ESXi 网络概述
在 ESXi 网络管理中,我们主要操作三个核心组件:物理网卡、虚拟交换机、端口组。理解这三者的关系和作用是管理 ESXi 网络的基础。
以下是 ESXi Web 管理界面中这三个组件的展示页面:
架构类比
在 ESXi 网络架构中,物理网卡、虚拟交换机、端口组的关系可以类比为现实中的 路由器:物理网卡相当于 WAN 口,虚拟交换机相当于 LAN 口,端口组相当于 LAN 口的子接口。
物理网卡¶
物理网卡(Physical Network Adapter,也称为 vmnic)是 ESXi 主机上的实际网络硬件接口(必须是 ESXi 兼容的网卡),负责与外部网络的物理连接,可绑定到虚拟交换机上。
如图所示,这里使用的是 Intel I350-T4V2 四口千兆网卡,显示了四个网络接口。其中一个接口会被管理网络占用,对物理网卡进行编辑时,主要可以修改其协商速度等参数。
主要特点¶
- 硬件基础:ESXi 网络架构的物理基础;
- 上行链路:为 虚拟交换机 提供与外部网络的连接;
- 冗余支持:可配置多个物理网卡实现网络冗余;
- 带宽限制:物理网卡的带宽决定了整个网络的最大吞吐量;
物理网卡总结¶
物理网卡是 虚拟交换机 连接外部网络的桥梁,类似于路由器的 WAN 口。我们通常无法改变其硬件配置,只能调整协商速度等网络参数。
虚拟交换机¶
虚拟交换机(简称 vSwitch)是 ESXi 中的 软件交换机,是整个网络架构的核心组件。它负责在虚拟机、VMkernel 接口和物理网络之间转发网络流量。
重要提醒
vSwitch0 是 ESXi 安装后自动创建的默认虚拟交换机,承载 管理网络 和 基础虚拟机 网络流量,请勿删除,否则可能导致系统无法正常启动。
连接关系¶
- 上行连接:可绑定 0-1 个物理网卡(0 个表示仅内部通信);
- 下行连接:可分配给 0-N 个端口组;
主要功能¶
- 流量转发:在连接的端口之间转发数据包;
- VLAN支持:实现网络隔离和分段;
- 负载均衡:在多个上行链路间分配流量;
- 故障转移:自动切换到可用的上行链路;
创建标准虚拟交换机¶
链路发现¶
链路发现协议帮助识别和管理网络连接:
- CDP(Cisco Discovery Protocol):
- 监听模式:接收来自 Cisco 设备的信息;
- 播发模式:向网络通告 ESXi 主机信息;
- 双向模式:既监听又通告;
- 无:不使用链路发现协议;
安全¶
虚拟交换机的安全策略控制网络流量的安全性:
- 混杂模式(Promiscuous Mode):
- 拒绝:默认设置,虚拟机只能接收发给自己的流量;
- 接受:虚拟机可以接收所有经过虚拟交换机的流量;
- MAC 地址更改:
- 拒绝:阻止虚拟机更改其 MAC 地址;
- 接受:允许虚拟机修改 MAC 地址;
- 伪传输(Forged Transmits):
- 拒绝:阻止虚拟机发送伪造源 MAC 地址的数据包;
- 接受:允许虚拟机发送任意源 MAC 地址的数据包;
网络隔离实现¶
虚拟交换机的网络隔离和分段主要通过以下方式实现:
- 上游链路隔离:不同虚拟交换机绑定不同物理网卡;
- 端口组 VLAN:在同一虚拟交换机上通过 VLAN ID 实现隔离;
- DHCP 服务管理:确保一个网络段内只有一个 DHCP 服务器;
重要
在同一个虚拟交换机中避免出现多个 DHCP 服务器,否则会导致 IP 地址冲突。
端口组¶
端口组(Port Group)是虚拟交换机上的逻辑分组,定义了连接到该组的虚拟机或 VMkernel 接口的网络策略和配置。
端口组在 ESXi 中相当于路由器的 LAN 子接口,它负责在虚拟机和虚拟交换机之间转发网络流量,可以理解为它才是 底层打工人。
总结¶
ESXi 网络流转流程是:物理网卡 -> 虚拟交换机 -> 端口组 -> 某虚拟机,可以用一张图总结,如下:
名词解释
在本节中只有 物理网卡 是真实存在的设备,端口组和虚拟交换机是 虚拟设备,由 ESXi 虚拟出来的(非真实设备)。
虚拟机:虚拟机是运行在 ESXi 上的虚拟操作系统,后续安装的 Windows、Linux、Docker 等等。