virtualización en tu idioma

Que tal gente, continuando con los temas para el examen VDCA410 nos toca hablar de las configuraciones que tenemos en los switches distribuidos.

Relación entre switches distribuidos (vDS) y switches standard lógicos

Un switch distribuido entre las muchas cualidades que nos ofrece esta la de administrar y configurar todos los parámetros de red desde una manera centralizada aplicando todos los cambios a los servidores ESX/ESXi que pertenezcan a dicho switch distribuido.

Aquí en esta imagen podemos ver como es la arquitectura de vNetwork que hace posible el uso de switches distribuidos. Tenemos un “control plane” desde donde nosotros realizamos todas las configuraciones que necesitemos en dicho switch, el punto importante a entender aquí casi todas las modificaciones a los vDS se realizan desde vCenter. Después podemos ver “ProxySwitch”, estos switches son switches standard (vSS) a este elemento también se le llama I/O plane, aquí es donde ocurre todo el trafico de nuestras vms.

Uso de la línea de comando para realizar modificaciones en nuestros switches distribuidos

esxcfg-vswitch -Q <vmnic> -V <dvPort ID de la vmnic> <dvSwitch> #quitar un uplink
esxcfg-vswitch -P <vmnic> -V < dvPort ID si usar> <dvSwitch> #agregar un uplink
esxcfg-vswif -a -i <dirección ip> -n <mascara de subred> -V <dvSwitch> -P <DVPort Id> vswif0 #crea un vswif (service console y lo agrega a un switch distribuido).

Tipos de port binding

• Static binding: este es el default, aquí cada vNIC le corresponde un puerto de nuestro vDS en cuanto la vm se enciende se le asigna dicho puerto este puerto será de dicha vm hasta que esta sea removida del port group. Este es el valor recomendado por VMware. Aquí se preservan todos los datos y estadísticas de los puertos.

• Dynamic binding: aquí en el momento de encender una vm se le asigna un puerto, y cuando nosotros apagamos dicha vm se libera el puerto para ser utilizado por otra vm. Este tipo de binding es recomendado para ambientes donde tengamos una mayor cantidad de vms que el número de puertos disponibles en nuestro vDS. Aquí se preservan todos los datos y estadísticas de los puertos, es por eso que al tener configurado dynamic binding las vms deberán ser iniciadas desde el vCenter.

• Ephemeral: en este caso el puerto es creado y asignado en el momento que encendemos una vm y al apagar dicha vm este puerto es destruido. En este caso todas las estadísticas del puerto no son conservadas y podemos iniciar vms desde nuestros hosts ESX/ESXi o desde el vCenter.

Configurar live port moving

Esta función lo que nos permite es el poder migrar puertos standalone (puertos que no pertenecen a ningún portgroup) a un portgroup aun cuando este en uso, con esto se heredan todas las características de dicho port group sobre el puerto standalone. esta función es eliminada del GUI en la versión 4.1:

Estos puertos “standalone” solo pueden ser creados desde el SDK de VMware por lo cual yo creo que esta configuración fue removida del GUI.

Identificar que tipo de switch distribuido requerimos

Aquí básicamente es decidir si nos vamos por switches distribuidos VMware o compramos licencias adicionales para Cisco Nexus 1000v, honestamente si se tiene el dinero $$ es un gran plus contar con el switch cisco, debido a que nos ofrece bastantes ventajas entre las cuales podemos encontrar las siguientes:

• Cisco IOS: con esto podemos lograr una integración mucho más cercana entre el equipo de networking y los administradores de VMware, cada uno enfocándose a lo que les corresponde teniendo a los admins de la red trabajando con una interfaz que conocen muy bien.

• perfiles en los puertos: podemos configurar una gran cantidad políticas de seguridad,netflow,etc y estas políticas estarán viajando junto con la vm aunque se realice operaciones de VMotion.

• Opciones avanzadas de Cisco: Netflow,QoS,port security, etc etc, ustedes nombren.

Troubleshooting desde la línea de comando para nuestros vDS

Aquí podemos hacer uso de varios comandos como puede ser esxcfg-vswitch,esxcfg-vswif,esxcfg-route,etc. Aquí me interesa mas platicarles de un comando llamado net-dvs, con el cual podemos obtener información mucho más detallada de nuestros switches distribuidos:

Para poder ejecutar este comando necesitamos logearnos directamente al servidor sea por ssh o directo en la consola, y seguimos estos pasos:

Paso 1-. navegamos a la ruta /usr/lib/vmware/bin/ , aquí encontraremos un programa llamado net-dvs, el cual podríamos ejecutar y nos daría el display en la pantalla si nosotros quisiéramos ser capaces de leer toda la información podríamos ejecutar el siguiente comando:

/usr/lib/vmware/bin/net-dvs |more

Paso 2-. para mi gusto es mucho mas cómodo leer el output de este comando desde un notepad o un documento de word, aquí podríamos redirigir el output a un .txt

/usr/lib/vmware/bin/net-dvs > /tmp/confvds.txt

Vamos a analizar un poco lo que nos muestra este comando:

Que tal gente, continuando con los temas para el examen VDCA410 es momento de hablar sobre VLANs y PVLANs. Vamos a saber que utilidad tienen y como debemos configurarlas.

¿Qué es VLAN y PVLAN?

Una VLAN es la división de un broadcast domain en varios broadcast domains, podemos entender mas fácil este concepto como la división de una LAN en distintas LANs que viajan sobre el mismo medio físico y con esto podemos tener varias subnets y una división de los tráficos de manera efectiva. En esta imagen lo podemos de mejor manera:

Una PVLAN es también conocida como vlan secundaria, básicamente es dividir las VLANs en otras vlans, con esto lo que logramos es aislar la comunicación entre hosts de distintas pvlans por lo tanto ganamos seguridad.

¿Qué tipo de tagging de VLAN tenemos?

En VMware tenemos 3 tipos de realizar el tagging o etiquetado para las VLANs:

• Virtual machine guest tagging (VGT): el etiquetado de los paquetes con el número de VLAN es realizado por el sistema operativo, con esto logramos quitar la limitación que tenemos en cuanto a número de VLANs. Tenemos que tener en cuenta el hecho de un mayor consumo de CPU debido a el etiquetado de paquetes dentro del sistema operativo del cliente.

• External switch tagging (EST): el etiquetado de los paquetes se realiza una vez que llega al puerto del switch físico.

• Virtual switch tagging (VST): este es el modo de etiquetado más utilizado en infraestructuras VMware, nuestros switches virtuales se encargan de hacer el etiquetado de los paquetes. Nosotros definimos portgroups para nuestras máquinas virtuales y definimos un tag de vlan para cada uno de ellos,  solo es cuestión de conectar nuestras vms a los portgroups indicados según las vlans que requieran.

Ahora que sabemos todos los métodos para poder etiquetar nuestros paquetes es necesario especificar que tipos de PVLANs tenemos, existen 3 tipos en VMware:

• Promiscua (Promiscuous): como su nombre lo indica,cualquier vm conectada a una pvlan promiscua será capaz de comunicarse con todas las pvlans existentes ya sean isolated o community. Las pvlans promiscuas llevan el mismo tag que la vlan principal.
• Comunidad (Community): toda vm conectada a una pvlan de comunidad puede comunicarse con vms existentes dentro de su misma pvlan y con vms conectadas a pvlans promiscuas de la misma vlan principal.
• Aislada (Isolated): con este tipo de pvlan lo que tenemos es el aislamiento total de la vm conectada a esta pvlan, solo las vms conectadas a una pvlan promiscua podrán tener contacto ella.

Existen algunos puntos que debemos tener en cuenta en el caso de implementar pvlans:

• Todos los switches externos (físicos) tienen que ser compatibles con pvlans.
• El puerto en trunk deberá ser hecho para las vlans primarias no las secundarias (pvlans).

Tenemos 2 modos principales para nuestros puertos en un switch distribuido:

• VLAN: También conocido como access mode, estos puertos pertenecerán a una sola vlan principal.
• VLAN trunking: en este modo se permite tener varias vlans comunicándose a través del mismo puerto. Es necesario configurar este modo de puerto en los switches fisicos donde se estarán conectando nuestros servidores ESX/ESXi. Dentro de este modo tenemos un modo secundario:

Private VLAN: en este modo nosotros permitimos el uso de pvlans o vlans secundarias.

¿Cómo configuro VLANs en mis switches standard (vSS) y mis switches distribuidos (vDS)?

• Switches standard: en el caso de los vSS solo somos capaces de configurar vlans principales no pvlans, navegamos a Configuration>Networking y seleccionamos hacemos click en “properties” sobre un switch standard y seleccionamos un port group, estas vlans son configuradas en cada port group.

• Switches distribuidos (vDS): Navegamos a home>inventory>networking, una ves dentro seleccionamos nuestro por group hacemos click derecho sobre el seleccionando “edit settings”, esto nos abrirá una ventana donde seleccionaremos “VLAN” aquí configuramos que modo se estará utilizando, ya sea vlan , vlan trunking o private vlan.

Si nosotros quisiéramos configurar trunking seleccionamos “VLAN trunking” e ingresamos todas las vlans que se estarán utilizando:

En el caso de querer configurar pvlans seleccionamos nuestro vDS y damos click derecho sobre el, aquí configuraremos las pvlans que necesitemos:

Una vez configuradas las pvlans necesarias solo es cuestión de dictar en cada uno de los port groups el modo “Private VLAN” y seleccionar la pvlan que se necesita:

¿Cómo configuro vlans desde la línea de comando?

En el caso de utilizar la linea de comando solo podemos modificar o configurar el vlan id en nuestros switches standard, ya que dichas operaciones para los switches distribuidos solo pueden ser realizadas desde el vCenter.

para modificar o asignar un id 10 de VLAN para el port group llamado “Produccion” haríamos lo siguiente:

esxcfg-vswitch  -v 10 -p “Produccion” vSwitch1

-v VLAN ID

-p nombre de portgroup

Aquí también podríamos utilizar vicfg-vswitch en el caso de vSphere CLI.