根据最佳实践做法,Management、vMotion、vSphereFT、iSCSI等的网络相互隔离,从而提高安全性和性能。同时每个网络建议配置2块物理网卡用作冗余和负载均衡,根据最佳实践可能至少需要6块网卡,多则十几块网卡,这对标配4块网卡的机架式服务器是不现实的。
我的标准配置是4块网卡,vMotion、Management和vSphereFT网络共用2块网卡,生产网络用2块网卡。vSwitch使用access端口,vSphere Distributed Switch使用trunk模式。
vlan20 172.20.20.1/24 HP oa、vc、ilo、FC SAN存储等硬件管理地址
vlan21 172.20.21.1/24 vcenter、vsphere、vcops、vdp等VMware地址
172.20.0.1/24 vmotion地址
172.20.1.1/24 vSphere FT地址
vlan100 x.x.x.x/24 对外web服务地址
vlan200 x.x.x.x/24 对内业务运维平台地址
vMotion和vSphereFT走二层即可,无需配置路由,在vsphere6.5版本中可为vMotion配置独立的TCP/IP堆栈。
在vMotion网络配置上犯过一个错误,以前都为vMotion网络配置独立的VMkernel,升级到6.0的时候发现做到Management里也没问题,就不再为vMotion配置独立地址,在双物理网卡的情况下一般是不会出现问题的,但是当一块物理网卡出现故障时做vMotion操作就会导致单播泛洪。
安全策略:
- 通过三层交换的acl或端口隔离阻止互相访问
-
防火墙上的策略只允许管理员访问管理地址
最佳实践网络拓扑图如下,建议上行端口分布到两台交换机上实现冗余。
————————————————
版权声明:本文为CSDN博主「普通网友」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.csdn.net/weixin_44140872/article/details/102371040