Tweet
Virtual Switching – Hiểu đúng về vSwitch trong hạ tầng ảo hóa
1. Khái niệm Virtual Switch (vSwitch)
Virtual Switch (vSwitch) là một switch Layer 2 được triển khai hoàn toàn bằng phần mềm, hoạt động tương tự như một switch Ethernet vật lý.
Nó đóng vai trò trung tâm kết nối trong môi trường ảo hóa, cho phép:
Hiểu đơn giản:
2. Kiến trúc kết nối trong vSwitch
Trong một host ảo hóa, chúng ta có:
Luồng traffic điển hình:
VM → vNIC → vSwitch → pNIC → Physical Network
Hoặc:
VM1 → vNIC → vSwitch → vNIC → VM2
3. Một số giới hạn quan trọng của vSwitch (rất hay bị hiểu sai)
❗ Không thể forward trực tiếp giữa các vSwitch
👉 Đây là điểm quan trọng trong thiết kế segmentation.
❗ Không thể share cùng pNIC
4. Các loại vSwitch phổ biến trong thực tế
Một số nền tảng phổ biến:
5. Case thực tế: Multi vSwitch trong một host
Một server có thể có nhiều vSwitch:
👉 Điều này tạo ra các zone mạng riêng biệt.
6. Traffic Flow nâng cao (rất quan trọng trong security design)
Ví dụ:
Do không thể đi trực tiếp giữa các vSwitch:
👉 Traffic bắt buộc phải đi qua:
➡️ Đây chính là cách implement:
7. Nhược điểm của vSwitch truyền thống (Standard vSwitch)
Vấn đề lớn nhất:
Nếu có cluster 10 ESXi:
8. Distributed Virtual Switch (DVS) – giải pháp ở mức Enterprise
Distributed vSwitch giải quyết triệt để vấn đề trên: Các lợi ích chính:
✔ Centralized Management
👉 Đây là điểm cực kỳ quan trọng trong HA và automation.
9. Virtual Switching trong Container (Docker, Kubernetes)
Không chỉ VM, container cũng dùng virtual switching. Docker Bridge (docker0)
10. Cách container giao tiếp
Trong cùng node:
Khác node:
❗ Mặc định KHÔNG giao tiếp được
Giải pháp:
👉 Đây chính là nền tảng của Kubernetes networking.
11. Góc nhìn CCIE – Tại sao vSwitch cực kỳ quan trọng?
vSwitch không chỉ là “switch ảo”, mà là: 1. Control point của East-West Traffic
12. Kết luận
Virtual Switching là nền tảng cốt lõi của:
Nếu không hiểu rõ vSwitch:
👉 Không thể thiết kế:
1. Khái niệm Virtual Switch (vSwitch)
Virtual Switch (vSwitch) là một switch Layer 2 được triển khai hoàn toàn bằng phần mềm, hoạt động tương tự như một switch Ethernet vật lý.
Nó đóng vai trò trung tâm kết nối trong môi trường ảo hóa, cho phép:
- Các Virtual Machine (VM) giao tiếp với nhau trong cùng host
- VM kết nối ra mạng vật lý thông qua các physical NIC (pNIC)
Hiểu đơn giản:
vSwitch chính là “switch access layer” nhưng nằm bên trong hypervisor.
2. Kiến trúc kết nối trong vSwitch
Trong một host ảo hóa, chúng ta có:
- vNIC (virtual NIC): card mạng của VM
- pNIC (physical NIC): card mạng vật lý của server
- vSwitch: lớp trung gian switching
Luồng traffic điển hình:
VM → vNIC → vSwitch → pNIC → Physical Network
Hoặc:
VM1 → vNIC → vSwitch → vNIC → VM2
3. Một số giới hạn quan trọng của vSwitch (rất hay bị hiểu sai)
❗ Không thể forward trực tiếp giữa các vSwitch
- Traffic không thể đi trực tiếp từ vSwitch này sang vSwitch khác trong cùng host
- Nếu muốn kết nối → phải đi qua:
- Router VM
- Firewall VM (ví dụ NGFWv)
👉 Đây là điểm quan trọng trong thiết kế segmentation.
❗ Không thể share cùng pNIC
- Mỗi vSwitch không thể dùng chung một pNIC
- Điều này dẫn đến:
- Thiết kế uplink cần tính toán kỹ
- Tránh bottleneck
4. Các loại vSwitch phổ biến trong thực tế
Một số nền tảng phổ biến:
- Open vSwitch (OVS) – phổ biến trong OpenStack, Kubernetes
- VMware:
- VSS (vSphere Standard Switch)
- VDS (vSphere Distributed Switch)
- NSX vSwitch (overlay networking)
- Microsoft Hyper-V Virtual Switch
- Libvirt Virtual Network Switch (KVM)
5. Case thực tế: Multi vSwitch trong một host
Một server có thể có nhiều vSwitch:
- vSwitch1 → uplink ra mạng ngoài qua pNIC1
- vSwitch3 → uplink qua pNIC3
- vSwitch2 → internal only (không có uplink)
👉 Điều này tạo ra các zone mạng riêng biệt.
6. Traffic Flow nâng cao (rất quan trọng trong security design)
Ví dụ:
- VM1 cần đi ra ngoài Internet
- VM0 nằm ở vSwitch khác
Do không thể đi trực tiếp giữa các vSwitch:
👉 Traffic bắt buộc phải đi qua:
- Virtual Firewall (NGFWv)
➡️ Đây chính là cách implement:
- Micro-segmentation
- Zero Trust trong Data Center
7. Nhược điểm của vSwitch truyền thống (Standard vSwitch)
Vấn đề lớn nhất:
❗ Cấu hình phân tán (per-host)
Nếu có cluster 10 ESXi:
- Phải cấu hình vSwitch trên từng host
- Dễ xảy ra:
- mismatch config
- lỗi vận hành
- khó scale
8. Distributed Virtual Switch (DVS) – giải pháp ở mức Enterprise
Distributed vSwitch giải quyết triệt để vấn đề trên: Các lợi ích chính:
✔ Centralized Management
- Quản lý tập trung cho toàn cluster
- Config đồng nhất trên tất cả host
- Khi vMotion:
- Policy
- Stats
- Network config
được giữ nguyên
👉 Đây là điểm cực kỳ quan trọng trong HA và automation.
9. Virtual Switching trong Container (Docker, Kubernetes)
Không chỉ VM, container cũng dùng virtual switching. Docker Bridge (docker0)
- Docker tạo sẵn bridge:
- tên: docker0
- subnet mặc định: 172.17.0.0/16
- Có một interface:
- gọi là veth
- Bên trong container:
- interface hiển thị là eth0
10. Cách container giao tiếp
Trong cùng node:
- Các container giao tiếp trực tiếp qua bridge
Khác node:
❗ Mặc định KHÔNG giao tiếp được
Giải pháp:
- Routing OS-level
- Overlay Network (VXLAN, Flannel, Calico…)
👉 Đây chính là nền tảng của Kubernetes networking.
11. Góc nhìn CCIE – Tại sao vSwitch cực kỳ quan trọng?
vSwitch không chỉ là “switch ảo”, mà là: 1. Control point của East-West Traffic
- Traffic nội bộ Data Center
- NSX, ACI, SDN đều dựa trên concept này
- NGFWv, IDS/IPS, Service Chaining
- Underlay ↔ Overlay
12. Kết luận
Virtual Switching là nền tảng cốt lõi của:
- Virtualization
- Cloud
- Container
- SDN
Nếu không hiểu rõ vSwitch:
👉 Không thể thiết kế:
- Data Center hiện đại
- Kubernetes networking
- Zero Trust Architecture
Attached Files