Sous VMware vSphere, vous avez la possibilité de créer des commutateurs virtuels standards (vSS), ainsi que des commutateurs virtuels distribués (vDS).
Dans cet article, vous verrez les avantages, les différences et le principe de fonctionnement de ces commutateurs virtuels distribués (vDS).

Attention : l'utilisation de commutateurs virtuels distribués (vDS) requiert une édition "Enterprise Plus" de VMware vSphere.

1. Commutateurs virtuels standard (vSS)
2. Commutateurs virtuels distribués (vDS)
   1. Architecture d'un commutateur virtuel distribué (vDS)
   2. Groupes de ports de liaisons montantes (cartes réseau physiques)
   3. Groupe de ports distribués (réseaux virtuels pour les VMs)
   4. Gestion du trafic réseau sur un commutateur virtuel distribué (vDS)
3. Comparaison des fonctionnalités des commutateurs virtuels standards (vSS) et distribués (vDS)
   1. Fonctionnalités communes aux commutateurs virtuels standards (vSS) et distribués (vDS)
   2. Fonctionnalités supplémentaires des commutateurs virtuels distribués (vDS)

1. Commutateurs virtuels standard (vSS)

Lorsque vous installez votre 1er hyperviseur sous VMware ESXi, un commutateur virtuel standard (vSS) est créé par défaut sur celui-ci.
Celui-ci permet, en résumé, de faire la liaison entre le réseau virtuel et le réseau physique, comme expliqué précédemment dans notre article : VMware ESXi 6.7 - Bases de la gestion du réseau sous VMware ESXi.

Lorsque vous utilisez l'interface web de votre hyperviseur VMware ESXi, c'est le seul type de commutateur virtuel que vous pouvez créer.

Néanmoins, comme vous vous en doutez, lorsque vous utilisez des commutateurs virtuels standards (vSS), vous devez créer et configurer ceux-ci sur chaque hyperviseur VMware ESXi.
Ce qui peut vite devenir ingérable voire source d'erreur si vous souhaitez créer une infrastructure virtuelle VMware avec de nombreux hyperviseurs sous VMware ESXi.
En effet, si vous devez un jour modifier un paramètre sur un des commutateurs virtuels standard (vSS) et que vous oubliez de faire cette même modification sur l'autre commutateur virtuel standard (vSS), un problème risque de survenir un jour lorsqu'une machine virtuelle sera migrée d'un hôte VMware ESXi à un autre.

2. Commutateurs virtuels distribués (vDS)

Grâce à l'édition "Enterprise Plus" de VMware vSphere, vous avez aussi la possibilité de créer des commutateurs virtuels distribués (vDS) depuis le serveur VMware vCenter Server (VCSA) que vous aurez installé et configuré au préalable.
En effet, dans une infrastructure virtuelle VMware professionnelle, vous ne gérez plus vos hôtes VMware ESXi un par un. Mais plutôt de façon centralisée depuis le VMware vSphere Client de votre serveur VMware vCenter Server (VCSA) auquel sont liés vos hôtes VMware ESXi.

Le principal avantage d'un commutateur virtuel distribué (vSphere Distributed Switch / vDS) est qu'il vous permet de centraliser la gestion de votre commutateur virtuel, ainsi que de ses groupes de ports distribués.
Lorsque vous créez un commutateur virtuel distribué (vDS) depuis votre serveur VMware vCenter Server (VCSA), vous avez aussi la possibilité de surveiller et contrôler si la configuration est correcte pour tous les hôtes VMware ESXi que vous ajouterez à ce commutateur virtuel distribué (vDS).

Limites :

• chaque serveur VMware vCenter Server peut supporter jusqu'à 128 commutateurs virtuels distribués (vDS).
• chaque commutateur virtuel distribué (vDS) peut supporter jusqu'à 500 hôtes.

2.1. Architecture d'un commutateur virtuel distribué (vDS)

Comme vous pouvez le voir sur le schéma ci-dessous (créé par VMware), un commutateur virtuel est composé de 2 sections logiques :

• un plan de gestion : structure de contrôle utiliser pour configurer le plan de données correspondant.
• un plan de données : ceci correspond au "Commutateur de proxy hôte" qui implémente les fonctionnalités de commutation, de balisage et de filtrage des paquets, ... sur les hôtes VMware ESXi que vous ajouterez à votre commutateur virtuel distribué (vDS).

Peu importe le type de commutateur virtuel que vous créez, celui-ci possède toujours les 2 plans cités précédemment.

Dans le cas d'un commutateur virtuel standard (vSS), ces 2 plans se situent au même endroit (sur votre hyperviseur VMware ESXi).
Vous pouvez donc créer et configurer ce type de commutateur sur chaque hyperviseur VMware ESXi où vous souhaitez l'utiliser.
Ce qui signifie que chaque commutateur virtuel standard (vSS) est indépendant et qu'ils doivent être configurés et mis à jour séparément.

Dans le cas d'un commutateur virtuel distribué (vDS), vous pouvez voir que le plan de gestion se trouve sur votre serveur VMware vCenter Server (VCSA) étant donné que c'est sur ce serveur central que vous allez configurer votre commutateur virtuel distribué (vDS).
Le plan de données associé (qui correspond au "Commutateur de proxy hôte") sera créé sur chaque hôte VMware ESXi ajouté à votre commutateur virtuel distribué. Ensuite, le commutateur de proxy hôte de chaque hôte VMware ESXi sera mis à jour automatiquement depuis le commutateur virtuel distribué (vDS) configuré sur votre serveur VMware vCenter Server (VCSA).

Notez qu'étant donné que le plan de données est défini au niveau de chaque hôte VMware ESXi et qu'il est simplement mis à jour automatiquement depuis le plan de gestion configuré sur le serveur VMware vCenter Server (VCSA), une indisponibilité ou une panne du serveur VMware vCenter Server (VCSA) ne posera aucun problème pour le fonctionnement correct du réseau sur vos hôtes VMware ESXi.

2.2. Groupes de ports de liaisons montantes (cartes réseau physiques)

Les commutateurs virtuels distribués (vDS) possèdent une couche d'abstraction permettant de configurer la mise en réseau correct de plusieurs hôtes en prenant en compte toutes leurs cartes réseau physiques, leurs machines virtuelles et leurs adaptateurs VMkernel (interfaces VMkernel).

Lorsque vous utilisiez des commutateurs virtuels standards (vSS) sur un hôte VMware ESXi, vous deviez lui assigner des cartes réseau physiques (vmnicX) de l'hôte VMware ESXi concerné pour l'accès au réseau physique.

A partir du moment où vous utilisez un commutateur virtuel distribué (vDS), un commutateur de proxy hôte est créé sur chaque hôte VMware ESXi souhaité (comme expliqué précédemment).
Ce qui implique l'utilisation de groupes de ports de liaison montante (ou "groupes de ports dvUplink") qui permet de grouper les cartes réseau physiques souhaitées des différents hôtes qui sont connectées au même réseau physique.
Par défaut, lors de la création d'un commutateur virtuel distribué (vDS), un groupe de ports de liaison montante est déjà créé.

Dans le cas d'un commutateur virtuel distribué (vDS), une liaison montante est un modèle que vous utiliserez pour mapper les cartes réseau physiques des autres hôtes VMware ESXi qui sont connectées au même réseau physique.
Ainsi, la migration d'une machine virtuelle d'un hôte VMware ESXi à un autre possédant le même commutateur virtuel distribué (vDS) ne posera aucun problème réseau étant donné que la machine virtuelle aura toujours accès au même réseau physique via une carte réseau physique de l'hôte de destination.

Grâce à ces groupes de ports de liaisons montantes, les stratégies d'équilibrage de charge (NIC teaming) et de basculement que vous définirez pour vos liaisons montantes pourront être appliquées automatiquement sur les cartes réseau physiques (vmnicX) des commutateurs de proxy hôte présent sur vos différents hôtes VMware ESXi.

2.3. Groupe de ports distribués (réseaux virtuels pour les VMs)

Comme sur les commutateurs virtuels standards (vSS), vous retrouverez la notion de groupe de ports sur votre commutateur virtuel distribué (vDS).
Bien que ceux-ci s'appellent maintenant des groupes de ports distribués étant donné que vous les créez une seule fois sur votre commutateur virtuel distribué (vDS) sur votre serveur VMware vCenter Server (VCSA) et que les groupes de ports seront ensuite créés et mis à jour automatiquement sur vos différents hôtes VMware ESXi.

Ces groupes de ports distribués vous permettent à nouveau de gérer le trafic réseau de vos machines virtuelles et de vos adaptateurs VMkernel (interfaces VMkernel) et possèdent à nouveau une étiquette réseau.
Mais, étant donné que vous êtes sous VMware vCenter Server (VCSA), il est nécessaire que cette étiquette réseau soit unique par centre de données (DC).
Pour les paramètres disponibles, vous retrouverez les stratégies d'association de cartes réseau (NIC teaming) et de basculement, les options de sécurité (promiscuité, ...), la notion de VLAN, ...

Notez que le nombre de ports distribués des commutateurs de proxy hôte varie dynamiquement pour optimiser l'utilisation des ressources sur vos hôtes VMware ESXi. La limite concernant ce nombre de ports varie en fonction du nombre maximum de machines virtuelles que votre hôte VMware ESXi peut gérer.

2.4. Gestion du trafic réseau sur un commutateur virtuel distribué (vDS)

Comme vous pouvez le voir sur le schéma ci-dessous, il y a 2 hôtes VMware ESXi avec 3 cartes réseau physiques par hôte.

Dans l'exemple ci-dessous, vous pouvez voir que :

• il y a un commutateur virtuel distribué (vDS) unique utilisé par 2 hôtes VMware ESXi.
• chaque hôte possède une interface VMkernel (par défaut : pour le trafic de gestion) qui est connectée sur le groupe de ports distribués "Réseau VMkernel".
• les machines virtuelles de ces hôtes sont connectées sur le groupe de ports distribués "Réseau de VM".
• il y un groupe de ports liaisons montantes avec 3 liaisons montantes.
• chaque hôte possède 3 cartes réseau (vmnic0, vmnic1 et vmnic2) qui sont respectivement assignées en tant que liaison montante 1, 2 et 3 dans le groupe de ports liaisons montantes.
  L'important est que toutes les cartes réseau physiques assignées à une liaison montante soient connectées sur un même réseau physique.

Ce qui signifie que si vous configurez le groupe de ports distribué "Réseau VM" pour qu'il utilise les liaisons montantes 1 et 2, le trafic réseau de vos machines virtuelles sortira toujours par la carte réseau physique "vmnic0" ou "vmnic1" d'un de vos hôtes VMware ESXi.

Le trafic réseau de vos machines virtuelles et de vos adaptateurs VMkernel (vmkX) vers le réseau physique dépendra donc simplement des stratégies d'association de cartes réseau (NIC teaming) et d'équilibrage de charge configurées sur vos groupes de ports distribués ("Réseau VM" et "Réseau VMkernel" dans l'exemple ci-dessous).
Cela dépendra également des numéros de ports alloués aux différents ports virtuels de vos groupes de ports distribués et aux ports de votre groupe de ports de liaisons montantes.

Comme vous pouvez le voir, lorsque vous créez un commutateur virtuel distribué, celui-ci alloue d'abord des ports à vos groupes de ports distribués ("Réseau VM" et "Réseau VMkernel" dans l'exemple ci-dessous), puis la numérotation continue pour les liaisons montantes de vos hôtes dans l'ordre dans lequel vous ajouterez vos hôtes à ce commutateur.
Dans l'exemple ci-dessous, vous pouvez voir que ce commutateur virtuel distribué (vDS) possède 10 ports numérotés de 1 à 10.

Sur chacun de vos hôtes, le trafic réseau de vos machines virtuelles et de vos adaptateurs VMkernel (interfaces VMkernel) utilisera des ports alloués par votre commutateur virtuel distribué (vDS) pour accéder au réseau physique (si nécessaire).

Dans l'exemple ci-dessous, vous voyez uniquement un schéma du commutateur de proxy hôte créé automatiquement sur l'hôte 1 depuis le commutateur virtuel distribué (vDS) configuré sur votre serveur VMware vCenter Server.
Dans cet exemple, un paquet envoyé par la VM2 passera d'abord par le port 1 alloué au groupe de ports distribués "Réseau VM".
Ensuite, étant donné que les liaisons montantes 1 et 2 sont assignées au groupe de ports distribués "Réseau VM", le paquet pourra passer par le port 5 ou 6 et donc respectivement par la carte réseau "vmnic0" ou "vmnic1" de cet hôte 1.

Pour en savoir plus sur l'architecture du commutateur virtuel distribué (vDS), consultez la page "Architecture de vSphere Distributed Switch - VMware Docs" de la documentation officielle de VMware d'où sont tirés les schémas utilisés dans notre article.

3. Comparaison des fonctionnalités des commutateurs virtuels standards (vSS) et distribués (vDS)

3.1. Fonctionnalités communes aux commutateurs virtuels standards (vSS) et distribués (vDS)

Toutes les fonctionnalités des commutateurs virtuels standards (vSS) ci-dessous sont également disponibles sur les commutateurs virtuels distribués (vDS) :

• Commutateur de niveau 2 (L2) : les commutateurs virtuels supportent les trames de niveau 2 (couche "liaison de données" = "couche 2" du modèle OSI).
• Segmentation VLAN : vous pouvez utiliser les VLANs pour isoler plusieurs réseaux sur un même commutateur virtuel.
  Ceci est possible grâce à l'option "ID du VLAN" disponible dans les paramètres des groupes de ports (sur les vSS) ou les groupes de ports distribués (sur les vDS).
• Prise en charge IPv6 : les commutateurs virtuels supportent la version 6 du protocole TCP/IP en plus de l'IPv4.
• Balisage 802.1Q : le standard 802.1Q est un standard IEEE qui permet de modifier une trame réseau pour pouvoir utiliser plusieurs VLAN sur un même lien réseau physique.
• Association de cartes réseau (NIC teaming) : permet d'associer plusieurs cartes réseau en tant que liaison montante pour bénéficier de l'équilibrage de charge et/ou de la tolérance de panne.
• Formation du trafic sortant : permet de limiter l'utilisation de la bande passante (pour le trafic sortant uniquement).

3.2. Fonctionnalités supplémentaires des commutateurs virtuels distribués (vDS)

Les commutateurs virtuels distribués (vDS) possèdent les fonctionnalités citées précédemment, ainsi que celles ci-dessous :

• Formation du trafic entrant : permet de limiter l'utilisation de la bande passante (pour le trafic entrant uniquement).
  Ce qui signifie que sur un vDS, vous pourrez limiter la bande passante pour le trafic entrant et sortant.
• Blocage de port réseau de machine virtuelle : permet de bloquer le trafic réseau sur certains ports et de spécifier des conditions pour ce blocage. Ce qui peut, par exemple, permettre de bloquer facilement le ping (ICMP) pour des raisons de sécurité.
• VLAN privés (pVLAN) : permet de créer des sous-VLAN dans un VLAN existant. De plus, ils peuvent être configurés de différentes façons pour que les machines virtuelles membres d'un même VLAN privé puissent communiquer ou non entre-elles.
• Association basée sur la charge : stratégie permettant de répartir au mieux la charge en fonction du trafic réseau pour éviter qu'une liaison montante (dvUplink) ne soit saturée alors qu'une autre est actuellement inactive.
  Néanmoins, cette stratégie n'est pas utilisée par défaut. C'est à vous de la choisir si vous le souhaitez.
• Gestion au niveau du centre de données : signifie que vous pouvez créer et gérer vos commutateurs virtuels distribués (vDS) depuis le VMware vSphere Client de votre serveur VMware vCenter Server (VCSA) pour gérer le réseau de vos hôtes VMware ESXi.
• Migration vSphere vMotion via un réseau : permet de migrer également l'état du port réseau de la machine virtuelle pour que les statistiques de ports pour une machine virtuelle restent cohérentes même lors de la migration de celle-ci.
  Ceci est également un pré-requis pour la surveillance avec état pouvant être configurée sur un des pare-feu.
• Paramètres de stratégie par port : permet de modifier une stratégie pour un port spécifique.
• Surveillance de l'état du port : permet de surveiller séparément des ports.
• NetFlow : protocole développé par Cisco permettant de collecter des données concernant le trafic réseau pour voir ce qui s'y passe via un collecteur NetFlow.
• Mise en miroir des ports : permet d'envoyer une copie du trafic d'un port réseau à un autre port réseau.
  Ce qui permet de surveiller le trafic réseau d'une machine virtuelle via une autre machine à l'aide d'un sniffer, par exemple.

Grâce aux commutateurs virtuels distribués (vDS), vous aurez la possibilité de :

• configurer les commutateurs virtuels, les groupes de ports distribués, ainsi que tous les autres paramètres réseau liés à ces commutateurs virtuels distribués (vDS) de façon centralisée.
• vérifier la configuration réseau entre votre infrastructure virtuelle VMware vSphere et votre réseau physique de façon centralisée.
  Ainsi, si un VLAN est correctement configuré pour une carte réseau d'un de vos hôtes VMware ESXI, mais pas celle des autres hôtes, vous serez immédiatement au courant.
• gérer l'association de cartes réseau (agrégation de liens réseau) via le protocole LACP (Link Aggregation Control Protocol).

Les commutateurs virtuels distribués (vDS) vous permettent également de surveiller et dépanner plus facilement vos problèmes réseau grâce :

• aux protocoles RSPAN et ERSPAN : les protocoles RSPAN et ERSPAN sont des protocoles dérivés du protocole SPAN.
  • Le protocole SPAN (Switch Port Analyzer) est un protocole d'analyse du trafic réseau disponible à l'origine sur les commutateurs (switchs) Cisco.
    Le protocole SPAN permet de copier le trafic d'un ou plusieurs ports d'un switch pour l'envoyer à un ou plusieurs autres ports d'un même switch.
  • Le protocole RSPAN (Remote SPAN) permet de copier le trafic réseau d'un ou plusieurs ports d'un ou plusieurs switchs pour l'envoyer vers un autre switch qui serait dédié à l'analyse du trafic réseau, par exemple.
    Ceci s'effectue sur la couche 2.
  • Le protocole ERSPAN (Encapsulated Remote SPAN) permet d'encapsuler le protocole RSPAN expliqué précédemment et permet cette fois-ci d'envoyer le trafic réseau copié vers une machine possédant une adresse IP.
    Dans ce cas, cela s'effectue sur la couche 3, d'où le fait que les données envoyées puissent être routées vers un périphérique avec une adresse IP.
• au protocole IPFIX (IP Flow Information Export) qui est un standard de l'IETF qui est dérivé de Netflow (qui est également supporté).
  Ces technologies permettent de collecter facilement des données concernant le trafic réseau passant sur votre commutateur virtuel distribué (vDS). Ce qui facilite la surveillance et le dépannage de vos problèmes réseau ou vos problèmes applicatifs.
• SNMPv3 : le protocole SNMPv3 (Simple Network Management Protocol) est un protocole de surveillance des périphériques des réseaux IP.
• à la sauvegarde et la restauration d'une configuration réseau préalablement sauvegardée.
  Ainsi, en cas de problème suite à une mauvaise manipulation, il vous suffira de restaurer cette sauvegarde.
• Coredump basé sur le réseau (Netdump) : protocole fonctionnant sur UDP utilisé pour transporter les images de la mémoire centrale du noyau (core) vers un serveur.
• au protocole CDP : le protocole CDP (Cisco Discovery Protocol) permet à l'administrateur vSphere d'obtenir des informations concernant le commutateur physique Cisco (si applicable) depuis le serveur VMware vCenter Server (VCSA).
  Mais, ceci peut également être vrai dans l'autre sens. Ce qui permettra à l'administrateur du commutateur (switch) Cisco d'obtenir des informations concernant le commutateur virtuel vSS ou vDS.
• au protocole LLDP : le protocole LLDP (Link Layer Discovery Protocol) permet aux administrateurs vSphere de savoir à quel port d'un commutateur physique est connecté un commutateur virtuel distribué (vDS) spécifique.
  Cela permet également à l'administrateur vSphere d'obtenir des informations concernant le commutateur physique, telles que : le nom du commutateur, sa description, la version d'iOS (le système d'exploitation des commutateurs Cisco), ...
  Ce qui est pratique si vous souhaitez utiliser des VLAN, car vous pourrez contacter l'administrateur du commutateur physique en lui demandant de configurer le VLAN souhaité pour tel ou tel port du commutateur physique.

Pour finir, les commutateurs virtuels distribués (vDS) vous permettent également de bénéficier de fonctionnalités avancées de mise en réseau vSphere :

• VMware vSphere Network I/O Control (NIOC) : permet de gérer l'allocation de bande passante à vos machines virtuelles en définissant des parts (shares), des limites et/ou des réservations de bande passante.
  Ainsi, si votre configuration est correcte, une machine virtuelle ne pourra pas saturer la bande passante de votre hôte. Ce qui permet d'assurer la disponibilité de vos différents services hébergés sur votre infrastructure VMware virtuelle.
• maintien de l'état réseau d'une machine virtuelle même si celle-ci est migrée d'un hôte VMware ESXi à un autre.
  Ce qui facilite la surveillance de celles-ci, ainsi que la configuration de vos éventuels pare-feu étant donné que son état réseau sera conservé.
• support du SR-IOV : le support du SR-IOV (Single Root I/O Virtualization) permet à une machine virtuelle d'utiliser directement une carte réseau physique. Ce qui permet de réduire la latence au niveau du réseau étant donné que votre machine virtuelle pourra accéder directement au réseau physique sans passer par le VMkernel.
• filtrage des paquets BPDU (Bridge Protocol Data Unit) : permet d'éviter que des machines virtuelles n'envoient des paquets BPDU au commutateur physique. Ce qui évite qu'une machine virtuelle puisse faire tomber votre commutateur physique suite à la création d'une boucle réseau.

Sources :

• VMware Load-Based Teaming (LBT) Performance - VMware VROOM! Performance Blog
• Private VLAN (PVLAN) on vNetwork Distributed Switch - Concept Overview (1010691) - VMware KB
• VMware® vNetwork Distributed Switch: Migration and Configuration - VMware white paper (page 4)
• vSphere Distributed Switch - VMware
• Understanding SPAN,RSPAN,and ERSPAN - Cisco Community
• Activer le protocole découverte Cisco (CDP) sur un vSphere Distributed Switch - VMware Docs
• Activer le protocole LLDP (Link Layer Discovery Protocol) sur un vSphere Distributed Switch - VMware Docs