Die Foren-SW läuft ohne erkennbare Probleme. Sollte doch etwas nicht funktionieren, bitte gerne hier jederzeit melden und wir kümmern uns zeitnah darum. Danke!

Zwei physische Netze auf einem ESXi Host einrichten

Alles zum Thema vSphere 7.0, ESXi 7.0 und vCenter-Server bzw VCSA7.

Moderatoren: irix, continuum, Dayworker

Member
Beiträge: 15
Registriert: 04.03.2017, 12:54

Zwei physische Netze auf einem ESXi Host einrichten

Beitragvon Armin_M » 14.12.2020, 18:35

Hallo zusammen,

ich würde gerne zwei physikalisch getrennte Netze auf einem ESXi Host betreiben.
Hardware: Supermicro X11 Board mit 2x10 GB onboard + 4port Gigabit Netzwerkkarte.
Hintergrund: Es sollen zwei Firmen unabhängig von einander Ihre virtuellen Maschinen auf dem Host ansprechen können.
Von außen soll auch Zugriff über zwei VPN-Router möglich sein.
Aktuell scheitere ich daran, das zweite Netzwerk in der vsphere Konsole einzurichten.
Aktueller Stand: vmk0 hat zwei Uplinks auf der 4port Gigabit Karte für Bereitstellung und Management Netzwerk. Der Host und der vcenter-Server sind darüber erreichbar. Nun wollte ich in der vsphere-Konsole ein weiteres Netz hinzufügen. Dabei habe ich "Neuer VMKernel-Adapter" ausgewählt und diesem die verbliebenen beiden Uplinks zugewiesen, IP-Adresse und Netzmaske sowie das Gateway konfiguriert. Auch ein neuer virtueller Swicht und ein Portgruppenname wurden vergeben. Nur sehe ich das angelegte Netzwerk nicht in der Liste der Netzwerke und kann es auch beim Anlegen neuer virtueller Maschinen nicht auswählen. Es spielt auch keine Rolle, wenn ich die 10GB-Netzwerkkarte als Uplink auswähle, das Ergebnis ist das gleiche.
Hat jemand eine Idee, wo mein Fehler liegen könnte?

Gruß

Armin_M

King of the Hill
Beiträge: 12336
Registriert: 02.08.2008, 15:06
Wohnort: Hannover/Wuerzburg
Kontaktdaten:

Re: Zwei physische Netze auf einem ESXi Host einrichten

Beitragvon irix » 14.12.2020, 19:11

Oeh..... falsche Vorstellung. Dem ESXi sind die Netze der virtuellen Gaeste sowas von Egal und dem ESXi selber musst du das auch nicht sagen.

Die ESXi Managementkonsole sollte genau nur in einem Netz liegen und wann immer moeglich auch weniger von den Gaesten erreichbar sein. Ausnahme ist vCenter.


Du richtest einen oder mehre vSphere mit entsprechenden Uplinks ein.
Du richtest Portgruppen vom Typ VM Machine und NICHT VMkernel ein. Jede Portgruppe hat ein VLAN
Dein phys. Switch hat auf den Ports entsprechend getagged.

Das war alles. Mehr muss der ESXi nicht wissen und schon garnicht die Netze oder irgendwas mit Routen.

Gruss
Joerg

Member
Beiträge: 15
Registriert: 04.03.2017, 12:54

Re: Zwei physische Netze auf einem ESXi Host einrichten

Beitragvon Armin_M » 15.12.2020, 09:46

Hallo Joerg,
Danke für die Antwort.
Nachdem, was ich in der Vmware KB gelesen habe, besteht sowohl die Möglichkeit die Netze auf Vlan-Basis, als auch physikalisch ohne Vlans zu trennen.
Meine Absicht ist es die physikalischen Netzwerkkarten mit IP-Adressen aus unterschiedlichen Bereichen zu konfigurieren, damit sie physikalisch getrennt sind.
Hier ein Artikel dazu aus der KB:
https://docs.vmware.com/de/VMware-vSphere/7.0/com.vmware.vsphere.security.doc/GUID-92DF3F3C-D17E-42BD-8620-9B0D780FE7F6.html

In meiner Testumgebung hatte ich bereits mehrere Netzwerke intern virtualisisert inklusive der Router als Vms, aber da sind die Router dann wieder über das Standard Vm Netzwerk mit der physikalischen Welt verbunden gewesen.

Der nächste Schritt wäre es dem Host die Netzwerkkarten in unterschiedlichen Netzen zu konfigurieren, die dann als Uplink mit entsprechenden internen Netzen verbunden sind.
Da ich so eine Konfiguration noch nicht gemacht habe, versuche ich eben herauszufinden, was machbar ist und dazu zu lernen.

Gruß
Armin

King of the Hill
Beiträge: 12336
Registriert: 02.08.2008, 15:06
Wohnort: Hannover/Wuerzburg
Kontaktdaten:

Re: Zwei physische Netze auf einem ESXi Host einrichten

Beitragvon irix » 15.12.2020, 09:55

Natuerlich kann man das auch ohne VLAN machen. Wenn aber ein zweites Netz dazu kommt dann wuenscht man sich man haette es gleich richtig gemacht.

Du musst IM ESX nichts konfigurieren.

Wenn du eine phys. Trennung machen moechtest dann weise deinem vSwitch den entsprechendem Uplink zu und lege eine Portgruppe vom Typ "VM Network" und NICHT VMkernel drauf.

Gruss
Joerg

Guru
Beiträge: 2407
Registriert: 23.02.2012, 12:26

Re: Zwei physische Netze auf einem ESXi Host einrichten

Beitragvon ~thc » 15.12.2020, 12:02

Armin_M hat geschrieben:Der nächste Schritt wäre es dem Host die Netzwerkkarten in unterschiedlichen Netzen zu konfigurieren, die dann als Uplink mit entsprechenden internen Netzen verbunden sind.

Da liegt der Kern des Missverständnisses: Die Netzwerkkarten müssen nicht konfiguriert werden. Sie werden durch den physischen Anschluss (Kabel) und die Konfiguration der Port Groups und VMs in physisch getrennte Netze aufgeteilt.

Das Management Interface mit seinem eigenen TCP/IP-Stack ist davon unabhängig und kann sich auch in einem dritten Netz befinden.

Member
Beiträge: 15
Registriert: 04.03.2017, 12:54

Re: Zwei physische Netze auf einem ESXi Host einrichten

Beitragvon Armin_M » 16.12.2020, 16:45

Je mehr ich zu dem Thema lese, desto verwirrter werde ich.
Was ist den zu bevorzugen, VST oder EST?
Wo soll denn der vSphere Server dann bleiben, im Management-Netzwerk?

Ich habe jetzt zum Test den vSwitch0 gelassen und zusätzlich einen vSwitch1 mit der Portgruppe WEG-Netz und der Vlan-ID 0 erstellt. Ich habe zwei Vms in dieses Netz verschoben. Diesem Switch habe ich einen Uplink zugewiesen. Auf dem D-Link Switch (DGS-1210-28) habe ich den Port, der mit dem Uplink verbunden ist in ein Vlan 200 getagged, zusammen mit dem Port, an dem der VPN-Router angeschlossen ist. Ich habe die beiden Ports im default Vlan 1 auf Nichtmitglied gesetzt. Ich bekomme aber keine Verbindung zum Router. Wo liegt mein Denkfehler?

Gruß
Armin

Experte
Beiträge: 1714
Registriert: 04.10.2011, 14:06

Re: Zwei physische Netze auf einem ESXi Host einrichten

Beitragvon JustMe » 16.12.2020, 17:02

Ich denke mal, das hat mit "bevorzugen" nix zu tun. Es muss halt alles zueinander passen.

Wenn Deine VM-Portgroup alle VLANs durchlaesst (VLAN0), dann musst Du innerhalb der VM bei der Virtuellen Netzwerkkarte das VLAN-Tag auswerten.
Mit Deiner aktuellen Konfiguration auf ESXi-Seite sollte aber auch schon das Entfernen des VLAN-Tag 200 am Switch fuer eine Kommunikation ueber den Switch zum Router sorgen koennen.

Nur, soweit ich meine es verstanden zu haben. Korrekturen z.B. von ~thc werden gerne angenommen.

Guru
Beiträge: 2407
Registriert: 23.02.2012, 12:26

Re: Zwei physische Netze auf einem ESXi Host einrichten

Beitragvon ~thc » 16.12.2020, 17:12

Armin_M hat geschrieben:Was ist den zu bevorzugen, VST oder EST?

Das kommt auf den Anwendungsfall an.

Armin_M hat geschrieben:Wo soll denn der vSphere Server dann bleiben, im Management-Netzwerk?

Das "Management-Netzwerk" ist technisch eine Portgruppe (mit VMkernel NIC) und zugewiesenem "Default TCP/IP-Stack". Diese kann einem beliebigen vSwitch und einem beliebigen Uplink zugewiesen werden. Es gibt ihn aber nur einmal. Er kann also nur aus einem der Netze verwaltet werden.

Armin_M hat geschrieben:Ich habe jetzt zum Test den vSwitch0 gelassen und zusätzlich einen vSwitch1 mit der Portgruppe WEG-Netz und der Vlan-ID 0 erstellt. Ich habe zwei Vms in dieses Netz verschoben. Diesem Switch habe ich einen Uplink zugewiesen. Auf dem D-Link Switch (DGS-1210-28) habe ich den Port, der mit dem Uplink verbunden ist in ein Vlan 200 getagged, zusammen mit dem Port, an dem der VPN-Router angeschlossen ist. Ich habe die beiden Ports im default Vlan 1 auf Nichtmitglied gesetzt. Ich bekomme aber keine Verbindung zum Router. Wo liegt mein Denkfehler?

Wenn du dem vSwitch (0) und dem pSwitch (200) verschiedene VLAN-IDs zuweist, kann es nicht gehen.
In deinem Anwendungfall brauchst du tagged VLAN nicht: Du kannst auf der Ebene des Switches die beiden Ports (Uplink & Router) zu einem untagged VLAN machen - damit sind diese dann isoliert.

Member
Beiträge: 15
Registriert: 04.03.2017, 12:54

Re: Zwei physische Netze auf einem ESXi Host einrichten

Beitragvon Armin_M » 16.12.2020, 17:47

Vielen Dank, als untagged Vlan bekomme ich Verbindung.
Ich hatte zuerst auch versucht, auf vSwitch und pSwitch die gleiche Vlan-ID zu konfigurieren, das hat auch keine Verbindung zugelassen.
Dann habe ich wieder gelesen, dass man entweder auf dem vSwitch, oder auf dem externen Switch die Vlans definieren soll.
Ich habe mit Vlans noch gar keine Erfahrung. Wann ist tagging sinnvoll und wann nicht?
Wenn man das jetzt auf drei Netze aufteilen möchte (Fa.1, Fa.2 und Management) wo gehört dann der vSphere-Server hin? Da er ja die hosts verwaltet, eigentlich ins Management, oder? Aktuell ist Fa.1 und Management noch in einem Netz am default vSwitch0.

Gruß
Armin

Guru
Beiträge: 2407
Registriert: 23.02.2012, 12:26

Re: Zwei physische Netze auf einem ESXi Host einrichten

Beitragvon ~thc » 16.12.2020, 19:25

Armin_M hat geschrieben:Ich hatte zuerst auch versucht, auf vSwitch und pSwitch die gleiche Vlan-ID zu konfigurieren, das hat auch keine Verbindung zugelassen.

Die technische Kleinigkeit ist, dass ein vSwitch, der auf ein VLAN konfiguriert ist, den Tag nach innen entfernt. Die VMs bekommen und senden die Pakete untagged. Ist auf der anderen Seite des vSwitch (pSwitch, Router) durchgängig die gleiche VLAN-ID vergeben, dann verstehen sich VM (untagged) und Router (200/tagged) nicht. VST ist meiner Meinung nach in erster Linie zum isolierten Verbinden von vSwitches zwischen Hosts konzipiert.

Armin_M hat geschrieben:Dann habe ich wieder gelesen, dass man entweder auf dem vSwitch, oder auf dem externen Switch die Vlans definieren soll. Ich habe mit Vlans noch gar keine Erfahrung. Wann ist tagging sinnvoll und wann nicht?

Tagging ist dann sinnvoll, wenn du mit der Trennung von Netzen in pSwitch-Portgruppen (untagged VLAN) an Grenzen kommst. Wenn z.B. über die Verbindung von pSwitches mittels Uplinks mehrere VLANs miteinander kommunizieren sollen. Oder wenn verschiedene VMs in verschiedenen VLANs an einem Uplink hängen sollen.

Armin_M hat geschrieben:Wenn man das jetzt auf drei Netze aufteilen möchte (Fa.1, Fa.2 und Management) wo gehört dann der vSphere-Server hin? Da er ja die hosts verwaltet, eigentlich ins Management, oder? Aktuell ist Fa.1 und Management noch in einem Netz am default vSwitch0.

Beim Setup des ESXi wird halt ein funktionierendes Minimal-Setup (TCP/IP-Stack,Management,vSwitch0,vmnic0) eingerichtet. Du kannst das Management z.B. in ein isoliertes (physisch über eine separate vmnic) drittes Netz packen.

Member
Beiträge: 15
Registriert: 04.03.2017, 12:54

Re: Zwei physische Netze auf einem ESXi Host einrichten

Beitragvon Armin_M » 16.12.2020, 20:33

Nochmal vielen Dank für die Hilfe.
Ich sehe schon, ich muss mich mit dem Thema noch viel mehr auseinander setzen.

Ich wünsche frohe Festtage und einen guten Rutsch ins neue Jahr.

Und natürlich das Wichtigste: Bleib gesund.

Gruß
Armin


Zurück zu „vSphere 7.0“

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 1 Gast