在配置网络时,请考虑这些最佳做法。

  • 为了确保 vCenter ServerESXi 以及其他产品和服务之间连接稳定,请不要在产品之间设置连接限制和超时。设置限制和超时可影响数据包流量,导致服务中断。

  • 与用于主机管理、vSphere vMotion、vSphere FT 等的网络相互隔离,从而提高安全性和性能。

  • 将单独的物理网卡专用于一组虚拟机,或使用 Network I/O Control 和流量调整以确保虚拟机的带宽。这种分离方法还可以使总网络工作负载的一部分分布到多个 CPU 上。例如,隔离的虚拟机可更好地处理应用程序流量(例如来自 Web Client 的流量)。

  • 要以物理方式分离网络服务并且专门将一组特定的网卡用于特定的网络服务,请为每种服务创建 vSphere 标准交换机或 vSphere Distributed Switch。如果此操作无法实现,可以通过将网络服务附加到具有不同 VLAN ID 的端口组,以便在一个交换机上将它们分离开。在这两种情况下,都与网络管理员确认所选的网络或 VLAN 是否与环境中的其他部分隔离,即没有与其相连的路由器。

  • 在单独的网络上保持 vSphere vMotion 连接。在进行 vMotion 迁移时,客户机操作系统内存的内容将通过该网络传输。通过使用 VLAN 对单个物理网络分段,或者使用单独的物理网络(后者为首选),可以实现这一点。

    为进行跨 IP 子网的迁移和使用单独的缓冲区和插槽池,请将 vMotion 的流量放置在 vMotion TCP/IP 堆栈上,将已关闭电源虚拟机和克隆的迁移的流量放置在置备 TCP/IP 堆栈上。请参见VMkernel 网络层

  • 可以在不影响虚拟机或在交换机后端运行的网络服务的前提下,向标准或 Distributed Switch 添加或从中移除网络适配器。如果移除所有正在运行的硬件,虚拟机仍可互相通信。如果保留一个网络适配器原封不动,则所有的虚拟机仍然可以与物理网络相连。

  • 为了保护大部分敏感的虚拟机,请在虚拟机中部署防火墙,以便在带有上行链路(连接物理网络)的虚拟网络和无上行链路的纯虚拟网络之间路由。

  • 为获得最佳性能,请使用 VMXNET 3 虚拟机网卡。

  • 连接到同一 vSphere 标准交换机或 vSphere Distributed Switch 的物理网络适配器还应该连接到同一物理网络。

  • 在 vSphere Distributed Switch 中配置所有 VMkernel 网络适配器的相同 MTU。如果多个 VMkernel 网络适配器连接到 vSphere Distributed Switch 但配置了不同的 MTU,您可能会遇到网络连接问题。