vSphere VMware 流量管理 頻寬管理 虛擬化 vDS QoS 網路

用Traffic Shaping機制 即時管理VM網路流量

2016-06-08
本文將示範如何在VMware vSphere平台上,透過Traffic Shaping方式達到管理VM虛擬主機的網路流量,避免單一台VM虛擬主機遭受網路攻擊或感染惡意程式,導致網路流量過大而影響VMware vSphere平台上其他正常的VM虛擬主機網路服務。
管理VMware虛擬化平台的人都知道,在一個資源共享的情況之下,假設資源不虞匱乏,不論VM虛擬主機怎麼用都沒關係,那真的是理想的大同世界。

但現實往往是殘酷的,就是因為資源有限,所以管理者必須大傷腦筋,如何讓資源不論是在運算能力、儲存容量與網路頻寬上可以有效且充分地利用,相關的管理機制也才因此應運而生。

什麼是Traffic Shaping

在開始之前,先來談一下Traffic Shaping是何方神聖?不要想得太難,基本上就是管理電腦網路流量的一種技術,它具有兩種目的,一是將網路最佳化,改善封包的延遲率;其次是確保網路可用頻寬(無論是增加或減少),以維持網路的品質。

說到Traffic Shaping,不免都會提到P2P的例子。在以往家用網路頻寬還不是那麼足夠的時候,使用P2P軟體常常都會碰到一種窘境,就是「上傳頻寬被吃死導致無法下載」的情況。那是因為在TCP交握式封包的原始設計中,對方若遲遲無法收到ACK封包,就會停止後續封包的傳送。

而利用Traffic Shaping做最佳化的時候就可以避免掉這種尷尬,它可以讓ACK封包「預先埋伏」在上傳封包的隊列之中,使得對方可以在無須等待ACK封包的情形之下,順利地將封包持續傳送出去。接下來,要進入本文的主題,也就是Traffic Shaping的第二種目的——確保網路可用 頻寬。

有關VMware vSphere平台的網路管理一直是一個課題,除了VMware本身,其他有關網路管理的軟硬體廠商也提供了相當多的技術,讓IT人員有多樣化的選擇,當然大多所費不貲。

VMware也於2013年提出了VMware vSphere平台的網路解決方案NSX,無疑是增加了更多的彈性。但礙於版權要另外購買,或者是新技術的推出,大多數人採取的是先觀望的態度,目前實際運用的例子尚屬不多。

其實,VMware vSphere平台上就有可以達到一般網路管理的機制可供利用,以下就模擬一台VM虛擬主機受到惡意軟體感染,不斷對外送出大量封包為例,實際來看看如何利用Traffic Shaping技術,限制該台受感染的VM虛擬主機對外流量,使其不影響其他在VMware vSphere平台上的VM虛擬主機。

Traffic Shaping在vDS上的應用

根據VMware的官方文件說法,在標準的虛擬交換器(vNetwork Standard Switch,vSS)上,Traffic Shaping只能用來管理Outbound(進入VM虛擬主機)的流量,而在分佈式交換器(vNetwork Distributed Switch,vDS)上,不論是Outbound或Inbound,都可以藉由Traffic Shaping來做為流量的管理(圖1)。


▲圖1 相對應的位置關係。

這裡要先釐清一個觀念,所謂Outbound或Inbound都是以站在虛擬交換器(不論是vSS或vDS)的角色上來看的,這跟平常慣以VM虛擬主機為主的方向剛好相反。換句話說,若要限制的是VM虛擬主機的上傳頻寬,則要調整的方向就是Inbound(之後的設定名稱為ingress)的數值,千萬不要搞混了。

由於VMware一直鼓勵使用者改用Web的方式進行管理,如圖2所示,所以本文也從善如流,將全程以vSphere Web Client來做示範。慣用傳統vSphere C# Client的使用者也不必擔心,所有操作其實大同小異。


▲圖2 使用Web Client登入vCenter管理畫面。

假設流量異常的那台VM虛擬主機名稱為「VM-A」,依圖3所示,網路是接在vDS名稱為「CPS-VDS」上的「Segmt100」這個Port Group下。


▲圖3 VM-A硬體配置。


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!