VMware ESXi のネットワーク

VMware ESXi のネットワーク(vSwitch)

はじめに

バディットコンサルティングのITエンジニア wahooです。
今日は、VMware ESXi 上でVM間のネットワークを構築する際、必要になる設定について、書いていきます。

仮想ネットワーク

VM間を接続する場合、必ず間にvSwitchという仮想L2スイッチを介して、接続することになります。
このvSwitchとVMの間には、Port Groupが必要になり、このPort GroupにVMのインターフェイスが登録されて、vSwitchと接続されます。

vSwitch

vSwitchには、次に説明する3つのモードがあります。

EST(External Switch Tagging Mode)

VM(仮想マシン)と通信する他の機器(仮想含む)の間に存在するvSwitch(仮想L2スイッチ)は、VLANの処理は、行わず、単一のセグメントのL2通信となります。
vSwitchをESTモードにするには、VLAN IDに、0を設定します。こうすることで、ESTモードとなります。

VST(Virtual Switch Tagging Mode)

VM(仮想マシン)と通信する他の機器(仮想含む)の間に存在するvSwitch(仮想L2スイッチ)でVLANタグの付け外しを行います。よって、接続しているVMや機器側は、untagインターフェイスとなります。この時、vSwitch側は、指定されたVLAN IDを付与して、vSwitch内は、タグVLANになります。
vSwitchをVSTモードにするには、VLAN IDに、VLAN番号(1~4094)を設定します。こうすることで、VSTモードとなります。

VGT(Virtual Guest Tagging Mode)

VM(仮想マシン)と通信する他の機器(仮想含む)の間に存在するvSwitch(仮想L2スイッチ)では、VLANタグの操作は行いません。よって、接続しているVMや機器側でVLANタグの処理を行います。要するに、仮想L2スイッチをトランクモードで動作させることになります。
vSwitchをVGTモードにするには、VLAN IDに、4095を設定します。こうすることで、VGTモード(トランクモード)となります。

セキュリティポリシー

vSwitchにて設定できるセキュリティポリシーには、次の3つがあります。
VMのインターフェイスが登録されるPort Groupにも同様に、3つのセキュリティポリシーがあります。デフォルトの設定では、vSwitchのセキュリティポリシーを継承する設定になっています。

無差別モード(Promisecuoes Mode)

自分宛ではないデータパケット全てを処理対象としたい場合、許可に設定します。要するに、仮想NICに割り当てられたMACアドレス以外のデータパケットを受信したい場合です。
例えば、パケットモニタを動作させる場合や、冗長構成のVM間で、仮想IPアドレス・仮想MACアドレスを持つ場合などに、必要となります。しかし、自分宛以外のデータパケットを受信する必要がないVMに対しては、セキュリティ上、拒否しておいた方が安全です。

許可が必要になる場合の例

  • パケットキャプチャ(tcpdump等)
  • VRRP

偽装転送

仮想NICに割り当てられたMACアドレス以外のMACアドレスへのなりすまししたい場合に、許可に設定します。この設定は、送信側の設定になります。

許可が必要になる場合の例

  • VRRP

MAC変更

仮想NICとして割り当てられたMACアドレスと異なるMACアドレスとして動作させたい場合に、許可に設定します。この設定は、受信側の設定になります。

許可が必要になる場合の例

  • iSCSIイニシエータ
  • Microsoft Network Load Balancing

外部接続

vSwitchへ物理アダプタを接続します。実際の操作としては、アップリンクの追加を行います。
外部スイッチへの接続をする場合は、複数の物理アダプタを接続して、NICチーミングの設定をすることで、冗長化をすることになります。

まとめ

ESXi上にVMを作成しただけでは、ネットワークを介した通信ができません。外部ネットワークとの接続だけでなく、ESXi内の通信においても、必要な設定になります。
vSwitchトポロジを見れば、仮想接続されているイメージが、分かりやすいと思います。
設定自体は、多くなく、vSwitchのモードとセキュリティポリシーを理解することで、最低限の通信ができるようになるので、皆さん、トライしてみましょう!

では、また次回!!

タイトルとURLをコピーしました