vsphere數據中心網絡規劃實踐

使用vsphere也有幾年時間了，基本保持每一年一次大版本升級，從5.0版升級到5.5、6.0，最近開始部署6.5，最頭疼的問題就是網絡規劃，這也是vsphere部署的重點。

 

從傳統數據中心轉型時，只有4臺HP機架式服務器，壓根沒考慮過網絡規劃的事，跟原來的服務器混用一個vlan，一個C類地址。這也就形成了之後的各類麻煩，隨着服務器的增長，IP不夠用，安全性沒有保障。

雖然數據中心能夠正常運轉，可是不合理，趁着規模小，又遇上升級6.5，正好從新規劃一下網絡。

 

根據最佳實踐作法，Management、vMotion、vSphereFT、iSCSI等的網絡相互隔離，從而提升安全性和性能。同時每一個網絡建議配置2塊物理網卡用做冗餘和負載均衡，根據最佳實踐可能至少須要6塊網卡，多則十幾塊網卡，這對標配4塊網卡的機架式服務器是不現實的。

 

個人標準配置是4塊網卡，vMotion、Management和vSphereFT網絡共用2塊網卡，生產網絡用2塊網卡。vSwitch使用access端口，vSphere Distributed Switch使用trunk模式。

 

vlan20 172.20.20.1/24 HP oa、vc、ilo、FC SAN存儲等硬件管理地址

vlan21 172.20.21.1/24 vcenter、vsphere、vcops、vdp等VMware地址

     172.20.0.1/24 vmotion地址

     172.20.1.1/24 vSphere FT地址

vlan100 x.x.x.x/24 對外web服務地址

vlan200 x.x.x.x/24 對內業務運維平臺地址

vMotion和vSphereFT走二層便可，無需配置路由，在vsphere6.5版本中可爲vMotion配置獨立的TCP/IP堆棧。

在vMotion網絡配置上犯過一個錯誤，之前都爲vMotion網絡配置獨立的VMkernel，升級到6.0的時候發現作到Management裏也沒問題，就再也不爲vMotion配置獨立地址，在雙物理網卡的狀況下通常是不會出現問題的，可是當一塊物理網卡出現故障時作vMotion操做就會致使單播泛洪。

 

安全策略:

1. 經過三層交換的acl或端口隔離阻止互相訪問

2. 防火牆上的策略只容許管理員訪問管理地址

 

最佳實踐網絡拓撲圖以下，建議上行端口分佈到兩臺交換機上實現冗餘。