目前我有一个 vSwitch,上面有几个网络,它们与其他设备通信并使用 VLAN 标记。我有 Internet、内部、管理 (VMKernel) 和 WWW (LB 池)。但是,对于 SQL 和 WWW 之类的东西,虚拟机大多完全在此主机内相互通信。我不使用 vMotion、iSCSI、NFS 等。我有两个独立的“冗余”虚拟主机,它们不需要在虚拟主机级别进行通信(如果需要,虚拟机会自行进行通信)。
几年前我(ESX 3ish)在 IRC 上问过这个问题,当时我得到的答案是不行,并且无论 vSwitch、IP 范围等如何,同一主机上的虚拟机之间的流量都不会离开它们所在的主机。换句话说,它应该像普通交换机一样运行。
这是真的吗?还是 vSphere 5+ 仍然如此?在这种环境下,是否有理由为单个主机上的虚拟机之间的通信创建单独的 vSwitch 和/或网络?我能想到的唯一办法就是减轻 NIC 的负担,但如果它是虚拟的并且不会影响 NIC,那么这是没有意义的。
答案1
同一主机上的虚拟机之间的网络流量不会流到第 1 层,网络 vem 内置有 ARP 缓存,当来自虚拟机的流量进入域 0(ESXi)时,vem 会接管并决定是否继续将帧沿 OSI 向下移动。
对于 VDS 或 Cisco Nexus,帧始终沿着内存总线从 vem 移动到 vsm,当发出请求时,切换发生在 vsm 上,并且只有当目标/源在外部时,才会进入物理基础设施。要知道,vsm 为我们提供了直接连接的上行链路,用于在主机之间移动帧
答案2
在我看来,你问的问题是
是否有理由为单个主机上的虚拟机之间的通信创建单独的 vSwitch 和/或网络?
当我有这样的问题时,我总是首先问自己以下问题:
如果没有虚拟化,在这种情况下我该怎么办?
对我来说,非虚拟化场景的环境的类比是:一些系统插入到同一个“大多它们之间有的只相互对话,有的则与所有人对话,包括与世界对话。因此,问题可能是:
是否有理由使用单独的交换机进行仅需要相互通信的系统之间的通信(如果只有两个,则为直接连接)?
当然,这个问题的答案与所有好问题的答案基本相同:这取决于。这取决于很多不同的因素,对我而言,这些因素可分为以下几类:
- 表现
- 安全
- 隐私(与安全并不完全相同)
- 可靠性
- 易于故障排除
- 优雅
- 实用性
那么,让我们分别讨论一下每个类别:
1. 性能
除非您在许多连接的系统上推动最大速度,或者拥有大量“CPU 密集型”流量(如多播),否则可能不行。
2. 安全
任何机器上是否有至关重要的数据?任何“私人”机器是否容易受到来自其他系统甚至网络外部的恶意攻击?
3. 隐私
主机之间相互通信的流量是否应该对网络上的其他系统隐藏?处于混杂模式的系统是否有可能监听其他流量(这就是“大多哑交换机”即普通的 vSwitch 开始发挥作用:它能配置为允许主机启用混杂模式)。另外,请记住全部系统将会使用其他系统可以看到的一定数量的广播流量,即使它只是 arp。
4.可靠性
增加复杂性会增加系统的可靠性还是会降低它?如果某个交换机发生故障或意外配置错误,您是否可以接受它切断系统之间的所有通信?
5. 易于排除故障
如果出现问题并且您需要排除故障,您是否能够轻松地隔离不同的系统?
6.优雅
你能轻松地向别人解释这个设置吗?随着时间的推移,整体情况会增长或改变吗?如果你和我一样:将要你记住六个月、一年、两年、五年后,它是如何设置的?你能一眼就看出来它是如何设置的吗?如果你必须移动整个系统,或者重新安置一些系统,这会很容易,还是很难?
7.实用性
以上任何一点真的重要吗?您能切实实现上述任何一点吗?如果您要在几周内拆除实验室,那么除了性能之外,还有什么重要吗?如果您不知道如何配置额外的 vSwitches 或无法在“非虚拟化模拟”中获得额外的物理交换机,那么这有什么区别吗?
您必须自己权衡每种情况的利弊,并根据自己的情况实施,或者向我们提供更多信息,以便我们提出建议。
但是,根据我从您目前的帖子中获得的信息,如果我处于您的位置,我会将它们分开。我会这样做,即使这只能让我清楚地了解系统之间的界限和通信线路,这样我才能了解发生了什么,没有发生什么。我会为“私有”系统配置一个新的 vSwitch,不连接到主机上的任何物理 NIC,并将其中的端口组重命名为“仅用于主机到主机的私有网络”(我不记得名称字段是否接受那么多字符,我太懒了,不想启动 vSphere 来检查,抱歉)。如果您最终扩展到多个主机,这也将使将来的工作变得更容易。