使用vsphere也有几年时间了,基本保持每年一次大版本升级,从5.0版升级到5.5、6.0,最近开始部署6.5,最头疼的问题就是网络规划,这也是vsphere部署的重点。
从传统数据中心转型时,只有4台HP机架式服务器,压根没考虑过网络规划的事,跟原来的服务器混用一个vlan,一个C类地址。这也就造成了以后的各种麻烦,随着服务器的增加,IP不够用,安全性没有保障。
虽然数据中心可以正常运转,但是不合理,趁着规模小,又赶上升级6.5,正好重新规划一下网络。
根据最佳实践做法,Management、vMotion、vSphereFT、iSCSI等的网络相互隔离,从而提高安全性和性能。同时每个网络建议配置2块物理网卡用作冗余和负载均衡,根据最佳实践可能至少需要6块网卡,多则十几块网卡,这对标配4块网卡的机架式服务器是不现实的。
我的标准配置是4块网卡,vMotion、Management和vSphereFT网络共用2块网卡,生产网络用2块网卡。vSwitch使用access端口,vSphere Distributed Switch使用trunk模式。
vlan20 172.20.20.1/24 HP oa、vc、ilo、FC SAN存储等硬件管理地址
vlan21 172.20.21.1/24 vcenter、vsphere、vcops、vdp等VMware地址
172.20.0.1/24 vmotion地址
172.20.1.1/24 vSphere FT地址
vlan100 x.x.x.x/24 对外web服务地址
vlan200 x.x.x.x/24 对内业务运维平台地址
vMotion和vSphereFT走二层即可,无需配置路由,在vsphere6.5版本中可为vMotion配置独立的TCP/IP堆栈。
在vMotion网络配置上犯过一个错误,以前都为vMotion网络配置独立的VMkernel,升级到6.0的时候发现做到Management里也没问题,就不再为vMotion配置独立地址,在双物理网卡的情况下一般是不会出现问题的,但是当一块物理网卡出现故障时做vMotion操作就会导致单播泛洪。
安全策略:
1. 通过三层交换的acl或端口隔离阻止互相访问
2. 防火墙上的策略只允许管理员访问管理地址
最佳实践网络拓扑图如下,建议上行端口分布到两台交换机上实现冗余。
