virtualización en tu idioma

Que tal gente, vamos a continuar con las nuevas capacidades de vSphere 5, en este caso vamos a platicar de una capacidad en nuestros switches distribuidos. En la versión anterior de VMware vSphere 4, solo teniamos la capacidad de utilizar un protocolo propietario de Cisco llamado CDP (Cisco Discovery Protocol) para poder vislumbrar que a que dispositivos físicos teniamos conexión y los distintos hops de red. En vSphere 5 se agrega un protocolo llamado LLDP el cual no es propietario y también nos permite el descubrir la topología de red.

Al igual que CDP, tenemos distintos los siguientes modos de operación:

• Listen: El servidor ESXi detecta y despliega la información sobre el puerto del switch al cual se esta conectado pero la información del vDS no es mostrada.
• Advertise: El servidor ESXi muestra la información del vDS pero no detecta ni nos muestra la información de el puerto de switch al cual se esta conectado.
• Both: Se muestra la información del vDS y se detecta la información del puerto de switch al que se esta conectado.

Aquí podemos ver la información mostrada por parte de uno de nuestros hosts ESXi:

Y aquí esta el caso de la información mostrada por una VM CentOS con lldpd, ejecutada en otro host distinto al anterior:

Que tal Gente, vamos a conocer que nuevas ventajas y funcionalidades se nos ofrece en vSphere 5 con respecto a red, en este caso vamos a platicar de una funcionalidad que ya existia previamente NetIOC y lo nuevo que se le agrego a esta misma.

En este punto todos debemos conocer lo que NetIOC nos ofrece, un control más granular del ancho de banda en switches distribuidos, con este release de vSphere 5 se nos ofrecen dos capacidades extra en estos switches distribuidos:

• User-Defined network resource pools - en versiones anteriores de NetIOC todo el trafico de VMs era agrupado en el pool de VM Traffic donde se incluia la totalidad de tráfico de todos los portgroups de trafico de VM y era moderado segun los shares/Mbps configurados para dicho pool. En este momento contamos con la capacidad de poder ser mucho más granulares y crear pooles de red, donde podemos definir distintos valores para shares y para el ancho de banda y a estos pooles asignar aquellos portgroups que deban contar con dichas politicas.

• 802.1p Tag – este protocolo nos permite dar prioridad a paquetes de red en una VLAN, la información esta contenida en un espacio de 3 bits dentro de la cabezera del paquete, se tienen los siguientes niveles de servicio:

Aquí debemos de tener claro que el QoS no es realizado directamente por el servidor ESXi, sino que en el momento que el paquete sale con el nivel de prioridad que debe tener los dispositivos de capa 2 reconocerán este QoS a nivel de MAC.

En el siguiente video podemos ver los network pools definidos por el usuario en acción:

Que tal gente, continuando con los temas para el examen VDCA410 nos toca hablar de las configuraciones que tenemos en los switches distribuidos.

Relación entre switches distribuidos (vDS) y switches standard lógicos

Un switch distribuido entre las muchas cualidades que nos ofrece esta la de administrar y configurar todos los parámetros de red desde una manera centralizada aplicando todos los cambios a los servidores ESX/ESXi que pertenezcan a dicho switch distribuido.

Aquí en esta imagen podemos ver como es la arquitectura de vNetwork que hace posible el uso de switches distribuidos. Tenemos un “control plane” desde donde nosotros realizamos todas las configuraciones que necesitemos en dicho switch, el punto importante a entender aquí casi todas las modificaciones a los vDS se realizan desde vCenter. Después podemos ver “ProxySwitch”, estos switches son switches standard (vSS) a este elemento también se le llama I/O plane, aquí es donde ocurre todo el trafico de nuestras vms.

Uso de la línea de comando para realizar modificaciones en nuestros switches distribuidos

esxcfg-vswitch -Q <vmnic> -V <dvPort ID de la vmnic> <dvSwitch> #quitar un uplink
esxcfg-vswitch -P <vmnic> -V < dvPort ID si usar> <dvSwitch> #agregar un uplink
esxcfg-vswif -a -i <dirección ip> -n <mascara de subred> -V <dvSwitch> -P <DVPort Id> vswif0 #crea un vswif (service console y lo agrega a un switch distribuido).

Tipos de port binding

• Static binding: este es el default, aquí cada vNIC le corresponde un puerto de nuestro vDS en cuanto la vm se enciende se le asigna dicho puerto este puerto será de dicha vm hasta que esta sea removida del port group. Este es el valor recomendado por VMware. Aquí se preservan todos los datos y estadísticas de los puertos.

• Dynamic binding: aquí en el momento de encender una vm se le asigna un puerto, y cuando nosotros apagamos dicha vm se libera el puerto para ser utilizado por otra vm. Este tipo de binding es recomendado para ambientes donde tengamos una mayor cantidad de vms que el número de puertos disponibles en nuestro vDS. Aquí se preservan todos los datos y estadísticas de los puertos, es por eso que al tener configurado dynamic binding las vms deberán ser iniciadas desde el vCenter.

• Ephemeral: en este caso el puerto es creado y asignado en el momento que encendemos una vm y al apagar dicha vm este puerto es destruido. En este caso todas las estadísticas del puerto no son conservadas y podemos iniciar vms desde nuestros hosts ESX/ESXi o desde el vCenter.

Configurar live port moving

Esta función lo que nos permite es el poder migrar puertos standalone (puertos que no pertenecen a ningún portgroup) a un portgroup aun cuando este en uso, con esto se heredan todas las características de dicho port group sobre el puerto standalone. esta función es eliminada del GUI en la versión 4.1:

Estos puertos “standalone” solo pueden ser creados desde el SDK de VMware por lo cual yo creo que esta configuración fue removida del GUI.

Identificar que tipo de switch distribuido requerimos

Aquí básicamente es decidir si nos vamos por switches distribuidos VMware o compramos licencias adicionales para Cisco Nexus 1000v, honestamente si se tiene el dinero $$ es un gran plus contar con el switch cisco, debido a que nos ofrece bastantes ventajas entre las cuales podemos encontrar las siguientes:

• Cisco IOS: con esto podemos lograr una integración mucho más cercana entre el equipo de networking y los administradores de VMware, cada uno enfocándose a lo que les corresponde teniendo a los admins de la red trabajando con una interfaz que conocen muy bien.

• perfiles en los puertos: podemos configurar una gran cantidad políticas de seguridad,netflow,etc y estas políticas estarán viajando junto con la vm aunque se realice operaciones de VMotion.

• Opciones avanzadas de Cisco: Netflow,QoS,port security, etc etc, ustedes nombren.

Troubleshooting desde la línea de comando para nuestros vDS

Aquí podemos hacer uso de varios comandos como puede ser esxcfg-vswitch,esxcfg-vswif,esxcfg-route,etc. Aquí me interesa mas platicarles de un comando llamado net-dvs, con el cual podemos obtener información mucho más detallada de nuestros switches distribuidos:

Para poder ejecutar este comando necesitamos logearnos directamente al servidor sea por ssh o directo en la consola, y seguimos estos pasos:

Paso 1-. navegamos a la ruta /usr/lib/vmware/bin/ , aquí encontraremos un programa llamado net-dvs, el cual podríamos ejecutar y nos daría el display en la pantalla si nosotros quisiéramos ser capaces de leer toda la información podríamos ejecutar el siguiente comando:

/usr/lib/vmware/bin/net-dvs |more

Paso 2-. para mi gusto es mucho mas cómodo leer el output de este comando desde un notepad o un documento de word, aquí podríamos redirigir el output a un .txt

/usr/lib/vmware/bin/net-dvs > /tmp/confvds.txt

Vamos a analizar un poco lo que nos muestra este comando:

Que tal gente, continuando con los temas para el examen VDCA410 es momento de hablar sobre VLANs y PVLANs. Vamos a saber que utilidad tienen y como debemos configurarlas.

¿Qué es VLAN y PVLAN?

Una VLAN es la división de un broadcast domain en varios broadcast domains, podemos entender mas fácil este concepto como la división de una LAN en distintas LANs que viajan sobre el mismo medio físico y con esto podemos tener varias subnets y una división de los tráficos de manera efectiva. En esta imagen lo podemos de mejor manera:

Una PVLAN es también conocida como vlan secundaria, básicamente es dividir las VLANs en otras vlans, con esto lo que logramos es aislar la comunicación entre hosts de distintas pvlans por lo tanto ganamos seguridad.

¿Qué tipo de tagging de VLAN tenemos?

En VMware tenemos 3 tipos de realizar el tagging o etiquetado para las VLANs:

• Virtual machine guest tagging (VGT): el etiquetado de los paquetes con el número de VLAN es realizado por el sistema operativo, con esto logramos quitar la limitación que tenemos en cuanto a número de VLANs. Tenemos que tener en cuenta el hecho de un mayor consumo de CPU debido a el etiquetado de paquetes dentro del sistema operativo del cliente.

• External switch tagging (EST): el etiquetado de los paquetes se realiza una vez que llega al puerto del switch físico.

• Virtual switch tagging (VST): este es el modo de etiquetado más utilizado en infraestructuras VMware, nuestros switches virtuales se encargan de hacer el etiquetado de los paquetes. Nosotros definimos portgroups para nuestras máquinas virtuales y definimos un tag de vlan para cada uno de ellos,  solo es cuestión de conectar nuestras vms a los portgroups indicados según las vlans que requieran.

Ahora que sabemos todos los métodos para poder etiquetar nuestros paquetes es necesario especificar que tipos de PVLANs tenemos, existen 3 tipos en VMware:

• Promiscua (Promiscuous): como su nombre lo indica,cualquier vm conectada a una pvlan promiscua será capaz de comunicarse con todas las pvlans existentes ya sean isolated o community. Las pvlans promiscuas llevan el mismo tag que la vlan principal.
• Comunidad (Community): toda vm conectada a una pvlan de comunidad puede comunicarse con vms existentes dentro de su misma pvlan y con vms conectadas a pvlans promiscuas de la misma vlan principal.
• Aislada (Isolated): con este tipo de pvlan lo que tenemos es el aislamiento total de la vm conectada a esta pvlan, solo las vms conectadas a una pvlan promiscua podrán tener contacto ella.

Existen algunos puntos que debemos tener en cuenta en el caso de implementar pvlans:

• Todos los switches externos (físicos) tienen que ser compatibles con pvlans.
• El puerto en trunk deberá ser hecho para las vlans primarias no las secundarias (pvlans).

Tenemos 2 modos principales para nuestros puertos en un switch distribuido:

• VLAN: También conocido como access mode, estos puertos pertenecerán a una sola vlan principal.
• VLAN trunking: en este modo se permite tener varias vlans comunicándose a través del mismo puerto. Es necesario configurar este modo de puerto en los switches fisicos donde se estarán conectando nuestros servidores ESX/ESXi. Dentro de este modo tenemos un modo secundario:

Private VLAN: en este modo nosotros permitimos el uso de pvlans o vlans secundarias.

¿Cómo configuro VLANs en mis switches standard (vSS) y mis switches distribuidos (vDS)?

• Switches standard: en el caso de los vSS solo somos capaces de configurar vlans principales no pvlans, navegamos a Configuration>Networking y seleccionamos hacemos click en “properties” sobre un switch standard y seleccionamos un port group, estas vlans son configuradas en cada port group.

• Switches distribuidos (vDS): Navegamos a home>inventory>networking, una ves dentro seleccionamos nuestro por group hacemos click derecho sobre el seleccionando “edit settings”, esto nos abrirá una ventana donde seleccionaremos “VLAN” aquí configuramos que modo se estará utilizando, ya sea vlan , vlan trunking o private vlan.

Si nosotros quisiéramos configurar trunking seleccionamos “VLAN trunking” e ingresamos todas las vlans que se estarán utilizando:

En el caso de querer configurar pvlans seleccionamos nuestro vDS y damos click derecho sobre el, aquí configuraremos las pvlans que necesitemos:

Una vez configuradas las pvlans necesarias solo es cuestión de dictar en cada uno de los port groups el modo “Private VLAN” y seleccionar la pvlan que se necesita:

¿Cómo configuro vlans desde la línea de comando?

En el caso de utilizar la linea de comando solo podemos modificar o configurar el vlan id en nuestros switches standard, ya que dichas operaciones para los switches distribuidos solo pueden ser realizadas desde el vCenter.

para modificar o asignar un id 10 de VLAN para el port group llamado “Produccion” haríamos lo siguiente:

esxcfg-vswitch  -v 10 -p “Produccion” vSwitch1

-v VLAN ID

-p nombre de portgroup

Aquí también podríamos utilizar vicfg-vswitch en el caso de vSphere CLI.

Que tal gente, vamos a continuar con los temas para el examen VCDA-410, en este caso vamos a comenzar a tocar temas de redes estaremos hablando de funcionalidades avanzadas de networking en un ambiente vSphere.

Identificar configuraciones comunes para nuestros switches virtuales:

No desarrollaré este punto debido al ser conceptos muy comunes y sencillos, aquí les dejo fuentes por parte de VMware para que puedan repasar todos estos elementos:

http://www.vmware.com/files/pdf/virtual_networking_concepts.pdf

http://pubs.vmware.com/vi301/server_config/sc_adv_netwk.6.5.html

Determinar situaciones para aplicar IPV6 y como implementarlo

ipv6 fue creado para sustituir a IPv4 debido a las mejores capacidades que presenta, entre ellas la mayor cantidad de direcciones que se pueden crear utilizando IPv6. En el caso de VMware IPv6 ha sido soportado desde la versión 3.5  pero solo para las maquinas virtuales, es decir , las vms eran capaces de utilizar direcciones ipv6 pero los servidores ESX/ESXi no eran capaces.

Con vSphere ya tenemos la capacidad de utilizar IPv6 tanto en nuestras maquinas virtuales como para nuestros servidores ESX/ESXi, solo tenemos que tener en cuenta las siguientes restricciones:

• El uso de IPv6 con almacenamiento a través de IP (ISCSI,NFS) es soportado de manera experimental.
• VMware HA y FT  no soportan IPv6.
• ESX/ESXi no soporta el uso conjunto de TSO (TCP segmentation offload) e IPv6.

¿Cómo configuro IPv6?

ingresamos con nuestro vSphere client y navegamos a “Configuration>Networking>Properties…” y marcamos la casilla de “Enable IPv6 support on this host system” y reiniciamos el sistema.

Alternamente tenemos la capacidad de habilitar IPv6 desde la línea de comando:

Para configurar IPv6 para el vmkernel:

esxcfg-vmknic -6 true

Para configurar IPv6 para el service console:

esxcfg-vswif -6 true

¿Cómo verifico que efectivamente esta habilitado IPv6?

ingresamos el siguiente comando:

vmkload_mod -l   (o también podríamos hacer uso de esxcfg-module -l)

y nos tiene que dar un resultado como el siguiente:
Name                R/O Addr          Length      R/W Addr          Length        ID Loaded
tcpip2v6            0x4180225fd000    0xbd000     0x417fe3676f80    0×37000       47 Yes

¿Cómo configuro NetQueue?

NetQue es el nombre que VMware le da a su implementación de VMDq (virtual machine device queues), esta tecnología clasifica el trafico que fluye sobre las interfaces de red y crea filas  especificas para cada vm, esto es llevado a cabo por un elemento de hardware que se encuentra en tarjetas con esta tecnología. Esto permite quitarle carga al hypervisor y  mejora la velocidad de transmisión.

¿Cómo configuro NetQueue?

Por default en vSphere Netqueue viene habilitado, esto lo podemos verificar en “Configuration>Advanced Settings”

Anteriormente en VI 3.5 teníamos que activar el modulo de ixgbe para poder hacer uso de esta funcionalidad, en vSphere este modulo ya viene activado por lo que solo verificamos:

Ingresamos el comando:

esxcfg-module -g ixgbe

y nos dará un resultado como el siguiente:

ixgbe enabled = 1 options = ‘InterruptType=2,2 VMDQ=16,16′   — este resultado es presentado en una tarjeta de doble puerto.

Configurar SNMP

En un post anterior les mostré como configurar SNMP para nuestros servidores ESXi aquí les dejo el link ESXi Tips -02- Habilitar y verificar SNMP.

Determinar casos de uso y aplicar VMware DirectPath I/O

En este post podrán encontrar todo lo necesario VCAP -Sección 1- VMware DirectPath I/O

Migración y configuración a vDS

Como podemos saber desde el release de vSphere se integro un nuevo tipo de switches virtuales, Distributed Switches los cuales nos permiten una configuración desde solo una locación (vCenter) de todo el networking de nuestros servidores ESX/ESXi con lo cual nos olvidamos de la administración en cada uno de ellos:

Existen varias combinaciones en cuanto a switches standard y switches distribuidos, podemos tener un ambiente con switches standard para nuestro service console y vmkernel y para el tráfico de vms switches virtuales, o también podemos tener un ambiente totalmente constituido por switches distribuidos.

¿Cómo realizo la migración hacia switches distribuidos?

tenemos 2 opciones para realizar la migración

• migración con impacto a las VMs:

1. Realizamos la migración de nuestros portgroups de VMs , nuestros puertros de SC y VMkernel.
2. Migramos nuestras VMs hacia nuestros nuevos switches distribuidos (hasta este punto las maquinas virtuales tendrán perdida de red)

• migración sin impacto a las VMs: En este caso en especifico se realizará la migración de todas las tarjetas de red de manera separada, es decir, teniendo un nic teaming para el vmkernel,vms y service console. Solo migramos 1 tarjeta a la vez con esto no perdemos conexión.

1. Agregamos nuestro host ESX/ESXi a nuestro switch distribuido.
2. migramos una tarjeta del nic teaming para el tráfico de nuestras vms.
3. migramos las vms hacia el nuevo switch distribuido (el cual ya cuenta con una tarjeta de red).
4. realizamos la migración de las tarjetas sobrantes a nuestro switch distribuido.

Configurar switches standard (vSS) y switches distribuidos (vDS) desde la linea de comando

desde la linea de comando ya sea directo o remotamente utilizamos el esxcfg-vswitch para ambos tipos de switches virtuales, vamos a ver unos ejemplos:

• Switches standard

esxcfg-vswitch -U <vmnic> <vSwitch> #quitar un uplink (tarjeta de red)
esxcfg-vswitch -L <vmnic> <vSwitch> # agregar un uplink

• Switches Distribuidos

esxcfg-vswitch -Q <vmnic> -V <dvPort ID de la vmnic> <dvSwitch> #quitar un uplink
esxcfg-vswitch -P <vmnic> -V < dvPort ID si usar> <dvSwitch> #agregar un uplink
esxcfg-vswif -a -i <dirección ip> -n <mascara de subred> -V <dvSwitch> -P <DVPort Id> vswif0 #crea un vswif (service console y lo agrega a un switch distribuido).

Aquí les dejo un link para un whitepaper sobre las mejores practicas y configuraciones de switches distribuidos:

VMware vNetwork Distributed Switch: Migration and Configuration