Consulenze presso Eunet srl, via dell'Artigianato 15, 09122 Cagliari 070 753609 Lun - Ven 08:30-13:00 / 14.30-17.00

I port group negli switch virtuali distribuiti

Abbiamo già visto che uno switch standard è dotato di porte e port group (gruppo di porte); allo stesso modo uno switch distribuito è dotato di porte e port group distribuiti. Con un port group distribuito (Distributed Port Group) si definiscono le opzioni di configurazione dell’insieme di porte che appartengono a quel port group. In maniera predefinita, infatti, la configurazione di una porta distribuita è determinata dalle impostazioni assegnate al port group di appartenenza.

 

Creazione di un port group distribuito

 

Procedura con vSphere Client

1.    Andare su Inventory > Networking, fare clic con il tasto destro sullo switch distribuito e selezionare la voce New Port Group.

2.    Inserire il nome, il numero di porte, ed eventualmente il tipo di VLAN. Per quanto riguarda il tipo di VLAN, sono possibili le seguenti opzioni:

    • None - per non utilizzare alcuna VLAN.
    • VLAN - scegliendo questa voce, più sotto appare il campo VLAN ID in cui inserire l’ID della VLAN (tra 1 e 4094).
    • VLAN Trunking - inserire il range di VLAN.
    • Private VLAN - selezionare la VLAN privata precedentemente configurata a livello di switch.

3.    Dopo avere creato il nuovo port group distribuito, per modificarne le impostazioni fare clic con il tasto destro su di esso e selezionare la voce Edit Settings.

Per quanto riguarda le possibili impostazioni, far riferimento al paragrafo “Impostazioni di un port group distribuito” più avanti.

Procedura con vSphere Web Client

1.    Individuare lo switch distribuito di proprio interesse nel pannello di navigazione a sinistra, fare clic con il tasto destro su di esso e selezionare  la voce New distributed port group.

2.    Nella pagina Select name and location, digitare il nome del nuovo port group distribuito, oppure accettare il nome generato automaticamente, quindi fare clic su Next.

Nella pagina Configure settings, impostare le proprietà generali. Per quanto riguarda le possibili impostazioni, far riferimento al paragrafo “Impostazioni di un port group distribuito” più avanti.

3.    Fare clic su Next, quindi su Finish per terminare la procedura.

 

Impostazioni di un port group distribuito

 

Port binding

Con il port binding si configura l’associazione tra le porte del port group distribuito e le macchine virtuali. Le opzioni possibili sono le seguenti:

  • Static binding - assegnazione statica di una porta ad una VM, appena quest’ultima viene connessa al dvPort Group. L’assegnazione delle porte in modalità statica può essere realizzata solo tramite il vCenter Server.
  • Dynamic binding - assegnazione dinamica di una porta a una VM, a partire dall’accensione di quest’ultima e comunque dopo la connessione al dvPort Group. L’associazione è persa allo spegnimento delle VM. La modalità dinamica non è più supportata in vSphere 5, tuttavia viene mantenuta per questioni di compatibilità.
  • Ephemeral - no binding - con questa configurazione, l’associazione di una VM con una porta si stabilisce quando la VM è accesa e la sua interfaccia di rete risulta connessa. L’associazione è persa allo spegnimento della VM, oppure quando l’interfaccia di rete virtuale della VM risulta disconnessa. L’assegnazione delle porte in modalità “ephemeral” può essere realizzata sia direttamente attraverso gli host ESX/ESXi, sia tramite il vCenter Server, con la possibilità quindi di gestire la connessione delle VM attraverso gli host nel momento in cui il vCenter non fosse in linea. In ogni caso, indipendentemente dal tipo di associazione, il traffico di rete non è influenzato se il vCenter Server dovesse andare in down.

 

Security

Le impostazioni di sicurezza sono valide per l’intero port group distribuito, con concetti simili a quanto già visto per gli switch standard. Le opzioni possibili sono le seguenti:

  • Promiscuous Mode: impostazione della modalità promiscua per le interfacce di rete virtuali.  Se si sceglie Reject, le interfacce virtuali non saranno in grado di intercettare il traffico non indirizzato ad esse, anche se impostate in modalità promiscua. Con l’impostazione Accept, è possibile effettuare attività di sniffing in rete (di default è Reject).
  • MAC Address Changes: rende possibile la modifica del mac-address nelle macchine virtuali. Se impostato su Reject, nel momento in cui una macchina virtuale utilizza un mac-address differente da quello assegnato alla sua interfaccia virtuale, non sarà più in grado di ricevere pacchetti. Di default l’impostazione è su Accept.
  • Forged Transmits: specifica se una VM può inviare pacchetti con mac address diverso da quello impostato nell’interfaccia virtuale (di default è su Accept). Se l’impostazione è su Reject, verranno bloccati tutti i pacchetti in uscita con mac-address sorgente diverso da quello assegnato.

 

Traffic Shaping

Le impostazioni di Traffic Shaping sono finalizzate a ottimizzare e garantire le prestazioni per il traffico di rete, a ridurre o controllare i tempi di latenza e a sfruttare al meglio la banda disponibile, tramite l'accodamento e il ritardo dei pacchetti in ingresso (ingress) ed in uscita (egress). Le opzioni possibili sono le seguenti:

  • Average Bandwidth: valore di traffico medio che lo switch cerca di far rispettare.
  • Peak Bandwidth: larghezza di banda extra disponibile per brevi istanti.
  • Burst Size: quantità di traffico che può essere trasmesso o ricevuto alla velocità di picco.

 

VLAN

La finestra VLAN permette di definire le impostazioni relative al tipo di VLAN da utilizzare nel port group distribuito. Sono possibili le opzioni seguenti:

  • None - nessuna VLAN da utilizzare
  • VLAN - inserire l’ID della VLAN da utilizzare, da 1 a 4094
  • VLAN Trunking - inserire il range del trunk, all’interno dell’intervallo 1 - 4094
  • Private VLAN - selezionare una VLAN privata configurata in precedenza.

 

Teaming and Failover

La finestra Teaming and Failover permette di impostare il bilanciamento del carico (Load Balancing) e le politiche di failover che consentono di determinare in che modo il traffico di rete è distribuito tra gli uplink e in che modo deve essere reindirizzato in caso di errori sulle interfacce fisiche. Sono possibili le opzioni seguenti:

Load Balancing:

    • Route based on originating virtual port - l’uplink è scelto in base alla porta virtuale da cui il traffico entra nello switch distribuito.
    • Route based on IP hash - l'instradamento è basato sull’hash degli indirizzi IP (sorgente e destinazione) di ogni pacchetto.
    • Route based on source MAC hash - con questo metodo l'instradamento è basato sull'hash dell'indirizzo MAC sorgente.
    • Route based on physical NIC load - l'instradamento è basato sul carico corrente delle interfacce fisiche.
    • Use explicit failover order - uplink scelto in ordine a partire dall’alto della lista Active Uplinks.

Network Failover Detection - la configurazione del failover, e quindi del metodo che permette di rilevare l’assenza di connettività su un’interfaccia e di trovarne un’altra in sostituzione, prevede la scelta fra i 2 metodi seguenti:

    • Link Status only - si basa esclusivamente sullo stato del collegamento (link status) fornito dall’interfaccia fisica dell’host ESXi.
    • Beacon Probing - si inviano pacchetti “sonda” (beacon packets, pacchetti sonda per il rilevamento di errori sulla rete) e si rimane in ascolto di essi. Se un uplink non riceve pacchetti per 3 volte consecutive, viene marcato come "failed".

Notify switch - permette la notifica del failover allo switch fisico esterno.

Failback - per impostazione predefinita, le interfacce fisiche dello stesso team lavorano secondo una logica di Failback: se una scheda fisica in stato "failed" ritorna in linea, essa riprende servizio immediatamente rimpiazzando l'interfaccia che aveva assunto il suo ruolo. Di default, la modalità Failback è impostata su Yes. Al contrario, impostando il Failback su No, l'interfaccia di rete viene tenuta inattiva anche dopo il suo ritorno in linea (ovviamente finchè un'altra interfaccia non va in errore e si riattiva una nuova procedura di failover).

Failover order - l'opzione Failover Order permette di specificare come distribuire il carico di lavoro sulle interfacce di rete fisiche. Le opzioni sono:

    • Active Uplinks: le interfacce in questo gruppo sono tutte up e parte attiva del team.
    • Stanby Uplinks: le interfacce in questo gruppo rimangono in standby per entrare in funzione in situazioni di failover.
    • Unused Uplinks: le interfacce in questo gruppo semplicemente non vengono utilizzate.


Advanced

La sezione Advanced consente, per ogni singola porta, di sovrascrivere le impostazioni assegnate al port group distribuito.


Altre politiche di gestione

Resource Allocation - permette di definire il Network Resource Pool da associare al dvPortgroup.

Monitoring: permette di abilitare il protocollo NetFlow per il dvPortGroup.

Miscellaneous - la funzione Block all ports permette il blocco di tutte le porte del dvPortgroup.

(0 Votes)