份额传输至版本 3 中 单个虚拟机网络适配器的份额, 然后单击下一步 传输份额使您能够保留虚拟机的部分带宽分配设置 注意在转换期间, 用户定义的资源池的限制不会保留 7 查看升级设置, 然后单击完成 VMware, Inc. 149

150 下一步 创建网络资源池并将它们与虚拟机连接到的分布式端口组相关联, 以向连接到交换机的一组虚拟机分配预留带宽配额 请参见第 155 页, 创建网络资源池 和第 156 页, 向网络资源池中添加分布式端口组 如果已传输版本 2 的原始份额, 则在关联网络资源池与虚拟机的端口组时强制执行 使用份额 预留和限制向单个虚拟机分配带宽配额 请参见第 157 页, 为虚拟机配置带宽分配 在 vsphere Distributed Switch 上启用 Network I/O Control 在 vsphere Distributed Switch 上启用网络资源管理以保证用于系统流量针对 vsphere 功能和用于虚拟机流量的带宽最小值 前提条件 验证 vsphere Distributed Switch 的版本是否为 或更高版本 1 在 vsphere Web Client 中, 导航到 Distributed Switch 2 从操作菜单中, 选择编辑设置 3 从 Network I/O Control 下拉菜单中, 选择启用 4 单击确定 启用后,Network I/O Control 用来处理系统流量和虚拟机流量带宽分配的模型基于 Distributed Switch 上活动的 Network I/O Control 版本 请参见第 147 页, 关于 vsphere Network I/O Control 版本 3 系统流量的带宽分配 您可以基于份额 预留和限制配置 Network I/O Control, 以便为 vsphere Fault Tolerance iscsi 存储器 vsphere vmotion 等服务生成的流量分配一定量的带宽 可以使用 Distributed Switch 上的 Network I/O Control 为与 vsphere 中主要系统功能相关的流量配置带宽分配 : 管理 Fault Tolerance iscsi NFS Virtual SAN vmotion vsphere Replication vsphere Data Protection 备份 虚拟机 vcenter Server 将 Distributed Switch 的分配传播到连接到该交换机的主机上的每个物理适配器 系统流量的带宽分配参数第 151 页, 通过使用多个配置参数,Network I/O Control 可以将带宽分配给基本 vsphere 系统功能的流量 系统流量的带宽预留示例第 151 页, 物理适配器的容量决定要保证的带宽 根据此容量, 可保证用于某个系统功能进行其最佳操作的带宽最小值 150 VMware, Inc.

151 第 11 章 vsphere Network I/O Control 配置系统流量的带宽分配第 152 页, 为连接到 vsphere Distributed Switch 的物理适配器上的主机管理 iscsi 存储器 NFS 存储器 vsphere vmotion vsphere Fault Tolerance Virtual SAN 和 vsphere Replication 分配带宽 系统流量的带宽分配参数 通过使用多个配置参数,Network I/O Control 可以将带宽分配给基本 vsphere 系统功能的流量 表 11 3 系统流量的分配参数 带宽分配参数份额预留限制 描述 份额从 1 到 100, 反映某个系统流量类型对于同一物理适配器上活动的其他系统流量类型的相对优先级 某个系统流量类型可用的带宽量由其相对份额和其他系统功能正在传输的数据量决定 例如, 您向 vsphere FT 流量和 iscsi 流量分配 100 个份额, 而每个其他网络资源池有 50 个份额 配置了一个物理适配器用于发送 vsphere Fault Tolerance iscsi 和管理流量 在某一时刻,vSphere Fault Tolerance 和 iscsi 是该物理适配器上的活动流量类型, 并且用光了其容量 每个流量会收到 50% 的可用带宽 在另一时刻, 所有三个流量类型使该适配器呈饱和状态 在这种情况下,vSphere FT 流量和 iscsi 流量可分别获得 40% 的适配器容量,vMotion 则可获得 20% 单个物理适配器上必须保证的带宽最小值 (Mbps) 为所有系统流量类型预留的总带宽不得超过容量最低的物理网络适配器所能提供的带宽的 75% 未使用的预留带宽可用于其他类型的系统流量 但是, Network I/O Control 不会重新分配系统流量未用于虚拟机放置的容量 例如, 您为 iscsi 配置了 2 Gbps 的预留 Distributed Switch 可能从不在物理适配器上强制实施此预留, 因为 iscsi 使用单一路径 未使用的带宽不会分配给虚拟机系统流量, 从而使 Network I/O Control 能够安全地满足系统流量对带宽的潜在需求, 例如, 如果使用新的 iscsi 路径, 您必须为新的 VMkernel 适配器提供带宽 系统流量类型在单个物理适配器上可消耗的带宽最大值 (Mbps 或 Gbps) 系统流量的带宽预留示例 物理适配器的容量决定要保证的带宽 根据此容量, 可保证用于某个系统功能进行其最佳操作的带宽最小值 例如, 在已连接到具有 10 GbE 网络适配器的 ESXi 主机的 Distributed Switch 上, 可以配置预留以保证 1 Gbps 用于通过 vcenter Server 进行管理,1 Gbps 用于 iscsi 存储器,1 Gbps 用于 vsphere Fault Tolerance,1 Gbps 用于 vsphere vmotion 流量, 以及 0.5 Gbps 用于虚拟机流量 Network I/O Control 在每个物理网络适配器上分配请求的带宽 可以预留不超过物理网络适配器带宽的 75%, 即不超过 7.5 Gbps 可以将更多容量保留为未预留, 以使主机可根据份额 限制和使用来动态分配带宽, 并且仅预留足够系统功能运行的带宽 VMware, Inc. 151

152 图 GbE 物理网络适配器上系统流量的带宽预留示例 配置系统流量的带宽分配 为连接到 vsphere Distributed Switch 的物理适配器上的主机管理 iscsi 存储器 NFS 存储器 vsphere vmotion vsphere Fault Tolerance Virtual SAN 和 vsphere Replication 分配带宽 要使用 Network I/O Control 启用虚拟机的带宽分配, 可配置虚拟机系统流量 虚拟机流量的带宽预留也用在接入控制中 打开虚拟机电源时, 接入控制会验证是否有充足带宽可用 前提条件 确认 vsphere Distributed Switch 为 及更高版本 确认交换机上的 Network I/O Control 为版本 3 确认已启用 Network I/O Control 请参见第 150 页, 在 vsphere Distributed Switch 上启用 Network I/O Control 1 在 vsphere Web Client 中, 导航到 Distributed Switch 2 在配置选项卡上, 展开资源分配 3 单击系统流量 查看系统流量类型的带宽分配 4 选择要置备的根据 vsphere 功能确定的流量类型, 然后单击编辑 此时将显示该流量类型的网络资源设置 5 从份额下拉菜单中, 编辑流经物流适配器的总流量份额 Network I/O Control 在物理适配器达到饱和时会应用已配置的份额 可以选择一个选项设置预定义的值, 也可以选择自定义, 然后键入从 1 到 100 的数值设置其他份额 6 在预留对话框中, 输入必须为该流量类型提供的带宽最小值 系统流量的总预留不得超过连接到 Distributed Switch 的所有适配器中容量最小的适配器所支持带宽的 75% 7 在限制文本框中, 设置所选类型的系统流量可使用的带宽最小值 8 单击确定应用分配设置 vcenter Server 将 Distributed Switch 的分配传播到连接到该交换机的主机物理适配器 152 VMware, Inc.

153 第 11 章 vsphere Network I/O Control 虚拟机流量的带宽分配 Network I/O Control 版本 3 允许为单个虚拟机配置带宽要求 还可以使用可在其中为虚拟机流量分配聚合预留的带宽配额的网络资源池, 然后将池的带宽分配给单个虚拟机 关于为虚拟机分配带宽 Network I/O Control 使用两种模型为虚拟机分配带宽 : 基于承载虚拟机流量的物理适配器上的网络资源池和分配在整个 vsphere Distributed Switch 上分配 网络资源池 网络资源池代表为所有连接到 Distributed Switch 的物理适配器上的虚拟机系统流量预留的聚合带宽的一部分 例如, 如果虚拟机系统流量在具有 10 个上行链路的 Distributed Switch 上为每个 10 GbE 上行链路预留了 0.5 Gbps, 那么此交换机上虚拟机预留可用的总聚合带宽为 5 Gbps 每个网络资源池可预留此 5 Gbps 容量的配额 带宽配额专用于网络资源池, 由与该池关联的分布式端口组共享 虚拟机通过该虚拟机连接到的分布式端口组从池接收带宽 默认情况下, 交换机上的分布式端口组分配至叫做 默认 的网络资源池, 其配额未配置 图 11 2 vsphere Distributed Switch 的上行链路间的网络资源池带宽聚合 定义虚拟机的带宽要求 为单个虚拟机分配带宽类似于分配 CPU 和内存资源 Network I/O Control 版本 3 根据在虚拟机硬件设置中为网络适配器定义的份额 预留和限制为虚拟机置备带宽 预留代表一种保证, 保证虚拟机的流量可以消耗最低指定带宽 如果物理适配器有更大容量, 则虚拟机可根据指定的份额和限制使用额外带宽 置备给主机上虚拟机的带宽 在虚拟机已配置带宽预留的情况下, 为保证带宽,Network I/O Control 会实施变为活跃的流量放置引擎 Distributed Switch 尝试将虚拟机网络适配器的流量放置于可提供所需带宽且在活动成组策略范围之内的物理适配器 VMware, Inc. 153

154 主机上虚拟机的总带宽预留不能超过为虚拟机系统流量配置的预留带宽 实际限制和预留还取决于适配器连接到的分布式端口组的流量调整策略 例如, 如果一个虚拟机网络适配器要求的带宽限制为 200 Mbps 且在流量调整策略中配置的平均带宽为 100 Mbps, 则有效限制将变为 100 Mbps 图 11 3 单个虚拟机的带宽分配配置 虚拟机流量的带宽分配参数 Network I/O Control 版本 3 基于在虚拟机硬件设置中为网络适配器配置的份额 预留和限制向单个虚拟机分配带宽 表 11 4 虚拟机网络适配器的带宽分配参数 带宽分配参数份额预留限制 描述 流量通过虚拟机网络适配器的相对优先级 ( 从 1 到 100), 依据承载此虚拟机与网络之间流量的物理适配器的容量确定 虚拟机网络适配器在物理适配器上必须收到的最低带宽 (Mbps) 在虚拟机网络适配器上流量传输至同一主机或其他主机上的其他虚拟机所需的最大带宽 虚拟机带宽的接入控制 为保证虚拟机有足够的带宽可用,vSphere 会依据带宽预留和成组策略在主机级别和群集级别实施接入控制 vsphere Distributed Switch 中的带宽接入控制 打开虚拟机电源时,Distributed Switch 上的 Network I/O Control 功能会验证主机是否满足以下条件 主机上有一个物理适配器可以依据成组策略和预留为虚拟机网络适配器提供最低带宽 虚拟机网络适配器的预留少于网络资源池中的可用配额 如果更改正在运行的虚拟机的网络适配器预留,Network I/O Control 会重新验证关联的网络资源池是否能够容纳新预留 如果该池的空闲配额不足, 则不会应用更改 154 VMware, Inc.