vsphere數(shù)據(jù)中心網(wǎng)絡(luò)規(guī)劃實(shí)踐

使用vsphere也有幾年時(shí)間了，基本保持每年一次大版本升級(jí)，從5.0版升級(jí)到5.5、6.0，最近開(kāi)始部署6.5，最頭疼的問(wèn)題就是網(wǎng)絡(luò)規(guī)劃，這也是vsphere部署的重點(diǎn)。

從傳統(tǒng)數(shù)據(jù)中心轉(zhuǎn)型時(shí)，只有4臺(tái)HP機(jī)架式服務(wù)器，壓根沒(méi)考慮過(guò)網(wǎng)絡(luò)規(guī)劃的事，跟原來(lái)的服務(wù)器混用一個(gè)vlan，一個(gè)C類(lèi)地址。這也就造成了以后的各種麻煩，隨著服務(wù)器的增加，IP不夠用，安全性沒(méi)有保障。

雖然數(shù)據(jù)中心可以正常運(yùn)轉(zhuǎn)，但是不合理，趁著規(guī)模小，又趕上升級(jí)6.5，正好重新規(guī)劃一下網(wǎng)絡(luò)。

根據(jù)最佳實(shí)踐做法，Management、vMotion、vSphereFT、iSCSI等的網(wǎng)絡(luò)相互隔離，從而提高安全性和性能。同時(shí)每個(gè)網(wǎng)絡(luò)建議配置2塊物理網(wǎng)卡用作冗余和負(fù)載均衡，根據(jù)最佳實(shí)踐可能至少需要6塊網(wǎng)卡，多則十幾塊網(wǎng)卡，這對(duì)標(biāo)配4塊網(wǎng)卡的機(jī)架式服務(wù)器是不現(xiàn)實(shí)的。

我的標(biāo)準(zhǔn)配置是4塊網(wǎng)卡，vMotion、Management和vSphereFT網(wǎng)絡(luò)共用2塊網(wǎng)卡，生產(chǎn)網(wǎng)絡(luò)用2塊網(wǎng)卡。vSwitch使用access端口，vSphere Distributed Switch使用trunk模式。

vlan20 172.20.20.1/24 HP oa、vc、ilo、FC SAN存儲(chǔ)等硬件管理地址

vlan21 172.20.21.1/24 vcenter、vsphere、vcops、vdp等VMware地址

     172.20.0.1/24 vmotion地址

     172.20.1.1/24 vSphere FT地址

vlan100 x.x.x.x/24 對(duì)外web服務(wù)地址

vlan200 x.x.x.x/24 對(duì)內(nèi)業(yè)務(wù)運(yùn)維平臺(tái)地址

vMotion和vSphereFT走二層即可，無(wú)需配置路由，在vsphere6.5版本中可為vMotion配置獨(dú)立的TCP/IP堆棧。

在vMotion網(wǎng)絡(luò)配置上犯過(guò)一個(gè)錯(cuò)誤，以前都為vMotion網(wǎng)絡(luò)配置獨(dú)立的VMkernel，升級(jí)到6.0的時(shí)候發(fā)現(xiàn)做到Management里也沒(méi)問(wèn)題，就不再為vMotion配置獨(dú)立地址，在雙物理網(wǎng)卡的情況下一般是不會(huì)出現(xiàn)問(wèn)題的，但是當(dāng)一塊物理網(wǎng)卡出現(xiàn)故障時(shí)做vMotion操作就會(huì)導(dǎo)致單播泛洪。

安全策略:

1. 通過(guò)三層交換的acl或端口隔離阻止互相訪問(wèn)

2. 防火墻上的策略只允許管理員訪問(wèn)管理地址

最佳實(shí)踐網(wǎng)絡(luò)拓?fù)鋱D如下，建議上行端口分布到兩臺(tái)交換機(jī)上實(shí)現(xiàn)冗余。