ESX server Private VLANs

Ik zou denken aan een multi netwerkkaart met ondersteuning in de driver voor Vlans. Zoals Intel ze tegenwoordig al een tijdje heeft. Je bepaalt dan op de netwerkkaart tot welke VLAN hij behoort.

Je kunt eenvoudig via de VMware infrastructure client vlan's aanmaken.

Via Inventory -> selecteer je server -> Configuation -> Networking -> Properties -> Add -> Virtual Machine. Hier kun je vervolgens een VLAN-ID opgeven.

Deze kun je meteen aan aan fisieke adapter hangen (als dat al niet zo is), en zo op je switch 'naar buiten' meenemen.

Dus als ik het goed begrijp, heb je je publieke ip in vlan1 zitten, en wil je alle servers in vlan 2 hebben, met een NAT-device ertussen?

Dan kun je alsnog een nieuwe 'Virtual Machine Network' aanmaken, die vlan 2 geven, en daar alle servers inhangen. Je NAT-ding krijgt vervolgens 2 netwerkkaarten met je public vlan1 en je private vlan2.

SlinkingAnt schreef op maandag 22 september 2008 @ 12:56:
Dus als ik het goed begrijp, heb je je publieke ip in vlan1 zitten, en wil je alle servers in vlan 2 hebben, met een NAT-device ertussen?

Dan kun je alsnog een nieuwe 'Virtual Machine Network' aanmaken, die vlan 2 geven, en daar alle servers inhangen. Je NAT-ding krijgt vervolgens 2 netwerkkaarten met je public vlan1 en je private vlan2.

Nee, Private VLANs is een feature waarbij je in 1 LAN zit maar niet onderling kan communiceren. Hier komt geen NAT oid aan te pas.

Zover ik weet zit hier geen ondersteuning in VMWare voor. De ondersteuning van de Nexus komt zover ik weet ook pas in versie 4 van VMWare ESX.

Je kan toch een "Virtual Switch" aanmaken voor je LAN, en dan 2 virtual nic's in de virtualized servers plaatsen. Je kan dan ook een (echte) interface aan een virtual switch hangen, waardoor je vanuit de VMWare doos ook meerdere uplinks hebt naar verschillende netwerken.

Op mijn werk heb ik 4 IF's in de colocatie VMWare server zitten, 2 (asap 3) voor internet, 1 voor backup (NAS).
^{In mijn geval vind ik 100mbit per IP subnet wel leuk/lekker.}

Het concept private vlans is hier gewoon niet bekend denk ik. Met private vlans is het mogelijk om bepaalde poorten (isolated) enkel te laten communiceren met een bepaalde poort (promiscious). Op deze promicious poort is dan de default gateway geconnect. Op cisco switches kan dit inderdaad heel handig zijn als je meerdere servers hebt waarvan je niet wil dat die met elkaar kunnen communiceren en enkel via de default gateway naar buiten kunnen.

Verwijderd schreef op donderdag 25 september 2008 @ 16:10:
Helaas ben ik er niet in geslaagd een juiste oplossing te vinden.

Voorlopig gaan we het maar zo oplossen:
Iedere server in een eigen VLAN, gekoppeld aan een range private IP-adressen. Middels static NAT deze adressen maar omzetten.

In een private vlan kun je alleen vanaf je access port op L2 communiceren met één bepaalde andere port (waar normaal gezien je gateway aan hangt). In dit geval zitten meerdere poorten in hetzelfde VLAN, maar L2 communicatie kan gewoon niet.

Nadeel van ESX is dat de vswitch een unmanaged device is en private vlan's configureren op die vswitch is dus ook niet mogelijk. Bij esx 4.0 zal het waarschijnlijk mogelijk worden om een cisco nexus 1000v switch te gebruiken, die is uiteraard wel managable en dan zijn dergelijke opties wel mogelijk in esx

In de laatste communities podcast van VMware hebben ze het even over PVLANs, dus ik zou zeggen luister daar zelfs eens naar.

Wij zitten met hetzelfde probleem. We hadden een paar oplossingen:
- de quick and dirty: alle servers in een eigen vlan zetten, een trunk vanuit de VMWare server naar de switch. Dan op de switch allemaal access-poorten maken: voor elk vlan 1, en die dan patchen naar poorten die in een private vlan zitten. Soort de-multiplexing van de trunk over access-poorten. Inderdaad: de dirty oplossing, en kost je bakken vol poorten.
- het schijnt ook te kunnen met een MPLS terminatie interface, waarbij je de trunk uit de VMWare termineert op zo'n interface. QinQ of EoMPLS zijn keywords, zie ook zie http://www-hk.huawei.com/products/datacomm/pdf/view.do?f=556 (dit is een PDF file, save as pdf). Helaas ondersteunt IOS dat op dit moment nog niet op de 6500 Zou wel in de volgende release moeten zitten). Huawei schijnt dit al wel te kunnen, zoals je ziet in de PDF van Huawei
- of, en dat wil je inderdaad niet: een hele lading vlan interfaces aanmaken op je firewall. En daar heb je natuurlijk geen trek in
- of eventueel Nexus 1000V, maar daar moeten we budgettair nog eens naar kijken:)

M.a.w: wij zijn er ook nog niet uit.