在之前的 vSphere虛擬網(wǎng)絡(luò)01中，提到了vSphere中的兩種虛擬交換機(jī)類型：標(biāo)準(zhǔn)交換機(jī)和分布式交換機(jī)传于。這篇里就虛擬交換機(jī)的知識(shí)進(jìn)行一些深入的了解治筒。

首先展箱，虛擬交換機(jī)就是從軟件層面來模擬一個(gè)Layer2的交換機(jī)。在物理網(wǎng)絡(luò)中独悴，交換機(jī)在Layer2利用它維護(hù)的CAM表來做點(diǎn)到點(diǎn)的數(shù)據(jù)包傳輸例书。在虛擬網(wǎng)絡(luò)中，虛擬交換機(jī)檢測(cè)到連接到它的虛擬端口的虛擬機(jī)刻炒，然后用MAC來轉(zhuǎn)發(fā)流量到正確的目的地（點(diǎn)到點(diǎn)）决采。虛擬交換機(jī)基本上是用來在虛擬網(wǎng)絡(luò)和物理網(wǎng)絡(luò)之間建立連接的。

這里可以再看一下上一篇中用到的示意圖

vSphere虛擬網(wǎng)絡(luò)示意圖

在ESXi安裝之后坟奥，默認(rèn)的配置有一個(gè)標(biāo)準(zhǔn)虛擬交換機(jī)树瞭，一個(gè)叫VM Network的端口組和一個(gè)作為ESXi管理口的叫vmk0的VMkernel port。這個(gè)默認(rèn)配置可以用來實(shí)現(xiàn)基本的虛擬網(wǎng)絡(luò)和物理網(wǎng)絡(luò)的連通爱谁，如果你有更復(fù)雜的虛擬網(wǎng)絡(luò)需求晒喷，我們就要自己來創(chuàng)建額外的VMkernel port，端口組或者虛擬交換機(jī)访敌。

那么我們來查看下vSphere7版本的虛擬網(wǎng)絡(luò)的一些限制https://configmax.vmware.com/guest?vmwareproduct=vSphere&release=vSphere%207.0&categories=2-0

從中我們能看到凉敲，ESXi主機(jī)支持最多4096個(gè)端口，其中8個(gè)作為預(yù)留口，但是最多活動(dòng)端口是1024爷抓，其中8個(gè)作為預(yù)留口势决，那么最多可用并且活動(dòng)端口就是1016。

關(guān)于隔離

在之前的vSphere虛擬網(wǎng)絡(luò)01中提到了虛擬網(wǎng)絡(luò)中的隔離蓝撇，可以通過一個(gè)虛擬交換機(jī)的不同端口組設(shè)置不同VLAN ID來隔離果复，如下圖

單虛擬交換機(jī) - VLAN

那么也可以通過多個(gè)虛擬交換機(jī)來直接做“物理隔離”，如下圖

多虛擬交換機(jī) - 無(wú)VLAN

兩種方式都可以做到隔離唉地，但有什么不同呢据悔？

首先传透，虛擬交換機(jī)是通過軟件來模擬物理交換機(jī)的行為耘沼。那么在ESXi上創(chuàng)建越多的虛擬交換機(jī)就應(yīng)該需要越多的資源來做交換功能。

其次朱盐，如果我們想做流量隔離群嗤，在單虛擬交換機(jī)上就需要配置VLAN，或者不用VLAN兵琳，用多虛擬交換機(jī)來“物理隔離”狂秘。因?yàn)樵诤芏嗑W(wǎng)絡(luò)中，可能物理網(wǎng)絡(luò)中也沒有配置VLAN來做隔離躯肌，比如部門1連接物理交換機(jī)01者春，部門2連接物理交換機(jī)02，這樣的物理隔離清女，那么我們就可以把部門1要用的虛擬資源連在虛擬交換機(jī)01上并且通過上行鏈路->物理網(wǎng)卡連接到物理交換機(jī)01上钱烟，然后部門2要用的虛擬資源連在虛擬交換機(jī)02上并且通過上行鏈路->物理網(wǎng)卡連接到物理交換機(jī)02上，這樣部門1和部門2所需要的虛擬資源就“物理隔離”了嫡丙，同時(shí)拴袭，Management和vMotion連接不同的物理交換機(jī)也可以實(shí)現(xiàn)管理和遷移的“物理隔離”。從整體上來說曙博，我們也做到了業(yè)務(wù)部門的流量（部門1和部門2）和IT管理的流量（Management和vMotion)隔離拥刻。

最后我們看到圖中每個(gè)虛擬交換機(jī)我們都設(shè)置了2個(gè)上行鏈路（冗余），這樣單虛擬交換機(jī)需要2個(gè)物理網(wǎng)卡父泳，4個(gè)虛擬交換機(jī)就需要8個(gè)物理網(wǎng)卡般哼，這時(shí)候我們就要考量這臺(tái)服務(wù)器是否有能力通過PCI插槽來接入這么多網(wǎng)卡了，因?yàn)镻CI插槽還可能有連接陣列卡等設(shè)備的需求惠窄。

Tips:

不要因?yàn)槟隳軇?chuàng)建多個(gè)虛擬交換機(jī)就去創(chuàng)建蒸眠，要根據(jù)實(shí)際需求和硬件設(shè)備來具體分析，建議通過盡量少的虛擬交換機(jī)來實(shí)現(xiàn)需求睬捶。

標(biāo)準(zhǔn)交換機(jī)

標(biāo)準(zhǔn)交換機(jī)是通過ESXi主機(jī)來創(chuàng)建和管理的黔宛，這就意味著當(dāng)你有多臺(tái)ESXi主機(jī)時(shí)，你就要分別去每一臺(tái)ESXi上創(chuàng)建標(biāo)準(zhǔn)交換機(jī)里的端口組等設(shè)置，可能這個(gè)工作量還不算什么臀晃，但是當(dāng)一年之后你要去修改端口組觉渴，或者擴(kuò)展端口組呢？（這種需求應(yīng)該可以叫做Day2 operation吧)徽惋。

因?yàn)闃?biāo)準(zhǔn)交換機(jī)不能集中管理案淋，也許我們可以通過一些自動(dòng)化腳本來實(shí)現(xiàn)，但自動(dòng)化腳本也要適應(yīng)上面提到的Day2 operation险绘， 所以管理員的開銷還是挺大的踢京。

通過創(chuàng)建或者編輯標(biāo)準(zhǔn)交換機(jī)的操作界面，我們大致能了解到一些它的功能：

Layer2交換

IPv6

VLAN

網(wǎng)卡綁定

出口流量整形

安全策略

綁定和故障切換策略

總的來說宦棺，標(biāo)準(zhǔn)交換機(jī)可以解決大部分小型部署中的虛擬網(wǎng)絡(luò)需求瓣距，我們應(yīng)該避免在中型或大型部署中使用標(biāo)準(zhǔn)交換機(jī)，或者可以保留的使用有限的功能代咸。更多的虛擬網(wǎng)絡(luò)需求通過分布式交換機(jī)或者NSX來實(shí)現(xiàn)蹈丸。

分布式交換機(jī)

分布式交換機(jī)在標(biāo)準(zhǔn)交換機(jī)的基礎(chǔ)上，增加了一些額外的功能呐芥，而且提供了集中管理的接口逻杖。

比如：

入口流量整形

網(wǎng)卡綁定和故障切換策略中基于負(fù)載的綁定

端口洪泛控制

私有VLANs

以端口為單位的策略設(shè)置

端口鏡像

NetFlow監(jiān)控

端口狀態(tài)監(jiān)控

分布式交換機(jī)示意圖

如圖是個(gè)基于2臺(tái)ESXi主機(jī)設(shè)置的分布式交換機(jī)示意圖

所謂的集中管理，分布式交換機(jī)不是在ESXi主機(jī)上創(chuàng)建的思瘟，而是vCenter荸百。在vCenter中在數(shù)據(jù)中心的Actions菜單中可以選擇分布式交換機(jī)，然后創(chuàng)建或者導(dǎo)入滨攻。分布式交換機(jī)上的流量并不會(huì)通過vCenter來轉(zhuǎn)發(fā)够话，來看一個(gè)分布式交換機(jī)的架構(gòu)圖。

分布式交換機(jī)架構(gòu)圖

從圖中我們可以看到铡买，vCenter上是分布式交換機(jī)的一個(gè)模板更鲁，設(shè)定了端口組，上行鏈路的個(gè)數(shù)奇钞。需要把ESXi主機(jī)加入分布式交換機(jī)澡为，這時(shí)候就把交換機(jī)的模板推送到了加入的ESXi主機(jī)上，并且可以指定ESXi上的哪個(gè)物理網(wǎng)卡為分布式交換機(jī)的上行鏈路使用景埃。ESXi主機(jī)上有一個(gè)Host proxy switch媒至，它用來接收vCenter推送的模板，這樣交換功能其實(shí)還是在ESXi主機(jī)上實(shí)現(xiàn)的谷徙。Day2 operation需要的設(shè)置可以在vCenter的模板上修改拒啰，就會(huì)推送到各個(gè)連接該分布式交換機(jī)的ESXi主機(jī)上，這就是集中管理完慧。

這種架構(gòu)谋旦，在vCenter上的分布式交換機(jī)實(shí)例被叫做控制平面/Control plane，交換機(jī)的管理是在這里實(shí)現(xiàn)的。在ESXi上的Host proxy switch被叫做數(shù)據(jù)平面/Data plane,交換機(jī)的數(shù)據(jù)交換是在這里發(fā)生的册着。

最后拴孤，來看一個(gè)多臺(tái)ESXi所連接的分布式交換機(jī)的拓?fù)鋱D吧。

分布式交換機(jī)拓?fù)鋱D

左側(cè)為端口組甲捏，我把vCenter自己?jiǎn)为?dú)放了一個(gè)端口組演熟，把VMkernel放在一個(gè)端口組，剩余VM放在一個(gè)端口組司顿。因?yàn)闆]有設(shè)置VLAN芒粹，實(shí)際上這幾個(gè)端口組是可以互通的。

右側(cè)為上行鏈路大溜，這里我每個(gè)ESXi主機(jī)只設(shè)置了一個(gè)上行鏈路化漆，對(duì)應(yīng)一個(gè)ESXi上的vmnic。

如果win10這臺(tái)虛擬機(jī)在esxi01這臺(tái)主機(jī)上猎提，u2004這臺(tái)虛擬機(jī)在esxi02這臺(tái)主機(jī)上获三，兩臺(tái)同在一個(gè)端口組的虛擬機(jī)旁蔼，從拓?fù)鋱D看來锨苏，直接在虛擬交換機(jī)就能交換數(shù)據(jù)，實(shí)際上棺聊，還是要通過各自的上行鏈路走到物理交換機(jī)才能交換數(shù)據(jù)的伞租。