A infraestrutura virtual de rede da plataforma vSphere oferece dois tipos de switches que, apesar de muito similares, possuem algumas diferenças muito importantes:
Virtual Switch (ou vSwitch): é um elemento de rede com a mesma funcionalidade de um switch físico de camada 2/3+. Ele é criado diretamente no host ESX/ESXi, ou seja, se você tiver 20 hosts, terá que criar no mínimo 20 vSwitches manualmente e garantir a consistência entre ele, incluindo os nomes dos objetos criados (que devem ser similares ao nível ASCII).
dvSwitches são criados no vCenter Server e distribuídos para os hosts desejados. Como são criados em um único lugar, a consistência entre os hosts é garantida. É importante saber que ao ser distribuído, o dvSwitch fica criado localmente no host selecionado. Desta forma, se o vCenter não estiver funcionando, ainda assim o host e suas VMs têm acesso à rede. A única limitação é que nenhuma alteração nos dvSwitches ou na conexão das VMs com estes poderá ser feita até que o vCenter esteja OK novamente.
Ilustração 1 1: Tipos de Switches – vSwitches e dvSwitches
Virtual Switches Termologia
É importante conhecer a terminologia que envolve a criação de switches virtuais no vSphere para facilitar o entendimento de alguns conceitos.
Um ponto importante é entender onde cada elemento é criado:
– vPorts e vPortGroups são criados nos vSwitches
– dvPorts e dvPortGroups são criados nos dvSwitches
Os seguintes termos fazem parte da terminologia da infraestrutura
de rede virtual da VMware:
- DVN: Distributed Virtual Network – é o nome do conjunto de tecnologias que compõem a infraestrutura de rede virtual (também chamado de vNetwork)
- dvSwitch (Distributed Virtual Switch) – switch virtual que é distribuído e compartilhado por múltiplos hosts
- vSwitch (Virtual Switch) – switch virtual que é criado em cada host isoladamente
- vPort e dvPort: porta do vSwitch ou dvSwitch que aceita conexão do VMKernel ou da Service Console (utilizada para gerenciamento, VMotion, etc.)
- vPortGroup e dvPortGroup: grupo de portas em um vSwitch ou dvSwitch que permite a conexão de VMs que compartilharão as mesmas configurações (políticas, segurança, VLANs, etc.)
Estrutura dos vSwitches
Os vSwitches apresentam, estruturalmente, os seguintes componentes:
Ilustração 1: Estrutura dos vSwitches
Switches Layer 2/3+:
Esta estrutura é a responsável pelo direcionamento dos dados entre os componentes virtuais e o mundo físico. Oferece a capacidade de manipular a banda de saída, criar trunks compatíveis com 802.1Q e definir a segurança da transmissão.
vPort Groups:
Conjunto de portas no vSwitch as quais as VMs podem se conectar. Permitem o gerenciamento da banda proveniente das VMs e a adição de TAGs (802,1Q) aos frames enviados.
vPorts:
Portas destinadas à conexão de recursos internos doESX/ESXi. Podem ser de 2 tipos:
– Service Console
– VmKernel: Devem ter IP, gateway, máscara e DNS próprios.
Uplinks:
Conexões físicas (placas de rede do servidor) que serão utilizadas como bridge. Não possuem endereço IP e podem ser configuradas em load balance.
Ilustração 3 2: Exemplo de vSwitch
No exemplo acima consolidamos os tipos de portas, o conceito de VLANs e o conceito de switch interno/externo, criando o conceito de “Firewall in a box” :
- VM1: esta VM de desenvolvimento acessa a rede física através do vSwitch1 com um TAG 101. O Switch CORE1 (switch core físico) recebe o frame tagged (101) e encaminha para a rede de Teste
- VM2: servidor de banco de dados que está atrás de um firewall. A única conexão dele é com a VM3, pois está ligada a um vSwitch INTERNO.
- VM3: é um firewall que isola a rede de produção e a rede do banco de dados. O vSwitch2 é responsável pela conexão entre o banco SQL e este firewall. O vSwitch3 está conectado em um par de pNICs (NICs físicos) para redundância e escalabilidade – os frames são recebidos da VM3 com TAG 102 e são encaminhados para o switch CORE1 que por sua vez os encaminha para a rede de PRODUÇÃO.
- A Service Console Port e o vmkernel Port estão saindo pelo vSwitch4 que possui um outro par de pNICs conectados ao CORE2. Os dados de armazenamento via IP (frames iSCSI) são enviados unicamente para a rede LAN iSCSI pois o vmkernel foi configurado com uma VLAN 103 e o CORE2 foi configurado para encaminhar este TAG para esta rede específica.
Outra importante diferença é que os dvSwitches oferecem um maior gerenciamento da banda, permitindo controlar tanto o RX quanto o TX (Egress e Ingress) enquanto os vSwitches oferecem controle apenas da banda de saída.
No próximo Tech Tip sobre infraestrutura virtual de rede, estaremos mostrando um passo a passo para criação de um vSwitch.