vSphere 网络连接 - VMware vSphere 6.7

Size: px

Start display at page:

Download "vSphere 网络连接 - VMware vSphere 6.7"

徵鞍喻
4 years ago
Views:

1 Update 年 4 月 11 日 VMware vsphere 6.7 VMware ESXi 6.7 vcenter Server 6.7

2 您可以从 VMware 网站下载最新的技术文档 : VMware 网站还提供了最近的产品更新如果您对本文档有任何意见或建议, 请将反馈信息发送至 : docfeedback@vmware.com VMware, Inc Hillview Ave. Palo Alto, CA 北京办公室北京市朝阳区新源南路 8 号启皓北京东塔 8 层上海办公室上海市淮海中路 333 号瑞安大厦室广州办公室广州市天河路 385 号太古汇一座 3502 室版权所有 VMware, Inc. 保留所有权利版权和商标信息 VMware, Inc. 保留所有权利 2

3 目录关于 11 1 简介 12 网络概念概述 12 ESXi 中的网络服务 13 VMware ESXi Dump Collector 支持 14 2 使用 vsphere 标准交换机设置网络连接 15 vsphere 标准交换机 15 创建 vsphere 标准交换机 17 虚拟机的端口组配置 18 添加虚拟机端口组 18 编辑标准交换机端口组 19 从 vsphere 标准交换机移除端口组 20 vsphere 标准交换机属性 20 更改 vsphere 标准交换机上 MTU 的大小 21 更改物理适配器的速度 21 在 vsphere 标准交换机中添加物理适配器并使这些适配器成组 21 查看 vsphere 标准交换机的拓扑图 22 3 使用 vsphere Distributed Switch 设置网络连接 24 vsphere Distributed Switch 架构 24 创建 vsphere Distributed Switch 28 将 vsphere Distributed Switch 升级到更高版本 29 编辑 vsphere Distributed Switch 常规和高级设置 30 在 vsphere Distributed Switch 上管理多个主机上的网络连接 31 在 vsphere Distributed Switch 上管理主机网络的任务 32 将主机添加到 vsphere Distributed Switch 33 在 vsphere Distributed Switch 上配置物理网络适配器 34 将 VMkernel 适配器迁移到 vsphere Distributed Switch 35 在 vsphere Distributed Switch 上创建 VMkernel 适配器 36 将虚拟机网络迁移到 vsphere Distributed Switch 38 使用主机作为模板为 vsphere Distributed Switch 创建统一的网络配置 38 从 vsphere Distributed Switch 中移除主机 40 在主机代理交换机上管理网络连接 41 将主机上的网络适配器迁移到 vsphere Distributed Switch 41 将主机上的 VMkernel 适配器迁移到 vsphere 标准交换机 42 将主机的物理网卡分配给 vsphere Distributed Switch 42 VMware, Inc. 保留所有权利 3

4 从 vsphere Distributed Switch 移除物理网卡 43 从活动虚拟机中移除网卡 43 分布式端口组 44 添加分布式端口组 44 编辑常规分布式端口组设置 47 在端口级别配置替代网络策略 48 移除分布式端口组 48 使用分布式端口 49 监控分布式端口的状况 49 配置分布式端口设置 49 在 vsphere Distributed Switch 上配置虚拟机网络连接 50 将虚拟机迁入或迁出 vsphere Distributed Switch 50 将单个虚拟机连接到分布式端口组 50 vsphere Web Client 中的 vsphere Distributed Switch 拓扑图 51 查看 vsphere Distributed Switch 的拓扑 51 查看主机代理交换机的拓扑 53 4 设置 VMkernel 网络 54 VMkernel 网络层 55 查看有关主机上的 VMkernel 适配器的信息 56 在 vsphere 标准交换机上创建 VMkernel 适配器 57 在与 vsphere Distributed Switch 关联的主机上创建 VMkernel 适配器 59 编辑 VMkernel 适配器配置 61 替代 VMkernel 适配器的默认网关 62 使用 esxcli 命令配置 VMkernel 适配器网关 63 查看主机上的 TCP/IP 堆栈配置 63 更改主机上的 TCP/IP 堆栈配置 64 创建自定义 TCP/IP 堆栈 64 移除 VMkernel 适配器 65 5 vsphere Distributed Switch 上的 LACP 支持 66 分布式端口组的 LACP 成组和故障切换配置 68 配置链路聚合组处理分布式端口组的流量 69 创建链路聚合组 69 在分布式端口组的绑定和故障切换顺序中将链路聚合组设置为备用状态 70 将物理网卡分配给链路聚合组的端口 71 在分布式端口组的绑定和故障切换顺序中将链路聚合组设置为活动状态 71 编辑链路聚合组 72 vsphere Distributed Switch 的 LACP 支持限制 73 VMware, Inc. 保留所有权利 4

5 6 备份和还原网络配置 74 备份和还原 vsphere Distributed Switch 配置 74 导出 vsphere Distributed Switch 配置 74 导入 vsphere Distributed Switch 配置 75 还原 vsphere Distributed Switch 配置 75 导出导入和还原 vsphere 分布式端口组配置 76 导出 vsphere 分布式端口组配置 76 导入 vsphere 分布式端口组配置 77 还原 vsphere 分布式端口组配置 77 7 管理网络的回滚和恢复 78 回滚 78 禁用网络回滚 79 使用 vcenter Server 配置文件禁用网络回滚 79 解决 vsphere Distributed Switch 上的管理网络配置中的错误 80 8 网络策略 82 在 vsphere 标准交换机或 Distributed Switch 上应用网络策略 83 在端口级别配置替代网络策略 84 成组和故障切换策略 84 可用于虚拟交换机的负载平衡算法 86 在 vsphere 标准交换机或标准端口组上配置网卡绑定故障切换和负载平衡 89 在分布式端口组或分布式端口上配置网卡绑定故障切换和负载平衡 91 VLAN 策略 92 在分布式端口组或分布式端口上配置 VLAN 标记 93 配置上行链路端口组或上行链路端口上的 VLAN 标记 93 安全策略 94 配置 vsphere Standard Switch 或标准端口组的安全策略 94 配置分布式端口组或分布式端口的安全策略 95 流量调整策略 96 配置 vsphere Standard Switch 或标准端口组的流量调整 97 编辑分布式端口组或分布式端口的流量调整策略 98 资源分配策略 99 编辑分布式端口组的资源分配策略 99 监控策略 99 在分布式端口组或分布式端口上启用或禁用 NetFlow 监控 100 流量筛选和标记策略 100 分布式端口组或上行链路端口组的流量筛选和标记 100 分布式端口或上行链路端口的流量筛选和标记 107 限定要筛选和标记的流量 114 管理 vsphere Distributed Switch 上的多个端口组的策略 116 VMware, Inc. 保留所有权利 5

6 端口阻止策略 120 编辑分布式端口组的端口阻止策略 121 编辑分布式端口或上行链路端口的阻止策略使用 VLAN 隔离网络流量 122 VLAN 配置 122 专用 VLAN 123 创建专用 VLAN 123 移除主专用 VLAN 124 移除次专用 VLAN 管理网络资源 125 DirectPath I/O 125 为主机上的网络设备启用直通功能 126 在虚拟机上配置 PCI 设备 126 单根 I/O 虚拟化 (SR-IOV) 127 SR-IOV 支持 127 SR-IOV 组件架构和交互 129 vsphere 和虚拟功能交互 131 DirectPath I/O 和 SR-IOV 132 配置虚拟机以使用 SR-IOV 132 与已启用 SR-IOV 的虚拟机关联的流量网络选项 134 使用 SR-IOV 物理适配器处理虚拟机流量 134 使用主机配置文件或 ESXCLI 命令启用 SR-IOV 135 由于主机的中断向量已耗尽, 因此使用 SR-IOV 虚拟功能的虚拟机打开电源失败 137 虚拟机的远程直接内存访问 137 PVRDMA 支持 138 为 ESXi 主机配置 PVRDMA 139 向虚拟机分配 PVRDMA 适配器 140 聚合以太网 RDMA 的网络要求 140 巨帧 141 在 vsphere Distributed Switch 上启用巨帧 141 在 vsphere 标准交换机上启用巨帧 142 为 VMkernel 适配器启用巨帧 142 在虚拟机上启用巨帧支持 142 TCP 分段清除 143 在 VMkernel 中启用或禁用软件 TSO 143 确定在 ESXi 主机的物理网络适配器上是否支持 TSO 144 在 ESXi 主机上启用或禁用 TSO 144 确定 TSO 在 ESXi 主机上是否处于启用状态 145 在 Linux 虚拟机上启用或禁用 TSO 145 VMware, Inc. 保留所有权利 6

7 在 Windows 虚拟机上启用或禁用 TSO 146 大型接收卸载 146 为 ESXi 主机上的所有 VMXNET3 适配器启用硬件 LRO 147 为 ESXi 主机上的所有 VMXNET3 适配器启用或禁用软件 LRO 147 确保是否为 ESXi 主机上的 VMXNET3 适配器启用了 LRO 147 更改 VMXNET 3 适配器的 LRO 缓冲区大小 148 为 ESXi 主机上的所有 VMkernel 适配器启用或禁用 LRO 148 更改 VMkernel 适配器的 LRO 缓冲区大小 148 在 Linux 虚拟机的 VMXNET3 适配器上启用或禁用 LRO 149 在 Windows 虚拟机的 VMXNET3 适配器上启用或禁用 LRO 149 在 Windows 虚拟机上全局启用 LRO 150 NetQueue 和网络性能 151 在主机上启用 NetQueue 151 在主机上禁用 NetQueue vsphere Network I/O Control 153 关于 vsphere Network I/O Control 版本在 vsphere Distributed Switch 上启用 Network I/O Control 154 系统流量的带宽分配 154 系统流量的带宽分配参数 155 系统流量的带宽预留示例 155 配置系统流量的带宽分配 155 虚拟机流量的带宽分配 156 关于为虚拟机分配带宽 156 虚拟机流量的带宽分配参数 158 虚拟机带宽的接入控制 158 创建网络资源池 159 向网络资源池中添加分布式端口组 160 为虚拟机配置带宽分配 161 在多个虚拟机上配置带宽分配 162 更改网络资源池的配额 163 从网络资源池中移除分布式端口组 163 删除网络资源池 163 将物理适配器移到 Network I/O Control 的范围之外 MAC 地址管理 165 从 vcenter Server 的 MAC 地址分配 165 VMware OUI 分配 166 基于前缀的 MAC 地址分配 166 基于范围的 MAC 地址分配 166 分配 MAC 地址 167 VMware, Inc. 保留所有权利 7

8 在 ESXi 主机上生成 MAC 地址 169 为虚拟机设置静态 MAC 地址 170 静态 MAC 地址的 VMware OUI 170 通过使用 vsphere Web Client 分配静态 MAC 地址 171 在虚拟机配置文件中分配静态 MAC 地址 171 关于在 vsphere Distributed Switch 上启用巨帧针对 IPv6 配置 vsphere 175 vsphere IPv6 连接 175 在 IPv6 中部署 vsphere 177 在 vsphere 安装中启用 IPv6 177 在升级的 vsphere 环境中启用 IPv6 178 在主机上启用或禁用 IPv6 支持 180 在 ESXi 主机上设置 IPv6 180 在 vcenter Server 上设置 IPv6 181 在 vcenter Server Appliance 上设置 IPv6 181 使用 IPv6 在 Windows 中设置 vcenter Server 监控网络连接和流量 183 使用 PacketCapture 实用程序捕获网络数据包 183 使用 pktcap-uw 实用程序捕获和跟踪网络数据包 185 用于捕获数据包的 pktcap-uw 命令语法 185 用于跟踪数据包的 pktcap-uw 命令语法 187 用于输出控制的 pktcap-uw 选项 188 用于筛选数据包的 pktcap-uw 选项 188 使用 pktcap-uw 实用程序捕获数据包 189 使用 pktcap-uw 实用程序跟踪数据包 198 配置 vsphere Distributed Switch 的 NetFlow 设置 199 使用端口镜像 200 端口镜像互操作性 200 创建端口镜像会话 202 查看端口镜像会话详细信息 204 编辑端口镜像会话详细信息源和目标 205 vsphere Distributed Switch 运行状况检查 206 启用或禁用 vsphere Distributed Switch 运行状况检查 206 查看 vsphere Distributed Switch 健康状况 207 交换机发现协议 207 在 vsphere Distributed Switch 上启用 Cisco 发现协议 208 VMware, Inc. 保留所有权利 8

9 在 vsphere Distributed Switch 上启用链路层发现协议 208 查看交换机信息 209 查看 NSX 虚拟分布式交换机的拓扑图配置用于虚拟机网络连接的协议配置文件 210 添加网络协议配置文件 210 选择网络协议配置文件的名称和网络 211 指定网络协议配置文件中的 IPv4 配置 211 指定网络协议配置文件的 IPv6 配置 212 指定网络协议配置文件的 DNS 和其他配置 212 完成网络协议配置文件的创建 213 将端口组与网络协议配置文件关联 213 配置虚拟机或 vapp 以使用网络协议配置文件多播筛选 215 多播筛选模式 215 在 vsphere Distributed Switch 上启用多播侦听 216 编辑多播侦听的查询时间间隔 216 编辑 IGMP 和 MLD 的源 IP 地址数量无状态网络部署网络最佳做法网络故障排除 221 故障排除准则 222 确定症状 222 定义问题空间 222 测试可能的解决方案 223 使用日志进行故障排除 223 对 MAC 地址分配问题进行故障排除 225 同一网络中存在重复的虚拟机 MAC 地址 225 由于 MAC 地址冲突, 尝试打开虚拟机电源失败 227 无法从 vsphere Distributed Switch 中移除主机 227 vsphere Distributed Switch 上的主机丢失与 vcenter Server 的连接 228 vsphere Distributed Switch 5.0 及早期版本上的主机与 vcenter Server 断开连接 229 主机上的网络冗余丢失警报 230 在更改分布式端口组的上行链路故障切换顺序之后虚拟机断开连接 231 无法将物理适配器添加到已启用 Network I/O Control 的 vsphere Distributed Switch 232 对已启用 SR-IOV 的工作负载进行故障排除 233 启用了 SR-IOV 的工作负载在您更改其 MAC 地址后无法通信 233 VMware, Inc. 保留所有权利 9

10 运行 VPN 客户端的虚拟机导致在主机上或 vsphere HA 群集中拒绝虚拟机服务 234 Windows 虚拟机上 UDP 工作负载的吞吐量低 235 位于相同的分布式端口组但不同主机上的虚拟机无法互相通信 236 由于缺少关联的协议配置文件, 尝试打开迁移的 vapp 的电源失败 237 网络连接配置操作回滚并且主机断开与 vcenter Server 的连接 238 VMware, Inc. 保留所有权利 10

11 关于提供有关配置 VMware vsphere 网络连接的信息, 包括如何创建 vsphere Distributed Switch 和 vsphere 标准交换机还提供有关监控网络管理网络资源和网络连接最佳做法的信息目标读者提供的信息面向熟悉网络配置和虚拟机技术的有经验的 Windows 或 Linux 系统管理员 vsphere Web Client 和 vsphere Client 本指南中的说明反映 vsphere Client( 基于 HTML5 的 GUI) 您也可以使用这些说明通过 vsphere Web Client ( 基于 Flex 的 GUI) 执行任务 vsphere Client 和 vsphere Web Client 之间工作流明显不同的任务具有重复过程, 其根据相应客户端界面提供步骤与 vsphere Web Client 有关的过程在标题中包含 vsphere Web Client 注在 vsphere 6.7 Update 1 中, 几乎所有 vsphere Web Client 功能在 vsphere Client 中得以实现有关其他不受支持的功能的最新列表, 请参见 vsphere Client 功能更新说明 VMware, Inc. 保留所有权利 11

12 简介 1 了解的基本概念以及如何在 vsphere 环境中设置并配置网络本章讨论了以下主题 : 网络概念概述 ESXi 中的网络服务 VMware ESXiDump Collector 支持网络概念概述一些概念对透彻了解虚拟网络至关重要如果您是 vsphere 的新用户, 则了解这些概念将对您很有帮助物理网络虚拟网络含糊网络物理以太网交换机 vsphere 标准交换机为了使物理机之间能够收发数据, 在物理机间建立的网络 VMware ESXi 运行于物理机之上在单台物理机上运行的虚拟机之间为了互相发送和接收数据而相互逻辑连接所形成的网络虚拟机可连接到在添加网络时创建的虚拟网络含糊网络是由 vsphere 以外的单独实体创建和管理的网络例如, 由 VMware NSX 创建和管理的逻辑网络在 vcenter Server 中显示为 nsx.logicalswitch 类型的含糊网络可以选择一个含糊网络作为虚拟机网络适配器的支持要管理 Opaque 网络, 请使用与 Opaque 网络关联的管理工具, 如 VMware NSX Manager 或 VMware NSX API 管理工具物理以太网交换机管理物理网络上计算机之间的网络流量一台交换机可具有多个端口, 每个端口都可与网络上的一台计算机或其他交换机连接可按某种方式对每个端口的行为进行配置, 具体取决于其所连接的计算机的需求交换机将会了解到连接其端口的主机, 并使用该信息向正确的物理机转发流量交换机是物理网络的核心可将多个交换机连接在一起, 以形成较大的网络其运行方式与物理以太网交换机十分相似它检测与其虚拟端口进行逻辑连接的虚拟机, 并使用该信息向正确的虚拟机转发流量可使用物理以太网适配器 ( 也称为上行链路适配器 ) 将虚拟网络连接至物理网络, 以将 vsphere 标准交换机连接到物理交换机此类型的连接类似于将物理交换机连接在一起以创建较大型的网络即使 vsphere 标准交换机的运行方式与物理交换机十分相似, 但它不具备物理交换机所拥有的一些高级功能 VMware, Inc. 保留所有权利 12

13 标准端口组 vsphere Distributed Switch 主机代理交换机分布式端口分布式端口组网卡绑定 VLAN VMkernel TCP/IP 网络层 IP 存储 TCP 分段卸载网络服务通过端口组连接到标准交换机端口组定义通过交换机连接网络的方式通常, 单个标准交换机与一个或多个端口组关联端口组为每个端口指定了诸如宽带限制和 VLAN 标记策略之类的端口配置选项 vsphere Distributed Switch 可充当数据中心中所有关联主机的单一交换机, 以提供虚拟网络的集中式置备管理以及监控您可以在 vcenter Server 系统上配置 vsphere Distributed Switch, 该配置将传播至与该交换机关联的所有主机这使得虚拟机可在跨多个主机进行迁移时确保其网络配置保持一致驻留在与 vsphere Distributed Switch 关联的每个主机上的隐藏标准交换机主机代理交换机会将 vsphere Distributed Switch 上设置的网络配置复制到特定主机连接到主机的 VMkernel 或虚拟机的网络适配器的 vsphere Distributed Switch 上的一个端口与 vsphere Distributed Switch 关联的一个端口组, 并为每个成员端口指定端口配置选项分布式端口组可定义通过 vsphere Distributed Switch 连接到网络的方式当多个上行链路适配器与单个交换机相关联以形成小组时, 就会发生网卡绑定小组将物理网络和虚拟网络之间的流量负载分摊给其所有或部分成员, 或在出现硬件故障或网络中断时提供被动故障切换 VLAN 可用于将单个物理 LAN 分段进一步分段, 以便使端口组中的端口互相隔离, 如同位于不同物理分段上一样标准是 802.1Q VMkernel 网络层提供与主机的连接, 并处理 vsphere vmotion IP 存储 Fault Tolerance 和 vsan 的标准基础架构流量将 TCP/IP 网络通信用作其基础的任何形式的存储器 iscsi 和 NFS 可用作虚拟机数据存储, 并用于 ISO 文件的直接挂载, 这些会以 CD-ROM 的形式提供给虚拟机 TCP 分段卸载 (TSO) 可使 TCP/IP 堆栈发出非常大的帧 ( 达到 64 KB), 即使接口的最大传输单元 (MTU) 较小也是如此然后网络适配器将较大的帧分成 MTU 大小的帧, 并预置一份初始 TCP/IP 标头的调整后副本 ESXi 中的网络服务虚拟网络向主机和虚拟机提供了多种服务可以在 ESXi 中启用两种类型的网络服务 : 将虚拟机连接到物理网络以及相互连接虚拟机将 VMkernel 服务 ( 如 NFS iscsi 或 vmotion) 连接至物理网络 VMware, Inc. 保留所有权利 13

14 VMware ESXi Dump Collector 支持当系统遇到重大故障时,ESXi Dump Collector 会将 VMkernel 内存 ( 即核心转储 ) 的状态发送到网络服务器 ESXi 中的 ESXi Dump Collector 支持 vsphere 标准交换机和 vsphere Distributed Switch ESXi Dump Collector 还可将任意活动上行链路适配器运用于收集器, 此活动上行链路适配器来自处理 VMkernel 适配器的端口组组合如果已配置的 VMkernel 适配器的 IP 地址发生更改, 则对 ESXi Dump Collector 接口 IP 地址的更改也将自动更新如果 VMkernel 适配器的网关配置发生更改,ESXi Dump Collector 也将调整其默认网关如果您尝试删除 ESXi Dump Collector 使用的 VMkernel 网络适配器, 操作会失败并显示警告消息要删除 VMkernel 网络适配器, 请禁用转储收集, 然后再删除适配器从已崩溃的主机到 ESXi Dump Collector 的文件传输会话中不存在身份验证或加密您应尽可能在单独的 VLAN 上配置 ESXi Dump Collector, 以便将 ESXi 核心转储与常规网络流量隔离有关安装和配置 ESXi Dump Collector 的信息, 请参见 vcenter Server 安装和设置文档 VMware, Inc. 保留所有权利 14

15 使用 vsphere 标准交换机设置网络 2 连接在 vsphere 部署中,vSphere 标准交换机在主机级别处理网络流量本章讨论了以下主题 : vsphere 标准交换机创建 vsphere 标准交换机虚拟机的端口组配置 vsphere 标准交换机属性 vsphere 标准交换机可以创建名为 vsphere 标准交换机的抽象网络设备使用标准交换机来提供主机和虚拟机的网络连接标准交换机可在同一 VLAN 中的虚拟机之间进行内部流量桥接, 并链接至外部网络标准交换机概览要提供主机和虚拟机的网络连接, 请在标准交换机上将主机的物理网卡连接到上行链路端口虚拟机具有在标准交换机上连接到端口组的网络适配器 (vnic) 每个端口组可使用一个或多个物理网卡来处理其网络流量如果某个端口组没有与其连接的物理网卡, 则相同端口组上的虚拟机只能彼此进行通信, 而无法与外部网络进行通信 VMware, Inc. 保留所有权利 15

16 图 2 1. vsphere 标准交换机架构 ESXi 主机 1 管理流量 vmotion 流量 ESXi 主机 2 虚拟机虚拟机虚拟机虚拟机虚拟机虚拟机虚拟机虚拟机 vmotion 流量管理流量 vnic 虚拟端口网络生产管理 vmotion 测试环境生产端口组上行链路端口组生产测试环境 vmotion vmknic 管理上行链路端口组上行链路端口 0 上行链路端口 1 上行链路端口 2 上行链路端口 0 上行链路端口 1 上行链路端口 2 物理网络适配器 vminc0 vminc1 vminc3 vminc0 vminc1 vminc3 物理交换机 vsphere 标准交换机与物理以太网交换机非常相似主机上的虚拟机网络适配器和物理网卡使用交换机上的逻辑端口每个适配器使用一个端口标准交换机上的每个逻辑端口都是单一端口组的成员有关允许的最大端口和端口组数的信息请参见最高配置文档标准端口组标准交换机上的每个标准端口组都由一个对于当前主机必须保持唯一的网络标签来标识可以使用网络标签来使虚拟机的网络配置可在主机间移植应为数据中心的端口组提供相同标签这些端口组使用在物理网络中连接到一个广播域的物理网卡反过来如果两个端口组连接不同广播域中的物理网卡则这两个端口组应具有不同的标签例如可以创建生产和测试环境端口组来作为在物理网络中共享同一广播域的主机上的虚拟机网络 VLAN ID 是可选的它用于将端口组流量限制在物理网络内的一个逻辑以太网网段中要使端口组接收同一个主机可见但来自多个 VLAN 的流量必须将 VLAN ID 设置为 VGT (VLAN 4095) 标准端口数为了确保在 ESXi 主机上高效使用主机资源标准交换机的端口数将按比例自动增加和减少此主机上的标准交换机可扩展至主机上支持的最大端口数 VMware, Inc. 保留所有权利 16

17 创建 vsphere 标准交换机创建 vsphere 标准交换机, 以便为主机和虚拟机提供网络连接并处理 VMkernel 流量根据要创建的连接类型, 可以使用 VMkernel 适配器创建新的 vsphere 标准交换机, 仅将物理网络适配器连接到新交换机, 或使用虚拟机端口组创建交换机步骤 1 在 vsphere Web Client 中, 导航到主机 2 在配置选项卡上, 展开网络, 然后选择虚拟交换机 3 单击添加主机网络 4 选择要使用新标准交换机的连接类型, 然后单击下一步选项 VMkernel 网络适配器物理网络适配器标准交换机的虚拟机端口组描述创建新的 VMkernel 适配器, 以便处理主机管理流量 vmotion 网络存储容错或 vsan 流量将物理网络适配器添加到现有或新的标准交换机为虚拟机网络创建新的端口组 5 选择新建标准交换机, 然后单击下一步 6 将物理网络适配器添加到新的标准交换机 a b c 在分配的适配器下, 单击添加适配器从列表中选择一个或多个物理网络适配器在故障切换顺序组下拉菜单中, 从活动或备用故障切换列表中进行选择若要实现更高的吞吐量并提供冗余, 请在活动列表中至少配置两个物理网络适配器 d 单击确定 7 如果使用 VMkernel 适配器或虚拟机端口组创建新的标准交换机, 请输入适配器或端口组的连接设置选项描述 VMkernel 适配器 a 输入表示 VMkernel 适配器的流量类型的标签, 例如 vmotion b 设置 VLAN ID 以标识 VMkernel 适配器的网络流量将使用的 VLAN c 选择 IPv4 IPv6 或同时选择两者 d 选择一个 TCP/IP 堆栈为 VMkernel 适配器设置 TCP/IP 堆栈后, 以后便无法再更改该堆栈如果选择 vmotion 或置备 TCP/IP 堆栈, 您将只能使用此堆栈来处理主机上的 vmotion 或置备流量 e 如果使用默认 TCP/IP 堆栈, 请从可用服务中进行选择 f 配置 IPv4 和 IPv6 设置虚拟机端口组 a 输入网络标签或端口组, 或接受生成的标签 b 设置 VLAN ID, 以便在端口组中配置 VLAN 处理 8 在即将完成页面上, 单击确定 VMware, Inc. 保留所有权利 17

18 后续步骤可能需要更改新标准交换机的绑定和故障切换策略例如, 如果主机连接到物理交换机上的以太通道, 则必须将 vsphere 标准交换机配置为使用基于 IP 哈希的路由作为负载平衡算法有关详细信息, 请参见成组和故障切换策略如果使用端口组为虚拟机网络创建新的标准交换机, 请将虚拟机连接到端口组虚拟机的端口组配置您可以添加或修改虚拟机端口组, 以便对一组虚拟机设置流量管理 vsphere Web Client 中的添加网络向导将引导您完成与虚拟机相连接的虚拟网络的创建过程, 包括创建 vsphere 标准交换机和配置网络标签设置设置虚拟机网络时, 需要考虑是否在主机之间的网络中迁移虚拟机如果需要, 请确保两台主机均位于同一广播域 ( 即同一第 2 层子网 ) 内 ESXi 不支持在不同广播域中的主机之间进行虚拟机迁移, 因为迁移后的虚拟机可能需要新网络中不再可访问的系统和资源即使网络配置设置为高可用性环境或包括可解决不同网络中虚拟机需求的智能交换机, 当 ARP 表格为虚拟机进行更新并恢复网络流量时, 仍会遇到网络延迟虚拟机通过上行链路适配器接入物理网络只有当一个或多个网络适配器附加到 vsphere 标准交换机时, vsphere 标准交换机才能将数据传输到外部网络当两个或多个适配器连接到单个标准交换机时, 它们便以透明方式进行组合添加虚拟机端口组在 vsphere 标准交换机中创建端口组, 以便为虚拟机提供连接和常用网络配置步骤 1 在 vsphere Web Client 中, 导航到主机 2 右键单击主机, 然后选择添加网络 3 在选择连接类型中, 选择标准交换机的虚拟机端口组, 然后单击下一步 4 在选择目标设备中, 选择现有标准交换机或创建新的标准交换机 5 如果新端口组用于现有标准交换机, 请导航至该交换机 a b 单击浏览从列表中选择标准交换机, 然后单击确定 c 单击下一步, 然后转至第 7 步 VMware, Inc. 保留所有权利 18

19 6 ( 可选 ) 在创建标准交换机页面上, 将物理网络适配器分配给该标准交换机创建标准交换机不一定需要适配器如果创建的标准交换机不带物理网络适配器, 则该交换机上的所有流量仅限于其内部物理网络上的其他主机或其他标准交换机上的虚拟机均无法通过此标准交换机发送或接收流量如果想要一组虚拟机互相进行通信但不与其他主机或虚拟机组之外的虚拟机进行通信, 则可创建一个不带物理网络适配器的标准交换机 a b c d e 单击添加适配器从网络适配器列表中选择一个适配器使用故障切换顺序组下拉菜单将该适配器分配到活动适配器备用适配器或未用的适配器, 然后单击确定 ( 可选 ) 根据需要在分配的适配器列表中使用向上和向下箭头更改适配器的位置单击下一步 7 在连接设置页面上, 标识通过该组的各个端口的流量 a b 为端口组键入网络标签, 或接受生成的标签设置 VLAN ID, 以便在端口组中配置 VLAN 处理 VLAN ID 也会在端口组中反映 VLAN 标记模式 VLAN 标记模式 VLAN ID 描述外部交换机标记 (EST) 0 虚拟交换机不会传递与 VLAN 关联的流量虚拟交换机标记 (VST) 从 1 到 4094 虚拟交换机将使用输入的标记来标记流量虚拟客户机标记 (VGT) 4095 虚拟机会处理 VLAN 虚拟交换机会传递来自任意 VLAN 的流量 c 单击下一步 8 在即将完成页面中查看端口组设置, 然后单击完成如果要更改任何设置, 请单击上一步编辑标准交换机端口组可以使用 vsphere Web Client 编辑标准交换机端口组的名称和 VLAN ID, 并在端口组级别替代网络策略步骤 1 在 vsphere Web Client 中, 导航到主机 2 在配置选项卡上, 展开网络, 然后选择虚拟交换机 3 在列表中选择一个标准交换机此时将显示交换机的拓扑图 4 在交换机的拓扑图中, 单击端口组的名称 5 在拓扑图标题下, 单击编辑设置图标 VMware, Inc. 保留所有权利 19

20 6 在属性页面的网络标签文本字段中, 重命名端口组 7 在 VLAN ID 下拉菜单中配置 VLAN 标记 VLAN 标记模式 VLAN ID 描述外部交换机标记 (EST) 0 虚拟交换机不会传递与 VLAN 关联的流量虚拟交换机标记 (VST) 从 1 到 4094 虚拟交换机将使用输入的标记来标记流量虚拟客户机标记 (VGT) 4095 虚拟机会处理 VLAN 虚拟交换机会传递来自任意 VLAN 的流量 8 在安全页面上, 替代交换机设置, 以防止 MAC 地址模拟, 并在混杂模式下运行虚拟机 9 在流量调整页面上, 在端口组级别替代平均带宽峰值带宽和突发的大小 10 在绑定和故障切换页面上, 替代从标准交换机继承的绑定和故障切换设置您可以在与端口组关联的物理适配器之间配置流量分布和重新路由也可以更改发生故障时使用主机物理适配器的顺序 11 单击确定从 vsphere 标准交换机移除端口组如果不再需要关联的带标记网络, 则可从 vsphere 标准交换机移除端口组前提条件确认要移除的端口组未连接任何已打开电源的虚拟机步骤 1 在 vsphere Web Client 中, 导航到主机 2 在配置选项卡上, 展开网络, 然后选择虚拟交换机 3 选择标准交换机 4 从交换机的拓扑图中, 单击端口组的标签以选择要移除的端口组 5 在交换机拓扑的工具栏中, 单击移除选定的端口组操作图标 vsphere 标准交换机属性 vsphere 标准交换机设置可控制端口的交换机层面默认值, 而每个标准交换机的端口组设置均可覆盖这些值您可以编辑标准交换机属性, 如上行链路配置和可用端口数 ESXi 主机上的端口数量为了确保在 ESXi 主机上高效使用主机资源, 虚拟交换机的端口数将按比例自动增加和减少此主机上的交换机可扩展至主机上支持的最大端口数端口限制基于主机可处理的最大虚拟机数来确定 VMware, Inc. 保留所有权利 20

21 更改 vsphere 标准交换机上 MTU 的大小更改 vsphere 标准交换机上最大传输单元 (MTU) 的大小, 即增加使用单个数据包传输的负载数据量 ( 也就是启用巨帧 ) 来提高网络效率步骤 1 在 vsphere Web Client 中, 导航到主机 2 在配置选项卡上, 展开网络, 然后选择虚拟交换机 3 从表中选择一台标准交换机, 然后单击编辑设置 4 更改标准交换机的 MTU ( 字节 ) 值您可以通过设置大于 1500 的 MTU 值启用巨帧设置的 MTU 大小不能超过 9000 字节 5 单击确定更改物理适配器的速度如果物理适配器速度与应用程序要求不匹配, 则该适配器可能会成为网络流量的瓶颈您可以更改物理适配器的连接速度和双工模式, 以便按照流量速率来传输数据如果该物理适配器支持 SR-IOV, 可以启用它, 并配置虚拟机网络连接要使用的虚拟功能数步骤 1 在 vsphere Web Client 中, 导航到主机 2 在配置选项卡上, 展开网络, 然后选择物理适配器主机的物理网络适配器会显示在一个表中, 该表包含每个物理网络适配器的详细信息 3 从列表中选择物理网络适配器, 然后单击编辑适配器设置图标 4 从下拉菜单中选择该物理网络适配器的速度和双工模式 5 单击确定在 vsphere 标准交换机中添加物理适配器并使这些适配器成组向标准交换机分配物理适配器可提供与主机上的虚拟机和 VMkernel 适配器的连接可以组建一个网卡组, 以分布流量负载并配置故障切换网卡绑定可将多个网络连接组合在一起来增加吞吐量, 并在链路出现故障时提供冗余要创建组, 请将多个物理适配器与一个 vsphere 标准交换机关联起来步骤 1 在 vsphere Web Client 中, 导航到主机 2 在配置选项卡上, 展开网络, 然后选择虚拟交换机 3 选择要添加物理适配器的标准交换机 VMware, Inc. 保留所有权利 21

22 4 单击管理已连接到选定交换机的物理网络适配器图标 5 向交换机添加一个或多个可用的物理网络适配器 a b 单击添加适配器选择要向其分配适配器的故障切换顺序组该故障切换组将决定适配器与外部网络交换数据的角色, 即活动备用或未使用默认情况下, 适配器会作为活动角色添加到标准交换机 c 单击确定选定适配器会显示在分配的适配器列表下的选定故障切换组列表中 6 ( 可选 ) 使用向上和向下箭头可更改适配器在故障切换组中的位置 7 单击确定应用物理适配器配置查看 vsphere 标准交换机的拓扑图可以使用 vsphere 标准交换机的拓扑图检查该交换机的结构和组件标准交换机的拓扑图提供连接到该交换机的适配器和端口组的直观表示在该拓扑图中, 您可以编辑所选端口组和所选适配器的设置步骤 1 在 vsphere Web Client 中, 导航到主机 2 在配置选项卡上, 展开网络, 然后选择虚拟交换机 3 在列表中选择标准交换机拓扑图将显示在主机上虚拟交换机的列表下示例 : 将 VMkernel 和虚拟机连接到网络的标准交换机图在您的虚拟环境中,vSphere 标准交换机为 vsphere vmotion 和管理网络处理 VMkernel 适配器以及分组的虚拟机可以使用中心拓扑图来检查虚拟机或 VMkernel 适配器是否连接到外部网络, 并确定承载数据的物理适配器 VMware, Inc. 保留所有权利 22

24 使用 vsphere Distributed Switch 设置网络连接 3 通过 vsphere Distributed Switch, 可以在 vsphere 环境中设置和配置网络连接本章讨论了以下主题 : vsphere Distributed Switch 架构创建 vsphere Distributed Switch 将 vsphere Distributed Switch 升级到更高版本编辑 vsphere Distributed Switch 常规和高级设置在 vsphere Distributed Switch 上管理多个主机上的网络连接在主机代理交换机上管理网络连接分布式端口组使用分布式端口在 vsphere Distributed Switch 上配置虚拟机网络连接 vsphere Web Client 中的 vsphere Distributed Switch 拓扑图 vsphere Distributed Switch 架构 vsphere Distributed Switch 为与交换机关联的所有主机的网络连接配置提供集中化管理和监控您可以在 vcenter Server 系统上设置 Distributed Switch, 其设置将传播至与该交换机关联的所有主机 VMware, Inc. 保留所有权利 24

VMkernel 网络分布式端口组上行链路端口组上行链路 1 上行链路 2 上行链路 3 管理面板数据面板主机 1 主机 2 生产网络 VMkernel 网络

vmnic0 vmnic1 vmnic2 物理网卡物理交换机 vsphere 中的网络交换机由两个逻辑部分组成 : 数据面板和管理面板数据面板可实现软件包交换

Distributed Switch 的数据面板和管理面板相互分离 Distributed Switch 的管理功能驻留在 vcenter Server 系统上,

25 图 3 1. vsphere Distributed Switch 架构生产网络 vcenter Server vsphere Distributed Switch VMkernel 网络分布式端口组上行链路端口组上行链路 1 上行链路 2 上行链路 3 管理面板数据面板主机 1 主机 2 生产网络 VMkernel 网络生产网络 VMkernel 网络主机代理交换机上行链路端口组主机代理交换机上行链路端口组虚拟网络物理网络 vmnic0 vmnic1 vmnic2 vmnic0 vmnic1 vmnic2 物理网卡物理交换机 vsphere 中的网络交换机由两个逻辑部分组成 : 数据面板和管理面板数据面板可实现软件包交换筛选和标记等管理面板是用于配置数据面板功能的控制结构 vsphere 标准交换机同时包含数据面板和管理面板, 您可以单独配置和维护每个标准交换机 vsphere Distributed Switch 的数据面板和管理面板相互分离 Distributed Switch 的管理功能驻留在 vcenter Server 系统上, 您可以在数据中心级别管理环境的网络配置数据面板则保留在与 Distributed Switch 关联的每台主机本地 Distributed Switch 的数据面板部分称为主机代理交换机在 vcenter Server( 管理面板 ) 上创建的网络配置将被自动向下推送至所有主机代理交换机 ( 数据面板 ) VMware, Inc. 保留所有权利 25

26 vsphere Distributed Switch 引入的两个抽象概念可用于为物理网卡虚拟机和 VMkernel 服务创建一致的网络配置上行链路端口组上行链路端口组或 dvuplink 端口组在创建 Distributed Switch 期间进行定义, 可以具有一个或多个上行链路上行链路是可用于配置主机物理连接以及故障切换和负载平衡策略的模板您可以将主机的物理网卡映射到 Distributed Switch 上的上行链路在主机级别, 每个物理网卡将连接到特定 ID 的上行链路端口您可以对上行链路设置故障切换和负载平衡策略, 这些策略将自动传播到主机代理交换机或数据面板因此, 您可以为与 Distributed Switch 关联的所有主机的物理网卡应用一致的故障切换和负载平衡配置分布式端口组分布式端口组可向虚拟机提供网络连接并供 VMkernel 流量使用您使用对于当前数据中心唯一的网络标签来标识每个分布式端口组您可以在分布式端口组上配置网卡绑定故障切换负载平衡 VLAN 安全流量调整和其他策略连接到分布式端口组的虚拟端口具有为该分布式端口组配置的相同属性与上行链路端口组一样, 在 vcenter Server( 管理面板 ) 上为分布式端口组设置的配置将通过其主机代理交换机 ( 数据面板 ) 自动传播到 Distributed Switch 上的所有主机因此, 您可以配置一组虚拟机以共享相同的网络配置, 方法是将虚拟机与同一分布式端口组关联例如, 假设在数据中心创建一个 vsphere Distributed Switch, 然后将两个主机与其关联您为上行链路端口组配置了三个上行链路, 然后将每个主机的一个物理网卡连接到一个上行链路通过此方法, 每个上行链路可将每个主机的两个物理网卡映射到其中, 例如上行链路 1 使用主机 1 和主机 2 的 vmnic0 进行配置接下来, 您可以为虚拟机网络和 VMkernel 服务创建生产和 VMkernel 网络分布式端口组此外, 还会分别在主机 1 和主机 2 上创建生产和 VMkernel 网络端口组的表示您为生产和 VMkernel 网络端口组设置的所有策略都将传播到其在主机 1 和主机 2 上的表示为了确保有效地利用主机资源, 将动态地按比例增加和减少代理交换机的分布式端口数此主机上的代理交换机可扩展至主机上支持的最大端口数端口限制基于主机可处理的最大虚拟机数来确定 vsphere Distributed Switch 数据流从虚拟机和 VMkernel 适配器向下传递到物理网络的数据流取决于为分布式端口组设置的网卡绑定和负载平衡策略数据流还取决于 Distributed Switch 上的端口分配 VMware, Inc. 保留所有权利 26

27 图 3 2. vsphere Distributed Switch 上的网卡成组和端口分配 vcenter Server 主机 1 主机 2 主机 1 主机 2 VM1 VM2 VM3 vmknic1 vmknic 虚拟机网络 3 4 VMkernel 网络分布式端口组 vsphere Distributed Switch 上行链路端口组上行链路上行链路上行链路 vmnic0 vmnic0 ( 主机 1) ( 主机 2) vmnic0 ( 主机 1) vmnic0 ( 主机 2) vmnic0 ( 主机 1) ( vmnic0 主机 2) 例如, 假设创建分别包含 3 个和 2 个分布式端口的虚拟机网络和 VMkernel 网络分布式端口组 Distributed Switch 会按 ID 从 0 到 4 的顺序分配端口, 该顺序与创建分布式端口组的顺序相同然后, 将主机 1 和主机 2 与 Distributed Switch 关联 Distributed Switch 会为主机上的每个物理网卡分配端口, 端口将按添加主机的顺序从 5 继续编号要在每个主机上提供网络连接, 请将 vmnic0 映射到上行链路 1 将 vmnic1 映射到上行链路 2 将 vmnic2 映射到上行链路 3 要向虚拟机提供连接并供 VMkernel 流量使用, 可以为虚拟机网络端口组和 VMkernel 网络端口组配置绑定和故障切换上行链路 1 和上行链路 2 处理虚拟机网络端口组的流量, 而上行链路 3 处理 VMkernel 网络端口组的流量 VMware, Inc. 保留所有权利 27

28 图 3 3. 主机代理交换机上的数据包流量主机 1 VM1 VM2 vmknic1 虚拟机网络主机代理交换机 VMkernel 网络上行链路端口组 vmnic0 vmnic1 vmnic2 物理交换机在主机端, 虚拟机和 VMkernel 服务的数据包流量将通过特定端口传递到物理网络例如, 从主机 1 上的 VM1 发送的数据包将先到达虚拟机网络分布式端口组上的端口 0 由于上行链路 1 和上行链路 2 处理虚拟机网络端口组的流量, 数据包可以通过上行链路端口 5 或上行链路端口 6 继续传递如果数据包通过上行链路端口 5, 则将继续传递 vmnic0; 如果数据包通过上行链路端口 6, 则将继续传递到 vmnic1 创建 vsphere Distributed Switch 在数据中心创建 vsphere Distributed Switch, 以便在一个中央位置同时处理多个主机的网络配置步骤 1 在 vsphere Web Client 中, 导航到数据中心 2 在导航器中, 右键单击数据中心, 并选择 Distributed Switch > 新建 Distributed Switch 3 在名称和位置页面上, 键入新的 Distributed Switch 的名称, 或接受生成的名称, 然后单击下一步 4 在选择版本页面上, 选择 Distributed Switch 版本, 然后单击下一步选项 Distributed Switch: Distributed Switch: Distributed Switch: 描述与 ESXi 6.7 及更高版本兼容与 ESXi 6.5 及更高版本兼容不支持与更高版本的 vsphere Distributed Switch 一起发布的功能与 ESXi 6.0 及更高版本兼容不支持与更高版本的 vsphere Distributed Switch 一起发布的功能 VMware, Inc. 保留所有权利 28

29 5 在编辑设置页面上, 配置 Distributed Switch 设置 a 使用箭头按钮选择上行链路数上行链路端口将 Distributed Switch 连接到关联主机上的物理网卡上行链路端口数是允许每台主机与 Distributed Switch 建立的最大物理连接数 b 使用此下拉菜单启用或禁用 Network I/O Control 利用 Network I/O Control 可以根据部署要求设定特定类型基础架构的网络资源以及工作负载流量的访问优先级 Network I/O Control 会持续监控整个网络的 I/O 负载, 并动态地分配可用资源 c d 选中创建默认端口组复选框使用默认设置为该交换机创建新的分布式端口组 ( 可选 ) 要创建默认的分布式端口组, 可以在端口组名称中键入端口组的名称, 或者接受生成的名称如果系统具有自定义端口组要求, 则在添加 Distributed Switch 后, 创建满足这些要求的分布式端口组 e 单击下一步 6 在即将完成页面上, 查看您选择的设置, 然后单击完成使用上一步按钮可编辑任何设置 Distributed Switch 即在数据中心创建完毕您可以通过导航到该新的 Distributed Switch 并单击摘要选项卡, 查看该 Distributed Switch 支持的功能及其他详细信息后续步骤为 Distributed Switch 添加主机, 并配置这些主机在交换机上的网络适配器将 vsphere Distributed Switch 升级到更高版本您可以将 vsphere Distributed Switch 6.x 版升级到更高版本升级可以使 Distributed Switch 利用仅在更高版本中提供的功能升级 Distributed Switch 会导致连接到交换机的主机和虚拟机出现短暂停机有关详细信息, 请参见知识库文章注要能够在升级失败时还原虚拟机和 VMkernel 适配器的连接, 请备份 Distributed Switch 的配置如果升级不成功, 要使用其端口组和连接的主机重新创建交换机, 可以导入交换机配置文件请参见导出 vsphere Distributed Switch 配置和导入 vsphere Distributed Switch 配置前提条件将 vcenter Server 升级到版本 6.7 将连接到 Distributed Switch 的所有主机升级到 ESXi6.7 步骤 1 在 vsphere Web Client 中, 导航到 Distributed Switch VMware, Inc. 保留所有权利 29

30 2 右键单击 Distributed Switch, 然后选择升级 > 升级 Distributed Switch 3 选择要将交换机升级到的 vsphere Distributed Switch 版本, 然后单击下一步选项描述版与 ESXi6.7 及更高版本兼容版本版本与 ESXi6.5 及更高版本兼容不支持与更高版本的 vsphere Distributed Switch 一起发布的功能与 ESXi6.0 版及更高版本兼容不支持与更高版本的 vsphere Distributed Switch 一起发布的功能 4 检查主机兼容性, 然后单击下一步连接到该 Distributed Switch 的一些 ESXi 实例可能与选定的目标版本不兼容进行升级或移除不兼容的主机, 或者选择 Distributed Switch 的其他升级版本 5 完成升级配置, 然后单击完成小心升级 vsphere Distributed Switch 后, 无法将其恢复到早期版本也无法添加正在运行的版本低于该交换机新版本的 ESXi 主机编辑 vsphere Distributed Switch 常规和高级设置 vsphere Distributed Switch 的常规设置包括交换机名称和上行链路数量 Distributed Switch 的高级设置包括 Cisco 发现协议和交换机的最大 MTU 步骤 1 在 vsphere Web Client 中, 导航到 Distributed Switch 2 在配置选项卡上, 展开设置并选择属性 3 单击编辑 4 单击常规以编辑 vsphere Distributed Switch 设置选项名称上行链路数端口数描述键入 Distributed Switch 的名称选择 Distributed Switch 的上行链路端口数单击编辑上行链路名称更改上行链路的名称该 Distributed Switch 的端口数该信息不能编辑 Network I/O Control 使用此下拉菜单启用或禁用 Network I/O Control 描述添加或修改 Distributed Switch 设置的描述 VMware, Inc. 保留所有权利 30

31 5 单击高级编辑 vsphere Distributed Switch 设置选项描述 MTU ( 字节 ) vsphere Distributed Switch 的最大 MTU 大小要启用巨帧, 请设置一个大于 1500 字节的值多播筛选模式基本 Distributed Switch 根据从组 IPv4 地址的最后 23 位生成的 MAC 地址转发与多播组相关的流量 IGMP/MLD 侦听 Distributed Switch 使用由 Internet 组管理协议 (IGMP) 和多播侦听器发现协议定义的成员身份消息, 根据已订阅多播组的 IPv4 和 IPv6 地址将多播流量转发到虚拟机发现协议 a 从类型下拉菜单中选择 Cisco 发现协议链路层发现协议或 ( 已禁用 ) b 将操作设置为侦听通告或二者有关发现协议的信息, 请参见交换机发现协议管理员联系方式键入 Distributed Switch 管理员的姓名和其他详细信息 6 单击确定在 vsphere Distributed Switch 上管理多个主机上的网络连接可以通过将主机添加到交换机并将其网络适配器连接到交换机, 在 vsphere Distributed Switch 上创建和管理虚拟网络要在 Distributed Switch 的多个主机上创建统一的网络连接配置, 可以选择一个主机作为模板, 并将其配置应用到其他主机在 vsphere Distributed Switch 上管理主机网络的任务您可以为 vsphere Distributed Switch 添加新主机将网络适配器连接到交换机以及从交换机移除主机在生产环境中, 当您管理 Distributed Switch 上的主机时, 可能需要保持虚拟机和 VMkernel 服务的网络连接有效将主机添加到 vsphere Distributed Switch 要使用 vsphere Distributed Switch 管理 vsphere 环境的网络, 必须将主机与交换机关联可以将主机的物理网卡 VMkernel 适配器和虚拟机网络适配器连接到 Distributed Switch 在 vsphere Distributed Switch 上配置物理网络适配器对于与 Distributed Switch 关联的主机, 可以将物理网卡分配给交换机上的上行链路可以在 Distributed Switch 上一次为多个主机配置物理网卡将 VMkernel 适配器迁移到 vsphere Distributed Switch 如果想要仅使用 vsphere Distributed Switch 来处理 VMkernel 服务的流量, 并且不再需要其他标准交换机或 Distributed Switch 上的适配器, 请将 VMkernel 适配器迁移到 vsphere Distributed Switch 在 vsphere Distributed Switch 上创建 VMkernel 适配器在与 Distributed Switch 关联的主机上创建 VMkernel 适配器, 以便向主机提供网络连接并处理 vsphere vmotion IP 存储 Fault Tolerance 日志记录和 vsan 的流量可以通过使用添加和管理主机向导同时在多个主机上创建 VMkernel 适配器将虚拟机网络迁移到 vsphere Distributed Switch 要使用 Distributed Switch 管理虚拟机网络连接, 请将虚拟机网络适配器迁移到交换机上有标记的网络 VMware, Inc. 保留所有权利 31

32 使用主机作为模板为 vsphere Distributed Switch 创建统一的网络配置如果您计划使多台主机拥有统一的网络配置, 则可选择其中一台主机作为模板, 并将其物理网卡和 VMkernel 适配器的配置应用到 Distributed Switch 上的其他主机从 vsphere Distributed Switch 中移除主机如果为主机配置了其他交换机, 则可以从 vsphere Distributed Switch 中移除主机在 vsphere Distributed Switch 上管理主机网络的任务您可以为 vsphere Distributed Switch 添加新主机将网络适配器连接到交换机以及从交换机移除主机在生产环境中, 当您管理 Distributed Switch 上的主机时, 可能需要保持虚拟机和 VMkernel 服务的网络连接有效为 vsphere Distributed Switch 添加主机在为 Distributed Switch 添加主机之前, 应考虑做好环境准备为虚拟机网络创建分布式端口组为 VMkernel 服务创建分布式端口组例如, 为管理网络 vmotion 和 Fault Tolerance 创建分布式端口组在 Distributed Switch 上为要连接交换机的所有物理网卡配置足够的上行链路例如, 如果要连接 Distributed Switch 的每个主机都有八个物理网卡, 则在 Distributed Switch 上配置八个上行链路确保为具有特殊网络要求的服务准备了 Distributed Switch 的配置例如,iSCSI 对用来连接 iscsi VMkernel 适配器的分布式端口组的绑定和故障切换配置具有特殊要求可以在 vsphere Web Client 中使用添加和管理主机向导一次添加多个主机在 vsphere Distributed Switch 上管理网络适配器为 Distributed Switch 添加主机后, 可以将物理网卡连接到交换机上的上行链路配置虚拟机网络适配器以及管理 VMkernel 网络如果 Distributed Switch 上的部分主机与数据中心内的其他主机关联, 可以将网络适配器迁移到 Distributed Switch, 或者从 Distributed Switch 中迁移出网络适配器如果迁移虚拟机网络适配器或 VMkernel 适配器, 应确保目标分布式端口组至少有一个活动的上行链路, 并且该链路与主机上的物理网卡连接另一个方法是同时迁移物理网卡虚拟网络适配器和 VMkernel 适配器如果迁移物理网卡, 至少应使一个网卡处于活动状态, 以处理端口组的流量例如, 如果 vmnic0 和 vmnic1 处理 VM Network 端口组的流量, 则迁移 vmnic0, 并使 vmnic1 与该组保持连接从 vsphere Distributed Switch 移除主机从 Distributed Switch 移除主机之前, 必须将使用中的网络适配器迁移到不同的交换机要在不同的 Distributed Switch 中添加主机, 可以使用添加和管理主机向导将主机上的所有网络适配器一起迁移到新的交换机然后便可以从当前的 Distributed Switch 中安全地移除主机 VMware, Inc. 保留所有权利 32

33 要将主机网络迁移到标准交换机, 必须分阶段迁移网络适配器例如, 使每个主机上的一个物理网卡与交换机保持连接以保证网络连接有效, 即可从 Distributed Switch 移除主机上的物理网卡接着, 将物理网卡连接到标准交换机, 并将 VMkernel 适配器和虚拟机网络适配器迁移到交换机最后, 将与 Distributed Switch 保持连接的物理网卡迁移到标准交换机将主机添加到 vsphere Distributed Switch 要使用 vsphere Distributed Switch 管理 vsphere 环境的网络, 必须将主机与交换机关联可以将主机的物理网卡 VMkernel 适配器和虚拟机网络适配器连接到 Distributed Switch 前提条件验证 Distributed Switch 上有足够的可用上行链路, 可以分配给要连接交换机的物理网卡确认在 Distributed Switch 上至少有一个分布式端口组确认分布式端口组的绑定和故障切换策略中已配置了活动上行链路如果为 iscsi 迁移或创建 VMkernel 适配器, 请确认目标分布式端口组的绑定和故障切换策略满足 iscsi 的要求 : 确认只有一个上行链路处于活动状态, 待机列表为空, 其余上行链路未被使用确认每个主机只有一个物理网卡分配给活动上行链路步骤 1 在 vsphere Web Client 中, 导航到 Distributed Switch 2 从操作菜单中, 选择添加和管理主机 3 在选择任务页面上, 选择添加主机, 然后单击下一步 4 在选择主机页面上, 单击新主机, 选择数据中心内的主机, 单击确定, 然后单击下一步 5 在选择网络适配器任务页面上, 选择配置 Distributed Switch 的网络适配器的任务, 然后单击下一步 6 在管理物理网络适配器页面上, 配置 Distributed Switch 上的物理网卡 a 从其他交换机上 / 空闲列表中选择一个物理网卡如果选择已经连接其他交换机的物理网卡, 这些物理网卡即迁移到当前的 Distributed Switch 上 b c 单击分配上行链路选择一个上行链路, 然后单击确定为实现网络配置的一致性, 可以将每个主机上的一个相同的物理网卡与 Distributed Switch 上的相同的上行链路连接例如, 如果要添加两个主机, 则将每个主机上的 vmnic1 与 Distributed Switch 上的 Uplink1 连接 7 单击下一步 VMware, Inc. 保留所有权利 33

34 8 在管理 VMkernel 网络适配器页面上, 配置 VMkernel 适配器 a b 选择 VMkernel 适配器并单击分配端口组选择分布式端口组, 然后单击确定 9 查看受影响的服务以及影响的程度选项无影响重要影响严重影响描述应用新的网络连接配置之后,iSCSI 将继续执行其常规功能如果应用了新的网络连接配置, 则可能会中断 iscsi 的常规功能如果应用了新的网络连接配置, 则将中断 iscsi 的常规功能 a b 如果 iscsi 受到的影响非常重要或严重, 请单击 iscsi 条目, 然后查看分析详细信息窗格中所显示的原因排除对 iscsi 造成的影响之后, 请继续进行网络连接配置 10 单击下一步 11 在迁移虚拟机网络页面上, 配置虚拟机网络连接 a b c 要将某个虚拟机的所有网络适配器连接到分布式端口组, 请选择该虚拟机, 或者选择单个网络适配器以仅连接该适配器单击分配端口组从列表中选择一个分布式端口组, 然后单击确定 12 单击下一步, 然后单击完成后续步骤将主机与 Distributed Switch 关联后, 可以管理物理网卡 VMkernel 适配器和虚拟机网络适配器在 vsphere Distributed Switch 上配置物理网络适配器对于与 Distributed Switch 关联的主机, 可以将物理网卡分配给交换机上的上行链路可以在 Distributed Switch 上一次为多个主机配置物理网卡要确保所有主机的网络连接配置保持一致, 可以将每个主机上的相同物理网卡分配到 Distributed Switch 上的相同上行链路例如, 可以将主机 ESXi A 和 ESXi B 中的 vmnic1 分配到 Uplink 1 步骤 1 在 vsphere Web Client 中, 导航到 Distributed Switch 2 从操作菜单中, 选择添加和管理主机 3 在选择任务中, 选择管理主机网络, 然后单击下一步 4 在选择主机中, 单击连接的主机, 然后从与 Distributed Switch 关联的主机中进行选择 5 单击下一步 6 在选择网络适配器任务中, 选择管理物理适配器, 然后单击下一步 VMware, Inc. 保留所有权利 34

35 7 在管理物理网络适配器中, 从其他交换机上 / 空闲列表中选择一个物理网卡如果选择已分配到其他交换机的物理网卡, 请将其迁移至当前的 Distributed Switch 8 单击分配上行链路 9 选择一个上行链路或选择自动分配 10 单击下一步 11 查看受影响的服务以及影响的程度选项无影响重要影响严重影响描述应用新的网络连接配置之后,iSCSI 将继续执行其常规功能如果应用了新的网络连接配置, 则可能会中断 iscsi 的常规功能如果应用了新的网络连接配置, 则将中断 iscsi 的常规功能 a b 如果 iscsi 受到的影响非常重要或严重, 请单击 iscsi 条目, 然后查看分析详细信息窗格中所显示的原因排除对 iscsi 造成的影响之后, 请继续进行网络连接配置 12 单击下一步, 然后单击完成将 VMkernel 适配器迁移到 vsphere Distributed Switch 如果想要仅使用 vsphere Distributed Switch 来处理 VMkernel 服务的流量, 并且不再需要其他标准交换机或 Distributed Switch 上的适配器, 请将 VMkernel 适配器迁移到 vsphere Distributed Switch 步骤 1 在 vsphere Web Client 中, 导航到 Distributed Switch 2 从操作菜单中, 选择添加和管理主机 3 在选择任务中, 选择管理主机网络, 然后单击下一步 4 在选择主机中, 单击连接的主机, 然后从与 Distributed Switch 关联的主机中进行选择 5 单击下一步 6 在选择网络适配器任务中, 选择管理 VMkernel 适配器, 然后单击下一步 7 在管理 VMkernel 网络适配器中, 选择适配器并单击分配端口组 8 选择分布式端口组, 然后单击确定 9 单击下一步 VMware, Inc. 保留所有权利 35

36 10 查看受影响的服务以及影响的程度选项无影响重要影响严重影响描述应用新的网络连接配置之后,iSCSI 将继续执行其常规功能如果应用了新的网络连接配置, 则可能会中断 iscsi 的常规功能如果应用了新的网络连接配置, 则将中断 iscsi 的常规功能 a b 如果 iscsi 受到的影响非常重要或严重, 请单击 iscsi 条目, 然后查看分析详细信息窗格中所显示的原因排除对 iscsi 造成的影响之后, 请继续进行网络连接配置 11 单击下一步, 然后单击完成在 vsphere Distributed Switch 上创建 VMkernel 适配器在与 Distributed Switch 关联的主机上创建 VMkernel 适配器, 以便向主机提供网络连接并处理 vsphere vmotion IP 存储 Fault Tolerance 日志记录和 vsan 的流量可以通过使用添加和管理主机向导同时在多个主机上创建 VMkernel 适配器应专门针对每个 VMkernel 适配器使用一个分布式端口组一个 VMkernel 适配器应仅处理一种流量类型步骤 1 在 vsphere Web Client 中, 导航到 Distributed Switch 2 从操作菜单中, 选择添加和管理主机 3 在选择任务中, 选择管理主机网络, 然后单击下一步 4 在选择主机中, 单击连接的主机, 然后从与 Distributed Switch 关联的主机中进行选择 5 单击下一步 6 在选择网络适配器任务中, 选择管理 VMkernel 适配器, 然后单击下一步 7 单击新建适配器此时会打开添加网络向导 8 在选择目标设备中, 选择一个分布式端口组, 然后单击下一步 9 在端口属性页面上, 配置 VMkernel 适配器的设置选项网络标签 IP 设置描述网络标签从分布式端口组的标签继承选择 IPv4 IPv6 或同时选择两者注在未启用 IPv6 的主机上,IPv6 选项不会显示 VMware, Inc. 保留所有权利 36

37 选项 TCP/IP 堆栈描述在列表中选择一个 TCP/IP 堆栈为 VMkernel 适配器设置了 TCP/IP 堆栈后, 日后将不能再进行更改如果选择 vmotion 或置备 TCP/IP 堆栈, 您将只能使用这些堆栈处理主机上的 vmotion 或置备流量默认 TCP/IP 堆栈上所有适用于 vmotion 的 VMkernel 适配器将被禁止用于未来的 vmotion 会话如果设置了置备 TCP/IP 堆栈, 将针对包括置备流量的操作 ( 如虚拟机冷迁移克隆和快照迁移 ) 禁用默认 TCP/IP 堆栈上的 VMkernel 适配器启用服务可以为主机上的默认 TCP/IP 堆栈启用服务请从以下可用服务中选择 : vmotion 流量允许 VMkernel 适配器向另一台主机播发声明, 自己就是发送 vmotion 流量所应使用的网络连接如果未对默认 TCP/IP 堆栈上的任何 VMkernel 适配器启用 vmotion 服务, 或者根本不存在使用 vmotion TCP/IP 堆栈的适配器, 将不能使用 vmotion 迁移到选定的主机置备流量处理虚拟机冷迁移克隆和快照迁移传输的数据 Fault Tolerance 流量在主机上启用 Fault Tolerance 日志记录对每台主机的 FT 流量只能使用一个 VMkernel 适配器管理流量为主机和 vcenter Server 启用管理流量通常, 安装 ESXi 软件后, 主机将创建这样的 VMkernel 适配器可以为主机上的管理流量创建其他 VMkernel 适配器以提供冗余 vsphere Replication 流量处理从源 ESXi 主机发送到 vsphere Replication 服务器的出站复制数据 vsphere Replication NFC 流量处理目标复制站点上的入站复制数据 vsan 在主机上启用 vsan 流量属于 vsan 群集的每台主机都必须具有这样的 VMkernel 适配器 10 如果选择了 vmotion TCP/IP 或置备堆栈, 在显示的警告对话框中单击确定如果实时迁移已启动, 即使已在默认 TCP/IP 堆栈上禁止将涉及的 VMkernel 适配器用于 vmotion, 该迁移也会成功完成同样, 在默认 TCP/IP 堆栈上包括为置备流量设置的 VMkernel 适配器也是一样 11 ( 可选 ) 在 IPv4 设置页面上, 选择用于获取 IP 地址的选项选项自动获取 IPv4 设置使用静态 IPv4 设置描述使用 DHCP 获取 IP 设置网络上必须存在 DHCP 服务器输入 VMkernel 适配器的 IPv4 IP 地址和子网掩码 IPv4 的 VMkernel 默认网关和 DNS 服务器地址将从选定的 TCP/IP 堆栈中获取如果要为 VMkernel 适配器指定其他网关, 请选中替代此适配器的默认网关复选框并输入网关地址 VMware, Inc. 保留所有权利 37

38 12 ( 可选 ) 在 IPv6 设置页面上, 选择用于获取 IPv6 地址的选项选项通过 DHCP 自动获取 IPv6 地址通过路由器播发自动获取 IPv6 地址描述使用 DHCP 获取 IPv6 地址网络上必须存在 DHCPv6 服务器使用路由器播发获取 IPv6 地址在 ESXi 6.5 和更高版本中, 路由器播发在默认情况下处于启用状态, 并且支持符合 RFC 4861 的 M 和 O 标记静态 IPv6 地址 a 单击添加 IPv6 地址以添加新的 IPv6 地址 b 输入 IPv6 地址和子网前缀长度, 然后单击确定 c 要更改 VMkernel 默认网关, 请单击替代此适配器的默认网关 IPv6 的 VMkernel 默认网关地址将从选定的 TCP/IP 堆栈中获取 13 检查即将完成页面上的设置选项, 然后单击完成 14 按照提示完成向导将虚拟机网络迁移到 vsphere Distributed Switch 要使用 Distributed Switch 管理虚拟机网络连接, 请将虚拟机网络适配器迁移到交换机上有标记的网络前提条件验证 Distributed Switch 上是否至少有一个适用于虚拟机网络连接的分布式端口组步骤 1 在 vsphere Web Client 中, 导航到 Distributed Switch 2 从操作菜单中, 选择添加和管理主机 3 在选择任务中, 选择管理主机网络, 然后单击下一步 4 在选择主机中, 单击连接的主机, 然后从与 Distributed Switch 关联的主机中进行选择 5 单击下一步 6 在选择网络适配器任务中, 选择迁移虚拟机网络, 然后单击下一步 7 为 Distributed Switch 配置虚拟机网络适配器 a b c 要将某个虚拟机的所有网络适配器连接到分布式端口组, 请选择该虚拟机, 或者选择单个网络适配器以仅连接该适配器单击分配端口组从列表中选择一个分布式端口组, 然后单击确定 8 单击下一步, 然后单击完成使用主机作为模板为 vsphere Distributed Switch 创建统一的网络配置如果您计划使多台主机拥有统一的网络配置, 则可选择其中一台主机作为模板, 并将其物理网卡和 VMkernel 适配器的配置应用到 Distributed Switch 上的其他主机 VMware, Inc. 保留所有权利 38

步骤 1 在 vsphere Web Client 中, 导航到 Distributed Switch 2 从操作菜单中, 选择添加和管理主机 3 选择管理主机网络的任务, 然后单击下一步 4 选择要在 Distributed Switch 上添加或进行管理的主机 5 在对话框的底部, 选择在多个主机上配置相同的网络设置, 然后单击下一步 6 选择要用作模板的主机, 然后单击下一步 7

39 步骤 1 在 vsphere Web Client 中, 导航到 Distributed Switch 2 从操作菜单中, 选择添加和管理主机 3 选择管理主机网络的任务, 然后单击下一步 4 选择要在 Distributed Switch 上添加或进行管理的主机 5 在对话框的底部, 选择在多个主机上配置相同的网络设置, 然后单击下一步 6 选择要用作模板的主机, 然后单击下一步 7 选择网络适配器任务, 然后单击下一步 8 在管理物理网络适配器和管理 VMkernel 网络适配器页面上, 对模板主机进行所需的配置更改, 然后针对所有其他主机单击应用于全部 9 在即将完成页面上, 单击完成示例 : 使用模板主机配置物理适配器和 VMkernel 适配器使用添加和管理主机向导中的模板主机模式在 Distributed Switch 上的所有主机之间创建统一的网络配置在向导的管理物理网络适配器页面上, 将一个物理网卡分配给模板主机上的上行链路, 然后单击应用于全部以便在其他主机上创建相同的配置图 3 4. 使用模板主机在 vsphere Distributed Switch 上应用物理网卡配置在管理 VMkernel 网络适配器页面, 向端口组分配一个 VMkernel 适配器, 并单击应用于全部以向其他主机应用相同的配置 VMware, Inc. 保留所有权利 39

单击应用于全部按钮后, 目标 VMkernel 适配器同时具有已修改和已重新分配限定符之所以显示已修改限定符是因为, 单击应用于全部按钮后,vCenter Server 会将模板 VMKernel 适配器的配置规范复制到目标 VMkernel 适配器, 即使模板适配器和目标适配器的配置完全相同也是如此因此, 目标适配器总是会被修改图 3 5.

40 单击应用于全部按钮后, 目标 VMkernel 适配器同时具有已修改和已重新分配限定符之所以显示已修改限定符是因为, 单击应用于全部按钮后,vCenter Server 会将模板 VMKernel 适配器的配置规范复制到目标 VMkernel 适配器, 即使模板适配器和目标适配器的配置完全相同也是如此因此, 目标适配器总是会被修改图 3 5. 使用模板主机在 vsphere Distributed Switch 上应用 VMkernel 适配器配置从 vsphere Distributed Switch 中移除主机如果为主机配置了其他交换机, 则可以从 vsphere Distributed Switch 中移除主机前提条件确认将目标主机上的物理网卡迁移到其他交换机确认将主机上的 VMkernel 适配器迁移到其他交换机确认将虚拟机网络适配器迁移到其他交换机有关将网络适配器迁移到其他交换机的详细信息, 请参见在 vsphere Distributed Switch 上管理主机网络的任务步骤 1 在 vsphere Web Client 中, 导航到 Distributed Switch 2 从操作菜单中, 选择添加和管理主机 3 选择移除主机, 然后单击下一步 4 选择要移除的主机, 然后单击下一步 5 单击完成 VMware, Inc. 保留所有权利 40

41 在主机代理交换机上管理网络连接您可以更改与 vsphere Distributed Switch 关联的各个主机上的代理交换机的配置您可以管理物理网卡 VMkernel 适配器和虚拟机网络适配器有关在主机代理交换机上设置 VMkernel 网络的详细信息, 请参见在 vsphere Distributed Switch 上创建 VMkernel 适配器将主机上的网络适配器迁移到 vsphere Distributed Switch 对于与 Distributed Switch 关联的主机, 可以将网络适配器从标准交换机迁移至 Distributed Switch 可以同时迁移物理网卡 VMkernel 适配器和虚拟机网络适配器如果迁移虚拟机网络适配器或 VMkernel 适配器, 应确保目标分布式端口组至少有一个活动的上行链路, 并且该链路与此主机上的物理网卡连接或者, 也可以同时迁移物理网卡虚拟网络适配器和 VMkernel 适配器要迁移物理网卡, 请确保标准交换机上的源端口组至少具有一个物理网卡以处理其流量例如, 如果要迁移分配给虚拟机网络的端口组的物理网卡, 请确保该端口组至少连接到一个物理网卡否则, 标准交换机上同一 VLAN 中的虚拟机将相互连接, 但与外部网络之间无连接步骤 1 在 vsphere Web Client 中, 导航到主机 2 在配置选项卡上, 展开网络, 然后选择虚拟交换机 3 选择目标 Distributed Switch, 然后单击将物理网络适配器或虚拟网络适配器迁移到此 Distributed Switch 4 选择迁移网络适配器的任务, 然后单击下一步 5 配置物理网卡 a b c 从其他交换机上 / 空闲列表中, 选择一个物理网卡, 然后单击分配上行链路选择一个上行链路, 然后单击确定单击下一步 6 配置 VMkernel 适配器 a b 选择一个适配器, 然后单击分配端口组选择分布式端口组, 然后单击确定一次应将一个 VMkernel 适配器连接到一个分布式端口组 c 单击下一步 VMware, Inc. 保留所有权利 41

42 7 检查受新网络配置影响的服务 a 如果某个服务中报告了重要的或严重的影响, 请单击该服务并检查分析详细信息例如, 可能会报告 iscsi 上由迁移 iscsi VMkernel 适配器的分布式端口组上不正确的绑定和故障切换配置导致的重要影响必须在分布式端口组的绑定和故障切换顺序中保留一个活动的上行链路, 将备用列表保留为空, 并将其余的上行链路移至未使用 b 对受影响的服务造成的任何影响进行故障排除后, 单击下一步 8 配置虚拟机网络适配器 a 选择一个虚拟机或虚拟机网络适配器, 然后单击分配端口组如果选择虚拟机, 则应迁移虚拟机上的所有网络适配器如果选择网络适配器, 则只需迁移此网络适配器 b c 从列表中选择一个分布式端口组, 然后单击确定单击下一步 9 在即将完成页上, 检查新网络配置并单击完成将主机上的 VMkernel 适配器迁移到 vsphere 标准交换机如果主机与 Distributed Switch 关联, 则可以将 VMkernel 适配器从 Distributed Switch 迁移到标准交换机有关在 vsphere Distributed Switch 上创建 VMkernel 适配器的详细信息, 请参见在 vsphere Distributed Switch 上创建 VMkernel 适配器前提条件确认目标标准交换机至少有一个物理网卡步骤 1 在 vsphere Web Client 中, 导航到主机 2 在配置选项卡上, 展开网络, 然后选择虚拟交换机 3 在列表中选择目标标准交换机 4 单击将 VMkernel 网络适配器迁移到选定交换机 5 在选择 VMkernel 网络适配器页面上, 在列表中选择要迁移到标准交换机的虚拟网络适配器 6 在配置设置页面上, 编辑网络适配器的网络标签和 VLAN ID 7 在即将完成页面上, 检查迁移详细信息, 然后单击完成单击上一步以编辑设置将主机的物理网卡分配给 vsphere Distributed Switch 您可以将与 Distributed Switch 关联的主机的物理网卡分配给主机代理交换机上的上行链路端口 VMware, Inc. 保留所有权利 42

43 步骤 1 在 vsphere Web Client 中, 导航到主机 2 在配置选项卡上, 展开网络, 然后选择虚拟交换机 3 从列表中选择 Distributed Switch 4 单击管理已连接到选定交换机的物理网络适配器图标 5 从列表中选择一个空闲的上行链路, 然后单击添加适配器 6 选择物理网卡, 然后单击确定从 vsphere Distributed Switch 移除物理网卡您可以从 vsphere Distributed Switch 的上行链路中移除主机的物理网卡步骤 1 在 vsphere Web Client 中, 导航到主机 2 在配置选项卡上, 展开网络, 然后选择虚拟交换机 3 选择 Distributed Switch 4 单击管理已连接到选定交换机的物理网络适配器图标 5 选择上行链路, 然后单击移除选定适配器 6 单击确定后续步骤从活动虚拟机中移除物理网卡时, 可能会看到 vsphere Web Client 中报告已移除的网卡请参见从活动虚拟机中移除网卡从活动虚拟机中移除网卡从活动虚拟机中移除网卡时, 可能仍会看到 vsphere Web Client 中已移除的网卡从未安装客户机操作系统的活动虚拟机中移除网卡不能从未安装任何操作系统的活动虚拟机中移除网卡 vsphere Web Client 可能会报告网卡已被移除, 但是您看到它仍然附加在虚拟机上从已安装客户机操作系统的活动虚拟机中移除网卡可以从活动虚拟机中移除网卡, 但有时这可能不会报告给 vsphere Web Client 如果您单击虚拟机的编辑设置, 可能会看到被移除的网卡仍被列出, 即便移除任务已完成虚拟机的编辑设置对话框不会立即显示移除的网卡如果虚拟机的客户机操作系统不支持热移除网卡, 则您可能仍会看到网卡附加在虚拟机上 VMware, Inc. 保留所有权利 43

44 分布式端口组分布式端口组为 vsphere Distributed Switch 上的每个成员端口指定端口配置选项分布式端口组可定义连接到网络的方式添加分布式端口组将分布式端口组添加到 vsphere Distributed Switch 以为虚拟机创建 Distributed Switch 网络并关联 VMkernel 适配器步骤 1 在 vsphere Web Client 中, 导航到 Distributed Switch 2 右键单击 Distributed Switch, 然后选择分布式端口组 > 新建分布式端口组 3 在选择名称和位置页面上, 输入新分布式端口组的名称, 或接受生成的名称, 然后单击下一步 4 在配置设置页面上, 设置新分布式端口组的常规属性, 然后单击下一步设置端口绑定描述选择将端口分配到与该分布式端口组相连的虚拟机的时间静态绑定 : 虚拟机连接到分布式端口组后, 为该虚拟机分配一个端口动态绑定 : 虚拟机连接到分布式端口组后首次打开该虚拟机的电源时, 为该虚拟机分配一个端口自 ESXi 5.0 开始, 已弃用动态绑定极短 - 无绑定 : 无端口绑定此外, 连接到主机时, 还可以将虚拟机分配给带有极短端口绑定的分布式端口组端口分配弹性 : 默认端口数为 8 个分配了所有端口后, 将创建一组新的 8 个端口这是默认行为固定 : 默认端口数设置为 8 个分配了所有端口后, 不会创建额外端口端口数网络资源池输入分布式端口组上的端口数使用下拉菜单将新的分布式端口组分配给用户定义的网络资源池如果尚未创建网络资源池, 则此菜单为空 VLAN 使用 VLAN 类型下拉菜单选择 VLAN 选项 : 无 : 不使用 VLAN VLAN: 在 VLAN ID 文本框中, 输入一个介于 1 和 4094 之间的数字 VLAN 中继 : 输入 VLAN 中继范围专用 VLAN: 选择专用 VLAN 条目如果未创建任何专用 VLAN, 则此菜单为空高级要为新的分布式端口组自定义策略配置, 请选中此复选框 VMware, Inc. 保留所有权利 44

45 5 ( 可选 ) 在安全页面上, 编辑安全异常, 然后单击下一步设置描述混杂模式拒绝在客户机操作系统中将适配器置于混杂模式不会导致接收其他虚拟机的帧接受如果在客户机操作系统中将适配器置于混杂模式, 则交换机将允许客户机适配器按照该适配器所连接到的端口上的活动 VLAN 策略接收在交换机上传递的所有帧防火墙端口扫描程序入侵检测系统等需要在混杂模式下运行 MAC 地址更改拒绝如果将此选项设置为拒绝, 并且客户机操作系统将适配器的 MAC 地址更改为不同于.vmx 配置文件中的地址, 则交换机会丢弃所有到虚拟机适配器的入站帧如果客户机操作系统恢复 MAC 地址, 则虚拟机将再次收到帧接受如果客户机操作系统更改了网络适配器的 MAC 地址, 则适配器会将帧接收到其新地址伪信号拒绝如果任何出站帧的源 MAC 地址不同于.vmx 配置文件中的源 MAC 地址, 则交换机会丢弃该出站帧接受交换机不执行筛选, 允许所有出站帧通过 6 ( 可选 ) 在流量调整页面上, 启用或禁用输入流量调整或输出流量调整, 然后单击下一步设置状态平均带宽峰值带宽突发大小描述如果启用输入流量调整或输出流量调整, 将为与该特定端口组关联的每个虚拟适配器设置网络连接带宽分配量的限制如果禁用策略, 则在默认情况下, 服务将能够自由顺畅地连接物理网络规定某段时间内允许通过端口的平均每秒位数这是允许的平均负载当端口发送和接收流量突发时, 每秒钟允许通过该端口的最大位数此数值是端口使用额外突发时所能使用的最大带宽突发中所允许的最大字节数如果设置了此参数, 则在端口没有使用为其分配的所有带宽时可能会获取额外的突发当端口所需带宽大于平均带宽所指定的值时, 如果有额外突发可用, 则可能会临时以更高的速度传输数据此参数为额外突发中可累积的最大字节数, 使数据能以更高速度传输 VMware, Inc. 保留所有权利 45

46 7 ( 可选 ) 在绑定和故障切换页面上, 编辑设置, 然后单击下一步设置负载平衡描述指定如何选择上行链路基于源虚拟端口的路由根据流量进入 Distributed Switch 所经过的虚拟端口选择上行链路基于 IP 哈希的路由根据每个数据包的源和目标 IP 地址哈希值选择上行链路对于非 IP 数据包, 偏移量中的任何值都将用于计算哈希值基于源 MAC 哈希的路由根据源以太网哈希值选择上行链路基于物理网卡负载的路由根据物理网卡的当前负载选择上行链路使用明确故障切换顺序始终使用活动适配器列表中位于最前列的符合故障切换检测标准的上行链路注基于 IP 的绑定要求为物理交换机配置以太通道对于所有其他选项, 禁用以太通道网络故障检测指定用于故障切换检测的方法仅链路状态仅依靠网络适配器提供的链路状态该选项可检测故障 ( 如拨掉线缆和物理交换机电源故障 ), 但无法检测配置错误 ( 如物理交换机端口受跨树阻止配置到了错误的 VLAN 中或者拔掉了物理交换机另一端的线缆 ) 信标探测发出并侦听组中所有网卡上的信标探测, 使用此信息并结合链路状态来确定链接故障该选项可检测上述许多仅通过链路状态无法检测到的故障注不要使用包含 IP 哈希负载平衡的信标探测通知交换机选择是或否指定发生故障切换时是否通知交换机如果选择是, 则每当虚拟网卡连接到 Distributed Switch 或虚拟网卡的流量因故障切换事件而由网卡组中的其他物理网卡路由时, 都将通过网络发送通知以更新物理交换机的查找表几乎在所有情况下, 为了使出现故障切换以及通过 vmotion 迁移时的延迟最短, 最好使用此过程注当使用端口组的虚拟机正在以单播模式使用 Microsoft 网络负载平衡时, 请勿使用此选项以多播模式运行网络负载平衡时不存在此问题故障恢复故障切换顺序选择是或否以禁用或启用故障恢复此选项确定物理适配器从故障恢复后如何返回到活动的任务如果故障恢复设置为是 ( 默认值 ), 则适配器将在恢复后立即返回到活动任务, 并取代接替其位置的备用适配器 ( 如果有 ) 如果故障恢复设置为否, 那么, 即使发生故障的适配器已经恢复, 它仍将保持非活动状态, 直到当前处于活动状态的另一个适配器发生故障并要求替换为止指定如何分布上行链路的工作负载要使用一部分上行链路, 保留另一部分来应对使用的上行链路发生故障时的紧急情况, 请通过将它们移到不同的组来设置此条件 : 活动上行链路当网络适配器连接正常且处于活动状态时, 继续使用此上行链路备用上行链路如果其中一个活动适配器的连接中断, 则使用此上行链路未使用的上行链路不使用此上行链路注当使用 IP 哈希负载平衡时, 不要配置备用上行链路 VMware, Inc. 保留所有权利 46

47 8 ( 可选 ) 在监控页面上, 启用或禁用 NetFlow, 然后单击下一步设置描述已禁用在分布式端口组上禁用了 NetFlow 已启用在分布式端口组上启用了 NetFlow 可以在 vsphere Distributed Switch 级别配置 NetFlow 设置 9 ( 可选 ) 在其他页面上, 选择是或否, 然后单击下一步选择是可关闭端口组中的所有端口该操作可能中断正在使用这些端口的主机或虚拟机的正常网络操作 10 ( 可选 ) 在编辑其他设置页面上, 添加对端口组的描述并设置每个端口的任何策略替代项, 然后单击下一步 11 在即将完成页面上, 检查设置, 然后单击完成要更改任何设置, 请单击返回按钮编辑常规分布式端口组设置可以编辑常规分布式端口组设置, 例如分布式端口组名称端口设置和网络资源池步骤 1 在 vsphere Web Client 中找到分布式端口组 a b 选择 Distributed Switch, 然后单击网络选项卡单击分布式端口组 2 右键单击分布式端口组, 然后选择编辑设置 3 选择常规以编辑下面的分布式端口组设置选项名称端口绑定描述分布式端口组的名称您可在文本字段中编辑名称选择将端口分配到与该分布式端口组相连的虚拟机的时间静态绑定 : 虚拟机连接到分布式端口组后, 为该虚拟机分配一个端口动态绑定 : 在虚拟机连接到分布式端口组后首次打开该虚拟机的电源时, 为该虚拟机分配一个端口自 ESXi 5.0 开始, 已弃用动态绑定极短 : 无端口绑定此外, 连接到主机时, 还可以将虚拟机分配给带有极短端口绑定的分布式端口组端口分配弹性 : 默认端口数设置为八个分配了所有端口后, 将创建一组新的 8 个端口这是默认行为固定 : 默认端口数设置为 8 个分配了所有端口后, 不会创建额外端口端口数网络资源池描述输入分布式端口组上的端口数使用下拉菜单将新的分布式端口组分配给用户定义的网络资源池如果尚未创建网络资源池, 则此菜单为空请在描述字段中输入有关分布式端口组的信息 4 单击确定 VMware, Inc. 保留所有权利 47

48 在端口级别配置替代网络策略要对分布式端口应用不同的策略, 您可以配置在端口组级别设置的每个端口替代策略当分布式端口与虚拟机断开连接时, 您也可以启用重置在每个端口级别设置的任何配置步骤 1 在 vsphere Web Client 中找到分布式端口组 a b 选择 Distributed Switch, 然后单击网络选项卡单击分布式端口组 2 右键单击分布式端口组, 然后选择编辑设置 3 选择高级页面选项断开连接时配置重置替代端口策略描述从下拉菜单中启用或禁用断开连接时重置当分布式端口与虚拟机断开连接时, 分布式端口的配置重置为分布式端口组设置每个端口的替代都会被丢弃选择要在每个端口级别替代的分布式端口组策略 4 ( 可选 ) 使用策略页面设置每个端口策略的替代 5 单击确定移除分布式端口组当您不再需要相应的有标记网络时, 请移除分布式端口组, 以便为虚拟机或 VMkernel 网络提供连接及配置连接设置前提条件验证已将连接到相应有标记网络的所有虚拟机迁移到其他有标记网络验证已将连接到分布式端口组的所有 VMkernel 适配器迁移到其他端口组, 或已将其删除步骤 1 在 vsphere Web Client 中找到分布式端口组 a b 选择 Distributed Switch, 然后单击网络选项卡单击分布式端口组 2 选择分布式端口组 3 在操作菜单中, 选择删除 VMware, Inc. 保留所有权利 48

49 使用分布式端口分布式端口是连接到 VMkernel 或虚拟机的网络适配器的 vsphere Distributed Switch 上的一个端口默认分布式端口配置是由分布式端口组设置确定的, 但可以替代各个分布式端口的某些设置监控分布式端口的状况 vsphere 可以监控分布式端口并提供关于每个端口的当前状况和运行时统计信息步骤 1 在 vsphere Web Client 中找到分布式端口组 a b 选择 Distributed Switch, 然后单击网络选项卡单击分布式端口组 2 双击分布式端口组 3 单击端口选项卡, 然后从列表中选择端口 4 单击开始监控端口状况图标分布式端口组的端口表将显示每个分布式端口的运行时统计信息状况列会显示每个分布式端口的当前状况选项已连接已断开已阻止描述此分布式端口的链接已打开此分布式端口的链接已关闭此分布式端口已阻止 -- 当前此分布式端口的状况不可用配置分布式端口设置可以更改分布式端口的常规设置, 如端口名称和描述步骤 1 在 vsphere Web Client 中找到分布式端口组 a b 选择 Distributed Switch, 然后单击网络选项卡单击分布式端口组 2 在列表中双击一个分布式端口组 3 单击端口选项卡, 然后从表中选择分布式端口有关分布式端口的信息会显示在屏幕底部 4 单击编辑分布式端口设置图标 VMware, Inc. 保留所有权利 49

50 5 在属性页面和策略页面上, 编辑有关分布式端口的信息, 然后单击确定如果不允许替代项, 则策略选项将处于禁用状态您可以通过更改分布式端口组的高级设置允许端口级别的替代项请参见在端口级别配置替代网络策略在 vsphere Distributed Switch 上配置虚拟机网络连接可以通过配置单个虚拟机网卡, 或通过从 vsphere Distributed Switch 自身迁移多组虚拟机, 将虚拟机连接到 vsphere Distributed Switch 通过将虚拟机关联的虚拟网络适配器连接到分布式端口组, 可以将虚拟机连接到 vsphere Distributed Switch 对于单个虚拟机, 可以通过修改虚拟机的网络适配器配置来完成 ; 对于虚拟机组, 可以通过将虚拟机从现有虚拟网络迁移到 vsphere Distributed Switch 来完成将虚拟机迁入或迁出 vsphere Distributed Switch 除了在单个虚拟机级别将虚拟机连接到 Distributed Switch 以外, 还可以在 vsphere Distributed Switch 网络和 vsphere 标准交换机网络之间迁移一组虚拟机步骤 1 在 vsphere Web Client 中, 导航到数据中心 2 在导航器中右键单击数据中心, 然后选择将虚拟机迁移到其他网络 3 选择源网络选择特定网络并使用浏览按钮选择一个特定源网络选择无网络可迁移未连接到任何其他网络的所有虚拟机网络适配器 4 使用浏览选择一个目标网络, 然后单击下一步 5 从列表中选择要从源网络迁移到目标网络的虚拟机, 然后单击下一步 6 检查选择内容, 然后单击完成单击上一步以编辑任何选择将单个虚拟机连接到分布式端口组通过修改虚拟机的网卡配置, 可将单个虚拟机连接到 vsphere Distributed Switch 步骤 1 在 vsphere Web Client 中找到虚拟机 a b 选择数据中心文件夹群集资源池或主机, 然后单击虚拟机选项卡单击虚拟机, 然后从列表中双击虚拟机 2 在虚拟机的配置选项卡上, 展开设置, 然后选择虚拟机硬件 3 单击编辑 VMware, Inc. 保留所有权利 50

51 4 展开网络适配器部分, 并从网络适配器下拉菜单选择显示更多网络 5 在选择网络对话框中, 选择一个分布式端口组, 然后单击确定 6 单击确定 vsphere Web Client 中的 vsphere Distributed Switch 拓扑图 vsphere Web Client 中的 vsphere Distributed Switch 拓扑图显示了交换机中虚拟机适配器 VMkernel 适配器和物理适配器的结构您可以检查端口组中排列的组件 ( 其流量由交换机进行处理 ) 以及这些组件之间的连接此拓扑图显示了有关将虚拟适配器连接到外部网络的物理适配器的信息您可以查看在整个 Distributed Switch 上以及在加入此 Distributed Switch 的每台主机上运行的组件有关可从 vsphere Distributed Switch 拓扑图执行的操作, 请观看视频使用 VDS 拓扑图处理虚拟网络连接 ( bctid=ref:video_using_vds_topology_diagram) 中心拓扑图您可使用交换机的中心拓扑图找到并编辑与多个主机关联的分布式端口组和上行链路组的设置可以启动将虚拟机适配器从端口组迁移到相同或其他交换机上的目标位置的操作此外, 还可以使用添加和管理主机向导重新组织交换机上的主机及其网络主机代理交换机的拓扑图主机代理交换机的拓扑图显示了连接到主机上的交换机端口的适配器您可以编辑 VMkernel 适配器和物理适配器的设置图表筛选器您可使用图表筛选器来限制拓扑图中显示的信息默认筛选器将限制拓扑图只显示 32 个端口组 32 台主机和 1024 台虚拟机不使用任何筛选器或应用自定义筛选器可更改图表的范围通过使用自定义筛选器, 您可以查看仅与某一组虚拟机特定主机上的某一组端口组或某一端口相关的信息您可以通过 Distributed Switch 的中心拓扑图创建筛选器查看 vsphere Distributed Switch 的拓扑在 vcenter Server 中检查跨主机连接 Distributed Switch 的组件的组织步骤 1 导航至 vsphere Web Client 中的 vsphere Distributed Switch 2 在配置选项卡上, 展开设置, 然后选择拓扑 VMware, Inc. 保留所有权利 51

默认情况下, 此图最多显示 32 个分布式端口组 32 个主机和 1024 个虚拟机示例 : 将 VMkernel 和虚拟机连接网络的 Distributed Switch 图在您的虚拟环境中,vSphere Distributed Switch 为 vsphere vmotion 和管理网络处理 VMkernel 适配器以及分组的虚拟机可以使用中心拓扑图来检查虚拟机或 VMkernel

52 默认情况下, 此图最多显示 32 个分布式端口组 32 个主机和 1024 个虚拟机示例 : 将 VMkernel 和虚拟机连接网络的 Distributed Switch 图在您的虚拟环境中,vSphere Distributed Switch 为 vsphere vmotion 和管理网络处理 VMkernel 适配器以及分组的虚拟机可以使用中心拓扑图来检查虚拟机或 VMkernel 适配器是否连接到外部网络, 并确定承载数据的物理适配器图 3 6. 处理 VMkernel 和虚拟机网络连接的 Distributed Switch 的拓扑图后续步骤可以执行 Distributed Switch 的拓扑中的下列常见任务 : 使用筛选器仅查看特定主机上选定的端口组选择的虚拟机或端口的网络连接组件使用迁移虚拟机网络向导在主机和端口组之间查找配置和迁移虚拟机网络连接组件使用迁移虚拟机网络向导检测未向其分配网络的虚拟机适配器, 并将这些虚拟机适配器移至选定的端口组使用添加和管理主机向导处理多个主机上的网络连接组件查看承载与选定的虚拟机适配器或 VMkernel 适配器关联的流量的物理网卡或网卡组通过此方法, 还可以查看驻留选定 VMkernel 适配器的主机选择适配器, 跟踪到关联的物理网卡的路由, 并查看位于网卡旁边的 IP 地址或域名称确定端口组的 VLAN 模式和 ID 有关 VLAN 模式的信息, 请参见 VLAN 配置 VMware, Inc. 保留所有权利 52

53 查看主机代理交换机的拓扑检查并重新组织 vsphere Distributed Switch 在主机上处理的 VMkernel 和虚拟机的网络连接步骤 1 在 vsphere Web Client 中, 导航到主机 2 在配置选项卡上, 展开网络, 然后选择虚拟交换机 3 从列表中选择 Distributed Switch 主机代理交换机的拓扑会显示在列表下方 VMware, Inc. 保留所有权利 53

54 设置 VMkernel 网络 4 可设置 VMkernel 适配器向主机提供网络连接并接受 vmotion IP 存储 Fault Tolerance 日志记录 vsan 等服务的系统流量 VMkernel 网络层 VMkernel 网络层提供与主机的连接, 并处理 vsphere vmotion IP 存储 Fault Tolerance vsan 等其他服务的标准系统流量您还可以在源和目标 vsphere Replication 主机上创建 VMkernel 适配器, 以隔离复制数据流量查看有关主机上的 VMkernel 适配器的信息您可以查看每个 VMkernel 适配器的已分配的服务关联的交换机端口设置 IP 设置 TCP/IP 堆栈 VLAN ID 和策略在 vsphere 标准交换机上创建 VMkernel 适配器在 vsphere 标准交换机上创建 VMkernel 网络适配器, 可为主机提供网络连接并处理 vsphere vmotion IP 存储 Fault Tolerance 日志记录 vsan 等服务的系统流量您还可以在源和目标 vsphere Replication 主机上创建 VMkernel 适配器, 以隔离复制数据流量将 VMkernel 适配器专用于一种流量类型在与 vsphere Distributed Switch 关联的主机上创建 VMkernel 适配器在与 Distributed Switch 关联的主机上创建 VMkernel 适配器, 可向主机提供网络连接并处理 vsphere vmotion IP 存储 Fault Tolerance 日志记录 vsan 等服务的流量您可为 vsphere 标准交换机和 vsphere Distributed Switch 上的标准系统流量设置 VMkernel 适配器编辑 VMkernel 适配器配置您可能需要更改 VMkernel 适配器所支持的流量类型或者 IPv4 或 IPv6 地址的获取方式替代 VMkernel 适配器的默认网关您可能需要替代 VMkernel 适配器的默认网关, 以便为 vsphere vmotion 提供不同的网关使用 esxcli 命令配置 VMkernel 适配器网关您可以使用 esxcli 命令替代 VMkernel 适配器的默认网关, 从而为 vsphere vmotion 提供其他网关查看主机上的 TCP/IP 堆栈配置您可查看主机上 TCP/IP 堆栈的 DNS 和路由配置还可查看 IPv4 和 IPv6 路由表拥堵控制算法和允许的最大连接数 VMware, Inc. 保留所有权利 54

55 更改主机上的 TCP/IP 堆栈配置您可更改主机上 TCP/IP 堆栈的 DNS 和默认路由配置还可更改自定义 TCP/IP 堆栈的拥堵控制算法最大连接数和名称创建自定义 TCP/IP 堆栈可以在主机上创建一个自定义 TCP/IP 堆栈通过自定义应用程序转发网络流量移除 VMkernel 适配器不再需要 VMkernel 适配器时, 请从 vsphere Distributed Switch 或标准交换机中移除该适配器确保在主机上至少保留一个用于管理流量的 VMkernel 适配器, 以保持网络连接不中断 VMkernel 网络层 VMkernel 网络层提供与主机的连接, 并处理 vsphere vmotion IP 存储 Fault Tolerance vsan 等其他服务的标准系统流量您还可以在源和目标 vsphere Replication 主机上创建 VMkernel 适配器, 以隔离复制数据流量 VMkernel 级别的 TCP/IP 堆栈默认 TCP/IP 堆栈 vmotion TCP/IP 堆栈置备 TCP/IP 堆栈自定义 TCP/IP 堆栈为 vcenter Server 与 ESXi 主机之间的管理流量和 vmotion IP 存储 Fault Tolerance 等服务的系统流量提供网络支持为虚拟机实时迁移的流量提供支持使用 vmotion TCP/IP 可以为 vmotion 流量提供更好的隔离在 vmotion TCP/IP 堆栈上创建 VMkernel 适配器后, 只能将此堆栈用于此主机上的 vmotion 默认 TCP/IP 堆栈上的 VMkernel 适配器对于 vmotion 服务均处于禁用状态如果某个实时迁移使用默认 TCP/IP 堆栈, 而您却使用 vmotion TCP/IP 堆栈配置了 VMkernel 适配器时, 迁移会成功完成但是, 默认 TCP/IP 堆栈上的 VMkernel 适配器对于未来 vmotion 会话将处于禁用状态支持虚拟机冷迁移克隆和快照迁移的流量在远距离 vmotion 期间, 可以使用置备 TCP/IP 处理网络文件复制 (Network File Copy, NFC) 流量 NFC 为 vsphere 提供文件特定的 FTP 服务 ESXi 使用 NFC 在数据存储之间复制和移动数据使用置备 TCP/IP 堆栈配置的 VMkernel 适配器会处理在长途 vmotion 中克隆已迁移虚拟机的虚拟磁盘的流量置备 TCP/IP 堆栈可用于隔离单独网关上克隆操作的流量使用置备 TCP/IP 堆栈配置 VMkernel 适配器后, 默认 TCP/IP 堆栈上的所有适配器对于置备流量均处于禁用状态您可以添加 VMkernel 级别的自定义 TCP/IP 堆栈, 并通过自定义应用程序处理网络流量确保系统流量安全采取适当的安全措施来防止对 vsphere 环境中的管理和系统的未授权访问例如, 在仅包括参与迁移的 ESXi 主机的单独网络中隔离 vmotion 流量在只有网络和安全管理员能够访问的网络中隔离管理流量有关详细信息, 请参见 vsphere 安全性和 vsphere 安装和设置 VMware, Inc. 保留所有权利 55

56 系统流量类型专门针对每种流量类型使用单独的 VMkernel 适配器对于 Distributed Switch, 专门针对每个 VMkernel 适配器使用单独的分布式端口组管理流量 vmotion 流量承载着 ESXi 主机和 vcenter Server 以及主机对主机 High Availability 流量的配置和管理通信默认情况下, 在安装 ESXi 软件时, 会在主机上为管理流量创建 vsphere 标准交换机以及 VMkernel 适配器为提供冗余, 可以将两个或更多个物理网卡连接到 VMkernel 适配器以进行流量管理容纳 vmotion 源主机和目标主机上都需要一个用于 vmotion 的 VMkernel 适配器将用于 vmotion 的 VMkernel 适配器配置为仅处理 vmotion 流量为了实现更好的性能, 可以配置多网卡 vmotion 要拥有多网卡 vmotion, 可以将两个或更多端口组专门用于 vmotion 流量, 每个端口组必须分别有一个与其关联的 vmotion VMkernel 适配器然后可以将一个或多个物理网卡连接到每个端口组这样, 有多个物理网卡用于 vmotion, 从而可以增加带宽注 vmotion 网络流量未加密应置备安全专用网络, 仅供 vmotion 使用置备流量 IP 存储流量和发现 Fault Tolerance 流量 vsphere Replication 流量 vsphere Replication NFC 流量 vsan 流量处理虚拟机冷迁移克隆和快照迁移传输的数据处理使用标准 TCP/IP 网络和取决于 VMkernel 网络的存储类型的连接此类存储类型包括软件 iscsi 从属硬件 iscsi 以及 NFS 如果 iscsi 具有两个或多个物理网卡, 则可以配置 iscsi 多路径 ESXi 主机支持 NFS 3 和 4.1 要配置软件以太网光纤通道 (FCoE) 适配器, 必须使用专用的 VMkernel 适配器软件 FCoE 使用 Cisco 发现协议 (CDP) VMkernel 模块通过数据中心桥接交换 (DCBX) 协议传递配置信息处理主容错虚拟机通过 VMkernel 网络层向辅助容错虚拟机发送的数据 vsphere HA 群集中的每台主机上都需要用于 Fault Tolerance 日志记录的单独 VMkernel 适配器处理源 ESXi 主机传输至 vsphere Replication 服务器的出站复制数据在源站点上使用一个专用的 VMkernel 适配器, 以隔离出站复制流量处理目标复制站点上的入站复制数据加入 vsan 群集的每台主机都必须有用于处理 vsan 流量的 VMkernel 适配器查看有关主机上的 VMkernel 适配器的信息您可以查看每个 VMkernel 适配器的已分配的服务关联的交换机端口设置 IP 设置 TCP/IP 堆栈 VLAN ID 和策略步骤 1 在 vsphere Web Client 中, 导航到主机 VMware, Inc. 保留所有权利 56

57 2 单击配置选项卡, 然后展开网络菜单 3 要查看有关主机上所有 VMkernel 适配器的信息, 请选择 VMkernel 适配器 4 从 VMkernel 适配器列表中选择一个适配器以查看其设置选项卡全部属性 IP 设置策略描述显示有关 VMkernel 适配器的所有配置信息此信息包括端口和网卡设置 IPv4 和 IPv6 设置流量调整绑定和故障切换以及安全策略显示 VMkernel 适配器的端口属性和网卡设置端口属性包括与该适配器关联的端口组 ( 网络标签 ) VLAN ID 和已启用的服务网卡设置包括 MAC 地址和已配置的 MTU 大小显示 VMkernel 适配器的所有 IPv4 和 IPv6 设置如果未在主机上启用 IPv6, 则不会显示 IPv6 信息显示已配置的流量调整绑定和故障切换以及安全策略, 这些策略将应用于 VMkernel 适配器所连接到的端口组在 vsphere 标准交换机上创建 VMkernel 适配器在 vsphere 标准交换机上创建 VMkernel 网络适配器, 可为主机提供网络连接并处理 vsphere vmotion IP 存储 Fault Tolerance 日志记录 vsan 等服务的系统流量您还可以在源和目标 vsphere Replication 主机上创建 VMkernel 适配器, 以隔离复制数据流量将 VMkernel 适配器专用于一种流量类型步骤 1 在 vsphere Web Client 中, 导航到主机 2 在配置选项卡上, 展开网络, 然后选择 VMkernel 适配器 3 单击添加主机网络 4 在选择连接类型页面上, 选择 VMkernel 网络适配器, 然后单击下一步 5 在选择目标设备页面上, 选择现有标准交换机或选择新建标准交换机 6 ( 可选 ) 在创建标准交换机页面上, 为交换机分配物理网卡可以创建不带物理网卡的标准交换机, 稍后再配置网卡在此期间没有物理网卡连接到主机, 从而主机无法通过网络连接到物理网络上的其他主机主机上的各个虚拟机能够互相通信 a b 单击添加适配器, 然后根据需要选择物理网卡数使用上下箭头配置活动网卡和备用网卡 7 在端口属性页面上, 配置 VMkernel 适配器的设置选项网络标签描述请为该标签键入一个值以表示 VMkernel 适配器的流量类型, 例如 Management traffic 或 vmotion VLAN ID 设置 VLAN ID 以标识 VMkernel 适配器的网络流量将使用的 VLAN IP 设置选择 IPv4 IPv6 或同时选择两者注在未启用 IPv6 的主机上,IPv6 选项不会显示 VMware, Inc. 保留所有权利 57

58 选项 TCP/IP 堆栈描述在列表中选择一个 TCP/IP 堆栈为 VMkernel 适配器设置 TCP/IP 堆栈后, 以后便无法再更改该堆栈如果选择 vmotion 或置备 TCP/IP 堆栈, 您将只能使用此堆栈来处理主机上的 vmotion 或置备流量默认 TCP/IP 堆栈上所有适用于 vmotion 的 VMkernel 适配器将被禁止用于未来的 vmotion 会话如果使用置备 TCP/IP 堆栈, 将针对包括置备流量的操作 ( 如虚拟机冷迁移克隆和快照迁移 ) 禁用默认 TCP/IP 堆栈上的 VMkernel 适配器启用服务可以为主机上的默认 TCP/IP 堆栈启用服务请从以下可用服务中选择 : vmotion 流量允许 VMkernel 适配器向另一台主机播发声明, 自己就是发送 vmotion 流量所应使用的网络连接如果默认 TCP/IP 堆栈上的任何 VMkernel 适配器均未启用 vmotion 服务, 或任何适配器均未使用 vmotion TCP/IP 堆栈, 则无法使用 vmotion 迁移到所选主机置备流量处理虚拟机冷迁移克隆和快照迁移传输的数据 Fault Tolerance 流量在主机上启用 Fault Tolerance 日志记录对每台主机的 FT 流量只能使用一个 VMkernel 适配器管理流量为主机和 vcenter Server 启用管理流量通常, 安装 ESXi 软件后, 主机将创建这样的 VMkernel 适配器可以为主机上的管理流量创建其他 VMkernel 适配器以提供冗余 vsphere Replication 流量处理源 ESXi 主机发送至 vsphere Replication 服务器的出站复制数据 vsphere Replication NFC 流量处理目标复制站点上的入站复制数据 vsan 在主机上启用 vsan 流量属于 vsan 群集的每台主机都必须具有这样的 VMkernel 适配器 8 如果选择了 vmotion TCP/IP 或置备堆栈, 在显示的警告对话框中单击确定如果实时迁移已启动, 即使已在默认 TCP/IP 堆栈上禁止将涉及的 VMkernel 适配器用于 vmotion, 该迁移也会成功完成同样, 在默认 TCP/IP 堆栈上包括为置备流量设置的 VMkernel 适配器也是一样 9 ( 可选 ) 在 IPv4 设置页面上, 选择用于获取 IP 地址的选项选项自动获取 IPv4 设置使用静态 IPv4 设置描述使用 DHCP 获取 IP 设置网络上必须存在 DHCP 服务器输入 VMkernel 适配器的 IPv4 IP 地址和子网掩码 IPv4 的 VMkernel 默认网关和 DNS 服务器地址将从选定的 TCP/IP 堆栈中获取如果要为 VMkernel 适配器指定其他网关, 请选中替代此适配器的默认网关复选框并输入网关地址 VMware, Inc. 保留所有权利 58

59 10 ( 可选 ) 在 IPv6 设置页面上, 选择用于获取 IPv6 地址的选项选项通过 DHCP 自动获取 IPv6 地址通过路由器播发自动获取 IPv6 地址描述使用 DHCP 获取 IPv6 地址网络上必须存在 DHCPv6 服务器使用路由器播发获取 IPv6 地址在 ESXi 6.5 和更高版本中, 路由器播发在默认情况下处于启用状态, 并且支持符合 RFC 4861 的 M 和 O 标记静态 IPv6 地址 a 单击添加 IPv6 地址以添加新的 IPv6 地址 b 输入 IPv6 地址和子网前缀长度, 然后单击确定 c 要更改 VMkernel 默认网关, 请单击替代此适配器的默认网关 IPv6 的 VMkernel 默认网关地址将从选定的 TCP/IP 堆栈中获取 11 检查即将完成页面上的设置选项, 然后单击完成在与 vsphere Distributed Switch 关联的主机上创建 VMkernel 适配器在与 Distributed Switch 关联的主机上创建 VMkernel 适配器, 可向主机提供网络连接并处理 vsphere vmotion IP 存储 Fault Tolerance 日志记录 vsan 等服务的流量您可为 vsphere 标准交换机和 vsphere Distributed Switch 上的标准系统流量设置 VMkernel 适配器应为每个 VMkernel 适配器指定一个专用的分布式端口组为了进行更好的隔离, 您应使用一种流量类型配置一个 VMkernel 适配器步骤 1 在 vsphere Web Client 中, 导航到主机 2 在配置选项卡上, 展开网络, 然后选择 VMkernel 适配器 3 单击添加主机网络 4 在选择连接类型页面上, 选择 VMkernel 网络适配器, 然后单击下一步 5 从选择现有网络选项中, 选择一个分布式端口组, 然后单击下一步 6 在端口属性页面上, 配置 VMkernel 适配器的设置选项网络标签 IP 设置描述网络标签从分布式端口组的标签继承选择 IPv4 IPv6 或同时选择两者注在未启用 IPv6 的主机上,IPv6 选项不会显示 VMware, Inc. 保留所有权利 59

60 选项 TCP/IP 堆栈描述在列表中选择一个 TCP/IP 堆栈为 VMkernel 适配器设置了 TCP/IP 堆栈后, 日后将不能再进行更改如果选择 vmotion 或置备 TCP/IP 堆栈, 您将只能使用这些堆栈处理主机上的 vmotion 或置备流量默认 TCP/IP 堆栈上所有适用于 vmotion 的 VMkernel 适配器将被禁止用于未来的 vmotion 会话如果设置了置备 TCP/IP 堆栈, 将针对包括置备流量的操作 ( 如虚拟机冷迁移克隆和快照迁移 ) 禁用默认 TCP/IP 堆栈上的 VMkernel 适配器启用服务可以为主机上的默认 TCP/IP 堆栈启用服务请从以下可用服务中选择 : vmotion 流量允许 VMkernel 适配器向另一台主机播发声明, 自己就是发送 vmotion 流量所应使用的网络连接如果未对默认 TCP/IP 堆栈上的任何 VMkernel 适配器启用 vmotion 服务, 或者根本不存在使用 vmotion TCP/IP 堆栈的适配器, 将不能使用 vmotion 迁移到选定的主机置备流量处理虚拟机冷迁移克隆和快照迁移传输的数据 Fault Tolerance 流量在主机上启用 Fault Tolerance 日志记录对每台主机的 FT 流量只能使用一个 VMkernel 适配器管理流量为主机和 vcenter Server 启用管理流量通常, 安装 ESXi 软件后, 主机将创建这样的 VMkernel 适配器可以为主机上的管理流量创建其他 VMkernel 适配器以提供冗余 vsphere Replication 流量处理从源 ESXi 主机发送到 vsphere Replication 服务器的出站复制数据 vsphere Replication NFC 流量处理目标复制站点上的入站复制数据 vsan 在主机上启用 vsan 流量属于 vsan 群集的每台主机都必须具有这样的 VMkernel 适配器 7 如果选择了 vmotion TCP/IP 或置备堆栈, 在显示的警告对话框中单击确定如果实时迁移已启动, 即使已在默认 TCP/IP 堆栈上禁止将涉及的 VMkernel 适配器用于 vmotion, 该迁移也会成功完成同样, 在默认 TCP/IP 堆栈上包括为置备流量设置的 VMkernel 适配器也是一样 8 ( 可选 ) 在 IPv4 设置页面上, 选择用于获取 IP 地址的选项选项自动获取 IPv4 设置使用静态 IPv4 设置描述使用 DHCP 获取 IP 设置网络上必须存在 DHCP 服务器输入 VMkernel 适配器的 IPv4 IP 地址和子网掩码 IPv4 的 VMkernel 默认网关和 DNS 服务器地址将从选定的 TCP/IP 堆栈中获取如果要为 VMkernel 适配器指定其他网关, 请选中替代此适配器的默认网关复选框并输入网关地址 VMware, Inc. 保留所有权利 60

61 9 ( 可选 ) 在 IPv6 设置页面上, 选择用于获取 IPv6 地址的选项选项通过 DHCP 自动获取 IPv6 地址通过路由器播发自动获取 IPv6 地址描述使用 DHCP 获取 IPv6 地址网络上必须存在 DHCPv6 服务器使用路由器播发获取 IPv6 地址在 ESXi 6.5 和更高版本中, 路由器播发在默认情况下处于启用状态, 并且支持符合 RFC 4861 的 M 和 O 标记静态 IPv6 地址 a 单击添加 IPv6 地址以添加新的 IPv6 地址 b 输入 IPv6 地址和子网前缀长度, 然后单击确定 c 要更改 VMkernel 默认网关, 请单击替代此适配器的默认网关 IPv6 的 VMkernel 默认网关地址将从选定的 TCP/IP 堆栈中获取 10 检查即将完成页面上的设置选项, 然后单击完成编辑 VMkernel 适配器配置您可能需要更改 VMkernel 适配器所支持的流量类型或者 IPv4 或 IPv6 地址的获取方式步骤 1 在 vsphere Web Client 中, 导航到主机 2 在配置选项卡上, 展开网络, 然后选择 VMkernel 适配器 3 选择驻留在目标 Distributed Switch 或标准交换机上的 VMkernel 适配器, 然后单击编辑 4 在端口属性页面上, 选择要启用的服务复选框 vmotion 流量置备流量 Fault Tolerance 流量管理流量 vsphere Replication 流量 vsphere Replication NFC 流量 vsan 描述允许 VMkernel 适配器向另一台主机播发声明, 自己就是发送 vmotion 流量所应使用的网络连接如果没有为任何 VMkernel 适配器启用此属性, 则无法通过 vmotion 向所选主机进行迁移处理虚拟机冷迁移克隆和快照迁移传输的数据在主机上启用 Fault Tolerance 日志记录对每台主机的 FT 流量只能使用一个 VMkernel 适配器为主机和 vcenter Server 启用管理流量通常, 安装 ESXi 软件后, 主机将创建这样的 VMkernel 适配器您可以为主机上的管理流量添加额外的 VMkernel 适配器以提供冗余处理从源 ESXi 主机发送到 vsphere Replication 服务器的出站复制数据处理目标复制站点上的入站复制数据在主机上启用 vsan 流量属于 vsan 群集的每台主机都必须具有这样的 VMkernel 适配器 5 在网卡设置页面上, 为网络适配器设置 MTU VMware, Inc. 保留所有权利 61

62 6 在启用 IPv4 的情况下, 在 IPv4 设置部分中选择 IP 地址的获取方法选项自动获取 IPv4 设置使用静态 IPv4 设置描述使用 DHCP 获取 IP 设置网络上必须存在 DHCP 服务器输入 VMkernel 适配器的 IPv4 IP 地址和子网掩码 IPv4 的 VMkernel 默认网关和 DNS 服务器地址将从选定的 TCP/IP 堆栈中获取如果要为 VMkernel 适配器指定其他网关, 请选中替代此适配器的默认网关复选框并输入网关地址 7 在启用 IPv6 的情况下, 在 IPv6 设置中选择用于获取 IPv6 地址的选项注在未启用 IPv6 的主机上,IPv6 选项不会显示选项通过 DHCP 自动获取 IPv6 地址通过路由器播发自动获取 IPv6 地址描述使用 DHCP 获取 IPv6 地址网络上必须存在 DHCPv6 服务器使用路由器播发获取 IPv6 地址在 ESXi 6.5 和更高版本中, 路由器播发在默认情况下处于启用状态, 并且支持符合 RFC 4861 的 M 和 O 标记静态 IPv6 地址 a 单击添加 IPv6 地址以添加新的 IPv6 地址 b 输入 IPv6 地址和子网前缀长度, 然后单击确定 c 要更改 VMkernel 默认网关, 请单击替代此适配器的默认网关 IPv6 的 VMkernel 默认网关地址将从选定的 TCP/IP 堆栈中获取在 IPv6 设置页面上, 单击高级设置以移除 IPv6 地址如果启用了路由器通告, 则在此处移除的地址可能会再次出现不支持移除 VMkernel 适配器上的 DHCP 地址这些地址只能在 DHCP 选项处于关闭状态时移除 8 在分析影响页面上, 验证对 VMKernel 适配器所做的更改是否会中断其他操作 9 单击确定替代 VMkernel 适配器的默认网关您可能需要替代 VMkernel 适配器的默认网关, 以便为 vsphere vmotion 提供不同的网关主机上的每个 TCP/IP 堆栈只能有一个默认网关此默认网关是路由表的一部分, 在 TCP/IP 堆栈上运行的所有服务都会使用该网关例如, 可以在主机上配置 VMkernel 适配器 vmk0 和 vmk1 vmk0 用于 /24 子网上的管理流量, 默认网关为 vmk1 用于 /24 子网上 vmotion 流量如果将设置为 vmk1 的默认网关,vMotion 将 vmk1 与网关一起用作其输出接口网关是 vmk1 配置的一部分, 不在路由表中只有将 vmk1 指定为输出接口的服务使用此网关这为需要多个网关的服务提供了额外的第 3 层连接选项可以使用 vsphere Web Client 或 ESXCLI 命令配置 VMkernel 适配器的默认网关 VMware, Inc. 保留所有权利 62

63 请参见在 vsphere 标准交换机上创建 VMkernel 适配器在与 vsphere Distributed Switch 关联的主机上创建 VMkernel 适配器和使用 esxcli 命令配置 VMkernel 适配器网关使用 esxcli 命令配置 VMkernel 适配器网关您可以使用 esxcli 命令替代 VMkernel 适配器的默认网关, 从而为 vsphere vmotion 提供其他网关步骤 1 打开与主机的 SSH 连接 2 以 root 用户身份登录 3 运行下列命令选项 IPv4 描述 esxcli network ip interface ipv4 set i vmknic -t static g IPv4 gateway -I IPv4 address -N mask IPv6 重要必须先关闭 DHCPv6 或路由器播发, 然后才能设置 IPv6 vmknic 网关 esxcli network ip interface ipv6 set -i vmknic -d off -r off 要添加静态 IPv6 地址 : esxcli network ip interface ipv6 address add -i vmknic -I IPv6 address 要设置 IPv6 vmknic 网关 : esxcli network ip interface ipv6 set -i vmknic -g IPv6 gateway 其中 vmknic 是 VMkernel 适配器的名称,gateway 是网关的 IP 地址,IP address 是 VMkernel 适配器的地址,mask 是网络掩码查看主机上的 TCP/IP 堆栈配置您可查看主机上 TCP/IP 堆栈的 DNS 和路由配置还可查看 IPv4 和 IPv6 路由表拥堵控制算法和允许的最大连接数步骤 1 在 vsphere Web Client 中, 导航到主机 2 在配置选项卡上, 展开网络, 然后选择 TCP/IP 配置 3 从 TCP/IP 堆栈表中选择堆栈如果主机上未配置自定义 TCP/IP 堆栈, 则查看主机上的默认堆栈 vmotion 堆栈和置备 TCP/IP 堆栈 VMware, Inc. 保留所有权利 63

64 选定 TCP/IP 堆栈的相关 DNS 和路由详细信息显示在 TCP/IP 堆栈表下方您可以查看 IPv4 和 IPv6 路由表以及堆栈的 DNS 和路由配置注仅在主机上启用了 IPv6 时才能看到 IPv6 路由表高级选项卡包含有关配置的拥堵控制算法和堆栈允许的最大连接数的信息更改主机上的 TCP/IP 堆栈配置您可更改主机上 TCP/IP 堆栈的 DNS 和默认路由配置还可更改自定义 TCP/IP 堆栈的拥堵控制算法最大连接数和名称注您只能更改默认 TCP/IP 堆栈的 DNS 和默认网关配置不支持更改自定义 TCP/IP 堆栈的 DNS 和默认网关配置步骤 1 在 vsphere Web Client 中, 导航到主机 2 在配置选项卡上, 展开网络, 然后选择 TCP/IP 配置 3 从表中选择一个堆栈, 单击编辑并进行适当更改页面名称 DNS 配置路由选项更改自定义 TCP/IP 堆栈的名称选择 DNS 服务器的获取方法选择自动从 VMkernel 网络适配器获取设置, 然后从 VMKernel 网络适配器下拉菜单中选择一个网络适配器选择手动输入设置, 然后编辑 DNS 配置设置 a 编辑主机名 b 编辑域名 c 键入首选 DNS 服务器 IP 地址 d 键入备用 DNS 服务器 IP 地址 e ( 可选 ) 使用搜索域文本框指定解析非限定域名时要在 DNS 搜索中使用的 DNS 后缀编辑 VMkernel 网关信息注移除默认网关可能会导致客户端与主机断开连接高级编辑堆栈的最大连接数和拥堵控制算法 4 单击确定应用更改后续步骤您可以使用 CLI 命令将静态路由添加到其他网关有关详细信息, 请参见创建自定义 TCP/IP 堆栈可以在主机上创建一个自定义 TCP/IP 堆栈通过自定义应用程序转发网络流量 VMware, Inc. 保留所有权利 64

65 步骤 1 打开与主机的 SSH 连接 2 以 root 用户身份登录 3 运行以下 vsphere CLI 命令 esxcli network ip netstack add -N="stack_name" 在主机上创建自定义 TCP/IP 堆栈可以将 VMkernel 适配器分配给该堆栈移除 VMkernel 适配器不再需要 VMkernel 适配器时, 请从 vsphere Distributed Switch 或标准交换机中移除该适配器确保在主机上至少保留一个用于管理流量的 VMkernel 适配器, 以保持网络连接不中断步骤 1 在 vsphere Web Client 中, 导航到主机 2 在配置选项卡上, 展开网络, 然后选择 VMkernel 适配器 3 从列表中选择 VMkernel 适配器, 然后单击移除选定的网络适配器图标 4 在确认对话框中, 单击分析影响 5 如果使用具有端口绑定的软件 iscsi 适配器, 请查看对其网络配置的影响选项无影响重要影响严重影响描述应用新的网络连接配置之后,iSCSI 将继续执行其常规功能如果应用了新的网络连接配置, 则可能会中断 iscsi 的常规功能如果应用了新的网络连接配置, 则将中断 iscsi 的常规功能 a b 如果 iscsi 受到的影响非常重要或严重, 请单击 iscsi 条目, 然后查看分析详细信息窗格中所显示的原因请取消移除 VMkernel 适配器, 直到解决对服务产生的任何严重或重要影响的原因, 或者, 如果不存在受影响的服务, 请关闭分析影响对话框 6 单击确定 VMware, Inc. 保留所有权利 65

66 vsphere Distributed Switch 上的 5 LACP 支持通过 vsphere Distributed Switch 上的 LACP 支持, 您可以使用动态链路聚合将 ESXi 主机连接到物理交换机您可以在 Distributed Switch 上创建多个链路聚合组 (LAG), 以汇总连接到 LACP 端口通道的 ESXi 主机上的物理网卡带宽 VMware, Inc. 保留所有权利 66

生产网络上行链路端口组 LAG1 LAG1-0 上行链路 0 上行链路 1 LAG1-1 ESXi 主机 2 ESXi 主机 1 生产网络主机代理交换机上行链路端口组

vmnic2 vmnic3 LACP 端口通道 LAG1 LAG1-0 LAG1-1 vmnic0 上行链路端口 0 vmnic1 上行链路端口 1 vmnic2

然后将物理网卡连接到这些端口 LAG 的端口在 LAG 中以成组形式存在网络流量通过 LACP 哈希算法在这些端口之间实现负载平衡您可以使用 LAG 处理分布式端

67 图 5 1. vsphere Distributed Switch 上的增强型 LACP 支持 vcenter Server vsphere Distributed Switch 测试环境生产网络上行链路端口组 LAG1 LAG1-0 上行链路 0 上行链路 1 LAG1-1 ESXi 主机 2 ESXi 主机 1 生产网络主机代理交换机上行链路端口组上行链路端口组 LAG1-1 vmnic0 测试环境主机代理交换机 LAG1 LAG1-0 生产网络测试环境上行链路上行链路端口 0 端口 1 vmnic1 vmnic2 vmnic3 LACP 端口通道 LAG1 LAG1-0 LAG1-1 vmnic0 上行链路端口 0 vmnic1 上行链路端口 1 vmnic2 vmnic3 LACP 端口通道物理交换机 Distributed Switch 上的 LACP 配置您可以配置一个具有两个或多个端口的 LAG 然后将物理网卡连接到这些端口 LAG 的端口在 LAG 中以成组形式存在网络流量通过 LACP 哈希算法在这些端口之间实现负载平衡您可以使用 LAG 处理分布式端口组的流量以便为端口组提供增强型网络带宽冗余和负载平衡在 Distributed Switch 上创建 LAG 时同时会在与 Distributed Switch 相连的每个主机的代理交换机上创建 LAG 对象例如如果创建包含两个端口的 LAG1 则将在连接到 Distributed Switch 的每台主机上创建具有相同端口数的 LAG1 VMware, Inc. 保留所有权利 67

68 在主机代理交换机上, 一个物理网卡只能连接到一个 LAG 端口在 Distributed Switch 上, 一个 LAG 端口可能具有来自所连接的不同主机的多个物理网卡必须将连接到 LAG 端口的主机上的物理网卡连接到加入物理交换机上的 LACP 端口通道的链路最多可以在一个 Distributed Switch 上创建 64 个 LAG 一个主机最多可支持 32 个 LAG 但是, 您实际可以使用的 LAG 数量取决于基础物理环境的功能和虚拟网络的拓扑例如, 如果物理交换机在 LACP 端口通道中最多支持四个端口, 则最多可将每台主机的四个物理网卡连接到 LAG 物理交换机上的端口通道配置对于每个要使用 LACP 的主机, 必须在物理交换机上为其创建一个单独的 LACP 端口通道在物理交换机上配置 LACP 时, 必须考虑以下要求 : LACP 端口通道中的端口数量必须等于要在主机上建组的物理网卡数量例如, 如果要在主机上聚合两个物理网卡的带宽, 必须在物理交换机上创建一个具有两个端口的 LACP 端口通道 Distributed Switch 上的 LAG 必须至少配置两个端口物理交换机上的 LACP 端口通道的哈希算法必须与 Distributed Switch 上为 LAG 配置的哈希算法相同所有要连接到 LACP 端口通道的物理网卡必须采用相同的速度和双工配置本章讨论了以下主题 : 分布式端口组的 LACP 成组和故障切换配置配置链路聚合组处理分布式端口组的流量编辑链路聚合组 vsphere Distributed Switch 的 LACP 支持限制分布式端口组的 LACP 成组和故障切换配置要使用 LAG 处理分布式端口组的网络流量, 您可以为 LAG 端口分配物理网卡, 并将分布式端口组的成组和故障切换顺序中的 LAG 设置为活动表 5 1. 分布式端口组的 LACP 成组和故障切换配置故障切换顺序上行链路描述活动单个 LAG 只能使用一个活动 LAG 或多个独立上行链路来处理分布式端口组的流量无法配置多个活动 LAG, 也无法配置活动 LAG 和独立上行链路的混合设置备用空支持一个活动 LAG 和备用上行链路组合, 但不支持备用 LAG 和活动上行链路组合不支持一个活动 LAG 和另一个备用 LAG 的组合未使用所有独立上行链路和其他 LAG( 如果有 ) 由于只能有一个 LAG 处于活动状态, 且备用列表必须为空, 因此必须将所有独立上行链路和其他 LAG 设置为未使用 VMware, Inc. 保留所有权利 68

69 配置链路聚合组处理分布式端口组的流量要聚合主机上多个物理网卡的带宽, 您可以在 Distributed Switch 上创建一个链路聚合组 (LAG), 并将其用于处理分布式端口组的流量新建的 LAG 未用于分布式端口组的绑定和故障切换顺序中, 其端口也未分配物理网卡要使用 LAG 处理分布式端口组的网络流量, 必须将流量从独立上行链路迁移到 LAG 前提条件验证对于每个要使用 LACP 的主机, 物理交换机上是否都有一个单独的 LACP 端口通道请参见第 5 章,vSphere Distributed Switch 上的 LACP 支持验证配置 LAG 所在的 vsphere Distributed Switch 的版本是 6.0 还是更高版本验证 Distributed Switch 上是否支持增强型 LACP 步骤 1 创建链路聚合组要将分布式端口组的网络流量迁移到链路聚合组 (LAG), 请在 Distributed Switch 上创建新的 LAG 2 在分布式端口组的绑定和故障切换顺序中将链路聚合组设置为备用状态默认情况下, 新的链路聚合组 (LAG) 未包含在分布式端口组的绑定和故障切换顺序中对于分布式端口组而言, 由于只有一个 LAG 或独立上行链路可以处于活动状态, 因此必须创建一个中间绑定和故障切换配置, 其中 LAG 为备用状态在保持网络连接正常的情况下, 可以通过此配置将物理网卡迁移到 LAG 端口 3 将物理网卡分配给链路聚合组的端口您已在分布式端口组的绑定和故障切换顺序中将新的链路聚合组 (LAG) 设置为备用状态通过将 LAG 设置为备用状态, 可在不丢失网络连接的情况下, 将物理网卡安全地从独立上行链路迁移到 LAG 端口 4 在分布式端口组的绑定和故障切换顺序中将链路聚合组设置为活动状态您已将物理网卡迁移到链路聚合组 (LAG) 的端口请在分布式端口组的绑定和故障切换顺序中将 LAG 设置为活动状态, 并将所有独立的上行链路移至未使用状态创建链路聚合组要将分布式端口组的网络流量迁移到链路聚合组 (LAG), 请在 Distributed Switch 上创建新的 LAG 步骤 1 在 vsphere Web Client 中, 导航到 Distributed Switch 2 在配置选项卡上, 展开设置并选择 LACP 3 单击新建链路聚合组图标 4 命名新的 LAG VMware, Inc. 保留所有权利 69

70 5 设置 LAG 的端口数请将为 LAG 设置与物理交换机上的 LACP 端口通道中相同的端口数 LAG 端口具有与 Distributed Switch 上的上行链路相同的功能所有 LAG 端口将构成 LAG 上下文中的网卡组 6 选择 LAG 的 LACP 协商模式选项主动节点被动节点描述所有 LAG 端口都处于主动协商模式 LAG 端口通过发送 LACP 数据包启动与物理交换机上的 LACP 端口通道的协商 LAG 端口处于被动协商模式端口对接收的 LACP 数据包做出响应, 但是不会启动 LACP 协商如果物理交换机上启用 LACP 的端口处于主动协商模式, 则可以将 LAG 端口置于被动模式, 反之亦然 7 从 LACP 定义的哈希算法中选择一个负载平衡模式注该哈希算法必须与为物理交换机上的 LACP 端口通道设置的哈希算法相同 8 为 LAG 设置 VLAN 和 NetFlow 策略当在上行链路端口组中启用了按单个上行链路端口替代 VLAN 和 NetFlow 策略时, 此选项将处于活动状态如果为 LAG 设置了 VLAN 和 NetFlow 策略, 则这些策略将替代上行链路端口组级别上设置的策略 9 单击确定新的 LAG 未包含在分布式端口组的绑定和故障切换顺序中未向 LAG 端口分配任何物理网卡和独立上行链路一样,LAG 在每个与 Distributed Switch 关联的主机上都有表示形式例如, 如果您在 Distributed Switch 上创建包含两个端口的 LAG1, 将在每个与该 Distributed Switch 关联的主机上创建一个具有两个端口的 LAG1 后续步骤在分布式端口组的绑定和故障切换配置中将 LAG 设置为备用状态通过这一方式可以创建中间配置, 从而将网络流量迁移到 LAG 而不会断开网络连接在分布式端口组的绑定和故障切换顺序中将链路聚合组设置为备用状态默认情况下, 新的链路聚合组 (LAG) 未包含在分布式端口组的绑定和故障切换顺序中对于分布式端口组而言, 由于只有一个 LAG 或独立上行链路可以处于活动状态, 因此必须创建一个中间绑定和故障切换配置, 其中 LAG 为备用状态在保持网络连接正常的情况下, 可以通过此配置将物理网卡迁移到 LAG 端口步骤 1 导航至 Distributed Switch 2 在操作菜单中, 选择分布式端口组 > 管理分布式端口组 3 选择绑定和故障切换, 然后单击下一步 4 选择要在其中使用 LAG 的端口组 5 在故障切换顺序中, 选择 LAG 并使用向上箭头将其移至备用上行链路列表中 VMware, Inc. 保留所有权利 70

71 6 单击下一步, 查看通知您有关中间绑定和故障切换配置的使用情况的消息, 然后单击确定 7 在即将完成页面上, 单击完成后续步骤将物理网卡从独立上行链路迁移到 LAG 端口将物理网卡分配给链路聚合组的端口您已在分布式端口组的绑定和故障切换顺序中将新的链路聚合组 (LAG) 设置为备用状态通过将 LAG 设置为备用状态, 可在不丢失网络连接的情况下, 将物理网卡安全地从独立上行链路迁移到 LAG 端口前提条件确认所有 LAG 端口以及物理交换机上对应的已启用 LACP 的端口均处于主动 LACP 协商模式确认要为 LAG 端口分配的物理网卡具有相同的速度, 并配置为全双工步骤 1 在 vsphere Web Client 中, 导航到 LAG 所在的 Distributed Switch 2 从操作菜单中, 选择添加和管理主机 3 选择管理主机网络 4 选择要为 LAG 端口分配其物理网卡的主机, 然后单击下一步 5 在选择网络适配器任务页面上, 选择管理物理适配器, 然后单击下一步 6 在管理物理网络适配器页面上, 选择某个网卡, 然后单击分配上行链路 7 选择 LAG 端口, 然后单击确定 8 对要分配给 LAG 端口的所有物理网卡重复第 6 步和第 7 步 9 完成向导中的操作示例 : 在添加和管理主机向导中为 LAG 分配两个物理网卡例如, 如果一个 LAG 中包含两个端口, 则可以在添加和管理主机向导中为每个 LAG 端口配置一个物理网卡后续步骤在分布式端口组的绑定和故障切换顺序中将 LAG 设置为活动状态, 并将所有独立上行链路设置为未使用状态在分布式端口组的绑定和故障切换顺序中将链路聚合组设置为活动状态您已将物理网卡迁移到链路聚合组 (LAG) 的端口请在分布式端口组的绑定和故障切换顺序中将 LAG 设置为活动状态, 并将所有独立的上行链路移至未使用状态步骤 1 导航至 Distributed Switch 2 在操作菜单中, 选择分布式端口组 > 管理分布式端口组 VMware, Inc. 保留所有权利 71

3 选择绑定和故障切换, 然后单击下一步 4 选择将 LAG 设置为备用状态的端口组, 然后单击下一步 5 在故障切换顺序中, 使用向上和向下箭头移动活动列表中的 LAG 未使用列表中的所有独立上行链路, 并将备用列表留空 6 单击下一步, 然后单击完成您已安全地将网络流量从独立上行链路迁移至分布式端口组的 LAG, 并且为组创建了有效的 LACP 绑定和故障切换配置示例 : 使用

72 3 选择绑定和故障切换, 然后单击下一步 4 选择将 LAG 设置为备用状态的端口组, 然后单击下一步 5 在故障切换顺序中, 使用向上和向下箭头移动活动列表中的 LAG 未使用列表中的所有独立上行链路, 并将备用列表留空 6 单击下一步, 然后单击完成您已安全地将网络流量从独立上行链路迁移至分布式端口组的 LAG, 并且为组创建了有效的 LACP 绑定和故障切换配置示例 : 使用 LAG 的 Distributed Switch 的拓扑如果您配置了一个具有两个端口的 LAG 以处理分布式端口组流量, 则可以检查 Distributed Switch 的拓扑以查看新配置所导致的拓扑更改图 5 2. 具有一个 LAG 的 Distributed Switch 拓扑编辑链路聚合组如果需要向链路聚合组 (LAG) 添加多个端口或者更改 LACP 协商模式负载平衡算法或 VLAN 和 NetFlow 策略, 请编辑该 LAG 的设置步骤 1 在 vsphere Web Client 中, 导航到 vsphere Distributed Switch 2 在配置选项卡上, 展开设置并选择 LACP 3 单击新建链路聚合组图标 4 在名称文本框中, 键入 LAG 的新名称 5 如果要向 LAG 添加更多物理网卡, 请更改 LAG 的端口数必须将新网卡连接到属于物理交换机上某个 LACP 端口通道的端口 VMware, Inc. 保留所有权利 72

73 6 更改 LAG 的 LACP 协商模式如果物理 LACP 端口通道上的所有端口均处于主动 LACP 模式, 则可以将 LAG 的 LACP 模式更改为被动, 反之亦然 7 更改 LAG 的负载平衡模式可从 LACP 定义的负载平衡算法中进行选择 8 更改 VLAN 和 NetFlow 策略如果上行链路端口组支持替代各个端口的 VLAN 和 NetFlow 策略, 此选项将处于活动状态如果更改了 LAG 的 VLAN 和 NetFlow 策略, 则这些策略将替代上行链路端口组级别上设置的策略 9 单击确定 vsphere Distributed Switch 的 LACP 支持限制 vsphere Distributed Switch 上的 LACP 支持允许网络设备通过向对等设备发送 LACP 数据包来协商链路的自动绑定但是,vSphere Distributed Switch 上的 LACP 支持具有限制软件 iscsi 端口绑定不支持 LACP 如果未使用端口绑定, 则支持通过 LAG 的 iscsi 多路径 LACP 支持设置在主机配置文件中不可用无法在两个嵌套的 ESXi 主机之间使用 LACP 支持 LACP 支持无法与 ESXi Dump Collector 一起使用启用端口镜像时, 不会镜像 LACP 控制数据包 (LACPDU) 绑定和故障切换健康状况检查不适用于 LAG 端口 LACP 检查 LAG 端口的连接性当只有一个 LAG 处理每个分布式端口或端口组的流量时, 增强型 LACP 支持可以正常运行 VMware, Inc. 保留所有权利 73

74 备份和还原网络配置 6 如果发生无效更改或转移到其他部署,vSphere 可使您能够备份和还原 vsphere Distributed Switch 分布式端口组和上行链路端口组的配置本章讨论了以下主题 : 备份和还原 vsphere Distributed Switch 配置导出导入和还原 vsphere 分布式端口组配置备份和还原 vsphere Distributed Switch 配置 vcenter Server 提供 vsphere Distributed Switch 配置的备份和还原功能如数据库故障或升级失败, 可以还原虚拟网络配置还可以将已保存的交换机配置用作模板, 以在相同或新的 vsphere 环境中创建交换机的副本可以导入或导出分布式交换机 ( 包括其端口组 ) 的配置有关导出导入和还原端口组配置的信息, 请参见导出导入和还原 vsphere 分布式端口组配置注您可以使用已保存的配置文件来还原 Distributed Switch 上的策略和主机关联无法还原物理网卡与上行链路端口或链路聚合组端口的连接导出 vsphere Distributed Switch 配置可以将 vsphere Distributed Switch 和分布式端口组配置导出到某一文件该文件保留有效的网络配置, 使这些配置能够传输至其他环境步骤 1 在 vsphere Web Client 中, 导航到 Distributed Switch 2 右键单击 Distributed Switch, 然后选择设置 > 导出配置 3 选择导出分布式交换机配置, 或者导出分布式交换机配置和所有端口组 4 ( 可选 ) 在描述字段中输入有关此配置的说明 5 单击确定 6 单击是可将配置文件保存到您的本地系统 VMware, Inc. 保留所有权利 74

75 后续步骤通过使用已导出配置文件, 可执行以下任务 : 在 vsphere 环境中, 为导出的 Distributed Switch 创建一份副本请参见导入 vsphere Distributed Switch 配置覆盖现有 Distributed Switch 中的设置请参见还原 vsphere Distributed Switch 配置也可以仅导出导入和还原端口组配置请参见导出导入和还原 vsphere 分布式端口组配置导入 vsphere Distributed Switch 配置导入存储的配置文件可创建一个新 vsphere Distributed Switch 或还原之前已删除的交换机配置文件中包含交换机的网络连接设置使用 vsphere Web Client, 还可以复制其他虚拟环境中的虚拟机注可以使用已保存的配置文件复制交换机实例其主机关联以及策略无法复制物理网卡到上行链路端口或链路聚合组上的端口的连接步骤 1 在 vsphere Web Client 中, 导航到数据中心 2 右键单击该数据中心, 然后选择 Distributed Switch > 导入 Distributed Switch 3 浏览到配置文件的位置 4 要将配置文件中的密钥分配给交换机及其端口组, 请选中保留原始 Distributed Switch 标识符和端口组标识符复选框, 然后单击下一步在以下情况中, 可以使用保留原始 Distributed Switch 标识符和端口组标识符选项 : 重新创建已删除的交换机还原升级失败的交换机所有端口组均重新创建, 已连接到交换机的主机重新添加 5 检查交换机的设置, 然后单击完成系统将使用配置文件中的设置创建一个新 Distributed Switch 如果在配置文件中包含了分布式端口组信息, 则也会创建端口组还原 vsphere Distributed Switch 配置使用还原选项将现有分布式交换机的配置重置为配置文件中的设置还原分布式交换机会将所选交换机的设置改回配置文件中保存的设置注您可以使用已保存的配置文件来还原 Distributed Switch 上的策略和主机关联无法还原物理网卡与上行链路端口或链路聚合组端口的连接 VMware, Inc. 保留所有权利 75

76 步骤 1 在 vsphere Web Client 中, 导航到 Distributed Switch 2 在导航器中右键单击该分布式交换机, 然后选择设置 > 还原配置 3 浏览到要使用的配置备份文件 4 选择还原 Distributed Switch 和所有端口组或仅还原 Distributed Switch, 然后单击下一步 5 查看还原的摘要信息还原分布式交换机将覆盖分布式交换机及其端口组的当前设置不会删除不属于配置文件的现有端口组 6 单击完成分布式交换机配置即已还原到配置文件中的设置导出导入和还原 vsphere 分布式端口组配置可以将 vsphere 分布式端口组配置导出到某一文件通过该配置文件, 可以保留有效的端口组配置, 从而将这些配置分发到其他部署在导出 Distributed Switch 配置时, 可以同时导出端口组信息请参见备份和还原 vsphere Distributed Switch 配置导出 vsphere 分布式端口组配置可以将分布式端口组配置导出到某一文件该配置保留有效的网络配置, 使这些配置能够分发到其他部署步骤 1 在 vsphere Web Client 中找到分布式端口组 a b 选择 Distributed Switch, 然后单击网络选项卡单击分布式端口组 2 右键单击分布式端口组, 然后选择导出配置 3 ( 可选 ) 在描述字段中, 键入有关此配置的备注 4 单击确定单击是可将配置文件保存到您的本地系统现在即拥有一个包含选定分布式端口组的所有设置的配置文件您可以使用这一文件在现有部署中创建该配置的多个副本, 或者覆盖现有分布式端口组的设置以符合选定设置后续步骤通过使用已导出配置文件, 可执行以下任务 : 若要创建已导出分布式端口组的副本, 请参见导入 vsphere 分布式端口组配置若要覆盖现有分布式端口组中的设置, 请参见还原 vsphere 分布式端口组配置 VMware, Inc. 保留所有权利 76

77 导入 vsphere 分布式端口组配置使用导入可从配置文件创建分布式端口组如果现有端口组与已导入的端口组同名, 则新端口组名称末尾将包含一个放在括号内的数字已导入配置的设置将应用到新端口组, 而原始端口组的设置保持不变步骤 1 在 vsphere Web Client 中, 导航到 Distributed Switch 2 右键单击 Distributed Switch, 然后选择分布式端口组 > 导入分布式端口组 3 浏览到已保存的配置文件的位置, 然后单击下一步 4 请在完成导入之前检查导入设置 5 单击完成还原 vsphere 分布式端口组配置使用还原选项将现有分布式端口组的配置重置为配置文件中的设置步骤 1 在 vsphere Web Client 中找到分布式端口组 a b 选择 Distributed Switch, 然后单击网络选项卡单击分布式端口组 2 右键单击分布式端口组, 然后选择还原配置 3 选择以下选项之一, 然后单击下一步 : u u 还原为之前的配置可将您的端口组配置回滚一个步骤如果您已执行多个步骤, 则无法完全还原端口组配置从文件还原配置使您从一个导出的备份文件还原端口组配置您还可以使用 Distributed Switch 备份文件, 只要其包含端口组的配置信息即可 4 查看还原的摘要信息还原操作将使用备份中的设置覆盖分布式端口组的当前设置如果从交换机备份文件还原端口组配置, 则还原操作不会删除不属于该文件的当前端口组 5 单击完成 VMware, Inc. 保留所有权利 77

78 管理网络的回滚和恢复 7 您可以使用 vsphere Distributed Switch 和 vsphere 标准交换机的回滚和恢复支持防止管理网络配置错误并从配置错误中恢复回滚可用于标准交换机和 Distributed Switch 要修复管理网络的无效配置, 可以直接连接到主机, 通过 DCUI 修复该问题本章讨论了以下主题 : 回滚解决 vsphere Distributed Switch 上的管理网络配置中的错误回滚通过回滚配置更改,vSphere 可防止错误配置管理网络导致主机丢失与 vcenter Server 的连接在 vsphere 中, 默认启用网络连接回滚但是, 您可以在 vcenter Server 级别启用或禁用回滚主机网络连接回滚如果对与 vcenter Server 连接的网络连接配置所做的更改无效, 则将发生主机网络连接回滚每个可断开主机连接的网络更改也将触发回滚以下是可能触发回滚的对主机网络配置的更改示例 : 更新物理网卡的速度或双工更新 DNS 和路由设置更新包含管理 VMkernel 网络适配器的标准端口组的绑定和故障切换策略或流量调整策略更新包含管理 VMkernel 网络适配器的标准端口组的 VLAN 将管理 VMkernel 网络适配器及其交换机的 MTU 增加至物理基础架构不支持的值更改管理 VMkernel 网络适配器的 IP 设置从标准交换机或 Distributed Switch 中移除管理 VMkernel 网络适配器移除包含管理 VMkernel 网络适配器的标准交换机或 Distributed Switch 的物理网卡将管理 VMkernel 适配器从 vsphere 标准交换机迁移到 Distributed Switch 如果出于其中任一原因而断开网络连接, 任务将失败并且主机将恢复为上次有效配置 VMware, Inc. 保留所有权利 78

79 vsphere Distributed Switch 回滚当对 Distributed Switch 分布式端口组或分布式端口进行无效更新时, 将发生 Distributed Switch 回滚对 Distributed Switch 配置进行以下更改将触发回滚 : 更改 Distributed Switch 的 MTU 更改管理 VMkernel 网络适配器的分布式端口组中的以下设置 : 成组和故障切换 VLAN 流量调整阻止包含管理 VMkernel 网络适配器的分布式端口组中的所有端口在管理 VMkernel 网络适配器的分布式端口级别替代策略如果由于任意更改导致配置无效, 则一台或多台主机可能无法与 Distributed Switch 保持同步如果您知道有冲突的配置设置的所在位置, 可以手动更正设置例如, 如果将管理 VMkernel 网络适配器迁移到了一个新的 VLAN, 则该 VLAN 实际可能无法在物理交换机上进行中继更正物理交换机配置后, 下一次 Distributed Switch- 主机同步将解决配置问题如果您不知道问题出自哪里, 可以将 Distributed Switch 或分布式端口组的状态还原到以前的配置请参见还原 vsphere 分布式端口组配置禁用网络回滚默认情况下在 vsphere 中启用回滚您可以使用 vsphere Web Client 在 vcenter Server 中禁用回滚步骤 1 在 vsphere Web Client 中, 导航到 vcenter Server 实例 2 在配置选项卡上, 展开设置, 然后选择高级设置 3 单击编辑 4 选择 config.vpxd.network.rollback 项, 然后将值更改为 false 如果未提供该密钥, 您可添加并将值设置为 false 5 单击确定 6 重新启动 vcenter Server 应用更改使用 vcenter Server 配置文件禁用网络回滚默认情况下在 vsphere 中启用回滚可以通过直接编辑 vcenter Server 的 vpxd.cfg 配置文件禁用回滚 VMware, Inc. 保留所有权利 79

80 步骤 1 在 vcenter Server 的主机上, 导航到包含配置文件的目录 : 在 Windows Server 操作系统上, 目录的位置为 C:\ProgramData\VMware\CIS\cfg\vmwarevpx 在 vcenter Server Appliance 上, 目录的位置为 /etc/vmware-vpx 2 打开 vpxd.cfg 文件进行编辑 3 在 <network> 元素中, 将 <rollback> 元素设置为 false: <config> <vpxd> <network> <rollback>false</rollback> </network> </vpxd> </config> 4 保存并关闭文件 5 重新启动 vcenter Server 系统解决 vsphere Distributed Switch 上的管理网络配置中的错误可以使用直接控制台用户界面 (DCUI) 还原 vcenter Server 与主机 ( 通过 Distributed Switch 访问管理网络 ) 之间的连接如果禁用了网络连接回滚, 则在 Distributed Switch 上错误配置管理网络的端口组将会导致 vcenter Server 与添加到交换机的主机之间的连接丢失必须使用 DCUI 分别连接每个主机如果用来还原管理网络的上行链路也由处理其他类型流量 (vmotion Fault Tolerance 等 ) 的 VMkernel 适配器使用, 则适配器会在还原后丢失网络连接有关访问和使用 DCUI 的详细信息, 请参见 vsphere 安全性文档注无状态的 ESXi 实例不支持在 Distributed Switch 上恢复管理连接前提条件验证 Distributed Switch 的端口组上是否已配置管理网络步骤 1 连接到主机的 DCUI 2 从网络还原选项菜单中, 选择还原 vds 3 配置上行链路并可选择为管理网络配置 VLAN 4 应用配置 VMware, Inc. 保留所有权利 80

82 网络策略 8 在标准交换机或分布式端口组级别设置的策略将应用于该标准交换机上的所有端口组, 或者应用于该分布式端口组中的端口可在标准端口组或分布式端口级别替代的配置选项是例外有关 vsphere Standard Switch 和 Distributed Switch 上的应用网络连接策略, 请观看视频使用网络连接策略 ( bctid=ref:video_working_with_network_policies) 在 vsphere 标准交换机或 Distributed Switch 上应用网络策略对 vsphere 标准交换机和 vsphere Distributed Switch 应用不同的网络策略并非所有适用于 vsphere Distributed Switch 的策略也适用于 vsphere 标准交换机在端口级别配置替代网络策略要对分布式端口应用不同的策略, 您可以配置在端口组级别设置的每个端口替代策略当分布式端口与虚拟机断开连接时, 您也可以启用重置在每个端口级别设置的任何配置成组和故障切换策略通过网卡成组, 您可以在组中加入两个或多个物理网卡来增加虚拟交换机的网络容量要确定如何在适配器发生故障时重新路由流量, 您可以在故障切换顺序中加入物理网卡要确定虚拟交换机在组内的物理网卡之间如何分布网络流量, 您可以根据您的环境需要和功能选择负载平衡算法 VLAN 策略 VLAN 策略决定了 VLAN 在网络环境中的运行方式安全策略网络安全策略可保护流量免受 MAC 地址模拟和有害端口扫描的威胁流量调整策略流量调整策略是由平均带宽峰值带宽和突发大小所定义的可以为每个端口组和每个分布式端口或分布式端口组建立流量调整策略资源分配策略可以使用资源分配策略将分布式端口或端口组与用户创建的网络资源池关联通过此策略可以更有效地控制为端口或端口组指定的带宽监控策略监控策略在分布式端口或端口组上启用或禁用 NetFlow 监控 VMware, Inc. 保留所有权利 82

83 流量筛选和标记策略在 vsphere Distributed Switch 中, 通过使用流量筛选和标记策略, 您可以避免虚拟网络进入有害的流量和遭受安全攻击, 或将 QoS 标记应用于某种类型的流量管理 vsphere Distributed Switch 上的多个端口组的策略可以修改 vsphere Distributed Switch 上多个端口组的网络连接策略端口阻止策略端口阻止策略允许有选择地阻止端口发送或接收数据在 vsphere 标准交换机或 Distributed Switch 上应用网络策略对 vsphere 标准交换机和 vsphere Distributed Switch 应用不同的网络策略并非所有适用于 vsphere Distributed Switch 的策略也适用于 vsphere 标准交换机表 8 1. 应用策略的虚拟交换机对象虚拟交换机虚拟交换机对象描述 vsphere 标准交换机整个交换机对整个标准交换机应用策略时, 策略将传播到交换机上的所有标准端口组标准端口组通过替代从交换机继承的策略, 您可以对单个端口组应用不同的策略 vsphere Distributed Switch 分布式端口组对分布式端口组应用策略时, 策略将传播到组中的所有端口分布式端口上行链路端口组上行链路端口通过替代从分布式端口组继承的策略, 您可以对单个分布式端口应用不同的策略您可以在上行链路端口组级别应用策略, 策略将传播到组中的所有端口通过替代从上行链路端口组继承的策略, 您可以对单个上行链路端口应用不同的策略表 8 2. 适用于 vsphere 标准交换机和 vsphere Distributed Switch 的策略 Distributed 策略标准交换机 Switch 描述成组和故障切换是是可用于配置物理网卡以处理标准交换机标准端口组分布式端口组或分布式端口的网络流量您可以在故障切换顺序中排列物理网卡, 并对其应用不同的负载平衡策略安全是是可保护流量免受 MAC 地址模拟和有害端口扫描的威胁在网络协议堆栈的第 2 层执行网络安全策略流量调整是是可限制端口的可用网络带宽, 但也可以允许流量突发, 使流量以更高的速度通过端口 ESXi 调整标准交换机上的出站网络流量以及分布式交换机上的入站和出站流量 VLAN 是是可用于配置标准交换机或 Distributed Switch 的 VLAN 标记您可以配置外部交换机标记 (EST) 虚拟交换机标记 (VST) 和虚拟客户机标记 (VGT) 正在监控否是在分布式端口或端口组上启用和禁用 NetFlow 监控 VMware, Inc. 保留所有权利 83

84 表 8 2. 适用于 vsphere 标准交换机和 vsphere Distributed Switch 的策略 ( 续 ) Distributed 策略标准交换机 Switch 描述流量筛选和标记否是可以避免虚拟网络进入有害的流量和遭受安全攻击, 或将 QoS 标记应用于某种类型的流量资源分配否是可以将分布式端口或端口组与用户定义的网络资源池关联通过此方式, 您可以更有效地控制端口或端口组可用的带宽您可以在 vsphere Network I/O Control 版本 2 和 3 中使用资源分配策略端口阻止否是可以有选择地阻止端口发送和接收数据在端口级别配置替代网络策略要对分布式端口应用不同的策略, 您可以配置在端口组级别设置的每个端口替代策略当分布式端口与虚拟机断开连接时, 您也可以启用重置在每个端口级别设置的任何配置步骤 1 在 vsphere Web Client 中找到分布式端口组 a b 选择 Distributed Switch, 然后单击网络选项卡单击分布式端口组 2 右键单击分布式端口组, 然后选择编辑设置 3 选择高级页面选项断开连接时配置重置替代端口策略描述从下拉菜单中启用或禁用断开连接时重置当分布式端口与虚拟机断开连接时, 分布式端口的配置重置为分布式端口组设置每个端口的替代都会被丢弃选择要在每个端口级别替代的分布式端口组策略 4 ( 可选 ) 使用策略页面设置每个端口策略的替代 5 单击确定成组和故障切换策略通过网卡成组, 您可以在组中加入两个或多个物理网卡来增加虚拟交换机的网络容量要确定如何在适配器发生故障时重新路由流量, 您可以在故障切换顺序中加入物理网卡要确定虚拟交换机在组内的物理网卡之间如何分布网络流量, 您可以根据您的环境需要和功能选择负载平衡算法 VMware, Inc. 保留所有权利 84

85 网卡成组策略可以使用网卡成组将虚拟交换机连接至主机上的多个物理网卡, 以增加交换机的网络带宽以及提供冗余网卡组可在其成员之间分布流量, 并在出现适配器故障或网络中断时提供被动故障切换您可以在虚拟交换机或端口组级别设置 vsphere 标准交换机的网卡成组策略, 以及在端口组或端口级别设置 vsphere Distributed Switch 的网卡成组策略注同一组内物理交换机上的所有端口必须位于第 2 层的同一广播域内负载平衡策略负载平衡策略确定网络流量如何在网卡组中的网络适配器之间分布 vsphere 虚拟交换机仅对出站流量进行负载平衡输入流量由物理交换机上的负载平衡策略控制有关每个负载平衡算法的详细信息, 请参见可用于虚拟交换机的负载平衡算法网络故障检测策略您可以指定下列方法之一以供虚拟交换机用于故障切换检测仅链路状态仅取决于网络适配器提供的链接状态用于检测故障, 如电缆移除和物理交换机电源故障但是, 链路状态不会检测以下配置错误 : 物理交换机端口被跨接树阻止, 或者错误地配置为不正确的 VLAN 拔下了用于将物理交换机与其他网络设备 ( 如上游交换机 ) 相连接的电缆信标探测发出并侦听物理网卡发送的以太网广播帧或信标探测, 以检测组中所有物理网卡中存在的链路故障 ESXi 主机每秒发送一次信标数据包信标探测对于检测距离 ESXi 主机最近的物理交换机的故障十分有用, 此类故障不会导致主机发生链路关闭事件请将信标探测与组中的三个或更多网卡配合使用, 因为 ESXi 可以检测单个适配器的故障如果只分配两个网卡, 而其中的一个网卡失去连接, 则由于二者均不接收信标, 因此所有数据包都发送到这两个上行链路, 从而使交换机无法检测需要停用哪个网卡在此类组中使用至少三个网卡, 则允许出现 n-2 个故障, 其中 n 是指该组出现不明确的状况时组中的网卡数量故障恢复策略默认情况下, 将对网卡组启用故障恢复策略如果出现故障的物理网卡恢复联机状态, 则虚拟交换机会将该网卡重新设置为活动状态, 替换接替其位置的备用网卡如果在故障切换顺序中位居首位的物理网卡遇到间歇性故障, 则故障恢复策略可能导致频繁更改使用的网卡物理交换机可看到 MAC 地址频繁更改, 在适配器联机时, 物理交换机端口可能无法立即接受流量要最大限度地减少此类延迟, 可考虑在物理交换机上更改以下设置 : 对已连接到 ESXi 主机的物理网卡禁用跨树协议 (STP) VMware, Inc. 保留所有权利 85

86 对于基于 Cisco 的网络, 为访问接口启用 PortFast 模式或为中继接口启用 PortfFast 中继模式在初始化物理交换机端口期间, 此操作可节省约 30 秒禁用中继协商通知交换机策略使用通知交换机策略, 您可以确定 ESXi 主机如何传达故障切换事件当物理网卡连接到虚拟交换机或流量重新路由到网卡组中的其他物理网卡时, 虚拟交换机将通过网络发送通知, 以更新物理交换机上的查找表为物理交换机发送通知可以在出现故障切换或使用 vsphere vmotion 进行迁移时获得最低延迟可用于虚拟交换机的负载平衡算法可以在虚拟交换机上配置各种负载平衡算法, 以确定网络流量在网卡组中的物理网卡之间如何分布基于源虚拟端口的路由虚拟交换机可根据 vsphere 标准交换机或 vsphere Distributed Switch 上的虚拟机端口 ID 选择上行链路基于源 MAC 哈希的路由虚拟交换机可基于虚拟机 MAC 地址选择虚拟机的上行链路要计算虚拟机的上行链路, 虚拟交换机将使用虚拟机 MAC 地址和网卡组中的上行链路数目基于 IP 哈希的路由虚拟交换机可根据每个数据包的源和目标 IP 地址选择虚拟机的上行链路基于物理网卡负载的路由基于物理网卡负载的路由以基于源虚拟端口的路由为基础, 其中虚拟交换机将检查上行链路的实际负载, 并采取措施以减少过载上行链路上的负载仅适用于 vsphere Distributed Switch 使用明确故障切换顺序没有可用于此策略的实际负载平衡虚拟交换机始终使用活动适配器列表中按故障切换顺序位于最前列且符合故障切换检测标准的上行链路如果活动列表中没有可用的上行链路, 则虚拟交换机将使用备用列表中的上行链路基于源虚拟端口的路由虚拟交换机可根据 vsphere 标准交换机或 vsphere Distributed Switch 上的虚拟机端口 ID 选择上行链路基于源虚拟端口的路由是 vsphere 标准交换机和 vsphere Distributed Switch 上的默认负载平衡方法 ESXi 主机上运行的每个虚拟机在虚拟交换机上都有一个关联的虚拟端口 ID 要计算虚拟机的上行链路, 虚拟交换机将使用虚拟机端口 ID 和网卡组中的上行链路数目虚拟交换机为虚拟机选择上行链路后, 只要该虚拟机在相同的端口上运行, 就会始终通过此虚拟机的同一上行链路转发流量除非在网卡组中添加或移除上行链路, 否则虚拟交换机仅计算虚拟机上行链路一次当虚拟机在同一主机上运行时, 虚拟机的端口 ID 固定不变如果迁移或删除虚拟机, 或者关闭虚拟机电源, 则此虚拟机在虚拟交换机上的端口 ID 将变为空闲状态虚拟交换机将停止向此端口发送流量, 这会减少其关联的上行链路的总流量如果打开虚拟机电源或迁移虚拟机, 则虚拟机可能会出现在不同的端口上并使用与新端口关联的上行链路 VMware, Inc. 保留所有权利 86

87 表 8 3. 使用基于源虚拟端口的路由的注意事项注意事项描述优势当组中虚拟网卡数大于物理网卡数时, 流量分布均匀资源消耗低, 因为在大多数情况下, 虚拟交换机仅计算虚拟机上行链路一次无需在物理交换机上进行更改劣势虚拟交换机无法识别上行链路的流量负载, 且不会对很少使用的上行链路的流量进行负载平衡虚拟机可用的带宽受限于与相关端口 ID 关联的上行链路速度, 除非该虚拟机具有多个虚拟网卡基于源 MAC 哈希的路由虚拟交换机可基于虚拟机 MAC 地址选择虚拟机的上行链路要计算虚拟机的上行链路, 虚拟交换机将使用虚拟机 MAC 地址和网卡组中的上行链路数目表 8 4. 使用基于源 MAC 哈希的路由的注意事项注意事项描述优势与基于源虚拟端口的路由相比, 可更均匀地分布流量, 因为虚拟交换机会计算每个数据包的上行链路虚拟机会使用相同的上行链路, 因为 MAC 地址是静态地址启动或关闭虚拟机不会更改虚拟机使用的上行链路无需在物理交换机上进行更改劣势可用于虚拟机的带宽受限于与相关端口 ID 关联的上行链路速度, 除非该虚拟机使用多个源 MAC 地址资源消耗比基于源虚拟端口的路由更高, 因为虚拟交换机会计算每个数据包的上行链路虚拟交换机无法识别上行链路的负载, 因此上行链路可能会过载基于 IP 哈希的路由虚拟交换机可根据每个数据包的源和目标 IP 地址选择虚拟机的上行链路要计算虚拟机的上行链路, 虚拟交换机会获取数据包中源和目标 IP 地址的最后一个八位字节并对其执行 XOR 运算, 然后根据网卡组中的上行链路数将所得的结果用于另一个计算结果是一个介于 0 和组中上行链路数减一之间的数字例如, 如果网卡组有四个上行链路, 则结果是一个介于 0 和 3 之间的数字, 因为每个数字与组中的一个网卡相关联对于非 IP 数据包, 虚拟交换机会从 IP 地址所在的帧或数据包中提取两个 32 位二进制值任何虚拟机都可根据源和目标 IP 地址使用网卡组中的任何上行链路因此, 每台虚拟机都可以使用网卡组中任何上行链路的带宽如果虚拟机在包含大量独立虚拟机的环境中运行, 则 IP 哈希算法可在组中的网卡之间均匀地分布流量当虚拟机与多个目标 IP 地址通信时, 虚拟交换机可为每个目标 IP 生成不同的哈希因此, 数据包可以使用虚拟交换机上的不同上行链路, 从而可能实现更高的吞吐量 VMware, Inc. 保留所有权利 87

88 但是, 如果环境中包含的 IP 地址较少, 则虚拟交换机可能会始终通过组中的一个上行链路传递流量例如, 如果一个应用程序服务器访问一个数据库服务器, 则虚拟交换机会始终计算同一个上行链路, 因为只存在一个源 - 目标对物理交换机配置要确保 IP 哈希负载平衡运行正常, 必须在物理交换机上配置以太通道以太通道可以将多个网络适配器合并到单条逻辑链路中如果将多个端口绑定到一个以太通道, 则每次物理交换机接收不同端口上同一虚拟机 MAC 地址发出的数据包时, 该交换机会正确更新其内容可寻址内存 (CAM) 表例如, 如果物理交换机在端口 01 和 02 上收到 MAC 地址 A 发出的数据包, 则该交换机会在其 CAM 表中创建 01-A 和 02-A 条目因此, 物理交换机会将入站流量分布到正确的端口如果没有以太通道, 则物理交换机会首先记录下在端口 01 上收到 MAC 地址 A 发出的数据包, 然后将同一记录更新为在端口 02 上收到 MAC 地址 A 发出的数据包因此, 物理交换机只会转发端口 02 上的入站流量, 并可能导致数据包无法到达其目标以及相应的上行链路过载限制和配置要求 ESXi 主机支持单个物理交换机或堆栈交换机上的 IP 哈希绑定 ESXi 主机仅支持静态模式下的 802.3ad 链路聚合只能将静态以太通道与 vsphere 标准交换机配合使用不支持 LACP 如果启用 IP 哈希负载平衡但无 802.3ad 链路聚合 ( 或者相反 ), 则可能会遇到网络中断必须使用仅链路状态作为网络故障检测方法, 并使用 IP 哈希负载平衡必须在活动故障切换列表中设置组的所有上行链路备用和未使用列表必须为空以太通道中的端口数必须与组中的上行链路数相同使用基于 IP 哈希的路由的注意事项注意事项描述优势与基于源虚拟端口的路由和基于源 MAC 哈希的路由相比, 可更均匀地分布负载, 因为虚拟交换机会计算每个数据包的上行链路与多个 IP 地址通信的虚拟机可能实现更高的吞吐量劣势与其他负载平衡算法相比, 资源消耗最高虚拟交换机无法识别上行链路的实际负载需要在物理网络上进行更改故障排除较为复杂基于物理网卡负载的路由基于物理网卡负载的路由以基于源虚拟端口的路由为基础, 其中虚拟交换机将检查上行链路的实际负载, 并采取措施以减少过载上行链路上的负载仅适用于 vsphere Distributed Switch Distributed Switch 将使用虚拟机端口 ID 和网卡组中的上行链路数目来计算虚拟机的上行链路 Distributed Switch 将每 30 秒测试一次上行链路, 如果上行链路的负载超过 75% 的使用率, 则拥有最高 I/O 的虚拟机的端口 ID 将移到其他上行链路 VMware, Inc. 保留所有权利 88

89 表 8 5. 使用基于物理网卡负载的路由的注意事项注意事项描述优势资源消耗较低, 因为 Distributed Switch 仅计算一次虚拟机的上行链路并检查影响最小的上行链路 Distributed Switch 可识别上行链路的负载, 并在需要时负责减少其负载无需在物理交换机上进行更改劣势可用于虚拟机的带宽受限于与 Distributed Switch 连接的上行链路使用明确故障切换顺序没有可用于此策略的实际负载平衡虚拟交换机始终使用活动适配器列表中按故障切换顺序位于最前列且符合故障切换检测标准的上行链路如果活动列表中没有可用的上行链路, 则虚拟交换机将使用备用列表中的上行链路在 vsphere 标准交换机或标准端口组上配置网卡绑定故障切换和负载平衡在组中包括两个或多个物理网卡可增加 vsphere 标准交换机或标准端口组的网络容量配置故障切换顺序以确定如何在适配器发生故障时重新路由网络流量选择负载平衡算法以确定标准交换机如何在组内物理网卡之间分布流量根据物理交换机的网络配置和标准交换机的拓扑配置网卡绑定故障切换和负载平衡有关详细信息, 请参见成组和故障切换策略和可用于虚拟交换机的负载平衡算法如果在标准交换机上配置绑定和故障切换策略, 该策略将传播到交换机中的所有端口组如果在标准端口组上配置策略, 该策略将替代从交换机继承的策略步骤 1 在 vsphere Web Client 中, 导航到主机 2 在配置选项卡上, 展开网络, 然后选择虚拟交换机 3 导航到标准交换机或标准端口组的绑定和故障切换策略选项操作标准交换机 a 从列表中选择交换机 b 单击编辑设置, 然后选择绑定和故障切换标准端口组 a 选择端口组所在的交换机 b 从交换机拓扑图中, 选择标准端口组并单击编辑设置 c 选择绑定和故障切换 d 选择要替代的策略旁边的替代 VMware, Inc. 保留所有权利 89

90 4 从负载平衡下拉菜单中, 指定虚拟交换机如何对组内物理网卡之间的出站流量进行负载平衡选项基于源虚拟端口的路由基于 IP 哈希的路由基于源 MAC 哈希的路由使用明确故障切换顺序描述根据交换机上的虚拟端口 ID 选择上行链路虚拟交换机为虚拟机或 VMkernel 适配器选择上行链路后, 便始终会通过此虚拟机或 VMkernel 适配器的同一上行链路转发流量根据每个数据包的源和目标 IP 地址哈希选择上行链路对于非 IP 数据包, 交换机在相应字段中使用这些数据来计算哈希值基于 IP 的绑定要求为物理交换机配置以太通道根据源以太网的哈希选择上行链路在活动适配器列表中, 始终使用最前面的上行链路传递故障切换检测条件此选项不会执行任何实际负载平衡 5 从网络故障检测下拉菜单中, 选择虚拟交换机用于故障切换检测的方法选项仅链路状态信标探测描述仅取决于网络适配器提供的链路状态该选项可用于检测故障, 如电缆移除和物理交换机电源故障发出并侦听组中所有网卡上的信标探测, 并使用此信息结合链路状态来确定链接故障 ESXi 每秒发送一次信标数据包网卡必须处于活动 / 活动或活动 / 备用配置中, 因为未使用状态中的网卡不会加入信标探测 6 从通知交换机下拉菜单中, 选择在出现故障切换时, 标准交换机或 Distributed Switch 是否通知物理交换机注如果连接的虚拟机以单播模式使用 Microsoft 网络负载平衡, 则将该选项设置为否网络负载平衡在多播模式下运行时不存在任何问题 7 从故障恢复下拉菜单中, 选择物理适配器从故障恢复后是否返回到活动状态如果故障恢复设置为是 ( 默认选择 ), 则适配器将在恢复后立即返回到活动任务, 并取代接替其位置的备用适配器 ( 如果有 ) 如果标准端口的故障恢复设置为否, 则出现故障的适配器在恢复后仍为非活动状态, 直至另有一个当前处于活动状态的适配器出现故障, 必须进行更换 8 通过配置故障切换顺序列表指定在出现故障切换时如何使用网卡组中的上行链路如果要使用部分上行链路而要保留另外一些上行链路, 以备使用中的上行链路出现故障时的紧急情况, 请使用向上箭头或向下箭头键将这些上行链路移至其他组中选项活动适配器备用适配器未用的适配器描述如果网络适配器连接运行正常并处于活动状态, 则继续使用上行链路如果其中一个活动物理适配器停机, 则使用此上行链路不使用此上行链路 9 单击确定 VMware, Inc. 保留所有权利 90

91 在分布式端口组或分布式端口上配置网卡绑定故障切换和负载平衡在组中包括两个或多个物理网卡可增加分布式端口组或端口的网络容量配置故障切换顺序以确定如何在适配器发生故障时重新路由网络流量选择负载平衡算法以确定 Distributed Switch 如何在组内物理网卡之间进行流量负载平衡根据物理交换机的网络配置和 Distributed Switch 的拓扑配置网卡绑定故障切换和负载平衡有关详细信息, 请参见成组和故障切换策略和可用于虚拟交换机的负载平衡算法如果为分布式端口组配置绑定和故障切换策略, 策略将传播到组中的所有端口如果为分布式端口配置策略, 该策略将替代从组继承的策略前提条件要替代分布式端口级别的策略, 请为此策略启用端口级别替代选项请参见在端口级别配置替代网络策略步骤 1 在 vsphere Web Client 中, 导航到 Distributed Switch 2 浏览分布式端口组或端口的绑定和故障切换策略选项操作分布式端口组 a 在操作菜单中, 选择分布式端口组 > 管理分布式端口组 b c 选择绑定和故障切换选择端口组, 然后单击下一步分布式端口 a 在网络选项卡上, 单击分布式端口组, 然后双击分布式端口组 b 在端口选项卡上, 选择端口, 然后单击编辑分布式端口设置 c 选择绑定和故障切换 d 选择要替代的属性旁边的替代 3 从负载平衡下拉菜单中, 指定虚拟交换机如何对组内物理网卡之间的出站流量进行负载平衡选项基于源虚拟端口的路由基于 IP 哈希的路由基于源 MAC 哈希的路由基于物理网卡负载的路由使用明确故障切换顺序描述根据交换机上的虚拟端口 ID 选择上行链路虚拟交换机为虚拟机或 VMkernel 适配器选择上行链路后, 便始终会通过此虚拟机或 VMkernel 适配器的同一上行链路转发流量根据每个数据包的源和目标 IP 地址哈希选择上行链路对于非 IP 数据包, 交换机在相应字段中使用这些数据来计算哈希值基于 IP 的绑定要求为物理交换机配置以太通道根据源以太网的哈希选择上行链路可用于分布式端口组或分布式端口根据连接到端口组或端口的物理网络适配器的当前负载选择上行链路如果上行链路 75% 或更高持续 30 秒保持忙碌状态, 主机代理交换机会将一部分虚拟机流量移至具有可用容量的物理适配器在活动适配器列表中, 始终使用最前面的上行链路传递故障切换检测条件此选项不会执行任何实际负载平衡 VMware, Inc. 保留所有权利 91

92 4 从网络故障检测下拉菜单中, 选择虚拟交换机用于故障切换检测的方法选项仅链路状态信标探测描述仅取决于网络适配器提供的链路状态该选项可用于检测故障, 如电缆移除和物理交换机电源故障发出并侦听组中所有网卡上的信标探测, 并使用此信息结合链路状态来确定链接故障 ESXi 每秒发送一次信标数据包网卡必须处于活动 / 活动或活动 / 备用配置中, 因为未使用状态中的网卡不会加入信标探测 5 从通知交换机下拉菜单中, 选择在出现故障切换时, 标准交换机或 Distributed Switch 是否通知物理交换机注如果连接的虚拟机以单播模式使用 Microsoft 网络负载平衡, 则将该选项设置为否网络负载平衡在多播模式下运行时不存在任何问题 6 从故障恢复下拉菜单中, 选择物理适配器从故障恢复后是否返回到活动状态如果故障恢复设置为是 ( 默认选择 ), 则适配器将在恢复后立即返回到活动任务, 并取代接替其位置的备用适配器 ( 如果有 ) 如果分布式端口的故障恢复设置为否, 则仅当关联的虚拟机在运行时, 出现故障的适配器才会在恢复后保持非活动状态当故障恢复选项为否并且虚拟机已关闭电源时, 如果所有活动的物理适配器发生故障, 然后其中一个物理适配器恢复, 则打开虚拟机电源后, 虚拟网卡将连接到恢复的适配器而非待机适配器关闭虚拟机电源然后再打开电源会将虚拟网卡重新连接到分布式端口 Distributed Switch 将该端口视为新添加的端口, 并将其作为默认上行链路端口 ( 即活动的上行链路适配器 ) 7 通过配置故障切换顺序列表指定在出现故障切换时如何使用网卡组中的上行链路如果要使用部分上行链路而要保留另外一些上行链路, 以备使用中的上行链路出现故障时的紧急情况, 请使用向上箭头或向下箭头键将这些上行链路移至其他组中选项活动适配器备用适配器未用的适配器描述如果网络适配器连接运行正常并处于活动状态, 则继续使用上行链路如果其中一个活动物理适配器停机, 则使用此上行链路不使用此上行链路 8 查看设置并应用配置 VLAN 策略 VLAN 策略决定了 VLAN 在网络环境中的运行方式虚拟局域网 (VLAN) 是一组有着共同要求的主机, 无论其物理位置如何, 都像连接到同一广播域一样进行通信 VLAN 与物理局域网 (LAN) 的属性相同, 但是 VLAN 允许终端站组合在一起, 即使它们不在同一网络交换机上也是如此 VLAN 策略的适用范围可以是分布式端口组和端口以及上行链路端口组和端口 VMware, Inc. 保留所有权利 92

93 在分布式端口组或分布式端口上配置 VLAN 标记要在所有分布式端口上全局应用 VLAN 标记, 必须设置分布式端口组的 VLAN 策略要以不同于父级分布式端口组的方式将通过该端口的虚拟流量与物理 VLAN 相整合, 必须使用分布式端口的 VLAN 策略前提条件要替代分布式端口级别的策略, 请为此策略启用端口级别替代选项请参见在端口级别配置替代网络策略步骤 1 在 vsphere Web Client 中, 导航到 Distributed Switch 2 导航到分布式端口组或分布式端口的 VLAN 策略选项操作分布式端口组 a 在操作菜单中, 选择分布式端口组 > 管理分布式端口组 b 选择 VLAN, 然后单击下一步 c 选择端口组, 然后单击下一步分布式端口 a 在网络选项卡上, 单击分布式端口组, 然后双击分布式端口组 b 在端口选项卡上, 选择端口, 然后单击编辑分布式端口设置图标 c 选择 VLAN d 选择要替代的属性旁边的替代 3 从 VLAN 类型下拉菜单中选择 VLAN 流量筛选和标记的类型, 然后单击下一步选项描述无不使用 VLAN 如果是外部交换机标记, 则使用此选项 VLAN VLAN 中继专用 VLAN 使用 VLAN ID 字段中的 ID 来标记流量为虚拟交换机标记键入介于 1 和 4094 之间的数字将 ID 在 VLAN 中继范围内的 VLAN 流量传递到客户机操作系统可以使用逗号分隔的列表来设置多个范围和各个 VLAN 例如: , 为虚拟客户机标记使用此选项将流量与在 Distributed Switch 上创建的专用 VLAN 相关联 4 查看设置并应用配置配置上行链路端口组或上行链路端口上的 VLAN 标记通常, 要为所有成员上行链路配置 VLAN 流量处理, 必须设置上行链路端口的 VLAN 策略要以不同于父级上行链路端口组的方式处理通过该端口的 VLAN 流量, 必须设置上行链路的 VLAN 策略在上行链路端口级别使用 VLAN 策略可将 VLAN ID 的中继范围传播至物理网络适配器以执行流量筛选如果物理网络适配器支持按 VLAN 筛选, 这些网络适配器将丢弃来自其他 VLAN 的数据包设置一个中继范围可改进网络连接性能, 因为物理网络适配器负责筛选流量 ( 而非组中的上行链路端口 ) VMware, Inc. 保留所有权利 93

94 如果您的物理网络适配器不支持 VLAN 筛选, 这些 VLAN 仍不会受到阻止此时, 可在分布式端口组或分布式端口上配置 VLAN 筛选有关 VLAN 筛选支持的信息, 请参见适配器供应商提供的技术文档前提条件要替代端口级别的 VLAN 策略, 请启用端口级别替代请参见在端口级别配置替代网络策略步骤 1 在 vsphere Web Client 中, 导航到 Distributed Switch 2 在网络选项卡上, 单击上行链路端口组 3 导航到上行链路端口组或端口的 VLAN 策略选项操作上行链路端口组 a 右键单击列表中的上行链路端口组, 然后选择编辑设置 b 单击 VLAN 上行链路端口 a 双击上行链路端口组 b 在端口选项卡上, 选择端口, 然后单击编辑分布式端口设置选项卡 c 单击 VLAN 并选中替代 4 键入要传播到物理网络适配器的 VLAN 中继范围值要中继多个范围和各个 VLAN, 可用逗号分隔各个条目 5 单击确定安全策略网络安全策略可保护流量免受 MAC 地址模拟和有害端口扫描的威胁在网络协议堆栈的第 2 层 ( 数据链路层 ) 执行标准交换机或 Distributed Switch 的安全策略安全策略的三大要素是杂乱模式 MAC 地址更改和伪信号有关潜在网络威胁的信息, 请参见 vsphere 安全性文档配置 vsphere Standard Switch 或标准端口组的安全策略对于 vsphere Standard Switch, 您可以在虚拟机的客户机操作系统中配置安全策略以拒绝 MAC 地址和混杂模式更改可以替代从单个端口组上的标准交换机继承的安全策略步骤 1 在 vsphere Web Client 中, 导航到主机 2 在配置选项卡上, 展开网络, 然后选择虚拟交换机 VMware, Inc. 保留所有权利 94

95 3 导航到标准交换机或端口组的安全策略选项操作 vsphere 标准交换机 a 在列表中选择一个标准交换机 b 单击编辑设置 c 选择安全标准端口组 a 选择端口组所在的标准交换机 b 在拓扑图中, 选择一个标准端口组 c 单击编辑设置 d 选择安全, 然后选择选项旁边的替代以替代 4 拒绝或接受与标准交换机或端口组相连的虚拟机的客户机操作系统中混杂模式激活或 MAC 地址更改选项描述混杂模式拒绝虚拟机网络适配器仅接收发送到虚拟机的帧接受虚拟交换机会将所有帧转发到符合虚拟机网络适配器所连接端口的活动 VLAN 策略的虚拟机注混杂模式是一种不安全的运行模式防火墙端口扫描程序入侵检测系统必须在混杂模式下运行 MAC 地址更改拒绝如果客户机操作系统将虚拟机的有效 MAC 地址更改为与虚拟机网络适配器的 MAC 地址 ( 在.vmx 配置文件中设置 ) 不同的值, 则交换机会丢弃所有到适配器的入站帧如果客户机操作系统将虚拟机的有效 MAC 地址更改回虚拟机网络适配器的 MAC 地址, 则虚拟机将重新接收帧接受如果客户机操作系统将虚拟机的有效 MAC 地址更改为与虚拟机网络适配器的 MAC 地址不同的值, 则交换机将允许传递到新地址的帧伪信号拒绝如果从虚拟机适配器发出的出站帧的源 MAC 地址不同于.vmx 配置文件中的源 MAC 地址, 则交换机会丢弃该出站帧接受交换机不执行筛选, 并允许所有出站帧通过 5 单击确定配置分布式端口组或分布式端口的安全策略可以对分布式端口组设置安全策略, 以允许或拒绝在与端口组关联的虚拟机的客户机操作系统中启用混杂模式和 MAC 地址更改可以替代从单个端口上的分布式端口组继承的安全策略前提条件要替代分布式端口级别的策略, 请为此策略启用端口级别替代选项请参见在端口级别配置替代网络策略步骤 1 在 vsphere Web Client 中, 导航到 Distributed Switch VMware, Inc. 保留所有权利 95

96 2 导航到分布式端口组或端口的安全策略选项操作分布式端口组 a 在操作菜单中, 选择分布式端口组 > 管理分布式端口组 b c 选择安全选择端口组, 然后单击下一步分布式端口 a 在网络选项卡上, 单击分布式端口组, 然后双击分布式端口组 b 在端口选项卡上, 选择端口, 然后单击编辑分布式端口设置图标 c 选择安全 d 选择要替代的属性旁边的替代 3 拒绝或接受与分布式端口组或端口相连的虚拟机的客户机操作系统中混杂模式激活或 MAC 地址更改选项描述混杂模式拒绝虚拟机网络适配器仅接收发送到虚拟机的帧接受虚拟交换机会将所有帧转发到符合虚拟机网络适配器所连接端口的活动 VLAN 策略的虚拟机注混杂模式是一种不安全的运行模式防火墙端口扫描程序入侵检测系统必须在混杂模式下运行 MAC 地址更改拒绝如果客户机操作系统将虚拟机的有效 MAC 地址更改为与虚拟机网络适配器的 MAC 地址 ( 在.vmx 配置文件中设置 ) 不同的值, 则交换机会丢弃所有到适配器的入站帧如果客户机操作系统将虚拟机的有效 MAC 地址更改回虚拟机网络适配器的 MAC 地址, 则虚拟机将重新接收帧接受如果客户机操作系统将虚拟机的有效 MAC 地址更改为与虚拟机网络适配器的 MAC 地址不同的值, 则交换机将允许传递到新地址的帧伪信号拒绝如果从虚拟机适配器发出的出站帧的源 MAC 地址不同于.vmx 配置文件中的源 MAC 地址, 则交换机会丢弃该出站帧接受交换机不执行筛选, 并允许所有出站帧通过 4 查看设置并应用配置流量调整策略流量调整策略是由平均带宽峰值带宽和突发大小所定义的可以为每个端口组和每个分布式端口或分布式端口组建立流量调整策略 VMware, Inc. 保留所有权利 96

97 ESXi 调整标准交换机上的出站网络流量以及分布式交换机上的入站和出站流量流量调整功能会限制可用于端口的网络带宽, 但也可以将其配置为允许流量突发, 使流量以更高的速度通过端口平均带宽带宽峰值突发大小规定某段时间内允许通过端口的平均每秒位数此数值是允许的平均负载端口发送或接收突发流量时, 每秒允许通过端口的最大位数此数值会限制端口经历额外突发时所用的带宽突发中所允许的最大字节数如果设置了此参数, 则在端口没有使用为其分配的所有带宽时可能会获取额外的突发当端口所需带宽大于平均带宽所指定的值时, 如果有额外突发可用, 则可能会临时允许以更高的速度传输数据此参数限制在额外突发中累积的字节数, 使流量以更高的速度传输配置 vsphere Standard Switch 或标准端口组的流量调整 ESXi 允许您调整标准交换机或端口组的出站流量流量调整程序可限制任意端口的可用网络带宽, 但也可将其配置为临时允许流量突发, 使流量以更高的速度通过端口在交换机或端口组级别设置的流量调整策略适用于加入了该交换机或端口组的每个单独的端口例如, 如果在标准端口组上设置 Kbps 的平均带宽, 则一段时间内平均 Kbps 可通过与标准端口组关联的每个端口步骤 1 在 vsphere Web Client 中, 导航到主机 2 在配置选项卡上, 展开网络, 然后选择虚拟交换机 3 导航到标准交换机或端口组的流量调整策略选项操作 vsphere 标准交换机 a 在列表中选择一个标准交换机 b 单击编辑设置 c 选择流量调整标准端口组 a 选择端口组所在的标准交换机 b 在拓扑图中, 选择一个标准端口组 c 单击编辑设置 d 选择流量调整, 然后选择选项旁边的替代以替代 4 配置流量调整策略选项状态描述针对与标准交换机或端口组关联的每个端口启用了网络带宽分配量的设置限制平均带宽设定每秒允许通过端口的位数, 这是一段时间内的平均值 ( 允许的平均负载 ) VMware, Inc. 保留所有权利 97

98 选项带宽峰值突发大小描述发送流量突发时, 每秒钟允许通过端口的最大传输位数该设置是指流量突发时端口使用的最大带宽此参数永远不能小于平均带宽突发中所允许的最大字节数如果设置了此参数, 则在端口没有使用为其分配的所有带宽时可能会获取额外的突发当端口所需带宽大于平均带宽所指定的值时, 如果有额外突发可用, 则端口可能会临时以更高的速度传输数据该参数是指流量突发时可累积且以更高速度传输的最大字节数 5 针对每个流量调整策略 ( 平均带宽峰值带宽和突发大小 ), 输入带宽值 6 单击确定编辑分布式端口组或分布式端口的流量调整策略可以调整 vsphere 分布式端口组或分布式端口上的入站和出站流量流量调整程序可限制组中任意端口的网络带宽, 但也可将其配置为临时允许流量突发, 使流量以更高的速度通过端口在分布式端口组级别设置的流量调整策略适用于加入该端口组的每一个单独端口例如, 如果在分布式端口组上设置 Kbps 的平均带宽, 则与分布式端口组相关联的每个端口在一段时间内平均可通过 Kbps 前提条件要替代分布式端口级别的策略, 请为此策略启用端口级别替代选项请参见在端口级别配置替代网络策略步骤 1 在 vsphere Web Client 中, 导航到 Distributed Switch 2 导航到分布式端口组或端口的流量调整策略选项操作分布式端口组 a 在操作菜单中, 选择分布式端口组 > 管理分布式端口组 b c 选择流量调整选择端口组, 然后单击下一步分布式端口 a 在网络选项卡上, 单击分布式端口组, 然后双击分布式端口组 b 在端口选项卡上, 选择端口, 然后单击编辑分布式端口设置图标 c 选择流量调整 d 选择要替代的属性旁边的替代 3 配置流量调整策略注流量根据交换机而非主机中的通信方向分为输入流量和输出流量两类选项状态平均带宽描述通过使用状态下拉菜单启用输入流量调整或输出流量调整设定每秒允许通过端口的位数, 这是一段时间内的平均值, 即允许的平均负载 VMware, Inc. 保留所有权利 98

99 选项峰值带宽突发大小描述端口在发送或接收流量突发时, 每秒钟允许通过端口的最大传输位数该参数是指流量突发时端口使用的最大带宽突发中所允许的最大字节数如果设置了此参数, 则在端口没有使用为其分配的所有带宽时可能会获取额外的突发当端口所需带宽大于平均带宽所指定的值时, 如果有额外突发可用, 则端口可能会临时以更高的速度传输数据该参数是指流量突发时可累积且以更高速度传输的最大字节数 4 查看设置并应用配置资源分配策略可以使用资源分配策略将分布式端口或端口组与用户创建的网络资源池关联通过此策略可以更有效地控制为端口或端口组指定的带宽有关创建和配置网络资源池的信息, 请参见第 11 章,vSphere Network I/O Control 编辑分布式端口组的资源分配策略通过将分布式端口组与网络资源池关联, 您可更有效地控制为分布式端口组分配的带宽前提条件在 Distributed Switch 上启用 Network I/O Control 请参见在 vsphere Distributed Switch 上启用 Network I/O Control 创建并配置网络资源池请参见创建网络资源池步骤 1 在 vsphere Web Client 中, 导航到 Distributed Switch 2 在导航器中右键单击 Distributed Switch, 然后选择分布式端口组 > 管理分布式端口组 3 选中资源分配复选框, 然后单击下一步 4 选择要配置的分布式端口组, 然后单击下一步 5 在网络资源池中添加或移除分布式端口组, 然后单击下一步要添加分布式端口组, 请从网络资源池下拉菜单中选择用户定义的资源池要移除分布式端口组, 请从网络资源池下拉菜单中选择默认 6 在即将完成部分中查看您的设置, 然后单击完成使用上一步按钮更改任意设置监控策略监控策略在分布式端口或端口组上启用或禁用 NetFlow 监控在 vsphere Distributed Switch 级别配置 NetFlow 设置请参见配置 vsphere Distributed Switch 的 NetFlow 设置 VMware, Inc. 保留所有权利 99

100 在分布式端口组或分布式端口上启用或禁用 NetFlow 监控启用 NetFlow 以监控通过分布式端口组的端口或通过单个分布式端口的 IP 数据包在 vsphere Distributed Switch 上配置 NetFlow 设置请参见配置 vsphere Distributed Switch 的 NetFlow 设置前提条件要替代分布式端口级别的策略, 请为此策略启用端口级别替代选项请参见在端口级别配置替代网络策略步骤 1 在 vsphere Web Client 中, 导航到 Distributed Switch 2 导航到分布式端口组或分布式端口的监控策略选项操作分布式端口组 a 在操作菜单中, 选择分布式端口组 > 管理分布式端口组 b 选择监控 c 选择端口组, 然后单击下一步分布式端口 a 在网络选项卡上, 单击分布式端口组, 然后双击分布式端口组 b 在端口选项卡上, 选择端口, 然后单击编辑分布式端口设置图标 c 选择监控 d 选择要替代的属性旁边的替代 3 从 NetFlow 下拉菜单中启用或禁用 NetFlow, 然后单击下一步 4 验证设置并应用配置流量筛选和标记策略在 vsphere Distributed Switch 中, 通过使用流量筛选和标记策略, 您可以避免虚拟网络进入有害的流量和遭受安全攻击, 或将 QoS 标记应用于某种类型的流量流量筛选和标记策略表示一组有序的网络流量规则, 用于对通过 Distributed Switch 端口的数据流实施安全保护和应用 QoS 标记一般而言, 规则包括流量限定符以及限制或设置匹配流量优先级的操作 vsphere Distributed Switch 将规则应用于数据流中不同位置的流量 Distributed Switch 将流量筛选规则应用于虚拟机网络适配器与分布式端口之间的数据路径, 或将上行链路规则应用于上行链路端口与物理网络适配器之间的数据路径分布式端口组或上行链路端口组的流量筛选和标记在分布式端口组级别或上行链路端口组级别设置流量规则, 从而引入对通过虚拟机 VMkernel 适配器或物理适配器的流量访问的筛选和优先级标记功能启用分布式端口组或上行链路端口组的流量筛选和标记如果要在加入端口组的所有虚拟机网络适配器或上行链路适配器上配置流量安全和标记, 请为该组启用流量筛选和标记策略 VMware, Inc. 保留所有权利 100

101 标记分布式端口组或上行链路端口组的流量可向在带宽低延迟等方面具有较高网络要求的流量 ( 如 VoIP 和流视频 ) 分配优先级标记您可以在网络协议堆栈的第 2 层使用 CoS 标记或在第 3 层使用 DSCP 标记来标记流量筛选分布式端口组或上行链路端口组的流量允许或停止流量, 以确保流经分布式端口组或上行链路端口组的端口的数据的安全使用分布式端口组或上行链路端口组上的网络流量规则定义在分布式端口组或上行链路端口组中的流量规则, 以引入处理与虚拟机或物理适配器相关的流量的策略可以筛选特定流量或描述其 QoS 需求禁用分布式端口组或上行链路端口组的流量筛选和标记通过禁用流量筛选和标记策略来允许流量流向虚拟机或物理适配器, 而无需进行与安全或 QoS 相关的其他控制启用分布式端口组或上行链路端口组的流量筛选和标记如果要在加入端口组的所有虚拟机网络适配器或上行链路适配器上配置流量安全和标记, 请为该组启用流量筛选和标记策略注您可以对特定端口禁用流量筛选和标记策略, 以避免处理流经该端口的流量请参见禁用分布式端口或上行链路端口的流量筛选和标记步骤 1 在 vsphere Web Client 中查找分布式端口组或上行链路端口组 a b 选择 Distributed Switch, 然后单击网络选项卡单击分布式端口组以查看分布式端口组列表, 或单击上行链路端口组以查看上行链路端口组列表 2 右键单击端口组, 然后选择编辑设置 3 选择流量筛选和标记 4 从状态下拉菜单中选择已启用 5 单击确定后续步骤对流经分布式端口组的端口或流经上行链路端口组的数据设置流量标记或筛选请参见标记分布式端口组或上行链路端口组的流量和筛选分布式端口组或上行链路端口组的流量标记分布式端口组或上行链路端口组的流量可向在带宽低延迟等方面具有较高网络要求的流量 ( 如 VoIP 和流视频 ) 分配优先级标记您可以在网络协议堆栈的第 2 层使用 CoS 标记或在第 3 层使用 DSCP 标记来标记流量优先级标记是一种流量标记机制, 用于标记 QoS 需求较高的流量网络可以利用这一机制识别不同类的流量网络设备可以根据每个类的优先级和要求来处理其中的流量 VMware, Inc. 保留所有权利 101

102 您也可以重新标记流量, 以便提高或降低流量的重要性通过使用较低的 QoS 标记, 可以限制客户机操作系统中标记的数据步骤 1 在 vsphere Web Client 中查找分布式端口组或上行链路端口组 a b 选择 Distributed Switch, 然后单击网络选项卡单击分布式端口组以查看分布式端口组列表, 或单击上行链路端口组以查看上行链路端口组列表 2 右键单击端口组, 然后选择编辑设置 3 选择流量筛选和标记 4 如果已禁用流量筛选和标记, 可从状态下拉菜单中将其启用 5 单击新建以创建新规则, 或者选择一个规则并单击编辑以编辑该规则 6 在网络流量规则对话框中, 从操作下拉菜单中选择标记选项 7 为规则范围内的流量设置优先级标记选项 CoS 值描述在第 2 层网络中使用 CoS 优先级标记来标记与规则匹配的流量请选择更新 CoS 标记, 并键入一个介于 0 到 7 之间的值 DSCP 值在第 3 层网络中使用 DSCP 标记来标记与规则关联的流量请选择更新 DSCP 值, 并键入一个介于 0 到 63 之间的值 8 指定此规则所适用的流量种类要确定某一数据流是否位于要标记或筛选的规则范围内,vSphere Distributed Switch 将检查流量的方向源和目标等属性 VLAN 下一级别协议基础架构流量类型等 a 从流量方向下拉菜单中, 选择流量必须为输入输出还是同时为这两者, 才能使规则将其视为匹配此方向还会影响您识别流量源和目标的方式 b 通过使用系统数据类型限定符第 2 层数据包属性和第 3 层数据包属性, 可以设置数据包要与规则匹配而需要具备的属性一个限定符表示一组与某个网络连接层相关的匹配条件可以将流量与系统数据类型第 2 层流量属性和第 3 层流量属性进行匹配可以使用特定网络连接层的限定符, 也可以结合使用多个限定符, 以便更精确地匹配数据包使用系统流量限定符将数据包与流经组端口的虚拟基础架构数据的类型进行匹配例如, 您可以对传输到网络存储的数据选择 NFS 使用 MAC 流量限定符可根据 MAC 地址 VLAN ID 和下一级别协议匹配数据包可以使用虚拟客户机标记 (VGT) 在分布式端口组上查找具有某个 VLAN ID 的流量如果要在虚拟交换机标记 (VST) 处于活动状态时将流量与 VLAN ID 进行匹配, 请对上行链路端口组或上行链路端口使用一个规则使用 IP 流量限定符可根据 IP 版本 IP 地址以及下一级别协议和端口匹配数据包 VMware, Inc. 保留所有权利 102

103 9 在规则对话框中, 单击确定以保存该规则示例 :IP 语音流量标记 IP 语音 (VoIP) 流在低丢弃和低延迟方面具有特殊的 QoS 要求与 VoIP 的会话发起协议 (SIP) 相关的流量通常有一个等于 26 的 DSCP 标记, 该标记值表示保证转发等级为 3 且丢弃概率为低 (AF31) 例如, 要标记到子网 /24 的出站 SIP UDP 数据包, 可以使用以下规则 : 规则参数操作参数值标记 DSCP 值 26 流量方向流量限定符协议输出 IP 限定符 UDP 目标端口 5060 源地址与匹配的前缀长度为 24 的 IP 地址筛选分布式端口组或上行链路端口组的流量允许或停止流量, 以确保流经分布式端口组或上行链路端口组的端口的数据的安全步骤 1 在 vsphere Web Client 中查找分布式端口组或上行链路端口组 a b 选择 Distributed Switch, 然后单击网络选项卡单击分布式端口组以查看分布式端口组列表, 或单击上行链路端口组以查看上行链路端口组列表 2 右键单击端口组, 然后选择编辑设置 3 选择流量筛选和标记 4 如果已禁用流量筛选和标记, 可从状态下拉菜单中将其启用 5 单击新建以创建新规则, 或者选择一个规则并单击编辑以编辑该规则 6 在网络流量规则对话框中, 使用操作选项以允许流量通过分布式端口组或上行链路端口组的端口, 或对其进行限制 VMware, Inc. 保留所有权利 103

104 7 指定此规则所适用的流量种类要确定某一数据流是否位于要标记或筛选的规则范围内,vSphere Distributed Switch 将检查流量的方向源和目标等属性 VLAN 下一级别协议基础架构流量类型等 a 从流量方向下拉菜单中, 选择流量必须为输入输出还是同时为这两者, 才能使规则将其视为匹配此方向还会影响您识别流量源和目标的方式 b 通过使用系统数据类型限定符第 2 层数据包属性和第 3 层数据包属性, 可以设置数据包要与规则匹配而需要具备的属性一个限定符表示一组与某个网络连接层相关的匹配条件可以将流量与系统数据类型第 2 层流量属性和第 3 层流量属性进行匹配可以使用特定网络连接层的限定符, 也可以结合使用多个限定符, 以便更精确地匹配数据包使用系统流量限定符将数据包与流经组端口的虚拟基础架构数据的类型进行匹配例如, 您可以对传输到网络存储的数据选择 NFS 使用 MAC 流量限定符可根据 MAC 地址 VLAN ID 和下一级别协议匹配数据包可以使用虚拟客户机标记 (VGT) 在分布式端口组上查找具有某个 VLAN ID 的流量如果要在虚拟交换机标记 (VST) 处于活动状态时将流量与 VLAN ID 进行匹配, 请对上行链路端口组或上行链路端口使用一个规则使用 IP 流量限定符可根据 IP 版本 IP 地址以及下一级别协议和端口匹配数据包 8 在规则对话框中, 单击确定以保存该规则使用分布式端口组或上行链路端口组上的网络流量规则定义在分布式端口组或上行链路端口组中的流量规则, 以引入处理与虚拟机或物理适配器相关的流量的策略可以筛选特定流量或描述其 QoS 需求注可以在端口级别替代流量筛选和标记的策略规则请参见使用分布式端口或上行链路端口上的网络流量规则查看分布式端口组或上行链路组的流量规则查看形成分布式端口组或上行链路端口组的流量筛选和屏蔽策略的流量规则编辑分布式端口组或上行链路端口组的流量规则可以创建或编辑流量规则, 然后使用其参数在分布式端口组或上行链路端口组上配置用于筛选或标记流量的策略更改分布式端口组或上行链路端口组的规则优先级对组成分布式端口组或上行链路端口组的流量筛选和标记策略的规则进行重新排序可改变处理流量的操作顺序删除分布式端口组或上行链路端口组的流量规则删除分布式端口组或上行链路端口组上的流量规则, 以便以特定方式停止处理数据包流向虚拟机或物理适配器 VMware, Inc. 保留所有权利 104

105 查看分布式端口组或上行链路组的流量规则查看形成分布式端口组或上行链路端口组的流量筛选和屏蔽策略的流量规则步骤 1 在 vsphere Web Client 中查找分布式端口组或上行链路端口组 a b 选择 Distributed Switch, 然后单击网络选项卡单击分布式端口组以查看分布式端口组列表, 或单击上行链路端口组以查看上行链路端口组列表 2 右键单击端口组, 然后选择编辑设置 3 选择流量筛选和标记 4 如果已禁用流量筛选和标记, 可从状态下拉菜单中将其启用 5 检查操作以查看此规则是否对流量进行了筛选 ( 允许或拒绝 ), 或者是否对具有特殊 QoS 需求的流量进行了标记 ( 标记 ) 6 从上方的列表中, 选择您要查看流量查找条件的规则此规则的流量限定参数将显示在流量限定符列表中编辑分布式端口组或上行链路端口组的流量规则可以创建或编辑流量规则, 然后使用其参数在分布式端口组或上行链路端口组上配置用于筛选或标记流量的策略步骤 1 在 vsphere Web Client 中查找分布式端口组或上行链路端口组 a b 选择 Distributed Switch, 然后单击网络选项卡单击分布式端口组以查看分布式端口组列表, 或单击上行链路端口组以查看上行链路端口组列表 2 右键单击端口组, 然后选择编辑设置 3 选择流量筛选和标记 4 如果已禁用流量筛选和标记, 可从状态下拉菜单中将其启用 5 单击新建以创建新规则, 或者选择一个规则并单击编辑以编辑该规则后续步骤为网络流量规则命名, 并拒绝允许或标记目标流量更改分布式端口组或上行链路端口组的规则优先级对组成分布式端口组或上行链路端口组的流量筛选和标记策略的规则进行重新排序可改变处理流量的操作顺序 vsphere Distributed Switch 将按严格的顺序应用网络流量规则如果某个数据包已符合某个规则, 则该数据包可能不会传递到策略中的下一个规则 VMware, Inc. 保留所有权利 105

106 步骤 1 在 vsphere Web Client 中查找分布式端口组或上行链路端口组 a b 选择 Distributed Switch, 然后单击网络选项卡单击分布式端口组以查看分布式端口组列表, 或单击上行链路端口组以查看上行链路端口组列表 2 右键单击端口组, 然后选择编辑设置 3 选择流量筛选和标记 4 如果已禁用流量筛选和标记, 可从状态下拉菜单中将其启用 5 选择一个规则, 并使用箭头按钮更改其优先级 6 单击确定应用更改删除分布式端口组或上行链路端口组的流量规则删除分布式端口组或上行链路端口组上的流量规则, 以便以特定方式停止处理数据包流向虚拟机或物理适配器步骤 1 在 vsphere Web Client 中查找分布式端口组或上行链路端口组 a b 选择 Distributed Switch, 然后单击网络选项卡单击分布式端口组以查看分布式端口组列表, 或单击上行链路端口组以查看上行链路端口组列表 2 右键单击端口组, 然后选择编辑设置 3 选择流量筛选和标记 4 如果已禁用流量筛选和标记, 可从状态下拉菜单中将其启用 5 选择规则, 然后单击删除 6 单击确定禁用分布式端口组或上行链路端口组的流量筛选和标记通过禁用流量筛选和标记策略来允许流量流向虚拟机或物理适配器, 而无需进行与安全或 QoS 相关的其他控制注您可以对特定端口启用或设置流量筛选和标记策略请参见在分布式端口或上行链路端口上启用流量筛选和标记步骤 1 在 vsphere Web Client 中查找分布式端口组或上行链路端口组 a b 选择 Distributed Switch, 然后单击网络选项卡单击分布式端口组以查看分布式端口组列表, 或单击上行链路端口组以查看上行链路端口组列表 2 右键单击端口组, 然后选择编辑设置 VMware, Inc. 保留所有权利 106

107 3 选择流量筛选和标记 4 从状态下拉菜单中选择已禁用 5 单击确定分布式端口或上行链路端口的流量筛选和标记可以通过对分布式端口或上行链路端口配置流量筛选和标记策略, 为单个虚拟机 VMkernel 适配器或物理适配器筛选流量或描述其 QoS 需求在分布式端口或上行链路端口上启用流量筛选和标记在端口上启用流量筛选和标记策略, 以便在虚拟机网络适配器 VMkernel 适配器或上行链路适配器上配置流量安全和标记标记分布式端口或上行链路端口的流量在规则中为需要特殊处理的流量 ( 如 VoIP 和流视频 ) 分配优先级标记您可以在网络协议堆栈的第 2 层使用 CoS 标记或在第 3 层使用 DSCP 标记来标记虚拟机 VMkernel 适配器或物理适配器的流量筛选分布式端口或上行链路端口上的流量通过使用规则, 可允许或禁止流量, 从而确保通过虚拟机 VMkernel 适配器或物理适配器的数据流的安全使用分布式端口或上行链路端口上的网络流量规则定义分布式端口或上行链路端口组中的流量规则, 以引入处理与虚拟机或物理适配器相关的流量的策略可以筛选特定流量或描述其 QoS 需求禁用分布式端口或上行链路端口的流量筛选和标记对端口禁用流量筛选和标记策略, 以使流至虚拟机或物理适配器的流量不按照安全性进行筛选或按 QoS 进行标记在分布式端口或上行链路端口上启用流量筛选和标记在端口上启用流量筛选和标记策略, 以便在虚拟机网络适配器 VMkernel 适配器或上行链路适配器上配置流量安全和标记前提条件要替代分布式端口级别的策略, 请为此策略启用端口级别替代选项请参见在端口级别配置替代网络策略步骤 1 导航到 Distributed Switch, 然后导航到分布式端口或上行链路端口要导航到交换机的分布式端口, 请单击网络 > 分布式端口组, 双击列表中的分布式端口组, 然后单击端口选项卡要导航到上行链路端口组的上行链路端口, 请单击网络 > 上行链路端口组, 双击列表中的上行链路端口组, 然后单击端口选项卡 2 从列表中选择端口 VMware, Inc. 保留所有权利 107

108 3 单击编辑分布式端口设置 4 选择流量筛选和标记 5 选择替代复选框, 然后在状态下拉菜单中选择已启用 6 单击确定后续步骤为流经分布式端口或上行链路端口的数据设置流量筛选或标记请参见标记分布式端口或上行链路端口的流量和筛选分布式端口或上行链路端口上的流量标记分布式端口或上行链路端口的流量在规则中为需要特殊处理的流量 ( 如 VoIP 和流视频 ) 分配优先级标记您可以在网络协议堆栈的第 2 层使用 CoS 标记或在第 3 层使用 DSCP 标记来标记虚拟机 VMkernel 适配器或物理适配器的流量优先级标记是一种流量标记机制, 用于标记 QoS 需求较高的流量网络可以利用这一机制识别不同类的流量网络设备可以根据每个类的优先级和要求来处理其中的流量您也可以重新标记流量, 以便提高或降低流量的重要性通过使用较低的 QoS 标记, 可以限制客户机操作系统中标记的数据前提条件要替代分布式端口级别的策略, 请为此策略启用端口级别替代选项请参见在端口级别配置替代网络策略步骤 1 导航到 Distributed Switch, 然后导航到分布式端口或上行链路端口要导航到交换机的分布式端口, 请单击网络 > 分布式端口组, 双击列表中的分布式端口组, 然后单击端口选项卡要导航到上行链路端口组的上行链路端口, 请单击网络 > 上行链路端口组, 双击列表中的上行链路端口组, 然后单击端口选项卡 2 从列表中选择端口 3 单击编辑分布式端口设置 4 如果没有在端口级别启用流量筛选和标记, 请单击替代, 然后从状态下拉菜单中选择已启用 5 单击新建以创建新规则, 或者选择一个规则并单击编辑以编辑该规则您可以更改从分布式端口组或上行链路端口组继承的规则可以通过这一方式使规则在端口范围内具有唯一性 6 在网络流量规则对话框中, 从操作下拉菜单中选择标记选项 VMware, Inc. 保留所有权利 108

109 7 为规则范围内的流量设置优先级标记选项 CoS 值描述在第 2 层网络中使用 CoS 优先级标记来标记与规则匹配的流量请选择更新 CoS 标记, 并键入一个介于 0 到 7 之间的值 DSCP 值在第 3 层网络中使用 DSCP 标记来标记与规则关联的流量请选择更新 DSCP 值, 并键入一个介于 0 到 63 之间的值 8 指定此规则所适用的流量种类要确定某一数据流是否位于要标记或筛选的规则范围内,vSphere Distributed Switch 将检查流量的方向源和目标等属性 VLAN 下一级别协议基础架构流量类型等 a 从流量方向下拉菜单中, 选择流量必须为输入输出还是同时为这两者, 才能使规则将其视为匹配此方向还会影响您识别流量源和目标的方式 b 通过使用系统数据类型限定符第 2 层数据包属性和第 3 层数据包属性, 可以设置数据包要与规则匹配而需要具备的属性一个限定符表示一组与某个网络连接层相关的匹配条件可以将流量与系统数据类型第 2 层流量属性和第 3 层流量属性进行匹配可以使用特定网络连接层的限定符, 也可以结合使用多个限定符, 以便更精确地匹配数据包使用系统流量限定符将数据包与流经组端口的虚拟基础架构数据的类型进行匹配例如, 您可以对传输到网络存储的数据选择 NFS 使用 MAC 流量限定符可根据 MAC 地址 VLAN ID 和下一级别协议匹配数据包可以使用虚拟客户机标记 (VGT) 在分布式端口组上查找具有某个 VLAN ID 的流量如果要在虚拟交换机标记 (VST) 处于活动状态时将流量与 VLAN ID 进行匹配, 请对上行链路端口组或上行链路端口使用一个规则使用 IP 流量限定符可根据 IP 版本 IP 地址以及下一级别协议和端口匹配数据包 9 在规则对话框中, 单击确定以保存该规则筛选分布式端口或上行链路端口上的流量通过使用规则, 可允许或禁止流量, 从而确保通过虚拟机 VMkernel 适配器或物理适配器的数据流的安全前提条件要替代分布式端口级别的策略, 请为此策略启用端口级别替代选项请参见在端口级别配置替代网络策略步骤 1 导航到 Distributed Switch, 然后导航到分布式端口或上行链路端口要导航到交换机的分布式端口, 请单击网络 > 分布式端口组, 双击列表中的分布式端口组, 然后单击端口选项卡要导航到上行链路端口组的上行链路端口, 请单击网络 > 上行链路端口组, 双击列表中的上行链路端口组, 然后单击端口选项卡 VMware, Inc. 保留所有权利 109

110 2 从列表中选择端口 3 单击编辑分布式端口设置 4 如果没有在端口级别启用流量筛选和标记, 请单击替代, 然后从状态下拉菜单中选择已启用 5 单击新建以创建新规则, 或者选择一个规则并单击编辑以编辑该规则您可以更改从分布式端口组或上行链路端口组继承的规则可以通过这一方式使规则在端口范围内具有唯一性 6 在网络流量规则对话框中, 选择允许操作以允许流量通过分布式端口或上行链路端口, 或选择丢弃操作以对其进行限制 7 指定此规则所适用的流量种类要确定某一数据流是否位于要标记或筛选的规则范围内,vSphere Distributed Switch 将检查流量的方向源和目标等属性 VLAN 下一级别协议基础架构流量类型等 a 从流量方向下拉菜单中, 选择流量必须为输入输出还是同时为这两者, 才能使规则将其视为匹配此方向还会影响您识别流量源和目标的方式 b 通过使用系统数据类型限定符第 2 层数据包属性和第 3 层数据包属性, 可以设置数据包要与规则匹配而需要具备的属性一个限定符表示一组与某个网络连接层相关的匹配条件可以将流量与系统数据类型第 2 层流量属性和第 3 层流量属性进行匹配可以使用特定网络连接层的限定符, 也可以结合使用多个限定符, 以便更精确地匹配数据包使用系统流量限定符将数据包与流经组端口的虚拟基础架构数据的类型进行匹配例如, 您可以对传输到网络存储的数据选择 NFS 使用 MAC 流量限定符可根据 MAC 地址 VLAN ID 和下一级别协议匹配数据包可以使用虚拟客户机标记 (VGT) 在分布式端口组上查找具有某个 VLAN ID 的流量如果要在虚拟交换机标记 (VST) 处于活动状态时将流量与 VLAN ID 进行匹配, 请对上行链路端口组或上行链路端口使用一个规则使用 IP 流量限定符可根据 IP 版本 IP 地址以及下一级别协议和端口匹配数据包 8 在规则对话框中, 单击确定以保存该规则使用分布式端口或上行链路端口上的网络流量规则定义分布式端口或上行链路端口组中的流量规则, 以引入处理与虚拟机或物理适配器相关的流量的策略可以筛选特定流量或描述其 QoS 需求查看分布式端口或上行链路端口上的流量规则查看构成分布式端口或上行链路端口的流量筛选和标记策略的流量规则编辑分布式端口或上行链路端口上的流量规则创建或编辑流量规则, 并使用其参数为分布式端口或上行链路端口配置流量筛选或者标记策略 VMware, Inc. 保留所有权利 110

111 更改分布式端口或上行链路端口的规则优先级将构成分布式端口或上行链路端口的流量筛选和屏蔽策略的规则重新排序, 以更改流量分析的操作顺序, 确保安全性和服务质量删除分布式端口或上行链路端口上的流量规则删除分布式端口或上行链路端口上的流量规则可停止筛选或标记流向虚拟机或物理适配器的特定数据包类型查看分布式端口或上行链路端口上的流量规则查看构成分布式端口或上行链路端口的流量筛选和标记策略的流量规则前提条件要替代分布式端口级别的策略, 请为此策略启用端口级别替代选项请参见在端口级别配置替代网络策略步骤 1 导航到 Distributed Switch, 然后导航到分布式端口或上行链路端口要导航到交换机的分布式端口, 请单击网络 > 分布式端口组, 双击列表中的分布式端口组, 然后单击端口选项卡要导航到上行链路端口组的上行链路端口, 请单击网络 > 上行链路端口组, 双击列表中的上行链路端口组, 然后单击端口选项卡 2 从列表中选择端口 3 单击编辑分布式端口设置 4 选择流量筛选和标记 5 如果没有在端口级别启用流量筛选和标记, 请单击替代, 然后从状态下拉菜单中选择已启用 6 检查操作以查看此规则是否对流量进行了筛选 ( 允许或拒绝 ), 或者是否对具有特殊 QoS 需求的流量进行了标记 ( 标记 ) 7 从上方的列表中, 选择您要查看流量查找条件的规则此规则的流量限定参数将显示在流量限定符列表中编辑分布式端口或上行链路端口上的流量规则创建或编辑流量规则, 并使用其参数为分布式端口或上行链路端口配置流量筛选或者标记策略前提条件要替代分布式端口级别的策略, 请为此策略启用端口级别替代选项请参见在端口级别配置替代网络策略 VMware, Inc. 保留所有权利 111

112 步骤 1 导航到 Distributed Switch, 然后导航到分布式端口或上行链路端口要导航到交换机的分布式端口, 请单击网络 > 分布式端口组, 双击列表中的分布式端口组, 然后单击端口选项卡要导航到上行链路端口组的上行链路端口, 请单击网络 > 上行链路端口组, 双击列表中的上行链路端口组, 然后单击端口选项卡 2 从列表中选择端口 3 单击编辑分布式端口设置 4 选择流量筛选和标记 5 如果没有在端口级别启用流量筛选和标记, 请单击替代, 然后从状态下拉菜单中选择已启用 6 单击新建以创建新规则, 或者选择一个规则并单击编辑以编辑该规则您可以更改从分布式端口组或上行链路端口组继承的规则可以通过这一方式使规则在端口范围内具有唯一性后续步骤为网络流量规则命名, 并拒绝允许或标记目标流量更改分布式端口或上行链路端口的规则优先级将构成分布式端口或上行链路端口的流量筛选和屏蔽策略的规则重新排序, 以更改流量分析的操作顺序, 确保安全性和服务质量 vsphere Distributed Switch 将按严格的顺序应用网络流量规则如果某个数据包已符合某个规则, 则该数据包可能不会传递到策略中的下一个规则前提条件要替代分布式端口级别的策略, 请为此策略启用端口级别替代选项请参见在端口级别配置替代网络策略步骤 1 导航到 Distributed Switch, 然后导航到分布式端口或上行链路端口要导航到交换机的分布式端口, 请单击网络 > 分布式端口组, 双击列表中的分布式端口组, 然后单击端口选项卡要导航到上行链路端口组的上行链路端口, 请单击网络 > 上行链路端口组, 双击列表中的上行链路端口组, 然后单击端口选项卡 2 从列表中选择端口 3 单击编辑分布式端口设置 4 选择流量筛选和标记 5 如果没有在端口级别启用流量筛选和标记, 请单击替代, 然后从状态下拉菜单中选择已启用 6 选择一个规则, 并使用箭头按钮更改其优先级 VMware, Inc. 保留所有权利 112

113 7 单击确定应用更改删除分布式端口或上行链路端口上的流量规则删除分布式端口或上行链路端口上的流量规则可停止筛选或标记流向虚拟机或物理适配器的特定数据包类型前提条件要替代分布式端口级别的策略, 请为此策略启用端口级别替代选项请参见在端口级别配置替代网络策略步骤 1 导航到 Distributed Switch, 然后导航到分布式端口或上行链路端口要导航到交换机的分布式端口, 请单击网络 > 分布式端口组, 双击列表中的分布式端口组, 然后单击端口选项卡要导航到上行链路端口组的上行链路端口, 请单击网络 > 上行链路端口组, 双击列表中的上行链路端口组, 然后单击端口选项卡 2 从列表中选择端口 3 单击编辑分布式端口设置 4 选择流量筛选和标记 5 如果没有在端口级别启用流量筛选和标记, 请单击替代, 然后从状态下拉菜单中选择已启用 6 选择规则, 然后单击删除 7 单击确定禁用分布式端口或上行链路端口的流量筛选和标记对端口禁用流量筛选和标记策略, 以使流至虚拟机或物理适配器的流量不按照安全性进行筛选或按 QoS 进行标记前提条件要替代分布式端口级别的策略, 请为此策略启用端口级别替代选项请参见在端口级别配置替代网络策略步骤 1 导航到 Distributed Switch, 然后导航到分布式端口或上行链路端口要导航到交换机的分布式端口, 请单击网络 > 分布式端口组, 双击列表中的分布式端口组, 然后单击端口选项卡要导航到上行链路端口组的上行链路端口, 请单击网络 > 上行链路端口组, 双击列表中的上行链路端口组, 然后单击端口选项卡 2 从列表中选择端口 3 单击编辑分布式端口设置 4 选择流量筛选和标记 5 单击替代, 然后从状态下拉菜单中, 选择已禁用 VMware, Inc. 保留所有权利 113

114 6 单击确定限定要筛选和标记的流量可以将要筛选或使用 QoS 标记进行标记的流量与承载的基础架构数据 ( 如用于存储 vcenter Server 管理等的数据 ) 的类型以及第 2 层和第 3 层的属性相匹配要更精确地匹配规则范围内的流量, 可以将系统数据类型第 2 层标题和第 3 层标题的条件结合使用系统流量限定符通过在端口组或端口的规则中使用系统流量限定符, 您可以确定是否必须使用 QoS 标记来标记某些系统数据流量, 是否允许或丢弃某些系统数据流量系统流量类型可以选择通过组的各个端口的承载系统数据的流量类型, 即 vcenter Server 存储 VMware vsphere vmotion 和 vsphere Fault Tolerance 中用于管理的流量您只能标记或筛选特定的流量类型, 或者某个基础架构功能以外的所有系统数据流量例如, 您可以用 QoS 值进行标记, 或者筛选 vcenter Server 存储和 vmotion 中用于管理的流量, 但无法标记或筛选承载 Fault Tolerance 数据的流量 MAC 流量限定符通过在规则中使用 MAC 流量限定符, 您可以为数据包的第 2 层 ( 数据链路层 ) 属性 ( 如 MAC 地址 VLAN ID 和占用帧负载的下一级别协议 ) 定义匹配条件协议类型 MAC 流量限定符的协议类型属性与以太网帧的 EtherType 字段相对应 EtherType 表示将占用帧负载的下一级别协议的类型您可以从下拉菜单中选择某个协议或键入其十六进制数字例如, 要捕获链路层发现协议 (LLDP) 的流量, 请键入 88CC VLAN ID 您可以使用 MAC 流量限定符的 VLAN ID 属性来标记或筛选特定 VLAN 中的流量注在分布式端口组中 VLAN ID 限定符可以与虚拟客户机标记 (VGT) 配合使用如果使用 VLAN ID 通过虚拟交换机标记 (VST) 来标记流, 则无法使用此 ID 在分布式端口组或分布式端口的规则中找到流其原因是, 交换机取消对流量的标记后,Distributed Switch 会检查规则条件 ( 其中包括 VLAN ID) 在这种情况下, 要通过 VLAN ID 成功匹配流量, 必须对上行链路端口组或上行链路端口使用一个规则源地址通过使用源地址属性组, 可以根据源 MAC 地址或源 MAC 网络匹配数据包可以使用比较运算符来标记或筛选具有或没有特定源地址或源 MAC 网络的数据包您可以通过多种方法匹配流量源 VMware, Inc. 保留所有权利 114

115 表 8 6. 按 MAC 源地址筛选或标记流量的模式用于匹配流量源地址的参数比较运算符网络连接参数格式 MAC 地址是或不是键入用于匹配的 MAC 地址使用冒号分隔其中的八位字节 MAC 网络匹配或不匹配键入网络的低位地址和通配符掩码在网络位的位置设置 0, 在主机部分设置 1 例如, 对于带有前缀为 05:50:56 且长度为 23 位的 MAC 网络, 地址将设置为 00:50:56:00:00:00, 而掩码为 00:00:01:ff:ff:ff 目标地址通过使用目标地址属性组, 可以将数据包与其目标地址相匹配 MAC 目标地址选项的格式与源地址的格式相同比较运算符要使匹配 MAC 限定符的流量更加符合您的需求, 您可以使用肯定比较或否定比较通过使用这些运算符, 可以将具有某些特定属性的数据包之外的所有数据包均包含在规则的范围之内 IP 流量限定符通过在规则中使用 IP 流量限定符, 可以针对 IP 版本 IP 地址下一级别协议和端口等第 3 层 ( 网络层 ) 属性定义匹配的流量标准协议 IP 流量限定符的协议属性表示占用数据包负载的下一级别协议您可以从下拉菜单中选择某个协议或按照 RFC 1700 键入其十进制编号对于 TCP 和 UDP 协议, 还可以按源端口和目标端口匹配流量源端口通过使用源端口属性, 可以按源端口匹配 TCP 或 UDP 数据包将流量与源端口匹配时, 请考虑流量方向目标端口通过使用目标端口属性, 可以按目标端口匹配 TCP 或 UDP 数据包将流量与目标端口匹配时, 请考虑流量方向源地址通过使用源地址属性, 可以按源地址或子网匹配数据包将流量与源地址或网络匹配时, 请考虑流量方向可以通过多种方法匹配流量源 VMware, Inc. 保留所有权利 115

116 表 8 7. 按 IP 源地址筛选或标记流量的模式用于匹配流量源地址的参数比较运算符网络连接参数格式 IP 版本任意在下拉菜单中选择 IP 版本 IP 地址是或不是键入要匹配的 IP 地址 IP 子网匹配或不匹配键入子网中的低位地址和子网前缀的位长目标地址使用目标地址可根据 IP 地址子网或 IP 版本匹配数据包目标地址的格式与源地址的格式相同比较运算符要使匹配 IP 限定符的流量更加符合您的需求, 您可以使用肯定比较或否定比较您可以定义除具有特定属性的数据包外的所有数据包都包含在规则范围内管理 vsphere Distributed Switch 上的多个端口组的策略可以修改 vsphere Distributed Switch 上多个端口组的网络连接策略前提条件创建具有一个或多个端口组的 vsphere Distributed Switch 步骤 1 在 vsphere Web Client 中, 导航到 Distributed Switch 2 在对象导航器中右键单击 Distributed Switch, 然后选择分布式端口组 > 管理分布式端口组 3 在选择端口组策略页面上, 选中要修改的策略类别旁边的复选框, 然后单击下一步选项安全流量调整 VLAN 成组和故障切换资源分配描述为所选端口组设置 MAC 地址更改伪信号和混杂模式为所选端口组上的入站和出站流量设置平均带宽峰值带宽和突发大小配置所选端口组与物理 VLAN 的连接方式为所选端口组设置负载平衡故障切换检测交换机通知和故障切换顺序为所选端口组设置网络资源池关联监控在所选端口组上启用或禁用 NetFlow 流量筛选和标记其他配置筛选 ( 允许或丢弃 ) 策略和通过选定端口组中端口的特定类型流量标记策略在所选端口组上启用或禁用端口阻止 4 在选择端口组页面上, 选择要编辑的分布式端口组, 然后单击下一步 VMware, Inc. 保留所有权利 116

117 5 ( 可选 ) 在安全页面上, 使用下拉菜单以编辑安全例外, 然后单击下一步选项描述混杂模式拒绝将客户机适配器置于混杂模式不会对适配器接收哪些帧产生任何影响接受将客户机适配器置于混杂模式会使其检测经由 vsphere Distributed Switch 传递符合该适配器所连接端口组的 VLAN 策略的所有帧 MAC 地址更改拒绝如果设置为拒绝并且客户机操作系统将适配器的 MAC 地址更改为不同于.vmx 配置文件的其他任何内容, 则会丢失所有入站帧如果客户机操作系统将 MAC 地址重新更改为与.vmx 配置文件中的 MAC 地址匹配的地址, 入站帧可以再次通过接受从客户机操作系统更改 MAC 地址会达到预期效果会接收传输到新 MAC 地址的帧伪信号拒绝对于任何出站帧, 如果源 MAC 地址与当前在适配器上设置的地址不同, 则将丢失这些帧接受不执行筛选, 所有出站帧均可通过 6 ( 可选 ) 在流量调整页面上, 使用下拉菜单以启用或禁用输入或输出流量调整, 然后单击下一步选项状态平均带宽峰值带宽突发大小描述如果启用输入流量调整或输出流量调整, 将为与该端口组关联的每个 VMkernel 适配器或虚拟网络适配器设置网络连接带宽分配量的限制如果禁用策略, 则在默认情况下, 服务将能够自由顺畅地连接物理网络设定每秒允许通过端口的位数, 这是一段时间内的平均值, 即允许的平均负载当端口正在发送或接收流量突发时为了通过端口而允许采用的平均每秒最大传输位数此数值是端口使用额外突发时所能使用的最大带宽突发中所允许的最大字节数如果设置了此参数, 则在端口没有使用为其分配的所有带宽时可能会获取额外的突发当端口所需带宽大于平均带宽所指定的值时, 如果有额外突发可用, 则可能会允许以更高的速度传输数据该参数是指流量突发时可累积且以更高速度传输的最大字节数 7 ( 可选 ) 在 VLAN 页面上, 使用下拉菜单以编辑 VLAN 策略, 然后单击下一步选项描述无不使用 VLAN VLAN VLAN 中继在 VLAN ID 字段中, 输入一个介于 1 和 4094 之间的数字输入 VLAN 中继范围专用 VLAN 选择可供使用的专用 VLAN VMware, Inc. 保留所有权利 117

118 8 ( 可选 ) 在绑定和故障切换页面上, 使用下拉菜单以编辑设置, 然后单击下一步选项负载平衡描述基于 IP 的绑定要求为物理交换机配置以太通道对于所有其他选项, 应禁用以太通道选择如何选择上行链路基于源虚拟端口的路由根据流量进入 Distributed Switch 所经过的虚拟端口选择上行链路基于 IP 哈希的路由根据每个数据包的源和目标 IP 地址哈希值选择上行链路对于非 IP 数据包, 偏移量中的任何值都将用于计算哈希值基于源 MAC 哈希的路由根据源以太网哈希值选择上行链路基于物理网卡负载的路由根据物理网卡的当前负载选择上行链路使用明确故障切换顺序始终使用活动适配器列表中位于最前列的符合故障切换检测标准的上行链路网络故障检测通知交换机故障恢复故障切换顺序选择用于故障切换检测的方法仅链路状态仅依靠网络适配器提供的链路状态该选项可检测故障 ( 如拨掉线缆和物理交换机电源故障 ), 但无法检测配置错误 ( 如物理交换机端口受跨树阻止配置到了错误的 VLAN 中或者拔掉了物理交换机另一端的线缆 ) 信标探测发出并侦听组中所有网卡上的信标探测, 使用此信息并结合链路状态来确定链接故障不要使用包含 IP 哈希负载平衡的信标探测选择是或否指定发生故障切换时是否通知交换机当使用端口组的虚拟机正在以单播模式使用 Microsoft 网络负载平衡时, 请勿使用此选项如果选择是, 则每当虚拟网卡连接到 Distributed Switch 或虚拟网卡的流量因故障切换事件而由网卡组中的其他物理网卡路由时, 都将通过网络发送通知以更新物理交换机的查看表使用此流程, 使故障切换和 vmotion 迁移的延迟时间降至最少选择是或否以禁用或启用故障恢复此选项确定物理适配器从故障恢复后如何返回到活动的任务是 ( 默认 ) 适配器将在恢复后立即返回到活动任务, 替换接替其位置的备用适配器 ( 如果有 ) 否即使发生故障的适配器已经恢复, 它仍将保持非活动状态, 直到当前处于活动状态的另一个适配器发生故障并要求替换为止选择如何分布上行链路的工作负载要使用一部分上行链路, 保留另一部分来应对使用的上行链路发生故障时的情况, 则可以通过将它们移到不同的组来设置此条件活动上行链路当网络适配器连接正常且处于活动状态时, 继续使用此上行链路备用上行链路如果其中一个活动适配器的连接中断, 则使用此上行链路当使用 IP 哈希负载平衡时, 不要配置待机上行链路未使用的上行链路不使用此上行链路 9 ( 可选 ) 在资源分配页面上, 使用网络资源池下拉菜单以添加或移除资源分配, 然后单击下一步 10 ( 可选 ) 在监控页面上, 使用下拉菜单以启用或禁用 NetFlow, 然后单击下一步选项描述已禁用在分布式端口组上禁用了 NetFlow 已启用在分布式端口组上启用了 NetFlow 可以在 vsphere Distributed Switch 级别配置 NetFlow 设置 VMware, Inc. 保留所有权利 118

119 11 ( 可选 ) 在流量筛选和标记页面, 从状态下拉菜单中启用或禁用流量筛选和标记, 为筛选或标记特定数据流配置流量规则, 然后单击下一步可以设置规则的以下属性, 以确定目标流量和其上的操作 : 选项名称描述规则的名称操作允许授予特定类型流量的访问权限丢弃拒绝特定类型流量的访问权限标记通过插入 CoS 和 DSCP 标记或使用 CoS 和 DSCP 标记重新标记流量, 从而按 QoS 分类流量流量方向系统流量限定符设置规则是否适用于入站流量出站流量或者入站和出站流量此方向还会影响您识别流量源和目标的方式指示规则适用于系统流量, 并设置要应用规则的基础架构协议类型例如, 使用优先级标记标识通过 vcenter Server 管理的流量 VMware, Inc. 保留所有权利 119

120 选项 MAC 限定符描述根据第 2 层标题限定规则的流量协议类型设置占用负载的下一级别协议 (IPv4 IPv6 等 ) 此属性与以太网帧中的 EtherType 字段相对应可以从下拉菜单中选择某个协议或键入其十六进制数字例如, 要捕获链路层发现协议 (LLDP) 的流量, 请键入 88CC VLAN ID 按 VLAN 捕获流量在分布式端口组中 VLAN ID 限定符可以与虚拟客户机标记 (VGT) 配合使用如果使用 VLAN ID 通过虚拟交换机标记 (VST) 来标记流, 则无法使用此 ID 在分布式端口组规则中找到流其原因是, 交换机取消对流量的标记后,Distributed Switch 会检查规则条件 ( 其中包括 VLAN ID) 要成功将流量与 VLAN ID 进行匹配, 请为上行链路端口组或上行链路端口使用一个规则源地址设置单个 MAC 地址或 MAC 网络, 以便根据源地址匹配数据包为 MAC 网络输入网络中的低位地址和通配符掩码掩码的网络位位置包含 0, 主机部分包含 1 例如, 对于前缀为 05:50:56 且长度为 23 位的 MAC 网络, 地址将设置为 00:50:56:00:00:00, 而掩码为 00:00:01:ff:ff:ff 目标地址设置单个 MAC 地址或 MAC 网络, 以便根据目标地址匹配数据包 MAC 目标地址支持的格式与源地址支持的格式相同 IP 限定符根据第 3 层标题限定规则的流量协议设置占用负载的下一级别协议 (TCP UDP 等 ) 可以从下拉菜单中选择某个协议或按照 RFC 1700( 指定的编号 ) 键入其十进制数字对于 TCP 和 UDP 协议, 还可以设置源端口和目标端口源端口将 TCP 或 UDP 数据包与源端口相匹配确定要与数据包相匹配的源端口时, 考虑规则范围内流量的方向目标端口按源端口匹配 TCP 或 UDP 数据包确定要与数据包相匹配的目标端口时, 考虑规则范围内流量的方向源地址设置 IP 版本单个 IP 地址或子网, 以便按源地址匹配数据包为子网输入低位地址和前缀的位长目标地址设置 IP 版本单个 IP 地址或子网, 以便按源地址匹配数据包 IP 目标地址支持的格式与源地址支持的格式相同 12 ( 可选 ) 在其他页面上, 从下拉菜单中选择是或否, 然后单击下一步选择是可关闭端口组中的所有端口此关闭可能会中断正在使用端口的主机或虚拟机的正常网络操作 13 查看即将完成页面上的设置, 然后单击完成使用上一步按钮更改任意设置端口阻止策略端口阻止策略允许有选择地阻止端口发送或接收数据 VMware, Inc. 保留所有权利 120

121 编辑分布式端口组的端口阻止策略您可以阻止分布式端口组中的所有端口如果阻止分布式端口组的端口, 可能会中断正在使用这些端口的主机或虚拟机的正常网络操作步骤 1 在 vsphere Web Client 中, 导航到 Distributed Switch 2 在对象导航器中右键单击 Distributed Switch, 然后选择分布式端口组 > 管理分布式端口组 3 选中其他复选框, 然后单击下一步 4 选择要配置的一个或多个分布式端口组, 然后单击下一步 5 从阻止所有端口下拉菜单中启用或禁用端口阻止, 然后单击下一步 6 查看设置, 然后单击完成编辑分布式端口或上行链路端口的阻止策略您可以阻止单个分布式端口或上行链路端口如果阻止通过端口的流量, 可能会中断正在使用该端口的主机或虚拟机的正常网络操作前提条件启用端口级别替代请参见在端口级别配置替代网络策略步骤 1 导航到 Distributed Switch, 然后导航到分布式端口或上行链路端口要导航到交换机的分布式端口, 请单击网络 > 分布式端口组, 双击列表中的分布式端口组, 然后单击端口选项卡要导航到上行链路端口组的上行链路端口, 请单击网络 > 上行链路端口组, 双击列表中的上行链路端口组, 然后单击端口选项卡 2 从列表中选择端口 3 单击编辑分布式端口设置 4 在其他部分中, 选中替代复选框, 然后从下拉菜单中启用或禁用端口阻止 5 单击确定 VMware, Inc. 保留所有权利 121

122 使用 VLAN 隔离网络流量 9 VLAN 可让您在网络协议堆栈的第 2 层将网络分段为多个逻辑广播域本章讨论了以下主题 : VLAN 配置专用 VLAN VLAN 配置通过虚拟 LAN (VLAN), 单个物理 LAN 分段可进一步隔离, 以使端口组互相隔离, 就好像它们位于不同物理分段上一样在 vsphere 中使用 VLAN 的优点 vsphere 环境中的 VLAN 配置提供了一定的优势可将 ESXi 主机集成到预先存在的 VLAN 拓扑中可隔离并确保网络流量的安全可减少网络流量拥堵情况有关在 vsphere 环境中引入 VLAN 的优点和主要原则, 请观看视频在 vsphere 环境中使用 VLAN ( bctid=ref:video_using_vlans_in_vsphere) VLAN 标记模式在 ESXi 中 vsphere 支持三种 VLAN 标记模式 : 外部交换机标记 (EST) 虚拟交换机标记 (VST) 和虚拟客户机标记 (VGT) VMware, Inc. 保留所有权利 122

123 标记模式交换机端口组上的 VLAN ID 描述 EST 0 物理交换机可执行 VLAN 标记为了访问物理交换机上的端口, 会连接主机网络适配器 VST 介于 1 和 4094 之间虚拟交换机可在数据包离开主机前执行 VLAN 标记主机网络适配器必须连接到物理交换机上的中继端口 VGT 4095( 适用于标准交换机 ) Distributed Switch 的范围和各个 VLAN 虚拟机可执行 VLAN 标记虚拟交换机在虚拟机网络堆栈和外部交换机之间转发数据包时, 会保留 VLAN 标记主机网络适配器必须连接到物理交换机上的中继端口 vsphere Distributed Switch 支持修改 VGT 为安全起见, 可以将 Distributed Switch 配置为仅传递属于特定 VLAN 的数据包注对于 VGT, 必须在虚拟机的客户机操作系统上安装 802.1Q VLAN 中继驱动程序有关虚拟交换机中 VLAN 标记模式的介绍, 请观看视频 vsphere 中的 VLAN 标记模式 ( bctid=ref:video_vlan_tagging_modes) 专用 VLAN 专用 VLAN 用于解决 VLAN ID 限制, 方法是将逻辑广播域的进一步分段添加到多个较小的广播子域中专用 VLAN 由其主专用 VLAN ID 标识主专用 VLAN ID 可以拥有多个与其关联的次专用 VLAN ID 主专用 VLAN 为杂乱模式, 以便专用 VLAN 上的端口可以与配置为主专用 VLAN 的端口通信次专用 VLAN 上的端口可以是已隔离 ( 仅与杂乱模式端口通信 ), 也可以是团体 ( 与同一次专用 VLAN 上的杂乱模式端口和其他端口通信 ) 如果要在主机和其余物理网络之间使用专用 VLAN, 则与主机相连的物理交换机必须支持专用 VLAN, 而且需要用 ESXi 所用的 VLAN ID 进行配置以获取专用 VLAN 功能对于使用基于动态 MAC+VLAN ID 进行学习的物理交换机, 必须首先将所有相应的专用 VLAN ID 输入到交换机的 VLAN 数据库中创建专用 VLAN 在 vsphere Distributed Switch 上创建必要的专用 VLAN, 以便能够分配用于参与专用 VLAN 的分布式端口步骤 1 在 vsphere Web Client 中, 导航到 Distributed Switch 2 在配置选项卡上, 展开设置并选择专用 VLAN 3 单击编辑 4 要添加主 VLAN, 在主 VLAN ID 下方单击添加, 然后输入主 VLAN 的 ID 5 单击主 VLAN ID 前面的加号 (+) 将其添加到列表中主专用 VLAN 也会显示在辅助专用 VLAN ID 下 6 要添加辅助 VLAN, 在右侧面板中单击添加, 然后输入 VLAN 的 ID 7 单击辅助 VLAN ID 前面的加号 (+) 将其添加到列表中 8 从辅助 VLAN 类型列的下拉菜单中, 选择已隔离或社区 VMware, Inc. 保留所有权利 123

124 9 单击确定后续步骤对分布式端口组或端口进行配置, 使其将流量与专用 VLAN 关联在一起请参见在分布式端口组或分布式端口上配置 VLAN 标记移除主专用 VLAN 从 vsphere Distributed Switch 的配置中移除未使用的主 VLAN 移除主专用 VLAN 时, 也会移除关联的辅助专用 VLAN 前提条件确认没有端口组配置为使用主 VLAN 及其关联的辅助 VLAN 步骤 1 在 vsphere Web Client 中, 导航到 Distributed Switch 2 在配置选项卡上, 展开设置并选择专用 VLAN 3 单击编辑 4 选择要移除的主专用 VLAN 5 在主 VLAN ID 列表下, 单击移除 6 单击确定确认要移除主 VLAN 7 单击确定移除次专用 VLAN 从 vsphere Distributed Switch 的配置中移除未使用的辅助专用 VLAN 前提条件确认没有端口组配置为使用辅助 VLAN 步骤 1 在 vsphere Web Client 中, 导航到 Distributed Switch 2 在配置选项卡上, 展开设置并选择专用 VLAN 3 单击编辑 4 选择主专用 VLAN 与其关联的辅助专用 VLAN 将在右侧显示 5 选择要移除的次专用 VLAN 6 在辅助 VLAN ID 列表下方, 单击移除, 然后单击确定 VMware, Inc. 保留所有权利 124

125 管理网络资源 10 vsphere 提供了多种帮助您管理网络资源的不同方法本章讨论了以下主题 : DirectPath I/O 单根 I/O 虚拟化 (SR-IOV) 虚拟机的远程直接内存访问巨帧 TCP 分段清除大型接收卸载 NetQueue 和网络性能 DirectPath I/O 借助 DirectPath I/O, 虚拟机可以使用 I/O 内存管理单元访问平台上的物理 PCI 功能配置了 DirectPath 的虚拟机不具有以下功能 : 虚拟设备的热添加和热移除挂起和恢复记录和重放 Fault Tolerance 高可用性 DRS( 有限的可用性虚拟机可以属于某个群集, 但不能在主机之间迁移 ) 快照为主机上的网络设备启用直通功能直通设备可提供有效的方式来使用资源并提高环境性能您可以为主机上的网络设备启用 DirectPath I/O 直通功能在虚拟机上配置 PCI 设备直通设备可在您的环境中提供更有效的方式来使用资源并提高性能可以在 vsphere Web Client 中的虚拟机上配置直通 PCI 设备 VMware, Inc. 保留所有权利 125

126 为主机上的网络设备启用直通功能直通设备可提供有效的方式来使用资源并提高环境性能您可以为主机上的网络设备启用 DirectPath I/O 直通功能小心如果 ESXi 主机被配置为从连接到 USB 通道的 USB 设备或 SD 卡进行引导, 请确保不要为 USB 控制器启用 DirectPath I/O 直通对通过 USB 设备或 SD 卡进行引导的 ESXi 主机上的 USB 控制器使用直通, 可能会使主机进入无法持久保持配置的状态步骤 1 在 vsphere Web Client 导航器中浏览到主机 2 在配置选项卡上, 展开硬件并单击 PCI 设备 3 要为主机上的 PCI 网络设备启用 DirectPath I/O 直通功能, 请单击编辑此时将显示可用直通设备的列表图标绿色图标橙色图标描述设备处于活动状态且可启用设备的状态已更改, 并且您必须先重新引导主机, 然后才能使用设备 4 选择要用于直通的网络设备, 然后单击确定选定的 PCI 设备会显示在表中设备信息会显示在屏幕底部 5 重新引导主机, 使 PCI 网络设备可供使用在虚拟机上配置 PCI 设备直通设备可在您的环境中提供更有效的方式来使用资源并提高性能可以在 vsphere Web Client 中的虚拟机上配置直通 PCI 设备将直通设备与 Linux 内核或更低版本配合使用时, 请避免使用 MSI 和 MSI-X 模式, 因为这会明显影响性能前提条件验证是否已在虚拟机的主机上配置直通网络连接设备请参见为主机上的网络设备启用直通功能步骤 1 在 vsphere Web Client 中找到虚拟机 a b 选择数据中心文件夹群集资源池或主机, 然后单击虚拟机选项卡单击虚拟机, 然后从列表中双击虚拟机 2 关闭虚拟机电源 3 在虚拟机的配置选项卡上, 展开设置, 然后选择虚拟机硬件 4 单击编辑, 然后在显示设置的对话框中选择虚拟硬件选项卡 VMware, Inc. 保留所有权利 126

127 5 展开内存部分, 然后将限制设置为不受限制 6 从新设备下拉菜单中, 选择 PCI 设备, 然后单击添加 7 从新 PCI 设备下拉菜单中, 选择要使用的直通设备, 然后单击确定 8 打开虚拟机电源将 DirectPath I/O 设备添加到虚拟机可将内存预留设置为虚拟机的内存大小单根 I/O 虚拟化 (SR-IOV) vsphere 支持单根 I/O 虚拟化 (SR-IOV) 您可将 SR-IOV 用于延迟敏感或需要更多 CPU 资源的虚拟机的网络连接 SR-IOV 概览 SR-IOV 是一种规范, 使得单根端口下的单个快速外围组件互连 (PCIe) 物理设备可针对管理程序或客户机操作系统显示为多个单独的物理设备 SR-IOV 使用物理功能 (PF) 和虚拟功能 (VF) 为 SR-IOV 设备管理全局功能 PF 是完整的 PCIe 功能, 其能够配置和管理 SR-IOV 功能可以使用 PF 来配置和控制 PCIe 设备, 且 PF 具有将数据移入和移出设备的完整功能 VF 是轻量级的 PCIe 功能, 其支持数据流动但具有一套受限的配置资源集向管理程序或客户机操作系统提供的虚拟功能数量取决于设备已启用 SR-IOV 的 PCIe 设备在客户机操作系统驱动程序或管理程序实例中需要适当的 BIOS 和硬件支持以及 SR-IOV 支持请参见 SR-IOV 支持在 vsphere 中使用 SR-IOV 在 vsphere 中, 虚拟机可将 SR-IOV 虚拟功能用于网络连接虚拟机和物理适配器直接交换数据, 而不使用 VMkernel 作为中介绕过 VMkernel 进行网络连接可减少延迟时间并提高 CPU 效率在 vsphere 中, 虽然虚拟交换机 ( 标准交换机或 Distributed Switch) 不会处理连接到交换机的已启用 SR- IOV 的虚拟机的网络流量, 但您可使用端口组或端口级别的交换机配置策略来控制已分配的虚拟功能 SR-IOV 支持 vsphere 仅在具有特定配置的环境中支持 SR-IOV 某些 vsphere 功能在启用 SR-IOV 后会失效支持的配置要在 vsphere 中使用 SR-IOV, 您的环境必须满足多个配置要求 VMware, Inc. 保留所有权利 127

128 表要使用 SR-IOV 所需支持的配置组件要求物理主机必须与 ESXi 版本兼容必须配备 Intel 处理器或 AMD 处理器必须支持 I/O 内存管理单元 (IOMMU), 并且必须在 BIOS 中启用 IOMMU 必须支持 SR-IOV, 并且必须在 BIOS 中启用 SR-IOV 请联系服务器供应商以确定主机是否支持 SR-IOV 物理网卡必须与 ESXi 版本兼容根据服务器供应商提供的技术文档, 必须支持用于主机和 SR- IOV 必须在固件中启用 SR-IOV 必须使用 MSI-X 中断对于物理网卡, 在 ESXi 中使用 PF 驱动程序必须经过 VMware 的认证必须安装在 ESXi 主机上对于某些网卡,ESXi 版本提供默认驱动程序, 而对于其他版本, 必须下载并手动安装驱动程序客户机操作系统根据网卡供应商提供的技术文档, 必须受已安装的 ESXi 版本上的网卡支持客户机操作系统中使用 VF 驱动程序必须与网卡兼容根据网卡供应商提供的技术文档, 必须受客户机操作系统版本的支持必须由 Microsoft WLK 或 WHCK 针对 Windows 虚拟机进行认证必须安装在操作系统中对于某些网卡, 操作系统版本中包含默认驱动程序, 而对于其他网卡, 则必须从网卡供应商或主机供应商所提供的位置下载并安装驱动程序要确认物理主机和网卡是否与 ESXi 版本兼容, 请参见 VMware 兼容性指南功能可用性以下功能对配置了 SR-IOV 的虚拟机不可用 : vsphere vmotion Storage vmotion vshield NetFlow VXLAN 虚拟线路 vsphere High Availability vsphere Fault Tolerance vsphere DRS vsphere DPM VMware, Inc. 保留所有权利 128

129 虚拟机挂起和恢复虚拟机快照用于直通虚拟功能的基于 MAC 的 VLAN 热添加和删除虚拟设备内存和 vcpu 加入到群集环境使用 SR-IOV 直通的虚拟机网卡的网络统计信息注如果在 vsphere Web Client 中尝试启用或配置使用 SR-IOV 的不受支持的功能, 会导致环境中出现意外行为受支持的网卡所有网卡必须具有支持 SR-IOV 的驱动程序和固件某些网卡可能需要在固件上启用 SR-IOV 配置了 SR- IOV 的虚拟机支持以下网卡 : 基于 Intel 82599ES 10 GB 以太网控制器系列的产品 (Niantic) 基于 Intel 以太网控制器 X540 系列的产品 (Twinville) 基于 Intel 以太网控制器 X710 系列的产品 (Fortville) 基于 Intel 以太网控制器 XL170 系列的产品 (Fortville) Emulex OneConnect (BE3) SR-IOV 组件架构和交互 vsphere SR-IOV 支持依赖于网卡端口虚拟功能 (VF) 和物理功能 (PF) 之间的交互以提高性能, 依赖于 PF 驱动程序和主机交换机之间的交互以实现流量控制在主机中, 如果在 SR-IOV 物理适配器上运行虚拟机流量, 则虚拟机适配器将直接联系虚拟功能以传递数据但是, 能否配置网络基于虚拟机所在端口的活动策略在没有 SR-IOV 的 ESXi 主机上, 虚拟交换机通过主机上的相应端口发送流出或流入相关端口组的物理适配器的外部网络流量此外, 虚拟交换机也会将网络策略应用于受管数据包 VMware, Inc. 保留所有权利 129

130 图 vsphere SR-IOV 支持中的数据路径和配置路径虚拟机虚拟机虚拟机虚拟机 VF 驱动程序 VF 驱动程序端口组端口组上行链路端口上行链路端口虚拟交换机 3 4 虚拟交换机 VMware ESXi PF 驱动程序 PF 驱动程序 IOMMU PCI Express PCI Express VF VF PF PF 带 SR-IOV 的物理网络适配器不带 SR-IOV 的物理网络适配器端口关联数据路径控制路径 SR-IOV 中的数据路径将虚拟机网络适配器分配给某一虚拟功能后, 客户机操作系统中的 VF 驱动程序会使用 I/O 内存管理单元 (IOMMU) 技术访问必须通过网络才能接收和发送数据的虚拟功能 VMkernel( 尤其是虚拟交换机 ) 不会处理数据流, 这缩短了已启用 SR-IOV 的工作负载的整体滞后时间 SR-IOV 中的配置路径当客户机操作系统尝试更改映射到 VF 的虚拟机适配器的配置时, 如果与此虚拟机适配器关联的端口上的策略允许此更改, 则将执行更改配置工作流程包括以下操作 : 1 客户机操作系统请求更改 VF 的配置 2 VF 通过邮箱机制将该请求转发至 PF 3 PF 驱动程序向虚拟交换机 ( 标准交换机或 Distributed Switch 的主机代理交换机 ) 确认配置请求 VMware, Inc. 保留所有权利 130

展开

vSphere 网络连接 - VMware

vSphere 网络连接 - VMware VMware vsphere 6.5 VMware ESXi 6.5 vcenter Server 6.5 在本文档被更新的版本替代之前, 本文档支持列出的每个产品的版本和所有后续版本要查看本文档的更新版本, 请访问 http://www.vmware.com/cn/support/pubs ZH_CN-002315-02 最新的技术文档可以从 VMware 网站下载 : http://www.vmware.com/cn/support/