主机eisa配置
eisa配置 时间:2021-03-27 阅读:(
)
ESXi配置指南ESXi4.
0vCenterServer4.
0ZH_CN-000114-00ESXi配置指南2VMware,Inc.
您可以在VMware的网站上找到最新的技术文档,网址为http://www.
vmware.
com/cn/support/VMware网站还提供了最新的产品更新.
如果您对本文档有任何意见和建议,请将您的反馈提交到:docfeedback@vmware.
com2009VMware,Inc.
保留所有权利.
本产品受美国和国际版权及知识产权法的保护.
VMware产品受一项或多项专利保护,有关专利详情,请访问http://www.
vmware.
com/go/patents-cn.
VMware、VMware"箱状"徽标及设计、VirtualSMP和VMotion都是VMware,Inc.
在美国和/或其他法律辖区的注册商标或商标.
此处提到的所有其他商标和名称分别是其各自公司的商标.
VMware,Inc.
3401HillviewAve.
PaloAlto,CA94304www.
vmware.
com北京办公室北京市海淀区科学院南路2号融科资讯中心C座南8层www.
vmware.
com/cn上海办公室上海市浦东新区浦东南路999号新梅联合广场23楼www.
vmware.
com/cn广州办公室广州市天河北路233号中信广场7401室www.
vmware.
com/cn目录关于本文档71ESXi配置简介9网络2网络简介13网络概念概述13网络服务14在vSphereClient中查看网络信息14在vSphereClient中查看网络适配器信息143vNetwork标准交换机的基本网络17vNetwork标准交换机17端口组18虚拟机的端口组配置18VMkernel网络配置19vNetwork标准交换机属性214vNetwork分布式交换机的基本网络23vNetwork分布式交换机架构23配置vNetwork分布式交换机24dvPort组26专用VLAN27配置vNetwork分布式交换机网络适配器29在vNetwork分布式交换机上配置虚拟机网络325高级网络33Internet协议第6版33网络策略34更改DNS和路由配置45MAC地址46TCP分段清除和巨帧47NetQueue和网络性能49VMDirectPathGenI506网络最佳做法、场景和故障排除51网络最佳做法51挂载NFS卷52VMware,Inc.
3故障排除52存储器7存储器简介55关于ESXi存储器55物理存储器的类型55支持的存储适配器57目标和设备表示形式57关于ESXi数据存储59比较存储器类型61在vSphereClient中查看存储器信息628配置ESXi存储器67本地SCSI存储器67光纤通道存储器68iSCSI存储器68存储刷新和重新扫描操作77创建VMFS数据存储78网络附加存储79创建诊断分区809管理存储器83管理数据存储83更改VMFS数据存储属性85管理重复VMFS数据存储87在ESXi中使用多路径89精简置备9610裸机映射99关于裸机映射99裸机映射特性102管理映射的LUN105安全11ESXi系统的安全111ESXi架构和安全功能111安全资源和信息11612确保ESXi配置的安全117使用防火墙确保网络安全117通过VLAN确保虚拟机安全122确保虚拟交换机端口安全125确保iSCSI存储器安全127ESXi配置指南4VMware,Inc.
13身份验证和用户管理129通过身份验证和权限确保ESXi的安全129ESXi加密和安全证书13514安全部署和建议141常见ESXi部署的安全措施141ESXi锁定模式143虚拟机建议144主机配置文件15管理主机配置文件151主机配置文件使用情况模型151访问主机配置文件视图152创建主机配置文件152导出主机配置文件153导入主机配置文件153编辑主机配置文件153管理配置文件155检查合规性157索引159目录VMware,Inc.
5ESXi配置指南6VMware,Inc.
关于本文档本手册(《ESXi配置指南》)提供有关如何为ESXi配置网络的信息,其中包括如何创建虚拟交换机和端口,以及如何为虚拟机、VMotion和IP存储器设置网络的信息.
此外还论述了如何配置文件系统及各种类型的存储器,如iSCSI、光纤通道等等.
为了帮助保护ESXi,本指南提供了有关ESXi中内置安全功能的论述,以及为使其免受攻击而可采取的措施.
此外,它还包括一个ESXi技术支持命令及其vSphereClien等效指令的列表,以及vmkfstools实用程序的描述.
此信息涉及ESXi4.
0.
目标读者本手册专为需要安装、升级或使用ESXi的用户提供.
本手册的目标读者为熟悉数据中心操作且具丰富经验的Windows或Linux系统管理员.
文档反馈VMware欢迎您提出宝贵建议,以便改进我们的文档.
如有意见,请将反馈发送到docfeedback@vmware.
com.
VMwarevSphere文档vSphere文档包括VMwarevCenterServer和ESXi文档集.
图中使用的缩写本手册中的图片使用表1中列出的缩写形式.
表1.
缩写缩写描述数据库vCenterServer数据库数据存储受管主机的存储器dsk#受管主机的存储磁盘hostnvCenterServer受管主机SAN受管主机之间共享的存储区域网络类型数据存储tmplt模板user#具有访问权限的用户VCvCenterServerVM#受管主机上的虚拟机VMware,Inc.
7技术支持和教育资源您可以获取以下技术支持资源.
有关本文档和其他文档的最新版本,请访问:http://www.
vmware.
com/support/pubs.
在线支持和电话支持要通过在线支持提交技术支持请求、查看产品和合同信息以及注册您的产品,请访问http://www.
vmware.
com/support.
客户只要拥有相应的支持合同,就可以通过电话支持,尽快获得对优先级高的问题的答复.
请访问http://www.
vmware.
com/support/phone_support.
html.
支持服务项目要了解VMware支持服务项目如何帮助您满足业务需求,请访问http://www.
vmware.
com/support/services.
VMware专业服务VMware教育服务课程提供了大量实践操作环境、案例研究示例,以及用作作业参考工具的课程材料.
这些课程可以通过现场指导、教室授课的方式学习,也可以通过在线直播的方式学习.
关于现场试点项目及实施的最佳实践,VMware咨询服务可提供多种服务,协助您评估、计划、构建和管理虚拟环境.
要了解有关教育课程、认证计划和咨询服务的信息,请访问http://www.
vmware.
com/services.
ESXi配置指南8VMware,Inc.
ESXi配置简介1本指南将介绍配置ESXi主机网络、存储器和安全需要完成的任务.
此外,本指南还提供有关有助于了解这些任务以及如何根据需要部署主机的概述、建议和概念性论述.
在使用此信息之前,请阅读《vSphere简介》以了解系统结构以及组成vSphere系统的物理和虚拟设备的概述.
此简介概括了本指南的内容.
网络网络信息使您了解物理和虚拟网络概念,介绍配置ESXi主机的网络连接需要完成的基本任务,并对高级网络主题和任务进行论述.
存储器存储器信息提供有关存储器的基本认识,介绍配置和管理ESXi主机存储器所要执行的基本任务,并对如何设置裸机映射(RDM)进行论述.
安全安全信息介绍VMware已内置到ESXi中的安全措施,以及为保护主机免受安全危胁所采取的措施.
这些措施包括使用防火墙、利用虚拟交换机的安全功能以及设置用户身份验证和权限.
主机配置文件本节介绍主机配置文件的功能,以及如何使用它将主机配置封装到主机配置文件.
本节还将介绍如何将此主机配置文件应用于其他主机或群集、如何编辑配置文件以及如何检查主机是否与配置文件相符.
VMware,Inc.
9ESXi配置指南10VMware,Inc.
网络VMware,Inc.
11ESXi配置指南12VMware,Inc.
网络简介2此网络简介可帮助您了解ESXi网络的基本概念以及如何在vSphere环境中设置和配置网络.
本章讨论了以下主题:n第13页,"网络概念概述"n第14页,"网络服务"n第14页,"在vSphereClient中查看网络信息"n第14页,"在vSphereClient中查看网络适配器信息"网络概念概述一些概念对透彻了解虚拟网络至关重要.
如果您是ESXi的新用户,则了解这些概念将对您很有帮助.
物理网络是为了使物理机之间能够收发数据而在物理机间建立的网络.
VMwareESXi运行于物理机之上.
虚拟网络是运行于单台物理机之上的虚拟机之间为了互相发送和接收数据而相互逻辑连接所形成的网络.
虚拟机可连接到在添加网络时创建的虚拟网络.
物理以太网交换机管理物理网络上计算机之间的网络流量.
一台交换机可具有多个端口,每个端口都可与网络上的一台计算机或其他交换机连接.
可按某种方式对每个端口的行为进行配置,具体取决于其所连接的计算机的需求.
交换机将会了解到连接其端口的主机,并使用该信息向正确的物理机转发流量.
交换机是物理网络的核心.
可将多个交换机连接在一起,以形成较大的网络.
虚拟交换机vSwitch的运行方式与物理以太网交换机十分相似.
它检测与其虚拟端口进行逻辑连接的虚拟机,并使用该信息向正确的虚拟机转发流量.
可通过使用物理以太网适配器(也称为上行链路适配器)将虚拟网络连接至物理网络,以将vSwitch连接到物理交换机.
此类型的连接类似于将物理交换机连接在一起以创建较大型的网络.
即使vSwitch的运行方式与物理交换机十分相似,但它不具备物理交换机所拥有的一些高级功能.
vNetwork分布式交换机在数据中心上的所有关联主机之间充当单一vSwitch.
这使得虚拟机可在跨多个主机进行迁移时确保其网络配置保持一致.
dvPort是vNetwork分布式交换机上的一个端口,连接到主机的服务控制台或VMkernel,或者连接到虚拟机的网络适配器.
端口组为每个端口指定了诸如宽带限制和VLAN标记策略之类的端口配置选项.
网络服务通过端口组连接vSwitch.
端口组定义通过vSwitch连接网络的方式.
通常,单个vSwitch与一个或多个端口组关联.
dvPort组是与vNetwork分布式交换机关联的端口组,它为每个成员端口指定端口配置选项.
dvPort组定义如何通过vNetwork分布式交换机连接到网络.
当多个上行链路适配器与单一vSwitch相关联以形成小组时,就会发生网卡绑定.
小组将物理网络和虚拟网络之间的流量负载分摊给其所有或部分成员,或在出现硬件故障或网络中断时提供被动故障切换.
VMware,Inc.
13VLAN可用于将单个物理LAN分段进一步分段,以便使端口组中的端口互相隔离,就如同位于不同物理分段上一样.
标准是802.
1Q.
VMkernelTCP/IP网络堆栈支持iSCSI、NFS和VMotion.
虚拟机运行其自身系统的TCP/IP堆栈,并通过虚拟交换机连接至以太网级别的VMkernel.
IP存储器是指将TCP/IP网络通信用作其基础的任何形式的存储器.
iSCSI可用作虚拟机数据存储,NFS可用作虚拟机数据存储并用于直接挂载.
ISO文件,这些文件对于虚拟机显示为CD-ROM.
TCP分段卸载(TSO)可使TCP/IP堆栈发出非常大的帧(达到64KB),即使接口的最大传输单元(MTU)较小也是如此.
然后网络适配器将较大的帧分成MTU大小的帧,并预置一份初始TCP/IP标头的调整后副本.
借助"通过VMotion迁移",可在ESXi主机之间转移已启动的虚拟机,而无需关闭虚拟机.
可选VMotion功能需要其自身的许可证密钥.
网络服务vNetwork向主机和虚拟机提供了多种不同服务.
可以在ESXi中启用两种类型的网络服务:n将虚拟机连接到物理网络以及相互连接虚拟机.
n将VMkernel服务(如NFS、iSCSI或VMotion)连接至物理网络.
在vSphereClient中查看网络信息vSphereClient显示了一般网络信息及网络适配器的特定信息.
步骤1登录vSphereClient,在"清单"面板中选择主机.
2依次单击配置选项卡和网络.
3单击虚拟交换机以查看主机上的vNetwork标准交换机网络,或单击分布式虚拟交换机以查看主机上的vNetwork分布式交换机网络.
分布式虚拟交换机选项仅出现在与vNetwork分布式交换机关联的主机上.
即会显示主机上的每个虚拟交换机的网络信息.
在vSphereClient中查看网络适配器信息您可以查看主机上的每个物理网络适配器的有关信息,如速度、双工和观察的IP范围.
步骤1登录vSphereClient,在"清单"面板中选择主机.
2单击配置选项卡,然后单击网络适配器.
网络适配器面板显示以下信息.
选项描述设备网络适配器的名称速度网络适配器的实际速度和双工已配置网络适配器的已配置速度和双工vSwitch网络适配器所关联的vSwitchESXi配置指南14VMware,Inc.
选项描述观察的IP范围网络适配器可访问的IP地址支持LAN唤醒网络适配器支持LAN唤醒功能第2章网络简介VMware,Inc.
15ESXi配置指南16VMware,Inc.
vNetwork标准交换机的基本网络3下列主题引导您在vSphere环境中完成基本vNetwork标准交换机(vSwitch)的网络设置和配置.
使用vSphereClient,添加基于以下类别的网络,这些类别反映网络服务类型:n虚拟机nVMkernel本章讨论了以下主题:n第17页,"vNetwork标准交换机"n第18页,"端口组"n第18页,"虚拟机的端口组配置"n第19页,"VMkernel网络配置"n第21页,"vNetwork标准交换机属性"vNetwork标准交换机可以创建名为vNetwork标准交换机(vSwitch)的抽象网络设备.
vSwitch可在虚拟机之间进行内部流量路由或链接至外部网络.
使用vSwitch组合多个网络适配器的带宽并平衡它们之间的通信流量.
也可将vSwitch配置为处理物理网卡故障切换.
vSwitch模拟物理以太网交换机.
vSwitch的默认逻辑端口数量为56个.
但在ESXi中可以有多达1016个端口.
每个端口均可连接一个虚拟机网络适配器.
与vSwitch关联的每个上行链路适配器均使用一个端口.
vSwitch的每个逻辑端口都是单一端口组的成员.
还可向每个vSwitch分配一个或多个端口组.
最多可在单台主机上创建127个vSwitch.
当两个或多个虚拟机连接到同一vSwitch时,它们之间的网络流量就会在本地进行路由.
如果将上行链路适配器连接到vSwitch,每个虚拟机均可访问该适配器所连接到的外部网络.
VMware,Inc.
17端口组端口组将多个端口聚合在一个公共配置下,并为连接到带标记网络的虚拟机提供稳定的定位点.
最多可在单台主机上创建512个端口组.
每个端口组都由一个对于当前主机保持唯一的网络标签来标识.
使用网络标签,可以使虚拟机配置可在主机间移植.
对于数据中心中物理连接到同一网络的所有端口组(即每组都可以接收其他组的广播),会赋予同一标签.
反过来,如果两个端口组无法接收对方的广播,则会赋予不同的标签.
VLANID是可选的,它用于将端口组流量限制在物理网络内的一个逻辑以太网网段中.
要使端口组到达其他VLAN上的端口组,必须将VLANID设置为4095.
如果使用VLANID,则必须一起更改端口组标签和VLANID,以便标签能够正确地表示连接性.
虚拟机的端口组配置可以从vSphereClient添加或修改虚拟机端口组.
vSphereClient的添加网络向导将引导您完成与虚拟机相连的虚拟网络的创建任务,该任务包括创建vSwitch和配置网络标签设置.
设置虚拟机网络时,需要考虑是否在主机之间的网络中迁移虚拟机.
如果需要,请确保两台主机均位于同一广播域(即同一第2层子网)内.
ESXi不支持在不同广播域中的主机之间进行虚拟机迁移,因为迁移后的虚拟机可能需要在其被移至另一个网络后不再可访问的系统和资源.
即使网络配置设置为高可用性环境或包括可解决不同网络中虚拟机需求的智能交换机,当ARP表格为虚拟机进行更新并恢复网络流量时,仍会遇到网络延迟.
虚拟机通过上行链路适配器接入物理网络.
只有当一个或多个网络适配器连接到vSwitch时,vSwitch才能将数据传输到外部网络.
当两个或多个适配器连接到单个vSwitch时,它们便以透明方式进行组合.
添加虚拟机端口组虚拟机端口组为虚拟机提供网络连接.
步骤1登录vSphereClient,在"清单"面板中选择主机.
2依次单击配置选项卡和网络.
3选择"虚拟交换机"视图.
vSwitch将显示在包括详细信息布局的概述中.
4在页面右侧,单击添加网络.
5接受默认连接类型(虚拟机),然后单击下一步.
6选择创建虚拟交换机或所列出的一台现有vSwitch及其关联物理适配器,以用于此端口组.
创建新的vSwitch不一定要使用以太网适配器.
如果创建的vSwitch不带物理网络适配器,则该vSwitch上的所有流量仅限于其内部.
物理网络上的其他主机或其他vSwitch上的虚拟机均无法通过此vSwitch发送或接收流量.
如果想要一组虚拟机互相进行通信但不与其他主机或虚拟机组之外的虚拟机进行通信,则可创建一个不带物理网络适配器的vSwitch.
7单击下一步.
8在"端口组属性"组中,输入用于标识所创建的端口组的网络标签.
网络标签用于标识两个或多个主机共有且与迁移兼容的连接.
ESXi配置指南18VMware,Inc.
9(可选)如果使用的是VLAN,在VLANID字段中输入一个介于1和4094之间的数字.
如果使用的不是VLAN,则将此处留空.
如果输入0或将该选项留空,则端口组只能看到未标记的(非VLAN)流量.
如果输入4095,端口组可检测到任何VLAN上的流量,而VLAN标记仍保持原样.
10单击下一步.
11确定vSwitch配置正确之后,单击完成.
VMkernel网络配置VMkernel网络接口用于VMwareVMotion和IP存储器.
在ESXi中,VMkernel网络接口为ESXi主机提供网络连接,还处理VMotion和IP存储器.
在主机之间移动虚拟机称为迁移.
使用VMotion,可以在不停机的情况下迁移已启动的虚拟机.
必须正确设置VMkernel网络连接堆栈,以容纳VMotion.
IP存储器是指将TCP/IP网络通信用作其基础的任何形式的存储器,包括用于ESXi的iSCSI和NFS.
由于这些存储器类型都基于网络,因此它们可使用相同的VMkernel接口和端口组.
VMkernel提供的网络服务(iSCSI、NFS和VMotion)使用VMkernel中的TCP/IP堆栈.
此TCP/IP堆栈与用于服务控制台中的TCP/IP堆栈完全隔离.
其中的每个TCP/IP堆栈均通过连接到一个或多个vSwitch上的一个或多个端口组来访问各种网络.
VMkernel级别的TCP/IP堆栈VMwareVMkernelTCP/IP网络堆栈以多种方式为它所处理的各种服务提供网络支持.
VMkernelTCP/IP堆栈用以下方式处理iSCSI、NFS和VMotion.
n作为虚拟机数据存储的iSCSIn用于直接挂载.
ISO文件的iSCSI,.
ISO文件对于虚拟机显示为CD-ROMn作为虚拟机数据存储的NFSn用于直接挂载.
ISO文件的NFS,.
ISO文件对于虚拟机显示为CD-ROMn通过VMotion迁移如果有两个或更多的物理网卡用于iSCSI,则可以通过使用端口绑定技术创建软件iSCSI的多个路径.
有关端口绑定的详细信息,请参见《iSCSISAN配置指南》.
注意ESXi仅支持TCP/IP上的NFS版本3.
设置VMkernel网络创建用作VMotion接口或IP存储端口组的VMkernel网络适配器.
步骤1登录vSphereClient,在"清单"面板中选择主机.
2依次单击配置选项卡和网络.
3在"虚拟交换机"视图中,单击添加网络.
4选择VMkernel,然后单击下一步.
5选择要使用的vSwitch,或选择创建虚拟交换机以创建一个新的vSwitch.
第3章vNetwork标准交换机的基本网络VMware,Inc.
196选中与vSwitch要使用的网络适配器相对应的复选框.
为每个vSwitch选择适配器,以便使通过适配器连接的虚拟机或其他设备可访问正确的以太网分段.
如果"创建新的虚拟交换机"下方未出现适配器,则表明系统中的所有网络适配器均被现有vSwitch使用.
可以在不使用网络适配器的情况下创建新的vSwitch,也可以选择由现有vSwitch使用的网络适配器.
7单击下一步.
8选择或输入网络标签和VLANID.
选项描述网络标签用于识别所创建端口组的名称.
此标签是在配置诸如VMkernel服务(如VMotion和IP存储器)的过程中,配置要连接到此端口组的虚拟适配器时指定的.
VLANID用于识别端口组网络流量将使用的VLAN.
9选择将此端口组用于VMotion,以便允许此端口组对另一个主机将其自身通告为应在其中发送vMotion流量的网络连接.
对于每个主机来说,只能为其中一个vMotion和IP存储器端口组启用此属性.
如果没有为任何端口组启用此属性,则无法通过vMotion向此主机进行迁移.
10选择是否将此端口组用于容错日志记录,然后单击下一步.
11选择自动获得IP设置以使用DHCP获得IP设置,或选择使用以下IP设置来手动指定IP设置.
如果选择手动指定IP设置,则提供此信息.
a输入VMkernel接口的IP地址和子网掩码.
此地址必须不同于为服务控制台设置的IP地址.
b单击编辑以设置VMkernel服务(如VMotion、NAS和iSCSI)的VMkernel默认网关.
c默认情况下,DNS配置选项卡上已输入主机名称.
如同域一样,在安装期间指定的DNS服务器地址也已预先选定.
d在路由选项卡中,服务控制台和VMkernel均需要其自身的网关信息.
如果要连接到与服务控制台或VMkernel不在同一个IP子网上的计算机,则需要网关.
默认设置为静态IP设置.
e单击确定,然后单击下一步.
12在启用了IPV6的主机上,选择不使用IPv6设置以便针对VMkernel接口仅使用IPv4设置,或选择使用以下IPv6设置为VMkernel接口配置IPv6.
如果在主机上禁用了IPv6,此屏幕将不出现.
13如果选择针对VMkernel接口使用IPv6,请选择以下选项之一来获取IPv6地址.
n通过DHCP自动获取IPv6地址n通过路由器通告自动获取IPv6地址n静态IPv6地址14如果选择使用静态IPv6地址,请完成以下步骤.
a单击添加以添加新的IPv6地址.
b输入IPv6地址和子网前缀长度,然后单击确定.
c要更改VMkernel默认网关,请单击编辑.
ESXi配置指南20VMware,Inc.
15单击下一步.
16检查信息,单击上一步以更改条目,然后单击完成.
vNetwork标准交换机属性vNetwork标准交换机设置可控制端口的vSwitch层面默认值,而每个vSwitch的端口组设置均可覆盖这些值.
您可以编辑vSwitch属性,如上行链路配置和可用端口数.
更改vSwitch的端口数vSwitch可用作使用了一组常用网络适配器的端口配置(包括根本不包含网络适配器的集合)的容器.
每个虚拟交换机都提供有限数量的端口,虚拟机和网络服务可以通过这些端口访问一个或多个网络.
步骤1登录vSphereClient,在"清单"面板中选择主机.
2依次单击配置选项卡和网络.
3在页面右侧,单击要编辑的vSwitch的属性.
4单击端口选项卡.
5在"配置"列表中选择vSwitch项目,然后单击编辑.
6单击常规选项卡.
7从下拉菜单中选择您要使用的端口数.
8单击确定.
下一步重新启动系统后更改才会生效.
更改上行链路适配器的速度可以更改上行链路适配器的连接速度和双工.
步骤1登录vSphereClient,在"清单"面板中选择主机.
2依次单击配置选项卡和网络.
3选择vSwitch并单击属性.
4单击网络适配器选项卡.
5要更改网络适配器的已配置速度和双工值,请选择网络适配器并单击编辑.
6要手动选择连接速度,请在下拉菜单中选择速度和双工.
如果网卡和物理交换机在协商正确的连接速度时可能失败,请手动选择连接速度.
速度和双工不匹配的表现包括低带宽,或者没有链路连接.
适配器以及与它所连接到的物理交换机端口必须设置为相同值,如两者可同时设置为"auto"或"ND"(其中ND表示某个速度和双工),但不能一个设置为"auto",另一个设置为"ND".
7单击确定.
第3章vNetwork标准交换机的基本网络VMware,Inc.
21添加上行链路适配器可以将多个适配器与一个vSwitch关联以提供成网卡绑定.
此网卡组可以共享流量并提供故障切换.
步骤1登录vSphereClient,在"清单"面板中选择主机.
2依次单击配置选项卡和网络.
3选择vSwitch并单击属性.
4单击网络适配器选项卡.
5单击添加以启动添加适配器向导.
6在列表中选择一个或多个适配器,然后单击下一步.
7(可选)要将网卡重新排序到不同类别中,请选择网卡,并单击上移和下移.
选项描述活动适配器vSwitch使用的适配器.
待机适配器如果一个或多个活动适配器发生故障,则待机适配器将成为活动适配器.
8单击下一步.
9查看"适配器摘要"页面上的信息,单击上一步以更改条目,然后单击完成.
此时将重新出现网络适配器列表,显示现在由vSwitch声明的适配器.
10单击关闭,退出"vSwitch属性"对话框.
在配置选项卡的"网络"区域中按指定的顺序和类别显示网络适配器.
Cisco发现协议Cisco发现协议(CDP)允许ESXi管理员决定哪个Cisco交换机端口与给定的vSwitch相连.
当特定vSwitch启用了CDP时,可以通过vSphereClient查看Cisco交换机的属性(如设备ID、软件版本和超时).
在ESXi中,CDP设置为侦听,这表示ESXi检测并显示与关联的Cisco交换机端口相关的信息,但并不向Cisco交换机管理员提供有关vSwitch的信息.
在vSphereClient上查看Cisco交换机信息当CDP设置为侦听或二者时,可以查看Cisco交换机信息.
步骤1登录vSphereClient,在"清单"面板中选择主机.
2依次单击配置选项卡和网络.
3单击vSwitch右侧的信息图标.
ESXi配置指南22VMware,Inc.
vNetwork分布式交换机的基本网络4这些主题指导您掌握vNetwork分布式交换机网络的基本概念,并指导您如何在vSphere环境中设置和配置vNetwork分布式交换机网络.
本章讨论了以下主题:n第23页,"vNetwork分布式交换机架构"n第24页,"配置vNetwork分布式交换机"n第26页,"dvPort组"n第27页,"专用VLAN"n第29页,"配置vNetwork分布式交换机网络适配器"n第32页,"在vNetwork分布式交换机上配置虚拟机网络"vNetwork分布式交换机架构vNetwork分布式交换机在所有关联主机之间起到单个虚拟交换机的作用.
这使得虚拟机在跨多个主机进行迁移时确保其网络配置保持一致.
与vNetwork标准交换机一样,每个vNetwork分布式交换机也是虚拟机可以使用的网络集线器.
vNetwork分布式交换机可在虚拟机之间转发内部流量,或者通过连接物理以太网适配器(也称为上行链路适配器)链接至外部网络.
您还可以为每个vNetwork分布式交换机分配一个或多个dvPort组.
dvPort组将多个端口组合在一个通用配置下,并为连接标定网络的虚拟机提供稳定的定位点.
每个dvPort端口组都由一个对于当前数据中心唯一的网络标签来标识.
VLANID是可选的,它用于将端口组流量限制在物理网络内的一个逻辑以太网网段中.
除了VMwarevNetwork分布式交换机以外,vSphere4还为第三方虚拟交换机提供初始支持.
有关配置这些第三方交换机的信息,请访问http://www.
cisco.
com/go/1000vdocs.
VMware,Inc.
23配置vNetwork分布式交换机可以在vCenterServer数据中心上创建vNetwork分布式交换机.
创建了vNetwork分布式交换机之后,便可以添加主机、创建dvPort组并编辑vNetwork分布式交换机的属性和策略.
创建vNetwork分布式交换机创建vNetwork分布式交换机以处理数据中心上相关主机的网络流量.
步骤1登录到vSphereClient,此时会在"网络"视图中显示数据中心.
2从"清单"菜单,选择数据中心>新建vNetwork分布式交换机.
此时将显示创建vNetwork分布式交换机向导.
3在"名称"字段中输入vNetwork分布式交换机的名称.
4选择dvUplink端口数,然后单击下一步.
dvUplink端口将vNetwork分布式交换机连接到关联的ESXi主机上的物理网卡.
dvUplink端口数是允许每台主机与vNetwork分布式交换机建立的最大物理连接数.
5单击下一步.
6选择是立即添加还是以后添加.
7如果选择立即添加,则通过单击每个主机或适配器旁边的复选框来选择要使用的主机和物理适配器.
在vNetwork分布式交换机创建期间,只能添加尚未使用的物理适配器.
8单击下一步.
9选择是否自动创建默认端口组.
此选项将创建一个带有128个端口的早期绑定端口组.
对于具有复杂端口组要求的系统,跳过默认端口组并在完成vNetwork分布式交换机的添加之后创建新dvPort组.
10查看vNetwork分布式交换机关系图以确保正确配置,然后单击完成.
下一步如果选择以后添加主机,则在添加网络适配器之前,必须将主机添加到vNetwork分布式交换机.
可以从vSphereClient的主机配置页面添加网络适配器,也可以使用主机配置文件.
将主机添加到vNetwork分布式交换机使用将主机添加到vNetwork分布式交换机向导可以将主机与vNetwork分布式交换机关联起来.
还可以使用主机配置文件将主机添加到vNetwork分布式交换机.
步骤1在vSphereClient中,显示"网络"清单视图,并选择vNetwork分布式交换机.
2从"清单"菜单中,选择分布式虚拟交换机>添加主机.
此时将显示将主机添加到vNetwork分布式交换机向导.
3选择要添加的主机.
ESXi配置指南24VMware,Inc.
4在所选主机下面,选择要添加的物理适配器,然后单击下一步.
您可以选择可用的和使用中的物理适配器.
如果选择当前正由主机使用的适配器,则需要选择是否将关联虚拟适配器移动到vNetwork分布式交换机.
注意将物理适配器移动到vNetwork分布式交换机而没有移动任何关联虚拟适配器将导致这些虚拟适配器失去网络连接.
5单击完成.
编辑常规vNetwork分布式交换机设置可以编辑vNetwork分布式交换机的常规属性,例如vNetwork分布式交换机名称和vNetwork分布式交换机的上行链路端口数.
步骤1在vSphereClient中,显示"网络"清单视图,并选择vNetwork分布式交换机.
2从"清单"菜单中,选择分布式虚拟交换机>编辑设置.
3选择常规以编辑下面的vNetwork分布式交换机设置.
a输入vNetwork分布式交换机的名称.
b选择上行链路端口数.
c要编辑上行链路端口名称,请单击编辑dvUplink端口名称,输入新名称,然后单击确定.
d输入有关vNetwork分布式交换机的任何说明.
4单击确定.
编辑vNetwork分布式交换机高级设置使用"vNetwork分布式交换机设置"对话框可以配置高级vNetwork分布式交换机设置(如vNetwork分布式交换机的Cisco发现协议和最大MTU).
步骤1在vSphereClient中,显示"网络"清单视图,并选择vNetwork分布式交换机.
2从"清单"菜单中,选择分布式虚拟交换机>编辑设置.
3选择高级以编辑下面的vNetwork分布式交换机属性.
a指定最大MTU大小.
b选中启用Cisco发现协议复选框以启用CDP,然后将操作设置为侦听、通告或二者.
c在"管理员联系信息"区域中输入vNetwork分布式交换机管理员的名称和其他详细信息.
4单击确定.
查看vNetwork分布式交换机的网络适配器信息从vSphereClient的网络清单视图中,查看vNetwork分布式交换机的物理网络适配器和上行链路分配.
步骤1在vSphereClient中,显示"网络"清单视图,并选择vNetwork分布式交换机.
2从"清单"菜单中,选择分布式虚拟交换机>编辑设置.
第4章vNetwork分布式交换机的基本网络VMware,Inc.
253在网络适配器选项卡上,可以查看关联主机的网络适配器和上行链路分配.
此选项卡是只读的.
vNetwork分布式交换机网络适配器必须在主机级别上进行配置.
4单击确定.
dvPort组dvPort组为vNetwork分布式交换机上的每个端口指定端口配置选项.
dvPort组定义如何连接到网络.
添加dvPort组可使用创建dvPort组向导将dvPort组添加到vNetwork分布式交换机.
步骤1在vSphereClient中,显示"网络"清单视图,并选择vNetwork分布式交换机.
2从清单菜单中,选择分布式虚拟交换机>新建端口组.
3输入dvPort组的名称和端口数.
4选择VLAN类型.
选项描述无不使用VLAN.
VLAN在VLANID字段中,输入一个介于1和4094之间的数字.
VLAN中继输入VLAN中继范围.
专用VLAN选择专用VLAN条目.
如果尚未创建任何专用VLAN,则此菜单为空.
5单击下一步.
6单击完成.
编辑dvPort组常规属性使用dvPort组属性对话框可以配置dvPort组常规属性(如dvPort组名称和端口组类型).
步骤1在vSphereClient中,显示"网络"清单视图,并选择dvPort组.
2从"清单"菜单中,选择网络>编辑设置.
3选择常规以编辑以下dvPort组属性.
选项操作名称输入dvPort组的名称.
描述输入dvPort组的简要描述.
端口数输入dvPort组的端口数.
端口绑定选择将端口分配到与该dvPort组相连的虚拟机的时间.
n虚拟机连接到dvPort组后,请选择静态绑定以将端口分配到虚拟机.
n连接到dvPort组之后首次启动虚拟机时,请选择动态绑定以将端口分配到虚拟机.
n为无端口绑定选择极短.
4单击确定.
ESXi配置指南26VMware,Inc.
编辑dvPort组高级属性使用"dvPort组属性"对话框可以配置dvPort组高级属性(如端口名称格式和替代设置).
步骤1从"清单"菜单中,选择网络>编辑设置.
2选择高级以编辑dvPort组属性.
a选择允许替代端口策略以允许替代每个端口上的dvPort组策略.
b单击编辑替代设置以选择可以替代哪些策略.
c选择是否允许实时移动端口.
d选择断开连接时配置重置以在从虚拟机断开dvPort时放弃每个端口的配置.
e选择允许在主机上绑定以指定当vCenterServer系统关闭时,ESXi可以将dvPort分配给虚拟机.
f选择端口名称格式,以提供用来向该组中的dvPort分配名称的模板.
3单击确定.
配置dvPort设置使用"端口设置"对话框可以配置常规dvPort属性(如端口名称和描述).
步骤1登录到vSphereClient,此时会显示vNetwork分布式交换机.
2在端口选项卡上,右键单击要修改的端口,然后选择编辑设置.
3单击常规.
4修改端口名称和描述.
5单击确定.
专用VLAN专用VLAN用于解决某些网络设置的VLANID限制和IP地址浪费.
专用VLAN由其主专用VLANID标识.
主专用VLANID可以拥有多个与其关联的次专用VLANID.
主专用VLAN为杂乱模式,以便专用VLAN上的端口可以与配置为主专用VLAN的端口通信.
次专用VLAN上的端口可以是已隔离(仅与杂乱模式端口通信),也可以是团体(与同一次专用VLAN上的杂乱模式端口和其他端口通信).
如果要在ESXi主机和其余物理网络之间使用专用VLAN,则与ESXi主机相连的物理交换机必须支持专用VLAN,而且需要用ESXi所用的VLANID进行配置以获取专用VLAN功能.
对于使用基于动态MAC+VLANID进行学习的物理交换机,必须首先将所有相应的专用VLANID输入到交换机的VLAN数据库中.
为了配置dvPorts以使用专用VLAN功能,必须在与dvPorts连接的vNetwork分布式交换机上首先创建必要的专用VLAN.
第4章vNetwork分布式交换机的基本网络VMware,Inc.
27创建专用VLAN可以创建专用VLAN以便在vNetwork分布式交换机及其关联的dvPort上使用.
步骤1在vSphereClient中,显示"网络"清单视图,并选择vNetwork分布式交换机.
2从清单菜单中,选择vNetwork分布式交换机>编辑设置.
3选择专用VLAN选项卡.
4在"主专用VLANID"下面,单击[在此输入专用VLANID],并输入主专用VLAN号.
5在对话框中的任何位置单击,然后选择刚才添加的主专用VLAN.
添加的主专用VLAN将出现在"次专用VLANID"下面.
6对于每个新的次专用VLAN,请单击"次专用VLANID"下的[在此输入专用VLANID],然后输入次专用VLAN号.
7在对话框中的任何位置单击,选择刚才添加的次专用VLAN,然后选择已隔离或团体端口类型.
8单击确定.
移除主专用VLAN从vSphereClient的网络清单视图中移除未使用的主专用VLAN.
前提条件在移除专用VLAN之前,确保没有配置任何端口组使用它.
步骤1在vSphereClient中,显示"网络"清单视图,并选择vNetwork分布式交换机.
2从清单菜单中,选择vNetwork分布式交换机>编辑设置.
3选择专用VLAN选项卡.
4选择要移除的主专用VLAN.
5在"主专用VLANID"下单击移除,然后单击确定.
移除主专用VLAN还将移除所有关联的次专用VLAN.
移除次专用VLAN从vSphereClient的网络清单视图中移除未使用的次专用VLAN.
前提条件在移除专用VLAN之前,确保没有配置任何端口组使用它.
步骤1在vSphereClient中,显示"网络"清单视图,并选择vNetwork分布式交换机.
2从清单菜单中,选择vNetwork分布式交换机>编辑设置.
3选择专用VLAN选项卡.
4选择主专用VLAN以显示其关联的次专用VLAN.
ESXi配置指南28VMware,Inc.
5选择要移除的次专用VLAN.
6在"次专用VLANID"下单击移除,然后单击确定.
配置vNetwork分布式交换机网络适配器主机配置页面的"vNetwork分布式交换机"网络视图显示主机的关联vNetwork分布式交换机的配置,并允许配置vNetwork分布式交换机网络适配器和上行链路端口.
管理物理适配器对于与vNetwork分布式交换机相关联的每台主机,必须对vNetwork分布式交换机分配物理网络适配器或上行链路.
可以将每台主机上的一个上行链路分配给vNetwork分布式交换机的一个上行链路端口.
将上行链路添加到vNetwork分布式交换机必须将物理上行链路添加到vNetwork分布式交换机,以便连接到vNetwork分布式交换机的虚拟机和虚拟网络适配器能够连接到所驻留主机以外的网络.
步骤1登录vSphereClient,在"清单"面板中选择主机.
2依次单击配置选项卡和网络.
3选择"vNetwork分布式交换机"视图.
4单击管理物理适配器.
5对于要向其添加上行链路的上行链路端口,单击单击以添加网卡.
6选择要添加的物理适配器.
如果选择已连接到其他交换机的适配器,它将从该交换机中移除并重新分配给此vNetwork分布式虚拟机.
7单击确定.
从vNetwork分布式交换机中移除上行链路与vNetwork分布式交换机关联的上行链路无法添加到vSwitch或另一个vNetwork分布式交换机.
步骤1登录vSphereClient,在"清单"面板中选择主机.
2依次单击配置选项卡和网络.
3选择"vNetwork分布式交换机"视图.
4单击管理物理适配器.
5单击与要移除的上行链路对应的移除.
6单击确定.
管理虚拟网络适配器虚拟网络适配器通过vNetwork分布式交换机处理主机网络服务.
可以通过关联的vNetwork分布式交换机(即通过创建新虚拟适配器或迁移现有虚拟适配器),为ESXi主机配置VMkernel虚拟适配器.
第4章vNetwork分布式交换机的基本网络VMware,Inc.
29在vNetwork分布式交换机上创建VMkernel网络适配器创建用作VMotion接口或IP存储端口组的VMkernel网络适配器.
步骤1登录vSphereClient,在"清单"面板中选择主机.
2依次单击配置选项卡和网络.
3选择"vNetwork分布式交换机"视图.
4单击管理虚拟适配器.
5单击添加.
6选择新建虚拟适配器,然后单击下一步.
7选择VMkernel,然后单击下一步.
8在"网络连接"下,选择vNetwork分布式交换机及其关联的端口组,或选择要将该虚拟适配器添加到的独立端口.
9选择将此虚拟适配器用于VMotion以便允许此端口组对另一个ESXi主机报告,其自身即为发送VMotion流量的网络连接.
对于每台ESXi来说,只能为其中一个VMotion和IP存储器端口组启用此属性.
如果没有为任何端口组启用此属性,则无法通过VMotion向此主机进行迁移.
10选择是否将此虚拟适配器用于容错日志记录.
11选择是否将此虚拟适配器用于管理流量,并单击下一步.
12在"IP设置"下,指定IP地址和子网掩码.
13单击编辑以设置VMkernel服务(如VMotion、NAS和iSCSI)的VMkernel默认网关.
14默认情况下,DNS配置选项卡上已输入主机名称.
在安装期间指定的DNS服务器地址和域也预先选定.
15在路由选项卡中,服务控制台和VMkernel均需要其自身的网关信息.
如果要连接到与服务控制台或VMkernel不在同一个IP子网上的计算机,则需要网关.
静态IP设置为默认值.
16单击确定,然后单击下一步.
17单击完成.
将现有的虚拟适配器迁移到vNetwork分布式交换机通过主机配置页面,将现有虚拟适配器从vNetwork标准交换机迁移到vNetwork分布式交换机.
步骤1登录vSphereClient,在"清单"面板中选择主机.
2依次单击配置选项卡和网络.
3选择"vNetwork分布式交换机"视图.
4单击管理虚拟适配器.
5单击添加.
6选择迁移现有的虚拟适配器,然后单击下一步.
7在选择依据下拉菜单中,选择是将此虚拟适配器连接到端口组还是独立的dvPort.
ESXi配置指南30VMware,Inc.
8选择一个或多个要迁移的虚拟网络适配器.
9对于每个选定的适配器,请从选择端口组或选择端口下拉菜单中选择端口组或dvPort.
10单击下一步.
11单击完成.
将虚拟适配器迁移到vNetwork标准交换机可以使用迁移到虚拟交换机向导将现有虚拟适配器从vNetwork分布式交换机迁移到vNetwork标准交换机.
步骤1登录vSphereClient,在"清单"面板中选择主机.
此时将显示该服务器的硬件配置页面.
2依次单击配置选项卡和网络.
3选择vNetwork分布式交换机视图.
4单击管理虚拟适配器.
5选择要迁移的虚拟适配器,然后单击迁移到虚拟交换机.
此时将显示迁移虚拟适配器向导.
6选择适配器要迁移到的vSwitch,然后单击下一步.
7输入虚拟适配器的网络标签和VLANID(可选),然后单击下一步.
8单击完成迁移虚拟适配器并完成向导.
在vNetwork分布式交换机上编辑VMkernel配置可以从关联主机编辑vNetwork分布式交换机上现有VMkernel适配器的属性.
步骤1登录vSphereClient,在"清单"面板中选择主机.
2依次单击配置选项卡和网络.
3选择"vNetwork分布式交换机"视图.
4单击管理虚拟适配器.
5选择要修改的VMkernel适配器,然后单击编辑.
6在"网络连接"下,选择vNetwork分布式交换机及其关联的端口组,或选择要将该虚拟适配器添加到的独立端口.
7选择将此虚拟适配器用于VMotion以便允许此端口组对另一个ESXi主机报告,其自身即为发送VMotion流量的网络连接.
对于每台ESXi来说,只能为其中一个VMotion和IP存储器端口组启用此属性.
如果没有为任何端口组启用此属性,则无法通过VMotion向此主机进行迁移.
8选择是否将此虚拟适配器用于容错日志记录.
9选择是否将此虚拟适配器用于管理流量,并单击下一步.
10在"IP设置"下,指定IP地址和子网掩码,或选择自动获得IP设置.
11单击编辑以设置VMkernel服务(如VMotion、NAS和iSCSI)的VMkernel默认网关.
12单击确定.
第4章vNetwork分布式交换机的基本网络VMware,Inc.
31移除虚拟适配器从"管理虚拟适配器"对话框中的vNetwork分布式交换机中移除虚拟网络适配器.
步骤1登录vSphereClient,在"清单"面板中选择主机.
2依次单击配置选项卡和网络.
3选择vNetwork分布式交换机视图.
4单击管理虚拟适配器.
5选择要移除的虚拟适配器,然后单击移除.
此时会显示一个对话框,其中显示消息"您确定要移除吗"6单击是.
在vNetwork分布式交换机上配置虚拟机网络可以通过配置单个虚拟机网卡,或通过从vNetwork分布式交换机自身迁移多组虚拟机,将虚拟机连接到vNetwork分布式交换机.
通过将虚拟机的关联虚拟网络适配器连接到dvPort组,可以将虚拟机连接到vNetwork分布式交换机.
对于单个虚拟机,可以通过修改虚拟机的网络适配器配置来完成;对于虚拟机组,可以通过将虚拟机从现有虚拟网络迁移到vNetwork分布式交换机来完成.
将虚拟机迁入或迁出vNetwork分布式交换机除了在单个虚拟机级别将虚拟机连接到vNetwork分布式交换机以外,还可以在vNetwork分布式交换机网络和vNetwork标准交换机网络之间迁移一组虚拟机.
步骤1在vSphereClient中,显示"网络"清单视图,并选择vNetwork分布式交换机.
2从清单菜单中,选择分布式虚拟交换机>迁移虚拟机网络.
此时将显示迁移虚拟机网络向导.
3在选择源网络下拉菜单中,选择要从中进行迁移的虚拟网络.
4从选择目标网络下拉菜单中,选择要迁移到的虚拟网络.
5单击显示虚拟机.
与要从中进行迁移的虚拟网络相关联的虚拟机即会在选择虚拟机字段中显示.
6选择要迁移到目标虚拟网络的虚拟机,然后单击确定.
将单个虚拟机连接到dvPort组通过修改虚拟机的网卡配置,将单个虚拟机连接到vNetwork分布式交换机.
步骤1登录vSphereClient,在"清单"面板中选择虚拟机.
2在摘要选项卡中,单击编辑设置.
3在硬件选项卡上,选择虚拟网络适配器.
4从网络标签下拉菜单中,选择要迁移到的dvPort组,然后单击确定.
ESXi配置指南32VMware,Inc.
高级网络5以下主题将指导您学习ESXi环境下的高级网络,并论述如何设置和更改高级网络配置选项.
本章讨论了以下主题:n第33页,"Internet协议第6版"n第34页,"网络策略"n第45页,"更改DNS和路由配置"n第46页,"MAC地址"n第47页,"TCP分段清除和巨帧"n第49页,"NetQueue和网络性能"n第50页,"VMDirectPathGenI"Internet协议第6版vSphere支持Internet协议第4版(IPv4)和Internet协议第6版(IPv6)环境.
Internet工程任务组已将IPv6指定为IPv4的继承者.
采用IPv6(作为独立协议使用以及在具备IPv4的混合环境中使用)的系统数量迅速增加.
使用IPv6,可以在IPv6环境中使用诸如NFS这样的vSphere功能.
IPv4和IPv6之间的主要差异是地址长度.
IPv6使用128位地址,而IPv4使用32位地址.
这有助于缓解IPv4存在的地址耗尽问题并消除网络地址转换(NAT)的需要.
其他显著的差异包括:在初始化接口时出现的链路本地地址、由路由器通告功能设置的地址以及在一个接口上使用多个IPv6地址的能力.
vSphere中特定于IPv6的配置涉及到通过输入静态地址或通过使用DHCP为所有相关vSphere网络接口提供IPv6地址.
还可以使用由路由器通告发送的无状态自动配置对IPv6地址进行配置.
在ESXi主机上启用IPv6支持可以在主机上启用或禁用IPv6支持.
步骤1单击导航栏中清单按钮旁边的箭头,然后选择主机和群集.
2选择主机,然后单击配置选项卡.
3单击"硬件"下方的网络链接.
4在"虚拟交换机"视图中,单击属性链接.
VMware,Inc.
335选择在该主机上启用IPv6支持,然后单击确定.
6重新引导主机.
网络策略在vSwitch或dvPort组级别设置的任何策略将适用于该dvPort组中vSwitch或dvPort上的所有端口组,除非在端口组或dvPort级别单独设置配置选项.
以下网络连接策略适用n负载平衡和故障切换nVLAN(仅限vNetwork分布式交换机)n安全n流量调整n端口阻止策略(仅vNetwork分布式交换机)负载平衡和故障切换策略负载平衡和故障切换策略允许您确定网络流量在适配器间如何分布,以及如何在适配器发生故障时重新路由流量.
通过配置以下参数,可以编辑负载平衡和故障切换策略:n负载平衡策略确定输出流量如何在分配给vSwitch的网络适配器之间分布.
注意输入流量由物理交换机上的负载平衡策略控制.
n故障切换检测控制链路状态和信标探测.
客户机VLAN标记不支持信标.
n网络适配器顺序可以处于活动或待机状态.
在vSwitch上编辑故障切换和负载平衡策略故障切换和负载平衡策略允许您确定网络流量在适配器间如何分布,以及如何在适配器发生故障时重新路由流量.
步骤1登录vSphereClient,在"清单"面板中选择主机.
2依次单击配置选项卡和网络.
3选择vSwitch并单击属性.
4在"vSwitch属性"对话框中,单击端口选项卡.
5要编辑vSwitch的"故障切换和负载平衡"值,请选择vSwitch项目并单击属性.
6单击网卡绑定选项卡.
可以在端口组级别改写故障切换顺序.
默认情况下,新适配器对于所有策略都是活动的.
除非您另行指定,否则新的适配器将承载vSwitch及其端口组的流量.
ESXi配置指南34VMware,Inc.
7在"策略异常"组中指定设置.
选项描述负载平衡指定如何选择上行链路.
n基于源虚拟端口的路由-选择基于虚拟端口的上行链路,流量正是通过此端口进入虚拟交换机.
n基于IP哈希的路由-选择基于每个数据包的源和目标IP地址哈希值的上行链路.
对于非IP数据包,偏移量中的任何值都将用于计算哈希值.
n基于源MAC哈希的路由-选择基于源以太网哈希值的上行链路.
n使用明确故障切换顺序-始终使用"活动适配器"列表中顺序最靠前的上行链路,同时传递故障切换检测标准.
注意基于IP的绑定要求为物理交换机配置以太通道.
对于所有其他选项,应禁用以太通道.
网络故障切换检测指定用于故障切换检测的方法.
n仅链路状态–仅依靠网络适配器提供的链路状态.
该选项可检测故障(如拨掉线缆和物理交换机电源故障),但无法检测配置错误(如物理交换机端口受跨树阻止、配置到了错误的VLAN中或者拔掉了物理交换机另一端的线缆).
n信标探测-发出并侦听网卡组中所有网卡上的信标探测,使用此信息并结合链路状态来确定链路故障.
该选项可检测上述许多仅通过链路状态无法检测到的故障.
通知交换机选择是或否指定发生故障切换时是否通知交换机.
如果选择是,则每当虚拟网卡连接到vSwitch或虚拟网卡的流量因故障切换事件而由网卡组中的其他物理网卡路由时,都将通过网络发送通知以更新物理交换机的查看表.
几乎在所有情况下,为了使出现故障切换以及通过VMotion迁移时的延迟最短,最好使用此过程.
注意当使用端口组的虚拟机正在以单播模式使用Microsoft网络负载平衡时,请勿使用此选项.
以多播模式运行网络负载平衡时不存在此问题.
故障恢复选择是或否以禁用或启用故障恢复.
此选项确定物理适配器从故障恢复后如何返回到活动的任务.
如果故障恢复设置为是(默认值),则适配器将在恢复后立即返回到活动任务,并取代接替其位置的待机适配器(如果有).
如果故障恢复设置为否,那么,即使发生故障的适配器已经恢复,它仍将保持非活动状态,直到当前处于活动状态的另一个适配器发生故障并要求替换为止.
故障切换顺序指定如何分布上行链路的工作负载.
如果要使用一部分上行链路,保留另一部分来应对发生故障时的紧急情况,则可以通过将它们移到不同的组来设置此条件:n活动上行链路-当网络适配器连接正常且处于活动状态时继续使用该上行链路.
n待机上行链路-如果其中一个活动适配器的连接中断,则使用此上行链路.
n未使用的上行链路-不使用该上行链路.
8单击确定.
在端口组上编辑故障切换和负载平衡策略可以编辑端口组的故障切换和负载平衡策略配置.
步骤1登录vSphereClient,在"清单"面板中选择主机.
2依次单击配置选项卡和网络.
3选择端口组并单击编辑.
4在"属性"对话框中,单击端口选项卡.
5要编辑vSwitch的故障切换和负载平衡值,请选择vSwitch项目并单击属性.
第5章高级网络VMware,Inc.
356单击网卡绑定选项卡.
可以在端口组级别替代故障切换顺序.
默认情况下,新适配器对于所有策略都是活动的.
除非您另行指定,否则新的适配器将承载vSwitch及其端口组的流量.
7在"策略异常"组中指定设置.
选项描述负载平衡指定如何选择上行链路.
n基于源虚拟端口的路由-选择基于虚拟端口的上行链路,流量正是通过此端口进入虚拟交换机.
n基于IP哈希的路由-选择基于每个数据包的源和目标IP地址哈希值的上行链路.
对于非IP数据包,偏移量中的任何值都将用于计算哈希值.
n基于源MAC哈希的路由-选择基于源以太网哈希值的上行链路.
n使用明确故障切换顺序-始终使用"活动适配器"列表中顺序最靠前的上行链路,同时传递故障切换检测标准.
注意基于IP的绑定要求为物理交换机配置以太通道.
对于所有其他选项,应禁用以太通道.
网络故障切换检测指定用于故障切换检测的方法.
n仅链路状态–仅依靠网络适配器提供的链路状态.
该选项可检测故障(如拨掉线缆和物理交换机电源故障),但无法检测配置错误(如物理交换机端口受跨树阻止、配置到了错误的VLAN中或者拔掉了物理交换机另一端的线缆).
n信标探测-发出并侦听网卡组中所有网卡上的信标探测,使用此信息并结合链路状态来确定链路故障.
该选项可检测上述许多仅通过链路状态无法检测到的故障.
通知交换机选择是或否指定发生故障切换时是否通知交换机.
如果选择是,则每当虚拟网卡连接到vSwitch或虚拟网卡的流量因故障切换事件而由网卡组中的其他物理网卡路由时,都将通过网络发送通知以更新物理交换机的查看表.
几乎在所有情况下,为了使出现故障切换以及通过VMotion迁移时的延迟最短,最好使用此过程.
注意当使用端口组的虚拟机正在以单播模式使用Microsoft网络负载平衡时,请勿使用此选项.
以多播模式运行网络负载平衡时不存在此问题.
故障恢复选择是或否以禁用或启用故障恢复.
此选项确定物理适配器从故障恢复后如何返回到活动的任务.
如果故障恢复设置为是(默认值),则适配器将在恢复后立即返回到活动任务,并取代接替其位置的待机适配器(如果有).
如果故障恢复设置为否,那么,即使发生故障的适配器已经恢复,它仍将保持非活动状态,直到当前处于活动状态的另一个适配器发生故障并要求替换为止.
故障切换顺序指定如何分布上行链路的工作负载.
如果要使用一部分上行链路,保留另一部分来应对发生故障时的紧急情况,则可以通过将它们移到不同的组来设置此条件:n活动上行链路-当网络适配器连接正常且处于活动状态时继续使用该上行链路.
n待机上行链路-如果其中一个活动适配器的连接中断,则使用此上行链路.
n未使用的上行链路-不使用该上行链路.
8单击确定.
在dvPort组上编辑绑定和故障切换策略绑定和故障切换策略允许您确定网络流量在适配器间如何分布,以及如何在适配器发生故障时重新路由流量.
步骤1在vSphereClient中,显示"网络"清单视图,并选择dvPort组.
2从"清单"菜单中,选择网络>编辑设置.
ESXi配置指南36VMware,Inc.
3选择策略.
4在"绑定和故障切换"组中,指定以下内容.
选项描述负载平衡指定如何选择上行链路.
n基于源虚拟端口的路由-选择基于虚拟端口的上行链路,流量正是通过此端口进入虚拟交换机.
n基于IP哈希的路由-选择基于每个数据包的源和目标IP地址哈希值的上行链路.
对于非IP数据包,偏移量中的任何值都将用于计算哈希值.
n基于源MAC哈希的路由-选择基于源以太网哈希值的上行链路.
n使用明确故障切换顺序-始终使用"活动适配器"列表中顺序最靠前的上行链路,同时传递故障切换检测标准.
注意基于IP的绑定要求为物理交换机配置以太通道.
对于所有其他选项,应禁用以太通道.
网络故障切换检测指定用于故障切换检测的方法.
n仅链路状态–仅依靠网络适配器提供的链路状态.
该选项可检测故障(如拨掉线缆和物理交换机电源故障),但无法检测配置错误(如物理交换机端口受跨树阻止、配置到了错误的VLAN中或者拔掉了物理交换机另一端的线缆).
n信标探测-发出并侦听网卡组中所有网卡上的信标探测,使用此信息并结合链路状态来确定链路故障.
该选项可检测上述许多仅通过链路状态无法检测到的故障.
注意不要使用包含IP哈希负载平衡的信标探测.
通知交换机选择是或否指定发生故障切换时是否通知交换机.
如果选择是,则每当虚拟网卡连接到vSwitch或虚拟网卡的流量因故障切换事件而由网卡组中的其他物理网卡路由时,都将通过网络发送通知以更新物理交换机的查看表.
几乎在所有情况下,为了使出现故障切换以及通过VMotion迁移时的延迟最短,最好使用此过程.
注意当使用端口组的虚拟机正在以单播模式使用Microsoft网络负载平衡时,请勿使用此选项.
以多播模式运行网络负载平衡时不存在此问题.
故障恢复选择是或否以禁用或启用故障恢复.
此选项确定物理适配器从故障恢复后如何返回到活动的任务.
如果故障恢复设置为是(默认值),则适配器将在恢复后立即返回到活动任务,并取代接替其位置的待机适配器(如果有).
如果故障恢复设置为否,那么,即使发生故障的适配器已经恢复,它仍将保持非活动状态,直到当前处于活动状态的另一个适配器发生故障并要求替换为止.
故障切换顺序指定如何分布上行链路的工作负载.
如果要使用一部分上行链路,保留另一部分来应对发生故障时的紧急情况,则可以通过将它们移到不同的组来设置此条件:n活动上行链路-当网络适配器连接正常且处于活动状态时继续使用该上行链路.
n待机上行链路-如果其中一个活动适配器的连接中断,则使用此上行链路.
n未使用的上行链路-不使用该上行链路.
注意当使用IP哈希负载平衡时,不要配置待机上行链路.
5单击确定.
编辑dvPort绑定和故障切换策略绑定和故障切换策略允许您确定网络流量在适配器间如何分布,以及如何在适配器发生故障时重新路由流量.
前提条件若要在单个dvPort上编辑绑定和故障切换策略,必须设置关联dvPort组以便允许策略替代.
第5章高级网络VMware,Inc.
37步骤1登录到vSphereClient,此时会显示vNetwork分布式交换机.
2在端口选项卡上,右键单击要修改的端口,然后选择编辑设置.
此时将显示端口设置对话框.
3单击策略以查看和修改端口网络策略.
4在"绑定和故障切换"组中,指定以下内容.
选项描述负载平衡指定如何选择上行链路.
n基于源虚拟端口的路由-选择基于虚拟端口的上行链路,流量正是通过此端口进入虚拟交换机.
n基于IP哈希的路由-选择基于每个数据包的源和目标IP地址哈希值的上行链路.
对于非IP数据包,偏移量中的任何值都将用于计算哈希值.
n基于源MAC哈希的路由-选择基于源以太网哈希值的上行链路.
n使用明确故障切换顺序-始终使用"活动适配器"列表中顺序最靠前的上行链路,同时传递故障切换检测标准.
注意基于IP的绑定要求为物理交换机配置以太通道.
对于所有其他选项,应禁用以太通道.
网络故障切换检测指定用于故障切换检测的方法.
n仅链路状态–仅依靠网络适配器提供的链路状态.
该选项可检测故障(如拨掉线缆和物理交换机电源故障),但无法检测配置错误(如物理交换机端口受跨树阻止、配置到了错误的VLAN中或者拔掉了物理交换机另一端的线缆).
n信标探测-发出并侦听网卡组中所有网卡上的信标探测,使用此信息并结合链路状态来确定链路故障.
该选项可检测上述许多仅通过链路状态无法检测到的故障.
注意不要使用包含IP哈希负载平衡的信标探测.
通知交换机选择是或否指定发生故障切换时是否通知交换机.
如果选择是,则每当虚拟网卡连接到vSwitch或虚拟网卡的流量因故障切换事件而由网卡组中的其他物理网卡路由时,都将通过网络发送通知以更新物理交换机的查看表.
几乎在所有情况下,为了使出现故障切换以及通过VMotion迁移时的延迟最短,最好使用此过程.
注意当使用端口组的虚拟机正在以单播模式使用Microsoft网络负载平衡时,请勿使用此选项.
以多播模式运行网络负载平衡时不存在此问题.
故障恢复选择是或否以禁用或启用故障恢复.
此选项确定物理适配器从故障恢复后如何返回到活动的任务.
如果故障恢复设置为是(默认值),则适配器将在恢复后立即返回到活动任务,并取代接替其位置的待机适配器(如果有).
如果故障恢复设置为否,那么,即使发生故障的适配器已经恢复,它仍将保持非活动状态,直到当前处于活动状态的另一个适配器发生故障并要求替换为止.
故障切换顺序指定如何分布上行链路的工作负载.
如果要使用一部分上行链路,保留另一部分来应对发生故障时的紧急情况,则可以通过将它们移到不同的组来设置此条件:n活动上行链路-当网络适配器连接正常且处于活动状态时继续使用该上行链路.
n待机上行链路-如果其中一个活动适配器的连接中断,则使用此上行链路.
n未使用的上行链路-不使用该上行链路.
注意当使用IP哈希负载平衡时,不要配置待机上行链路.
5单击确定.
ESXi配置指南38VMware,Inc.
VLAN策略VLAN策略允许虚拟网络加入物理VLAN.
在dvPort组上编辑VLAN策略可以在dvPort组上编辑VLAN策略配置.
步骤1在vSphereClient中,显示"网络"清单视图,并选择dvPort组.
2从"清单"菜单中,选择网络>编辑设置.
3选择VLAN.
4选择要使用的VLAN类型.
选项描述无不使用VLAN.
VLAN在VLANID字段中,输入一个介于1和4094之间的数字.
VLAN中继输入VLAN中继范围.
专用VLAN选择可供使用的专用VLAN.
编辑dvPortVLAN策略在dvPort级别设置的VLAN策略允许单个dvPort替代在dvPort组级别设置的VLAN策略.
前提条件若要在单个dvPort上编辑VLAN策略,必须设置关联dvPort组以便允许策略替代.
步骤1登录到vSphereClient,此时会显示vNetwork分布式交换机.
2在端口选项卡上,右键单击要修改的端口,然后选择编辑设置.
3单击策略.
4选择要使用的VLAN类型.
选项操作无不使用VLAN.
VLAN对于VLANID,输入一个介于1和4095之间的数字.
VLAN中继输入VLAN中继范围.
专用VLAN选择可供使用的专用VLAN.
5单击确定.
安全策略网络安全策略确定适配器如何筛选入站和出站帧.
第2层是数据链路层.
安全策略的三大要素是杂乱模式、MAC地址更改和伪信号.
在非杂乱模式下,客户机适配器将仅侦听转发到其自身MAC地址上的流量.
在杂乱模式下,它可以侦听所有帧.
默认情况下,客户机适配器设置为非杂乱模式.
第5章高级网络VMware,Inc.
39在vSwitch上编辑第2层安全策略通过编辑第2层安全策略,控制如何处理入站和出站帧.
步骤1登录VMwarevSphereClient,在"清单"面板中选择主机.
2依次单击配置选项卡和网络.
3单击vSwitch的属性,以进行编辑.
4在"属性"对话框中,单击端口选项卡.
5选择vSwitch项目,并单击编辑.
6在"属性"对话框中,单击安全选项卡.
默认情况下,杂乱模式设置为拒绝,而MAC地址更改和伪信号则设置为接受.
策略将应用到vSwitch上的所有虚拟适配器,除非虚拟适配器的端口组指定了策略异常.
7在"策略异常"窗格中,选择是拒绝还是接受安全策略异常.
模式拒绝接受杂乱模式将客户机适配器置于杂乱模式不会对适配器接收哪些帧产生任何影响.
将客户机适配器置于杂乱模式会使其检测经过vSwitch且由适配器所连接到的端口组的VLAN策略允许的所有帧.
MAC地址更改如果客户机操作系统将适配器的MAC地址更改为不同于.
vmx配置文件的其他任何内容,则将丢失所有入站帧.
如果客户机操作系统将MAC地址重新更改为与.
vmx配置文件中的MAC地址匹配的地址,入站帧可以再次发送.
如果客户机操作系统的MAC地址发生了变化,则将接收传入新MAC地址的帧.
伪信号对于出站帧,如果源MAC地址与适配器上设置的地址不同,则将丢失这些帧.
不执行筛选,所有出站帧均可通过.
8单击确定.
在端口组上编辑第2层安全策略异常通过编辑第2层安全策略,控制如何处理入站和出站帧.
步骤1登录VMwarevSphereClient,在"清单"面板中选择主机.
2依次单击配置选项卡和网络.
3单击端口组的属性以进行编辑.
4在"属性"对话框中,单击端口选项卡.
5选择端口组项并单击编辑.
6在端口组的"属性"对话框中,单击安全选项卡.
默认情况下,杂乱模式设置为拒绝.
MAC地址更改和伪信号设置为接受.
策略异常将替代在vSwitch级别上设置的任何策略.
ESXi配置指南40VMware,Inc.
7在"策略异常"窗格中,选择是拒绝还是接受安全策略异常.
模式拒绝接受杂乱模式将客户机适配器置于杂乱模式不会对适配器接收哪些帧产生任何影响.
将客户机适配器置于杂乱模式会使其检测经过vSwitch且由适配器所连接到的端口组的VLAN策略允许的所有帧.
MAC地址更改如果客户机操作系统将适配器的MAC地址更改为不同于.
vmx配置文件的其他任何内容,则将丢失所有入站帧.
如果客户机操作系统将MAC地址重新更改为与.
vmx配置文件中的MAC地址匹配的地址,入站帧可以再次发送.
如果客户机操作系统的MAC地址发生了变化,则将接收传入新MAC地址的帧.
伪信号对于出站帧,如果源MAC地址与适配器上设置的地址不同,则将丢失这些帧.
不执行筛选,所有出站帧均可通过.
8单击确定.
在dvPort组上编辑安全策略通过编辑安全策略,控制如何处理dvPort组的入站和出站帧.
步骤1在vSphereClient中,显示"网络"清单视图,并选择dvPort组.
2从"清单"菜单中,选择网络>编辑设置.
3在端口组的"属性"对话框中,单击安全选项卡.
默认情况下,杂乱模式设置为拒绝.
MAC地址更改和伪信号设置为接受.
策略异常将替代在vSwitch级别上设置的任何策略.
4在"策略异常"窗格中,选择是拒绝还是接受安全策略异常.
模式拒绝接受杂乱模式将客户机适配器置于杂乱模式不会对适配器接收哪些帧产生任何影响.
将客户机适配器置于杂乱模式会使其检测经过vSwitch且由适配器所连接到的端口组的VLAN策略允许的所有帧.
MAC地址更改如果客户机操作系统将适配器的MAC地址更改为不同于.
vmx配置文件的其他任何内容,则将丢失所有入站帧.
如果客户机操作系统将MAC地址重新更改为与.
vmx配置文件中的MAC地址匹配的地址,入站帧可以再次发送.
如果客户机操作系统的MAC地址发生了变化,则将接收传入新MAC地址的帧.
伪信号对于出站帧,如果源MAC地址与适配器上设置的地址不同,则将丢失这些帧.
不执行筛选,所有出站帧均可通过.
5单击确定.
第5章高级网络VMware,Inc.
41编辑dvPort安全策略通过编辑安全策略,控制如何处理dvPort的入站和出站帧.
前提条件若要在单个dvPort上编辑安全策略,必须设置关联dvPort组以便允许策略替代.
步骤1登录到vSphereClient,此时会显示vNetwork分布式交换机.
2在端口选项卡上,右键单击要修改的端口,然后选择编辑设置.
3单击策略.
默认情况下,杂乱模式设置为拒绝,而MAC地址更改和伪信号则设置为接受.
4在"安全"组中,选择是拒绝还是要接受安全策略异常:模式拒绝接受杂乱模式将客户机适配器置于杂乱模式不会对适配器接收哪些帧产生任何影响.
将客户机适配器置于杂乱模式会使其检测经过vSwitch且由适配器所连接到的端口组的VLAN策略允许的所有帧.
MAC地址更改如果客户机操作系统将适配器的MAC地址更改为不同于.
vmx配置文件的其他任何内容,则将丢失所有入站帧.
如果客户机操作系统将MAC地址重新更改为与.
vmx配置文件中的MAC地址匹配的地址,入站帧可以再次发送.
如果客户机操作系统的MAC地址发生了变化,则将接收传入新MAC地址的帧.
伪信号对于出站帧,如果源MAC地址与适配器上设置的地址不同,则将丢失这些帧.
不执行筛选,所有出站帧均可通过.
5单击确定.
流量调整策略流量调整策略由三个特性定义:平均带宽、带宽峰值和突发大小.
可以为每个端口组和每个dvPort或dvPort组建立流量调整策略.
ESXi调整vSwitch上的出站网络流量以及vNetwork分布式交换机上的进站和出站流量.
流量调整功能会限制可用于任何端口的网络带宽,但是也可以将其配置为允许流量"突发",使流量以更高的速度通过端口.
平均带宽可设置某段时间内允许通过端口的平均每秒传输位数-即允许的平均负载.
带宽峰值当端口正在发送或接收流量突发时为了通过端口而允许采用的平均每秒最大传输位数.
此数值是端口使用额外突发时所能使用的最大带宽.
突发大小突发中所允许的最大字节数.
如果设置了此参数,则在端口没有使用为其分配的所有带宽时可能会获取额外的突发.
当端口所需带宽大于平均带宽所指定的值时,如果有额外突发可用,则可能会临时允许以更高的速度传输数据.
此参数为额外突发中已累积的最大字节数,使数据能以更高速度传输.
ESXi配置指南42VMware,Inc.
在vSwitch上编辑流量调整策略使用流量调整策略以在vSwitch上控制带宽和突发大小.
步骤1登录vSphereClient,在"清单"面板中选择主机.
2依次单击配置选项卡和网络.
3单击vSwitch的属性,以进行编辑.
4在"属性"对话框中,单击端口选项卡.
5选择vSwitch项目,并单击编辑.
6在"属性"对话框中,单击流量调整选项卡.
当流量调整处于禁用状态时,这些选项会显示为灰色.
如果启用流量调整,可以选择性地在端口组级别覆盖所有流量调整功能.
此策略将应用到与端口组相连的各个虚拟适配器,而不是整个vSwitch.
注意带宽峰值不能小于指定的平均带宽.
选项描述状态如果在状态字段中启用策略异常,将为与该特定端口组关联的每个虚拟适配器设置网络带宽分配量的限制.
如果禁用策略,则在默认情况下,服务将能够自由、顺畅地连接到物理网络.
平均带宽一段特定时间内的测量值.
带宽峰值限制突发期间的最大带宽.
它永远不能小于平均带宽.
突发大小指定突发大小的值,以千字节(KB)为单位.
在端口组上编辑流量调整策略使用流量调整策略以在端口组上控制带宽和突发大小.
步骤1登录vSphereClient,在"清单"面板中选择主机.
2依次单击配置选项卡和网络.
3单击端口组的属性以进行编辑.
4在"属性"对话框中,单击端口选项卡.
5选择端口组项并单击编辑.
6在端口组的"属性"对话框中,单击流量调整选项卡.
当流量调整处于禁用状态时,这些选项会显示为灰色.
选项描述状态如果在状态字段中启用策略异常,将为与该特定端口组关联的每个虚拟适配器设置网络带宽分配量的限制.
如果禁用策略,则在默认情况下,服务将能够自由、顺畅地连接到物理网络.
平均带宽一段特定时间内的测量值.
带宽峰值限制突发期间的最大带宽.
它永远不能小于平均带宽.
突发大小指定突发大小的值,以千字节(KB)为单位.
第5章高级网络VMware,Inc.
43在dvPort组上编辑流量调整策略可以调整vNetwork分布式交换机上的输入和输出流量.
可以限制端口的可用网络带宽,但也可以临时允许流量突发,使流量以更高的速度通过端口.
步骤1在vSphereClient中,显示"网络"清单视图,并选择dvPort组.
2从"清单"菜单中,选择网络>编辑设置.
3选择流量调整.
4在端口组的"属性"对话框中,单击流量调整选项卡.
可以配置输入流量调整和输出流量调整.
当流量调整处于禁用状态时,这些选项会显示为灰色.
注意带宽峰值不能小于指定的平均带宽.
选项描述状态如果在状态字段中启用策略异常,将为与该特定端口组关联的每个虚拟适配器设置网络带宽分配量的限制.
如果禁用策略,则在默认情况下,服务将能够自由、顺畅地连接到物理网络.
平均带宽一段特定时间内的测量值.
带宽峰值限制突发期间的最大带宽.
它永远不能小于平均带宽.
突发大小指定突发大小的值,以千字节(KB)为单位.
编辑dvPort流量调整策略可以调整vNetwork分布式交换机上的输入和输出流量.
可以限制端口的可用网络带宽,但也可以临时允许流量突发,使流量以更高的速度通过端口.
流量调整策略由三个特性定义:平均带宽、带宽峰值和突发大小.
前提条件若要在单个dvPort上编辑流量调整策略,必须设置关联dvPort组以便允许策略替代.
步骤1登录到vSphereClient,此时会显示vNetwork分布式交换机.
2在端口选项卡上,右键单击要修改的端口,然后选择编辑设置.
3单击策略.
4在"流量调整"组中,您可以配置输入流量调整和输出流量调整.
当流量调整处于禁用状态时,这些选项会显示为灰色.
选项描述状态如果在状态字段中启用策略异常,将为与该特定端口组关联的每个虚拟适配器设置网络带宽分配量的限制.
如果禁用策略,则在默认情况下,服务将能够自由、顺畅地连接到物理网络.
平均带宽一段特定时间内的测量值.
带宽峰值限制突发期间的最大带宽.
它永远不能小于平均带宽.
突发大小指定突发大小的值,以千字节(KB)为单位.
5单击确定.
ESXi配置指南44VMware,Inc.
端口阻止策略从"其他策略"对话框中设置dvPorts的阻止策略.
在dvPort组上编辑端口阻止策略在其他策略下设置dvPort组的端口阻止策略.
步骤1在vSphereClient中,显示"网络"清单视图,并选择dvPort组.
2从"清单"菜单中,选择网络>编辑设置.
3选择其他.
4选择是否在此dvPort组上阻止所有端口.
编辑dvPort端口阻止策略"其他策略"对话框允许您配置dvPort的端口阻止策略.
步骤1登录到vSphereClient,此时会显示vNetwork分布式交换机.
2在端口选项卡上,右键单击要修改的端口,然后选择编辑设置.
3单击策略.
4在其他组中,选择是否阻止所有端口.
5单击确定.
更改DNS和路由配置可以在vSphereClient中的"主机配置"页面更改安装期间提供的DNS服务器和默认网关信息.
步骤1登录vSphereClient,在"清单"面板中选择主机.
2依次单击配置选项卡和DNS和路由.
3在窗口的右侧,单击属性.
4在DNS配置选项卡中,输入名称和域.
5选择是自动获取DNS服务器地址,还是使用DNS服务器地址.
6指定用于查找主机的域.
7在路由选项卡中,根据需要更改默认的网关信息.
8单击确定.
第5章高级网络VMware,Inc.
45MAC地址MAC地址是为服务控制台、VMkernel和虚拟机所使用的虚拟网络适配器而生成的.
大多数情况下,生成的MAC地址都是合适的.
但是,在以下情况下,可能需要为虚拟网络适配器设置MAC地址:n不同物理主机上的虚拟网络适配器由于共享同一子网且分配了相同的MAC地址而发生冲突.
n在这种情况下,请确保虚拟网络适配器始终拥有同一个MAC地址.
要规避每个物理机256个虚拟网络适配器的限制,以及在虚拟机之间可能发生的冲突,系统管理员可以手动分配MAC地址.
VMware将组织唯一标识符(OUI)00:50:56用于手动生成的地址.
MAC地址的范围是00:50:56:00:00:00-00:50:56:3F:FF:FF.
可以通过将下面的行添加到虚拟机配置文件中以设置地址:ethernet.
address=00:50:56:XX:YY:ZZ其中,表示以太网适配器的数量,XX是00至3F间有效的十六进制数字,而YY和ZZ是00和FF之间有效的十六进制数字.
但XX的值不得大于3F,以避免与VMwareWorkstation和VMwareServer产品生成的MAC地址冲突.
对于手动生成的MAC地址,其最大值为:ethernet.
address=00:50:56:3F:FF:FF同时,必须在虚拟机配置文件中设置选项:ethernet.
addressType="static"由于VMwareESXi虚拟机不支持任意MAC地址,因此必须使用以上格式.
只要在硬编码的地址中为XX:YY:ZZ选择了唯一值,则在自动分配的MAC地址与手动分配的地址之间应该绝不会发生冲突.
MAC地址生成虚拟机中的每个虚拟网络适配器都被分配一个唯一的MAC地址.
每一家网络适配器的制造商都分配了一个唯一的名为组织唯一标识符(OUI)的3字节前缀,此标识符可用于生成唯一的MAC地址.
VMware有以下OUI:n生成的MAC地址n手动设置MAC地址n对于旧版虚拟机,ESXi已经不再使用.
为每个虚拟网络适配器生成的MAC地址的前3个字节由该OUI组成.
此MAC地址生成算法将计算其余3个字节.
此算法保证MAC地址在计算机中是唯一的,并尝试在计算机之间提供唯一的MAC地址.
在同一子网中,每个虚拟机的网络适配器都拥有唯一的MAC地址.
否则,网络适配器会行为异常.
该算法会随机地为任何给定主机上的运行的虚拟机和挂起的虚拟机设置一个限制值.
当不同物理机上的虚拟机共享一个子网时,该算法也不会处理所有地址.
VMware通用唯一标识符(UUID)生成的MAC地址已经通过冲突检查.
所生成的MAC地址是使用三个部分创建的:VMwareOUI、ESXi物理机的SMBIOSUUID,以及基于(为其生成MAC地址)实体名称的哈希值.
在生成MAC地址后,除非虚拟机移动到其他位置(例如移动到同一服务器上的其他路径),否则地址不会更改.
虚拟机配置文件中的MAC地址将被保存.
在特定物理机上,已分配给运行中和已挂起虚拟机的网络适配器的所有MAC地址不会被跟踪.
已关闭虚拟机的MAC地址不会对照运行中或已挂起虚拟机的MAC地址进行检查.
虚拟机再次启动后,有可能获得不同的MAC地址.
获取不同地址的原因在于,与在该虚拟机此前关闭时已启动的虚拟机发生了冲突.
ESXi配置指南46VMware,Inc.
设置MAC地址可以更改已关闭虚拟机的虚拟网卡来使用静态分配的MAC地址.
步骤1登录vSphereClient,在"清单"面板中选择虚拟机.
2单击摘要选项卡,然后单击编辑设置.
3从"硬件"列表中选择网络适配器.
4在"MAC地址"组中,选择手动.
5输入所需的静态MAC地址,然后单击确定.
TCP分段清除和巨帧必须使用命令行界面在主机级别启用巨帧才能配置每个vSwitch的MTU大小.
TCP分段清除(TSO)在Vmkernel接口上默认启用,但必须在虚拟机级别启用.
启用TSO要在虚拟机级别启用TSO,必须将现有vmxnet或可变虚拟网络适配器替换为增强型vmxnet虚拟网络适配器.
这可能会导致虚拟网络适配器的MAC地址发生变化.
通过增强型vmxnet网络适配器实现的TSO支持可用于那些运行以下客户机操作系统的虚拟机:n带ServicePack2的MicrosoftWindows2003EnterpriseEdition(32位和64位)nRedHatEnterpriseLinux4(64位)nRedHatEnterpriseLinux5(32位和64位)nSuSELinuxEnterpriseServer10(32位和64位)为虚拟机启用TSO支持通过使用虚拟机的增强型vmxnet适配器,可以在该虚拟机上启用TSO支持.
步骤1登录vSphereClient,在"清单"面板中选择虚拟机.
2单击摘要选项卡,然后单击编辑设置.
3从"硬件"列表中选择网络适配器.
4记录网络适配器所使用的网络设置和MAC地址.
5单击移除将该网络适配器从虚拟机中移除.
6单击添加.
7选择以太网适配器,然后单击下一步.
8在"适配器类型"组中,选择vmxnet(增强型).
9选择旧网络适配器所使用的网络设置和MAC地址,然后单击下一步.
第5章高级网络VMware,Inc.
4710单击完成,然后单击确定.
11如果未将虚拟机设置为在每次开机时都升级VMwareTools,则必须手动升级VMwareTools.
TSO在VMkernel接口上处于启用状态.
如果对特定VMkernel接口禁用了TSO,则启用TSO的唯一方式是删除此VMkernel接口,然后重新创建已启用TSO的VMkernel接口.
启用巨帧巨帧允许ESXi将较大的帧发送到物理网络上.
网络必须端到端支持巨帧.
最大可支持9KB(9000字节)的巨帧.
ESXi中的VMkernel网络接口不支持巨帧.
必须在ESXi主机上通过远程CLI对每个vSwitch启用巨帧,并在vSphereClient中选择增强型vmxnet网络适配器为每个虚拟机启用巨帧.
在启用巨帧之前,请与硬件供应商核对,确保您的物理网络适配器支持巨帧.
创建已启用巨帧的vSwitch通过更改vSwitch的MTU大小将该vSwitch配置为使用巨帧.
步骤1使用VMwarevSphereCLI中的vicfg-vswitch-m命令为vSwitch设置MTU大小.
通过此命令,可为此vSwitch上的所有上行链路设置MTU.
将MTU大小设置为在与vSwitch相连的所有虚拟网络适配器中是最大的.
2使用vicfg-vswitch-l命令在主机上显示vSwitch列表,并检查vSwitch的配置是否正确.
在vNetwork分布式交换机上启用巨帧通过更改vNetwork分布式交换机的MTU大小为vNetwork分布式交换机启用巨帧.
步骤1在vSphereClient中,显示"网络"清单视图,并选择vNetwork分布式交换机.
2从"清单"菜单中,选择分布式虚拟交换机>编辑设置.
3在属性选项卡上,选择高级.
4将最大MTU设置为连接到vNetwork分布式交换机的所有虚拟网络适配器中最大的MTU大小,然后单击确定.
在虚拟机上启用巨帧支持要在虚拟机上启用巨帧支持,该虚拟机需要增强型vmxnet适配器.
步骤1登录vSphereClient,在"清单"面板中选择虚拟机.
2单击摘要选项卡,然后单击编辑设置.
3从"硬件"列表中选择网络适配器.
4记录网络适配器所使用的网络设置和MAC地址.
5单击移除将该网络适配器从虚拟机中移除.
6单击添加.
7选择以太网适配器,然后单击下一步.
8在"适配器类型"组中,选择vmxnet(增强型).
ESXi配置指南48VMware,Inc.
9选择旧网络适配器所使用的网络并单击下一步.
10单击完成.
11在"硬件"列表中选择新网络适配器.
12在"MAC地址"下,选择手动,并输入旧网络适配器使用的MAC地址.
13单击确定.
14检查增强型vmxnet适配器是否已连接到支持巨帧的vSwitch.
15在客户机操作系统中,配置网络适配器以允许巨帧.
有关详细信息,请参见客户机操作系统的文档.
16将所有的物理交换机以及与该虚拟机相连的任何物理机或虚拟机配置为支持巨帧.
NetQueue和网络性能ESXi中的NetQueue会利用一些网络适配器的功能,以多个可分别处理的接收队列的形式将网络流量传输到系统.
这样可以使处理扩展到多个CPU,从而提高网络的接收端性能.
在ESXi主机上启用NetQueueNetQueue在默认情况下处于启用状态.
为了在禁用NetQueue之后使用NetQueue,必须重新启用它.
步骤1登录vSphereClient,在"清单"面板中选择主机.
2单击配置选项卡,然后单击软件菜单下的高级设置.
3选择VMkernel.
4选择VMkernel.
Boot.
netNetQueueEnable并单击确定.
5通过VMwarevSphereCLI将网卡驱动程序配置为使用NetQueue.
请参见《VMwarevSphere命令行界面安装和参考指南》.
6重新引导ESXi主机.
在ESXi主机上禁用NetQueueNetQueue在默认情况下处于启用状态.
步骤1登录vSphereClient,在"清单"面板中选择主机.
2单击配置选项卡,然后单击高级设置.
3取消选中VMkernel.
Boot.
netNetQueueEnable并单击确定.
4要在网卡驱动程序上禁用NetQueue,请使用vicfg-module-s""[modulename]命令.
例如,如果您使用的是s2io网卡驱动程序,请使用vicfg-module-s""s2io有关VMwarevSphereCLI的信息,请参见《VMwarevSphere命令行界面安装和参考指南》.
5重新引导主机.
第5章高级网络VMware,Inc.
49VMDirectPathGenI借助vSphere4,ESXi支持运行于IntelNehalem平台上的虚拟机直接与PCI设备连接.
每个虚拟机最多可连接两台直通设备.
配置了VMDirectPath的虚拟机不具有以下功能:nVMotionn虚拟设备的热添加和热移除n挂起和恢复n记录和重放n容错n高可用性nDRS(受限可用性;虚拟机可以属于某个群集,但是不能在主机之间迁移)在主机上配置直通设备可以在主机上配置直通网络连接设备.
步骤1从vSphereClient的"清单"面板中,选择主机.
2在配置选项卡中,单击高级设置.
此时将显示"直通配置"页面,其中会列出所有可用的直通设备.
绿色图标表示设备已启用且处于活动状态.
橙色图标表示设备状况已发生变更,并且在使用设备前必须重新引导主机.
3单击编辑.
4选择要用于直通的设备,然后单击确定.
在虚拟机上配置PCI设备可以在虚拟机上配置直通PCI设备.
步骤1从vSphereClient的"清单"面板中选择虚拟机.
2从清单菜单中,选择虚拟机>编辑设置.
3在硬件选项卡上,单击添加.
4选择PCI设备,然后单击下一步.
5选择要使用的直通设备,然后单击下一步.
6单击完成.
将VMDirectPath设备添加到虚拟机可将内存预留设置为虚拟机的内存大小.
ESXi配置指南50VMware,Inc.
网络最佳做法、场景和故障排除6这些主题介绍网络最佳做法和常见的网络配置和故障排除方案.
本章讨论了以下主题:n第51页,"网络最佳做法"n第52页,"挂载NFS卷"n第52页,"故障排除"网络最佳做法在配置网络时,请考虑这些最佳做法.
n将网络服务彼此分开,以获得更好的安全性或更佳的性能.
要使一组特定的虚拟机能够发挥最佳性能,请将它们置于单独的物理网卡上.
这种分离方法可以使总网络工作负载的一部分更平均地分摊到多个CPU上.
例如,隔离的虚拟机可更好地服务于来自Web客户端的流量.
n在专用于VMotion的单独网络上保持VMotion连接.
在进行VMotion迁移时,客户机操作系统内存的内容将通过该网络传输.
通过使用VLAN对单个物理网络分段,或者使用单独的物理网络(后者为首选),可以实现这一点.
n当将直通设备与Linux内核2.
6.
20或更低版本配合使用时,请避免使用MSI和MSI-X模式,因为这会明显影响性能.
n要以物理方式分离网络服务并且专门将一组特定的网卡用于特定的网络服务,请为每种服务创建vSwitch.
如果无法实现,可以使用不同的VLANID将网络服务附加到端口组,以便在一个vSwitch上将它们分离开.
与此同时,与网络管理员确认所选的网络或VLAN与环境中的其他部分是隔离开的,即没有与其相连的路由器.
n可以在不影响虚拟机或运行于vSwitch后端的网络服务的前提下,在vSwitch中添加或移除网卡.
如果移除所有正在运行的硬件,虚拟机仍可互相通信.
而且,如果保留一个网卡原封不动,所有的虚拟机仍然可以与物理网络相连.
n为了保护大部分敏感的虚拟机,请在虚拟机中部署防火墙,以便在带有上行链路(连接物理网络)虚拟网络和无上行链路的纯虚拟网络之间路由.
VMware,Inc.
51挂载NFS卷在ESXi中,ESXi访问ISO映像(用作虚拟机的虚拟CD-ROM)的NFS存储器的模型与ESXServer2.
x中所用的模型是不同的.
ESXi支持基于VMkernel的NFS挂载.
新模型将通过VMkernelNFS功能将NFS卷与ISO映像一起挂载.
以这种方式挂载的所有NFS卷均显示为vSphereClient中的数据存储.
虚拟机配置编辑器允许您浏览服务控制台文件系统,来查找用作虚拟CD-ROM设备的ISO映像.
故障排除下列主题将指导您解决在ESXi环境中可能遇到的常见网络问题.
物理交换机配置故障排除发生故障切换或故障恢复事件时,可能会丢失vSwitch连接.
这会导致与该vSwitch相关联的虚拟机所使用的MAC地址出现在其他交换机端口上.
为了避免此问题,请将物理交换机置于PortFast或PortFast中继模式.
端口组配置故障排除更改虚拟机所连接到的端口组的名称可能会引起已配置为连接到此端口组的虚拟机的网络配置无效.
虚拟网络适配器与端口组之间通过名称进行连接,此名称存储在虚拟机配置中.
更改端口组的名称不需要重新配置所有与该端口组连接的虚拟机.
已启动的虚拟机在关闭之前将继续运行,因为它们已与网络建立连接.
避免对使用中的网络进行重命名.
重命名端口组后,必须使用服务控制台重新配置每一个相关联的虚拟机,以反映新的端口组名称.
ESXi配置指南52VMware,Inc.
存储器VMware,Inc.
53ESXi配置指南54VMware,Inc.
存储器简介7本简介介绍了ESXi的可用存储选项,并对如何配置ESXi系统以使其可使用和管理不同类型的存储器进行了论述.
本章讨论了以下主题:n第55页,"关于ESXi存储器"n第55页,"物理存储器的类型"n第57页,"支持的存储适配器"n第57页,"目标和设备表示形式"n第59页,"关于ESXi数据存储"n第61页,"比较存储器类型"n第62页,"在vSphereClient中查看存储器信息"关于ESXi存储器ESXi存储器是多种物理存储系统(本地或联网)上的存储空间,主机使用该存储器存储虚拟机磁盘.
虚拟机使用虚拟硬盘来存储其操作系统、程序文件以及与其活动有关的其他数据.
虚拟磁盘是一个大型物理文件或一组文件,可以像任何其他文件一样轻松地对其进行复制、移动、存档和备份.
为了存储虚拟磁盘文件并且能够操作文件,主机需要专用的存储空间.
主机将多种物理存储系统上的存储空间(包括主机的内部和外部设备或联网的存储器)专门用于特定任务(如存储数据和保护数据).
主机可以发现它有权限访问的存储设备并将它们格式化为数据存储.
数据存储是一种特殊的逻辑容器,类似于逻辑卷上的文件系统;ESXi在其中放置虚拟磁盘文件和用来封装虚拟机基本组件的其他文件.
数据存储部署在不同设备上,它将各个存储产品的特性隐藏起来,并提供一个统一的模型来存储虚拟机文件.
使用vSphereClient,可以在主机发现的任何存储设备上设置数据存储.
此外,可以使用文件夹创建数据存储的逻辑组,以便实现组织目的并在数据存储组之间设置权限和警示.
物理存储器的类型ESXi存储器管理过程以存储器管理员在不同存储系统上预先分配的存储空间开始.
ESXi支持下列类型的存储器:本地存储器在直接连接到主机的内部或外部存储磁盘或阵列上存储虚拟机文件.
联网的存储器在位于主机之外的外部共享存储系统上存储虚拟机文件.
主机通过高速网络与联网设备进行通信.
VMware,Inc.
55本地存储器本地存储器可以是位于ESXi主机内部的内部硬盘,也可以是位于主机之外并直接连接主机的外部存储系统.
本地存储不需要存储网络即可与主机进行通信.
所需的一切只是一根连接到存储单元的电缆;必要时,主机中需要有一个兼容的HBA.
通常,可以将多台主机连接到单个本地存储系统.
根据存储设备的类型和使用的拓扑,连接的实际主机数可能会有所不同.
许多本地存储系统支持冗余连接路径以确保容错性能.
当多个主机连接本地存储单元时,这些主机将以非共享模式访问存储设备.
非共享模式不允许多个主机同时访问同一个VMFS数据存储.
但是,一些SAS存储系统可向多个主机提供共享访问.
这种类型的访问允许多个主机访问LUN上的同一个VMFS数据存储.
ESXi支持各种内部或外部本地存储设备,包括SCSI、IDE、SATA、USB和SAS存储系统.
无论使用何种存储器类型,主机都会向虚拟机隐藏物理存储器层.
设置本地存储器时,请记住以下几点:n不能使用IDE/ATA驱动器来存储虚拟机.
n只能以非共享模式使用内部和外部的本地SATA存储器.
SATA存储器不支持在多个主机之间共享相同的LUN,因此也无法共享相同的VMFS数据存储.
n某些SAS存储系统可向多个主机提供对相同LUN(以及相同VMFS数据存储)的共享访问.
联网的存储器联网的存储器由ESXi主机用于远程存储虚拟机文件的外部存储系统组成.
主机通过高速存储器网络访问这些系统.
ESXi支持以下网络存储技术:注意不支持通过不同的传输协议(如iSCSI和光纤通道)同时访问同一个存储.
光纤通道(FC)在FC存储区域网络(SAN)上远程存储虚拟机文件.
FCSAN是一种将主机连接到高性能存储设备的专用高速网络.
该网络使用光纤通道协议,将SCSI流量从虚拟机传输到FCSAN设备.
要连接FCSAN,主机应配有光纤通道主机总线适配器(HBA),除非使用光纤通道直接连接存储器,否则主机还应配有光纤通道交换机以帮助路由存储器流量.
InternetSCSI(iSCSI)在远程iSCSI存储设备上存储虚拟机文件.
iSCSI将SCSI存储器流量打包在TCP/IP协议中,使其通过标准TCP/IP网络(而不是专用FC网络)传输.
通过iSCSI连接,主机可以充当与位于远程iSCSI存储系统的目标进行通信的启动器.
ESXi提供下列iSCSI连接类型:硬件启动的iSCSI主机通过第三方iSCSIHBA连接到存储器.
软件启动的iSCSI主机使用VMkernel中基于软件的iSCSI启动器连接到存储器.
通过这种iSCSI连接类型,主机只需要一个标准的网络适配器来进行网络连接.
网络附加存储(NAS)在通过标准TCP/IP网络访问的远程文件服务器上存储虚拟机文件.
ESXi中内置的NFS客户端使用网络文件系统(NFS)协议第3版来与NAS/NFS服务器进行通信.
为了进行网络连接,主机需要一个标准的网络适配器.
ESXi配置指南56VMware,Inc.
支持的存储适配器存储适配器为ESXi主机提供到特定存储单元或网络的连接.
根据所使用的存储器类型,可能需要在主机上安装或启用存储适配器.
ESXi支持不同的适配器类别,包括SCSI、iSCSI、RAID、光纤通道和以太网.
ESXi通过VMkernel中的设备驱动程序直接访问适配器.
目标和设备表示形式在ESXi环境中,"目标"一词标识可以由主机访问的单个存储单元.
术语"设备"和"LUN"描述代表目标上的存储空间的逻辑卷.
通常,"设备"和"LUN"等词在ESXi环境中表示通过存储器目标向主机呈现的SCSI卷,对于该卷可以格式化.
不同存储器供应商通过不同的方式向ESXi主机呈现存储系统.
某些供应商在单个目标上呈现多个存储设备或LUN,而有些供应商则向多个目标各呈现一个LUN.
图7-1.
目标和LUN表示形式存储阵列目标LUNLUNLUN存储阵列目标目标目标LUNLUNLUN在此图示中,每种配置都有三个LUN可用.
在其中一个示例中,主机可以看到一个目标,但该目标具有三个可供使用的LUN.
每个LUN表示单个存储卷.
在另一个示例中,主机可以看到三个不同的目标,每个目标都拥有一个LUN.
通过网络访问的目标都有唯一的名称,该名称由存储系统提供.
iSCSI目标使用iSCSI名称,而光纤通道目标使用全球名称(WWN).
注意ESXi不支持通过不同传输协议(如iSCSI和光纤通道)访问相同的LUN.
设备或LUN由其UUID名称标识.
了解光纤通道命名在光纤通道SAN中,全球名称(WWN)对网络中的每个元素(如光纤通道适配器或存储设备)进行唯一标识.
WWN是一个由16个十六进制数字组成的64位地址,其格式如下:20:00:00:e0:8b:8b:38:7721:00:00:e0:8b:8b:38:77WWN由其制造商分配到每个光纤通道SAN元素.
第7章存储器简介VMware,Inc.
57了解iSCSI命名和寻址在iSCSI网络中,使用网络的每个iSCSI元素都有一个唯一的永久iSCSI名称,并分配有访问地址.
iSCSI名称标识特定的iSCSI元素,而不考虑其物理位置.
iSCSI名称可以使用IQN或EUI格式.
nIQN(iSCSI限定名).
长度可达255个字符,其格式如下:iqn.
yyyy-mm.
naming-authority:uniquenamenyyyy-mm是命名机构成立的年份和月份.
nnaming-authority通常是命名机构的Internet域名的反向语法.
例如,iscsi.
vmware.
com命名机构的iSCSI限定名形式可能是iqn.
1998-01.
com.
vmware.
iscsi.
此名称表示vmware.
com域名于1998年1月注册,iscsi是一个由vmware.
com维护的子域.
nuniquename是希望使用的任何名称,如主机的名称.
命名机构必须确保在冒号后面分配的任何名称都是唯一的,例如:niqn.
1998-01.
com.
vmware.
iscsi:name1niqn.
1998-01.
com.
vmware.
iscsi:name2niqn.
1998-01.
com.
vmware.
iscsi:name999nEUI(扩展的唯一标识符).
包括eui.
前缀,后跟16个字符长的名称.
对于IEEE分配的公司名称,此名称包括24位;对于诸如序列号之类的唯一ID,却包括40位.
例如,eui.
0123456789ABCDEFiSCSI别名iSCSI元素的一种更易管理且更便于记忆的名称,可代替iSCSI名称.
iSCSI别名不是唯一的,它只是一个与节点关联的友好名称.
IP地址地址与每个iSCSI元素都相关联,以便网络上的路由和交换设备可以在不同元素之间(如主机和存储器)建立连接.
这就像为了访问公司的网络或Internet而分配给计算机的IP地址一样.
了解存储设备命名在vSphereClient中,每个存储设备或LUN均由多种名称(包括友好名称、UUID和运行时名称)标识.
名称ESXi主机根据存储器类型和制造商为设备分配的友好名称.
您可以使用vSphereClient修改名称.
当您在一台主机上修改设备的名称时,更改将在所有可以访问此设备的主机上生效.
标识符分配到设备的通用唯一标识符.
根据存储器类型的不同,将使用不同算法创建标识符.
标识符在重新引导后仍然存在,且在共享设备的所有主机中相同.
运行时名称设备第一条路径的名称.
运行时名称由主机创建,不是设备的可靠标识符,它并不永久存在.
ESXi配置指南58VMware,Inc.
运行时名称具有以下格式:vmhba#:C#:T#:L#,其中nvmhba#是存储适配器的名称.
此名称指的是主机上的物理适配器,而不是由虚拟机使用的SCSI控制器.
nC#是存储器通道号.
软件iSCSI启动器使用通道号来显示指向同一目标的多个路径.
nT#是目标号.
目标编号由主机决定,可能会在对于主机可见的目标的映射更改时发生变化.
由不同ESXi主机共享的目标可能具有不同的目标号.
nL#是显示目标中LUN位置的LUN号.
LUN号由存储系统提供.
如果目标只有一个LUN,则LUN号始终为零(0).
例如,vmhba1:C0:T3:L1表示通过存储适配器vmhba1和通道0访问的目标3上的LUN1.
关于ESXi数据存储数据存储是逻辑容器,类似于文件系统,它将各个存储设备的特性隐藏起来,并提供一个统一的模型来存储虚拟机文件.
数据存储还可以用来存储ISO映像、虚拟机模板和软盘映像.
可以使用vSphereClient来访问ESXi主机发现的不同类型的存储设备,并在这些设备上部署数据存储.
根据所使用的存储器类型,数据存储可以支持下面的文件系统格式:虚拟机文件系统(VMFS)为存储虚拟机而优化的高性能文件系统.
主机可以将VMFS数据存储部署在任何基于SCSI的本地或联网存储设备(包括光纤通道和iSCSISAN设备)上.
除了使用VMFS数据存储之外,虚拟机还可以直接访问裸机并使用映射文件(RDM)作为代理.
网络文件系统(NFS)NAS存储设备上的文件系统.
ESXi支持TCP/IP上的NFS版本3.
主机可以访问NAS服务器上的指定NFS卷,挂载该卷,并用该卷来满足存储需求.
VMFS数据存储ESXi可以将基于SCSI的存储设备格式化为VMFS数据存储.
VMFS数据存储主要充当虚拟机的存储库.
可以在同一个VMFS卷上存储多个虚拟机.
封装在一组文件中的各个虚拟机都会占用单独的一个目录.
对于虚拟机内的操作系统,VMFS会保留内部文件系统语义,这样可以确保正确的应用程序行为以及在虚拟机中运行的应用程序的数据完整性.
此外,还可以使用VMFS数据存储来存储其他文件,如虚拟机模板和ISO映像.
VMFS支持下面的文件和块大小,使得虚拟机甚至能够运行会占用大量数据的应用程序(包括虚拟机中的数据库、ERP和CRM):n最大虚拟磁盘大小:2TB(块大小为8MB)n最大文件大小:2TB(块大小为8MB)n块大小:1MB(默认)、2MB、4MB和8MB第7章存储器简介VMware,Inc.
59创建和增加VMFS数据存储可以在ESXi主机发现的基于SCSI的任何存储设备上设置VMFS数据存储.
创建VMFS数据存储以后,可以编辑它的属性.
每个系统最多可具有256个VMFS数据存储,这些数据存储的最小卷大小为1.
2GB.
注意每个LUN始终只具有一个VMFS数据存储.
如果VMFS数据存储需要更多空间,则可以增加VMFS卷.
可以将新的数据区动态添加到任何VMFS数据存储,该数据存储最大可达64TB.
数据区是物理存储设备上的LUN或分区.
数据存储可以跨越多个数据区,但仍显示为单个卷.
另一个选项则是在数据存储所在的存储设备有可用空间时,增大现有的数据存储数据区.
数据区最大可达2TB.
在ESXi主机间共享VMFS卷作为一个群集文件系统,VMFS允许多个ESXi主机同时访问同一个VMFS数据存储.
最多可以将32个主机连接到单个VMFS卷.
图7-2.
在主机间共享VMFS卷VMFS卷主机A主机B主机C虚拟磁盘文件VM1VM2VM3磁盘1磁盘2磁盘3为了确保多台服务器不会同时访问同一个虚拟机,VMFS提供了磁盘锁定.
在多个主机间共享同一个VMFS卷具有以下好处:n可使用VMwareDistributedResourceScheduling和VMwareHighAvailability.
可以跨越不同的物理服务器分配虚拟机.
这意味着,每个服务器上会运行一组虚拟机,这样一来,所有服务器就不会同时在同一个区域面临很高的需求.
如果某台服务器发生故障,可以在另一台物理服务器上重新启动虚拟机.
万一发生故障,每个虚拟机的磁盘锁会被释放.
n可以使用VMotion将正在运行的虚拟机从一台物理服务器移动到另一台物理服务器.
n可以使用VMwareConsolidatedBackup,它可让一个称为VCB代理的代理服务器在虚拟机启动和读写存储器时备份虚拟机的快照.
ESXi配置指南60VMware,Inc.
NFS数据存储ESXi可以访问NAS服务器上的指定NFS卷,挂载该卷,并用该卷来满足存储器需求.
可以使用NFS卷来存储和引导虚拟机,这与使用VMFS数据存储相同.
ESXi支持NFS卷上的以下共享存储器功能:nvMotionnVMwareDRS和VMwareHAn对于虚拟机显示为CD-ROM的ISO映像n虚拟机快照虚拟机如何访问存储器当虚拟机与存储在数据存储上的虚拟磁盘进行通信时,它会发出SCSI命令.
由于数据存储可以存在于各种类型的物理存储器上,因此,根据ESXi主机用来连接存储设备的协议,这些命令会封装成其他形式.
ESXi支持光纤通道(FC)、InternetSCSI(iSCSI)和NFS协议.
无论主机使用何种类型的存储设备,虚拟磁盘始终会以挂载的SCSI设备形式呈现给虚拟机.
虚拟磁盘会向虚拟机操作系统隐藏物理存储器层.
这样可以在虚拟机内部运行未针对特定存储设备(如SAN)而认证的操作系统.
图7-3描绘了使用不同存储器类型的五个虚拟机,以说明各个类型之间的区别.
图7-3.
访问不同类型存储器的虚拟机iSCSI阵列NAS设备光纤阵列主机VMFS本地以太网SCSIVMFSVMFSNFS虚拟机虚拟机虚拟机虚拟机虚拟机SANLANLANLANiSCSI硬件启动器光纤通道HBA以太网网卡以太网网卡软件启动器需要TCP/IP连接图例物理磁盘数据存储虚拟磁盘注意此图表仅用于展示概念.
它并非是推荐的配置.
比较存储器类型某些vSphere功能是否受支持可能取决于所用存储技术.
表7-1比较了ESXi支持的网络存储技术.
第7章存储器简介VMware,Inc.
61表7-1.
ESXi支持的联网存储器技术协议传输接口光纤通道FC/SCSI数据/LUN的块访问FCHBAiSCSIIP/SCSI数据/LUN的块访问niSCSIHBA(硬件启动的iSCSI)n网卡(软件启动的iSCSI)NASIP/NFS文件(无直接LUN访问)网卡表7-2比较了不同类型存储器支持的vSphere功能.
表7-2.
存储器支持的vSphere功能存储器类型引导虚拟机vMotion数据存储RDM虚拟机群集VMwareHA和DRSVCB本地存储器是否VMFS否否否是光纤通道是是VMFS是是是是iSCSI是是VMFS是是是是NFS上的NAS是是NFS否否是是在vSphereClient中查看存储器信息vSphereClient显示有关存储适配器和设备以及任何可用数据存储的详细信息.
显示存储适配器主机使用存储适配器来访问不同的存储设备.
您可以显示可用的存储适配器,并查看其信息.
表7-3列出了在您显示每个适配器的详细信息时可以查看的信息.
某些适配器(例如iSCSI)需要对其进行配置或将其启用才能查看其适配器信息.
表7-3.
存储适配器信息适配器信息描述型号适配器的型号.
目标(光纤通道和SCSI)通过适配器访问的目标数.
已连接的目标(iSCSI)iSCSI适配器上已连接的目标数.
WWN(光纤通道)根据用来唯一标识FC适配器的光纤通道标准形成的全球名称.
iSCSI名称(iSCSI)根据用来标识iSCSI适配器的iSCSI标准形成的唯一名称.
iSCSI别名(iSCSI)用以替代iSCSI名称的友好名称.
IP地址(硬件iSCSI)分配给iSCSI适配器的地址.
发现方法(iSCSI)iSCSI适配器用于访问iSCSI目标的发现方法.
设备适配器可以访问的所有存储设备或LUN.
路径适配器用于访问存储设备的所有路径.
ESXi配置指南62VMware,Inc.
查看存储适配器信息可以显示主机使用的存储适配器并查看它们的信息.
步骤1在"清单"中,选择主机和群集.
2选择主机,然后单击配置选项卡.
3在"硬件"中,选择存储适配器.
4要查看特定适配器的详细信息,请从"存储适配器"列表中选择适配器.
5要列出适配器可以访问的所有存储设备,请单击设备.
6要列出适配器使用的所有路径,请单击路径.
将存储适配器标识符复制到剪贴板如果存储适配器使用唯一标识符(如iSCSI名称或WWN),则可以将标识符从UI直接复制到剪贴板.
步骤1在"清单"中,选择主机和群集.
2选择主机,然后单击配置选项卡.
3在"硬件"中,选择存储适配器.
4从"存储适配器"列表中选择适配器.
5在"详细信息"面板中,右键单击名称字段中的值,并选择复制.
查看存储设备可以显示对主机可用的所有存储设备或LUN(包括所有的本地设备和联网设备).
如果使用第三方多路径插件,则通过插件可用的存储设备也将出现在列表上.
对于每个存储适配器,可以显示仅此适配器可用的存储设备的单独列表.
通常,在检查存储设备的列表时,可以看到以下信息.
存储设备信息描述名称ESXi主机根据存储器类型和制造商为设备分配的友好名称.
可以根据需要更改此名称.
标识符通用唯一标识符是设备的固有名称.
运行时名称设备第一条路径的名称.
LUN显示目标中LUN位置的LUN号.
类型设备类型,例如,磁盘或CD-ROM.
传输主机用于访问设备的传输协议.
容量存储设备的总容量.
所有者主机用于管理存储设备的插件(如NMP或第三方插件).
每个存储设备的详细信息包括以下内容:n指向/vmfs/devices/目录中存储设备的路径.
n主分区和逻辑分区,包括VMFS数据存储(如果已配置).
第7章存储器简介VMware,Inc.
63显示主机的存储设备可以显示对主机可用的所有存储设备或LUN.
如果使用任何第三方多路径插件,则通过插件可用的存储设备也将出现在列表上.
步骤1在"清单"中,选择主机和群集.
2选择主机,然后单击配置选项卡.
3在"硬件"中,选择存储器.
4单击设备.
5要查看有关特定设备的其他详细信息,请从列表中选择设备.
显示适配器的存储设备可以显示主机上的特定存储适配器可访问的存储设备的列表.
步骤1在"清单"中,选择主机和群集.
2选择主机,然后单击配置选项卡.
3在"硬件"中,选择存储适配器.
4从"存储适配器"列表中选择适配器.
5单击设备.
将存储设备标识符复制到剪贴板存储设备标识符是分配给存储设备或LUN的通用唯一ID.
根据不同存储器类型使用不同的算法来创建标识符,标识符可能较长且很复杂.
可以直接从UI复制存储设备标识符.
步骤1显示存储设备的列表.
2右键单击设备,然后选择将标识符复制到剪贴板.
显示数据存储可以显示对主机可用的所有数据存储,并分析其属性.
可使用以下方式将数据存储添加到vSphereClient中:n在可用存储设备上创建.
n当主机添加到清单时发现.
将主机添加到清单中时,vSphereClient将显示对主机可用的任何数据存储.
如果vSphereClient连接到vCenterServer系统,则可以在"数据存储"视图中查看数据存储信息.
此视图按数据中心显示清单中所有的数据存储.
通过此视图,可以将数据存储组织到文件夹层次结构中,创建新数据存储,编辑其属性,或移除现有数据存储.
此视图可全面显示数据存储的所有信息,包括使用数据存储的主机和虚拟机、存储报告信息、权限、警报、任务和事件、存储拓扑以及存储报告.
"数据存储"视图的"配置"选项卡上提供连接到此数据存储的所有主机上的每个数据存储的配置详细信息.
注意vSphereClient直接连接到主机时,"数据存储"视图不可用.
在这种情况下,通过主机存储配置选项卡检查数据存储信息.
ESXi配置指南64VMware,Inc.
通常,可以查看以下数据存储配置详细信息:n数据存储所在的目标存储设备n数据存储使用的文件系统n数据存储的位置n总容量,包括已用空间和可用空间n数据存储跨越的各个数据区及其容量(仅VMFS数据存储)n用来访问存储设备(仅VMFS数据存储)的路径检查数据存储属性可以显示对主机可用的所有数据存储,并分析其属性.
步骤1显示清单中的主机.
2在清单中选择主机,然后单击配置选项卡.
3在"硬件"中,选择存储器.
4单击数据存储视图.
5要显示特定数据存储的详细信息,请从列表中选择数据存储.
第7章存储器简介VMware,Inc.
65ESXi配置指南66VMware,Inc.
配置ESXi存储器8下列主题包含有关配置本地SCSI存储设备、光纤通道SAN存储器、iSCSI存储器以及NFS存储器的信息.
本章讨论了以下主题:n第67页,"本地SCSI存储器"n第68页,"光纤通道存储器"n第68页,"iSCSI存储器"n第77页,"存储刷新和重新扫描操作"n第78页,"创建VMFS数据存储"n第79页,"网络附加存储"n第80页,"创建诊断分区"本地SCSI存储器本地存储器使用基于SCSI的设备,如ESXi主机的硬盘或与主机直接相连的外部专用存储系统.
图8-1描述了使用本地SCSI存储器的虚拟机.
图8-1.
本地存储器主机VMFS本地以太网SCSI虚拟机在这个本地存储器拓扑示例中,ESXi主机使用单一连接来插入磁盘.
可以在该磁盘上创建VMFS数据存储,以存储虚拟机磁盘文件.
VMware,Inc.
67虽然可以使用这种存储器配置拓扑,但不推荐使用.
如果在存储阵列和主机间使用单一连接,那么,在连接不稳定或出现故障时,会产生将导致中断的单一故障点(SPOF).
为确保容错性能,部分DAS系统支持冗余连接路径.
光纤通道存储器ESXi支持光纤通道适配器,这些适配器允许主机连接到SAN并查看SAN上的存储设备.
安装光纤通道适配器之后,主机才能显示FC存储设备.
图8-2描述了使用光纤通道存储器的虚拟机.
图8-2.
光纤通道存储器光纤阵列VMFS虚拟机SAN光纤通道HBA主机在该配置中,ESXi主机通过光纤通道适配器连接到SAN结构(包括光纤通道交换机及存储阵列).
此时,存储阵列的LUN变得对于主机可用.
您可以访问LUN并创建用于满足存储需求的数据存储.
数据存储采用VMFS格式.
有关设置FCSAN光纤和存储器阵列以便与ESXi一起使用的特定信息,请参见《光纤通道SAN配置指南》.
iSCSI存储器ESXi支持iSCSI技术,通过该技术主机可使用IP网络访问远程存储器.
借助iSCSI,可将虚拟机向其虚拟磁盘发出的SCSI存储器命令转换为TCP/IP数据包,并将其传输至存储虚拟磁盘的远程设备或目标.
要访问远程目标,主机需要使用iSCSI启动器.
启动器在IP网络上的主机与目标存储设备之间传输SCSI请求和响应.
ESXi支持基于硬件的和基于软件的iSCSI启动器.
必须配置iSCSI启动器以使主机能够访问和显示iSCSI存储设备.
图8-3描述了两台使用不同类型iSCSI启动器的虚拟机.
ESXi配置指南68VMware,Inc.
图8-3.
iSCSI存储器iSCSI阵列VMFS虚拟机虚拟机LANLANiSCSI硬件启动器以太网网卡主机软件启动器在左侧示例中,主机使用硬件iSCSI适配器连接到iSCSI存储系统.
在右侧示例中,主机使用软件iSCSI启动器配置.
主机使用软件启动器,通过现有网络适配器连接到iSCSI存储器.
此时,存储系统中的iSCSI存储设备变得对于主机可用.
您可以访问存储设备并创建用于满足存储需求的VMFS数据存储.
有关设置iSCSISAN光纤以便与ESXi一起使用的特定信息,请参见《iSCSISAN配置指南》.
设置硬件iSCSI启动器对于基于硬件的iSCSI存储器,您将使用可通过TCP/IP访问iSCSI存储器的专用第三方适配器.
此iSCSI启动器负责ESXi系统的所有iSCSI以及网络处理和管理.
在设置驻留在iSCSI存储器设备上的数据存储之前,必须先安装和配置硬件iSCSI适配器.
查看硬件iSCSI启动器可以查看硬件iSCSI启动器以验证它是否已正确安装并准备好进行配置.
前提条件开始配置硬件iSCSI启动器之前,请确保iSCSIHBA已成功安装并显示在可供配置的启动器列表上.
如果启动器已安装,则可查看其属性.
步骤1登录vSphereClient,在"清单"面板中选择主机.
2单击配置选项卡,然后在"硬件"面板中单击存储适配器.
硬件iSCSI启动器显示在存储适配器的列表上.
第8章配置ESXi存储器VMware,Inc.
693选择要查看的启动器.
此时会显示启动器的默认详细信息,包括型号、iSCSI名称、iSCSI别名、IP地址及目标和路径信息.
4单击属性.
此时将显示"iSCSI启动器属性"对话框.
常规选项卡显示了启动器的附加特性.
现在可配置硬件启动器或更改其默认特性.
更改硬件启动器的名称和IP地址在配置硬件iSCSI启动器时,请确保其名称和IP地址的格式正确.
步骤1登录vSphereClient,在"清单"面板中选择主机.
2单击配置选项卡,然后在"硬件"面板中单击存储适配器.
3选择要配置的启动器,然后单击属性>配置.
4要更改启动器的默认iSCSI名称,请输入新的名称.
确保所输入的名称在整个环境中唯一且其格式正确;否则,某些存储设备可能无法识别硬件iSCSI启动器.
5(可选)输入iSCSI别名.
别名是用于标识硬件iSCSI启动器的名称.
6更改默认IP设置.
必须更改默认IP设置,以便IPSAN的IP设置正确无误.
与网络管理员一起确定HBA的IP设置.
7单击确定保存更改.
如果更改iSCSI名称,该名称会在新的iSCSI会话中使用.
但对于现有会话,直到注销并重新登录之后才能使用新设置.
设置软件iSCSI启动器借助所实现的基于软件的iSCSI,可使用标准网络适配器将ESXi主机连接至IP网络上的远程iSCSI目标.
ESXi中内置的软件iSCSI启动器为此连接提供了便利,可通过网络堆栈与网络适配器进行通信.
在配置软件iSCSI启动器之前,必须执行以下任务:1为物理网络适配器创建VMkernel端口.
2启用软件iSCSI启动器.
3如果使用多个网络适配器,则可以通过使用端口绑定技术在主机上激活多路径.
有关端口绑定的详细信息,请参见《iSCSISAN配置指南》.
4如有需要的话,请启用巨帧.
必须通过vSphereCLI为每个vSwitch启用巨帧.
此外,如果使用的是ESX主机,则必须创建已启用巨帧的VMkernel网络接口.
有关详细信息,请参见"网络"部分.
ESXi配置指南70VMware,Inc.
软件iSCSI存储器的网络配置软件iSCSI的网络配置涉及到创建iSCSIVMkernel端口和将其映射到处理iSCSI流量的物理网卡.
根据要用于iSCSI流量的物理网卡的数量,网络设置可能不同:n如果有一个物理网卡,则在vSwitch上创建一个VMkernel端口,并将该端口映射到这个网卡.
VMware建议为iSCSI指定完全独立的网络适配器.
不需要额外的网络配置步骤.
有关创建端口的详细信息,请参见第71页,"为软件iSCSI创建VMkernel端口".
n如果有两个或更多的物理网卡用于iSCSI,则可以通过使用端口绑定技术创建软件iSCSI的多个路径.
有关端口绑定的详细信息,请参见《iSCSISAN配置指南》.
为软件iSCSI创建VMkernel端口使用此步骤可将运行iSCSI存储器服务的VMkernel连接至物理网络适配器.
步骤1登录vSphereClient,在"清单"面板中选择主机.
2依次单击配置选项卡和网络.
3在"虚拟交换机"视图中,单击添加网络.
4选择VMkernel,然后单击下一步.
5选择创建虚拟交换机以创建新的vSwitch.
如果创建虚拟交换机下未显示任何适配器,则现有vSwitch正在使用系统中的所有网络适配器.
可以使用现有的vSwitch用于iSCSI流量.
6选择要用于iSCSI流量的适配器.
重要事项不要在100Mbps或更慢的适配器上使用iSCSI.
7单击下一步.
8在端口组属性下方,输入网络标签.
网络标签是用于识别所创建的VMkernel端口的友好名称.
9单击下一步.
10指定IP设置,然后单击下一步.
11检查信息,然后单击完成.
下一步现在可以启用软件启动器.
启用软件iSCSI启动器必须启用软件iSCSI启动器,以便ESXi可以使用此启动器访问iSCSI存储.
步骤1登录vSphereClient,从"清单"面板中选择服务器.
2单击配置选项卡,然后在"硬件"面板中单击存储适配器.
此时将显示可用存储适配器的列表.
3选择要配置的iSCSI启动器,然后单击属性.
第8章配置ESXi存储器VMware,Inc.
714单击配置.
此时将打开常规属性对话框,显示启动器的状态、默认名称和别名.
5要启用启动器,请选择已启用.
6要更改启动器的默认iSCSI名称,请输入新的名称.
确保所输入的名称在整个环境中唯一且其格式正确;否则,某些存储设备可能无法识别软件iSCSI启动器.
7单击确定保存更改.
如果更改iSCSI名称,该名称会在新的iSCSI会话中使用.
但对于现有会话,直到注销并重新登录之后才能使用新设置.
配置iSCSI启动器的发现地址设置目标发现地址,以便iSCSI启动器确定网络上可供访问的存储资源.
ESXi系统支持以下发现方法:动态发现也称为"发送目标"发现.
启动器每次与指定的iSCSI服务器联系时,都会向该服务器发送"发送目标"请求.
服务器通过向启动器提供一个可用目标的列表来做出响应.
这些目标的名称和IP地址显示在静态发现选项卡上.
如果移除了通过动态发现添加的静态目标,则该目标可在下次进行重新扫描、重置HBA或重新引导主机时返回到列表中.
静态发现启动器不必执行任何发现.
启动器拥有它可以联系的目标列表,并使用目标的IP地址和名称与这些目标进行通信.
设置动态发现使用动态发现,每次启动器联系指定的iSCSI服务器时,均会将"发送目标"请求发送到服务器.
服务器通过向启动器提供一个可用目标的列表来做出响应.
步骤1登录vSphereClient,在"清单"面板中选择服务器.
2单击配置选项卡,然后在"硬件"面板中单击存储适配器.
此时将显示可用存储适配器的列表.
3选择要配置的iSCSI启动器,然后单击属性.
4在"iSCSI启动器属性"对话框中,单击动态发现选项卡.
5要添加"发送目标"发现的地址,请单击添加.
此时将显示添加发送目标服务器对话框.
6输入存储系统的IP地址或DNS名称,然后单击确定.
在主机与此系统建立"发送目标"会话后,新发现的任何目标均将出现在"静态发现"列表中.
7要删除特定的"发送目标"服务器,请将其选中,然后单击移除.
在移除"发送目标"服务器之后,它可能仍作为静态目标的父目标出现在"继承"字段中.
此条目表示静态目标的发现位置且并不影响功能.
注意不能更改现有"发送目标"服务器的IP地址、DNS名称或端口号.
要进行更改,请删除现有服务器,并添加一台新服务器.
ESXi配置指南72VMware,Inc.
设置静态发现借助于iSCSI启动器以及动态发现方法,可以使用静态发现并手动输入目标的信息.
步骤1登录vSphereClient,在"清单"面板中选择服务器.
2单击配置选项卡,然后在"硬件"面板中单击存储适配器.
此时将显示可用存储适配器的列表.
3选择要配置的iSCSI启动器,然后单击属性.
4在"iSCSI启动器属性"对话框中,单击静态发现选项卡.
该选项卡将显示所有动态发现目标和已输入的所有静态目标.
5要添加目标,请单击添加,然后输入目标的信息.
6要删除特定目标,请选择目标,然后单击移除.
注意不能更改现有目标的IP地址、DNS名称、iSCSI目标名称或端口号.
要进行更改,请移除现有目标,然后添加一个新目标.
配置iSCSI启动器的CHAP参数由于iSCSI技术用于连接远程目标的IP网络不保护其传输的数据,因此必须确保连接的安全.
iSCSI要求网络上的所有设备均实现质询握手身份验证协议(CHAP),该协议会验证访问网络上目标的启动器的合法性.
在主机和目标建立连接时,CHAP使用三路握手算法验证主机和iSCSI目标(如果适用的话)的身份.
系统根据启动器和目标共享的预定义的专用值或CHAP密钥进行验证.
ESXi支持适配器级别的CHAP身份验证.
在这种情况下,所有目标从iSCSI启动器接收相同的CHAP名称和密钥.
对于软件iSCSI,ESXi还支持每个目标的CHAP身份验证,此身份验证使您能够为每个目标配置不同凭据以实现更高级别的安全性.
选择CHAP身份验证方法ESXi对于硬件和软件iSCSI均支持单向CHAP身份验证,但仅对于软件iSCSI支持双向CHAP身份验证.
在配置CHAP前,请检查是否在iSCSI存储系统中启用了CHAP并检查系统所支持的CHAP身份验证方法.
如果已启用CHAP,请为启动器启用CHAP,并确保CHAP身份验证凭据与iSCSI存储器上的身份验证凭据相匹配.
ESXi支持下列CHAP身份验证方法:单向CHAP在单向CHAP身份验证中,目标需验证启动器,但启动器无需验证目标.
双向CHAP(仅限软件iSCSI)在双向CHAP身份验证中,其他安全级别会启用启动器对目标进行身份验证.
可以为每个启动器或在目标级别设置单向CHAP和双向CHAP(仅限软件iSCSI).
硬件iSCSI仅支持启动器级别的CHAP.
设置CHAP参数时,请指定CHAP的安全级别.
第8章配置ESXi存储器VMware,Inc.
73表8-1.
CHAP安全级别CHAP安全级别描述受支持不使用CHAP主机不使用CHAP身份验证.
如果当前已启用,则选择此选项禁用身份验证.
软件iSCSI硬件iSCSI不使用CHAP,除非目标需要主机首选非CHAP连接,但如果目标要求可以使用CHAP连接.
软件iSCSI使用CHAP,除非已被目标禁止主机首选CHAP,但如果目标不支持CHAP,可以使用非CHAP连接.
软件iSCSI硬件iSCSI使用CHAP主机需要成功的CHAP身份验证.
如果CHAP协商失败,则连接失败.
软件iSCSI设置iSCSI启动器的CHAP凭据为了提高安全性,可以在启动器级别将所有目标设置为从iSCSI启动器接收相同的CHAP名称和密钥.
默认情况下,所有发现地址或静态目标都继承在启动器级别设置的CHAP参数.
前提条件在设置软件iSCSI的CHAP参数之前,请先确定是要配置单向CHAP还是双向CHAP.
硬件iSCSI不支持双向CHAP.
n在单向CHAP中,目标会验证启动器.
n在双向CHAP中,目标和启动器会相互验证.
确保对CHAP和双向CHAP使用不同的密钥.
在配置CHAP参数时,确保它们与存储器端的参数相匹配.
对于软件iSCSI,CHAP名称不得超过511个字母数字字符,CHAP密钥不得超过255个字母数字字符.
对于硬件iSCSI,CHAP名称不得超过255个字母数字字符,CHAP密钥不得超过100个字母数字字符.
步骤1登录vSphereClient,在"清单"面板中选择服务器.
2单击配置选项卡,然后在"硬件"面板中单击存储适配器.
此时将显示可用存储适配器的列表.
3选择要配置的iSCSI启动器,然后单击属性.
4在常规选项卡上,单击CHAP.
5要配置单向CHAP,请在CHAP下指定以下项.
a选择下列选项之一:n不使用CHAP,除非目标需要(仅限软件iSCSI)n使用CHAP,除非已被目标禁止n使用CHAP(仅限软件iSCSI).
要能够配置双向CHAP,必须选择此选项.
b指定CHAP名称.
确保指定的名称与在存储器端配置的名称相匹配.
n要将CHAP名称设置为iSCSI启动器名称,请选中使用启动器名称.
n要将CHAP名称设置为除iSCSI启动器名称之外的任何其他名称,请取消选中使用启动器名称,并在名称字段中输入名称.
c输入单向CHAP密钥以用作身份验证的一部分.
确保使用在存储器端输入的相同密钥.
ESXi配置指南74VMware,Inc.
6要配置双向CHAP,请先按照步骤5中的说明配置单向CHAP.
确保为单向CHAP选择使用CHAP选项.
然后,在双向CHAP下,指定以下各项:a选择使用CHAP.
b指定双向CHAP名称.
c输入双向CHAP密钥.
确保对单向CHAP和双向CHAP使用不同的密钥.
7单击确定.
8重新扫描启动器.
如果更改了CHAP或双向CHAP参数,则它们会用于新的iSCSI会话.
但对于现有会话,直到注销并重新登录之后才能使用新设置.
设置目标的CHAP凭据对于软件iSCSI,可以为每个发现地址或静态目标配置不同CHAP凭据.
在配置CHAP参数时,确保它们与存储器端的参数相匹配.
对于软件iSCSI,CHAP名称不得超过511个字母数字字符,CHAP密钥不得超过255个字母数字字符.
前提条件在设置软件iSCSI的CHAP参数之前,请先确定是要配置单向CHAP还是双向CHAP.
n在单向CHAP中,目标会验证启动器.
n在双向CHAP中,目标和启动器会相互验证.
确保对CHAP和双向CHAP使用不同的密钥.
步骤1登录vSphereClient,在"清单"面板中选择服务器.
2单击配置选项卡,然后在"硬件"面板中单击存储适配器.
此时将显示可用存储适配器的列表.
3选择要配置的iSCSI软件启动器,然后单击属性.
4选择动态发现或静态发现选项卡.
5从可用目标的列表中,选择要配置的目标,然后单击设置>CHAP.
6要配置单向CHAP,请在CHAP下指定以下项.
a取消选中从父项继承.
b选择下列选项之一:n不使用CHAP,除非目标需要n使用CHAP,除非已被目标禁止n使用CHAP.
要能够配置双向CHAP,必须选择此选项.
c指定CHAP名称.
确保指定的名称与在存储器端配置的名称相匹配.
n要将CHAP名称设置为iSCSI启动器名称,请选中使用启动器名称.
n要将CHAP名称设置为除iSCSI启动器名称之外的任何其他名称,请取消选中使用启动器名称,并在名称字段中输入名称.
d输入单向CHAP密钥以用作身份验证的一部分.
确保使用在存储器端输入的相同密钥.
第8章配置ESXi存储器VMware,Inc.
757要配置双向CHAP,请先按照步骤6中的说明配置单向CHAP.
确保为单向CHAP选择使用CHAP选项.
然后,在双向CHAP下,指定以下各项:a取消选中从父项继承.
b选择使用CHAP.
c指定双向CHAP名称.
d输入双向CHAP密钥.
确保对单向CHAP和双向CHAP使用不同的密钥.
8单击确定.
9重新扫描启动器.
如果更改了CHAP或双向CHAP参数,则它们会用于新的iSCSI会话.
但对于现有会话,直到注销并重新登录之后才能使用新设置.
禁用CHAP如果存储系统不需要CHAP,则可以将其禁用.
如果在需要CHAP身份验证的系统上禁用CHAP,则现有iSCSI会话会保持活动状态,直到重新引导ESXi主机或者存储系统强制注销为止.
在会话结束之后,您将不能再连接需要CHAP的目标.
步骤1打开"CHAP凭据"对话框.
2对于软件iSCSI,要仅禁用双向CHAP,请在双向CHAP下选择不使用CHAP.
3要禁用单向CHAP,请在CHAP下面选择不使用CHAP.
如果设置了双向CHAP,则在禁用单向CHAP时,双向CHAP将自动转换为不使用CHAP.
4单击确定.
配置iSCSI的其他参数可能需要为iSCSI启动器配置其他参数.
例如,有些iSCSI存储系统要求ARP(地址解析协议)重定向,以在端口间动态移动iSCSI流量.
在这种情况下,必须在主机上激活ARP重定向.
除非在与VMware支持团队进行合作,或拥有为设置所提供值的全面信息,否则不要对高级iSCSI设置进行任何更改.
表8-2列出了使用vSphereClient可以配置的高级iSCSI参数.
此外,可以使用vicfg-iscsivSphereCLI命令配置部分高级参数.
有关详细信息,请参见《VMwarevSphere命令行界面安装和参考指南》.
表8-2.
iSCSI启动器的其他参数高级参数描述配置对象头摘要增加数据完整性.
启用头摘要后,系统会对每个iSCSI协议数据单元(PDU)的头部计算校验和,并使用CRC32C算法进行验证.
软件iSCSI数据摘要增加数据完整性.
启用数据摘要后,系统会对每个PDU的数据部分计算校验和,并使用CRC32C算法进行验证.
注意使用IntelNehalem处理器的系统会清除软件iSCSI的iSCSI摘要计算,因此可以减少对性能的影响.
软件iSCSI最大未完成R2T数定义在收到确认PDU前可转换的R2T(即将传输)PDU.
软件iSCSI初次突发长度指定在执行单个SCSI命令期间iSCSI启动器可以发送到目标的未经请求的数据的最大数量,以字节为单位.
软件iSCSIESXi配置指南76VMware,Inc.
表8-2.
iSCSI启动器的其他参数(续)高级参数描述配置对象最大突发长度传入数据或请求的传出数据iSCSI序列中的最大SCSI数据负载,以字节为单位.
软件iSCSI最大接收数据段长度在iSCSIPDU中可以接收的最大数据段长度,以字节为单位.
软件iSCSIARP重定向允许存储系统将iSCSI流量从一个端口动态移动到另一个端口.
ARP对执行基于阵列的故障切换的存储系统是必需的.
硬件iSCSI(可通过vSphereCLI配置)延迟的ACK允许系统对接收的数据包进行延迟确认.
软件iSCSI配置iSCSI的高级参数高级iSCSI设置控制如标头、数据摘要、ARP重定向、延迟的ACK等参数.
通常,不需要更改这些设置,因为ESXi主机使用分配的预定义值能够正常运行.
小心除非在与VMware支持团队进行合作,或拥有为设置所提供值的全面信息,否则不要对高级iSCSI设置进行任何更改.
步骤1登录vSphereClient,在"清单"面板中选择主机.
2单击配置选项卡,然后单击存储适配器.
3选择要配置的iSCSI启动器,然后单击属性.
4要在启动器级别配置高级参数,请在常规选项卡上,单击高级.
继续步骤6.
5在目标级别配置高级参数.
在目标级别,只能为软件iSCSI配置高级参数.
a选择动态发现或静态发现选项卡.
b从可用目标的列表中,选择要配置的目标,然后单击设置>高级.
6为要修改的高级参数输入任何所需值,然后单击确定保存更改.
存储刷新和重新扫描操作刷新操作可更新vSphereClient中显示的数据存储列表和存储信息(例如数据存储容量).
在ESXi主机或SAN配置中进行更改时,可能需要使用重新扫描操作.
可以重新扫描主机上的所有适配器.
如果进行的更改只针对特定适配器,则只需重新扫描此适配器.
如果vSphereClient已连接到vCenterServer系统,则可以重新扫描由vCenterServer系统管理的所有主机上的适配器.
每次进行以下更改之一后请执行重新扫描:n在SAN上创建新LUN.
n更改主机上的路径屏蔽.
n重新连接线缆.
n对群集中的主机进行更改.
重要事项不要在路径不可用时重新扫描.
如果一条路径发生故障,将由另一条路径取代,系统的所有功能仍继续运行.
但是,如果在路径不可用时重新扫描,主机会将该路径从指向设备的路径列表中移除.
直到下次在该路径处于活动状态下执行重新扫描后,主机才能使用此路径.
第8章配置ESXi存储器VMware,Inc.
77重新扫描存储适配器在ESXi主机或SAN配置中进行更改时,可能需要重新扫描存储适配器.
可以重新扫描主机上的所有适配器.
如果进行的更改只针对特定适配器,则只需重新扫描此适配器.
如果只需要重新扫描特定主机或特定主机上的适配器,请使用此步骤.
如果要重新扫描由vCenterServer系统管理的所有主机上的适配器,则可以通过右键单击包含这些主机的数据中心、群集或文件夹并选择重新扫描数据存储来执行此操作.
步骤1在vSphereClient中,选择一台主机,然后单击配置选项卡.
2在"硬件"面板中,选择存储适配器,然后单击"存储适配器"面板上方的重新扫描.
也可右键单击一个适配器,并单击重新扫描只对该适配器进行重新扫描.
重要事项在ESXi上,不可能重新扫描单个存储适配器.
如果重新扫描单个适配器,则所有适配器都会进行重新扫描.
3要发现新的磁盘或LUN,请选择扫描新的存储设备.
新发现的LUN将显示在设备列表上.
4要发现新的数据存储或在其配置更改后更新数据存储,请选择扫描新的VMFS卷.
发现的新数据存储或VMFS卷将出现在数据存储列表上.
创建VMFS数据存储VMFS数据存储充当虚拟机的存储库.
可以在主机发现的基于SCSI的任何存储设备上设置VMFS数据存储.
前提条件创建数据存储之前,必须安装和配置存储器所需的全部适配器.
重新扫描适配器以发现新增的存储设备.
步骤1登录vSphereClient,在"清单"面板中选择主机.
2单击配置选项卡,然后在"硬件"面板中单击存储器.
3依次单击数据存储和添加存储器.
4选择磁盘/LUN存储器类型,然后单击下一步.
5选择要用于数据存储的设备,然后单击下一步.
注意选择没有在"VMFS标签"列中显示数据存储名称的设备.
如果该名称存在,则设备包含现有VMFS数据存储的副本.
如果要格式化的磁盘是空白磁盘,则"当前磁盘布局"页面将自动显示整个磁盘空间,以进行存储器配置.
6如果磁盘不为空,请在"当前磁盘布局"页面的顶部面板中检查当前磁盘布局,并从底部面板中选择配置选项.
选项描述使用所有可用分区将整个磁盘或LUN专门用于单个VMFS数据存储.
如果选择此选项,则当前在此设备上存储的任何文件系统和数据将被删除.
使用可用空间在剩余的可用磁盘空间中部署VMFS数据存储.
ESXi配置指南78VMware,Inc.
7单击下一步.
8在属性页面中,输入数据存储名称并单击下一步.
9如果需要,请调整文件系统和容量值.
默认情况下,存储设备上的全部可用空间均可供使用.
10单击下一步.
11在"即将完成"页面,检查数据存储配置信息,然后单击完成.
即会在基于SCSI的存储设备上创建数据存储.
如果使用vCenterServer系统管理主机,则新创建的数据存储会自动添加到所有主机.
网络附加存储ESXi支持通过NFS协议使用NAS.
NFS协议可以实现NFS客户端和NFS服务器之间的通信.
ESXi中内置的NFS客户端可让您访问NFS服务器并使用NFS卷进行存储.
ESXi仅支持TCP上的NFS版本3.
可使用vSphereClient将NFS卷配置为数据存储.
已配置的NFS数据存储会显示在vSphereClient中,可将其用来存储虚拟磁盘文件,使用方式与基于VMFS的数据存储相同.
注意ESXi不支持借助于非根凭据启用对NFS卷访问权的委派用户功能.
图8-4描述了使用NFS卷存储其文件的虚拟机.
在此配置中,主机连接到NFS服务器,此服务器通过常规网络适配器存储虚拟磁盘文件.
图8-4.
NFS存储器NAS设备NFS虚拟机LAN以太网网卡主机第8章配置ESXi存储器VMware,Inc.
79在基于NFS的数据存储上创建的虚拟磁盘采用由NFS服务器规定的磁盘格式,通常为精简格式,要求按需分配空间.
如果在向该磁盘写入数据时出现虚拟机空间不足的情况,vSphereClient会通知您需要更多空间.
这时您有以下选择:n在卷上释放更多空间,以便虚拟机能继续写入磁盘.
n终止虚拟机会话.
终止会话将关闭虚拟机.
小心当主机访问基于NFS的数据存储上的虚拟机磁盘文件时,会在该磁盘文件所驻留的同一目录中生成一个.
lck-XXX锁定文件,以阻止其他主机访问该虚拟磁盘文件.
不要移除.
lck-XXX锁定文件,因为如果没有该文件,正在运行的虚拟机将无法访问其虚拟磁盘文件.
作为常用文件的存储库的NFS数据存储除了在NFS数据存储上存储虚拟磁盘以外,还可以使用NFS作为ISO映像、虚拟机模板等的中央存储库.
若要将NFS用作共享存储库,可以在NFS服务器上创建目录,然后在所有主机上将它作为数据存储挂载.
如果使用ISO映像的数据存储,可以将虚拟机的CD-ROM设备连接到数据存储上的ISO文件,并从ISO文件安装客户机操作系统.
有关配置虚拟机的信息,请参见《基本系统管理》.
注意如果存储文件的基础NFS卷是只读的,则应确保该卷由NFS服务器导出为只读共享,或在ESXi主机上将它配置为只读数据存储.
否则,主机会认为该数据存储可以读写,并可能无法打开文件.
创建基于NFS的数据存储可以使用添加存储器向导挂载NFS卷并将其用作VMFS数据存储.
前提条件因为NFS需要网络连接来访问存储在远程服务器上的数据,因此在配置NFS之前,必须首先配置VMkernel网络.
步骤1登录vSphereClient,在"清单"面板中选择主机.
2单击配置选项卡,然后在"硬件"面板中单击存储器.
3依次单击数据存储和添加存储器.
4选择网络文件系统作为存储器类型,然后单击下一步.
5输入服务器名称、挂载点文件夹名称以及数据存储名称.
注意当在不同主机上挂载相同NFS卷时,确保各主机之间的服务器名称和文件夹名称相同.
如果名称不完全匹配,例如,如果您在一台主机上输入share作为文件夹名称,而在另一台主机上使用/share作为文件夹名称,则主机会将同一NFS卷视为两个不同的数据存储.
这可能导致诸如vMotion之类的功能失效.
6(可选)如果NFS服务器将卷作为只读导出,则选择挂载只读NFS.
7单击下一步.
8在"网络文件系统摘要"页面中,检查配置选项,然后单击完成.
创建诊断分区要成功运行,主机必须具有用于存储核心转储的诊断分区或转储分区来提供调试和技术支持持.
可在本地磁盘、专用SANLUN或共享SANLUN上创建诊断分区.
诊断分区不能位于通过软件iSCSI启动器访问的iSCSILUN上.
ESXi配置指南80VMware,Inc.
每台主机均必须拥有一个100MB的诊断分区.
如果多台主机共享一个SAN,请为每台主机配置一个100MB大小的诊断分区.
小心如果两个共享诊断分区的主机出现故障,并将核心转储保存到相同插槽,则核心转储可能丢失.
若要收集核心转储数据,在主机出现故障之后,请立即重新引导主机,并提取日志文件.
但是,在收集第一个主机的诊断数据之前,如果另一个主机出现故障,第二个主机将无法保存核心转储.
创建诊断分区可以在主机上创建诊断分区.
步骤1登录vSphereClient,在"清单"面板中选择主机.
2单击配置选项卡,然后在"硬件"面板中单击存储器.
3依次单击数据存储和添加存储器.
4选择诊断并单击下一步.
如果看不到诊断选项,则表示主机已拥有诊断分区.
可使用vSphereCLI上的vicfg-dumppart-l命令查询和扫描主机的诊断分区.
5指定诊断分区的类型.
选项描述本地专用存储器在本地磁盘上创建诊断分区.
此分区将仅存储主机的故障信息.
SAN专用存储器在非共享SANLUN上创建诊断分区.
此分区将仅存储主机的故障信息.
SAN共享存储器在共享SANLUN上创建诊断分区.
此分区将由多个主机访问并且可以存储多个主机的故障信息.
6单击下一步.
7选择要用于诊断分区的设备,然后单击下一步.
8检查分区配置信息,然后单击完成.
第8章配置ESXi存储器VMware,Inc.
81ESXi配置指南82VMware,Inc.
管理存储器9在创建数据存储之后,可以更改其属性,使用文件夹根据业务需求对数据存储进行分组,或删除未使用的数据存储.
也可能需要为存储器设置多路径或对数据存储副本进行再签名.
本章讨论了以下主题:n第83页,"管理数据存储"n第85页,"更改VMFS数据存储属性"n第87页,"管理重复VMFS数据存储"n第89页,"在ESXi中使用多路径"n第96页,"精简置备"管理数据存储ESXi系统使用数据存储来存储与其虚拟机关联的所有文件.
在创建数据存储之后,可以通过执行多个任务对其进行管理.
数据存储是一个逻辑存储单元,它可以使用一个物理设备、一个磁盘分区或若干个物理设备上的磁盘空间.
数据存储可以存在于不同类型的物理设备(包括SCSI、iSCSI、光纤通道SAN或NFS)上.
可使用以下方式之一将数据存储添加到vSphereClient中:n首次引导ESXi主机时在默认情况下创建.
软件使用VMFS数据存储格式化任何可见的空白本地磁盘或分区,以便在数据存储上创建虚拟机.
n当主机添加到清单时发现.
vSphereClient显示能够由主机识别的任何数据存储.
n使用添加存储器命令在可用存储设备上创建.
创建数据存储之后,可以使用它们来存储虚拟机文件.
通过重命名、移除和设置访问控制权限,可以对其进行管理.
此外,可以对数据存储进行分组以便于组织,以及一次对多个组设置相同权限.
有关设置数据存储的访问控制权限的信息,请参见vSphereClient帮助.
重命名数据存储可更改现有数据存储的名称.
步骤1显示数据存储.
2右键单击要重命名的数据存储,然后选择重命名.
3键入新的数据存储名称.
VMware,Inc.
83如果使用vCenterServer系统管理主机,则新名称将显示在所有可访问数据存储的主机上.
为数据存储分组如果您使用vCenterServer系统管理主机,则可以将数据存储分组到文件夹中.
这允许您根据业务实践组织数据存储,并对组中的数据存储一次性分配相同权限和警报.
步骤1登录vSphereClient.
2如有必要,创建数据存储.
有关详细信息,请参见vSphereClient帮助.
3在"清单"面板中,选择数据存储.
4选择包含要分组的数据存储的数据中心.
5在快捷方式菜单中,单击新建文件夹图标.
6为该文件夹提供一个描述性名称.
7单击各个数据存储,然后将其拖动到该文件夹中.
删除数据存储可以删除任何类型的VMFS数据存储(包括已挂载但未再签名的副本).
删除数据存储时,会对其造成损坏,而且它将从具有数据存储访问权限的所有主机中消失.
前提条件在删除数据存储之前,从数据存储中移除所有虚拟机.
确保没有任何其他主机正在访问该数据存储.
步骤1显示数据存储.
2右键单击要删除的数据存储并单击删除.
3确认要删除数据存储.
卸载数据存储卸载数据存储时,它会保持原样,但是在指定的主机上再也看不到该存储.
它继续出现在其他主机上并在这些主机上它保持挂载状态.
只能卸载以下类型的数据存储:nNFS数据存储n已挂载却没有再签名的VMFS数据存储副本步骤1显示数据存储.
2右键单击要卸载的数据存储,然后选择卸载.
ESXi配置指南84VMware,Inc.
3如果数据存储已共享,请指定不应再访问该数据存储的主机.
a如果需要,请取消选中要使其中的数据存储保持挂载状态的主机.
默认情况下,会选中所有主机.
b单击下一步.
c检查要从中卸载数据存储的主机列表,然后单击完成.
4确认要卸载数据存储.
更改VMFS数据存储属性创建基于VMFS的数据存储以后,可以进行修改.
例如,如果您需要更多空间,则可以增加数据存储容量.
如果有VMFS-2数据存储,可将其升级到VMFS-3格式.
使用VMFS格式的数据存储部署在基于SCSI的存储设备上.
无法重新格式化远程主机正在使用的VMFS数据存储.
如果尝试这样做,则会出现一条警告,该警告会指出正在使用的数据存储的名称和正在使用该数据存储的主机的名称.
此警告也会出现在VMkernel和VMkwarning日志文件中.
根据vSphereClient是连接到vCenterServer系统还是直接连接到主机,"数据存储属性"对话框的访问方式会有所不同.
n仅适用于vCenterServer.
要访问"数据存储属性"对话框,请从清单中选择数据存储,单击配置选项卡,然后单击属性.
nvCenterServer和ESX/ESXi主机.
要访问"数据存储属性"对话框,请从清单中选择主机,单击配置选项卡,然后单击存储器.
从"数据存储"视图中,选择要修改的数据存储,然后单击属性.
增加VMFS数据存储需要在数据存储上创建新虚拟机时,或者此数据存储上运行的虚拟机需要更多空间时,可以动态增加VMFS数据存储的容量.
使用下列方法之一:n添加新数据区.
数据区是LUN上的分区.
可以将新数据区添加到现有的任何VMFS数据存储.
数据存储可以跨越多个数据区,最多可达32个.
注意不能将本地数据区添加到位于SANLUN上的数据存储.
n在现有VMFS数据存储中增加数据区.
只有紧随其后就有可用空间的数据区才是可扩展的.
因此,可以增加现有数据区,而不是添加新的数据区,以便它填满可用的相邻容量.
注意如果共享数据存储有启动的虚拟机并被100%占用,则仅可以从注册了已启动虚拟机的主机增加数据存储的容量.
步骤1登录vSphereClient,在"清单"面板中选择主机.
2单击配置选项卡,然后单击存储器.
3从"数据存储"视图中,选择要增加的数据存储,然后单击属性.
4单击增加.
第9章管理存储器VMware,Inc.
855从存储设备列表中选择设备,然后单击下一步.
n如果要添加新数据区,请选择"可扩展的"列显示为"否"的设备.
n如果要展开现有数据区,请选择"可扩展的"列显示为"是"的设备.
6从底部面板选择配置选项.
根据磁盘的当前布局和以前的选择,您看到的选项可能有所不同.
选项描述使用可用空间添加新数据区在该磁盘上增加可用空间作为新的数据存储数据区.
使用可用空间扩展现有数据区将现有数据区增加到所需容量.
使用可用空间在剩余的可用磁盘空间中部署数据区.
此选项仅在添加数据区时可用.
使用所有可用分区将整个磁盘专用于单个数据存储数据区.
此选项仅在添加数据区并且所格式化的磁盘非空白时可用.
磁盘将被重新格式化,其中所包含的数据存储和任何数据将被擦除.
7设置数据区的容量.
默认情况下,存储设备上的全部可用空间均可供使用.
8单击下一步.
9检查推荐的数据区布局和数据存储的新配置,然后单击完成.
下一步在增加了共享VMFS数据存储中的数据区之后,在可以访问此数据存储的每个主机上刷新数据存储,以便vSphereClient可以显示所有主机的正确数据存储容量.
升级数据存储ESXi包括VMFS第3版(VMFS-3).
如果数据存储使用VMFS-2格式化,则可以读取以VMFS-2格式存储的文件,但不能对其进行写入.
要拥有对文件的完整访问权限,请将VMFS-2升级为VMFS-3.
将VMFS-2升级为VMFS-3时,ESXi文件锁定机制可确保无远程主机或本地进程访问转换中的VMFS数据存储.
主机保留数据存储上的所有文件.
使用升级选项之前,请考虑以下注意事项:n提交或放弃对要升级的VMFS-2卷中虚拟磁盘的任何更改.
n备份VMFS-2卷.
n确保没有已启动的虚拟机在使用此VMFS-2卷.
n确保无其他ESXi主机在访问此VMFS-2卷.
VMFS-2至VMFS-3的转换是一种单向过程.
将基于VMFS的数据存储转换成VMFS-3后,不能将其恢复为VMFS-2.
要升级VMFS-2文件系统,其文件块大小不得超过8MB.
步骤1登录vSphereClient,在"清单"面板中选择主机.
2单击配置选项卡,然后单击存储器.
3选择一个使用VMFS-2格式的数据存储.
4单击升级到VMFS-3.
5在可以看到数据存储的所有主机上执行重新扫描.
ESXi配置指南86VMware,Inc.
管理重复VMFS数据存储当LUN包含VMFS数据存储副本时,您可以使用现有签名或通过分配新签名来挂载该数据存储.
在LUN中创建的每个VMFS数据存储都有一个唯一的UUID,该UUID存储在文件系统超级块中.
对LUN进行复制或生成快照后,生成的LUN副本的每个字节都与原始LUN完全相同.
因此,如果原始LUN包含具有UUIDX的VMFS数据存储,则LUN副本会显示包含具有完全相同UUIDX的相同的VMFS数据存储或VMFS数据存储副本.
ESXi可以确定LUN是否包含VMFS数据存储副本,并使用其原始UUID挂载数据存储副本,或更改UUID从而对该数据存储进行再签名.
使用现有签名挂载VMFS数据存储可能无需再签名VMFS数据存储副本.
可以挂载VMFS数据存储副本,而不更改其签名.
例如,作为灾难恢复计划的一部分,可以在辅助站点上维护虚拟机的同步副本.
在主站点发生灾难时,可以在辅助站点上挂载数据存储副本并启动虚拟机.
重要事项仅当与具有相同UUID的已挂载VMFS数据存储不冲突时,才可以挂载VMFS数据存储.
挂载VMFS数据存储时,ESXi允许对驻留在LUN副本上的数据存储执行读取和写入操作.
LUN副本必须为可写入状态.
在系统重新引导后,数据存储挂载也是持久有效的.
由于ESXi不允许对挂载的数据存储进行再签名,所以请在进行再签名之前卸载数据存储.
使用现有签名挂载VMFS数据存储如果不需要对VMFS数据存储副本进行再签名,则无需更改其签名即可挂载.
前提条件在挂载VMFS数据存储之前,请在主机上执行存储重新扫描,以便更新为其显示的LUN视图.
步骤1登录vSphereClient,然后在"清单"面板中选择服务器.
2依次单击配置选项卡和"硬件"面板中的存储器.
3单击添加存储器.
4选择磁盘/LUN存储器类型,然后单击下一步.
5从LUN列表中,选择数据存储名称显示在"VMFS标签"列中的LUN,然后单击下一步.
"VMFS标签"列中显示的名称表示LUN包含现有VMFS数据存储的副本.
6在"挂载选项"下面,选择保留现有的签名.
7在"即将完成"页面,检查数据存储配置信息,然后单击完成.
下一步如果稍后要对挂载的数据存储进行再签名,则必须先将其卸载.
第9章管理存储器VMware,Inc.
87对VMFS副本进行再签名使用数据存储再签名保留VMFS数据存储副本上所存储的数据.
对VMFS副本进行再签名时,ESXi会为副本分配新的UUID和新的标签,并将副本挂载为与原始数据存储明显不同的数据存储.
分配到数据存储的新标签的默认格式是snap--,其中是整数并且是原始数据存储的标签.
在执行数据存储再签名时,请考虑以下几点:n数据存储再签名不可逆.
n不再将包含再签名的VMFS数据存储的LUN副本视为LUN副本.
n仅当跨区数据存储的所有数据区联机时,才可对其进行再签名.
n再签名过程是应急过程,并具有容错性.
如果过程中断,可以稍后恢复.
n可以挂载新的VMFS数据存储,而无需承担其UUID与其他任何数据存储UUID相冲突的风险,如LUN快照层次结构中的祖先或子项.
对VMFS数据存储副本进行再签名如果要保留VMFS数据存储副本上所存储的数据,请使用数据存储再签名.
前提条件要对挂载的数据存储副本进行再签名,请先将其卸载.
对VMFS数据存储进行再签名之前,请在主机上执行存储重新扫描,以便主机更新为其显示的LUN视图并发现所有LUN副本.
步骤1登录vSphereClient,然后在"清单"面板中选择服务器.
2依次单击配置选项卡和"硬件"面板中的存储器.
3单击添加存储器.
4选择磁盘/LUN存储器类型,然后单击下一步.
5从LUN列表中,选择数据存储名称显示在"VMFS标签"列中的LUN,然后单击下一步.
"VMFS标签"列中显示的名称表示LUN包含现有VMFS数据存储的副本.
6在"挂载选项"下,选择分配新签名,并单击下一步.
7在"即将完成"页面,检查数据存储配置信息,然后单击完成.
下一步进行再签名之后,可能需要执行以下操作:n如果再签名的数据存储包含虚拟机,则在虚拟机文件中更新对原始VMFS数据存储的引用,这些虚拟机文件包括.
vmx、.
vmdk、.
vmsd和.
vmsn.
n要启动虚拟机,请在vCenterServer中注册它们.
ESXi配置指南88VMware,Inc.
在ESXi中使用多路径要维护ESXi主机及其存储器之间的持续连接,ESXi必须支持多路径.
通过多路径技术,可以使用多个物理路径,这些路径在ESXi主机和外部存储设备之间传输数据.
如果SAN网络中的某个元素(如HBA、交换机或光缆)发生故障,则ESXi可以故障切换到另一物理路径.
除了路径故障切换以外,多路径还提供负载平衡,它在多路径之间重新分配I/O负载,以减少或免除潜在的瓶颈.
管理多路径为管理存储多路径,ESXi使用特殊的VMkernel层(即,可插入存储架构(PSA)).
PSA是一个协调多个多路径插件(MPP)的同时操作的开放式模块框架.
ESXi默认情况下提供的VMkernel多路径插件是VMware本机多路径插件(NMP).
NMP是管理子插件的可扩展模块.
NMP子插件有两种类型,即存储阵列类型插件(SATP)和路径选择插件(PSP).
SATP和PSP可以是VMware提供的内置插件,也可以由第三方提供.
如果需要更多多路径功能,第三方还可以提供MPP以作为默认NMP的附属或替代运行.
当协调VMwareNMP和所安装的任何第三方MPP时,PSA将执行以下任务:n加载和卸载多路径插件.
n对特定插件隐藏虚拟机细节.
n将特定逻辑设备的I/O请求路由到管理该设备的MPP.
n处理逻辑设备的I/O排队操作.
n在虚拟机之间实现逻辑设备带宽共享.
n处理物理存储HBA的I/O排队操作.
n处理物理路径发现和移除.
n提供逻辑设备和物理路径I/O统计信息.
如图9-1所示,多个第三方MPP可以与VMwareNMP并行运行.
第三方MPP将替代NMP的行为,并且完全控制指定存储设备的路径故障切换和负载平衡操作.
图9-1.
可插入存储架构第三方MPP第三方MPPVMkernel可插入存储架构VMwareNMPVMwareSATPVMwarePSPVMwareSATPVMwarePSPVMwareSATP第三方SATP第三方PSP多路径模块执行以下操作:n管理物理路径声明和取消声明.
n管理逻辑设备的创建、注册和取消注册.
n将物理路径与逻辑设备关联.
第9章管理存储器VMware,Inc.
89n处理逻辑设备的I/O请求:n为请求选择最佳物理路径.
n根据存储设备,执行处理路径故障和I/O命令重试所需的特定操作.
n支持管理任务,如中止或重置逻辑设备.
VMware多路径模块默认情况下,ESXi提供名为本机多路径插件(NMP)的可扩展多路径模块.
一般来说,VMwareNMP支持VMware存储HCL上列出的所有存储阵列,并基于阵列类型提供默认的路径选择算法.
还将一组物理路径与特定存储设备或LUN关联.
存储阵列类型插件(SATP)负责处理给定存储阵列的路径故障切换.
路径选择插件(PSP)负责确定哪个物理路径用于向存储设备发出I/O请求.
SATP和PSP是NMP模块中的子插件.
VMwareSATP存储阵列类型插件(SATP)与VMwareNMP一起运行,负责特定于阵列的操作.
ESXi为VMware支持的各种类型阵列提供SATP.
这些SATP包括适于非指定存储阵列的主动/主动SATP和主动/被动SATP,以及适于直接连接存储器的本地SATP.
每个SATP适合特定类别的存储阵列的特殊特性,并可以执行检测路径状况和激活被动路径所需的特定于阵列的操作.
因此,NMP模块可以使用多个存储阵列,而无需了解存储设备的特性.
在NMP确定要为特定存储设备调用哪个SATP并将该SATP与存储设备的物理路径相关联之后,该SATP会执行以下任务:n监控每个物理路径的健康状况.
n报告每个物理路径的状况变化.
n执行存储器故障切换所需的特定于阵列的操作.
例如,对于主动/被动设备,它可以激活被动路径.
VMwarePSP路径选择插件(PSP)与VMwareNMP一起运行,负责选择I/O请求的物理路径.
VMwareNMP根据与每个逻辑设备的物理路径关联的SATP为其分配默认PSP.
可以替代默认PSP.
默认情况下,VMwareNMP支持以下PSP:最近使用(MRU)选择ESXi主机最近用于访问指定设备的路径.
如果此路径不可用,则主机会切换到替代路径并在该新路径可用时继续使用它.
固定使用指定首选路径(如果已配置).
否则,它将使用在系统引导时间发现的第一个工作路径.
如果主机不能使用首选路径,则它会选择随机替代可用路径.
一旦首选路径可用,主机就会自动恢复到首选路径.
注意对于具有固定路径策略的主动-被动阵列,路径颠簸可能是个问题.
循环(RR)使用路径选择算法轮流选择所有可用的路径,并在路径之间启用负载平衡.
VMwareNMPI/O流当虚拟机向NMP管理的存储设备发出I/O请求时,将发生以下过程.
1NMP调用分配给此存储设备的PSP.
2PSP将选择要通过其发出I/O的相应物理路径.
3如果I/O操作成功,则NMP报告其完成.
ESXi配置指南90VMware,Inc.
4如果I/O操作报告错误,则NMP调用适当的SATP.
5SATP解释I/O命令错误,并在适当时激活非活动路径.
6此时将调用PSP以选择要通过其发出I/O的新路径.
本地存储器和光纤通道SAN中的多路径在简单的多路径本地存储器拓扑中,可以使用一台具有两个HBA的ESXi主机.
ESXi主机通过两根电缆连接到双端口本地存储系统.
使用这种配置时,如果ESXi主机和本地存储系统之间的某个连接元素发生故障,可以确保实现容错.
为了支持FCSAN中的路径切换,ESXi主机通常具有两个或更多个可用的HBA,使用一个或多个交换机可以从这些HBA访问存储阵列.
或者,该设置可以包括一个HBA和两个存储处理器,以便HBA可以使用其他路径访问磁盘阵列.
在图9-2中,多条路径将每台服务器与存储设备相连.
例如,如果HBA1或HBA1与交换机之间的链路发生故障,HBA2会取代HBA1并提供服务器和交换机之间的连接.
一个HBA取代另一个HBA的过程称为HBA故障切换.
图9-2.
光纤通道多路径主机2主机1SP2存储阵列SP1交换机交换机HBA2HBA1HBA3HBA4同样,如果SP1或SP1与交换机之间的链路中断,SP2会取代SP1并提供交换机和存储设备之间的连接.
此过程称为SP故障切换.
ESXi通过多路径功能支持HBA和SP故障切换.
iSCSISAN中的多路径在iSCSI存储器中,您可以利用IP网络提供的多路径支持.
此外,ESXi支持硬件和软件iSCSI启动器的基于主机的多路径.
ESXi可以使用IP网络中内置的多路径支持,该支持允许网络执行路由操作.
通过动态发现,iSCSI启动器获得目标地址列表,启动器可以使用这些地址作为通往iSCSILUN的多条路径来实现故障切换目的.
ESXi还支持基于主机的多路径.
借助硬件iSCSI,主机可以有两个或更多硬件iSCSI适配器,并将它们用作到达存储系统的不同路径.
第9章管理存储器VMware,Inc.
91如图9-3所示,主机有两个硬件iSCSI适配器(HBA1和HBA2),它们提供两个到存储系统的物理路径.
主机上的多路径插件,不论是VMkernelNMP还是任何第三方MPP,在默认情况下都能够访问路径,并能够监视每个物理路径的健康状况.
例如,如果HBA1或HBA1与网络之间的链路发生故障,多路径插件可以将路径切换到HBA2.
图9-3.
硬件iSCSI和故障切换ESX/ESXiiSCSI存储器SPHBA2HBA1IP网络如图9-4所示,借助软件iSCSI,可以使用多个网卡为主机和存储系统之间的iSCSI连接提供故障切换和负载平衡功能.
对于此设置,由于多路径插件没有主机上物理网卡的直接访问权,因此,必须首先将每个物理网卡连接到单独的VMkernel端口,然后使用端口绑定技术将所有的VMkernel端口与软件iSCSI启动器相关联.
因此,连接到单独网卡的每个VMkernel端口将成为iSCSI存储堆栈和其存储感知多路径插件可使用的另一条路径.
有关此设置的详细信息,请参见《iSCSISAN配置指南》.
ESXi配置指南92VMware,Inc.
图9-4.
软件iSCSI和故障切换ESX/ESXiiSCSI存储器SP网卡2网卡1软件启动器IP网络路径扫描和声明启动ESXi主机或重新扫描存储适配器时,主机会发现它可以使用的存储设备的所有物理路径.
根据/etc/vmware/esx.
conf文件中所定义的一组声明规则,主机会确定应声明特定设备路径并负责管理该设备的多路径支持的多路径插件(MPP).
默认情况下,主机每5分钟执行一次定期路径评估,从而促使相应MPP声明任何尚未声明的路径.
对声明规则进行了编号.
对于每个物理路径,主机都通过声明规则运行,首先从最小编号开始.
然后,会将物理路径的属性与声明规则中的路径规范进行比较.
如果二者匹配,主机会分配声明规则中指定的一个MPP来管理物理路径.
此过程将持续到所有物理路径均由相应MPP(第三方多路径插件或本机多路径插件(NMP))声明后才结束.
对于由NMP模块管理的路径,将应用第二组声明规则.
这些规则确定哪些SATP应当用于管理特定阵列类型的路径,以及哪些PSP用于各个存储设备.
例如,对于属于EMCCLARiiONCX存储系列的存储设备,默认SATP是VMW_SATP_CX,默认PSP是"最近使用".
使用vSphereClient查看主机用于特定存储设备的SATP和PSP,以及该存储设备的所有可用路径的状态.
如果需要,可以使用vSphereClient更改默认VMwarePSP.
要更改默认SATP,需要使用vSphereCLI修改声明规则.
有关可用于管理PSA的命令的详细信息,请参见《vSphere命令行界面安装和参考指南》.
第9章管理存储器VMware,Inc.
93查看路径信息使用vSphereClient确定ESXi主机用于特定存储设备的SATP和PSP,以及该存储设备的所有可用路径的状态.
可以从"数据存储"和"设备"视图访问路径信息.
对于数据存储,请检查与部署了数据存储的设备相连的路径.
路径信息包括分配用来管理设备的SATP、路径选择策略(PSP)、路径及其物理特性的列表(如适配器和各条路径使用的目标)以及各条路径的状态.
其中会显示以下路径状态信息:活动可用于对LUN发出I/O的路径.
目前用于传输数据的单个或多个工作路径标记为"活动"(I/O).
注意对于运行ESXi3.
5或更低版本的主机,术语"主动"意为只有一条路径被主机用来向LUN发出I/O.
备用路径处于工作状态,并且在活动路径发生故障时可用于I/O.
禁用路径已禁用,无法传输数据.
中断软件无法通过此路径连接磁盘.
如果正在使用固定路径策略,就可以看到哪一条路径是首选路径.
首选路径的"首选"列标有一个星号(*).
查看数据存储路径使用vSphereClient检查连接到部署了数据存储的存储设备的路径.
步骤1登录vSphereClient,在"清单"面板中选择服务器.
2依次单击配置选项卡和"硬件"面板中的存储器.
3在"查看"下方单击数据存储.
4在已配置的数据存储列表中,选择要查看或配置其路径的数据存储.
"详细信息"面板显示用来访问设备的路径总数,以及是否有任何路径已中断或已禁用.
5单击属性>管理路径以打开"管理路径"对话框.
可以使用"管理路径"对话框来启用或禁用路径、设置多路径策略,以及指定首选路径.
查看存储设备路径使用vSphereClient查看主机用于特定存储设备的SATP和PSP,以及该存储设备的所有可用路径的状态.
步骤1登录vSphereClient,在"清单"面板中选择服务器.
2依次单击配置选项卡和"硬件"面板中的存储器.
3在"查看"下方单击设备.
4单击管理路径以打开"管理路径"对话框.
ESXi配置指南94VMware,Inc.
设置路径选择策略对于每个存储设备,ESXi主机都将根据/etc/vmware/esx.
conf文件中所定义的声明规则来设置路径选择策略.
默认情况下,VMware支持以下路径选择策略.
如果在主机上安装了第三方的PSP,其策略也将显示于列表中.
固定(VMware)当通往磁盘的首选路径可用时,主机将始终使用此路径.
如果主机无法通过首选路径访问磁盘,它会尝试替代路径.
"固定"是主动-主动存储设备的默认策略.
最近使用(VMware)主机使用磁盘的路径,直到路径不可用为止.
当路径不可用时,主机将选择替代路径之一.
当该路径再次可用时,主机不会恢复到原始路径.
没有MRU策略的首选路径设置.
MRU是主动-被动存储设备的默认策略并且对于这些设备是必需的.
循环(VMware)主机使用自动路径选择算法轮流选择所有可用路径.
这样可跨所有可用物理路径实现负载平衡.
负载平衡即是将服务器I/O请求分散于所有可用主机路径的过程.
目的是针对吞吐量(每秒I/O流量、每秒兆字节数或响应时间)实现最佳性能.
表9-1总结了主机的行为随不同阵列类型和故障切换策略变化的情况.
表9-1.
路径策略影响策略/控制器主动-主动主动-被动最近使用发生路径故障后进行故障恢复需要管理员操作.
发生路径故障后进行故障恢复需要管理员操作.
固定连接恢复后,VMkernel继续使用首选路径.
VMkernel尝试继续使用首选路径.
这会导致路径抖动或故障,因为另一SP现拥有LUN的所有权.
循环无故障恢复.
选择了循环调度中的下一路径.
更改路径选择策略通常,不需要更改主机用于特定存储设备的默认多路径设置.
但是,如果要进行任何更改,可以使用"管理路径"对话框修改路径选择策略并指定"固定"策略的首选路径.
步骤1从"数据存储"视图或"设备"视图打开"管理路径"对话框.
2选择路径选择策略.
默认情况下,VMware支持以下路径选择策略.
如果在主机上安装了第三方的PSP,其策略也将显示于列表中.
n固定(VMware)n最近使用(VMware)n循环(VMware)3对于"固定"策略,请指定首选路径,方法是:右键单击要作为首选路径分配的路径并选择首选.
4单击确定以保存设置并退出对话框.
第9章管理存储器VMware,Inc.
95禁用路径由于维护或其他原因,可以暂时禁用路径.
您可以使用vSphereClient完成此操作.
步骤1从"数据存储"视图或"设备"视图打开"管理路径"对话框.
2在"路径"面板中,右键单击要禁用的路径,然后选择禁用.
3单击确定以保存设置并退出对话框.
还可以通过右键单击列表中的路径,然后选择禁用来从适配器的"路径"视图禁用路径.
精简置备创建虚拟机时,会在数据存储上置备一定量的存储空间,或为虚拟磁盘文件分配一定量的存储空间.
默认情况下,当您在创建期间估计虚拟机在其整个生命周期所需的存储空间、为其虚拟磁盘置备固定量的存储空间,并将整个置备空间提交到虚拟磁盘时,ESXi会提供传统的存储置备方法.
立即占据整个置备空间的虚拟磁盘叫做厚磁盘.
以厚格式创建虚拟磁盘会导致无法充分利用数据存储容量,因为预分配给各个虚拟机的大量存储空间可能仍然未被使用.
为了帮助您避免超额分配存储空间并节省空间,ESXi支持精简置备,它允许您在开始时使用当前所需大小的存储空间,并在以后添加所需的存储空间量.
使用ESXi精简置备功能,可以采用精简格式创建虚拟磁盘.
对于精简虚拟磁盘,ESXi会为磁盘当前和未来的活动置备所需的整个空间,但是开始时仅提供磁盘初始操作所需的存储空间大小.
关于虚拟磁盘格式当执行某些虚拟机管理操作(如创建虚拟磁盘,将虚拟机克隆到模板,或迁移虚拟机)时,可以指定虚拟磁盘文件的格式.
支持以下磁盘格式.
如果磁盘驻留在NFS数据存储上,则不能指定磁盘格式.
NFS服务器会确定磁盘的分配策略.
精简置备格式使用此格式可节省存储空间.
对于精简磁盘,可以根据所输入的磁盘大小值置备磁盘所需的任意数据存储空间.
但是,精简磁盘开始时很小,只使用与初始操作实际所需的大小完全相同的存储空间.
注意如果虚拟磁盘支持群集解决方案(如容错),则不能将磁盘设置为精简格式.
如果精简磁盘以后需要更多空间,它可以增长到其最大容量,并占据为其置备的整个数据存储空间.
而且,您可以将精简磁盘手动转换为厚磁盘.
厚格式这是默认的虚拟磁盘格式.
厚虚拟磁盘不更改大小,并且一开始就占据为其配置的整个数据存储空间.
厚格式不会将已分配空间中的块置零.
不能将厚磁盘转换为精简磁盘.
创建精简置备虚拟磁盘当需要节省存储空间时,可以创建精简置备格式的虚拟磁盘.
精简置备虚拟磁盘开始时很小,它会在需要更多磁盘空间时增长.
此过程假定您正在使用新建虚拟机向导创建典型或自定义虚拟机.
前提条件只能在支持精简置备的数据存储上创建精简磁盘.
如果磁盘驻留在NFS数据存储上,则无法指定磁盘格式,因为NFS服务器确定了磁盘的分配策略.
ESXi配置指南96VMware,Inc.
步骤u在"创建磁盘"对话框中,选择按需分配和提交空间(精简置备).
将创建精简格式的虚拟磁盘.
如果未选择"精简置备"选项,则虚拟磁盘将使用默认的厚格式.
下一步如果创建了精简格式的虚拟磁盘,则以后可以将其增加到最大大小.
查看虚拟机存储资源可以查看虚拟机的数据存储存储空间的分配方式.
步骤1在清单中选择虚拟机.
2单击摘要选项卡.
3在"资源"部分中检查空间分配信息.
n置备的存储–保证分配给虚拟机的数据存储空间.
如果虚拟机具有精简置备格式的磁盘,则虚拟机可能未使用全部磁盘空间.
其他虚拟机可以占用任何未使用的空间.
n未共享的存储–显示由虚拟机占用且不与其他任何虚拟机共享的数据存储空间.
n已使用的存储–显示虚拟机文件(包括配置文件、日志文件、快照、虚拟磁盘等等)实际占用的数据存储空间.
当虚拟机正在运行时,使用的存储空间还包括交换文件.
确定虚拟机的磁盘格式可以确定虚拟磁盘是厚格式还是精简格式.
步骤1在清单中选择虚拟机.
2单击编辑设置以显示"虚拟机属性"对话框.
3单击硬件选项卡,然后在"硬件"列表中选择相应的硬盘.
右侧的"磁盘置备"区域将显示虚拟磁盘的类型,可能是"精简"或"厚".
4单击确定.
下一步如果虚拟磁盘为精简格式,则可以将其扩充到其最大容量.
将虚拟磁盘从精简磁盘转换为厚磁盘如果创建的是精简格式的虚拟磁盘,可以将该磁盘转换为厚磁盘.
步骤1在清单中选择虚拟机.
2单击摘要选项卡,然后在"资源"下,双击虚拟机的数据存储以打开"数据存储浏览器"对话框.
3单击虚拟机文件夹以找到要转换的虚拟磁盘文件.
虚拟磁盘文件的扩展名为.
vmdk.
4右键单击虚拟磁盘文件,然后选择扩充.
厚格式的虚拟磁盘将占据最初为其置备的整个数据存储空间.
第9章管理存储器VMware,Inc.
97处理数据存储超额订购由于为精简磁盘置备的空间可能大于提交的空间,因此可能发生数据存储超额订购,从而导致数据存储上的虚拟机磁盘总置备空间超过实际容量.
通常,所有附带精简磁盘的虚拟机不会同时需要整个置备数据存储空间,因此可能发生超额订购.
但是,如果要避免数据存储超额订购,则可以设置警报,它会在置备空间达到特定阈值时通知您.
有关设置警报的信息,请参见《基本系统管理》.
如果虚拟机需要更多空间,则根据先来先服务的原则分配数据存储空间.
当数据存储空间不足时,可以添加更多的物理存储器,并增加数据存储空间.
请参见第85页,"增加VMFS数据存储".
ESXi配置指南98VMware,Inc.
裸机映射10裸机映射(RDM)为虚拟机提供了一种机制,来直接访问物理存储子系统(仅限光纤通道或iSCSI)上的LUN.
以下主题包含RDM的相关信息,并且说明如何创建和管理RDM.
本章讨论了以下主题:n第99页,"关于裸机映射"n第102页,"裸机映射特性"n第105页,"管理映射的LUN"关于裸机映射RDM是独立VMFS卷中的映射文件,它可充当物理裸机的代理,即直接由虚拟机使用的SCSI设备.
RDM包含用于管理和重定向对物理设备进行磁盘访问的元数据.
该文件具有直接访问物理设备的一些优点,同时保留了VMFS中虚拟磁盘的一些优点.
因此,它可以将VMFS易管理性结合到裸机访问中.
RDM可以用"将裸设备映射到数据存储"、"映射系统LUN"或"将磁盘文件映射到物理磁盘卷"等短语来描述.
所有这些短语均指RDM.
图10-1.
裸机映射VMFS卷虚拟机地址解析打开读取,写入映射设备映射文件尽管VMware建议针对大多数虚拟磁盘存储器使用VMFS数据存储,但在特定情况下,您可能需要使用原始LUN,或者使用位于SAN中的逻辑磁盘.
VMware,Inc.
99例如,在以下情况下,需要使用原始LUN处理RDM:n当在虚拟机中运行SAN快照或其他分层应用程序时.
RDM通过使用SAN特有功能可以更好地启用可扩展备份卸载系统.
n在任何跨物理主机的MSCS群集情况下—虚拟到虚拟群集以及物理到虚拟群集.
在此情况下,群集数据和仲裁磁盘应配置为RDM而非共享VMFS上的文件.
将RDM视为从VMFS卷到原始LUN的符号链接.
映射使LUN显示为VMFS卷中的文件.
在虚拟机配置中引用RDM而非原始LUN.
RDM包含对原始LUN的引用.
使用RDM,可以:n使用vMotion迁移具有原始LUN的虚拟机.
n使用vSphereClient将原始LUN添加到虚拟机.
n使用分布式文件锁定、权限和命名等文件系统功能.
RDM有两种可用兼容模式:n虚拟兼容模式允许RDM的功能与虚拟磁盘文件完全相同,包括使用快照.
n对于需要较低级别控制的应用程序,物理兼容模式允许直接访问SCSI设备.
裸机映射的优点RDM具有许多优点,但并非在每种情况下都适用.
通常,对于易管理性而言,虚拟磁盘文件优于RDM.
但是,当需要裸机时,必须使用RDM.
RDM提供几个好处.
用户友好的持久名称为所映射的设备提供用户友好的名称.
使用RDM时,不必通过设备名称引用设备.
可以根据映射文件的名称来引用设备,例如:/vmfs/volumes/myVolume/myVMDirectory/myRawDisk.
vmdk动态名称解析为各个映射设备存储唯一的标识信息.
VMFS将每个RDM与其当前的SCSI设备相关联,而不考虑由于适配器硬件更改、路径更改、设备重定位等所引起的服务器物理配置的变化.
分布式文件锁定使为SCSI裸机使用VMFS分布式锁定成为可能.
当位于不同服务器上的两个虚拟机试图访问同一LUN时,RDM上的分布式锁定使其能够安全使用共享原始LUN而不会丢失数据.
文件权限使文件权限成为可能.
在文件打开时,强制执行映射文件权限,以保护映射的卷.
文件系统操作通过将映射文件作为代理,可以实现使用文件系统实用程序处理映射的卷.
对普通文件有效的大部分操作都可应用于映射文件,并且可重定向在映射设备上进行操作.
快照使在映射的卷上使用虚拟机快照成为可能.
在物理兼容模式下使用RDM时,快照不可用.
vMotion允许通过vMotion迁移虚拟机.
映射文件可充当代理,允许vCenterServer使用与迁移虚拟磁盘文件相同的机制迁移虚拟机.
ESXi配置指南100VMware,Inc.
图10-2.
使用裸机映射的虚拟机的vMotionVMFS卷映射文件地址解析映射设备主机2主机1VM2VM1VMotionSAN管理代理使在虚拟机内运行某些SAN管理代理成为可能.
与此相似,可以在虚拟机内运行需要使用硬件特定SCSI命令访问设备的任何软件.
这种软件称为基于SCSI目标的软件.
使用SAN管理代理时,需要为RDM选择物理兼容模式.
N-PortID虚拟化(NPIV)令使用NPIV技术成为可能,通过该技术,单一光纤通道HBA端口可使用多个全球端口名称(WWPN)向光纤通道架构注册.
通过此功能,HBA端口可显示为多个虚拟端口,每个端口均有其自身的ID和虚拟端口名称.
因此,虚拟机就可声明其中每个虚拟端口,并将其用于所有RDM流量.
注意只能将NPIV用于具备RDM磁盘的虚拟机.
VMware与存储器管理软件的供应商合作,确保他们的软件能够在包括ESXi的环境下正常工作.
下面是一些这种类型的应用程序:nSAN管理软件n存储资源管理(SRM)软件n快照软件n复制软件此类软件将物理兼容模式用于RDM,以便能够直接访问SCSI设备.
各种管理产品都可以完美地集中运行(而不是在ESXi计算机上运行),而其他产品则可以在服务控制台或虚拟机中良好运行.
VMware未正式认可这些应用程序,也未提供兼容性列表.
要了解在ESXi环境中是否支持某个SAN管理应用程序,请与该SAN管理软件的提供商联系.
第10章裸机映射VMware,Inc.
101裸机映射的限制在使用RDM时存在一定的限制.
n不适用于块设备或某些RAID设备-RDM使用SCSI序列号标识映射设备.
由于块设备和某些直连RAID设备不能导出序列号,因此不能将其用于RDM.
n仅适用于VMFS-2和VMFS-3卷–RDM需要VMFS-2或VMFS-3格式.
在ESXi中,VMFS-2文件系统为只读.
要使用VMFS-2所存储的文件,请将其升级到VMFS-3.
n物理兼容模式下无快照–如果在物理兼容模式下使用RDM,则不能使用磁盘快照.
物理兼容模式允许虚拟机管理自己的快照或镜像操作.
在虚拟模式下,可以使用快照.
n无分区映射–RDM要求映射设备是完整的LUN.
不支持映射到分区.
裸机映射特性RDM是VMFS卷中管理映射设备元数据的一种特殊映射文件.
管理软件将映射文件视作普通磁盘文件,可用于常规文件系统操作.
对于虚拟机,存储器虚拟化层将映射设备显示为虚拟SCSI设备.
映射文件中元数据的主要内容包括映射设备的位置(名称解析)、映射设备的锁定状况和权限,等等.
RDM虚拟兼容模式和物理兼容模式可以在虚拟兼容或物理兼容模式中使用RDM.
虚拟模式指定映射设备的完整虚拟化.
物理模式指定映射设备的最小SCSI虚拟化,实现了SAN管理软件的最大灵活性.
在虚拟模式中,映射设备在客户机操作系统中的出现形式与虚拟磁盘文件在VMFS卷中的形式完全相同.
隐藏真正的硬件特性.
如果您正在虚拟模式中使用裸磁盘,您能够认识到VMFS的优点,例如,用于保护数据的高级文件锁定和用于简化开发流程的快照等.
虚拟模式比物理模式在存储硬件上的移植性更强,表现出来的行为与虚拟磁盘文件相同.
在物理模式下,Vmkernel将所有SCSI命令传递至设备.
例外:REPORTLUN命令被虚拟化,以便VMkernel可以将虚拟机与LUN隔离.
否则,基础硬件的所有物理特性都将显示出来.
物理模式对于在虚拟机中运行SAN管理代理或其他基于SCSI目标的软件非常有用.
物理模式还允许虚拟到物理群集,实现具有成本效益的高可用性.
ESXi配置指南102VMware,Inc.
图10-3.
虚拟兼容模式和物理兼容模式VMFS卷映射设备映射文件虚拟机1VMFS虚拟化虚拟模式VMFS卷映射设备映射文件虚拟机1VMFS虚拟化物理模式动态名称解析借助RDM,您可以通过引用/vmfs子树中映射文件的名称,为设备提供永久名称.
图10-4中的示例表示三个LUN.
LUN1根据其设备名称进行访问,与第一个可见LUN相关.
LUN2是映射设备,由LUN3上的RDM进行管理.
RDM根据/vmfs子树中的名称进行访问,该名称固定不变.
第10章裸机映射VMware,Inc.
103图10-4.
名称解析示例LUN3VMFS映射文件(vmhba0:0:1:0)(vmhba1:0:1:0)(/vmfs/volumes/myVolume/myVMDirectory/mymapfile)LUN2映射设备LUN1vmhba0:0:1:0vmhba0:0:3:0vmhba0:0:2:0HBA0HBA1主机虚拟机1scsi0:0.
name=vmhba0:0:1:0:mydiskdir/mydiskname.
vmdk虚拟机2scsi0:0.
name=mymapfile所有映射的LUN都由VMFS进行唯一标识,并且标识存储在其内部数据结构中.
SCSI路径中的任何更改(如光纤通道交换机发生故障或添加新主机总线适配器)都可以造成设备名称发生变化.
动态名称解析可通过调整数据结构,使LUN与其新的设备名称重新对应,从而弥补这些更改.
ESXi配置指南104VMware,Inc.
虚拟机群集的裸机映射对需要访问同一原始LUN以实施故障切换方案的虚拟机群集执行RDM.
其设置与访问同一虚拟磁盘文件的虚拟机群集的设置相同,但RDM会替换虚拟磁盘文件.
图10-5.
从群集虚拟机进行访问地址解析主机4主机3VMFS卷"共享"访问VM4VM3映射设备映射文件比较可用的SCSI设备访问模式访问基于SCSI的存储设备的方法包括VMFS数据存储上的虚拟磁盘文件、虚拟模式RDM和物理模式RDM.
为了帮助您在SCSI设备的可用访问模式之间进行选择,表10-1提供了对不同模式可用功能的快速比较.
表10-1.
虚拟磁盘和裸机映射的可用功能ESXi功能虚拟磁盘文件虚拟模式RDM物理模式RDMSCSI命令已传递否否是不传递REPORTLUNvCenterServer支持是是是快照是是否分布式锁定是是是群集仅限机箱内群集机箱内群集和机箱间群集物理到虚拟群集基于SCSI目标的软件否否是VMware建议将虚拟磁盘文件用于群集中的机箱内群集类型.
如果计划将机箱内群集重新配置为机箱间群集,请为机箱内群集采用虚拟模式RDM.
管理映射的LUN使用vSphereClient,可以将SANLUN映射到数据存储,并管理指向映射LUN的路径.
其他可用于管理映射LUN及其RDM的工具包括vmkfstools实用程序以及由vSphereCLI使用的其他命令.
可以使用vmkfstools实用程序来执行vSphereClient可用的许多相同操作.
第10章裸机映射VMware,Inc.
105使用RDM创建虚拟机授予虚拟机对原始SANLUN的直接访问权限时,创建驻留在VMFS数据存储上并指向LUN的映射文件(RDM).
尽管映射文件与常规虚拟磁盘文件的扩展名均为.
vmdk,但RDM文件仅包括映射信息.
实际虚拟磁盘数据直接存储在LUN上.
您可创建RDM作为新虚拟机的初始磁盘,或将其添加到现有虚拟机中.
创建RDM时,可以指定要映射的LUN以及要用来放置RDM的数据存储.
步骤1遵循在创建自定义虚拟机时所需的全部步骤.
2在"选择磁盘"页面中,选择裸机映射,然后单击下一步.
3在SAN磁盘或LUN列表中,选择您的虚拟机可直接访问的原始LUN.
4为RDM映射文件选择数据存储.
可以将RDM文件置于虚拟机配置文件所驻留的同一数据存储上,也可以选择不同的数据存储.
注意要将VMotion用于启用了NPIV的虚拟机,请确保该虚拟机的RDM文件位于同一数据存储上.
启用NPIV后,无法在数据存储之间执行StoragevMotion或VMotion.
5选择兼容模式.
选项描述物理允许客户机操作系统直接访问硬件.
如果正在虚拟机中使用SAN感知应用程序,则物理兼容模式非常有用.
但是,带有物理兼容RDM的虚拟机不能克隆,不能制作成模板,也不能迁移(如果迁移涉及复制磁盘).
虚拟允许RDM像虚拟磁盘一样工作,因此您可以使用快照和克隆之类的功能.
6选择虚拟设备节点.
7如果选择独立模式,则选择下列一项:选项描述持久更改会立即永久性地写入磁盘.
非持久关闭电源或恢复快照时,会放弃对该磁盘的更改.
8单击下一步.
9在"即将完成新建虚拟机"页面上,检查您所做的选择.
10单击完成完成虚拟机.
管理映射的原始LUN的路径可以管理映射的原始LUN的路径.
步骤1以管理员或映射磁盘所属的虚拟机的所有者身份登录.
2在"清单"面板中选择虚拟机.
3在摘要选项卡中,单击编辑设置.
ESXi配置指南106VMware,Inc.
4在硬件选项卡上,选择硬盘,然后单击管理路径.
5使用"管理路径"对话框启用或禁用路径、设置多路径策略并指定首选的路径.
有关管理路径的信息,请参见第89页,"在ESXi中使用多路径".
第10章裸机映射VMware,Inc.
107ESXi配置指南108VMware,Inc.
安全VMware,Inc.
109ESXi配置指南110VMware,Inc.
ESXi系统的安全11ESXi的开发注重于加强安全性.
VMware从安全角度出发,确保ESXi环境和地址系统架构中的安全.
本章讨论了以下主题:n第111页,"ESXi架构和安全功能"n第116页,"安全资源和信息"ESXi架构和安全功能ESXi的组件和整体架构专用于确保ESXi系统的整体安全性.
从安全角度而言,ESXi主要由三个组件组成:虚拟化层、虚拟机和虚拟网络连接层.
图11-1提供这些组件的概述.
图11-1.
ESXi架构CPU内存存储器硬件网络适配器ESXi虚拟机虚拟机虚拟机虚拟机VMware虚拟化层(VMkernel)虚拟网络层VMware,Inc.
111安全和虚拟化层虚拟化层(或Vmkernel)是VMware用来运行虚拟机的内核.
它控制着主机所使用的硬件,并调度虚拟机之间的硬件资源分配.
由于VMkernel专用于支持虚拟机而不用于其他用途,因此其接口严格限制在管理虚拟机所需的API.
ESXi提供具有以下功能的附加VMkernel保护:内存强化安全将ESXi内核、用户模式应用程序及可执行组件(如驱动程序和库)位于无法预测的随机内存地址中.
在将该功能与微处理器提供的不可执行的内存保护结合使用时,可以提供保护,使恶意代码很难通过内存漏洞来利用系统漏洞.
内核模块完整性数字签名确保由VMkernel加载的模块、驱动程序及应用程序的完整性和真实性.
模块签名允许ESXi识别模块、驱动程序或应用程序的提供商以及它们是否通过VMware认证.
可信的平台模块(TPM)此模块是表示平台信任核心的硬件元素,可启用对引导过程以及加密密钥存储器和保护的证明.
在引导过程中,ESXi通过TPM测量VMkernel,并在每次引导时记录对VMkernel所做的更改.
测量值将传播至vCenterServer,第三方代理可以通过vSphereAPI来检索这些值.
注意如果TPM存在于系统上,但在BIOS中禁用,则可能出现以下错误消息:加载TPM时出现错误.
这是预期的行为,可以安全地忽略该错误消息.
安全和虚拟机虚拟机是运行应用程序和客户机操作系统的容器.
在设计上,所有的VMware虚拟机均互相隔离.
通过此隔离,多个虚拟机就可在共享硬件的同时安全地运行,既确保能够访问硬件,又保证运行不受干扰.
如果没有ESXi系统管理员明确授予的特权,即使是在虚拟机的客户机操作系统上具有系统管理员特权的用户,也无法突破该隔离层来访问另一台虚拟机.
如果某个虚拟机上的客户机操作系统运行时发生故障,则虚拟机隔离将确保同一台主机上的其他虚拟机可以继续运行.
客户机操作系统故障不影响:n用户访问其他虚拟机的能力n正常运行的虚拟机访问其所需资源的能力n其他虚拟机的性能同一硬件上运行的虚拟机互相隔离.
虽然虚拟机共享诸如CPU、内存及I/O设备之类的物理资源,但单一虚拟机上的客户机操作系统可检测到的设备仅限于可供其使用的虚拟设备,如图11-2中所示.
ESXi配置指南112VMware,Inc.
图11-2.
虚拟机隔离CPU内存磁盘网络和视频卡SCSI控制器鼠标CD/DVD键盘虚拟机操作系统虚拟机资源应用程序应用程序应用程序应用程序应用程序由于VMkernel可调节物理资源及通过其对物理硬件进行的所有访问,因此虚拟机无法阻止此层隔离.
如同物理机通过网卡就可与网络中其他计算机进行通信一样,虚拟机也可以通过虚拟交换机与同一台主机上运行的其他虚拟机进行通信.
而且,虚拟机可通过物理网络适配器与物理网络(包括其他ESXi主机上的虚拟机)进行通信,如图11-3中所示.
图11-3.
通过虚拟交换机进行虚拟网络连接硬件网络适配器将虚拟机链接至物理网络物理网络虚拟网络适配器ESXi虚拟机虚拟网络适配器虚拟机VMkernel虚拟网络层虚拟交换机将虚拟机链接在一起这些特性适用于网络环境中的虚拟机隔离:n如果某个虚拟机未与任何其他虚拟机共享虚拟交换机,则该虚拟机与主机中的虚拟网络完全隔离.
n如果没有为某个虚拟机配置物理网络适配器,则该虚拟机与任何物理网络完全隔离.
n如果使用了与保护物理机相同的保护措施(防火墙和防毒软件等)来保护网络中的虚拟机,该虚拟机则与物理机一样安全.
在主机上设置资源预留和限制,可进一步保护虚拟机.
例如,通过ESXi中可用的详细资源控制配置虚拟机,以便其获得的主机CPU资源始终不少于10%,但也决不超过20%.
资源预留和限制可防止虚拟机的性能因其他虚拟机消耗过多的共享硬件资源而降低.
例如,如果主机上的一台虚拟机由于受到拒绝服务(DoS)攻击而出现故障,该虚拟机上的资源限制就会阻止该攻击占据太多硬件资源,否则其他虚拟机也会受到影响.
与此相似,每台虚拟机上的资源预留可在受到DoS攻击的虚拟机需要较多资源的情况下确保所有其他虚拟机仍有足够的资源可供使用.
默认情况下,ESXi通过应用分布式算法而强制实行一种形式的资源预留,该分布算法将可用主机资源均匀分布于虚拟机之间,同时保留一定百分比的资源供其他系统组件(如服务控制台)使用.
此默认行为在一定程度上为防止DoS和分布式拒绝服务(DDoS)攻击提供了自然保护.
要自定义默认行为,以避免在虚拟机配置之间均匀分布资源预留和限制,可逐一指定资源预留和限制.
第11章ESXi系统的安全VMware,Inc.
113安全和虚拟网络连接层虚拟网络连接层包括虚拟网络适配器和虚拟交换机.
ESXi依赖于虚拟网络连接层来支持虚拟机及其用户之间的通信.
此外,主机可使用虚拟网络连接层与iSCSISAN和NAS存储器等进行通信.
可确保虚拟机网络安全的方法取决于所安装的客户机操作系统、虚拟机是否运行于可信环境及各种其他因素.
与其他常见安全措施(例如,安装防火墙)结合使用时,虚拟交换机的保护作用会大大加强.
ESXi还支持可用于为虚拟机网络或存储器配置提供进一步保护的IEEE802.
1qVLAN.
通过VLAN,可对物理网络进行分段,以便使同一物理网络中的两台计算机无法互相收发数据包,除非它们位于同一VLAN上.
在单台ESXi主机上创建网络DMZ在单台主机上创建网络隔离区(DMZ)是使用ESXi隔离和虚拟网络功能配置安全环境的一个示例.
图11-4显示了配置.
图11-4.
在单台ESXi主机上配置的DMZ硬件网络适配器1外部网络内部网络硬件网络适配器2ESXi虚拟机1防火墙服务器web服务器应用程序服务器防火墙服务器虚拟交换机1虚拟交换机2虚拟交换机3虚拟机2虚拟机3虚拟机4在此示例中,将四台虚拟机配置为在虚拟交换机2上创建虚拟DMZ:n虚拟机1和虚拟机4运行防火墙,并通过虚拟交换机连接虚拟适配器.
这两个虚拟机都是多址的.
n虚拟机2运行Web服务器,同时虚拟机3作为应用程序服务器运行.
这两个虚拟机都是单址的.
Web服务器和应用程序服务器占用两个防火墙之间的DMZ.
这两个元素之间的媒介是用来连接防火墙和服务器的虚拟交换机2.
此交换机未与DMZ之外的任何元素进行直接连接,且通过两个防火墙与外部流量相隔离.
从运行角度来看,外部流量通过硬件网络适配器1(由虚拟交换机1路由)从Internet进入虚拟机1,并由此虚拟机上安装的防火墙进行验证.
如果经防火墙授权,流量可路由至DMZ中的虚拟交换机,即虚拟交换机2.
由于Web服务器和应用程序服务器也连接至此交换机,因此,它们可以满足外部请求.
虚拟交换机2还与虚拟机4相连.
此虚拟机在DMZ和内部企业网络之间提供防火墙.
此防火墙对来自Web服务器和应用程序服务器的数据包进行筛选.
验证后的数据包将通过虚拟交换机3路由至硬件网络适配器2.
硬件网络适配器2与内部企业网络相连.
在单台主机上创建DMZ时,可使用相当轻量的防火墙.
尽管此配置中的虚拟机无法直接控制其他虚拟机或访问其内存,但是所有虚拟机仍然通过虚拟网络处于连接状态.
此网络可能会传播病毒,或成为其他类型攻击的对象.
DMZ中虚拟机的安全性等同于连接到同一网络的独立物理机.
ESXi配置指南114VMware,Inc.
在单台ESXi主机中创建多个网络ESXi系统的设计可让您将一些虚拟机组连接至内部网络,将一些虚拟机组连接至外部网络,再将另一些虚拟机组同时连接至外部网络和内部网络—这一切都在同一主机上进行.
此功能是由对虚拟机的基本隔离和对虚拟网络连接功能的有计划使用组合而成的.
图11-5.
单台ESXi主机上配置的外部网络、内部网络和DMZ物理网络适配器外部网络1内部网络2外部网络2内部网络1ESXiVM2内部用户VM3内部用户VM4内部用户VM5内部用户VM6防火墙服务器VM7Web服务器VM8防火墙服务器VM1FTP服务器内部网络外部网络DMZ在图11-5中,系统管理员将主机配置到三个不同的虚拟机区域中:FTP服务器、内部虚拟机和DMZ.
每个区域均提供唯一功能.
FTP服务器虚拟机1是使用FTP软件配置的,可作为从外部资源(例如,由供应商本地化的表单和辅助材料)发出及向其发送的数据的存储区域.
此虚拟机仅与外部网络相关联.
它自身拥有可用来与外部网络1相连接的虚拟交换机和物理网络适配器.
此网络专用于公司在从外部来源接收数据时所使用的服务器.
例如,公司使用外部网络1从供应商接收FTP流量,并允许供应商通过FTP访问存储在外部可用服务器上的数据.
除了服务于虚拟机1,外部网络1也服务于在整个站点内不同ESXi主机上配置的FTP服务器.
由于虚拟机1不与主机中的任何虚拟机共享虚拟交换机或物理网络适配器,因此,其他驻留的虚拟机无法通过虚拟机1网络收发数据包.
此限制可防止嗅探攻击(嗅探攻击需向受害者发送网络流量).
更为重要的是,攻击者再也无法使用FTP固有的漏洞来访问任何主机的其他虚拟机.
内部虚拟机虚拟机2至5仅供内部使用.
这些虚拟机用来处理和存储公司机密数据(例如,医疗记录、法律裁决和欺诈调查).
因此,系统管理员必须确保为这些虚拟机提供最高级别的保护.
这些虚拟机通过其自身的虚拟交换机和网络适配器连接到内部网络2.
内部网络2仅供内部人员使用(例如,索赔专员、内部律师或调解员).
第11章ESXi系统的安全VMware,Inc.
115虚拟机2至5可通过虚拟交换机与另一个虚拟机进行通信,也可通过物理网络适配器与内部网络2上其他位置的内部虚拟机进行通信.
它们不能与对外计算机进行通信.
如同FTP服务器一样,这些虚拟机不能通过其他虚拟机网络收发数据包.
同样,主机的其他虚拟机不能通过虚拟机2至5收发数据包.
DMZ虚拟机6至8配置为可供营销小组用于发布公司外部网站的DMZ.
这组虚拟机与外部网络2和内部网络1相关联.
公司使用外部网络2来支持营销部门和财务部门用来托管公司网站的Web服务器及公司为外部用户托管的其他Web设施.
内部网络1是营销部门用于向公司网站发布内容、张贴下载内容及维护服务(例如,用户论坛)的媒介.
由于这些网络与外部网络1和内部网络2相隔离,因此虚拟机无任何共享联络点(交换机或适配器),FTP服务器或内部虚拟机组也不存在任何攻击风险.
通过利用虚拟机隔离、正确配置虚拟交换机及维护网络独立,系统管理员可在同一ESXi主机上容纳全部三个虚拟机区域,而且不用担心数据或资源受到破坏.
公司使用多个内部和外部网络,并确保每组的虚拟交换机和物理网络适配器与其他组的虚拟交换机和物理网络适配器完全独立,从而在虚拟机组中强制实施隔离.
由于没有任何虚拟交换机横跨虚拟机区域,因此系统管理员可成功地消除虚拟机区域之间的数据包泄漏风险.
虚拟机本身无法向另一个虚拟交换机直接泄漏数据包.
仅在以下情况下,数据包才会在虚拟交换机之间移动:n这些虚拟交换机连接到同一物理LAN.
n这些虚拟交换机连接到可用于传输数据包的公用虚拟机.
这些条件均未出现在样本配置中.
如果系统管理员要确认不存在公用虚拟交换机路径,可通过在vSphereClient中查看网络交换机布局,以检查是否可能存在共享联系点.
为了保护虚拟机的资源,系统管理员为每台虚拟机配置了资源预留和限制,从而降低了DoS和DDoS攻击的风险.
系统管理员在DMZ的前后端安装了软件防火墙,确保主机受到物理防火墙的保护,并配置了联网的存储器资源以使每个资源均有其自身的虚拟交换机,从而为ESXi主机和虚拟机提供了进一步保护.
安全资源和信息可以在VMware网站上查找其他的安全相关信息.
表11-1列出了安全主题以及这些主题的其他信息的所在位置.
表11-1.
Web上的VMware安全资源主题资源VMware安全策略、最新安全预警、安全下载及安全主题重点讨论http://www.
vmware.
com/security/公司安全响应策略http://www.
vmware.
com/support/policies/security_response.
htmlVMware致力于帮助维护安全的环境.
安全问题是需要及时更正的.
VMware安全响应策略中作出了解决其产品中可能存在的漏洞之承诺.
第三方软件支持策略http://www.
vmware.
com/support/policies/VMware支持各种存储系统和软件代理(如备份代理及系统管理代理等).
可以通过在http://www.
vmware.
com/vmtn/resources/上搜索ESXi兼容性指南,找到支持ESXi的代理、工具及其他软件的列表.
VMware不可能对此行业中的所有产品和配置进行测试.
如果VMware未在兼容性指南中列出某种产品或配置,其技术支持人员将尝试帮助解决任何相关问题,但不能保证该产品或配置的可用性.
请始终对不受支持的产品或配置进行安全风险评估.
VMware产品认证http://www.
vmware.
com/security/certifications/ESXi配置指南116VMware,Inc.
确保ESXi配置的安全12可以采取一些措施为ESXi主机、虚拟机和iSCSISAN创造安全的环境.
从安全角度考虑网络配置规划,还要考虑为了保护配置中的组件免遭攻击而执行的步骤.
本章讨论了以下主题:n第117页,"使用防火墙确保网络安全"n第122页,"通过VLAN确保虚拟机安全"n第125页,"确保虚拟交换机端口安全"n第127页,"确保iSCSI存储器安全"使用防火墙确保网络安全安全管理员使用防火墙保护网络或网络中的选定组件免遭侵袭.
防火墙可控制对其保护范围内的设备的访问,方法是关闭除管理员显式或隐式指定的授权路径之外的所有通信路径.
管理员在防火墙打开的路径或端口允许防火墙内外设备间的流量.
ESXi不包括防火墙,因为它运行有限的一组已知服务,并且会阻止添加其他服务.
这样的限制使得需要防火墙的因素大为减少.
没有防火墙集成到ESXi中.
必须部署适合需求的一组安全技术.
例如,可以选择安装防火墙来筛选进入和离开装有ESXi的网络段的流量.
在虚拟机环境中,可以为组件之间的防火墙规划布局.
n物理计算机(如vCenterServer主机和ESXi主机之间).
n一个虚拟机与另一个虚拟机(例如在作为外部Web服务器的虚拟机与连接公司内部网络的虚拟机之间).
n物理机与虚拟机(例如在物理网络适配器卡和虚拟机之间设立防火墙).
防火墙在ESXi配置中的使用方式取决于您打算如何使用网络以及如何为给定的组件提供所需的安全.
例如,如果在您创建的虚拟网络中的每个虚拟机专用于运行同一部门的不同基准测试套件,那么从一个虚拟机对另一个虚拟机进行不利访问的风险极小.
因此,防火墙存在于虚拟机之间的配置不是必需的.
但是,为了防止干扰外部主机的测试运行,可对所用配置进行设置,以便在虚拟网络的入口点设有防火墙来保护整组虚拟机.
针对有vCenterServer的配置设立防火墙如果通过vCenterServer访问ESXi主机,则通常使用防火墙保护vCenterServer.
该防火墙可为网络提供基本保护.
防火墙可能位于客户端和vCenterServer之间.
或者,vCenterServer和客户端可以均受防火墙的保护,这取决于您的部署.
重点是确保在您认为的系统入口点有防火墙.
VMware,Inc.
117如果使用vCenterServer,可在图12-1中所示的任何位置安装防火墙.
根据配置不同,可能无需图中所有防火墙,也可能需要在其他位置安装防火墙.
此外,您的配置可能包括可选模块,例如VMwarevCenterUpdateManager(此处没有显示).
请参考特定于产品的防火墙设置信息文档,如UpdateManager文档.
有关TCP和UDP端口的完整列表,包括VMwareVMotion和VMware容错,请参见第121页,"用于管理访问的TCP和UDP端口".
图12-1.
vSphere网络配置和流量示例vCenterServerESXiESXvSphereWebAccessvSphereClient第三方网络管理工具存储器防火墙端口443、902、2050-2250和8042-8045端口443端口902端口443端口443902UDP902UDP防火墙防火墙端口427、443、902、5989端口22、427、443、902、903、598922427443902902(UDP)9032050–225059898042-8045SSHSLPv2HTTPSxinetd/vmware-authdESX/ESXi状态更新xinetd/vmware-authd-mksHACIM事务HA配置了vCenterServer的网络可以通过vSphereClient或使用SDK与主机相连接的第三方网络管理客户端接收通信.
在正常操作期间,vCenterServer在指定的端口上侦听其受管主机和客户端的数据.
vCenterServer还假设其受管主机在指定的端口上侦听vCenterServer的数据.
如果任何这些元素之间有防火墙,必须确保防火墙中有打开的端口以支持数据传输.
视您计划如何使用网络及各种设备所需安全级别而定,可能还需要在网络中的许多其他访问点设立防火墙.
根据为网络配置确定的安全风险选择防火墙位置.
下面列出了ESXi实施中常用的防火墙位置.
列表和图12-1中显示的许多防火墙位置都是可选的.
nvSphereClient或第三方网络管理客户端与vCenterServer之间.
nvSphereClient与ESXi主机之间(如果用户通过vSphereClient访问虚拟机).
此连接是vSphereClient与vCenterServer之间的附加连接,且需要一个不同的端口.
nvCenterServer与ESXi主机之间.
ESXi配置指南118VMware,Inc.
n网络中的ESXi主机之间.
尽管主机之间的流量通常被认为是可信的,但是,如果您关注计算机的安全漏洞,可在主机间添加防火墙.
如果在ESXi主机间添加防火墙并打算在服务器间迁移虚拟机、执行克隆操作或使用VMotion,还必须在用来将源主机和目标主机隔开的防火墙中打开端口,以便源主机与目标主机进行通信.
nESXi主机和网络存储器(例如NFS或iSCSI存储器)之间.
这些端口并非专用于VMware,您可以根据网络规范进行配置.
针对没有vCenterServer的配置设立防火墙如果将客户端直接连接到ESXi网络,而不是使用vCenterServer,则防火墙的配置略为简单.
可在图12-2中显示的任何位置安装防火墙.
注意根据配置不同,可能无需图中所有防火墙,也可能需在未显示的位置安装防火墙.
图12-2.
客户端直接管理的ESXi网络的防火墙配置ESXESXivSphereClient第三方网络管理工具存储器防火墙端口902、2050-2250、8000、8042-8045、8100、8200端口902端口903端口443防火墙无论网络有没有配置vCenterServer,均通过相同类型的客户端接收通信:vSphereClient或第三方网络管理客户端.
防火墙需求基本相同,但有一些重要区别.
n与包含vCenterServer的配置一样,应确保有防火墙保护ESXi层,或保护客户端及ESXi层,具体取决于您的配置.
该防火墙可为网络提供基本保护.
所使用的防火墙端口与配置了vCenterServer的情况相同.
n此类配置中的许可证是您在每台主机上安装的ESXi包的一部分.
由于许可功能驻留在服务器上,因此不需要单独的许可证服务器.
这就免除了在LicenseServer与ESXi网络间设立防火墙的需要.
通过防火墙连接到vCenterServervCenterServer使用端口443侦听其客户端的数据传输.
如果vCenterServer及其客户端之间设有防火墙,则必须配置一个可供vCenterServer接收其客户端数据的连接.
要使vCenterServer接收来自于vSphereClient的数据,请在防火墙中打开端口443,以允许数据从vSphereClient传输到vCenterServer.
有关在防火墙中配置端口的其他信息,请联系防火墙系统管理员.
如果正在使用vSphereClient且不希望将端口443用作vSphereClient与vCenterServer的通信端口,可通过在vSphereClient中更改vCenterServer设置来切换到另一个端口.
要了解如何更改这些设置,请参见《基本系统管理指南》.
第12章确保ESXi配置的安全VMware,Inc.
119通过防火墙连接到虚拟机控制台无论是通过vCenterServer将客户端连接到ESXi主机,还是将其直接连接到主机,用户和管理员与虚拟机控制台的通信都需要某些端口.
这些端口支持不同的客户端功能,与ESXi上的不同层相连接,并使用不同身份验证协议.
端口902这是vCenterServer从ESXi主机接收数据时假设可用的端口.
vSphereClient使用此端口为虚拟机上客户机操作系统的鼠标、键盘、屏幕(MKS)活动提供连接.
用户正是通过此端口与虚拟机的客户机操作系统及应用程序交互.
端口902是vSphereClient与虚拟机交互时假设可用的端口.
端口902通过VMware授权守护进程(vmware-authd)将vCenterServer连接至主机.
此守护进程将端口902的数据分多路传输到适当的接收方进行处理.
VMware不支持为该连接配置其他端口.
端口443vSphereClient和SDK使用此端口向vCenterServer受管主机发送数据.
当直接连接到ESXi主机时,vSphereClient和SDK还使用此端口支持与服务器及其虚拟机相关的任何管理功能.
端口443是客户端向ESXi主机发送数据时假设可用的端口.
VMware不支持为这些连接配置其他端口.
端口443通过SDK将客户端连接到ESXi主机.
vmware-hostd将端口443的数据分多路传输到适当的接收方进行处理.
图12-3显示了vSphereClient功能、端口及ESXi进程间的关系.
图12-3.
vSphereClient与ESXi通信的端口使用情况ESXivSphereClient端口443vmware-hostdvmware-authd虚拟机管理功能虚拟机控制台端口903防火墙如果在vCenterServer系统和vCenterServer受管主机间设有防火墙,请打开防火墙中的端口443和903以允许数据从vCenterServer传输到ESXi主机和直接从vSphereClient传输到ESXi主机.
有关配置端口的其他信息,请咨询防火墙系统管理员.
ESXi配置指南120VMware,Inc.
通过防火墙连接到ESXi主机如果在两台ESXi主机间设有防火墙,并希望允许主机间的事务或使用vCenterServer执行任何源或目标活动(例如VMwareHighAvailability(HA)流量、迁移、克隆或VMotion),则必须配置一个可供受管主机接收数据的连接.
要配置用于接收数据的连接,请打开以下范围中的端口:n902(服务器到服务器的迁移和置备流量)n2050–2250(用于HA流量)n8000(用于VMotion)n8042–8045(用于HA流量)有关配置端口的其他信息,请咨询防火墙系统管理员.
为支持的服务和管理代理配置防火墙端口必须在您的环境中配置防火墙,以接受普遍支持的服务和已安装的管理代理.
尽管ESXi本身没有防火墙,但您必须在您的环境中配置任何其他防火墙,以接受服务和管理代理.
下面是vSphere环境中常见的服务和代理:nNFS客户端(不安全服务)nNTP客户端niSCSI软件客户端nCIMHTTP服务器(不安全服务)nCIMHTTPS服务器nSyslog客户端注意此列表可以更改,因此您可能会发现某些服务和代理未在此列表中提及.
可能需要执行其他活动来配置和启用这些服务.
用于管理访问的TCP和UDP端口vCenterServer、ESXi主机及其他网络组件是使用预定的TCP和UDP端口进行访问的.
若要从防火墙外管理网络组件,可能需重新配置防火墙以允许在适当端口的访问.
表12-1列出了TCP和UDP端口以及每个端口的目的和类型.
表12-1.
TCP和UDP端口端口用途流量类型80HTTP访问.
默认的非安全TCPWeb端口,通常与端口443一起用作从Web访问ESXi网络的访问前端.
端口80将流量重定向到HTTPS登陆页面(端口443).
WS管理入站TCP123NTP客户端出站UDP427CIM客户端使用服务位置协议版本2(SLPv2)查找CIM服务器.
入站和出站UDP第12章确保ESXi配置的安全VMware,Inc.
121表12-1.
TCP和UDP端口(续)端口用途流量类型443HTTPS访问vCenterServer对ESXi主机的访问默认SSLWeb端口vSphereClient对vCenterServer的访问vSphereClient对ESXi主机的访问WS管理vSphereClient对vSphereUpdateManager的访问vSphereConverter对vCenterServer的访问入站TCP902主机对其他主机的访问以进行迁移和置备ESXi的身份验证流量和远程控制台流量(xinetd/vmware-authd)vSphereClient对虚拟机控制台的访问(UDP)从ESXi到vCenterServer的状态更新(检测信号)连接入站TCP,出站UDP2049来自NFS存储设备的事务此端口用于VMKernel接口.
入站和出站TCP2050–2250ESXi主机之间的流量,用于VMwareHighAvailability(HA)和EMC自动启动管理器出站TCP,入站和出站UDP3260到iSCSI存储设备的事务此端口用于VMKernel接口.
出站TCP5900-5964由VNC等管理工具使用的RFB协议入站和出站TCP5989通过HTTPS的CIMXML事务入站和出站TCP8000来自VMotion的请求入站和出站TCP8042–8045ESXi主机之间的流量,用于HA和EMC自动启动管理器出站TCP,入站和出站UDP8100,8200ESXi主机之间的流量,用于VMware容错出站TCP,入站和出站UDP除了TCP和UDP端口外,还可根据需要配置其他端口.
可使用vSphereClient为已安装的管理代理和支持的服务(例如NFS)打开端口.
通过VLAN确保虚拟机安全网络可能是任何系统中最脆弱的环节之一.
虚拟机网络需要的保护丝毫不应少于物理网络.
可以通过多种方式加强虚拟机网络安全.
如果将虚拟机网络连接到物理网络,则其遭到破坏的风险不亚于由物理机组成的网络.
即使虚拟机网络已与任何物理网络隔离,虚拟机也可能遭到网络中其他虚拟机的攻击.
用于确保虚拟机安全的要求通常与物理机相同.
虚拟机是相互独立的.
一个虚拟机无法读取或写入另一个虚拟机的内存、访问其数据、使用其应用程序等等.
但在网络中,任何虚拟机或虚拟机组仍可能遭到其他虚拟机的未授权访问,因此可能需要通过外部手段加强保护.
可以通过不同方式增加这层保护:n为虚拟网络增加防火墙保护,方法是在其中的部分或所有虚拟机上安装和配置软件防火墙.
ESXi配置指南122VMware,Inc.
为提高效率,可设置专用虚拟机以太网或虚拟网络.
有了虚拟网络,可在网络最前面的虚拟机上安装软件防火墙.
这可以充当物理网络适配器和虚拟网络中剩余虚拟机之间的保护性缓存.
在虚拟网络最前面的虚拟机上安装软件防火墙是一项不错的安全措施.
但是,软件防火墙会降低性能,因此请先对安全需求和性能进行权衡,然后再决定在虚拟网络中的其他虚拟机上安装软件防火墙.
n将主机中的不同虚拟机区域置于不同网络段上.
如果将虚拟机区域隔离在自己的网络段中,可以大大降低虚拟机区域间泄漏数据的风险.
分段可防止多种威胁,包括地址解析协议(ARP)欺骗,即攻击者操作ARP表以重新映射MAC和IP地址,从而访问进出主机的网络流量.
攻击者使用ARP欺骗生成拒绝服务,劫持目标系统并以其他方式破坏虚拟网络.
仔细计划分段可降低虚拟机区域间传输数据包的几率,从而防止嗅探攻击(此类攻击需向受害者发送网络流量).
此外,攻击者无法使用一个虚拟机区域中的不安全服务访问主机中的其他虚拟机区域.
可以使用两种方法之一实施分段,每种方法具有不同优势.
n为虚拟机区域使用单独的物理网络适配器以确保将区域隔离.
为虚拟机区域使用单独的物理网络适配器可能是最安全的方法,并且更不容易在初次创建段之后出现配置错误.
n设置虚拟局域网(VLAN)以帮助保护网络.
VLAN几乎能够提供以物理方式实施单独网络所具有的所有安全优势,但省去了硬件开销,可为您节省部署和维护附加设备、线缆等硬件的成本,是一种可行的解决方案.
VLAN是一种IEEE标准的网络方案,通过特定的标记方法将数据包的传送限制在VLAN中的端口内.
若配置正确,VLAN将是您保护一组虚拟机免遭意外或恶意侵袭的可靠方法.
VLAN可让您对物理网络进行分段,以便只有属于相同VLAN的网络中的两个虚拟机才能相互传输数据包.
例如,会计记录和会计帐务是一家公司最敏感的内部信息.
如果公司的销售、货运和会计员工均使用同一物理网络中的虚拟机,可按图12-4所示设置VLAN以保护会计部门的虚拟机.
图12-4.
VLAN布局示例VM3VM4vSwitchVM5vSwitchVM6VM7VM8vSwitchVM0VM1VM2vSwitchVM9VM10VM11VM12VLANBVM13VLANAVM14VLANBvSwitch路由器主机1主机3主机4主机2交换机1交换机2同一虚拟交换机上的多个VLAN广播域A和BVLANA广播域AVLANB广播域B在此配置中,会计部门的所有员工均使用VLANA中的虚拟机,销售部门的员工使用VLANB中的虚拟机.
第12章确保ESXi配置的安全VMware,Inc.
123路由器将包含会计数据的数据包转发至交换机.
这些数据包将被标记为仅分发至VLANA.
因此,数据将被局限在广播域A内,无法传送到广播域B,除非对路由器进行此配置.
该VLAN配置可防止销售人员截取传至会计部门的数据包.
还可防止会计部门接收传至销售组的数据包.
一个虚拟交换机可为不同VLAN中的虚拟机服务.
VLAN安全注意事项如何设置VLAN以确保网络组件安全取决于客户机操作系统以及网络设备的配置方式.
ESXi配备完整的符合IEEE802.
1q的VLAN实施.
VMware不能对如何设置VLAN提出具体建议,但当您使用VLAN部署作为安全执行策略一部分时,应考虑以下因素.
将VLAN视作更广的安全实施的一部分VLAN能够有效地控制数据在网络中的传输位置和范围.
如果攻击者可以访问网络,其攻击行为可能仅限于用作入口点的VLAN,从而降低了攻击整个网络的风险.
VLAN之所以能够提供保护,只是因为它可以控制数据在通过交换机并进入网络后的传送和包含方式.
可使用VLAN以帮助确保网络架构的第2层(数据链接层)安全.
但是,配置VLAN不能保护网络模型的物理层或任何其他层.
即使创建VLAN,也应通过确保硬件(路由器、集线器等等)安全和加密数据传输来提供额外保护.
VLAN不能代替虚拟机配置中的防火墙.
大多数包括VLAN的网络配置也同时包括软件防火墙.
如果虚拟网络中包括VLAN,请确保所安装的防火墙能够识别VLAN.
正确配置VLAN设备配置错误及网络硬件、固件或软件缺陷会导致VLAN容易遭到VLAN跳转攻击.
如果有权访问一个VLAN的攻击者创建了一些数据包,并用欺骗手段致使物理交换机将这些数据包传输到其无权访问的另一个VLAN,则将发生VLAN跳转.
容易受到此类攻击的原因通常是由于对本机VLAN操作进行了错误的交换机配置,从而导致交换机可以接收和传输未标记数据包.
为帮助防止VLAN跳转,请及时安装硬件和固件更新以确保设备是最新的.
同时请在配置设备时遵照供应商的最佳做法准则.
VMware虚拟交换机不支持本机VLAN的概念.
通过这些交换机的所有数据都会被适当地标记.
但是,网络中可能有其他为本机VLAN操作配置的交换机,因此配置了虚拟交换机的VLAN仍然容易遭受VLAN跳转.
如果计划使用VLAN执行网络安全,则应对所有交换机禁用本机VLAN功能,除非必须在本机模式中操作某些VLAN.
如果必须使用本机VLAN,请注意交换机供应商就此功能提供的配置准则.
虚拟交换机保护和VLAN通过VMware虚拟交换机可阻止某些威胁VLAN安全的行为.
虚拟交换机的设计方式使其可以防御各种攻击,其中多种攻击均涉及VLAN跳转.
有了这层保护并不能保证您的虚拟机配置不会遭受其他类型的攻击.
例如,虚拟交换机只能保护虚拟网络免遭这些攻击,但不能保护物理网络.
ESXi配置指南124VMware,Inc.
虚拟交换机和VLAN可以抵御以下类型的攻击.
MAC洪水使交换机充满大量数据包,其中包含标记为来自不同源的MAC地址.
许多交换机使用内容可寻址内存(CAM)表了解和存储每个数据包的源地址.
当此表填满时,交换机可以进入完全打开状况,此时将在所有端口广播每个入站数据包,致使攻击者看到交换机的所有流量.
此状况可能导致VLAN间的数据包泄漏.
尽管VMware虚拟交换机存储MAC地址表,但不会获取来自可观测流量的MAC地址,因此不容易受到此类攻击.
802.
1q和ISL标记攻击强制交换机将帧从一个VLAN重定向至另一个VLAN,方法是通过欺骗手段致使交换机充当中继并向其他VLAN广播流量.
VMware虚拟交换机不执行此类攻击所需的动态中继,因此不会遭到攻击.
双重封装攻击当攻击者创建一个双重封装数据包,其内部标记中的VLAN标识符与外部标记中的VLAN标识符不同时出现.
为实现向后兼容性,本机VLAN将去除传输数据包的外部标记,除非进行其他配置.
当本机VLAN交换机去除外部标记后,只剩下内部标记,它将把数据包路由到与所去除外部标记中标识的VLAN不同的VLAN.
VMware虚拟交换机会丢弃虚拟机尝试通过为特定VLAN配置的端口发送的任何双重封装帧.
因此,它们不容易遭到此类攻击.
多播暴力攻击涉及到将大量多播帧几乎同时发送到已知VLAN,使交换机过载,从而错误地允许向其他VLAN广播一些帧.
VMware虚拟交换机不允许帧离开其正确的广播域(VLAN),因此不容易遭到此类攻击.
跨树攻击针对跨树协议(STP),此协议用于控制LAN组件间的桥接.
攻击者发送网桥协议数据单元(BPDU)数据包,尝试更改网络拓扑,将攻击者自己建立成为根网桥.
作为根网桥,攻击者可以嗅探传输帧的内容.
VMware虚拟交换机不支持STP,因此不容易遭到此类攻击.
随机帧攻击涉及发送大量数据包,这些数据包的源地址和目标地址保持不变,但字段的长度、类型或内容会随机变化.
此类攻击的目标是强制交换机错误地将数据包重新路由到不同VLAN.
VMware虚拟交换机不容易遭到此类攻击.
由于将来还会不断出现新的安全威胁,因此请勿将此视作有关攻击的详尽列表.
请定期查看网站上的VMware安全资源,了解安全警示、近期安全警示及VMware安全策略.
确保虚拟交换机端口安全与物理网络适配器一样,虚拟网络适配器也可以发送看上去来自不同计算机的帧或模拟另一台计算机,以便可以接收传至该计算机的网络帧.
此外,虚拟网络适配器也可以像物理网络适配器一样进行配置以接收传至其他计算机的帧.
当您为网络创建虚拟交换机时,会添加端口组,为附加到交换机的虚拟机和存储系统强加策略配置.
可通过vSphereClient创建虚拟端口.
在虚拟交换机中添加端口或端口组的过程中,vSphereClient会为端口配置安全配置文件.
此安全配置文件可用来确保ESXi阻止其虚拟机的客户机操作系统模拟网络上的其他计算机.
实施此安全功能的目的在于使负责模拟的客户机操作系统检测不到模拟行为已被阻止.
安全配置文件决定您对虚拟机执行的防模拟和截断攻击保护强度.
为了正确使用安全配置文件中的设置,必须了解一些虚拟网络适配器如何控制传送及此级别的攻击如何进行的基础知识.
第12章确保ESXi配置的安全VMware,Inc.
125创建每个虚拟网络适配器时,都将向其分配自己的MAC地址.
此地址称为初始MAC地址.
尽管可以从客户机操作系统外部重新配置初始MAC地址,但不能由客户机操作系统进行更改.
此外,每个适配器具有一个有效MAC地址,可筛选目标MAC地址与该有效MAC不同的入站网络流量.
客户机操作系统负责设置有效MAC地址,并通常将有效MAC地址与初始MAC地址保持一致.
发送数据包时,操作系统通常将其网络适配器的有效MAC地址输入以太网帧的源MAC地址字段中.
它还将接收网络适配器的MAC地址输入目标MAC地址字段.
接收网络适配器仅在数据包的目标MAC地址与其自己的有效MAC地址匹配时才接受数据包.
网络适配器一经创建后,其有效MAC地址与初始MAC地址相同.
虚拟机的操作系统可随时将有效MAC地址更改为其他值.
如果操作系统更改了有效MAC地址,其网络适配器将接收传至新MAC地址的网络流量.
操作系统可随时发送带有模拟源MAC地址的帧.
这意味着操作系统便可通过模拟接收网络授权的网络适配器对网络中的设备进行恶意攻击.
可以使用ESXi主机上的虚拟交换机安全配置文件设置三个选项以防止此类攻击.
如果更改端口的任何默认设置,必须在vSphereClient中通过编辑虚拟交换机设置来修改安全配置文件.
MAC地址更改MAC地址更改选项的设置将影响虚拟机接收的流量.
当此选项设置为接受时,ESXi主机接受将有效MAC地址更改为非初始MAC地址的请求.
当选项设置为拒绝时,ESXi不接受将有效MAC地址更改为非初始MAC地址的请求,这会保护主机免受MAC模拟.
虚拟适配器用于发送请求的端口将被禁用,必须在它将有效MAC地址更改为初始MAC地址后才能再接收帧.
客户机操作系统检测不到MAC地址更改已被拒绝.
注意iSCSI启动器依赖于能够从某些类型的存储器获取MAC地址更改.
如果使用ESXiiSCSI,并且有iSCSI存储器,则将MAC地址更改选项设置为接受.
有时您可能确实需要多个适配器在网络中使用同一MAC地址(例如在单播模式中使用Microsoft网络负载平衡时).
在标准多播模式下使用Microsoft网络负载平衡时,适配器不能共享MAC地址.
MAC地址更改设置会影响离开虚拟机的流量.
如果允许发送者更改MAC地址,则即使vSwitch或接收虚拟机不允许MAC地址更改,也会出现MAC地址更改的情况.
伪信号伪信号选项的设置将影响从虚拟机传输的流量.
当选项设置为接受时,ESXi不会比较源MAC地址和有效MAC地址.
要防止MAC模拟,可将此选项设置为拒绝.
这样,主机将对操作系统传输的源MAC地址与其适配器的有效MAC地址进行比较,以确认是否匹配.
如果地址不匹配,ESXi将丢弃数据包.
客户机操作系统检测不到其虚拟网络适配器无法使用模拟MAC地址发送数据包.
ESXi主机会在带有模拟地址的任何数据包递送之前将其截断,而客户机操作系统可能假设数据包已被丢弃.
杂乱模式运行杂乱模式会清除虚拟网络适配器执行的任何接收筛选,以便客户机操作系统接收在网络上观察到的所有流量.
默认情况下,虚拟网络适配器不能在杂乱模式中运行.
尽管杂乱模式对于跟踪网络活动很有用,但它是一种不安全的运行模式,因为杂乱模式中的任何适配器均可访问数据包,而与某些数据包是否仅由特定的网络适配器接收无关.
这意味着虚拟机中的管理员或root用户可以查看发往其他客户机或主机操作系统的流量.
注意有时您可能确实需要将虚拟交换机配置为在杂乱模式中运行(例如运行网络入侵检测软件或数据包嗅探器时).
ESXi配置指南126VMware,Inc.
确保iSCSI存储器安全为ESXi主机配置的存储器可能包括一个或多个使用iSCSI的存储区域网络(SAN).
在ESXi主机上配置iSCSI时,可采取几种措施降低安全风险.
iSCSI是一种使用TCP/IP协议通过网络端口(而不是通过直接连接SCSI设备)来访问SCSI设备和交换数据记录的方法.
在iSCSI事务中,原始SCSI数据块被封装在iSCSI记录中并传输至请求数据的设备或用户.
iSCSISAN可让您有效地利用现有以太网架构,为ESXi主机提供对可供其动态共享的存储资源的访问.
iSCSISAN可为依赖公用存储池为多个用户提供服务的环境提供经济的存储解决方案.
与任何网络系统一样,iSCSISAN也可能遭到安全破坏.
注意用于确保iSCSISAN安全的要求和过程与可用于ESXi主机的iSCSI硬件适配器和通过ESXi主机直接配置的iSCSI相同.
通过身份验证确保iSCSI设备的安全确保iSCSI免遭不利入侵的一种方法就是,每当主机尝试访问目标LUN上的数据时都要求iSCSI设备(或称目标)对ESXi主机(或称启动器)进行身份验证.
身份验证的目的是证明启动器具有访问目标的权利,这是在您配置身份验证时授予的权利.
ESXi不对iSCSI支持Kerberos、安全远程协议(SRP)或公用密钥身份验证方法.
此外,它也不支持IPsec身份验证和加密.
使用vSphereClient可以确定当前是否在执行身份验证并配置身份验证方法.
为iSCSISAN启用挑战握手身份验证协议(CHAP)可将iSCSISAN配置为使用CHAP身份验证.
在CHAP身份验证中,当启动器联系iSCSI目标时,目标向启动器发送一个预定义ID值和一个随机值(或称键).
启动器创建一个单向哈希值,并将其发送给目标.
此哈希值包含三个元素:目标发送的预定义ID值、随机值和一个由启动器和目标共享的专用值(或称CHAP密码).
当目标收到启动器的哈希值后,将使用相同的元素创建自己的哈希值并将其与启动器的哈希值进行比较.
如果结果匹配,目标将对启动器进行身份验证.
ESXi支持对iSCSI的单向和双向CHAP身份验证.
在单向CHAP身份验证中,目标需验证启动器,但启动器无需验证目标.
在双向CHAP身份验证中,提供了供启动器验证目标的附加安全级别.
当只有一组身份验证凭据可以从ESX主机发送到所有目标时,ESXi支持适配器级别的CHAP身份验证.
还支持每个目标的CHAP身份验证,后者可让您为每个目标配置不同凭据以实现更好的目标优化.
有关如何处理CHAP的信息,请参见第73页,"配置iSCSI启动器的CHAP参数".
禁用iSCSISAN身份验证可将iSCSISAN配置为不使用身份验证.
启动器与目标间的通信仍需经过初步身份验证,因为iSCSI目标设备通常会设置为仅与特定启动器通信.
如果您的iSCSI存储器位于一个位置且创建专用网络或VLAN为所有iSCSI设备提供服务,那么选择不执行更严格的身份验证可能有意义.
iSCSI配置是安全的,因为它与任何有害访问隔离,这与光纤通道SAN很相似.
通常,除非您愿意冒iSCSISAN被攻击的风险,或需处理因人为错误而造成的问题,否则请勿禁用身份验证.
ESXi不对iSCSI支持Kerberos、安全远程协议(SRP)或公用密钥身份验证方法.
此外,它也不支持IPsec身份验证和加密.
使用vSphereClient可以确定当前是否在执行身份验证并配置身份验证方法.
有关如何处理CHAP的信息,请参见第73页,"配置iSCSI启动器的CHAP参数".
第12章确保ESXi配置的安全VMware,Inc.
127保护iSCSISAN计划iSCSI配置时,应采取一些措施提高iSCSISAN的整体安全.
iSCSI配置是否安全取决于IP网络,因此在设置网络时执行良好的安全标准可帮助保护iSCSI存储器.
下面是执行良好安全标准的一些具体建议.
保护传输数据iSCSISAN中的一个主要安全风险便是攻击者会嗅探传输的存储数据.
采取其他措施以防止攻击者能够轻易看见iSCSI数据.
无论是iSCSI硬件适配器还是ESXi主机iSCSI启动器,均不会对其传输至目标和从目标接收的数据进行加密,这会造成数据更易遭到嗅探攻击.
通过iSCSI配置允许虚拟机共享虚拟交换机和VLAN可能导致iSCSI流量遭到虚拟机攻击者误用.
为帮助确保入侵者无法侦听iSCSI传送数据,请确保任何虚拟机都无法看到iSCSI存储网络.
如果使用的是iSCSI硬件适配器,则可以通过以下操作来实现这一目的:确保iSCSI适配器和ESXi物理网络适配器没有因共享交换机或某种其他方式而无意地在主机外部连接.
如果直接通过ESXi主机配置iSCSI,可通过虚拟机未使用的另一个虚拟交换机来配置iSCSI存储器,如图12-5中所示.
图12-5.
单独虚拟交换机上的iSCSI存储器除了通过提供专用虚拟交换机来保护iSCSISAN外,还可以在iSCSISAN自己的VLAN上对其进行配置以提高性能和安全性.
将iSCSI配置放在单独的VLAN上可确保只有iSCSI适配器可以看到iSCSISAN内的传送数据.
此外,来自其他来源的网络拥堵不会影响iSCSI流量.
保护iSCSI端口安全当运行iSCSI设备时,ESXi主机不会打开任何侦听网络连接的端口.
此措施可降低入侵者通过空闲端口侵入ESXi主机并控制主机的几率.
因此,运行iSCSI不会在连接的ESXi主机端产生任何额外安全风险.
您运行的任何iSCSI目标设备都必须具有一个或多个打开的TCP端口以侦听iSCSI连接.
如果iSCSI设备软件中存在任何安全漏洞,则数据遭遇的风险并非ESXi所造成.
要降低此风险,请安装存储设备制造商提供的所有安全修补程序并对连接iSCSI网络的设备进行限制.
ESXi配置指南128VMware,Inc.
身份验证和用户管理13ESXi处理用户身份验证,并支持用户和组权限.
此外,可以加密与vSphereClient和SDK的连接.
本章讨论了以下主题:n第129页,"通过身份验证和权限确保ESXi的安全"n第135页,"ESXi加密和安全证书"通过身份验证和权限确保ESXi的安全当vSphereClient或vCenterServer用户连接到ESXi主机时,即会通过VMwareHostAgent进程建立连接.
该进程使用用户名和密码来进行验证.
ESXi对使用vSphereClient或SDK访问ESXi主机的用户进行验证.
ESXi的默认安装使用本地密码数据库来进行身份验证.
图13-1说明了ESXi如何从vSphereClient对事务进行身份验证的一个基本示例.
注意在与vmware-hostd进程连接时,CIM事务还使用基于票证的身份验证.
图13-1.
对vSphereClient与ESXi之间的通信进行身份验证ESXivSphereClientvmware-hostd管理功能控制台用户名/密码身份验证通过第三方网络管理客户端进行的ESXi身份验证事务也会与vmware-hostd进程直接进行交互.
为了确保网站的身份验证能够高效工作,可执行一些基本任务,例如,设置用户、组、权限和角色;配置用户属性;添加自己的证书;确定是否要使用SSL等.
VMware,Inc.
129关于用户、组、权限和角色vCenterServer和ESXi主机使用用户名、密码和权限的组合来验证用户访问权限,并对活动进行授权.
通过分配权限,可以控制对主机、群集、数据存储、资源池、网络端口组和虚拟机的访问权限.
当具有适当权限的已知用户使用正确的密码登录主机时,系统会授予其对ESXi主机及其资源的访问权限.
当确定是否对用户授予访问权限时,vCenterServer也使用类似方法.
vCenterServer和ESXi主机在下列情况下拒绝授予访问权限:n非用户列表上的用户尝试登录.
n用户输入的密码不正确.
n用户在列表上但未分配有权限.
n已成功登录的用户尝试执行其不具有相应权限的操作.
在管理ESXi主机和vCenterServer的过程中,您必须计划如何处理特定类型的用户和权限.
ESXi和vCenterServer使用一组特权或角色来控制每个用户或组可执行的操作.
系统提供了预定义的角色,但还可以创建新角色.
分配给组的用户更易于管理.
在将角色应用到组时,组中的所有用户将继承该角色.
了解用户用户是经过授权可登录ESXi主机或vCenterServer的个人.
ESXi用户分为两类:可通过vCenterServer访问主机的用户,以及通过从vSphereClient、第三方客户端或CommandShell直接登录主机来访问主机的用户.
vCenterServer授权用户vCenterServer授权用户包括在vCenterServer所引用的Windows域列表中,或者是vCenterServer主机上的本地Windows用户.
不能使用vCenterServer手动创建、移除或以其他方式更改用户.
必须使用工具来管理Windows域.
所作的任何更改将在vCenterServer中反映出来.
但是,用户界面不提供用于检查的用户列表.
直接访问用户经授权直接在ESXi主机上工作的用户是系统管理员添加到内部用户列表的用户.
管理员可以对这些用户执行各种管理操作,如更改密码、组成员资格和权限以及添加和移除用户.
由vCenterServer维护的用户列表与由主机维护的用户列表完全独立.
即使列表中似乎包含常见用户(例如,名为devuser的用户),也单独处理这些用户.
如果以devuser用户身份登录vCenterServer,则可能具有从数据存储查看和删除文件的权限,但是,如果以devuser用户身份登录ESXi主机,则不具有这样的权限.
由于名称重复可能造成混乱,应在创建ESXi主机用户之前对vCenterServer用户列表进行检查,以避免名称重复.
要检查vCenterServer用户,请查看Windows域列表.
了解组组是一组共享公用的规则和权限集的用户.
向某个组分配权限时,该组中的所有用户都将继承这些权限,而不必逐个处理用户配置文件.
管理员需要决定如何建立组结构,以达到安全和使用目标.
例如,三位兼职销售小组成员的工作时间各不相同,您希望他们共享一个虚拟机但不想让他们使用销售经理的虚拟机.
在这种情况下,可以创建一个名为SalesShare的组,该组包括三个销售人员,并授予仅与一个对象(即共享虚拟机)进行交互的组权限.
他们不能在销售经理的虚拟机上执行任何操作.
vCenterServer和ESXi主机上组列表的来源与其各自用户列表的来源相同.
如果通过vCenterServer进行操作,则会从Windows域调用组列表.
如果直接登录至ESXi主机,则会从该主机维护的表中调用组列表.
ESXi配置指南130VMware,Inc.
了解权限对于ESXi和vCenterServer,将权限定义为访问角色,访问角色由用户以及为对象(如虚拟机或ESXi主机)分配的用户角色组成.
大多数vCenterServer和ESXi用户对于与主机相关联的对象的操作能力很有限.
具有管理员角色的用户对所有虚拟对象(如数据存储、主机、虚拟机和资源池)拥有完全访问权利和权限.
默认情况下,向root用户授予管理员角色.
如果主机由vCenterServer管理,则vpxuser也是管理员用户.
ESXi和vCenterServer的特权列表相同,您可以使用相同方法配置权限.
可通过直接连接到ESXi主机来创建角色并设置权限.
由于这些任务在vCenterServer中更广泛地执行,因此请参见《基本系统管理》获得有关处理权限和角色的信息.
分配root用户权限root用户只能在其登录的特定ESXi主机上执行操作.
为安全起见,您可能不想以管理员角色使用root用户.
在此情况下,可在安装后更改权限,以便使root用户不再拥有管理特权,也可通过vSphereClient一次性删除root用户的所有访问权限,请参见《基本系统管理》中的"管理用户、组、权限和角色"一章.
如果执行了此操作,必须首先在root级别创建可向另一个用户分配管理员角色的另一种权限.
向另一个用户分配管理员角色有助于通过可跟踪性维护安全.
vSphereClient将管理员角色用户启动的所有操作记录为事件,并为您提供审核记录.
如果所有管理员均以root用户身份登录主机,则不能分辨某项操作是哪个管理员执行的.
如果在root级别创建了多个权限,而且每个权限均与不同的用户或用户组相关联,则可对每个管理员或管理组的操作进行跟踪.
创建备用管理员用户后,就可以删除root用户的权限或更改角色以限制其特权.
将置于vCenterServer的管理之中时,必须使用所创建的新用户作为主机身份验证点.
注意vicfg命令不执行访问检查.
因此,即使限制root用户的特权,也不会影响用户可使用命令行界面命令执行的操作.
了解vpxuser权限当vCenterServer管理主机活动时,它使用vpxuser权限.
vpxuser在将ESXi主机连接到vCenterServer时创建.
vCenterServer对其管理的主机拥有管理员特权.
例如,vCenterServer可将虚拟机移至和移离主机,并执行支持虚拟机所必需的配置更改.
vCenterServer管理员可在主机上执行可以由root用户执行的大多数任务,并调度任务和处理模板等.
但是,vCenterServer管理员不能为ESXi主机直接创建、删除或编辑用户和组.
这些任务只能由具有管理员权限的用户直接在每台ESXi主机上执行.
小心不要以任何方式更改vpxuser及其权限.
如果进行了更改,在通过vCenterServer处理ESXi主机时可能会出现问题.
分配dcui用户权限dcui用户以管理员权限在主机上操作.
此用户的主要目的是从直接控制台配置锁定模式的主机.
此用户将充当直接控制台的代理,绝对不应由交互式用户来修改或使用.
小心不要以任何方式更改dcui用户及其权限.
如果进行了更改,在通过本地用户界面处理ESXi主机时可能会出现问题.
第13章身份验证和用户管理VMware,Inc.
131了解角色vCenterServer和ESXi仅将对象的访问权限授予已针对该对象分配了权限的用户.
向用户或组分配与对象相关的权限时,可通过将用户或组与角色进行配对来操作.
角色是一组预定义的特权.
ESXi主机可提供三种默认的角色,您不能更改与这些角色相关联的特权.
每个后续的默认角色均包括前一个角色的特权.
例如,管理员角色继承只读角色的特权.
您本人创建的角色不继承任何默认角色的特权.
可通过直接连接到ESXi主机来创建角色并设置权限.
由于大多数用户在vCenterServer中创建角色并设置权限,因此请参见《基本系统管理》获取有关处理权限和角色的信息.
分配无权访问角色分配有无权访问角色的对象用户不能以任何方式查看或更改对象.
默认情况下向新用户和组分配此角色.
可以逐对象更改角色.
对特定对象拥有无权访问角色的用户,可选择与无权访问的对象相关联的vSphereClient选项卡,但该选项卡不显示任何内容.
默认情况下,root用户和vpxuser权限是未分配有无权访问角色的唯一用户.
相反,它们分配有管理员角色.
只要首先在root级别使用管理员角色创建替代权限并将此角色与另一个用户相关联,就可以完全删除root用户的权限或将其角色更改为无权访问.
分配只读角色分配有只读角色的对象用户可查看对象的状况和详细信息.
具有此角色的用户可查看虚拟机、主机和资源池属性.
该用户不能查看主机的远程控制台.
通过菜单和工具栏执行的所有操作均被禁止.
分配管理员角色分配有管理员角色的对象用户可在对象上查看和执行所有操作.
此角色也包括只读角色固有的所有权限.
如果以管理员角色在ESXi主机上执行操作,则可向该主机上的每个用户和组授予权限.
如果以管理员角色在vCenterServer中执行操作,则可向vCenterServer引用的Windows域列表中包括的任何用户或组授予权限.
vCenterServer通过分配权限这一过程对选定的任何Windows域用户或组进行注册.
默认情况下,向属于vCenterServer上本地WindowsAdministrators组的所有用户授予与分配至管理员角色的任何用户相同的访问权限.
属于Administrators组的用户可以以个人身份登录并具有完全访问权限.
为安全起见,可考虑从管理员角色中移除WindowsAdministrators组.
可以在安装之后更改权限.
此外,可以使用vSphereClient删除WindowsAdministrators组访问权限,但必须首先在root级别创建可向另一个用户分配管理员角色的另一种权限.
直接控制台用户界面访问只有分配了管理员角色的用户才可以登录到直接控制台.
要允许访问直接控制台,请将用户添加到本地管理员组.
步骤1通过vSphereClient登录主机.
2单击用户和组选项卡,然后单击用户.
3右键单击用户,然后单击编辑以打开"编辑用户"对话框.
4从组下拉菜单中,选择localadmin,然后单击添加.
5单击确定.
ESXi配置指南132VMware,Inc.
处理ESXi主机上的用户和组如果通过vSphereClient直接连接ESXi主机,则可创建、编辑和删除用户和组.
只要登录ESXi主机,就会在vSphereClient中看到这些用户和组,但在登录vCenterServer时看不见.
查看和导出用户和组列表并对其进行排序可以查看ESXi用户和组的列表,对其进行排序,并将其导出到HTML、XML、MicrosoftExcel或CSV格式的文件中.
步骤1通过vSphereClient登录主机.
2单击用户和组选项卡,然后单击用户或组.
3根据希望在导出文件中看到的信息,确定如何对表进行排序以及如何隐藏或显示列.
n要按任意列对表进行排序,请单击列标题.
n要显示或隐藏列,请右键单击任何列标题,并选择或取消选择要隐藏的列的名称.
n要显示或隐藏列,请右键单击任何列标题,并选择或取消选择要隐藏的列的名称.
4右键单击表中的任何位置,然后单击导出列表以打开"另存为"对话框.
5选择路径并输入文件名.
6选择文件类型,然后单击确定.
将用户添加到用户表将用户添加到用户表会更新由ESXi维护的内部用户列表.
步骤1通过vSphereClient登录主机.
2单击用户和组选项卡,然后单击用户.
3右键单击"用户"表中的任何位置,然后单击添加以打开"新增用户"对话框.
4输入登录名、用户名、数字用户ID(UID)和密码.
对于用户名和UID的指定是可选操作.
如果未指定UID,vSphereClient将分配下一个可用的UID.
5要将用户添加到组,请从组下拉菜单选择组名称,然后单击添加.
6单击确定.
修改用户设置可以更改用户的用户ID、用户名、密码和组设置.
还可以向用户授予shell访问权限.
步骤1通过vSphereClient登录主机.
2单击用户和组选项卡,然后单击用户.
3右键单击用户,然后单击编辑以打开"编辑用户"对话框.
4要更改用户ID,请在UID文本框中输入数值用户ID.
vSphereClient在您首次创建用户时分配UID.
在大多数情况下,可以不更改此分配.
5请输入新的用户名.
第13章身份验证和用户管理VMware,Inc.
1336要更改用户密码,请选择更改密码,然后输入新密码.
创建的密码应有足够的长度和复杂度,以防常见的暴力攻击.
主机仅在您已切换至pam_passwdqc.
so插件以进行身份验证时才检查密码的合规性.
并不强制执行默认身份验证插件pam_cracklib.
so中的密码设置.
7要将用户添加到组,请从组下拉菜单选择组名称,然后单击添加.
8要从某个组中移除用户,请从组成员资格框中选择该组的名称,然后单击移除.
9单击确定.
移除用户或组可以从ESXi主机中移除用户或组.
小心不要移除root用户.
步骤1通过vSphereClient登录主机.
2单击用户和组选项卡,然后单击用户或组.
3右键单击要移除的用户或组,然后单击移除.
将组添加到组表将组添加到ESXi组表会更新由主机维护的内部组列表.
步骤1通过vSphereClient登录主机.
2单击用户和组选项卡,然后单击组.
3右键单击"组"表中的任何位置,然后单击添加以打开"创建新组"对话框.
4在组ID字段中输入组名称和数值组ID(GID).
对于GID的指定是可选的.
如果未指定GID,vSphereClient将分配下一个可用的组ID.
5对于要添加为组成员的每个用户,从列表中选择用户名,然后单击添加.
6单击确定.
添加或移除组中的用户可以向组表的组中添加用户或从中移除用户.
步骤1通过vSphereClient登录主机.
2单击用户和组选项卡,然后单击组.
3右键单击要修改的组,然后单击属性以打开"编辑组"对话框.
4要将用户添加到组,请从组下拉菜单选择组名称,然后单击添加.
5要从某个组中移除用户,请从组成员资格框中选择该组的名称,然后单击移除.
6单击确定.
ESXi配置指南134VMware,Inc.
ESXi加密和安全证书ESXi支持SSLv3和TLSv1(此处统称为SSL).
如果启用了SSL,则数据将是专用的受保护数据,并且只要有人在传输过程中对其进行修改,就将被检测到.
只要未将Web代理服务更改为允许未加密的流量通过端口,所有网络流量都会进行加密.
默认情况下启用主机证书检查,并且使用SSL证书加密网络流量.
但是,ESXi使用安装过程中自动生成的证书,并将此证书存储在主机上.
这些证书是唯一的,使用这些证书后便可以开始使用服务器,但它们是不可验证的,而且不是由公认的权威证书授权机构(CA)签署的.
这些默认证书容易受到中间人攻击的侵害.
若要享受证书检查的最大优势,特别是,如果您要使用加密的外部远程连接,则应安装由有效内部证书授权机构签署的新证书,或从您信任的安全授权机构那里购买新证书.
注意如果使用的是自签署证书,客户端就会收到关于证书的警告.
要解决此问题,请安装由公认的证书颁发机构签署的证书.
如果没有安装CA签署的证书,则将使用自签署证书加密vCenterServer和vSphereClient之间的所有通信.
这些证书不提供可能在生产环境中需要的身份验证安全性.
启用证书检查和验证主机指纹为防止中间人攻击并充分利用证书提供的安全性,会在默认情况下启用证书检查.
可以在vSphereClient中验证是否已启用证书检查.
注意vCenterServer证书在各次升级中均被保留.
步骤1使用vSphereClient登录到vCenterServer系统.
2选择系统管理>vCenterServer设置.
3在左窗格中单击SSL设置,然后验证检查主机证书是否已选中.
4如果有需要手动验证的主机,则可以比较主机列出的指纹和主机控制台中的指纹.
要获得主机指纹,请在ESXi主机上运行以下命令:opensslx509-in/etc/vmware/ssl/rui.
crt-fingerprint-sha1-noout5如果指纹匹配,则选中主机旁边的验证复选框.
单击确定之后,未选中的主机将断开连接.
6单击确定.
生成ESXi主机的新证书ESXi主机在首次启动系统时生成证书.
在某些情况下,可能需要强制主机生成新的证书.
通常,只有当更改主机名称或意外删除证书时,才要生成新证书.
步骤1在直接控制台中选择重置自定义的设置.
2重新引导系统以重新生成证书.
第13章身份验证和用户管理VMware,Inc.
135用CA签署证书替换默认证书ESXi主机使用安装过程中自动生成的证书.
这些证书是唯一的,使用这些证书后便可以开始使用服务器,但它们是不可验证的,而且不是由公认的权威证书颁发机构(CA)签署的.
使用默认证书可能不符合您的组织的安全策略.
如果需要可信证书颁发机构颁发的证书,则可以替换默认证书.
注意ESXi仅支持使用X.
509证书来加密通过服务器和客户端组件之间的SSL连接发送的会话信息.
前提条件所有的文件传输和其他通信均通过安全HTTPS会话进行.
用于验证会话的用户必须在主机上拥有Host.
Config.
AdvancedConfig特权.
有关ESXi特权的详细信息,请参见第130页,"关于用户、组、权限和角色".
步骤1使用vifs命令将证书和密钥文件的副本放到ESXi主机上.
对于证书和密钥,此命令分别采用以下形式:vifs--server--username--putrui.
crt/host/ssl_certvifs--server--username--putrui.
key/host/ssl_key2通过直接控制台使用重新启动管理代理操作来使设置生效.
使用HTTPSPUT上载证书和密钥除vifs命令外,还可以使用第三方应用程序上载证书.
支持HTTPSPUT操作的应用程序可以与ESXi包含的HTTPS接口配合使用.
例如,可以使用SeaMonkeyComposer上载证书和密钥.
步骤1在上载应用程序中,打开文件.
2将文件发布到以下位置之一.
n对于证书,请发布到https://hostname/host/ssl_crt.
n对于密钥,请发布到https://hostname/host/sslkey.
3在直接控制台中,使用"重新启动管理代理"操作来使设置生效.
配置SSL超时可以为ESXi配置SSL超时.
可以为两种类型的空闲连接设置超时期间:n读取超时设置应用于已完成与ESXi的端口443的SSL握手进程的连接.
n握手超时设置应用于尚未完成与ESXi的端口443的SSL握手进程的连接.
这两种连接超时设置均以毫秒为单位.
空闲连接在超过超时时间之后将断开.
默认情况下,完全建立的SSL连接没有超时限制.
步骤1使用vifs命令获取要编辑的config.
xml文件副本.
对于Linux系统,使用以下命令.
vifs--server--username--get/host/config.
xml/config.
xmlESXi配置指南136VMware,Inc.
对于Windows系统,使用以下命令.
vifs--server--username--get/host/config.
xml\config.
xml2使用文本编辑器打开config.
xml文件.
3输入值,以毫秒为单位.
例如,要将读取超时设置为20秒,请输入以下命令.
200004输入值,以毫秒为单位.
例如,要将握手超时设置为20秒,请输入以下命令.
200005保存更改并关闭文件.
6使用vifs命令将config.
xml文件的副本放到ESXi主机上.
对于Linux系统,使用以下命令.
vifs--server--username--put/config.
xml/host/config.
xml对于Windows系统,使用以下命令.
vifs--server--username--put\config.
xml/host/config.
xml7通过直接控制台使用"重新启动管理代理"操作来使设置生效.
示例13-1.
配置文件文件/etc/vmware/hostd/config.
xml的以下部分显示SSL超时设置的输入位置.
.
.
.
20000.
.
.
.
.
.
20000.
.
.
第13章身份验证和用户管理VMware,Inc.
137修改ESXiWeb代理设置当修改Web代理设置时,需要考虑若干加密和用户安全准则.
注意在更改主机目录或身份验证机制之后,通过直接控制台使用"重新启动管理代理"操作以重新启动vmware-hostd进程.
n不要使用密码短语设置证书.
ESXi不支持密码短语(也称为加密的密钥),如果设置了密码短语,ESXi进程将无法正常启动.
n您可以配置Web代理,以便它在非默认位置中搜索证书.
对于倾向于将其证书集中在单台计算机上以便使多台主机可使用证书的公司而言,此功能相当有用.
小心如果证书不是存储在本地主机上(例如,存储在NFS共享主机上),则在ESXi失去网络连接时主机将无法访问这些证书.
因此,连接到主机的客户端无法成功地参与同主机的安全SSL握手.
n为了支持对用户名、密码和数据包进行加密,将在默认情况下针对vSphereWebServicesSDK连接启用SSL.
如果要配置这些连接以使它们不对传输进行加密,请针对vSphereWebServicesSDK连接禁用SSL,方法是将连接从HTTPS切换至HTTP.
仅当为这些客户端创建了完全可信的环境时才可考虑禁用SSL,在这样的环境中,安装有防火墙,而且与主机之间的传输是完全隔离的.
禁用SSL可提高性能,因为省却了执行加密所需的开销.
n为了防止误用ESXi服务,大多数内部ESXi服务只能通过端口443(用于HTTPS传输的端口)来访问.
端口443用作ESXi的反向代理.
通过HTTP欢迎使用页面可看到ESXi上的服务列表,但如果未经适当授权,则不能直接访问存储适配器服务.
可对此配置进行更改,以便可通过HTTP连接直接访问各个服务.
除非是在完全可信的环境中使用ESXi,否则不要进行此更改.
n在升级vCenterServer时,证书保持在原位.
更改Web代理服务的安全设置可更改此安全配置,以便可通过HTTP连接直接访问各种服务.
步骤1使用vifs命令获取要编辑的proxy.
xml文件副本.
对于Linux系统,使用以下命令.
vifs--server--username--get/host/proxy.
xml/proxy.
xml对于Windows系统,使用以下命令.
vifs--server--username--get/host/proxy.
xml\proxy.
xml小心如果将此文件更改为错误配置,系统可能会进入一种难以管理的状况.
可能需要使用直接控制台执行出厂重置.
2使用文本编辑器打开proxy.
xml文件.
文件内容通常如下所示:6vim.
ProxyService.
EndpointSpec[]ESXi配置指南138VMware,Inc.
vim.
ProxyService.
NamedPipeServiceSpechttpsWithRedirect/var/run/vmware/proxy-webserver/vim.
ProxyService.
NamedPipeServiceSpechttpsWithRedirect/var/run/vmware/proxy-sdk/sdkvim.
ProxyService.
LocalServiceSpechttpsWithRedirect8080/uivim.
ProxyService.
NamedPipeServiceSpechttpsOnly/var/run/vmware/proxy-vpxa/vpxavim.
ProxyService.
NamedPipeServiceSpechttpsWithRedirect/var/run/vmware/proxy-mob/mobvim.
ProxyService.
LocalServiceSpechttpsWithRedirect-->httpAndHttps8889/wsman3根据需要更改安全设置.
例如,您可能要修改与使用HTTPS的服务相对应的条目,以添加HTTP访问选项.
n是服务器IDXML标记的ID编号.
ID编号在HTTP区域中必须是唯一的.
n是正在移动的服务的名称.
n是服务允许的通信形式.
可接受的值包括:nhttpOnly-只能通过纯文本HTTP连接来访问服务.
nhttpsOnly-只能通过HTTPS连接来访问服务.
nhttpsWithRedirect-只能通过HTTPS连接来访问服务.
通过HTTP发出的请求将被重定向到相应的HTTPSURL.
nhttpAndHttps-可通过HTTP和HTTPS两种连接来访问服务.
第13章身份验证和用户管理VMware,Inc.
139n是分配给该服务的端口号.
可以为服务分配其他端口号.
n是提供此服务的服务器的命名空间,例如/sdk或/mob.
4保存更改并关闭文件.
5使用vifs命令将proxy.
xml文件的副本放到ESXi主机上.
对于Linux,使用以下命令.
vifs--server--username--put/proxy.
xml/host/proxy.
xml对于Windows,使用以下命令.
vifs--server--username--put\proxy.
xml/host/proxy.
xml6通过直接控制台使用"重新启动管理代理"操作来使设置生效.
ESXi配置指南140VMware,Inc.
安全部署和建议14一系列ESXi部署方案可帮助您了解如何以最佳方式在自己的部署中使用安全功能.
方案还提出了若干基本的安全建议,供您在创建和配置虚拟机时参考.
本章讨论了以下主题:n第141页,"常见ESXi部署的安全措施"n第143页,"ESXi锁定模式"n第144页,"虚拟机建议"常见ESXi部署的安全措施可以对不同类型的部署的安全措施进行比较,以帮助制定ESXi部署的安全计划.
根据公司规模、数据及资源与外界共享的方式、有多个数据中心还是只有一个数据中心等因素,ESXi部署的复杂度会有极大差异.
以下部署的实质在于用户访问、资源共享及安全级别的策略.
单客户部署在单客户部署中,ESXi主机由单个公司所有,并在单个数据中心内进行维护.
主机资源不与外部用户共享.
主机上运行多台虚拟机,并由一名站点管理员进行维护.
此类单客户部署不允许存在客户管理员,维护众多虚拟机的工作由站点管理员独自负责.
公司配备一组不具有主机帐户的系统管理员,他们无法访问vCenterServer或主机CommandLineShell等任何ESXi工具.
这些系统管理员可以通过虚拟机控制台访问虚拟机,因此可以在虚拟机内部加载软件和执行其他维护任务.
表14-1显示了配置用于主机的组件共享的处理方式.
表14-1.
单客户部署中的组件共享功能配置备注多个虚拟机是否共享同一个物理网络是将这些虚拟机配置在同一个物理网络中.
是否共享VMFS是所有.
vmdk文件均驻留在同一个VMFS分区中.
虚拟机内存是否过量使用是为虚拟机配置的总内存多于总物理内存.
表14-2显示了设置主机用户帐户的方式.
表14-2.
单客户部署中的用户帐户设置用户类别帐户总数站点管理员1客户管理员0VMware,Inc.
141表14-2.
单客户部署中的用户帐户设置(续)用户类别帐户总数系统管理员0商业用户0表14-3显示了每个用户的访问级别.
表14-3.
单客户部署中的用户访问访问级别站点管理员系统管理员是否具有根用户访问权限是否是否创建和修改虚拟机是否是否通过控制台进行虚拟机访问是是多客户限制部署在多客户限制部署中,ESXi主机位于同一个数据中心内,并用于为多名客户提供应用程序.
这些主机由一名站点管理员维护,并运行多台客户专用的虚拟机.
属于不同客户的虚拟机可以位于同一台主机上,但站点管理员会限制资源共享,以避免欺诈性交互.
虽然只有一名站点管理员,但有多名客户管理员维护分配给其客户的虚拟机.
此类部署还包括一些客户系统管理员,他们没有ESXi帐户,但可以通过虚拟机控制台访问虚拟机以加载软件并执行虚拟机内部的其他维护任务.
表14-4显示了配置用于主机的组件共享的处理方式.
表14-4.
多客户限制部署中的组件共享功能配置备注多个虚拟机是否共享同一个物理网络局部将每位客户的虚拟机放置到不同的物理网络中.
所有物理网络均相互独立.
是否共享VMFS否每位客户都有自己的VMFS分区,而且虚拟机的.
vmdk文件以独占方式驻留于该分区.
该分区可跨多个LUN.
虚拟机内存是否过量使用是为虚拟机配置的总内存多于总物理内存.
表14-5显示了设置ESXi主机用户帐户的方式.
表14-5.
多客户限制部署中的用户帐户设置用户类别帐户总数站点管理员1客户管理员10系统管理员0商业用户0表14-6显示了每个用户的访问级别.
表14-6.
多客户限制部署中的用户访问访问级别站点管理员客户管理员系统管理员是否具有根用户访问权限是否否是否创建和修改虚拟机是是否是否通过控制台进行虚拟机访问是是是ESXi配置指南142VMware,Inc.
多客户开放部署在多客户开放部署中,ESXi主机位于同一个数据中心内,并用于为多名客户提供应用程序.
这些主机由一名站点管理员维护,并运行多台客户专用的虚拟机.
属于不同客户的虚拟机可以位于同一台主机上,但资源共享限制可能更少.
多客户开放部署中虽然只有一名站点管理员,但有多名客户管理员维护分配给其客户的虚拟机.
此类部署还包括一些客户系统管理员,他们没有ESXi帐户,但可以通过虚拟机控制台访问虚拟机以加载软件并执行虚拟机内部的其他维护任务.
最后,一组没有帐户的商业用户可以使用虚拟机运行其应用程序.
表14-7显示了配置用于主机的组件共享的处理方式.
表14-7.
多客户开放部署中的组件共享功能配置备注多个虚拟机是否共享同一个物理网络是将这些虚拟机配置在同一个物理网络中.
是否共享VMFS是虚拟机可以共享VMFS分区,并且其虚拟机.
vmdk文件可以驻留在共享分区上.
虚拟机不共享.
vmdk文件.
虚拟机内存是否过量使用是为虚拟机配置的总内存多于总物理内存.
表14-8显示了设置主机用户帐户的方式.
表14-8.
多客户开放部署中的用户帐户设置用户类别帐户总数站点管理员1客户管理员10系统管理员0商业用户0表14-9显示了每个用户的访问级别.
表14-9.
多客户开放部署中的用户访问访问级别站点管理员客户管理员系统管理员商业用户是否具有根用户访问权限是否否否是否创建和修改虚拟机是是否否ESXi锁定模式为了提高ESXi主机的安全性,可以将其置于锁定模式.
锁定模式仅适用于已添加到vCenterServer中的ESXi主机.
启用锁定模式会禁用对ESXi计算机进行的所有直接的根访问.
对主机进行的任何后续本地变更都必须使用具有完全编辑权限的活动目录帐户在vSphereClient会话或vCenterServer的vSphereCLI命令中执行.
另外,还可以使用主机定义的本地用户帐户.
默认情况下,ESXi系统上不存在本地用户帐户.
这样的帐户只能在vSphereClient会话中启用锁定模式之前,直接在ESXi系统上创建.
对主机的更改仅限于在该主机上授予本地用户的特权.
使用"添加主机"向导将ESXi主机添加到vCenterServer时以及在使用vSphereClient管理主机时,或者在使用直接控制台时,可以启用锁定模式.
第14章安全部署和建议VMware,Inc.
143使用vSphereClient启用锁定模式锁定模式会禁用对ESXi主机的所有直接根访问.
还可以通过直接控制台启用或禁用锁定模式.
步骤1使用vSphereClient登录到vCenterServer系统.
2在"清单"面板中选择主机.
3依次单击配置选项卡和安全配置文件.
vSphereClient将显示与相应防火墙端口连接的入站和出站活动列表.
4单击"锁定模式"旁边的编辑链接.
此时将显示"锁定模式"对话框.
5选择启用锁定模式.
6单击确定.
从直接控制台启用锁定模式可以从直接控制台和vSphereClient启用锁定模式.
步骤u切换配置锁定模式设置.
虚拟机建议在评估虚拟机安全性和管理虚拟机时,请考虑以下几个安全预防措施.
安装防病毒软件由于每台虚拟机都承载着标准操作系统,因此应考虑安装防病毒软件,使其免遭病毒感染.
根据虚拟机的使用方式,可能还需要安装软件防火墙.
请错开病毒扫描的调度,尤其是在具有大量虚拟机的部署中.
如果同时扫描所有虚拟机,环境中的系统性能将大幅下降.
因为软件防火墙和防病毒软件需要占用大量虚拟化资源,因此您可以根据虚拟机性能平衡这两个安全措施的需求,尤其是在您确信虚拟机处于充分可信的环境中时.
禁用客户机操作系统和远程控制台之间的复制和粘贴操作可以禁用复制和粘贴操作以防止泄露复制到剪贴板的敏感数据.
在虚拟机上运行VMwareTools时,可以在客户机操作系统和远程控制台之间进行复制和粘贴操作.
控制台窗口获得焦点时,虚拟机中运行的非特权用户和进程均可以访问虚拟机控制台的剪贴板.
如果用户在使用控制台前将敏感信息复制到剪贴板中,就可能在无意中向虚拟机暴露敏感数据.
要避免该问题,可以考虑禁用客户机操作系统的复制和粘贴操作.
步骤1使用vSphereClient登录到vCenterServer系统.
2在摘要选项卡中,单击编辑设置.
3选择选项>高级>常规,然后单击配置参数.
ESXi配置指南144VMware,Inc.
4单击添加行,并在"名称"和"值"列中键入以下值.
名称值isolation.
tools.
copy.
disabletrueisolation.
tools.
paste.
disabletrueisolation.
tools.
setGUIOptions.
enablefalse注意这些选项将替代在客户机操作系统的VMwareTools控制面板中做出的任何设置.
结果显示如下.
名称值字段sched.
mem.
maxunlimitedsched.
swap.
derivedName/vmfs/volumes/e5f9f3d1-ed4d8ba/NewVirtualMachinescsi0:0.
redotruevmware.
tools.
installstatenonevmware.
tools.
lastInstallStatus.
resultunknownisolation.
tools.
copy.
disabletrueisolation.
tools.
paste.
disabletrueisolation.
tools.
setGUIOptions.
enablefalse5单击确定以关闭"配置参数"对话框,然后再次单击确定以关闭"虚拟机属性"对话框.
移除不必要的硬件设备虚拟机上不具有特权的用户和进程可以连接或断开硬件设备(如网络适配器和CD-ROM驱动器).
因此,移除不需要的硬件设备有助于阻止攻击.
攻击者可利用该能力以多种方式破坏虚拟机的安全.
例如,具有虚拟机访问权限的攻击者可以连接已断开的CD-ROM驱动器并访问遗留在驱动器中介质上的敏感信息,或者断开网络适配器以将虚拟机与其网络隔离,从而造成拒绝服务.
作为常规安全预防措施,可以使用vSphereClient配置选项卡上的命令移除所有不需要或无用的硬件设备.
虽然此举可提高虚拟机的安全性,但对于需要稍后恢复当前未使用的设备以提供服务的情况来说,这并非是一个好的解决方案.
阻止虚拟机用户或进程与设备断开连接如果不想永久移除设备,可以阻止虚拟机用户或进程在客户机操作系统中连接设备或与设备断开连接.
步骤1使用vSphereClient登录到vCenterServer系统.
2在"清单"面板中选择虚拟机.
3在摘要选项卡中,单击编辑设置.
4选择选项>常规选项,并记录下虚拟机配置文件文本框中显示的路径.
第14章安全部署和建议VMware,Inc.
1455使用vifs命令从步骤4中记下的位置获取虚拟机配置文件副本.
虚拟机配置文件位于/vmfs/volumes/目录中,其中,是虚拟机文件驻留的存储设备的名称.
例如,如果从"虚拟机属性"对话框获取的虚拟机配置文件为[vol1]vm-finance/vm-finance.
vmx,请使用此命令.
vifs--server--username--get/vmfs/volumes/vol1/vm-finance/vm-finance.
vmx/vm-finance.
vmx6使用文本编辑器将以下行添加到.
vmx文件,其中,是要保护的设备的名称(例如,ethernet1).
.
allowGuestConnectionControl="false"注意默认情况下,以太网0配置为不允许断开设备连接.
除非以前的管理员将.
allowGuestConnectionControl设置为true,否则无需更改该设置.
7保存更改并关闭文件.
8使用vifs,将已修改的文件副本放到步骤4中记下的位置.
vifs--server--username--put/vm-finance.
vmx/vmfs/volumes/vol1/vm-finance/vm-finance.
vmx9在vSphereClient中,右键单击虚拟机,并选择关闭.
10右键单击虚拟机并选择启动.
限制客户机操作系统写入主机内存客户机操作系统进程会通过VMwareTools向ESXi主机发送信息性消息.
如果不限制主机存储这些消息的数据量,则无限的数据流将为攻击者提供发起拒绝服务(DoS)攻击的机会.
客户机操作进程发送的信息性消息称之为setinfo消息,并且通常包含定义虚拟机特性的名称/值对或主机存储的标识符,例如,ipaddress=10.
17.
87.
224.
包含这些名称/值对的配置文件大小限制为1MB,这样可防止攻击者通过编写模仿VMwareTools的软件并使用任意配置数据填写主机内存,从而占用虚拟机所需的空间来发动DoS攻击.
如果名称/值对需要超过1MB的存储空间,则可以根据需要更改值.
另外,还可以阻止客户机操作系统进程将任何名称/值对写入到配置文件.
修改客户机操作系统的可变内存限制如果配置文件中存储的自定义信息较多,可以增加客户机操作系统的可变内存限制.
步骤1使用vSphereClient登录到vCenterServer系统.
2在"清单"面板中选择虚拟机.
3在摘要选项卡中,单击编辑设置.
4选择选项>高级>常规,然后单击配置参数.
ESXi配置指南146VMware,Inc.
5如果不存在大小限制属性,则必须添加它.
a单击添加行.
b在"名称"列中,键入tools.
setInfo.
sizeLimit.
c在"值"列中,键入NumberofBytes.
如果大小限制属性存在,请修改该属性以反映相应的限制.
6单击确定以关闭"配置参数"对话框,然后再次单击确定以关闭"虚拟机属性"对话框.
阻止客户机操作系统进程向主机发送配置消息可以阻止客户机将任何名称/值对写入到配置文件中.
该选择适合必须阻止客户机操作系统修改配置设置的情况.
步骤1使用vSphereClient登录到vCenterServer系统.
2在"清单"面板中选择虚拟机.
3在摘要选项卡中,单击编辑设置.
4选择选项>高级>常规,然后单击配置参数.
5单击添加行,并在"名称"和"值"列中键入以下值.
n在"名称"列中:isolation.
tools.
setinfo.
disablen在"值"列中:true6单击确定以关闭"配置参数"对话框,然后再次单击确定以关闭"虚拟机属性"对话框.
配置客户机操作系统的日志记录级别虚拟机可以将故障排除信息写入存储在VMFS卷上的虚拟机日志文件中.
虚拟机用户和进程可能会有意或无意地误用日志记录,这会导致日志文件中充满大量数据.
随着时间的推移,日志文件会占用大量文件系统空间,从而造成拒绝服务.
为避免该问题,可考虑修改虚拟机客户机操作系统的日志记录设置.
这些设置可以限制日志文件的总大小和数量.
通常,在每次重新引导主机时都会生成一个新的日志文件,因此文件会变的非常大.
通过限制日志文件的最大大小,可以确保更频繁的生成新日志文件.
VMware建议保存10个日志文件,每个文件的大小限制为100KB.
这些值的大小足以让您捕获充分的信息,用以调试可能会出现的大多数问题.
每向日志写入一个条目,都会检查一遍日志的大小.
如果超过了限制,下一个条目将写入新的日志.
如果存在的日志文件数量达到最大,则会删除最早的日志文件.
通过写入超大的日志条目可以尝试发动避免这些限制的DoS攻击,但由于每个日志条目的大小限制在4KB以下,因此,日志文件的大小不会比配置限制大4KB以上.
限制日志文件数目和大小要阻止虚拟机用户和进程淹没日志文件(可能造成服务拒绝),可以限制ESXi生成的日志文件的数量和大小.
步骤1使用vSphereClient登录到vCenterServer系统.
2在摘要选项卡中,单击编辑设置.
3选择选项>常规选项,并记录下虚拟机配置文件文本框中显示的路径.
第14章安全部署和建议VMware,Inc.
1474使用vifs命令从步骤4中记下的位置获取虚拟机配置文件副本.
虚拟机配置文件位于/vmfs/volumes/目录中,其中,是虚拟机文件驻留的存储设备的名称.
例如,如果从"虚拟机属性"对话框获取的虚拟机配置文件为[vol1]vm-finance/vm-finance.
vmx,请使用此命令.
vifs--server--username--get/vmfs/volumes/vol1/vm-finance/vm-finance.
vmx/vm-finance.
vmx5要限制日志大小,请使用文本编辑器添加以下行到.
vmx文件并对其进行编辑,其中,是最大文件大小(单位是字节).
log.
rotateSize=例如,要将大小限制为100KB左右,请输入100000.
6要保留有限数量的日志文件,请使用文本编辑器添加以下行到.
vmx文件并对其进行编辑,其中,是服务器保留的文件数.
log.
keepOld=例如,要保留10个日志文件(达到10个文件后,在创建新文件时删除最早的文件),请输入10.
7保存更改并关闭文件.
8使用vifs,将已修改的文件副本放到步骤4中记下的位置.
vifs--server--username--put/vm-finance.
vmx/vmfs/volumes/vol1/vm-finance/vm-finance.
vmx禁用客户机操作系统的日志记录如果选择不将故障排除信息写入VMFS卷上存储的虚拟机日志文件,则可以同时停止日志记录.
如果禁用客户机操作系统的日志记录,请注意您可能无法收集到充足的日志以进行故障排除.
而且,如果在禁用日志后出现虚拟机问题,VMware不提供技术支持.
步骤1使用vSphereClient登录vCenterServer,然后在清单中选择虚拟机.
2在摘要选项卡中,单击编辑设置.
3单击选项选项卡,并在"高级"下方的选项列表中选择常规.
4在"设置"中,取消选中启用日志记录.
5单击确定,关闭"虚拟机属性"对话框.
ESXi配置指南148VMware,Inc.
主机配置文件VMware,Inc.
149ESXi配置指南150VMware,Inc.
管理主机配置文件15主机配置文件功能可用于创建配置文件,该配置文件会封装并帮助管理主机配置,尤其是在管理员管理vCenterServer中多个主机或群集的环境中.
主机配置文件通过使用主机配置文件策略,来消除每个主机的主机配置、手动主机配置或基于UI的主机配置,并维持数据中心内的配置一致性和正确性.
这些策略捕获已知且经验证的引用主机的配置蓝图,并将其用于在多个主机或群集上配置网络、存储、安全和其他设置.
然后,可以对照配置文件的配置检查主机或群集有无任何偏差.
本章讨论了以下主题:n第151页,"主机配置文件使用情况模型"n第152页,"访问主机配置文件视图"n第152页,"创建主机配置文件"n第153页,"导出主机配置文件"n第153页,"导入主机配置文件"n第153页,"编辑主机配置文件"n第155页,"管理配置文件"n第157页,"检查合规性"主机配置文件使用情况模型本主题描述使用主机配置文件的工作流程.
必须安装了vSphere而且至少有一台正确配置的主机.
1设置并配置将作为引用主机使用的主机.
引用主机是从中创建配置文件的主机.
2使用指定的引用主机创建配置文件.
3使用配置文件连接主机或群集.
VMware,Inc.
1514对照配置文件检查主机的合规性.
这样可以确保主机得以继续正确配置.
5将引用主机的主机配置文件应用到其他主机或主机群集.
注意只有VMwarevSphere4.
0主机支持主机配置文件.
VI3.
5或更低版本的主机不支持此功能.
如果拥有由vCenterServer4.
0管理的VI3.
5或更低版本的主机,那么,在您尝试使用这些主机的主机配置文件时,可能会出现以下情况:n无法创建使用VMwareInfrastructure3.
5或更低版本主机作为引用主机的主机配置文件.
n无法将主机配置文件应用到任何VI3.
5或更低版本主机.
合规性检查失败.
n在可以将主机配置文件连接到包含VI3.
5或更低版本主机的混合群集时,这些主机的合规性检查失败.
作为vSphere的一项许可功能,主机配置文件仅在获得相应的许可时才可用.
如果发现错误,请确保具有针对所拥有主机的相应vSphere授权许可.
访问主机配置文件视图"主机配置文件"主视图列出所有可用的配置文件.
管理员还可以使用"主机配置文件"主视图在主机配置文件上执行操作,并配置这些配置文件.
"主机配置文件"主视图应当由希望执行主机配置文件操作并配置高级选项和策略的有经验的管理员使用.
大多数操作,诸如创建新配置文件、附加实体和应用配置文件等,都可以在"主机和群集"视图中执行.
步骤u选择视图>管理>主机配置文件.
所有的现有配置文件都将在配置文件列表左侧列出.
从配置文件列表中选择配置文件时,该配置文件的详细信息将在右侧显示.
创建主机配置文件通过使用指定引用主机的配置,可创建新的主机配置文件.
主机配置文件可以通过"主机配置文件"主视图或"主机和群集"中主机的上下文菜单进行创建.
从主机配置文件视图创建主机配置文件通过使用现有主机的配置,可以从"主机配置文件"主视图创建主机配置文件.
前提条件必须安装了vSphere,并且清单中至少有一台正确配置的主机.
步骤1在"主机配置文件"主视图中,单击创建配置文件.
此时会出现创建配置文件向导.
2选择与创建新配置文件相对应的选项,然后单击下一步.
3选择要用于创建配置文件的主机,然后单击下一步.
4键入名称,输入新配置文件的描述,然后单击下一步.
5检查新配置文件的摘要信息,然后单击完成以完成配置文件的创建.
新配置文件将出现在配置文件列表中.
ESXi配置指南152VMware,Inc.
从主机创建主机配置文件可以从"主机和群集"清单视图中的主机上下文菜单中创建新的主机配置文件.
前提条件必须安装了vSphere,并且清单中至少有一台正确配置的主机.
步骤1在"主机和群集"视图中,选择要指定为新主机配置文件的引用主机的主机.
2右键单击主机,然后选择主机配置文件>从主机创建配置文件.
即会打开从主机创建配置文件向导.
3键入名称,输入新配置文件的描述,然后单击下一步.
4检查新配置文件的摘要信息,然后单击完成以完成配置文件的创建.
新配置文件将出现在主机的"摘要"选项卡中.
导出主机配置文件可以将配置文件导出到VMware配置文件格式(.
vpf)的文件中.
步骤1在"主机配置文件"主页面中,从配置文件列表中选择要导出的配置文件.
2选择位置,并键入要将配置文件导出到的文件名称.
3单击保存.
导入主机配置文件可以从VMware配置文件格式(.
vpf)的文件中导入配置文件.
步骤1在"主机配置文件"主页面中,单击创建配置文件图标.
此时会出现创建配置文件向导.
2选择与导入配置文件相对应的选项,然后单击下一步.
3输入或浏览要导入的VMware配置文件格式文件,然后单击下一步.
4键入名称,输入已导入配置文件的描述,然后单击下一步.
5检查已导入配置文件的摘要信息,然后单击完成以完成配置文件的导入.
已导入的配置文件将出现在配置文件列表中.
编辑主机配置文件可以查看和编辑主机配置文件策略,选择要进行合规性检查的策略,并更改策略名称或描述.
步骤1在"主机配置文件"主视图中,从配置文件列表中选择要编辑的配置文件.
2单击编辑主机配置文件.
3在配置文件编辑器顶部的字段中更改配置文件名称或描述.
第15章管理主机配置文件VMware,Inc.
1534(可选)编辑或禁用策略.
5启用策略合规性检查.
6单击确定,关闭配置文件编辑器.
编辑策略策略描述应当如何应用特定的配置设置.
使用配置文件编辑器,可以编辑属于特定主机配置文件的策略.
在配置文件编辑器的左侧,可以展开主机配置文件.
每个主机配置文件由多个子配置文件组成,这些子配置文件由功能组指定,用以表示配置实例.
每个子配置文件都包含多个策略,这些策略描述与配置文件相关的配置.
可以配置的子配置文件(以及示例策略和合规性检查)包括:表15-1.
主机配置文件的子配置文件配置子配置文件配置示例策略和合规性检查内存预留将内存预留设置为固定值.
存储器配置NFS存储器.
网络配置虚拟交换机、端口组、物理网卡速度、安全和网卡绑定策略.
日期和时间配置服务器的时间设置和时区.
防火墙启用或禁用规则集.
安全添加用户或用户组.
服务配置服务的设置.
高级修改高级选项.
步骤1打开要编辑的配置文件的配置文件编辑器.
2在配置文件编辑器的左侧,展开子配置文件,直到进入要编辑的策略.
3选择该策略.
在配置文件编辑器的右侧,策略选项和参数显示在配置详细信息选项卡中.
4从下拉菜单中选择策略选项,并设置其参数.
5(可选)如果对策略进行了更改,但希望恢复到默认选项,请单击恢复,选项即会重置.
启用合规性检查可以决定是否对主机配置文件策略进行合规性检查.
步骤1打开某个配置文件的配置文件编辑器,导航到要启用合规性检查的策略.
2在配置文件编辑器的右侧,选择合规情况详细信息选项卡.
3启用与该策略相对应的复选框.
注意如果禁用该复选框,则不会对该策略进行合规性检查,但仍会对启用了合规性检查的其他策略进行检查.
ESXi配置指南154VMware,Inc.
管理配置文件创建主机配置文件之后,便可通过将配置文件附加到特定主机或群集来管理配置文件,然后将该配置文件应用到主机或群集.
连接实体需要配置的主机会连接到配置文件.
配置文件还可以附加到群集.
为确保合规性,所连接群集内的所有主机都必须按照相应的配置文件进行配置.
可以从以下位置将主机或群集连接到配置文件:n"主机配置文件"主视图n主机的上下文菜单n群集的上下文菜单n群集的"配置文件合规性"选项卡从主机配置文件视图连接实体在将配置文件应用到实体(主机或主机的群集)之前,必须将实体附加到配置文件.
可以从"主机配置文件"主视图将主机或群集附加到配置文件.
步骤1在"主机配置文件"主视图中,从配置文件列表中选择要为其添加的配置文件.
2单击附加到主机/群集图标.
3从展开的列表中选择主机或群集,然后单击附加.
此时主机或群集将添加到"已附加实体"列表.
4(可选)单击分离,从主机或群集中移除.
5单击确定关闭该对话框.
从主机连接实体在将配置文件应用到主机之前,必须将实体连接到配置文件.
可以从"主机和群集"清单视图中的主机上下文菜单中将配置文件附加到主机.
步骤1在"主机和群集"视图中,选择要将配置文件附加到的主机.
2右键单击该主机,然后选择主机配置文件>管理配置文件.
注意如果清单中不存在任何主机配置文件,则会出现一个对话框,询问您是否要创建配置文件并将主机连接到该配置文件.
3在更改附加配置文件对话框中,选择要附加到主机的配置文件,然后单击确定.
即会在主机的摘要选项卡中更新主机配置文件.
第15章管理主机配置文件VMware,Inc.
155应用配置文件要将主机置于配置文件中指定的所需状况,请将配置文件应用到主机.
可以从以下位置将配置文件应用到主机:n"主机配置文件"主视图n主机的上下文菜单n群集的"配置文件合规性"选项卡从主机配置文件视图应用配置文件可以从"主机配置文件"主视图将配置文件应用到主机.
前提条件将配置文件应用到主机之前,该主机必须处于维护模式.
步骤1在"主机配置文件"主视图中,选择要应用到主机的配置文件.
2选择主机和群集选项卡.
所连接的主机的列表显示在"实体名称"下.
3单击应用配置文件.
在配置文件编辑器中,系统可能会提示您输入应用配置文件所需的参数.
4输入参数,然后单击下一步.
5继续操作,直到输入完所需的全部参数.
6单击完成.
合规性状态即会进行更新.
从主机应用配置文件可以从主机的上下文菜单中将配置文件应用到主机.
前提条件将主机应用到配置文件之前,该主机必须处于维护模式.
步骤1在"主机和群集"视图中,选择要向其应用配置文件的主机.
2右键单击主机,然后选择主机配置文件>应用配置文件.
3在配置文件编辑器中,输入参数,然后单击下一步.
4继续操作,直到输入完所需的全部参数.
5单击完成.
合规性状态即会进行更新.
更改引用主机引用主机配置用于创建主机配置文件.
可以从"主机配置文件"主视图执行此任务.
ESXi配置指南156VMware,Inc.
前提条件主机配置文件必须已经存在.
步骤1可以从"主机配置文件"主视图或从主机执行此任务.
u在"主机配置文件"主视图中,右键单击要更改其引用主机的配置文件,然后选择更改引用的主机.
u在"主机和群集"视图中,右键单击要更新其引用的主机,然后选择管理配置文件.
即会打开"分离或更改主机配置文件"对话框.
2确定是要从主机或群集分离配置文件,还是更改配置文件的引用主机.
u单击分离可移除主机和配置文件之间的关联.
u单击更改可继续更新配置文件的引用主机.
如果选择的是更改,则将打开更改引用的主机对话框.
配置文件引用的当前主机将显示为引用主机.
3展开清单列表,并选择要将配置文件附加到的主机.
4单击更新.
即会更新引用主机.
5单击确定.
主机配置文件的"摘要"选项卡将列出更新的引用主机.
从群集管理配置文件可以从群集的上下文菜单创建配置文件、附加配置文件或更新引用主机.
步骤u在"主机和群集"视图中,右键单击群集,然后选择主机配置文件>管理配置文件.
根据您的主机配置文件设置,将出现以下情况之一:配置文件状态结果如果群集未连接到主机配置文件且清单中不存在任何配置文件.
a将打开一个对话框,询问是否要创建配置文件并将其附加到群集.
b如果选择是,则将打开"创建配置文件"向导.
如果群集未连接到主机配置文件且清单中存在一个或多个配置文件.
a将打开"附加配置文件"对话框.
b选择要附加到群集的配置文件,然后单击确定如果群集已经连接到主机配置文件.
在此对话框中,单击分离从群集中分离配置文件,或单击更改将其他配置文件附加到群集.
检查合规性检查合规性可确保主机或群集得以继续正确配置.
在为主机或群集配置了引用主机配置文件之后,可能会发生手动更改,导致配置不正确.
定期检查合规性可确保主机或群集得以继续正确配置.
第15章管理主机配置文件VMware,Inc.
157从主机配置文件视图检查合规性可以从"主机配置文件"主视图检查主机或群集是否符合配置文件.
步骤1从"主机配置文件"列表中,选择要检查的配置文件.
2在主机和群集选项卡中,从"实体名称"下的列表中选择主机或群集.
3单击立即检查合规性.
合规性状态将更新为"合规"、"未知"或"不合规".
如果合规性状态是"不合规",则可以将主机应用到配置文件.
从主机检查合规性在将配置文件附加到主机之后,运行合规性检查以检验配置.
步骤1在"主机和群集"视图中,选择要在其上运行合规性检查的主机.
2右键单击主机,然后选择主机配置文件>检查合规性.
主机的合规状态显示在主机的摘要选项卡中.
如果主机不合规,则必须将配置文件应用到该主机.
检查群集合规性可以对照主机配置文件或特定的群集要求和设置来检查群集合规性.
步骤1在"主机和群集"视图中,选择要在其上运行合规性检查的群集.
2在"配置文件合规性"选项卡中,单击立即检查合规性,将针对附加到此群集的主机配置文件和群集要求(如果有)检查群集的合规性.
n系统会检查群集是否符合群集内主机的特定设置(如DRS、HA和DPM).
例如,它可能检查是否启用了VMotion.
群集要求的合规状态将进行更新.
即使主机配置文件未附加到群集,也会执行此检查.
n如果主机配置文件已附加到群集,则将检查群集是否符合主机配置文件.
主机配置文件的合规状态将进行更新.
3(可选)单击"群集要求"旁边的描述可获得特定群集要求的列表.
4(可选)单击"主机配置文件"旁边的描述可获得特定主机配置文件合规性检查的列表.
5(可选)单击更改可更改附加到群集的主机配置文件.
6(可选)单击分离可分离附加到群集的主机配置文件.
如果群集与配置文件不符,则必须将配置文件分别应用到群集内的每台主机.
ESXi配置指南158VMware,Inc.
索引数字802.
1Q和ISL标记攻击124A安全带有VLAN的虚拟机122单台主机中的DMZ114,115对虚拟机的建议144概述111功能111iSCSI存储器127架构111权限131认证116VLAN跳转124VMkernel112vmware-hostd129VMware策略116虚拟化层112虚拟机112虚拟交换机端口125虚拟网络连接层114资源保证和限制112安全部署多客户开放141,143多客户限制142安全策略,dvPort41,42安全建议143B绑定策略dvPort37dvPort组36vSwitch34被动磁盘阵列95被阻止的端口,dvPort45本地SCSI存储器,概述67本机多路径插件89,90CCA签署证书136CDP22超时,SSL136CHAP单向73对于发现目标75对于iSCSI启动器74对于静态目标75禁用76双向73CHAP身份验证73,127CHAP身份验证方法73重新扫描路径发生故障时77,78路径屏蔽77,78LUN创建77,78创建主机配置文件152,153CIM和防火墙端口121磁盘,格式97磁盘格式厚置备96精简置备96NFS79磁盘阵列主动-被动95主动-主动95Cisco发现协议22,25Cisco交换机22从组中移除用户134存储空间96存储器本地56本地SCSI67概述55光纤通道68iSCSI68类型55联网56NFS79SAN68适配器57通过VLAN和虚拟交换机确保安全124未共享97虚拟机访问61已置备97由虚拟机使用97在vSphereClient中查看62置备96存储设备标识符58VMware,Inc.
159查看63路径94名称58为适配器显示64为主机显示64运行时名称58存储适配器查看63复制名称63光纤通道68在vSphereClient中查看62存储阵列类型插件90D待机上行链路34,36,37待机适配器22带宽峰值43平均43带宽峰值43,44代理服务更改138加密135当前的多路径状况94单向CHAP73单一故障点67导出主机用户133主机组133dcui131第2层安全39第三方交换机23第三方软件支持策略116DMZ115DNS45动态发现,配置72动态发现地址72断开连接时配置重置,dvPort组27端口绑定71,91端口名称格式,dvPort组27端口配置21端口组第2层安全40定义13流量调整43使用18端口阻止,dvPort组45多播暴力攻击124多路径插件,路径声明93多路径备用路径94查看当前的状况94活动路径94已断开路径94已禁用路径94多路径策略95多路径状况94dvPort绑定和故障切换策略37被阻止的端口45端口策略45负载平衡37故障恢复37故障切换顺序37流量调整策略44属性27通知交换机37VLAN策略39网络故障切换检测37dvPort组绑定和故障切换策略36断开连接时配置重置27端口名称格式27端口数26端口组类型26端口阻止45负载平衡36故障恢复36故障切换顺序36流量调整策略44描述26名称26实时端口移动27添加26替代设置27通知交换机36网络故障切换检测36虚拟机32在主机上绑定27DVSCisco发现协议25管理员联系信息25IP地址25添加VMkernel网络适配器30最大端口数25最大MTU25dvUplink24F防病毒软件,安装144防火墙端口概述117管理121加密135ESXi配置指南160VMware,Inc.
具有vCenterServer的配置117连接到vCenterServer119连接虚拟机控制台120没有vCenterServer的配置119SDK和虚拟机控制台120使用vSphereClient打开121vSphereClient和vCenterServer117vSphereClient和虚拟机控制台120vSphereClient直接连接119支持的服务121主机到主机121访问存储器61发现地址72动态72静态73分区映射102FTP和防火墙端口121负载平衡34,36,37G隔离VLAN114虚拟机112虚拟交换机114虚拟网络连接层114更改主机代理服务138攻击802.
1Q和ISL标记124多播暴力124跨树124MAC洪水124双重封装124随机帧124光纤通道SAN,WWN57光纤通道56光纤通道存储器,概述68管理访问,TCP和UDP端口121管理员角色132管理员联系信息25挂载VMFS数据存储87"固定"路径策略90,95故障恢复34,36,37故障切换34,89故障切换策略dvPort37dvPort组36vSwitch34故障切换路径,状态94故障切换顺序34,36,37HHTTPSPUT,上载证书和密钥136活动上行链路34,36,37活动适配器22IIDE56Internet协议33IP存储端口组,创建19,30IP地址25,58IPv433IPv633iSCSI安全127保护传输数据128保护端口安全128QLogiciSCSI适配器127软件客户端和防火墙端口121身份验证127iSCSI别名58iSCSI存储器启动器68软件启动68硬件启动68iSCSIHBA,别名70iSCSI名称58iSCSI启动器高级参数76配置CHAP74配置高级参数77设置CHAP参数73硬件69iSCSISAN身份验证,禁用127iSCSI网络,创建VMkernel端口71J加密启用和禁用SSL135用于用户名,密码,数据包135证书135将用户添加到组134剪切和粘贴,为客户机操作系统禁用144兼容模式物理102虚拟102交换机,vNetwork31精简磁盘,创建96静态发现地址72静态发现,配置73禁用对vSphereSDK禁用SSL138iSCSISAN身份验证127可变信息大小146索引VMware,Inc.
161客户机操作系统的日志记录147,148虚拟机的剪切和粘贴144禁用路径96卷再签名87,88角色安全132管理员132和权限132默认132无权访问132只读132巨帧启用48虚拟机47,48K可插入存储架构89客户机操作系统安全建议144禁用剪切和粘贴144禁用日志记录147,148日志记录级别147限制可变的信息大小146客户机操作系统的可变信息大小禁用146限制146块设备102跨树攻击124L流量调整端口组43vSwitch43流量调整策略dvPort44dvPort组44localadmin132路径禁用96首选94路径策略更改默认值95固定90,95MRU95循环90,95最近使用90,95路径管理89路径故障91路径故障重新扫描77,78路径故障切换,基于主机的91路径旁边的*94路径旁边的星号94路径声明93路径选择插件90LUN创建,和重新扫描77,78多路径策略95进行更改和重新扫描77屏蔽更改和重新扫描78设置多路径策略95裸机映射,请参见RDM99路由45MMAC地址配置46生成46MAC地址更改125,126MAC洪水124密钥,上载136默认证书,用CA签署证书替换136MPP,,请参见多路径插件MRU路径策略95MTU48目标57NNAS,挂载52NAT33NetQueue,禁用49NFS,防火墙端口121NFS存储器概述79添加80NFS数据存储,卸载84NIS和防火墙端口121NMP,路径声明93P配置动态发现72静态发现73RDM105SCSI存储器78平均带宽44PSA,,请参见可插入存储架构PSP,,请参见路径选择插件Q权限概述131和特权131root用户131vCenterServer管理员131vpxuser131用户131ESXi配置指南162VMware,Inc.
RRAID设备102RDM创建105动态名称解析103概述99和快照102和VMFS格式102和虚拟磁盘文件105群集105物理兼容模式102虚拟兼容模式102优点100认证,安全116日志记录,为客户机操作系统禁用147,148日志记录级别,客户机操作系统147日志文件限制大小147限制数量147root登录,权限131软件iSCSI和故障切换91网络71诊断分区80软件iSCSI启动器配置70启用71设置发现地址72SSAS56SATA56SDK,防火墙端口和虚拟机控制台120setinfo146上行链路,移除29上行链路分配25上行链路适配器双工21速度21添加22稍后绑定端口组26设备断开连接,阻止145身份验证iSCSI存储器127vSphereClient到ESXi129用户129,130组130身份验证守护进程129生成证书135声明规则93适配器,虚拟31实时端口移动,dvPort组27首选路径94双重封装攻击124双向CHAP73刷新77输出流量调整44数据存储查看属性65重命名83存储器超额订购98分组84管理83管理副本87挂载87路径94NFS59刷新77添加数据区85VMFS59显示64卸载84在NFS卷上配置80在SCSI磁盘上创建78在vSphereClient中查看62增加容量85数据存储副本,挂载87数据区添加到数据存储85增加85输入流量调整44属性,dvPort27SMB和防火墙端口121SNMP和防火墙端口121SPOF67SSH,防火墙端口121SSL超时136加密和证书135启用和禁用135随机帧攻击124锁定模式,启用144TTCP端口121特权和权限131添加dvPort组26NFS存储器80添加VMkernel网络适配器19替代设置,dvPort组27替换,默认证书136通知交换机34,36,37突发大小43,44索引VMware,Inc.
163UUDP端口121USB56VvCenterServer防火墙端口117权限131通过防火墙连接119vCenterServer用户130VLAN安全122,124部署方案141第2层安全124定义13和iSCSI128VLAN跳转124为安全进行配置124专用28VLAN安全124VLAN策略dvPort39dvPort组39VLANID26VLAN类型39VLAN中继26,39VMFS共享141卷再签名87VMFS卷再签名87VMFS数据存储创建60更改签名88更改属性85共享60配置78删除84添加数据区85卸载84再签名副本88增加容量85VMkernel安全112定义13配置19VMkernel适配器31VMkernel网络连接14VMkernel网络适配器,添加19,30VMotion定义13通过VLAN和虚拟交换机确保安全124网络配置19VMotion接口,创建19,30vmware-hostd129VMwareNMPI/O流90另请参见本机多路径插件vmxnet(增强型)47,48vNetwork标准交换机查看14第2层安全40端口配置21流量调整43vNetwork分布式交换机Cisco发现协议25第三方23管理员联系信息25IP地址25将虚拟机迁入或迁出32其他策略45添加VMkernel网络适配器30添加网卡到29添加主机到24VMkernel适配器31新建24最大端口数25最大MTU25vpxuser131vSphereClient安装了vCenterServer的防火墙端口117连接到虚拟机控制台的防火墙端口120用于直接连接的防火墙端口119vSwitch绑定和故障切换策略34查看14第2层安全40定义13端口配置21负载平衡34故障恢复34故障切换顺序34流量调整43使用17通知交换机34网络故障切换检测34W网卡,添加29网卡绑定,定义13网络安全122安全策略41,42网络地址转换33网络故障切换检测34,36,37ESXi配置指南164VMware,Inc.
网络适配器,查看14,25网络最佳做法51委派用户79伪信号41,42,125,126文件系统,升级86物理交换机,故障排除52物理适配器,移除29无权访问角色132WWN57X循环路径策略90"循环"路径策略95虚拟磁盘,格式96虚拟化层,安全112虚拟机安全112安全建议144隔离114,115禁用剪切和粘贴144禁用日志记录147,148迁入或迁出vNetwork分布式交换机32网络32限制可变的信息大小146资源预留和限制112阻止断开设备145虚拟交换机802.
1Q和ISL标记攻击124安全124部署方案141多播暴力攻击124和iSCSI128跨树攻击124MAC地址更改125MAC洪水124双重封装攻击124随机帧攻击124伪信号125杂乱模式125虚拟交换机安全124虚拟交换机端口,安全125虚拟机网络连接14,18虚拟适配器,VMkernel31虚拟网络,安全122虚拟网络连接层和安全114虚拟网络适配器,移除32Y硬件iSCSI,和故障切换91硬件iSCSI启动器安装69查看69更改iSCSI名称70配置69设置发现地址72设置命名参数70硬件设备,移除145用户安全130查看用户列表133从Windows域130从主机移除134从组中移除134导出用户列表133关于133权限和角色130身份验证130添加到主机133添加到组134vCenterServer130在主机上修改133直接访问130用户角色管理员132无权访问132只读132用户权限dcui131vpxuser131元数据,RDM102Z在主机上绑定,dvPort组27在主机上修改组134杂乱模式41,42,125,126早期绑定端口组26诊断分区,配置81证书对vSphereSDK禁用SSL138检查135密钥文件135默认135上载136生成新135SSL135vCenterServer135位置135证书文件135只读角色132直接访问130直接控制台,访问132直通设备,添加到虚拟机50指纹,主机135专用VLAN创建28次专用28索引VMware,Inc.
165移除28主28主动-被动磁盘阵列95主动-主动磁盘阵列95主机部署和安全141内存146添加到vNetwork分布式交换机24添加用户133添加组134指纹135主机到主机的防火墙端口121主机配置文件编辑153编辑策略154创建新配置文件152从主机创建新配置文件153从主机连接实体155从主机配置文件视图创建新配置文件152从主机配置文件视图连接实体155导出153导入153访问152管理配置文件155检查合规性157,158连接实体155启用策略合规性检查154使用情况模型151应用配置文件156主机网络,查看14资源限制和保证,安全112组查看组列表133从主机移除134导出组列表133关于133权限和角色130身份验证130添加到主机134添加用户134在主机上修改134最大端口数25最大MTU25"最近使用"路径策略90,95ESXi配置指南166VMware,Inc.
月付/年付优惠码:zji 下物理服务器/VDS/虚拟主机空间订单八折终身优惠(长期有效)一、ZJI官网点击直达ZJI官方网站二、特惠香港日本服务器香港大埔:http://hkdb.speedtest.zji.net/香港葵湾:http://hkkw.speedtest.zji.net/日本大阪:http://jpsk.speedtest.zji.net/日本大阪一型 ...
Digital-vm是一家成立于2019年的国外主机商,商家提供VPS和独立服务器租用业务,其中VPS基于KVM架构,提供1-10Gbps带宽,数据中心可选包括美国洛杉矶、日本、新加坡、挪威、西班牙、丹麦、荷兰、英国等8个地区机房;除了VPS主机外,商家还提供日本、新加坡独立服务器,同样可选1-10Gbps带宽,最低每月仅80美元起。下面列出两款独立服务器配置信息。配置一 $80/月CPU:E3-...
hypervmart怎么样?hypervmart是一家国外主机商,成立于2011年,提供虚拟主机、VPS等,vps基于Hyper-V 2012 R2,宣称不超售,支持linux和windows,有荷兰和英国2个数据中心,特色是1Gbps带宽、不限流量。现在配置提高,价格不变,性价比提高了很多。(数据中心不太清楚,按以前的记录,应该是欧洲),支持Paypal付款。点击进入:hypervmart官方网...
eisa配置为你推荐
京沪高铁上市首秀我能买京沪高铁股票吗百度关键词工具如何利用百度关键词推荐工具选取关键词百度关键词分析如何正确分析关键词?长尾关键词挖掘工具大家是怎么挖掘长尾关键词的?www.44ri.comwww.yydcsjw.comwww.sesehu.comwww.121gao.com 是谁的网站啊www.zjs.com.cn我的信用卡已经申请成功了,显示正在寄卡,怎么查询寄卡信息?555sss.comms真的是500万像素?www.97yes.comwww.moyigui88.com是不是一个好网站呢www.1diaocha.com哪个网站做调查问卷可以赚钱 啊
域名注册使用godaddy 韩国vps 美国主机推荐 cdn服务器 cpanel gitcafe 阿里云代金券 三拼域名 工作站服务器 河南移动网 如何用qq邮箱发邮件 ca187 空间登录首页 太原联通测速 畅行云 域名转入 apnic tracker服务器 第八届中美互联网论坛 建站论坛 更多