VMware Standard Virtual Switch

가상스위치는 VMkernel 위에서 CPU 파워를 이용하여 소프트웨어 기반으로 작동되는 OSI Layer 2 기반의 스위치이다.

물리적인 L2 스위치와 비교하자면 몇 가지 공통점과 차이점을 가지고 있다.

기본적으로 L2 스위치 본연의 임무로 MAC 주소를 전달해 준다는 점과 표준 VLAN 구성 및 업링크 연결까지 지원해 준다는점

반면, 차이점으론 루프 구조가 형성되지 않기 때문에 스패닝 트리 프로토콜이 작동하지 않는데, 즉 가상 스위치와 가상스위치끼리 직접 연결할 수 있는 방법이 존재하지 않는다는 것 또한 별도의 외부 인터페이스를 가지고 있지 않기 때문에 가상 스위치 내부 구성 자체를 열어볼 수 없다는 점

ESX 서버 가상 스위치는 OSI의 Layer2에 기반하여 라우팅 기능이 전혀 없음

ESX 서버 내에서 만들 수 있는 최대 가상 스위치 개수는 248개이며 하나의 가상 스위치에는 최대 4088개 가상 네트워크 포트를 가질 수 있는데 호스트 한 대에서 최대 가질 수 있는 가상 네트워크 포트는 4096개로 제한되어 있음

 

-Port Group

가상스위치를 생성하게 되면 최소한 무조건 한 개 이상의 포트그룹을 생성해야한다. 실제 가상머신이 가상 스위치와 연결하기 위해서는 가상 스위치 이름을 보고 연결하는 것이 아니라 각 가상 스위치에 생성된 포트 그룹명에 연결하는 것

포트 그룹은 보안과 트래픽 단위 조절 그리고 네트워크 이중화와 같은 속성을 지정할 수 있는 일종의 템플릿 단위로 이해하는게 편하다

특별한 속성을 부여하지 않으면 가상 스위치의 속성을 그대로 이어 받는다.

 

포트그룹은 아래와 같이 3가지 종류가 존재한다

-가상머신 포트 그룹 : 가상머신이 통신하기 위한 설정

-VMkernel 포트 그룹 : vMotion, iSCSI와 같이 VMkernel이 외부와 연결하기 위한 설정

-서비스 콘솔 포트 그룹 : 서비스 콘솔이 외부와 통신하기 위해 설정

 

-NIC Teaming

두 개 이상의 물리적인 NIC를 하나의 그룹으로 묶어 장애 대비를 도모함과 동시 네트워크 트래픽의 부하를 분산을 담당

linux에서는 Bonding이라 부르기도 한다.

 

-Load balancing

물리적인 NIC 트래픽 부하 분산을 위해 네트워크 드라이버 레벨에서 제공

vSphere의 가상 스위치에서 제공하는 모든 로드밸런싱은 전부 Transmit 네트워크 트래픽, 즉 ESX 서버에서 외부로 전달되는 네트워크 트래픽에 대해서만 관여하며, Receive 트래픽, 즉 외부에서 ESX 서버로 들어오는 네트워크 트래픽에 대해서는 로드밸런싱 기능이 작동되지 않는 점

ESX서버에서 선택할 수 있는 가상 스위치 레벨의 4가지 로드밸런싱 옵션

-가상 스위치 포트 기반

-MAC 주소 기반

-IP Hash 기반

-Explicit Failover Order

 

 

Network Failover Detection(네트워크 페일오버 검색)

두개의 NIC를 하나의 논리적인 네트워크 어댑터에 묶어 첫번째 NIC에서 네트워크 트래픽이 전달되다가 네트워크 링크에 문제가 생겨 더 이상 네트워크 트래픽 전송이 불가능해질 경우 자동으로 남아 있는 다른 두 번째 NIC로 네트워크 트래픽이 전달되는 방식

기본적으로 두 가지 옵션을 가지고 있다

-Link Status Only: ESX서버의 물리적인 NIC 상태에 문제가 발생할 경우, 즉 물리적 NIC에 연결되어 있는 케이블이 빠지거나 또는 상단에 연결되어 있는 물리적인 스위치의 포트에 문제가 생겨 링크가 끊어질 경우를 위한 가장 기본적인 작동방식

-Beacon Probing: 스위치와 업링크포트에 문제가 생겼으나 ESX서버가 연결된 스위치의 포트가 여전히 살아있다면 ESX 서버는 상단 업링크에 연결되어 있는 스위치에서 어떤 문제가 생겼는지 Link Status Only만으로 알 수 있는 방법이 없다. Beacon Probing은 이러한 문제를 소프트웨어적으로 해결하기 위한 방법 중의 하나이다.

 

 

Traffic Shaping(트래픽조절)

외부로 나가는 네트워크 트래픽에 대하여 제한을 걸어두는 방법

표준 가상 스위치의 경우 외부에서 들어오는 Incoming 네트워크 트래픽에 대해서는 트래픽 쉐이핑을 설정하더라도 적용되질 않으며 Outgoing 네트워크 트래픽에 대해서만 적용된다

기본값으로 Disabled로 되어 있으며 모든 가상머신들은 기본적으로 네트워크 트래픽의 수치 제한 없이 통신을 하게된다

 

Security(보안)

가상스위치 또는 포트 그룹별로 설정할 수 있는 보안 속성은 크게 3가지가 있다.

-Promiscuous Mode(비규칙모드): 침입 및 탐지 또는 포트미러링과 같은 환경에서 가상머신을 사용해야 할 경우 사용, 해당 포트에서는 스위치에서 넘나드는 모든 패킷을 여과 없이 그대로 전부 다 열어볼 수 있다

-MAC Address Change(MAC주소변경): 거부로 되어 있을 경우 그 가상 스위치에 연결된 어떤 가상머신에게 MAC 주소 변경이 가해진다면 가상 스위치는 즉각 해당 가상 머신에게 들어오는 모든 inbound 네트워크 프레임을 전부 drop시킨다

-Forged Transmit(위조전송): MAC Address Change와 유사하지만 네트워크 트래픽에 대해서는 관여하지 않는다.

 

 

가상스위치 포트 수 변경

: 표준 가상 스위치를 생성하면 기본적으로 56개의 포트 수를 가지고 있지만 가상머신의 개수에 맞게 변경이 가능, 고정 단위는 8,24,56,120,248 이상의 숫자만 선택할 수 있고 임의로 포트 수 번호를 변경할 수 없다 또한 온라인 상에서 변경하더라도 ESX서버를 재시작하지 않고서는 변경된 값이 적용되지 않으니 유의