VMware_vSphere_Design_Workshop_5_M04_网络设计

1、版权所有 2011-2012 VMware Inc. 保留所有权利VMware vSphere:Design Workshop V5.0网络设计网络设计vSphere vSphere 网络设计网络设计 4-2版权所有 2011-2012 VMware Inc. 保留所有权利VMware vSphere：设计研修班 修订版 A正确的网络设计对组织实现其业务目标的能力有着积极的影响。正确的网络设计对组织实现其业务目标的能力有着积极的影响。正确的网络设计还可确保经过授权的用户能够及时访问业务数据正确的网络设计还可确保经过授权的用户能够及时访问业务数据，同时防止未经授权的用户访问数据。同时防止未经授权

2、的用户访问数据。 重要说明重要说明4-3版权所有 2011-2012 VMware Inc. 保留所有权利VMware vSphere：设计研修班 修订版 A学员的学习目标学员的学习目标学习完本单元后，您应当能够执行以下任务：学习完本单元后，您应当能够执行以下任务：确定制定网络设计决策所需的有用信息。识别和分析最佳实践建议。分析备选网络设计选择及其风险。与主要相关人员和领域专家 (SME) 探讨各种选择及其优势与风险。拟定网络设计。4-4版权所有 2011-2012 VMware Inc. 保留所有权利VMware vSphere：设计研修班 修订版 A网络设计指导原则网络设计指导原则网络设计

3、必须经过合理优化，以满足应用、服务、存储、管理员和用户的各种需求。目标是设计一种能降低成本、改善性能、提高可用性、提供安全性，以及增强功能的虚拟网络基础架构。4-5版权所有 2011-2012 VMware Inc. 保留所有权利VMware vSphere：设计研修班 修订版 A高级网络设计要求高级网络设计要求在规划网络设计时，应考虑如何确定和满足以下要求：连接要求带宽要求延迟要求可用性要求成本要求情况不同，在设计中满足这些要求的方式也不尽相同。4-6版权所有 2011-2012 VMware Inc. 保留所有权利VMware vSphere：设计研修班 修订版 A模块化网络解决方案模块化

4、网络解决方案构建模块化网络解决方案。 模块化网络解决方案可随时间推移不断扩展以满足组织的需求，使得用户无需替换现有的网络基础架构。如果网络能够逐渐扩展，而无需设计全新的网络基础架构，这样就可以降低未来的成本。4-7版权所有 2011-2012 VMware Inc. 保留所有权利VMware vSphere：设计研修班 修订版 A网络数量网络数量 设计决策：设计中需要包含多少个网络？需要多少个网络或 VLAN 取决于完成以下各项所需的流量类型：VMware vSphere 操作组织的服务和应用支持单个网络上应包含的 vSphere 组件包括：管理管理VMware vSphere vMotion

5、vSphere High AvailabilityIP 存储存储 (iSCSI/NFS)vSphere Fault Tolerance (FT)虚拟机虚拟机VMware ESXi 主机主机4-8版权所有 2011-2012 VMware Inc. 保留所有权利VMware vSphere：设计研修班 修订版 A为什么要使用独立的网络？为什么要使用独立的网络？ (1)隔离不同类型的网络流量的两个主要原因：减少争用和降低延迟，并提高性能：-任何网络上的高延迟都会对性能产生潜在的负面影响。-这对 IP 存储、FT 日志记录网络尤为重要，也会影响部分虚拟机网络，但具体取决于它们的工作负载。通过限制网络

6、访问来增强安全性：-例如：vMotion 和 IP 存储流量未加密，所以使用独立的网络有助于保护敏感数据。使用通过与主要相关人员和 SME 会谈收集的信息，确定哪些工作负载和网络对高延迟敏感以及哪些网络需要保护。4-9版权所有 2011-2012 VMware Inc. 保留所有权利VMware vSphere：设计研修班 修订版 A为什么要使用独立的网络？为什么要使用独立的网络？ (2)为了避免不同类型网络流量之间出现争用，应配置足够的物理网卡端口，以满足带宽要求。使用通过当前状态分析得到的容量分析报告来确定带宽要求。如果配置了 VLAN 中继端口，了解每个网卡端口的带宽就更为关键。此外，还

7、要考虑网络故障。-物理端口或网络发生故障后，所剩带宽是否足够？主机主机共 2 Gbps主机主机共 1 GbpsX带宽充足带宽充足带宽不足带宽不足4-10版权所有 2011-2012 VMware Inc. 保留所有权利VMware vSphere：设计研修班 修订版 A网络分段网络分段 (1) 设计决策：是否应通过物理网络或 VLAN 方式对网络流量进行分段？使用物理网络还是 VLAN 取决于诸多因素，其中包括：所需网络的数量以及可用物理端口的数量：-如果物理网络端口的数量至少相当于所需网络的数量，则可以使用 VLAN。-此外，还要考虑冗余。-如果所需网络的数量大于可用物理网络端口的数量，则您

8、拥有两种选择：-可以配置 VLAN 来创建独立的虚拟网络。-可以购买支持更多网络端口数量的硬件。4-11版权所有 2011-2012 VMware Inc. 保留所有权利VMware vSphere：设计研修班 修订版 A网络分段网络分段 (2)可以决定是要选择物理网络分段还是 VLAN 网络分段的其他因素包括：物理端口速度：-10 Gb 以太网端口通常可以为多个 VLAN 提供充足的带宽。物理网络基础架构是否支持 VLAN组织当前的 VLAN 使用情况网络安全策略可能要求进行物理隔离。4-12版权所有 2011-2012 VMware Inc. 保留所有权利VMware vSphere：设计

9、研修班 修订版 AVLAN 的优势和风险的优势和风险 (1)VLAN 具有很多优势，其中包括：减少所需的物理端口和电缆的数量可以轻松重新配置网络和服务器降低服务器和管理成本VLAN 环境中的端口故障也可能会导致严重后果。由于许多网络（因此也有许多服务）共享一个端口，因此一个故障可能会影响更多服务。网络冗余在 VLAN 环境中更为重要。或X绕行绕行前进前进端口/电缆较多端口/电缆较少4-13版权所有 2011-2012 VMware Inc. 保留所有权利VMware vSphere：设计研修班 修订版 AVLAN 的优势和风险的优势和风险 (2)VLAN 中继端口很容易超出可用带宽。网卡绑定可

10、以提供额外带宽。10 Gb 以太网可提供额外带宽。VLANaVLANcVLANb物理中继端口物理中继端口VLANd带宽是否充足？带宽是否充足？ 4-14版权所有 2011-2012 VMware Inc. 保留所有权利VMware vSphere：设计研修班 修订版 A实施实施 VLAN 设计决策：如何实施 VLAN？实施 VLAN 时，请考虑以下各项：物理交换机必须支持 802.1Q VLAN 标记。必须手动配置物理交换机中继端口。-虚拟交换机是被动设备，因此不参与动态中继协议 (DTP) 或链路聚合控制协议 (LACP) 等协议。对物理交换机端口配置 PortFast 模式。4-15版权所

11、有 2011-2012 VMware Inc. 保留所有权利VMware vSphere：设计研修班 修订版 AVLAN 配置示例配置示例物理主机物理主机端口组端口组 虚拟机虚拟机 VLAN虚拟交换机虚拟交换机至核心交换机至核心交换机至核心交换机至核心交换机物理主机物理主机至核心交换机至核心交换机至核心交换机至核心交换机1 Gb 以太网以太网10 Gb 以太网以太网端口组端口组 端口组端口组 端口组端口组 虚拟交换机虚拟交换机端口组端口组 端口组端口组 虚拟机虚拟机 VLAN4-16版权所有 2011-2012 VMware Inc. 保留所有权利VMware vSphere：设计研修班 修订

12、版 A专用专用 VLAN 设计决策：PVLAN 具备哪些优势？PVLAN 可更轻松地在同一子网或网络中的服务器之间提供第 2 层网络隔离，且您不必担心 MAC 访问控制列表之类问题。PVLAN 可显著减少特定网络配置所需的 IP 子网数量。4-17版权所有 2011-2012 VMware Inc. 保留所有权利VMware vSphere：设计研修班 修订版 APVLAN 使用情况使用情况 设计决策：何时应使用 PVLAN？当需要在同一个第 2 层网络中的服务器之间限制通信时，请配置 PVLAN。配置 PVLAN 可以保护服务器，使得它们不会在另外的服务器受到威胁时受到影响。在企业环境中，P

13、VLAN 常用于 DMZ 网络。 为每个跨多个服务器运行的多层应用配置团体 PVLAN。-同一团体 PVLAN 中的服务器可以互相通信，但与同一网络中的其他服务器隔离。-隔离可以增强网络安全性。为所有其他服务器配置一个隔离 PVLAN。-每个服务器均与同一子网上的其他服务器隔离。-隔离可以增强网络安全性。4-18版权所有 2011-2012 VMware Inc. 保留所有权利VMware vSphere：设计研修班 修订版 APVLAN 示例示例业务逻辑业务逻辑Web 服务器前端服务器前端数据库服务器数据库服务器电子邮件电子邮件服务器服务器文档服务器文档服务器隔离隔离 PVLAN隔离隔离 P

14、VLAN团体团体 PVLANDMZ 网络网络路由器路由器 在混杂在混杂 PVLAN 中中4-19版权所有 2011-2012 VMware Inc. 保留所有权利VMware vSphere：设计研修班 修订版 A虚拟交换机虚拟交换机 设计决策：应使用标准虚拟交换机还是分布式虚拟交换机，或者两者都使用？ 如有可能，请使用分布式虚拟交换机。分布式虚拟交换机：在 VMware vCenter Server 系统中集中进行网络管理确保主机之间的网络配置更加一致，这对于 vSphere 集群尤为重要可提供应用和服务需要或对它们有用，但标准虚拟交换机不具备的功能特性：-PVLAN-双向流量调整-NetF

15、low-端口镜像-vSphere 网络 I/O 控制4-20版权所有 2011-2012 VMware Inc. 保留所有权利VMware vSphere：设计研修班 修订版 A分布式虚拟交换机分布式虚拟交换机分布式虚拟交换机要求具有 Enterprise Plus 许可证才能使用。如果没有 vCenter Server，则无法管理分布式虚拟交换机。vCenter Server 成为第一层应用。在迁移到分布式虚拟交换机时，应考虑最大扩展限制。4-21版权所有 2011-2012 VMware Inc. 保留所有权利VMware vSphere：设计研修班 修订版 A标准虚拟交换机标准虚拟交换机

16、如果组织不需要使用分布式交换机的功能，并且不想额外支付分布式交换机的许可成本，可配置标准虚拟交换机4-22版权所有 2011-2012 VMware Inc. 保留所有权利VMware vSphere：设计研修班 修订版 ACisco Nexus 1000V 设计决策：是否应在设计中包含 Cisco Nexus 1000V 虚拟交换机？如果网络管理员需要跨物理和虚拟基础架构部署一个网络管理接口，请配置 Cisco Nexus 1000V。Cisco Nexus 1000V 交换机：将虚拟网络连接功能集扩展到与物理 Cisco 交换机一致的级别将高级数据中心网络、安全和操作功能引入 vSpher

17、e 环境：-使用通用 Cisco 网络工具和界面提供端到端的物理和虚拟网络调配、监视和管理功能，直至虚拟机级别-通过将网络管理工作限制为仅由网络管理员负责，满足某些组织的网络安全性策略除了 Cisco Nexus 1000V 的成本之外，配置 Cisco Nexus 1000V 交换机还需具备 Enterprise Plus 许可证。4-23版权所有 2011-2012 VMware Inc. 保留所有权利VMware vSphere：设计研修班 修订版 AVMkernel 端口端口 设计决策：VMkernel 端口应放置在标准虚拟交换机上还是分布式虚拟交换机上？不存在任何重要原因要求不能将

18、VMkernel 端口放置在分布式虚拟交换机上。对于 VMkernel 端口而言，vCenter Server 不是单点故障。 -但是，除非有 vCenter Server，否则无法管理分布式虚拟交换机。无论使用标准虚拟交换机还是分布式虚拟交换机，仍需要在每台主机上配置 VMkernel 端口。如果已将虚拟网络连接移到 Cisco Nexus 1000V 上，请将 VMkernel 端口放置在标准虚拟交换机上：-简化对连接问题的故障排除过程4-24版权所有 2011-2012 VMware Inc. 保留所有权利VMware vSphere：设计研修班 修订版 A虚拟交换机的数量虚拟交换机的数

19、量 设计决策：应使用多少虚拟交换机？ 应尽量少创建虚拟交换机，最好只创建一个。配置一个虚拟交换机，并在其上为每种类型的网络流量创建一个端口组。可简化配置和监视工作。在物理网络端口数量有限的环境中，对多个 VLAN 使用一个虚拟交换机即可。至少尝试将启用了 vSphere HA 和 vSphere Distributed Resource Scheduler (DRS) 的集群中的所有主机连接到一个虚拟交换机：-降低虚拟机在迁移之后不能重新连接的可能性如果组织的策略要求“虚拟机到虚拟机”的流量必须通过物理防火墙传输，则基础架构需要使用多个虚拟交换机。此外，设计中可以只包含一个虚拟交换机，但要使用

20、 VMware vShield Zones 检查和隔离流量。4-25版权所有 2011-2012 VMware Inc. 保留所有权利VMware vSphere：设计研修班 修订版 A网卡绑定网卡绑定 (1) 设计决策：是否应配置网卡绑定？网卡绑定：增加网络路径的可用带宽帮助避免任何单点故障：-服务器整合会将各种故障影响混在一起，从而增加对冗余的需要。-通过使用来自多个网卡和主板接口的端口配置网卡绑定可进一步减少单点故障的数量。网卡绑定要求满足以下条件：将两个或更多网卡分配到同一虚拟交换机同一端口组中的所有网卡都位于相同的第 2 层广播域中4-26版权所有 2011-2012 VMware

21、Inc. 保留所有权利VMware vSphere：设计研修班 修订版 A网卡绑定网卡绑定 (2)创建一个跨不同物理交换机绑定网卡的虚拟交换机：除非组织的策略要求在网络之间进行物理分离：-例如，管理网络和生产网络端口组端口组虚拟交换机虚拟交换机端口组端口组虚拟交换机虚拟交换机好好更好更好广播域支持：支持：源端口 ID源 MAC 地址IP 哈希支持：支持：源端口 ID源 MAC 地址IP 哈希（仅针对堆叠式交换机）4-27版权所有 2011-2012 VMware Inc. 保留所有权利VMware vSphere：设计研修班 修订版 A网卡绑定和负载平衡网卡绑定和负载平衡 设计决策：应选择哪种

22、负载平衡策略？根据硬件支持，针对源端口 ID 或 IP 哈希配置负载平衡策略。负载负载平衡平衡策略策略源源 vmknic 的选择基础的选择基础物理物理网网络注意事项络注意事项源端口源端口 IDvmnic 端口 ID 号同一个第 2 层域中的绑定端口（跨两个物理交换机绑定）源源 MAC 地址地址虚拟网卡的 MAC 地址同一个第 2 层域中的绑定端口（跨两个物理交换机绑定）IP 哈希哈希基于源 IP 地址和目标 IP 地址的哈希 在静态 802.3ad 中配置的绑定端口： - 无 LACP 或 PAgP - 需要堆叠式交换机明确的故障切换顺序明确的故障切换顺序位于活动列表最上方的上行链路同一个第

23、2 层域中的绑定端口（跨两个物理交换机绑定）基于基于物理网卡负载的路由物理网卡负载的路由（基于负载的绑定）（基于负载的绑定）根据物理网卡上的当前负载选择上行链路。仅限分布式虚拟交换机4-28版权所有 2011-2012 VMware Inc. 保留所有权利VMware vSphere：设计研修班 修订版 A考虑使用基于负载的绑定：基于负载的绑定策略可确保优化分布式虚拟交换机的上行链路容量。基于负载的绑定可避免其他绑定策略中出现的部分上行链路空闲而其他完全饱和的情况。基于负载的绑定基于负载的绑定基于负载的绑定是专门针对分布式端口组的设置。4-29版权所有 2011-2012 VMware Inc

24、. 保留所有权利VMware vSphere：设计研修班 修订版 A使用网卡绑定可减少所需网络端口的数量，同时保持冗余。使用活动/备用端口配置。假定提供 VLAN 和足够的带宽。网卡绑定和可用性网卡绑定和可用性131012141113456789指向中继端口的指向中继端口的 1 Gb 上行链路上行链路ACDEFB活动活动备用备用CDEF备用备用备用备用AEFB备用备用活动活动ACDEFB活动活动CDBA端口组端口组虚拟端口虚拟端口24-30版权所有 2011-2012 VMware Inc. 保留所有权利VMware vSphere：设计研修班 修订版 A针对针对 vSphere HA 或或

25、FT 的网络可用性的网络可用性 设计决策：是否将配置 vSphere HA 或 FT？应当针对 vSphere HA 心跳信号测试和网络隔离测试配置管理网络冗余。如果虚拟机受 FT 保护，FT 日志记录网络应具有冗余。在 vSphere HA 或 FT 配置中，所有虚拟机网络都应具有冗余才能排除单点故障。4-31版权所有 2011-2012 VMware Inc. 保留所有权利VMware vSphere：设计研修班 修订版 A网卡绑定故障检测网卡绑定故障检测 设计决策：是否应启用信标探测？如果启用，应如何配置信标探测？是否需要启用信标探测取决于多种因素：信标用于与连接到多个外部交换机的网卡绑

26、定配合使用。 对于少于三个端口的网卡绑定，信标探测具有非确定性，无法确定哪条链路有故障。-在包含两个端口的网卡绑定中，ESXi 通过在所有端口上传输网络流量保证交付。信标探测具有一定风险：-如果将交换机配置为阻止信标数据包（以太网帧类型 0 x05ff），信标探测会错误地认为其有故障。信标探测无法检测上游网络故障。-要检测上游网络故障，可使用物理交换机功能，如 Cisco 的链路状态跟踪功能（在可用时）。 4-32版权所有 2011-2012 VMware Inc. 保留所有权利VMware vSphere：设计研修班 修订版 A1 Gb 以太网网卡绑定配置示例以太网网卡绑定配置示例物理主机物

27、理主机至核心交换机至核心交换机至核心交换机至核心交换机广播域活动网卡活动网卡 - - 实线实线备用网卡备用网卡- - 虚线虚线FT端口组端口组vMotion 端口组端口组管理管理/vSphere HA 端口组端口组IP 存储存储端口组端口组管理管理/vSphere HA 端口组端口组虚拟机虚拟机端口组端口组4-33版权所有 2011-2012 VMware Inc. 保留所有权利VMware vSphere：设计研修班 修订版 A10 Gb 以太网示例以太网示例2 个个 10 Gb 以太网的共性：以太网的共性：10 Gb 以太网网卡或聚合网络适配器可行的部署方法：可行的部署方法：在所有端口组上

28、配置活动/备用配置使用传入流量调整控制每个端口组的流量类型。vMotionFTSC10 Gb10 Gb端口组上的传入（进入交换机）流量调整策略控制1 Gb1 Gb1 Gb1 GbiSCSI6 Gb4-34版权所有 2011-2012 VMware Inc. 保留所有权利VMware vSphere：设计研修班 修订版 AvSphere 网络网络 I/O 控制控制 设计决策：何时应启用网络 I/O 控制？在以下情况下，配置网络 I/O控制：有多种类型的流量流经一个物理网络接口：-例如：10 Gb 以太网网卡当发生对这些资源的争用时，希望优先在物理网络中传输关键流量网络 I/O 控制仅在分布式虚拟

29、交换机上可用。10 GbvMotion1 Gb管理管理1 GbFT1 Gb6 GbvSphere Replication1 GbNFS1 Gb用户自定义用户自定义1 GbiSCSI1 Gb网络流量类型分布式虚拟交换机4-35版权所有 2011-2012 VMware Inc. 保留所有权利VMware vSphere：设计研修班 修订版 AvSphere 网络网络 I/O 控制设计控制设计 设计决策：如何配置网络 I/O 控制？当使用带宽分配时，请使用份额，而不是限制。在重新分配未使用的流量方面，份额可提供更大的灵活性。如果您担心物理交换机或物理网络容量，请考虑对指定资源池实施限制。如果使用

30、FT，请将预定义的份额值设置为高。将基于负载的绑定用作分布式虚拟交换机的绑定策略。基于负载的绑定可最大限度提高网络容量的利用率。在设计中使用分布式端口组和流量调整。为每种类型的流量配置一个专用的分布式端口组。通过使用流量调整工具提供额外的 Rx 带宽控制。4-36版权所有 2011-2012 VMware Inc. 保留所有权利VMware vSphere：设计研修班 修订版 A用户自定义的网络资源池用户自定义的网络资源池 设计决策：何时应使用用户自定义的网络资源池？创建用户自定义的网络资源池：添加除标准系统流量类型以外的新流量类型为重要的关键业务应用流量预留 I/O 资源在公有云中按租户定义

31、 I/O 资源10 GbvMotion1 Gb管理管理1 GbFT1 Gb6 GbNFS1 Gb租户租户 11 GbiSCSI1 Gb用户自定义的流量类型分布式虚拟交换机租户租户 21 Gb4-37版权所有 2011-2012 VMware Inc. 保留所有权利VMware vSphere：设计研修班 修订版 A虚拟交换机安全性设计虚拟交换机安全性设计 (1) 设计决策：应如何配置虚拟交换机的安全性设置？除非存在需要使用默认设置的应用，否则请将“Forged transmits”（伪信号）（伪信号）和“MAC address changes”（MAC 地址更改）地址更改）的默认交换机设置更改

32、为“Reject”（拒绝）（拒绝）：防止受到威胁的虚拟机使用 MAC 地址欺骗模仿网络上的另一个服务器，从而加强安全性4-38版权所有 2011-2012 VMware Inc. 保留所有权利VMware vSphere：设计研修班 修订版 A虚拟交换机安全性设计虚拟交换机安全性设计 (2)如果需要“Forged transmits”（伪信号）（伪信号）和“MAC address changes”（MAC 地址更改）地址更改），请在特定端口组中启用：减少可能受到影响的服务器的数量，从而降低安全风险除非应用需要，否则在所有端口组上禁用“Promiscuous mode”（Promiscuous

33、杂乱模式）杂乱模式）。如果某一应用需要混杂模式操作，请仅在所需端口组中启用该模式。该选项可减少可能受到影响的系统的数量，从而降低安全风险。-需要混杂模式的应用通常包括入侵检测和入侵保护软件、数据包捕获实用工具以及性能监视工具。4-39版权所有 2011-2012 VMware Inc. 保留所有权利VMware vSphere：设计研修班 修订版 A保护网络端口安全保护网络端口安全 设计决策：应如何保护网络端口安全？配置内部和外部防火墙来保护 vSphere 环境安全。ESXi 的管理网络中具有集成的防火墙。默认情况下，ESXi 防火墙中仅打开了执行 vSphere 管理所需的端口。请勿禁用防

34、火墙。vCenter Server 系统依赖于 Windows 操作系统的防火墙。4-40版权所有 2011-2012 VMware Inc. 保留所有权利VMware vSphere：设计研修班 修订版 A可能的外部防火墙位置可能的外部防火墙位置端口号端口号 说明说明22SSH427SLPv2443HTTPS902xinetd/vmware-authd902 UDPESXi 状态更新903xinetd/vmware-authd20502250vSphere HA5989CIM 80428045vSphere HA4-41版权所有 2011-2012 VMware Inc. 保留所有权利VMw

35、are vSphere：设计研修班 修订版 A打开端口：代理与应用打开端口：代理与应用 设计决策：还应打开防火墙中的其他哪些网络端口？仅在管理网络中打开其他管理代理和应用所需的端口。最大限度减少需要监视和保护的端口数可以提高安全性。仅应在管理网络中使用受到安全保护的应用。-例如：不要指定使用未经加密的应用，如 Telnet 或文件传输协议。仅在虚拟机网络中打开特定应用所需的端口。4-42版权所有 2011-2012 VMware Inc. 保留所有权利VMware vSphere：设计研修班 修订版 A物理网卡物理网卡 (1) 设计决策：应如何配置物理网卡？为提高可用性，至少应为每个网络配置两

36、个网卡端口。启用自动协商功能。如果配置了 vSphere Distributed Power Management，VMware vSphere vMotion 的 VMkernel 网卡可能需要支持 LAN 唤醒。为获得最佳网络连接性能，VMware 建议使用支持以下硬件功能特性的网络适配器：校验和卸载TCP 分段卸载 能够处理 64 位直接内存访问能够为每个传输 (Tx) 帧处理多个分散/收集元素巨型帧4-43版权所有 2011-2012 VMware Inc. 保留所有权利VMware vSphere：设计研修班 修订版 A指定使用支持 NetQueue 的 10 Gb 以太网网络适配器

37、。NetQueue 通过卸载 VMkernel 为将数据包路由到虚拟机而承担的工作负载，可大大提高 10 Gb 以太网网络适配器在虚拟环境中的性能。NetQueue 可释放 CPU 资源并降低延迟。物理网卡物理网卡 (2)4-44版权所有 2011-2012 VMware Inc. 保留所有权利VMware vSphere：设计研修班 修订版 A基于以太网的光纤通道基于以太网的光纤通道 (FCoE) 设计决策：设计中是否应包括 FCoE？如果具有或可以实施 FCoE 基础架构，请配置聚合网络适配器 (CNA) 以减少主机中需要的适配器和 PCI 插槽的数量。借助 FCoE、IP 网络和光纤通道

38、，您可以使用普通适配器和网络交换机来整合存储数据流量。这种整合可以减少连接到分散存储和 IP 网络所需的网卡数量，减少电缆和交换机的数量，并降低能耗和散热成本。FCoE CNA 可通过支持 FCoE 的交换机同时与光纤通道结构和以太网网络相连。如果您的设计需要冗余的网络适配器以及存储适配器，则所需的适配器和 PCI 插孔数量将更少。4-45版权所有 2011-2012 VMware Inc. 保留所有权利VMware vSphere：设计研修班 修订版 AESXi 上的上的 FCoEESX 3.5 Update 2 之后版本均支持 FCoEESXi 需要配备 CNA 才能支持 FCoE。对于

39、ESXi 来说，FCoE 表现为：10 Gb 以太网网卡光纤通道主机总线适配器 (HBA)ESXi 使用优先级组带宽预留（内置 CNA 实用工具）特别为光纤通道流量预留带宽。10 Gb 以太网以太网网卡网卡光纤通道光纤通道 HBA虚拟交换机虚拟交换机FCoE 交换机交换机光纤通道光纤通道以太网以太网CNAESXiFCoEFCoE10FCoE 优先级组带宽预留优先级组带宽预留（在（在 CNA 配置实用配置实用工具中工具中） Gbps4-46版权所有 2011-2012 VMware Inc. 保留所有权利VMware vSphere：设计研修班 修订版 AFCoE 体系结构比较体系结构比较当前数

40、据中心体系结构当前数据中心体系结构采用采用 FCoE 的数据中心体系结构的数据中心体系结构以太网FC具有可具有可实现实现 FC 无损行为的无损行为的优先级网络优先级网络控制控制 (PFC) 的的10 Gb 以太网以太网 架顶式架顶式第第 2 层以层以太网访问太网访问交换机交换机FC 交换机或交换机或导向器导向器分布式分布式交换机交换机FC 交换机交换机或导向器或导向器架顶式架顶式 FCoE 交换机交换机存储存储分布式分布式交换机交换机4-47版权所有 2011-2012 VMware Inc. 保留所有权利VMware vSphere：设计研修班 修订版 A物理交换机配置物理交换机配置 设计决

41、策：应如何配置物理交换机以支持 vSphere 基础架构？配置冗余物理交换机，以提高可用性。如果使用 VLAN，必须手动将面向 ESXi 的交换机端口配置为中继端口。虚拟交换机是被动设备，不会发送或接收 DTP 等中继协议。应修改任何与 ESXi 网卡连接的端口的生成树协议 (STP)。4-48版权所有 2011-2012 VMware Inc. 保留所有权利VMware vSphere：设计研修班 修订版 ASTP 注意事项注意事项为提高可用性，请在与 ESXi 主机连接的交换机端口上修改 STP 配置。VM0虚拟交换机虚拟交换机物理交换机物理交换机交换机每两秒发送交换机每两秒发送一次一次

42、BPDU，以构造和维护以构造和维护生成树拓扑生成树拓扑虚拟交虚拟交换机丢换机丢弃弃 STP BPDU。阻塞的链路阻塞的链路针对物理交换机配置的建议：针对物理交换机配置的建议：1.在面向在面向 ESXi 的端口上关闭的端口上关闭 STP。2.在面向在面向 ESXi 的端口上启用的端口上启用 PortFast 模式。如果网络布线错误，可提供一模式。如果网络布线错误，可提供一定程度的安全保护。定程度的安全保护。VM14-49版权所有 2011-2012 VMware Inc. 保留所有权利VMware vSphere：设计研修班 修订版 A巨型帧巨型帧 设计决策：是否应启用巨型帧？如果您有 NFS

43、和 iSCSI 存储：应启用巨型帧，以便降低网络协议开销，从而提高存储吞吐量。-在数据中心 IP 存储网络中设计端到端巨型帧支持。对于虚拟机：如果工作负载需要额外的吞吐量，则可启用巨型帧：-需要端到端网络支持，这对于通过 WAN 访问的远程资源更难实现-需要特定的虚拟机网卡支持4-50版权所有 2011-2012 VMware Inc. 保留所有权利VMware vSphere：设计研修班 修订版 ADirectPath I/O 设计设计 设计决策：设计何时应包括 DirectPath I/O？借助 DirectPath I/O，客户操作系统可绕过虚拟化层直接访问网络设备。这种直接路径可以降低

44、使用高速网络设备（如 10 Gb 以太网）的 ESX/ESXi 主机的延迟，并以此提高性能。它还可将网络 I/O 隔离到一个单独的虚拟机中，这可以满足部分组织的安全策略要求。大多数应用并不需要 DirectPath I/O，除非明确要求使用，否则请勿配置。根据当前状态分析和与 SME 的会谈，确定是否存在事务性工作负载极高并且要求延迟尽可能低的应用？4-51版权所有 2011-2012 VMware Inc. 保留所有权利VMware vSphere：设计研修班 修订版 ADirectPath I/O 限制限制 设计决策：与 DirectPath I/O 有关的配置和支持问题有哪些？支持 Di

45、rectPath I/O 的硬件非常有限：仅在支持 VT-d 的 Intel CPU 上受到支持DirectPath I/O 与一些最重要的虚拟化优势不兼容，例如：vSphere HA、FT、快照、热添加和移除功能，以及挂起和恢复HBA 分配必须全分配或不分配：不能将同一 PCI 插槽中的设备既分配给 VMkernel 又分配给 DirectPath I/O。例如，在双端口或四端口网卡上，无法将一部分端口分配给 DirectPath I/O。4-52版权所有 2011-2012 VMware Inc. 保留所有权利VMware vSphere：设计研修班 修订版 AIPv6 设计设计 设计决策

46、：设计中是否应包括 IPv6 支持？仅在组织需要时才应启用 IPv6。启用 IPv6 会增加网络管理和监视开销。vSphere 为以下各项提供 IPv6 支持：VMkernel、虚拟机、vCenter Server、VMware vSphere Client、NFS 存储和 vSphere HAIPv6 具有一定限制：IPv6 不支持 Broadcom iSCSI 适配器或从属硬件 iSCSI 适配器。FT 不支持 IPv6。IPv6 需要特定的虚拟机虚拟网卡支持。vCenter Server Appliance 不支持 IPv6。运行 vCenter Server 支持工具的主机不支持 IPv6。4-53版权所有 2011-2012 VMware Inc. 保留所有权利VMware vSphere：设计研修班 修订版 ADNS 设计设计 设计决策：应如何配置 DNS 来支持 vSphere 基础架构？DNS 服务器：应进行相应配置，使其解析长名称和短