注册
登录控制台
ESXi的虚拟化网络是整个虚拟化基础设施的核心组件,合理的网络规划直接影响虚拟机的网络性能、安全性和可管理性。ESXi通过虚拟交换机(vSwitch)实现虚拟机的网络连接,支持标准交换机(vSS)和分布式交换机(vDS)两种模式。本文以ESXi 8.0U2为例,详细介绍ESXi网络的配置和管理。
▶一、ESXi虚拟网络架构
ESXi虚拟网络的基础组件包括:物理网卡(vmnic)提供底层物理连接、虚拟交换机(vSwitch/VDS)实现二层转发、端口组(Port Group)定义网络策略、VMKernel适配器提供管理面和vMotion连接。理解各组件的关系是配置复杂网络的前提。
▶二、创建标准虚拟交换机
# 通过esxcli命令创建标准交换机
esxcli network vswitch standard add --vswitch-name=vSwitch1
# 添加上行链路(物理网卡)
esxcli network vswitch standard uplink add --vswitch-name=vSwitch1 --uplink-name=vmnic1
# 创建端口组
esxcli network vswitch standard portgroup add --portgroup-name="VM Network" --vswitch-name=vSwitch0
# 设置端口组VLAN
esxcli network vswitch standard portgroup set --portgroup-name="VM Network" --vlan-id=100
# 查看交换机状态
esxcli network vswitch standard list
esxcli network ip connection list▶三、VMKernel网络配置
# 创建VMKernel网卡用于管理
esxcli network ip interface add --interface-name=vmk1 --portgroup-name="Management"
# 配置VMKernel IP地址
esxcli network ip interface ipv4 set --interface-name=vmk1 --ipv4=192.168.1.100 --netmask=255.255.255.0 --type=static
# 设置VMKernel网关
esxcli network ip route ipv4 add --gateway=192.168.1.1 --network=default
# 创建vMotion专用VMKernel
esxcli network vswitch standard portgroup add --portgroup-name="vMotion" --vswitch-name=vSwitch0
esxcli network ip interface add --interface-name=vmk2 --portgroup-name="vMotion"▶四、网卡绑定与负载均衡
ESXi支持多种网卡绑定策略:基于源端口ID的负载均衡(默认)、基于IP哈希的路由(需要交换机支持)、基于源MAC哈希和基于物理网卡负载的明确故障切换顺序。推荐使用基于IP哈希的负载均衡,配合交换机端链路聚合(LACP)实现带宽叠加和链路冗余。
▶五、分布式交换机配置
分布式交换机(vDS)跨多个ESXi主机提供一致的网络配置。与标准交换机不同,vDS的配置在vCenter Server级别管理。创建vDS时需要先添加上行链路,然后在每个ESXi主机上添加vmnic到上行链路。分布式端口组支持更丰富的网络策略,包括NetFlow、端口镜像和私有VLAN。
▶六、安全策略配置
# 通过esxcli设置端口组安全策略
esxcli network vswitch standard portgroup set --portgroup-name="DMZ Network" --forged-transmits=reject --mac-changes=reject --promiscuous-mode=reject
# 设置流量整形
esxcli network vswitch standard portgroup set --portgroup-name="VM Network" --shaping-enabled=true --shaping-average-bandwidth=104857600 --shaping-burst-size=104857600
# 端口安全配置建议
# 物理网络安全: 开启MAC地址变动拒绝
# 防止IP欺骗: 开启伪造传输拒绝
# 混杂模式: 仅在需要抓包时临时开启▶七、VLAN与网络隔离
ESXi支持三种VLAN模式:外部VLAN交换(VLAN标签在物理交换机上处理)、虚拟交换机VLAN(ESXi负责打标签)、私有VLAN(PVLAN)实现端口级隔离。对于多租户环境,推荐使用虚拟交换机VLAN模式,每个租户的虚拟机分配到不同VLAN端口组中。
▶八、网络IO控制
ESXi网络IO控制(NIOC)允许对不同类型的网络流量设置带宽预留和限制,支持管理流量、vMotion、IP存储和虚拟机流量。通过配置流量分片(Shares)、预留(Reservation)和限制(Limit),确保关键业务流量在网络拥塞时获得保障带宽。
▶九、网络监控与排障
# ESXi网络监控命令
# 查看端口状态
esxcli network nic list
esxcli network nic stats get
# 查看网络性能
esxtop (按n键查看网络视图)
# 抓包分析
pktcap-uw --portgroup "VM Network" -o /tmp/capture.pcap
# 查看交换机和端口组状态
esxcli network vswitch standard list
net-stats -l▶十、最佳实践与性能优化
网络性能关键优化点:使用ixgbe等原生驱动的高性能网卡(推荐10Gbps以上)、分离管理流量和业务流量到不同物理网卡、启用TSO/GRO/LRO硬件卸载、关闭交换机的EEE节能以太网、vMotion配备专用上行链路、NFS/iSCSI存储流量使用独立vSwitch和vmnic。
▶十一、ESXi网络存储最佳实践
ESXi主机连接共享存储(SAN/NAS)时,存储网络配置直接影响虚拟机性能和可靠性。iSCSI存储建议使用独立vSwitch和专用物理网卡,启用巨帧(MTU 9000)减少CPU开销。NFS存储同样推荐专用网络,配置多个NFS挂载点实现负载均衡。配合存储多路径策略(Round Robin或Fixed),确保单路径故障不影响存储访问。
▶十二、ESXi网络安全基线配置
ESXi主机自身安全不容忽视:禁用不必要的服务(SSH仅在维护时开启);限制对ESXi管理端口的IP访问源;配置锁定模式要求所有管理操作通过vCenter进行;启用ESXi主机防火墙的严格规则;定期更新ESXi补丁修复已知漏洞。建议使用vSphere Security Hardening Guide作为安全基线参考。
