В настоящее время у меня есть один vSwitch с несколькими сетями, которые общаются с другими устройствами и используют теги VLAN. У меня есть Интернет, Внутренний, Управление (VMKernel) и WWW (пул LB). Однако для таких вещей, как SQL и WWW, виртуальные машины в основном общаются друг с другом полностью внутри этого хоста. Я не использую vMotion, iSCSI, NFS и т. Д. У меня есть два автономных «избыточных» хоста, которым не нужно общаться на уровне виртуального хоста (виртуальные машины делают это сами, если необходимо).
Я спросил об этом несколько лет назад (ESX 3ish) в IRC, и тогда мне сказали «нет» и что трафик между виртуальными машинами на одном хосте не покинет хост, на котором они находятся, независимо от vSwitch, диапазона IP-адресов и т. Д. IOW, он должен действовать как обычный переключатель.
Так ли это или с vSphere 5+ так и осталось? Есть ли в этой среде какие-либо основания для создания отдельного vSwitch и / или сети для связи между виртуальными машинами на одном хосте? Единственное, что я мог придумать, - это снять нагрузку с сетевой карты, но если она виртуальная и не попадает в сетевую карту, то это спорный вопрос.
сетевой трафик между виртуальными машинами на одном и том же хосте не будет перетекать на уровень 1, в сетевой vem есть встроенный кэш ARP, когда трафик от виртуальной машины переходит в домен 0 (ESXi), vem берет на себя управление и принимает решение либо продолжайте перемещать кадры вниз по OSI, либо нет.
Что касается VDS или Cisco Nexus, кадры всегда перемещаются по шине памяти от vem к vsm, когда запросы заставляют переключение происходить на vsm и выходят на физическую инфраструктуру только тогда, когда цель / источник внешний. знаю, что есть одна вещь, в которой vsm делает нам напрямую подключенный восходящий канал для перемещения кадров между хостами
Насколько я понимаю, вы задаете вопрос
Есть ли причина создавать отдельный vSwitch и / или сеть для связи между виртуальными машинами на одном хосте?
Когда у меня возникают подобные вопросы, я всегда начинаю с того, что задаю себе следующее:
Что бы я делал в этой ситуации, если бы не было виртуализации?
Для меня аналог вашей среды для сценария без виртуализации: некоторые системы подключены к одному и тому же "в основном тупой переключатель ", некоторые из них разговаривают только друг с другом, а некоторые разговаривают со всеми остальными, включая мир. Таким образом, вопрос может быть таким:
Есть ли причина использовать отдельный коммутатор для связи между системами, которым необходимо только общаться друг с другом (или прямое соединение, если их всего две)?
Конечно, ответ на этот вопрос в основном такой же, как и на все хорошие вопросы: это зависит. Это зависит от множества различных факторов, которые для меня можно разделить на следующие категории:
Итак, давайте рассмотрим каждую категорию отдельно:
1. Производительность
Если вы не устанавливаете максимальную скорость во многих подключенных системах или не имеете большого количества трафика с интенсивным использованием ЦП, например многоадресной рассылки, то, вероятно, нет.
2. Безопасность
Есть ли на каких-нибудь машинах критически важные вещи? Уязвимы ли какие-либо «частные» машины для злонамеренной атаки со стороны одной из других систем или даже извне сети?
3. Конфиденциальность
Следует ли скрывать трафик между узлами, которые обмениваются данными между собой, от других систем в сети? Есть ли шанс, что система, переведенная в неразборчивый режим, сможет прослушивать другой трафик (здесь значок "в основном тупой переключатель ", который является стандартным vSwitch, вступает в игру: он жестяная банка быть настроенным так, чтобы хосты могли включать неразборчивый режим). Также имейте в виду, что все систем будут использовать некоторый объем широковещательного трафика, который увидят другие, даже если это только arp.
4. Надежность
Повышение сложности повышает надежность системы или снижает ее? Если переключатель [|] выходит из строя или случайно неправильно сконфигурирован, согласны ли вы, что он прерывает все коммуникации между системами?
5. Простота поиска и устранения неисправностей.
Если что-то пойдет не так, и вам нужно будет устранить неполадки, сможете ли вы легко изолировать разные системы?
6. Элегантность
Вы можете легко объяснить установку кому-нибудь? Будет ли со временем общая картина расти или меняться? Если вы похожи на меня: воля ты Помните как он создается за шесть месяцев, год, два года, пять лет? Можете ли вы сразу понять, как это устроено? Если вам придется переместить все это или переместить некоторые системы, будет ли это легко или сложно?
7. Практичность
Имеет ли значение что-либо из вышеперечисленного? Сможете ли вы реально реализовать что-либо из вышеперечисленного? Если это лаборатория, которую вы собираетесь снести через пару недель, имеет ли значение что-нибудь, кроме производительности? Если вы не знаете, как настроить дополнительные vSwitches или не можете получить дополнительный физический коммутатор в «аналоге без виртуализации», то имеет ли это значение?
Вам придется самостоятельно взвесить все «за» и «против» каждого сценария и реализовать его по своему усмотрению или предоставить нам ПУТЬ дополнительную информацию, чтобы мы могли дать рекомендации.
Но, исходя из информации, которую я получил из вашего поста, если бы я был на вашем месте, я бы разделил их. Я бы сделал это, даже если это только даст мне четкие границы и линии связи между системами, чтобы я мог понять, что происходит, а что нет. Я бы настроил новый vSwitch для «частных» систем, не подключенных к каким-либо физическим сетевым адаптерам на хосте, и переименовал бы группу портов в нем во что-то вроде «частная сеть только для хост-хостов» (я не могу помните, может ли поле имени принимать такое количество символов, а мне лень запускать vSphere только для проверки, извините). Это также упростит задачу в будущем, если вы в конечном итоге увеличите количество хостов до нескольких.