VMware Cấu hình mạng vSphere: Standard Switches, Distributed Switches và các chính sách mạng

Tổng quan​

Trong hạ tầng ảo hóa VMware vSphere, mạng ảo đóng vai trò kết nối giữa các máy ảo với nhau và với mạng vật lý bên ngoài. Khi cấu hình mạng ESXi thành công, các máy ảo có thể giao tiếp với nhau cũng như với các thiết bị vật lý. Đồng thời, VMkernel cũng cần mạng để vận hành các dịch vụ quan trọng như quản lý host từ xa, vSphere vMotion, lưu trữ dựa trên IP (iSCSI, NFS) và vSAN.
vSphere cung cấp hai loại switch ảo: Standard Switch (vSS) phù hợp cho môi trường nhỏ, và Distributed Switch (vDS) dành cho môi trường lớn với nhu cầu quản lý tập trung. Bài viết này sẽ đi sâu vào kiến trúc, cách cấu hình và các chính sách mạng quan trọng mà mọi quản trị viên vSphere cần nắm vững.

Nội dung chính​

1. Virtual Switch là gì?​

Virtual switch (switch ảo) là thành phần mạng trong ESXi, có chức năng tương tự như switch vật lý ở Layer 2. Switch ảo kết nối các máy ảo với mạng vật lý, đồng thời cho phép các VM trên cùng một host hoặc trên các host khác nhau giao tiếp với nhau. Ngoài ra, switch ảo còn hỗ trợ các dịch vụ VMkernel như vMotion, iSCSI, NFS và mạng quản lý.
Cả hai loại switch ảo đều có tính "elastic", nghĩa là các port được tạo và xóa tự động khi cần:

• Standard Switch (vSS): Được cấu hình riêng cho từng host ESXi. Mỗi host có switch ảo độc lập, quản trị viên phải cấu hình riêng từng host.
• Distributed Switch (vDS): Được cấu hình cho toàn bộ datacenter. Lên đến 2.000 host có thể gắn vào cùng một distributed switch, và cấu hình được đồng nhất trên tất cả các host. Host phải có license Enterprise Plus hoặc thuộc vSAN cluster.

Các loại kết nối trên switch ảo:
Một switch ảo có các loại kết nối sau:

• VM ports: Kết nối máy ảo vào mạng, tồn tại trong các port group.
• VMkernel ports: Phục vụ các dịch vụ hệ thống như vMotion, iSCSI, NFS, vSAN, Fault Tolerance, Management, vSphere Replication, Backup NFC, NVMe over TCP/RDMA. Mỗi VMkernel port phải được cấu hình với IP, subnet mask và gateway riêng.
• Uplink ports: Liên kết switch ảo với card mạng vật lý (vmnic) của host để kết nối ra mạng bên ngoài.

VM ports và VMkernel ports được nhóm lại trong port group. Port group là một template lưu thông tin cấu hình để tạo các virtual switch port. Port group cho VM chứa các VM port có cùng thuộc tính mạng, còn port group cho VMkernel chứa các VMkernel port.

2. vSphere Standard Switch (vSS)​

Standard Switch là loại switch ảo cơ bản nhất trong vSphere. Mỗi host ESXi quản lý switch ảo riêng của mình. Khi cài đặt ESXi, hệ thống tự động tạo một standard switch mặc định là vSwitch0 với hai port group:

• VM Network: Port group cho máy ảo
• Management Network: Port group chứa VMkernel port cho quản lý

Quản trị viên có thể tạo thêm port group cho các mục đích khác, ví dụ tạo port group "IP Storage" chứa VMkernel port để truy cập iSCSI storage.
Lưu ý quan trọng: Để đảm bảo hiệu năng và bảo mật, nên tách VM Network và Management Network ra các mạng vật lý hoặc VLAN khác nhau. Trong thực tế, nên xóa port group VM Network mặc định và tạo lại với cấu hình phù hợp.
VLAN và Virtual Switch Tagging:
ESXi hỗ trợ VLAN thông qua chuẩn 802.1Q tagging. VLAN được cấu hình ở cấp port group bằng cách gán VLAN ID:

• Khi frame đi ra từ VM, switch ảo sẽ gắn tag VLAN.
• Khi frame có tag đến switch ảo, tag sẽ được gỡ trước khi chuyển đến VM đích.
• Hiệu năng bị ảnh hưởng rất ít.
• Port trên switch vật lý kết nối với ESXi host phải được cấu hình là trunk port.

Mặc định, VLAN ID là 0 (không gắn tag). VMkernel tự động xử lý việc tag và untag khi gói tin đi qua switch ảo. VM không cần biết và không cần cấu hình gì liên quan đến VLAN — mọi thứ được xử lý trong suốt bởi hypervisor.
Lợi ích của VLAN:

• Tạo các mạng logic không phụ thuộc vào topology vật lý
• Cải thiện hiệu năng bằng cách giới hạn broadcast traffic vào một tập con port
• Tiết kiệm chi phí nhờ phân vùng mạng mà không cần triển khai router mới

Thêm Standard Switch mới:
Quản trị viên có thể thêm standard switch mới hoặc cấu hình switch hiện có thông qua vSphere Client hoặc VMware Host Client. Trong vSphere Client, vào tab Configure của host, chọn Virtual Switches để xem và quản lý cấu hình switch.
VMkernel Adapter Properties:
Khi tạo VMkernel adapter, quản trị viên có thể kích hoạt các dịch vụ:

• vMotion: Cho phép adapter quảng bá để nhận traffic vMotion
• Provisioning: Xử lý dữ liệu cho cold migration, cloning và snapshot migration
• Fault Tolerance logging: Kích hoạt log FT trên host
• Management: Kích hoạt traffic quản lý cho host và vCenter
• vSphere Replication: Xử lý dữ liệu replication gửi đi
• vSAN: Kích hoạt traffic vSAN trên host
• vSphere Backup NFC: Port cho traffic backup NFC chuyên dụng
• NVMe over TCP/RDMA: Port cho traffic NVMe storage chuyên dụng

3. Chính sách bảo mật mạng (Security Policy)​

Chính sách bảo mật mạng giúp bảo vệ hệ thống khỏi các cuộc tấn công giả mạo MAC address và quét port trái phép. Quản trị viên có thể thiết lập chính sách bảo mật ở cấp standard switch hoặc cấp port group:

3.1. Promiscuous Mode​

Chế độ này cho phép hoặc từ chối một port nhận tất cả traffic đi qua switch ảo, bất kể địa chỉ đích.

• Mặc định: Reject — port chỉ nhận traffic dành cho chính nó.
• Khi nào đặt Accept: Chỉ khi cần chạy phần mềm phân tích hoặc bắt gói tin trong VM, ví dụ hệ thống phát hiện xâm nhập dựa trên mạng (Network-based IDS).
• Rủi ro: Khi bật, switch ảo dễ bị tấn công vì kẻ tấn công có thể bắt toàn bộ traffic mạng.

3.2. MAC Address Changes​

Chính sách này kiểm soát traffic đến (inbound) khi guest OS thay đổi MAC address của virtual NIC.

• Mặc định: Reject — nếu guest cố thay đổi MAC address, VM sẽ ngừng nhận frame.
• Khi nào đặt Accept: Khi ứng dụng trong VM cần thay đổi MAC address, ví dụ một số guest OS-based firewall.
• Tại sao nên giữ Reject: Giúp ngăn chặn tấn công từ guest OS giả mạo.

3.3. Forged Transmits​

Chính sách này kiểm soát traffic đi (outbound) khi frame có source MAC address khác với MAC address được gán cho virtual NIC.

• Mặc định: Reject — switch ảo sẽ từ chối frame có MAC nguồn giả mạo.
• Khi nào đặt Accept: Tương tự MAC Address Changes, khi ứng dụng cần thay đổi MAC.
• Tại sao nên giữ Reject: Ngăn chặn tấn công spoofing MAC address.

Nguyên tắc chung: Trong hầu hết các trường hợp, cả ba chính sách nên để ở Reject. Chỉ chuyển sang Accept cho các use case chuyên biệt và có kiểm soát.
Phạm vi áp dụng:

4. Chính sách Traffic Shaping​

Traffic Shaping là cơ chế giới hạn bandwidth mạng mà VM được phép sử dụng. Mặc định, traffic shaping bị tắt.
Ba thông số cấu hình:

• Average Bandwidth (Kbps): Lượng bandwidth trung bình cho phép qua một port, tính theo thời gian. Đây là tải trung bình được phép.
• Peak Bandwidth (Kbps): Lượng bandwidth tối đa cho phép khi port gửi burst traffic. Giá trị này giới hạn bandwidth khi port sử dụng burst bonus.
• Burst Size (KB): Dung lượng tối đa cho phép trong một lần burst. Nếu port không sử dụng hết bandwidth được phân bổ, nó tích lũy "burst bonus". Khi cần nhiều bandwidth hơn mức trung bình, port có thể tạm thời truyền dữ liệu ở tốc độ cao hơn nếu có burst bonus.

Sự khác biệt giữa vSS và vDS:

• Standard Switch: Chỉ hỗ trợ outbound traffic shaping (traffic từ VM ra switch ảo ra mạng vật lý). Để kiểm soát inbound traffic, cần dùng hệ thống cân bằng tải hoặc bật tính năng rate-limiting trên router vật lý.
• Distributed Switch: Hỗ trợ cả inbound và outbound traffic shaping. Inbound traffic là traffic từ mạng vật lý vào switch ảo đến VM.

Thông số traffic shaping áp dụng cho từng virtual NIC trong switch. Ví dụ, nếu cấu hình average bandwidth 100 Mbps trên port group TestDev, tất cả VM trong port group đó đều bị giới hạn 100 Mbps trên mỗi NIC.

5. Chính sách NIC Teaming và Failover​

NIC Teaming cho phép gộp nhiều card mạng vật lý (vmnic) vào một team để tăng bandwidth và cung cấp khả năng dự phòng. Khi một card mạng lỗi, traffic tự động chuyển sang card mạng khác trong team.

5.1. Các phương pháp Load Balancing​

vSphere cung cấp nhiều thuật toán load balancing, mỗi thuật toán có ưu nhược điểm riêng:
a) Route based on Originating Virtual Port ID
Phương pháp này ánh xạ outbound traffic của VM vào một NIC vật lý cụ thể dựa trên ID của virtual port mà VM kết nối.

• Ưu điểm: Overhead thuật toán thấp, không cần thay đổi switch vật lý, traffic phân phối đều khi số virtual NIC nhiều hơn số physical NIC.
• Nhược điểm: Switch ảo không xem xét tải thực tế trên uplink, bandwidth của VM bị giới hạn bởi tốc độ uplink được gán.
• Hỗ trợ: Cả Standard Switch và Distributed Switch.

b) Route based on Source MAC Hash
Outbound traffic được ánh xạ vào NIC vật lý dựa trên MAC address của virtual NIC.

• Ưu điểm: VM luôn sử dụng cùng uplink vì MAC address là cố định, không cần thay đổi switch vật lý.
• Nhược điểm: Overhead thuật toán cao hơn vì switch ảo phải tính toán uplink cho mỗi gói tin, switch ảo không biết tải thực tế của uplink.
• Hỗ trợ: Cả Standard Switch và Distributed Switch.

c) Route based on IP Hash
NIC cho mỗi outbound packet được chọn dựa trên source và destination IP address.

• Ưu điểm: Tải phân phối đều hơn vì tính toán uplink cho mỗi gói tin, VM giao tiếp với nhiều IP có throughput tiềm năng cao hơn, một VM có thể tận dụng bandwidth của nhiều NIC vật lý.
• Nhược điểm: Overhead thuật toán cao nhất, switch ảo không biết tải thực tế, yêu cầu thay đổi switch vật lý (cấu hình 802.3ad link aggregation hoặc EtherChannel).
• Lưu ý đặc biệt: Phương pháp này yêu cầu cấu hình LACP (Link Aggregation Control Protocol) hoặc EtherChannel trên switch vật lý. LACP là phần của chuẩn IEEE 802.3ad.
• Hỗ trợ: Cả Standard Switch và Distributed Switch.

d) Route based on Physical NIC Load (chỉ vDS)
Phương pháp này chỉ có trên Distributed Switch và là chính sách được khuyến nghị cho distributed port group. Switch kiểm tra tải thực tế của uplink mỗi 30 giây. Nếu tải vượt 75% dung lượng, VM có I/O cao nhất sẽ được chuyển sang uplink khác.

• Ưu điểm: Overhead thấp, switch biết tải thực tế và tự động cân bằng, không cần thay đổi switch vật lý.
• Nhược điểm: Bandwidth bị giới hạn bởi các uplink kết nối vào distributed switch.
• Hỗ trợ: Chỉ Distributed Switch.

5.2. Failover Order​

Failover order xác định card mạng nào hoạt động trong điều kiện bình thường và card nào sẽ thay thế khi có sự cố:

• Active: NIC được sử dụng khi kết nối up và hoạt động bình thường.
• Standby: NIC dự phòng, chỉ sử dụng khi một NIC active bị down.
• Unused: NIC không sử dụng, dự trữ cho trường hợp khẩn cấp. Có thể chuyển sang Active khi cần.

5.3. Phát hiện và xử lý lỗi mạng​

VMkernel giám sát mạng bằng hai phương pháp:

• Link Status Only: Phát hiện lỗi vật lý như rút cáp, mất điện switch. Không phát hiện được lỗi cấu hình như port bị block bởi Spanning Tree hay sai VLAN.
• Beacon Probing: Gửi gói tin 62 byte mỗi giây trên tất cả NIC trong team. Phát hiện được các lỗi mà Link Status không thể, nhưng yêu cầu topology mạng phù hợp. Nên tham khảo nhà sản xuất switch để xác nhận hỗ trợ.

5.4. Failback và Notify Switches​

• Failback = Yes: NIC phục hồi sẽ trở lại active ngay, thay thế NIC standby đang chạy.
• Failback = No: NIC phục hồi vẫn inactive cho đến khi một NIC active khác bị lỗi.
• Notify Switches: Khi failover xảy ra, VMkernel thông báo cho switch vật lý cập nhật bảng MAC address. Nên bật để giảm latency sau failover. Tắt nếu VM chạy Microsoft NLB ở chế độ unicast.

6. vSphere Distributed Switch (vDS)​

Distributed Switch hoạt động như một switch ảo duy nhất trên toàn bộ các host liên kết. So với Standard Switch, vDS cung cấp quản lý tập trung và nhiều tính năng nâng cao hơn.

6.1. Kiến trúc Distributed Switch​

Kiến trúc vDS gồm hai phần:

• Control Plane: Nằm trên vCenter, chịu trách nhiệm cấu hình distributed switch, distributed port group, uplink, NIC teaming. Control plane cũng điều phối việc di chuyển port khi vMotion.
• I/O Plane (Data Plane): Được triển khai dưới dạng hidden virtual switch trong VMkernel trên mỗi host ESXi. I/O plane quản lý phần cứng I/O trên host và chịu trách nhiệm chuyển tiếp gói tin. vCenter giám sát việc tạo các hidden switch này.

Mỗi distributed switch chứa các distributed port. Bất kỳ thực thể mạng nào (VM, VMkernel interface) đều có thể kết nối vào distributed port. vCenter lưu trạng thái distributed port trong database.
Distributed port group giúp nhóm các distributed port để đơn giản hóa cấu hình. Port group định nghĩa cấu hình chung cho tất cả member port, nhưng mỗi port cũng có thể có cấu hình riêng.
Uplink trong vDS là lớp trừu tượng hóa vmnic từ nhiều host vào một distributed switch. Hai VM trên hai host khác nhau chỉ có thể giao tiếp nếu cả hai có uplink trong cùng broadcast domain.

6.2. Tính năng chỉ có trên Distributed Switch​

Một điểm đáng chú ý: khi vMotion di chuyển VM giữa các host, vDS theo dõi trạng thái mạng ảo (counters, port statistics) của VM. Điều này giúp duy trì cái nhìn nhất quán về giao diện mạng ảo bất kể VM ở đâu, đơn giản hóa việc giám sát và troubleshooting.

6.3. Port Binding​

Port binding xác định cách và thời điểm virtual NIC của VM được gán vào port trên distributed switch:

• Static binding (mặc định): vCenter gán port cố định cho VM hoặc VMkernel interface. Port chỉ ngắt kết nối khi VM bị xóa khỏi port group. Đây là lựa chọn được khuyến nghị cho sử dụng chung.
• Ephemeral binding: ESXi (không phải vCenter) gán port cho VM khi VM được bật. Port bị xóa khi VM tắt. Chỉ dùng cho mục đích khôi phục khi vCenter gặp sự cố.

Port allocation cho static binding:

• Elastic (mặc định): Khi tất cả port được gán, hệ thống tự động tạo thêm 8 port mới.
• Fixed: Không tạo thêm port khi hết.

6.4. Discovery Protocols​

Switch discovery protocol giúp quản trị viên mạng thu thập thông tin cấu hình và kết nối:

• CDP (Cisco Discovery Protocol): Hỗ trợ cả Standard Switch và Distributed Switch, nhưng chỉ khi kết nối với switch Cisco.
• LLDP (Link Layer Discovery Protocol): Chuẩn vendor-neutral IEEE 802.1AB, chỉ hỗ trợ trên Distributed Switch.

Các chế độ hoạt động:

• Listen (mặc định): ESXi host nhận thông tin từ switch vật lý nhưng không gửi thông tin ngược lại.
• Advertise: ESXi host gửi thông tin về switch ảo cho switch vật lý nhưng không nhận.
• Both: Gửi và nhận thông tin hai chiều.

7. Lưu ý khi thiết kế mạng vSphere​

Khi thiết kế mạng ảo, quản trị viên vSphere nên trao đổi với đội ngũ quản trị mạng về các vấn đề sau:

• Số lượng switch vật lý cần thiết
• Bandwidth mạng yêu cầu
• Hỗ trợ 802.1Q trên switch vật lý cho VLAN tagging
• Hỗ trợ NIC teaming trên switch vật lý: 802.3ad, LACP hoặc EtherChannel
• Cấu hình port security trên mạng vật lý
• Chế độ hoạt động của LLDP và CDP

Một số best practice:

• Tách traffic quản lý, vMotion, storage và VM ra các VLAN hoặc mạng vật lý khác nhau
• Sử dụng ít nhất 2 NIC vật lý cho mỗi switch ảo để đảm bảo dự phòng
• Ưu tiên dùng vDS trong môi trường enterprise để đảm bảo tính nhất quán
• Cấu hình NIC teaming với failover order phù hợp
• Giữ security policy ở Reject trừ khi có yêu cầu cụ thể

Kết luận​

Mạng ảo là thành phần không thể thiếu trong hạ tầng vSphere. Standard Switch phù hợp cho môi trường nhỏ hoặc lab với yêu cầu đơn giản. Distributed Switch là lựa chọn tối ưu cho enterprise với khả năng quản lý tập trung, nhiều tính năng nâng cao như inbound traffic shaping, LACP, NetFlow, port mirroring và Network I/O Control.
Ba chính sách mạng quan trọng nhất — Security Policy, Traffic Shaping và NIC Teaming — cung cấp các công cụ để quản trị viên kiểm soát bảo mật, hiệu năng và tính sẵn sàng của mạng ảo. Hiểu rõ và cấu hình đúng các chính sách này là nền tảng để vận hành một môi trường vSphere ổn định và an toàn.