vsphere數據中心網絡規劃實踐

使用vsphere也有幾年時間了，基本保持每年一次大版本升級，從5.0版升級到5.5、6.0，最近開始部署6.5，最頭疼的問題就是網絡規劃，這也是vsphere部署的重點。

從傳統數據中心轉型時，只有4臺HP機架式服務器，壓根沒考慮過網絡規劃的事，跟原來的服務器混用一個vlan，一個C類地址。這也就造成了以后的各種麻煩，隨著服務器的增加，IP不夠用，安全性沒有保障。

雖然數據中心可以正常運轉，但是不合理，趁著規模小，又趕上升級6.5，正好重新規劃一下網絡。

根據最佳實踐做法，Management、vMotion、vSphereFT、iSCSI等的網絡相互隔離，從而提高安全性和性能。同時每個網絡建議配置2塊物理網卡用作冗余和負載均衡，根據最佳實踐可能至少需要6塊網卡，多則十幾塊網卡，這對標配4塊網卡的機架式服務器是不現實的。

我的標準配置是4塊網卡，vMotion、Management和vSphereFT網絡共用2塊網卡，生產網絡用2塊網卡。vSwitch使用access端口，vSphere Distributed Switch使用trunk模式。

vlan20 172.20.20.1/24 HP oa、vc、ilo、FC SAN存儲等硬件管理地址

vlan21 172.20.21.1/24 vcenter、vsphere、vcops、vdp等VMware地址

     172.20.0.1/24 vmotion地址

     172.20.1.1/24 vSphere FT地址

vlan100 x.x.x.x/24 對外web服務地址

vlan200 x.x.x.x/24 對內業務運維平臺地址

vMotion和vSphereFT走二層即可，無需配置路由，在vsphere6.5版本中可為vMotion配置獨立的TCP/IP堆棧。

在vMotion網絡配置上犯過一個錯誤，以前都為vMotion網絡配置獨立的VMkernel，升級到6.0的時候發現做到Management里也沒問題，就不再為vMotion配置獨立地址，在雙物理網卡的情況下一般是不會出現問題的，但是當一塊物理網卡出現故障時做vMotion操作就會導致單播泛洪。

安全策略:

1. 通過三層交換的acl或端口隔離阻止互相訪問

2. 防火墻上的策略只允許管理員訪問管理地址

最佳實踐網絡拓撲圖如下，建議上行端口分布到兩臺交換機上實現冗余。