VMware vSphere Distributed Switch (vDS) – Part 2

 Configuring vSS and vDS Policies
Bu yazı, vSphere 5.5 versiyonu temel alınarak yazılmıştır.
Plicy’ler hem vSwitch hem de dvSwitch’te port group seviyesinde uygulanabilir. Bu policy’ler vSwitch üzerindeki tüm port group’lara veya dvSwitch’te portlara uygulanır fakat aynı zamanda üzerine yazılabilirlerdir.
Identifying Common vSwitch and dvSwitch Policies
vSwitch ve dvSwtch 4 ortak policy’ye sahiptir.
  • Failover and Load Balancing Policy: network kartları arasında outbound network trafiğinin nasıl dağıtılacağına ve hata veren network kartlarının nasıl işleneceğine karar vermek içi kullanılır.
  • Security Policy: Layer 2 fram filtering policy’leri kurmak için kullanılır.
  • Traffic Shapping Policy: İzin verilen bandwith miktarının kontrol edilmesi için kullanılır.
  • VLAN Policy: Bir network bağlantısı için VLAN ID oluşturmak amacıyla kullanılır. Fakat vSwitch’te Private VLAN yoktur.
vSwitch load balancing policy ile outbound traffic kontrol edilebilirken, inbound traffic fiziksel switch tarafından kontrol edilebilir.
Configuring Load Balancing and Failover Policies
Failover and Load Balancing Policy network kartları arasında outbound network trafiğinin nasıl dağıtılacağına ve hata veren network kartlarının nasıl işleneceğine karar vermek içi kullanılır. Aşağıdaki özellikler konfigüre edilebilir:
  • Load Balancing
Load balancing policy ESXi host’un uplink adapter’lerini nasıl kullanacağına karar verebilmesi için kullanılır. 5 seçenek vardır:
  • Route Based On Originating Virtual Port: Trafiğin switch’e girdiği port bazında bir uplink seçilecektir. Bu varsayılan seçenektir.
  • Route Based On IP Hash: vSwictch, her paketin kaynak ve hedef IP adresine istinaden VM’ler için uplinkleri seçer. Fiziksel switch konfigürasyonu gerektirir.
  • Route Based On Source MAC Hash: vSwitch, VM’in MAC adresine binaen VM için bir uplink seçer.
  • Route Based On Physical NIC Load: Fiziksel NIC üzerindeki mevcut yük baz alınarak bir uplink seçilir. Bu seçenek sadece dvSwitch ile kullanılabilir.
  • Use Explicit Failover Order: Bu policy ile gerçek bir failover sağlanmaz. VM daima Active adapters listesindeki ilk uplink’i kullanır ve failover algılama kriterini geçer. Active adapters listesinde bir uplink yoksa standby adapters listesinden uplink seçilir.
  • Network Failover Detection
Network Failover Detection uplink hatalarını tespit etmek için kullanılan bir mekanizmadır. İki seçenek vardır.
  • Link Status Only: Sadece network kartlarının sağladığı link durum bilgisine dayanır. Bu seçenek switch hatalarını ve kablo çıkmışsa hatayı tespit edebilir, fakat konfigürasyon hatalarını ve diğer uçtaki fiziksel switch’te kablo çıkmışsa bunu tespit edemez.
  • Beacon Probing: Team içindeki tüm NIC’ler için Beacon Prob’lar gönderilir ve dinlenir. Bu bilgi, link durumu ve daha fazlasını belirlemek için kullanılır. Konfigürasyon hatalarını ve diğer taraftaki kablo çıkma durumlarını tespit edebilir. Beacon probing Route Based On IP Hash load balancing policy ile birlikte kullanılmamalı. Terming içinde üç veya daha fazla adapter kullanıldığında faydalıdır.
Beacon probing kullanmak için özel bir sebep yoksa Link status only varsayılan seçeneği kullanılmalıdır.
  • Notify Switches
ESXi host üzerinde Uplink adapter’lardan birinde sorun oluştuğunda switch’e bildirimde bulunmak için kullanılır. İki seçenek vardır:
  • Yes Bu seçenek kullanıldığında virtual NIC’in lokasyonu değiştiğinde fiziksel switch’e bildirimde bulunulur. En düşük latency sağlandıktan sonra çoğu zaman istenen durum budur.
  • No Bu seçenek bağlanmış olan VM’ler unicast modda Microsoft Network Load Balancing (NLB) kullandığı zaman kullanılır.
  • Failback
Failback, bir uplik adapter hata durumundan sağlıklı çalışır duruma geri geldiğinde ne yapılacağına karar vermek için kullanılır. İki seçenek vardır:
  • Yes Adapter recovery’den hemen sonra eski yerine konulur ve standby adapter standby konumuna geri döner.
  • No Adapter tekrar ihtiyaç duyulana kadar servis dışı bırakılır.
  • Failover Order
İsimlendirme vSwitch’te kullanılan adapters teriminden ve dvSwitch’te kullanılan uplinks teriminden farklıdır. Üç seçenek vardır:
  • Actve Adapters/Uplinks: Network bağlntısı mevcut olduğu sürece kullanılır.
  • Standby Adapters/Uplinks: Active adapter’lardan biri bağlantıyı kaybederse kullanılır.
  • Unused Adapters/Uplinks: Bu adapter’lar asla kullanılmaz.
Active, Standby ve Unused adapters/uplinks virtual switch özelliklerinden organize dilebilir ve port group özelliklerinden üzerine yazılabilirler.
Route Based On IP Hash load-balancing policy kullanıldığında standby adapters/uplinks kullanılmaz.
Configuring Network Security Policies
Virtual switch’ler kendilerine başlı olan VM’leri taklit etme ve dinleme ataklarına karşı koruyabilir. Bu policy’ler vSwitch veya port group seviyesinde uygulanabilir.
Promiscuous Mode policy’ler, promiscuous mode’daki bir NIC’e sahip olan VM’lere aynı vSwitch veya port group’taki tüm trafiği gözlemesine izin verir. Genellikle bu policy VM üzerinde packet sniffer veya intrusion detection sistemleri çalışıyorsa kullanılmalıdır. Promiscuous Mode Accept olarak ayarlandığında, promiscuous mode’da bir NIC’e sahip olan herhangi bir VM, aynı network’te olan diğer tüm VM ve host’lar için gönderilen trafiği görebilir. Bu güvenli olmayan bir operasyondur ve varsayılan seçenek Reject’tir.
MAC Address Changes policy’ler bir VM tarafından alınan trafiği etkiler. Bu policy, intial MAC address ve effective MAC address arasındaki farkın vSwitch veya port group tarafından nasıl işleneceğini kontrol etmek için kullanılır. MAC Address Changes policy Accept olarak ayarlanırsa initial ve effective MAC address’ler farklı olabilir. Başka bir deyişle, vSwitch MAC address değişikliği talebini kabul eder. MAC Address Changes policy Reject olarak ayarlanırsa initial ve effective MAC address’leri eşleşmek zorundadır, aksi taktirde vSwitch VM NIC’inin bağlı olduğu portu disable eder. Bu VM, initial ve effective MAC adresleri tekrar eşleşene kadar herhangi bir trafik alamaz. ESXi Software iSCSI initiator kullanılıyorsa MAC address Changes policy’yi Accept olarak ayarlamak gerekiyor.
Forged Transmits policy’ler bir VM’den iletilen trafiği etkiler. Bu policy, intial MAC address ve effective MAC address arasındaki farkın vSwitch veya port group tarafından nasıl işleneceğini kontrol etmek için kullanılır. Forged Transmit policy Accept olarak ayarlandığı zaman initial ve effectve MAC address’ler farklı olabilir. Forged Transmit policy Reject olarak ayarlandığı zaman initial ve effective MAC address’leri eşleşmek zorunda. Aksi taktirde vSwitch VM’den alınan her paketi drop eder.
Configuring Traffic Shaping Policies
Traffic shaping policy’ler network bandwith’i kontrol etmek için kullanılır ve hem vSwitch hem de dvSwitch’te kullanılabilir. vSwitch’te sadece outbound trafiği kontrol edebilir, dvSwitch’te ise hem inbound hem de outbound trafiği kontrol edebilir.
Average Bandwidth: Bir portta izin verilen saniyedeki bit sayısı (kbit/s). Bu sayı zaman içinde ölçülür ve izin verilen ortalama yükü temsile eder.
Peak Bandwidth: Bir portta izin verilen maksimum saniyedeki bit sayısı (kbit/s). Bu sayı bir burst sırasında bandwitdth’i limitlemek için kullanılır ve average bandwitdth’ten küçük olamaz.
Burst Size: Bir burst içindeki izin verilen maksimum KB. Bir port average bandwidth’te belirtilen değerden daha fazla bandwitdth’e ihtiyaç duyarsa ve bandwidth uygun durumdaysa daha fazla trafik verilmesine olanak sağlar.
Determining Appropriate VLAN Configuration for a vSphere Implementation
VLAN, tek bir fiziksel network’ü birden fazla mantıksal network’e ayırmak için kullanılır. vSphere’de VLAN aşağıdaki sebeplerle kullanılır:
  • ESXi hots entegrasyonunu basitleştirmek için
  • Network güvenliğini artırmak için
  • Network’teki yoğunluğu azaltmak için
  • Network trafiğini izole etmek için
vSphere’de VLAN’in desteklenebilmesi için fiziksel veya sanal switch 801.1Q tag’i ile tag’lenmek zorundadır. Bu tag aynı zamanda VLAN ID olarak bilinir.
External Switch Tagging (EST): Tüm VLAN tag’leme işlemlerini fiziksel switch yapar. ESXi host network kartları fiziksel switch’te access/untagged portlara bağlanır.
Virtual Switch Tagging (VST): vSwitch veya dvSwitch tüm VLAN tag’leme işlemlerini yapar.ESXi host network kartları fiziksel switch’te trunk/tagged portlara bağlanmak zorundadır. Genelde kullanılan kurulum yöntemi budur.
Virtual Guest Tagging (VGT): 802.1Q VLAN trunking driver’i yüklenmiş olan VM tüm VLAN tag’leme işlemlerini yapar. ESXi host network kartları fiziksel switch’te trunk/tagged portlara bağlanmak zorundadır.
VST en çok kullanılan kurulum yöntemidir. Bunun nedeni VST trunked VLAN’ları kullanabilir ve VM tarafında herhangi bir konfigürasyon yapılmasına gerek yoktur. Trunked VLAN kullanmak ESXi host üzerinde fiziksel NIC gereksinimini ve karmaşıklığı azaltır.
Configuring dvPort Group Blocking Policies
Port blocking policy’ler gönderilen ve alınan verilerden bir port group üzerindeki tüm portları bloklamak için kullanılır ve sadece dvSwitch üzerinde bulunur.
Enabling Jumbo Frames Suport on Apporpriate Components
Jumbo Frame, 1.500 byte’tan büyük, 9.000 byte veya 9.000 byte’tan daha az yük boyutuyla bir Ethernet Frame’dir. Bu boyut aynı zamanda maximum transmission unit (MTU) olarak da bilinir. Jumbo frame, network I/O performansını artırmak için aktif edilebilir ve daha az CPU kaynağı kullanır. Jumbo frame, network üzerinde uçtan uca desteklenmelidir. Yani ESXi host, hedef, ve tüm fiziksel switch’ler jumbo frame desteklemelidir.
Jumbo frame otomatik olarak performans artışını garanti etmez. Jumbo frame kullanırken daima en iyi yöntem jumbo frame’li ve jumbo frame’siz performansı test etmektir.
Bir sanal makinanın jumbo frame kullanabilmesi için aşağıdaki gereksinimlerin karşılanması gereklidir:
  • Jumbo frame’in aktif edildiği bir virtual switch’te virtual machine port group’a VMXNET 2 veya VMXNET 3 network kartı bağlanmalıdır.
  • Sanal makinaya bağlanan tüm fiziksel switch’ler ve diğer cihazlar jumbo frame desteklemelidir.
  • VM jumbo frame desteklemesi için konfigüre edilmelidir. Windows makinalarda network adapter özelliklerinde MTU ayarlarını değiştirerek bu işlem yapılabilir.