خانه  مقالات تخصصی  آموزش Standard vSwitch در Vmware Vsphere – بخش دوم

آموزش Standard vSwitch در Vmware Vsphere – بخش دوم

مقالات تخصصی
2

برای مطالعه بخش اول آموزش Standard vSwitch در Vmware Vsphere اینجا کیلیک کنید

در این قسمت میخواهیم تنظیمات یک Standard vSwitch را ببینیم. ابتدا از بخش Host and Clusters به روی ESX ای که میخواهیم کانفیگ کنیم .

12سوییچ vSwitch1 را انتخاب میکنیم و یک نمای کلی را از سوییچ مشاهده میکنیم.

3
وقتی روی Edit Setting مشخص شده ی بالا کلیک کنیم پنجره ی زیر باز میشود:

4

دقت داشته باشید که تنظیمات vNetworking ئه VMware بسیار مهم است. در بخش بالا شما میتوانید MTU را مشخص کنید. میدانیم که 1500 بایت برای MTU استاندارد است. وقتی ما میتوانیم دراینجا این مقدار را تغییر دهیم یعنی سناریو ای وجود دارد که مقدار MTU چیزی غیر از 1500 بایت باشد. اما چه دلیلی دارد که ما MTU راتغییر دهیم؟ تصور کنید که PC1 و PC2 را دارید و این دو قرار است با هم تبادل Networking ای داشته باشند. به صورت استاندارد MTU آنها 1500 است. حالا در سناریویی فرض کنید که یک سرور ESXi داریم که این سرور ESXi قرار است به یک External Storage مثل SAN یا NAS متصل شود و دیتا روی آن بنویسد و از روی آن دیتا بخواند. در همین حمل و نقل اطلاعاتی شاید شما به دلیل بالا بردن Performance بخواهید MTU را از استاندارد 1500 بالاتر ببرید. اما برای اینکه MTU تغییر کند شما باید به یک نکته ای توجه کنید :

5

تصور کنید ESX ما از طریق یک VMKernel Port به وسیله ی یک vSwitch که این خود این vSwitch از طریق یک VMNIC به یک Physical Switch وصل کنید.

22

بعد فرض کنید که این Physical Switch از طریق یک پورت به یک SAN وصل شده است.

23

وقتی ESXi میخواهد با SAN Storage ارتباط برقرار کند پکت ها از همه ی چیز هایی که در بین راه هستند باید مثلا به جای 1500 بایت 9000 بایت 9000 بایت عبور کنند. یعنی شما باید MTU تمام این مسیر را کانفیگ کنید. مثلا از ابتدا تا انتها را باید MTU=9000 قرار دهید.

6

به بیانی دیگر:7

پس:

8

اگر قرار است روی این vSwitch یک VMKernel Port ای باشد که اون VMKernel Port قرار است با MTU ی بالای 1500 پکت هایش را به بیرون ارسال کند شما باید روی vSwitch این MTU را بالا ببرید.

در مثالی دیگر تصور کنید  ESXi1 و  ESXi2 دارید . شما میخواهید VM های روی ESXi1 را به روی ESXi2، vMotion کنید. vMotion یعنی اینکه در صورتی که ESXi1 روشن است VM های آن  روی ESXi2 منتقل شوند. مثلا نیاز دارید که ESXi1 را خاموش کنید اما نمیخواهید که VM های آن خاموش شود. برای همین از vMotion استفاده میکنید.

9

حالا در این فرآیند vMotion نیاز داریم که اطلاعات خیلی سریع به سمت دیگر Move شود. ما میتوانیم در اینجا MTU را تغییر دهیم و بالا ببریم.

در بخش Number of Port که در تصویر بالا پیش فرض روی حالت مذکور قرار گرفته است میتوانید تعداد پورت های سوییچ که پیش فرض هم 120 Port دارد مشخص کنید. حالا به بخش بعدی یعنی Security میرویم:

24

بخش Security در vSwitch سه تا Option کنترلی به ما میدهد. این سه حالت را در بالا مشاهده میکنید.

  • Promiscuous Mode:

  • 11

تصور کنید که یک vSwitch داریم که سه تا VM به آن وصل هستند. حالا VM1 میخواهد ترافیکی را برای VM2 ارسال کند. این را میدانیم که سوییچ بر اساس Dest. MAC تصمیم گیری میکند و آدرس دهی بر اساس MAC انجام میشود. یا تصور کنید یک سری ترافیک از بیرون این vSwitch می آید (مثلا از سوییچینگ فیزیکی برای این سوییچ مجازی ارسال میشود). مثلا تصور کنید که VM1 ما اکتیو دایرکتوری ماست و یک User ای هم در حال لاگین کردن است. به این صورت ترافیک از سوییچ فیزیکی به سوییچ مجازی می آید و از سوییچ مجازی به VM1 میرسد. حالا فرض کنید روی VM3 ی ما یک نرم افزار NIDS یا Network Intrusion Detection Service نصب شده است و بر اساس Pattern هایی که دارد ترافیک های ورودی را چک میکند و جلوی ترافیک هایی که ریسک امنیتی دارند را میگیرند. در این شرایط ما نیاز داریم تا تمام ترافیک هایی که به تمام VM های این vSwitch میرسد یک کپی از آن ها برای VM3 بیاید که VM3 آن را به لحاظ امنیتی بررسی کند که اگر ریسک امنیتی داشت به فایروال اطلاع دهد که جلوی آن ها را بگیرد. شما میتوانید برای اینکه همچین اتفاقی بیوفتد سوییچ را در بخش Security ، Promiscuous Mode آن را روی حالت Accept قرار دهید. اگر این حالت را روی Accept قرار دهید سوییچ در فازی میرود که بتواند ترافیک های ورودی به سوییچ رو احیانا یک کپی را به یک VM دیگر هم بدهد. البته اینکه فقط این حالت را روی Accept بگذاریم کافی نیست و تنظیمات آن را خواهیم دید.

12

به صورت پیش فرض در Standard Switch ها این Promiscuous Mode روی حالت Reject است و فعلا به لحاظ امنیتی بهتر است که روی همین حالت Reject بماند مگر روی سناریو های خاصی که یک نمونه از آن را مثال زدیم وگرنه Promiscuous Mode باید روی حالت Reject قرار بگیرد. پس به طور خلاصه Promiscuous Mode حالتی است که اگر روی Accept قرار بگیرد ترافیک های ورودی به این سوییچ میتواند به یک VM دیگری ارسال شود.

  • MAC Address Changes:

هر سیستمی که میخواهد کارت شبکه داشته باشد و ارتباط Networking ای داشته باشد باید روی کارت شبکه اش MAC Address داشته باشد که به آن Physical Address میگویند. طبیعتا اگر ما در محیط Virtual خود یک VM ایجاد کردیم و این قرار است که ارتباط شبکه ای داشته باشد اون هم باید یک MAC Address داشته باشد. ما روی VM هامون یک کارت شبکه ی مجازی داریم و روی این کارت شبکه های مجازی باید MAC Address داشته باشیم.

وقتی شما یک VM درست میکنید خود ESX به کارت شبکه ی مجازی اون VM یک MAC Address اختصاص میدهد. به این MAC ، اصطلاحا Initial MAC گفته میشود. پس به مک اولیه یک VM، initial mac گفته میشود. یعنی یک VM یک VNIC دارد، این VNIC هم یک MAC میخواهد که وقتی ESX ساخته میشود ESX برای اون VM یک MAC در نظر میگیرد.

13

شرکت VMware دو رنج OUI را برای خودش از IEEE برای مک هایی که قرار است به VM هایش Assign شود رزرو کرده است.

نکته ای که وجود دارد این است که یک VM ساختیم و ESX یک Initial MAC به ما اختصاص داده است. از طرفی ما میتوانیم روی کارت شبکه MAC سیستم را عوض کنیم. همانطور که میدانید در مایکروسافت مفهومی به نام NLB Cluster داریم که با آن HA ایجاد میکنیم. برای مثال ما دو Web Server داریم به نام های WEB1 و WEB2 که قرار است این دو مثلا www.adminpro.ir را روی خود داشته باشند تا Single Point Of Failure نداشته باشیم. در این شرایط اگر به هر دلیلی یکی از این Web Server ها Down شود سایت ما Down نمیشود. در دنیای مایکروسافت دوتا وب سرور را با هم NLB میکنند. هر کدام از این وب سرورها یک IP مخصوص به خود دارند که IP های آن ها مثلا به صورت زیر است:

14

وقتی این ها با هم NLB میشوند یک V-IP برای آن ها اضافه میشود که این IP ی سوم روی جفت وب ها ست میشود.15

حالا اگر ترافیکی روی این IP ی سوم وجود داشته باشد این ترافیک را هم WEB1 هم WEB2 دریافت میکند. طبیعی است که وقتی یک V-IP درست میشود برای این V-IP یک V-MAC هم ساخته میشود.

پس امکانش هست که این WEB1  ترافیک هایی که به بیرون ارسال میکند از V-IP و V-MAC استفاده میکند.  سوییچ مجازی VMware اطلاع میدهد یک Initial MAC به تو داده بودم و  ترافیک را با MAC ای غیر از آن به بیرون ارسال میکنی و این شاید یک ریسک امنیتی باشد. در این شرایط سوییچ میتواند جلوی این ترافیک ها را بگیرد. یعنی شرایطی که VM از MAC ای استفاده میکند که MAC ئه initial اش نیست. حالا قسمت MAC Address Changes کنترل کننده ی این قضیه هست.

24

اگر این حالت روی Accept باشد یعنی VM بتواند با MAC ای ترافیکش را به بیرون ارسال کند که Initial MAC نیست (اصطلاحا به آن Effective MAC گفته میشود؛ یعنی MAC ای که به غیر از Initial MAC است و  آن را خودمان ست کردیم). پس در اینجا میتوانیم مشخص کنیم که VM میتواند برای Send از Effective MAC استفاده کند یا خیر. اگر این حالت روی Reject قرار بگیرد یعنی Effective MAC نداشته باشند. به بیان دیگر اگر این حالت را روی Reject گذاشتید یعنی VM هایی که به این VSwitch وصل هستند در دنیای مایکروسافت نمیتوانند با هم NLB شوند. چون وقتی بخواهند NLB شوند به خودشان Effective MAC میدهند و در آن شرایط سوییچ جلوی پکت های آن ها را میگیرد.

  • Forged Transmit:

این مورد مانند همان توضیحاتی است که برای MAC Address Changes دادیم اما  MAC Address Changes برای Receive است و Forged Transmit برای Send است.

17

  • نکته:

در سوییچ استاندارد حالت ها باید به صورت زیر باشد:18

وقتی که وارد مبحث سوییچ Distributed شویم خواهید دید که در آنجا هر سه  این گزینه ها در حالت Reject قرار میگیرند. به حالت بعد میرویم:

19

شما روی سوییچ خود در این قسمت میتوانید کانفیگی انجام دهید که مثلا پهنای باند برای VM هایی که به این سوییچ وصل اند در زمانی که Data به بیرون ارسال میکنند محدود شود. پیش فرض این حالت روی Disable است. یعنی روی این سوییچ هیچ محدودیتی اعمال نمیشود. شما میتوانید این قسمت را Enable کنید و ترافیک را برای VM ها مدیریت کنید. نکته ای که وجود دارد این است که Traffic Shaping برای Upload ئه VM ها  نه Download محدودیت ایجاد میکند. یعنی اگر VM ای به این سوییچ وصل شد و خواست ترافیکی را به بیرون ارسال کند با چه پهنای باندی این کار را کند؟ اما ما بیشتر نیاز داریم روی Download محدودیت ایجاد کنیم اما متاسفانه روی Standard Switch ها بر خلاف Distributed Switch ها همچین امکانی وجود ندارد.

Average Bandwidth: برای اینکه یک VM ای بخواهد ترافیکی را به بیرون ارسال کند ماکزیمم چقدر پهنای باند به آن بدهیم ؟ مثلا پیش فرض 100000 kb/s را برای همه ی VM ها در نظر میگیرم اما شاید یک VM ای بیشتر از این مقدار نیاز داشت. در قسمت Peak Bandwidth ما میتوانیم تعیین کنیم این VM بتواند تا 120000 kb/s هم transfer کند. یعنی اگر  بیشتر از 100000 kb/s تبادل دیتا کند مشکلی نیست و تا 120000  هم میتواند. اما بیشتر از مقداری که در Burst Size نوشته شده نباشد.

20

به صورت خلاصه  Base روی 100000 باشد، اگر بیشتر از 100000  نیاز بود تا 120000  میتوانید. اما تا 102400 KB(این مقدار حجم است و بر خلاف دو گزینه ی بالا سرعت یا پهنای باند نیست). یعنی اگر تا 102400 KB ، Upload را با سرعت 120000 kb/s انجام داد پهنای باند آن را پایین می آورد و روی 100000 تا میگذارد.  اگر این مقدار حجم Burst Size را تمام کردیم دوباره پهنای باند از 120000 تا به 100000 کاهش می یابد. این هم یک Random Time ای دارد. مثلا تا 30 دقیقه یا 3 ساعت روی 100000  میماند و بالاتر نمی اید اما بعد از آن دوباره میتواند تا حجم Burst size روی اگر نیاز داشت روی 120000 تا هم بیاید. برای مثال ترافیک هایی که یک وب سرور برای کلاینت میفرستد Upload محسوب میشود. خب ما نیمخواهیم این تنظیم رو انجام دهیم پس آن را روی Disable قرار میدهیم.

21

Teaming and Failover یکی از بخش های خیلی مهم در تنظیمات یک سوییچ است. این بخش را در پارت بعدی توضیح خواهیم داد.

نویسنده : مهندس محم آجورلو

https://adminpro.ir/?p=6841
admin

    دیدگاه‌ها