VMware

Verbinden von virtuellen Maschinen mit dem Netzwerk

Die VMware-Technologie ermöglicht Ihnen, lokale virtuelle Maschinen über den virtuellen Switch miteinander und mit dem externen Unternehmensnetzwerk zu verbinden. Der virtuelle Switch emuliert einen herkömmlichen physischen Ethernet-Netzwerk-Switch, indem er Frames auf die Sicherungsschicht überträgt. VMware ESX kann mehrere virtuelle Switches enthalten, von denen jeder mehr als 1.000 interne virtuelle Ports für die Nutzung durch virtuelle Maschinen bereitstellt.

Zur Verbindung des virtuellen Switches mit dem Unternehmensnetzwerk dienen Ethernet-Adapter (ausgehend). Für externe Verbindungen kann der virtuelle Switch maximal acht Gigabit-Ethernet-Ports bzw. zehn 10/100-Ethernet-Ports nutzen. Der virtuelle Switch kann mehrere VMNICs verbinden, ähnlich dem NIC-Teaming auf einem herkömmlichen Server, wodurch die Verfügbarkeit und Bandbreite für die virtuellen Maschinen erhöht wird, die den virtuellen Switch nutzen.

Virtuelle Ethernet-Adapter

In VMware vSpherestehen drei Adaptertypen für virtuelle Maschinen zur Verfügung:

  1. vmxnet ist ein paravirtualisiertes Gerät, das die Installation von VMware Tools auf dem Betriebssystem erfordert. Dieser Adapter wurde für virtuelle Umgebungen optimiert und ist auf hohe Performance ausgelegt.
  2. vlance emuliert den Ethernet-Adapter AMD Lance PCNet32. Dieser Adapter ist kompatibel mit den meisten 32-Bit-Gastbetriebssystemen und kann ohne VMware Tools verwendet werden.
  3. e1000 emuliert den Ethernet-Adapter Intel E1000 und kann für virtuelle Maschinen mit 64-Bit- sowie mit 32-Bit-Systemen verwendet werden.

Darüber hinaus sind zwei weitere virtuelle Adapter mit der VMware-Technologie verfügbar. Vswif ist ein paravirtualisiertes Gerät ähnlich wie vmxnet, das von der VMware ESX-Service-Konsole genutzt wird. Vmknic ist ein Gerät im VMkernel, das vom TCP/IP-Stapel für NFS- und Software-iSCSI-Clients verwendet wird.

Virtuelle Switches

Die VMware-Technologie beinhaltet virtuelle Switches, die Sie nach Bedarf zur Laufzeit erstellen können, um u.a. folgende Funktionen bereitzustellen:

  1. Layer 2-Weiterleitung
  2. VLAN-Tagging, -Stripping und -Filterung
  3. Layer 2-Sicherheit, Prüfsummen- und Segmentierungs-Offloading

Durch diesen modularen Ansatz wird die Komplexität reduziert und die System-Performance maximiert. Die VMware-Virtualisierungstechnologie lädt jeweils nur die Komponenten, die zur Unterstützung der in der Konfiguration verwendeten physischen und virtuellen Ethernet-Adapter erforderlich sind. Darüber hinaus ermöglicht das modulare Design VMware und Entwicklern von Drittanbietern, neue Module zur weiteren Systemverbesserung zu integrieren. Auf einem VMware ESX-Host können bis zu 248 virtuelle Switches erstellt werden. Wichtige Merkmale virtueller Switches:

  • Virtuelle Ports: Die Ports auf virtuellen Switches sind die logischen Verbindungspunkte zwischen virtuellen Geräten sowie zwischen virtuellen und physischen Geräten. Jeder virtuelle Switch kann über bis zu 1.016 virtuelle Ports verfügen. Insgesamt dürfen nicht mehr als insgesamt 4.096 Ports auf allen virtuellen Switches eines Host vorhanden sein. Die virtuellen Ports stellen umfangreiche Kontrollkanäle zur Kommunikation mit den verbundenen virtuellen Ethernet-Adaptern bereit.
  • Uplink-Ports: Uplink-Ports werden physischen Adaptern zugewiesen und ermöglichen eine Verbindung zwischen dem virtuellen Netzwerk und physischen Netzwerken. Sie werden mit physischen Adaptern verbunden, wenn sie von einem Gerätetreiber gestartet werden, oder wenn die Teaming-Richtlinien für virtuelle Switches neu konfiguriert werden. Virtuelle Ethernet-Adapter stellen eine Verbindung zu virtuellen Ports her, wenn Sie die virtuelle Maschine starten, eine Aktion zur Verbindung des Geräts ausführen oder eine Migration einer virtuellen Maschine mit VMware VMotion vornehmen. Ein virtueller Ethernet-Adapter aktualisiert den virtuellen Switch-Port anhand von MAC-Filterinformationen bei der Initialisierung oder bei Änderungen.
  • Port-Gruppen: Port-Gruppen ermöglichen Ihnen, für eine bestimmte virtuelle Maschine einen speziellen Verbindungstyp auf allen Hosts festzulegen. Sie enthalten die erforderlichen Konfigurationsinformationen zur Bereitstellung von persistentem und konsistentem Netzwerkzugriff für virtuelle Ethernet-Adapter. Eine Port-Gruppe enthält neben anderen Informationen den Namen des virtuellen Switches, VLAN-IDs, Tagging- und Filterrichtlinien, die Teaming-Richtlinie und Traffic Shaping-Parameter. Dies sind alle für einen Switch-Port erforderlichen Informationen.
  • Uplinks: In der VMware-Technologie sind Uplinks die physischen Ethernet-Adapter, die als Bridges zwischen dem virtuellen und physischen Netzwerk fungieren. Die damit verbundenen virtuellen Ports werden als Uplink-Ports bezeichnet. Für einen Host können bis zu 32 Uplinks konfiguriert werden.

Weitere zu beachtende Punkte:

  • In die Weiterleitungstabellen virtueller Switches werden keine Parameter aus dem Netzwerk übernommen. Hierdurch können Denial-of-Service-Angriffe weitestgehend vermieden werden.
  • Virtuelle Switches erstellen private Kopien der Frame-Daten für Weiterleitungs- und Filterentscheidungen. Damit wird sichergestellt, dass Gastbetriebssysteme keinen Zugriff auf vertrauliche Daten haben, nachdem der Frame an den virtuellen Switch weitergeleitet wurde.
  • Die VMware-Technologie stellt wie folgt sicher, dass die Frames innerhalb des entsprechenden VLANs auf einem virtuellen Switch isoliert sind: 1) Durch Auslagerung der Daten aus dem Frame bei der Übertragung über den virtuellen Switch und 2) Verzicht auf dynamisches Trunking, das zu Isolierungslücken führen kann, die die Daten anfällig für einen Angriff machen.

Virtuelle Switches im Vergleich zu physischen Switches

Virtuelle Switches funktionieren in vielen Aspekten wie moderne physische Ethernet-Switches. Wie ein physischer Switch verfügt der virtuelle Switch über eine Weiterleitungstabelle mit MAC-Adressen/Ports und führt Frame-Zielsuche und Frame-Weiterleitung durch. Darüber hinaus unterstützen virtuelle Switches die VLAN-Segmentierung auf Port-Ebene, sodass jeder Port als Access- oder Trunk-Port konfiguriert werden kann, der Zugriff auf ein oder mehrere VLANs bereitstellt.

Im Gegensatz zu physischen Switches ist für virtuelle Switches jedoch kein Spanning-Tree-Protokoll (STP) erforderlich, da VMware vSphere eine einstufige Netzwerktopologie erzwingt. Es ist nicht möglich, mehrere virtuelle Switches miteinander zu verbinden. Darüber hinaus können Daten innerhalb desselben Hosts nicht direkt von einem virtuellen Switch auf einen anderen virtuellen Switch übertragen werden. Virtuelle Switches stellen alle erforderlichen Ports in einem Switch bereit. Sie müssen virtuelle Switches nicht hintereinander schalten und keine fehlerhaften Verbindungen zwischen virtuellen Switches beheben. Und da virtuelle Switches physische Ethernet-Adapter nicht gemeinsam nutzen, ist ein Datenaustausch zwischen Switches nicht möglich. Jeder virtuelle Switch ist isoliert und hat eine eigene Weiterleitungstabelle, sodass jedes von Switch gesuchte Ziel nur mit Ports auf dem virtuellen Switch übereinstimmen kann, von dem der Frame gesendet wurde. Diese Funktion erhöht die Sicherheit. Hacker können die Isolierung virtueller Switches nur schwer durchbrechen.

Machen Sie den nächsten Schritt.

Informieren Sie sich genauer über die Erstellung und Konfiguration virtueller Netzwerke oder nutzen Sie Best Practices und Ressourcen, die Ihnen helfen, maximale Skalierbarkeit und maximalen Netzwerkdurchsatz sicherzustellen.

Nutzen Sie den TCO-Rechner

Erzielen Sie erhebliche Einsparungen

Jetzt testen!