Steve Pantol已經(jīng)發(fā)表了很多關(guān)于如何設(shè)計(jì)和管理vSphere標(biāo)準(zhǔn)交換機(jī)的文章,在這次的訪談當(dāng)中他向SearchVMware進(jìn)一步闡述了自己的觀點(diǎn)。
許多負(fù)責(zé)vSphere平臺(tái)的管理員發(fā)現(xiàn)他們必須學(xué)習(xí)一些虛擬網(wǎng)絡(luò)知識(shí)才能夠保證ESXi主機(jī)正常運(yùn)行。因此不可避免地,就需要在vSphere標(biāo)準(zhǔn)交換機(jī)(vSphere Standard Switch,vSS)和vSphere分布式交換機(jī)(vSphereDistributed Switch,vDS)之間做出選擇。
在《Networking for VMware Administrators》一書(shū)當(dāng)中,作者Steve Pantol和Chris Wahl介紹了一些網(wǎng)絡(luò)基礎(chǔ)知識(shí),幫助管理員構(gòu)建和修復(fù)自己的虛擬網(wǎng)絡(luò)。書(shū)中包含了一個(gè)專門 介紹vSphere 標(biāo)準(zhǔn)交換機(jī)的章節(jié),作者解釋了如何使用vSphere 標(biāo)準(zhǔn)交換機(jī) (vSS)進(jìn)行流量整型,并且討論了其相關(guān)屬性、安全性和層次結(jié)構(gòu)。
Steve Pantol 向SearchVMware介紹了vSphere 分布式交換機(jī)(vDS)所帶來(lái)的虛擬網(wǎng)絡(luò)體驗(yàn)以及可能對(duì)VMware管理員產(chǎn)生的影響。
在哪些情況當(dāng)中你會(huì)傾向于使用vSphere 標(biāo)準(zhǔn)交換機(jī)?
Steve Pantol:準(zhǔn)確來(lái)說(shuō),不應(yīng)該使用“傾向”這個(gè)詞,因?yàn)槭紫刃枰紤]授權(quán)問(wèn)題。如果你不是vSphere Enterprise Plus版用戶,那么只能使用標(biāo)準(zhǔn)交換機(jī)。除了這種限制之外,還有一種說(shuō)法認(rèn)為應(yīng)該在管理集群當(dāng)中使用標(biāo)準(zhǔn)交換機(jī),這樣可以防止vCenter依賴于其管理的分布式交換機(jī)。這種理論認(rèn)為如果作為vDS控制層面的vCenter發(fā)生故障,那么由此導(dǎo)致的各種問(wèn)題可能使得管理員無(wú)法重新啟動(dòng)vCenter。但是Duncan Epping在他的博客當(dāng)中對(duì)于這種說(shuō)法進(jìn)行了徹底反駁。
你是否遇到過(guò)達(dá)到vSphere最大端口限制的情況?如果有,是如何解決的?
Pantol:我從未遇到過(guò)這種情況,并且VMware的知識(shí)庫(kù)當(dāng)中介紹了如何更改默認(rèn)的最大端口限制。我大膽猜測(cè),如果系統(tǒng)達(dá)到了默認(rèn)的端口數(shù)量限制,那么很有可能其他資源也已經(jīng)達(dá)到了系統(tǒng)最高限制,對(duì)于這種情況來(lái)說(shuō),最好將現(xiàn)有環(huán)境分割成多個(gè)vCenter。
vSphere 標(biāo)準(zhǔn)交換機(jī)最為常見(jiàn)的安全問(wèn)題有哪些?
Pantol:我一直在使用vSphere的默認(rèn)安全策略。標(biāo)準(zhǔn)交換機(jī)默認(rèn)禁用混雜模式,允許MAC address changes和forged transmits。所有健康檢查腳本都會(huì)進(jìn)行安全提示。通常VMware推薦全局禁用這三種特性,只是在特定的端口組上啟用,而這三種特性主要用于單播模式下的微軟網(wǎng)絡(luò)負(fù)載均衡(NLB)。
最近發(fā)生了一系列嚴(yán)重的數(shù)據(jù)泄露事件,vSphere管理員應(yīng)該采取哪些方式來(lái)加強(qiáng)系統(tǒng)安全、防止入侵者竊密?
Pantol:強(qiáng)化指南(VMware Security Hardening Guides)是最好的參考手冊(cè),其中 包含很多能夠輕松實(shí)現(xiàn)安全最佳實(shí)踐的腳本。
是否存在刪除vSphere 標(biāo)準(zhǔn)交換機(jī)的需求?如果有,管理員在重新創(chuàng)建vSS時(shí)應(yīng)該遵循哪些步驟?
Pantol:當(dāng)你從vSS遷移到vDS時(shí),可以保留一個(gè)單獨(dú)的、沒(méi)有任何配置的vSS以應(yīng)對(duì)特殊情況。如果你發(fā)現(xiàn)遷移之后需要?jiǎng)?chuàng)建一個(gè)新的vSS,只需要按照正常流程進(jìn)行創(chuàng)建,沒(méi)有什么值得特別注意的事情。如果突然無(wú)法連接到vDS上的管理網(wǎng)絡(luò),那么可以將管理接口配置在一個(gè)臨時(shí)vSS上。如果之前沒(méi)有創(chuàng)建vSS,那么這個(gè)虛擬交換機(jī)將被命名為vSwitch0。如果之前曾經(jīng)創(chuàng)建過(guò)n個(gè)vSS,那么其將會(huì)被命名為vSwitch(n+1)。
你認(rèn)為vSS的下一步發(fā)展計(jì)劃是什么?會(huì)有哪些變化和改進(jìn)?
Pantol:我認(rèn)為vSS和vDS之間的區(qū)別類似于C#和Web客戶端之間的區(qū)別。vSS不會(huì)發(fā)生巨大的變化,新的特性和改進(jìn)只會(huì)出現(xiàn)在vDS上。
你認(rèn)為NSX會(huì)對(duì)vSphere網(wǎng)絡(luò)交換機(jī)產(chǎn)生哪些影響?
Pantol:NSX-v邏輯交換機(jī)基于——或者需要——vDS,所以NSX不會(huì)替換傳統(tǒng)的虛擬網(wǎng)絡(luò)架構(gòu),只是幫助提升性能。