【正文】 但配置了不同的MTU時(shí)，您可能會(huì)遇到網(wǎng)絡(luò)連接問題。圖47 端口綁定策略針對農(nóng)銀人壽虛擬化數(shù)據(jù)中心的發(fā)展需要，我們建議網(wǎng)絡(luò)設(shè)計(jì)采用以下的設(shè)計(jì)決策。表 45. 網(wǎng)絡(luò)相關(guān)的設(shè)計(jì)決策設(shè)計(jì)需求編號＃設(shè)計(jì)選項(xiàng)設(shè)計(jì)決策理由含義NE001網(wǎng)格劃分是采用物理隔離還是采用VLAN進(jìn)行邏輯隔離？網(wǎng)絡(luò)劃分將采用VLAN方式。VLAN早已被人壽公司所采用。ImplicationNE002將選擇標(biāo)準(zhǔn)虛擬交換機(jī)還是分布式虛擬交換機(jī)？將采用分布式虛擬交換機(jī)。建議采用擁有Enterprise Plus License許可授權(quán)并且也希望利用PVLAN和NetFlow功能。Implication 網(wǎng)絡(luò)隔離與VLAN為了減少網(wǎng)絡(luò)資源的爭用和延遲，需要隔離不同類型的網(wǎng)絡(luò)流量。任何網(wǎng)絡(luò)上的高延遲都會(huì)對性能產(chǎn)生潛在的負(fù)面影響。但某些組件要比其它組件對高延遲的網(wǎng)絡(luò)更敏感。例如，在IP存儲(chǔ)和FT日志記錄網(wǎng)絡(luò)上，減少網(wǎng)絡(luò)延遲非常重要。這些網(wǎng)絡(luò)上的延遲會(huì)對多個(gè)虛擬機(jī)的性能產(chǎn)生負(fù)面影響。VLAN數(shù)量取決于應(yīng)用程序或服務(wù)，特定虛擬機(jī)網(wǎng)絡(luò)上的高延遲也會(huì)對性能產(chǎn)生負(fù)面影響。此外，訪問安全性也需要單獨(dú)的網(wǎng)絡(luò)來實(shí)現(xiàn)，確定針對用戶和服務(wù)的特定訪問要求，并根據(jù)此設(shè)計(jì)網(wǎng)絡(luò)，以隔離這些訪問。需要多少個(gè)網(wǎng)絡(luò)或VLAN數(shù)量，將取決于以下用途所需的流量類型： 運(yùn)行VMware vSphere。 支持農(nóng)銀人壽公司所運(yùn)行的服務(wù)和應(yīng)用程序。下圖顯示了vSphere不同功能的VMKernel端口應(yīng)該分散在不同的網(wǎng)絡(luò)環(huán)境中。圖 48. vSphere不同功能的VMKernel端口應(yīng)該分散在不同的網(wǎng)絡(luò)環(huán)境中上圖顯示了vSphere環(huán)境中的一些不同類型的網(wǎng)絡(luò)流量，可能還需要其它網(wǎng)絡(luò)。例如，虛擬機(jī)的備份效率或許會(huì)得益于獨(dú)立的網(wǎng)絡(luò)環(huán)境。 物理隔離或VLAN隔離許多相互關(guān)聯(lián)的因素可以幫助確定是否應(yīng)該借助物理網(wǎng)絡(luò)或VLAN來實(shí)現(xiàn)網(wǎng)絡(luò)劃分。VLAN是首選解決方案，不過某些客戶可能制定了禁用VLAN的網(wǎng)絡(luò)策略。主要因素為，是否有足夠的網(wǎng)絡(luò)端口數(shù)量來適應(yīng)所需的網(wǎng)絡(luò)數(shù)量。如果沒有足夠的網(wǎng)絡(luò)端口，則需要使用VLAN?？紤]網(wǎng)絡(luò)數(shù)量時(shí)，不僅要考慮網(wǎng)絡(luò)的數(shù)量，而且還要考慮是否應(yīng)該通過冗余使其中的任意網(wǎng)絡(luò)更加高度可用。冗余將會(huì)增加所需的物理端口數(shù)量。使用物理網(wǎng)絡(luò)劃分和配置冗余時(shí)，要求主機(jī)具有很強(qiáng)的I/O擴(kuò)展能力，這樣才能提供所需數(shù)量和物理端口。如果您購買I/O擴(kuò)展能力很強(qiáng)的主機(jī)，它們可能意味著價(jià)格會(huì)更貴、需要更多的機(jī)架空間、更多的布線，并需要更多數(shù)量的物理交換機(jī)端口。. VLAN的優(yōu)勢與風(fēng)險(xiǎn)VLAN具有諸多優(yōu)勢，例如：VLAN能夠減少ESXi主機(jī)對物理交換機(jī)上所需的物理端口和電纜的數(shù)量，通過使用更少的物理端口和線纜數(shù)量，能夠有效降低硬件和管理成本。采用VLAN將可以更容易地重新配置網(wǎng)絡(luò)。例如：網(wǎng)絡(luò)能夠被創(chuàng)建或修改，而無需添加或移動(dòng)線纜。在VLAN環(huán)境中，網(wǎng)絡(luò)流量也更容易超出物理網(wǎng)絡(luò)端口的帶寬限制（網(wǎng)絡(luò)過載），聚合的網(wǎng)絡(luò)流量將會(huì)超過物理網(wǎng)絡(luò)端口的帶寬處理能力。VLAN 環(huán)境中的端口故障也可能會(huì)導(dǎo)致嚴(yán)重后果，因?yàn)槎鄠€(gè)虛擬網(wǎng)絡(luò)（因此也有許多服務(wù)）會(huì)共享同一個(gè)物理路徑（端口），因此一個(gè)端口故障可能會(huì)影響更多服務(wù)。所以，網(wǎng)絡(luò)的冗余性在VLAN環(huán)境中更為重要。此問題的第一種解決方案是配置網(wǎng)卡綁定。網(wǎng)卡綁定可將多條物理鏈路的帶寬聚合到一個(gè)網(wǎng)絡(luò)中。網(wǎng)卡綁定是不錯(cuò)的解決方案，但是需要額外的網(wǎng)絡(luò)端口。這些額外的網(wǎng)絡(luò)端口需要主機(jī)具有更大的I/O擴(kuò)展能力、更多網(wǎng)絡(luò)交換機(jī)端口，以及更多電纜。第二種解決方案，是使用10Gbps以太網(wǎng)。與1Gbps以太網(wǎng)網(wǎng)卡綁定方案相比，增加的物理帶寬能夠傳送更多VLAN流量，并且10Gbps以太網(wǎng)解決方案所需的主機(jī)和交換機(jī)端口，以及布線都更少。將網(wǎng)卡綁定與10Gbps以太網(wǎng)結(jié)合使用，或許是最佳解決方案。使用10Gbps以太網(wǎng)，您可以同時(shí)解決網(wǎng)絡(luò)帶寬和冗余問題。圖49 VLAN 聚合. VLAN實(shí)施的注意事項(xiàng)在實(shí)施VLAN時(shí)，請考慮以下各項(xiàng)： 物理交換機(jī)必須支持IEEE VLAN標(biāo)簽。 必須手動(dòng)配置物理交換機(jī)的Trunk端口。 虛擬交換機(jī)是被動(dòng)設(shè)備，因此不參與動(dòng)態(tài)中繼協(xié)議（DTP）或鏈路聚合控制協(xié)議（LACP）等協(xié)議。 虛擬交換機(jī). vSphere標(biāo)準(zhǔn)虛擬交換機(jī)您可以創(chuàng)建一臺(tái)抽象的網(wǎng)絡(luò)設(shè)備，叫做vSphere Standard Switch（vSphere標(biāo)準(zhǔn)虛擬交換機(jī)）.。一臺(tái)vSphere Standard Switch可以橋接同一端口組中，虛擬機(jī)之間的內(nèi)部流量，并提供連接到外部網(wǎng)絡(luò)的能力。使用VSS可結(jié)合多塊物理網(wǎng)絡(luò)適配器增加鏈路帶寬，并平衡它們之間的通信流量。您還可以通過配置vSphere Standard Switch用來處理物理網(wǎng)卡的故障切換。vSphere Standard Switch模擬物理二層網(wǎng)絡(luò)交換機(jī)。一臺(tái)vSphere Standard Switch的邏輯端口數(shù)，默認(rèn)為120個(gè)。您可以將一個(gè)虛擬機(jī)的網(wǎng)絡(luò)適配器連接到每個(gè)端口上。與vSphere Standard Switch相關(guān)聯(lián)的上行鏈路適配器均對應(yīng)一個(gè)物理網(wǎng)絡(luò)端口。vSphere Standard Switch上的每個(gè)邏輯端口都是一個(gè)端口組的成員。每臺(tái)vSphere Standard Switch也可以給它分配一個(gè)或多個(gè)端口組。有關(guān)允許的最大端口和端口組數(shù)的信息，請參見《最高配置文檔》。當(dāng)兩個(gè)或更多的虛擬機(jī)被連接到相同的vSphere Standard Switch時(shí)，它們之間的網(wǎng)絡(luò)流量是在本地進(jìn)行路由。如果一個(gè)上行鏈路適配器被分配到該標(biāo)vSphere Standard Switch中，每臺(tái)虛擬機(jī)可通過該適配器訪問連接到外部網(wǎng)絡(luò)。. vSphere分布式虛擬交換機(jī)vSphere Distributed Switch就像是一臺(tái)關(guān)聯(lián)所有ESXi主機(jī)之間的虛擬交換機(jī)。這使您能夠設(shè)置網(wǎng)絡(luò)配置跨所有成員主機(jī)，并使得虛擬機(jī)可在跨多個(gè)主機(jī)進(jìn)行遷移時(shí)保持其網(wǎng)絡(luò)配置一致。與vSphere Standard Switch一樣，每臺(tái)vSphere Distributed Switch也是虛擬機(jī)可以使用的網(wǎng)絡(luò)集線器。vSphere Distributed Switch可以在虛擬機(jī)之間進(jìn)行內(nèi)部流量轉(zhuǎn)發(fā)或通過連接到物理以太網(wǎng)適配器（也稱為上行鏈路適配器）鏈接到外部網(wǎng)絡(luò)。還可向每個(gè)vSphere Distributed Switch分配一個(gè)或多個(gè)分布式端口組。分布式端口組將多個(gè)端口分組到一個(gè)公共配置下，并為連接到帶標(biāo)記網(wǎng)絡(luò)的虛擬機(jī)提供穩(wěn)定的定位點(diǎn)。每個(gè)分布式端口組都由一個(gè)對于當(dāng)前數(shù)據(jù)中心唯一的網(wǎng)絡(luò)標(biāo)簽來標(biāo)識(shí)。VLAN ID是可選的，它用于將端口組流量限制在物理網(wǎng)絡(luò)內(nèi)的一個(gè)邏輯Ethernet網(wǎng)段中。網(wǎng)絡(luò)資源池將允許您通過網(wǎng)絡(luò)流量的類型來管理網(wǎng)絡(luò)流量。除了vSphere分布式交換機(jī)，vSphere 5+還提供了第三方虛擬交換機(jī)，例如 Cisco N1000v。. vSphere Standard Switch與vSphere Distributed Switch的選擇通過對比，您會(huì)發(fā)現(xiàn)vSphere Standard Switch與vSphere Distributed Switch相比，vSphere Distributed Switch是由vCenter Server集中創(chuàng)建與管理的，這樣可以在多臺(tái)ESXi主機(jī)之間保持更加一致的虛擬交換機(jī)配置。集中化管理的好處是可以節(jié)省大量的配置時(shí)間、并減少人為的配置錯(cuò)誤，以及降低運(yùn)營成本。vSphere Distributed Switch還可以提供一些vSphere Standard Switch所無法提供的功能特性，其中部分功能和特性對于企業(yè)級應(yīng)用和服務(wù)會(huì)有很大幫助。例如，NetFlow和Port Mirror（端口鏡像）可向虛擬化基礎(chǔ)架構(gòu)提供所需的監(jiān)控和故障排除功能。因此我們推薦采用vSphere Districbuted Switch 管理農(nóng)銀人壽虛擬化網(wǎng)絡(luò)。. vSphere Distributed Switch的要求和注意事項(xiàng) vSphere Distributed Switch要求具有Enterprise Plus（企業(yè)增強(qiáng)版）許可證才能使用。 如果沒有vCenter Server，則無法管理vSphere Distributed Switch。vCenter Server成為Tier1應(yīng)用。 在遷移到vSphere Distributed Switch時(shí)，應(yīng)考慮最大擴(kuò)展限制。 虛擬交換機(jī)數(shù)量的考慮應(yīng)盡量少創(chuàng)建虛擬交換機(jī)，最好只創(chuàng)建一個(gè)，遵循如下準(zhǔn)則： 配置一個(gè)虛擬交換機(jī)，并在其上為每種類型的網(wǎng)絡(luò)流量創(chuàng)建一個(gè)端口組，這將可簡化配置和監(jiān)視工作。 在物理網(wǎng)絡(luò)端口數(shù)量有限的環(huán)境中，對多個(gè)VLAN使用一個(gè)虛擬交換機(jī)即可。 至少嘗試將啟用了vSphere HA和vSphere DRS的集群中的所有主機(jī)連接到一個(gè)虛擬交換機(jī)：降低虛擬機(jī)在遷移之后不能重新連接的可能性。 如果組織的策略要求“虛擬機(jī)到虛擬機(jī)”的流量必須通過物理防火墻傳輸，則基礎(chǔ)架構(gòu)需要使用多個(gè)虛擬交換機(jī)。此外，設(shè)計(jì)中可以只包含一個(gè)虛擬交換機(jī)，但要使用VMware vShield Zones檢查和隔離流量。最好創(chuàng)建數(shù)量盡可能少的虛擬交換機(jī)。如果可以僅創(chuàng)建一個(gè)虛擬交換機(jī)，則僅創(chuàng)建一個(gè)。這樣做可以簡化配置、管理和監(jiān)控。不同類型的網(wǎng)絡(luò)流量可以使用一個(gè)虛擬交換機(jī)上的多個(gè)端口組進(jìn)行隔離。結(jié)合使用VLAN和端口組是理想的解決方案，在網(wǎng)絡(luò)端口數(shù)量有限的情況下尤為如此。如果組織的策略規(guī)定虛擬機(jī)到虛擬機(jī)的流量必須通過物理防火墻，則需要多個(gè)虛擬交換機(jī)。如果僅配置一個(gè)虛擬交換機(jī)，則所有流量均在內(nèi)部進(jìn)行路由。如果農(nóng)銀人壽不希望對虛擬機(jī)到虛擬機(jī)的流量使用外部防火墻，則可以考慮配置VMware NSX產(chǎn)品來實(shí)現(xiàn)虛擬網(wǎng)絡(luò)防火墻。 虛擬交換機(jī)示意圖和表格表412. 每臺(tái)ESXi主機(jī)所推薦的虛擬交換vSphere Distributed Switch名稱功能物理網(wǎng)絡(luò)適配器的端口數(shù)量VDS01Management2 Active / 2 StandbyVDS01vMotion2 Active / 2 StandbyVDS01Virtual Machine2 Active表413. VDS01的參數(shù)設(shè)定參數(shù)設(shè)置Load BalancingRoute based on the originating virtual port（基于源虛擬端口ID的路由）Failover DetectionLink Status Only（僅僅鏈路狀態(tài)）Notify SwitchesEnabled（啟用）FailbackNo（否）Failover OrderActive/Standby.圖410. 網(wǎng)絡(luò)交換機(jī)設(shè)計(jì)為了進(jìn)一步避免單點(diǎn)故障，在可能的情況下，也可以跨多個(gè)物理交換機(jī)配置網(wǎng)卡綁定。能否實(shí)現(xiàn)這一點(diǎn)，取決于幾個(gè)因素，包括可用的物理交換機(jī)數(shù)量、物理交換機(jī)的功能，以及虛擬交換機(jī)上配置的負(fù)載均衡策略。如果您打算跨多個(gè)物理交換機(jī)配置網(wǎng)卡綁定的成員，在使用“基于IP哈希的路由”的負(fù)載分配策略時(shí)，將需要這些物理交換機(jī)提供支持。這些物理交換機(jī)必須能夠作為一個(gè)交換機(jī)從一個(gè)接口進(jìn)行管理，在該接口上，不同交換機(jī)上的端口將聚合成一個(gè)邏輯端口。此類物理交換機(jī)有時(shí)被稱為“堆疊式交換機(jī)”。它們有時(shí)也被稱為“多機(jī)架以太網(wǎng)通道交換機(jī)”?；凇盎谠刺摂M端口ID的路由”或“基于源MAC哈希的路由”的負(fù)載分配策略，不需要此類物理交換機(jī)功能。 網(wǎng)卡綁定網(wǎng)卡綁定通常是不錯(cuò)的方式?？梢允褂镁W(wǎng)卡綁定來增加網(wǎng)絡(luò)路徑中可用的網(wǎng)絡(luò)帶寬，并提供冗余以支持更高的可用性。網(wǎng)卡綁定有助于避免單點(diǎn)故障。為了進(jìn)一步減小單點(diǎn)故障風(fēng)險(xiǎn)，可以使用多個(gè)網(wǎng)卡及主板板載端口來建立網(wǎng)卡綁定。網(wǎng)卡綁定配置也有具體要求。它要求將至少兩個(gè)網(wǎng)絡(luò)適配器端口專門分配給一個(gè)虛擬交換機(jī)。相同端口組中的所有網(wǎng)絡(luò)適配器端口都必須位于相同的第2層廣播域中。指導(dǎo)原則： 創(chuàng)建一個(gè)包含跨不同物理交換機(jī)綁定網(wǎng)卡的虛擬交換機(jī)：除非組織的策略要求在網(wǎng)絡(luò)之間進(jìn)行物理分離：例如，管理和生產(chǎn)網(wǎng)絡(luò)。 網(wǎng)卡綁定和可用性使用網(wǎng)卡綁定可減少所需網(wǎng)絡(luò)適配器端口的數(shù)量，同時(shí)保持冗余。 使用Active/Standby端口配置。 假設(shè)有VLAN和足夠的帶寬可用。 411虛擬交換端口組該示例圖說明了Active/Standby的端口配置是多么重要，它既可以減少所需的網(wǎng)絡(luò)適配器端口數(shù)量，同時(shí)又可為虛擬機(jī)組或VMKernel端口提供高可用性。該示例僅使用了6塊網(wǎng)絡(luò)適配器端口，通過NIC Teaming將所有網(wǎng)絡(luò)適配器端口進(jìn)行綁定，并設(shè)置每個(gè)Port Group具有2個(gè)Active端口可供使用，這意味著每個(gè)Port Group將擁有2 Gbps的可用網(wǎng)絡(luò)帶寬。如果發(fā)生網(wǎng)絡(luò)故障，每個(gè)Port Group將具有4個(gè)Standby端口可供使用。. 網(wǎng)卡綁定故障檢測對于具有3個(gè)或更多網(wǎng)卡端口和連接到多個(gè)外部物理交換機(jī)的網(wǎng)卡綁定啟用信標(biāo)探測。信標(biāo)探測算法至少需要3個(gè)網(wǎng)卡端口才能確定發(fā)生故障的位置。在少于3個(gè)網(wǎng)卡端口的情況下，VMKernel最終會(huì)對2個(gè)網(wǎng)卡端口發(fā)送最大流量，以保證數(shù)據(jù)包傳送。鏈路狀態(tài)跟蹤功能，允許將同一交換機(jī)上的某些端口定義為上游端口，而將其它端口定義為下游端口。上游端口與下游端口彼此關(guān)聯(lián)后，上游端口鏈路故障檢測會(huì)自動(dòng)傳達(dá)到同一交換機(jī)上的下游端口。報(bào)告故障端口處于關(guān)閉狀態(tài)后，可以通過生成樹協(xié)議（STP）激活任何可用的替代端口。. 網(wǎng)卡綁定配置示例圖411網(wǎng)卡綁定有2個(gè)單獨(dú)的Mgmt端口和2個(gè)vMotion端口，它們都具有1個(gè)Active狀態(tài)和1個(gè)Standby狀態(tài)的Uplink可供使用，這樣的設(shè)計(jì)可為Management網(wǎng)絡(luò)和VMware HA心跳信號檢測網(wǎng)絡(luò)提供冗余，并且還能提高vMotion的路徑數(shù)目，無論是物理交換機(jī)端口、物理網(wǎng)絡(luò)適配器，還是物理交換機(jī)發(fā)生故障，將存在一條切換路徑可供使用。而Production01（VM