Faz sentido criar uma rede somente de host “privada” ou vSwitch para comunicação somente de VM em um host VMware vSphere?

Navegue suas respostas
3

Atualmente, tenho um vSwitch com algumas redes nele, que conversam com outros dispositivos e usam tags de VLAN. Eu tenho Internet, Internal, Management (VMKernel) e WWW (pool LB). No entanto, para coisas como SQL e WWW, as VMs geralmente conversam entre si dentro desse host. Eu não faço vMotion, iSCSI, NFS, etc. Eu tenho dois vhosts "redundantes" autônomos que não precisam falar no nível de vhost (as VMs fazem isso sozinhos, se necessário).

Eu perguntei isso há alguns anos (ESX 3ish) no IRC e na época me disseram que não e que o tráfego entre as VMs no mesmo host não deixaria o host em que estão, independentemente do vSwitch, intervalo de IPs etc. IOW, deve agir como um interruptor normal.

Isso é verdade ou ainda é o caso do vSphere 5+? Neste ambiente existe algum motivo para criar um vSwitch separado e / ou rede para comunicação entre VMs em um único host? A única coisa que eu poderia pensar seria tirar o NIC, mas se for virtual e não atingir o NIC, então é discutível.

    
por Josh 14.02.2014 / 15:37

2 respostas

1

O tráfego de rede entre as VMs no mesmo host não fluirá para a camada 1, a rede vem com um cache ARP embutido, quando o tráfego da VM for para o domínio 0 (ESXi), o vem assume e faz a decisão de continuar movendo os quadros pelo OSI ou não.

como para frames VDS ou Cisco Nexus são movidos sempre ao longo do barramento da memória do vem ao vsm, quando as requisições são feitas a comutação acontece no vsm e somente sairá na infraestrutura física quando o alvo / fonte é externo. Sei que há uma coisa para que o vsm nos faça o uplink diretamente conectado para mover quadros entre os hosts

    
por 14.02.2014 / 19:32
0

A meu ver, a pergunta que você está fazendo é

Is there any reason to create a separate vSwitch and/or network for communication between VMs on a single host?

Quando tenho perguntas como essa, sempre começo me perguntando o seguinte:

What would I do in this situation if there were no virtualization?

Para mim, o análogo ao seu ambiente para um cenário de não-virtualização é: alguns sistemas conectados ao mesmo "switch mudo principalmente ", alguns deles apenas conversam entre si e alguns conversam com eles. todos os outros, incluindo o mundo. Então a questão poderia ser:

Is there any reason to use a separate switch for communication between systems that only need to communicate with each other (or direct connection, if there are only two)?

É claro que a resposta a essa pergunta é basicamente a mesma que a resposta a todas as perguntas: depende . Depende de muitos fatores diferentes, que para mim se enquadram nas seguintes categorias:

  1. Desempenho
  2. Segurança
  3. Privacidade (não é realmente o mesmo que segurança)
  4. Confiabilidade
  5. Facilidade de solução de problemas
  6. Elegância
  7. Praticidade

Então, vamos considerar cada categoria por conta própria:

1. Desempenho

A menos que você esteja controlando velocidades máximas em muitos dos sistemas conectados, ou tenha muito tráfego "intensivo em CPU", como multicast, então provavelmente não.

2. Segurança

Alguma das máquinas tem coisas criticamente importantes nelas? Alguma das máquinas "privadas" está vulnerável a um ataque malicioso de um dos outros sistemas ou mesmo de fora da rede?

3. Privacidade

O tráfego entre os hosts que se comunicam entre si deve ser escondido de outros sistemas na rede? Existe alguma chance de que um sistema colocado em modo promíscuo possa ouvir o outro tráfego (é onde o " principalmente switch mudo" que é um estoque vSwitch entra em jogo: pode ser configurado para permitir que os hosts ativem o modo promíscuo). Além disso, lembre-se de que all dos sistemas usará alguma quantidade de tráfego de broadcast que os outros verão, mesmo que seja apenas arp.

4. Confiabilidade

A adição de complexidade aumenta a confiabilidade do sistema ou o reduz? Se um switch [| the] falhar ou for acidentalmente configurado incorretamente, você está satisfeito com ele derrubando toda a comunicação entre os sistemas?

5. Facilidade de resolução de problemas

Se algo der errado e você precisar solucionar problemas, será possível isolar facilmente os diferentes sistemas?

6. Elegância

Você pode explicar a configuração para outra pessoa com facilidade? O quadro geral vai crescer ou mudar com o tempo? Se você é como eu: vai você lembrar como é configurado em seis meses, um ano, dois anos, cinco anos? Você consegue descobrir como é configurado em um piscar de olhos? Se você tem que mover a coisa toda, ou realocar alguns dos sistemas, será fácil ou difícil?

7. Praticidade

Algum dos itens acima realmente importa? Você é capaz de implementar realisticamente qualquer um dos itens acima? Se é um laboratório que você vai demolir em algumas semanas, alguma coisa diferente de performance é importante? Se você não sabe como configurar vSwitches adicionais ou não pode obter um switch físico adicional no "analógico de não-virtualização", isso faz diferença?

Você terá que pesar os prós e contras de cada cenário e implementá-lo como achar melhor, ou fornecer mais informações para nós para que possamos fazer uma recomendação.

Mas, com base nas informações que tenho do seu post até agora, se eu estivesse no seu lugar, eu as separaria. Eu faria isso mesmo que isso só me permitisse limites e linhas de comunicação entre os sistemas, e assim eu possa entender o que é e o que não está acontecendo. Eu configuraria um novo vSwitch para os sistemas "privados", não conectados a nenhuma NIC física no host, e renomeie o grupo de portas para algo como "rede privada para host a host apenas" (não consigo lembre-se se o campo de nome aceitará muitos caracteres e eu estiver com preguiça de ativar o vSphere apenas para verificar, desculpe). Isso também facilitará no futuro se você crescer para vários hosts.

    
por 17.02.2014 / 21:58

Tags

Implantação inicial-MDT + WDS MongoDB copyDatabase falhou com dbOwner