Cisco UCS C220 M7 ako management server – Sieťová architektúra pre VMware klaster Part 3

Posted on By Martin Hasin No Comments on Cisco UCS C220 M7 ako management server – Sieťová architektúra pre VMware klaster Part 3

V predchádzajúcej časti sme sa venovali výberu hardvérovej platformy Cisco UCS C220 M7 ako základného prvku pre budovanie bezpečného a vysoko dostupného VMware klastra určeného pre management a zálohovanie. V tejto časti sa zameriame na návrh a implementáciu sieťovej architektúry, ktorá tvorí chrbticu každej virtualizovanej infraštruktúry. Správne navrhnutá sieť nie je len o redundancii, ale predovšetkým o optimalizácii dátových tokov, oddelení prevádzky, škálovateľnosti a jednoduchosti správy. Cisco UCS C220 M7 servery boli zapojené do dvojice Cisco Nexus switchov s cieľom zabezpečiť vysokú dostupnosť v sieťovej vrstve. Každý server je pripojený dvoma samostatnými 25 Gbit linkami, z ktorých každá smeruje do iného Nexus switcha, čím sa eliminuje riziko výpadku siete pri zlyhaní jedného prepínača. Navyše, servery sú medzi sebou prepojené dvoma dedikovanými 25 Gbit linkami, ktoré slúžia výlučne na internú komunikáciu v rámci VMotion a Storage vMotion – teda na účely migrácie virtuálnych strojov a ich diskových objemov bez ovplyvnenia prevádzky produkčných sietí. Každý server disponuje dvoma fyzickými sieťovými kartami – VIC 15425 a MLOM – ktoré sú zapojené redundantne a pracujú v režime Physical NIC Mode. Tento režim umožňuje transparentné prenášanie VLAN značiek bez zásahov zo strany ASIC čipu sieťovej karty, čím je dosiahnutá maximálna flexibilita v správe sieťovej segmentácie priamo v prostredí VMware. Zvolená topológia a architektúra tak vytvára pevnú a flexibilnú infraštruktúru pripravenú na prevádzku kritických systémových služieb aj ich budúce škálovanie.

Topológia pripojenia

Každý z dvoch serverov Cisco UCS C220 M7 je pripojený redundantne do dvoch Cisco Nexus switchov, čím je zabezpečená vysoká dostupnosť sieťovej vrstvy:

  • Každý server je pripojený 1× 25 Gbit linkou do každého z dvoch Nexus switchov.
  • Medzi servermi sú priamo vytvorené 2× 25 Gbit prepoje. Tieto slúžia výhradne pre VMotion a Storage vMotion, čo zabezpečuje dedikovanú a vysokokapacitnú cestu pre migrácie VM a prenos diskových obrazov.

Segmentácia a účel sietí

Sieť je logicky rozdelená podľa funkcií:

Smer komunikáciePopis
Servery ↔ Nexus switchExterná komunikácia pre VM, prístup k internetu, management VMware
Servery ↔ Servery (25G linky)Dedikovaná sieť pre VMotion a Storage vMotion

Takto rozdelená architektúra výrazne zvyšuje výkonnosť a znižuje interferenciu medzi produkčnými a systémovými tokmi dát.

Sieťové adaptéry a redundancia

Každý server je osadený dvoma fyzickými sieťovými kartami:

  • Cisco VIC 15425
  • MLOM (Modular LAN on Motherboard)

Obidve sieťové karty sú nakonfigurované redundantne:

  • Port z prvej karty vedie do prvého Nexus switcha
  • Port z druhej karty vedie do druhého Nexus switcha

Táto konfigurácia eliminuje single point of failure v rámci fyzickej sieťovej vrstvy.

Obe sieťové karty boli nakonfigurované v režime:

When Physical NIC Mode is enabled, up-link ports of the VIC are set to pass-through mode.
This allows the host to transmit packets without any modification.
VIC ASIC does not rewrite the VLAN tag of the packets based on the VLAN and CoS settings for the vNIC.

Tento režim som zvolil z dôvodu jednoduchšej správy VLAN segmentácie priamo cez VMware vSphere, kde každá virtuálna sieť (portgroup) priamo spravuje tagovanie bez potreby ďalších zásahov do sieťového adaptéra. Znamená to, že všetky VLAN tagy sú prenášané transparentne, bez zásahov na úrovni hardvérového ASIC-u v sieťovej karte.

VMware sieťová architektúra: oddelenie produkcie od systémových operácií

Na každom zo serverov Cisco UCS C220 M7 je nainštalovaný VMware ESXi, pričom sieťová architektúra v rámci hypervízora je navrhnutá s dôrazom na oddelenie prevádzky produkčných virtuálnych strojov od systémovej infraštruktúry (vMotion, Storage vMotion). Každý hypervízor je nakonfigurovaný so dvoma nezávislými virtuálnymi switchmi (vSwitch), ktoré reflektujú fyzickú sieťovú segmentáciu:

vSwitch0 – Produkčný prevádzkový switch

  • Účel: Produkčný traffic virtuálnych strojov, komunikácia s internetom, DNS, Active Directory, prístup do LAN
  • Fyzické uplinky:
    • 1× uplink z karty VIC → Nexus A
    • 1× uplink z karty MLOM → Nexus B
  • Portgroupy:
    • VM_Network – Hlavná sieť pre VM
    • Management – Prístup na správu ESXi (vSphere/vCenter)

vSwitch1 – Systémový switch pre vMotion a Storage vMotion

  • Účel: Interná komunikácia pre migráciu VM a prenos diskov (bez smerovania do LAN alebo internetu)
  • Fyzické uplinky:
    • 2× 25G priame linky medzi servermi (NIC-to-NIC)
  • Portgroupy:
    • vMotion_Network
    • Storage_vMotion_Network

Týmto rozdelením dosahujeme:

  • Úplnú fyzickú a logickú separáciu trafficu – produktívna prevádzka a VM migrácie sa nikdy nemiešajú.
  • Zvýšenú výkonnosť migrácií – linky určené pre vMotion nie sú zdieľané s inou prevádzkou.
  • Zvýšenú bezpečnosť – žiadne dáta z vMotion siete nie sú smerovateľné mimo systém.

Dôležité nastavenia vo VMware

  • Na portgroupách pre vMotion a Storage_vMotion musí byť aktivovaná vMotion služba v VMkernel Adapter (VMK).
  • vMotion a Storage vMotion môžu používať oddelené VMkernel adaptéry, každé s vlastným IP rozsahom.

CEO at  | martin.hasin@gmail.com | Website |  + posts

Odborník na kybernetickú bezpečnosť, správu Azure Cloud a VMware onprem. Využíva technológie, ako Checkmk a MRTG, na monitorovanie siete a zvyšovanie efektívnosti a bezpečnosti IT infraštruktúry. Kontakt: hasin(at)mhite.sk

vSphere Tags:, , , , , , , , , , , , , ,

Leave a Reply

Your email address will not be published. Required fields are marked *

en_US
sk_SK en_US