完整版ESXI60虛擬化實施方案

1、 第 PAGE 55 頁 共 NUMPAGES 56 頁 目 錄 TOC o 1-3 h z u HYPERLINK l _Toc496105945 服務(wù)器虛擬化實施文檔 PAGEREF _Toc496105945 h 1 HYPERLINK l _Toc496105946 第一章 Vmware esxi 6.0虛擬化系統(tǒng)安裝配置 PAGEREF _Toc496105946 h 1 HYPERLINK l _Toc496105947 1.1 Vmware esxi系統(tǒng)安裝 PAGEREF _Toc496105947 h 1 HYPERLINK l _Toc496105948 第二章 Vmwar

2、e VCenter應(yīng)用管理平臺配置 PAGEREF _Toc496105948 h 7 HYPERLINK l _Toc496105949 2.1 新建虛擬機Window2008R2系統(tǒng)安裝 PAGEREF _Toc496105949 h 7 HYPERLINK l _Toc496105950 2.2 SQL2008R2安裝 PAGEREF _Toc496105950 h 7 HYPERLINK l _Toc496105951 2.3 Window版本Vcenter安裝 PAGEREF _Toc496105951 h 11 HYPERLINK l _Toc496105952 2.4 Vmwar

3、e Vcenter登陸配置 PAGEREF _Toc496105952 h 14 HYPERLINK l _Toc496105953 第三章 vMotion動態(tài)遷移網(wǎng)卡配置 PAGEREF _Toc496105953 h 19 HYPERLINK l _Toc496105954 3.1 vmotion網(wǎng)卡配置 PAGEREF _Toc496105954 h 19 HYPERLINK l _Toc496105955 第四章 新建虛擬機配置 PAGEREF _Toc496105955 h 22 HYPERLINK l _Toc496105956 4.1 創(chuàng)建虛擬機 PAGEREF _Toc4961

4、05956 h 22 HYPERLINK l _Toc496105957 4.2 創(chuàng)建虛擬機網(wǎng)絡(luò) PAGEREF _Toc496105957 h 29 HYPERLINK l _Toc496105958 第五章 P2V物理機轉(zhuǎn)換為虛擬機配置 PAGEREF _Toc496105958 h 32 HYPERLINK l _Toc496105959 5.1 P2V配置 PAGEREF _Toc496105959 h 32 HYPERLINK l _Toc496105960 第六章 虛擬化高可用群集配置 PAGEREF _Toc496105960 h 37 HYPERLINK l _Toc49610

5、5961 6.1 高可用群集配置 PAGEREF _Toc496105961 h 37服務(wù)器虛擬化實施文檔第一章 Vmware esxi 6.0虛擬化系統(tǒng)安裝配置1.1 Vmware esxi系統(tǒng)安裝1. 服務(wù)器通過光驅(qū)或IMM方式安裝Vmware esxi 6.0系統(tǒng)從光盤加載系統(tǒng)鏡像Vmware esxi 6.0安裝，以下通過 管理接口IMM安裝esxi 6系統(tǒng)設(shè)置Root密碼F11開始安裝ESXI按F2進入配置ESXI服務(wù)器管理ip，第二章 Vmware VCenter應(yīng)用管理平臺配置2.1 新建虛擬機Window2008R2系統(tǒng)安裝1. 通過VMware vSphere Client登

6、錄單ESXI主機，通過加載Vcenter鏡像文件安裝VMware-VIMSetup-all-6.0.0-2562643.iso：登陸服務(wù)器主機IP： 1 （上面的服務(wù)器管理IP）2.新建Window2008R2虛擬機，安裝操作系統(tǒng)window2008R22.2 SQL2008R2安裝3.安裝SQL2008R2數(shù)據(jù)庫軟件2.3 Window版本Vcenter安裝4.安裝Window版本Vcenter 6.0Ping通vCenter 虛擬機ip地址：02.4 Vmware Vcenter登陸配置1. Vcenter管理平臺程序管登陸方式有兩種，一種通過安裝vSphere Client客戶端軟件登錄

7、，一種是不需要安裝客戶端軟件，直接通過瀏覽器登陸管理，功能上瀏覽器登陸方式最全。VCenter虛擬機vSphere Client0通過Client客戶端軟件打開管理WebClienthttps:/ 0:9443/vsphere-client通過瀏覽器打開管理添加可管理的ESXI主機通過瀏覽器登陸方式管理https:/ 0:9443/vsphere-client第三章 vMotion動態(tài)遷移網(wǎng)卡配置3.1 vmotion網(wǎng)卡配置ESXI主機之間虛擬機需要動態(tài)遷移，需要二層互聯(lián)的千兆網(wǎng)絡(luò)，配置兩臺物理機之間的二層互聯(lián)vmotion端口,添加網(wǎng)絡(luò)連接類型選擇VMkernel，用于vmotion選擇一

8、塊未使用的以太網(wǎng)卡設(shè)置網(wǎng)絡(luò)標簽，勾選將此端口用于vmotion使用二層互聯(lián)，無需配置網(wǎng)關(guān)Vmotion端口配置完畢，另一臺ESXI也需要做同樣配置，如此多臺ESXI主機之間可以二層互聯(lián)，滿足動態(tài)遷移要求。第四章 新建虛擬機配置4.1 創(chuàng)建虛擬機右鍵點擊主機，選擇創(chuàng)建虛擬機輸入虛擬機名稱，建議以：系統(tǒng)版本-用途-IP地址格式命名虛擬機，一目了然，便于后期管理維護選擇虛擬機存儲位置，一般建議存放在共享存儲陣列中選擇虛擬機安裝操作系統(tǒng)版本選擇虛擬機所在網(wǎng)段VLAN創(chuàng)建硬盤空間大小，注意采用Thin Provison模式（精簡配置）完成虛擬機創(chuàng)建編輯虛擬機光驅(qū)，加載ISO鏡像文件，ISO可事先上傳至共

9、享存儲空間的文件夾內(nèi)啟動虛擬機，安裝操作系統(tǒng)通過Ctrl+Alt鍵，切換鼠標4.2 創(chuàng)建虛擬機網(wǎng)絡(luò)點擊網(wǎng)絡(luò)-添加網(wǎng)絡(luò)，可以配置VLAN配置VLAN選擇服務(wù)器出口物理網(wǎng)卡設(shè)置網(wǎng)絡(luò)標簽，vlan值完成設(shè)置右擊某一虛擬機，可將虛擬機網(wǎng)卡編輯加入某一網(wǎng)段第五章 P2V物理機轉(zhuǎn)換為虛擬機配置5.1 P2V配置在需要轉(zhuǎn)化為虛擬機的物理機上安裝VMware-converter-en-5.5.0 客戶端軟件選擇本地機器輸入要轉(zhuǎn)入的目標esxi或vcenter地址設(shè)置虛擬機存放位置Edit修改轉(zhuǎn)換的參數(shù)選擇需要轉(zhuǎn)換為虛擬機的硬盤，點擊高級設(shè)置選擇Thin精簡配置模式，不會立即占用存儲的共享空間，Next下一步第

10、六章 虛擬化高可用群集配置6.1 高可用群集配置創(chuàng)建高可用集群需要先配置好二層互聯(lián)的vmotion網(wǎng)卡，并將虛擬機存放在共享存儲空間，兩臺ESXI主機能夠訪問共同的外部磁盤陣列空間，新建群集按新建群集向?qū)渲?，打開HA，DRS功能將ESXI主機拖入群集中附錄資料：不需要的可以自行刪除 園區(qū)網(wǎng)絡(luò)虛擬化無論規(guī)模如何或有什么安全需求，企業(yè)現(xiàn)在都能在單一物理網(wǎng)絡(luò)上，受益于支持多個封閉用戶組的虛擬化園區(qū)網(wǎng)絡(luò)。綜述隨著對園區(qū)網(wǎng)絡(luò)的需求日益復(fù)雜，可擴展解決方案也越來越需要將多個網(wǎng)絡(luò)用戶組進行邏輯分區(qū)。網(wǎng)絡(luò)虛擬化提供了多個解決方案，能在保持現(xiàn)有園區(qū)設(shè)計的高可用性、可管理性、安全性和可擴展性優(yōu)勢的同時，實現(xiàn)服務(wù)

11、和安全策略的集中。為達到出色效果，這些解決方案必須包括網(wǎng)絡(luò)虛擬化的三個主要方面：訪問控制、路徑隔離和服務(wù)邊緣。通過實施這些解決方案，網(wǎng)絡(luò)虛擬化即能與思科系統(tǒng)公司的服務(wù)導(dǎo)向網(wǎng)絡(luò)架構(gòu)(SONA)相結(jié)合，為遷移到智能化信息網(wǎng)絡(luò)的企業(yè)創(chuàng)建一個強大的框架。SONA網(wǎng)絡(luò)利用NAC和IEEE 802.1x協(xié)議提供身份識別服務(wù)，從而實現(xiàn)最優(yōu)訪問控制。在用戶獲準接入網(wǎng)絡(luò)后，三個路徑隔離解決方案GRE隧道、VRF-lite和MPLS VPN能在保留當前園區(qū)網(wǎng)設(shè)計優(yōu)勢的同時，在現(xiàn)有局域網(wǎng)上疊加分區(qū)機制，將網(wǎng)絡(luò)劃分為安全、虛擬的網(wǎng)絡(luò)。這些解決方案解決了與分布部署服務(wù)和安全策略相關(guān)的問題。最后，共享服務(wù)和安全策略實施的

12、集中化，大大減少了在園區(qū)網(wǎng)中維護不同群組的安全策略和服務(wù)所需的資本和運營開支。這種集中化有助于在園區(qū)中實施一致的策略。挑戰(zhàn)園區(qū)網(wǎng)絡(luò)的設(shè)計建議一直缺乏一種對網(wǎng)絡(luò)流量分區(qū)，以便為封閉用戶組提供安全獨立環(huán)境的方式（表1）。有許多因素都在推動對于創(chuàng)建封閉用戶組的需要，包括： 企業(yè)中存在不同級別的訪問權(quán)限：幾乎每個企業(yè)都需要解決方案來為客戶、廠商、合作伙伴以及園區(qū)局域網(wǎng)上的員工授予不同的訪問級別。 法規(guī)遵從性：部分企業(yè)受法律或規(guī)定的要求，必須對較大的機構(gòu)進行分區(qū)。例如，在金融公司中，銀行業(yè)務(wù)必須與證券交易業(yè)務(wù)分開。 過大的企業(yè)需要簡化網(wǎng)絡(luò)：對于非常大型的園區(qū)網(wǎng)絡(luò)，如機場、醫(yī)院或大學(xué)來說，過去，為保證不同

13、用戶組或部門間的安全性，就必須構(gòu)建和管理不同的物理網(wǎng)絡(luò)，這種做法既昂貴又難以管理。 網(wǎng)絡(luò)整合：在合并和收購時，通常需要迅速集成所收購公司的網(wǎng)絡(luò)。 外包：隨著外包和離岸外包的普及，子承包商必須證明各客戶的信息間完全隔離。尤其當一家承包商服務(wù)于相互競爭的公司時，這尤為重要。 提供網(wǎng)絡(luò)服務(wù)的企業(yè)：零售連鎖公司為其他公司支持售貨亭或為加油站提供互聯(lián)網(wǎng)接入；同樣，服務(wù)于多家航空公司和零售商的機場能使用單一網(wǎng)絡(luò)來提供隔離服務(wù)和共享服務(wù)。 表1. 不同垂直行業(yè)中網(wǎng)絡(luò)分區(qū)的應(yīng)用示例垂直行業(yè)網(wǎng)絡(luò)虛擬化應(yīng)用示例制造業(yè)生產(chǎn)工廠(自動裝置，生產(chǎn)環(huán)境自動化等)，管理，銷售，視頻監(jiān)視。 金融業(yè)交易大廳，管理，合并。政府支

14、持不同部門的共同建筑物和設(shè)施。在部分國家，法律要求這些部門采用不同網(wǎng)絡(luò)。醫(yī)療總體趨勢是在進行治療的同時提供賓館式服務(wù)。須隔離醫(yī)護人員、核磁共振成像(MRI)和其他技術(shù)設(shè)備、病人互聯(lián)網(wǎng)接入，以及為病人提供的廣播和電視等媒體服務(wù)。 商業(yè)智能樓宇：多企業(yè)園區(qū)不同部門共享部分資源。多個公司位于同一園區(qū)，其中不同建筑物分屬不同部門，但全使用相同的核心和互聯(lián)網(wǎng)接入機制。園區(qū)所有者管理建筑物自動化體系，覆蓋所有建筑物。零售售貨亭，分支機構(gòu)中的公共無線局域網(wǎng)，RF識別，WLAN設(shè)備（例如，不支持任何WLAN安全特性的較早的WLAN條碼閱讀器）。教育學(xué)生、教授、管理人員和外部研究團隊間需要隔離。此外，分布于多個

15、建筑物的各院系可能需要訪問各自的服務(wù)器區(qū)域。而某些資源（例如互聯(lián)網(wǎng)、電子郵件和新聞）可能需要共享或通過一個服務(wù)區(qū)訪問。此外，建筑物自動化體系也必須分開。園區(qū)局域網(wǎng)的發(fā)展網(wǎng)絡(luò)虛擬化允許多個用戶組訪問同一物理網(wǎng)絡(luò)，但從邏輯上對它們進行一定程度的隔離，以便它們無法查看其他組這是多年來網(wǎng)絡(luò)經(jīng)理面臨的挑戰(zhàn)。在上世紀90年代，L2交換是園區(qū)局域網(wǎng)的標志性特征，虛擬局域網(wǎng)(VLAN)是在一個通用基礎(chǔ)設(shè)施中將局域網(wǎng)劃分為不同工作組的標準。此解決方案安全高效，但無法很好地擴展，而且隨著園區(qū)局域網(wǎng)的發(fā)展，其管理也非易事。核心和分布層中L3交換的出現(xiàn)，在VLAN方式的基礎(chǔ)上對可擴展性、性能和故障排除進行了優(yōu)化。過去

16、幾年中，所構(gòu)建的基于L3的園區(qū)網(wǎng)絡(luò)已經(jīng)證實，它們便于擴展、功能強大，具有高性能。但在網(wǎng)絡(luò)分區(qū)和封閉用戶組方面，L3園區(qū)方式有著重大缺陷和限制。在此情況下，添加封閉用戶組即意味著增加成本和復(fù)雜度。解決方案：網(wǎng)絡(luò)虛擬化因此我們需要一個便于擴展的解決方案，來保持用戶組完全隔離，實現(xiàn)服務(wù)和安全策略的集中，并保留園區(qū)網(wǎng)設(shè)計的高可用性、安全性和可擴展性優(yōu)勢。為支持此解決方案，網(wǎng)絡(luò)設(shè)計必須高效地解決以下問題： 訪問控制：確保能識別合法用戶和設(shè)備，對其分類，并允許其接入獲得訪問授權(quán)的網(wǎng)絡(luò)部分。 路徑隔離：確保各用戶或設(shè)備都能高效地分配到正確、安全的可用資源集即正確的VPN。 服務(wù)邊緣：確保合法的用戶和設(shè)備能訪

17、問相應(yīng)的正確服務(wù)，并集中實施策略。 思科解決方案能通過幾個方式實現(xiàn)網(wǎng)絡(luò)虛擬化。虛擬化技術(shù)使單一物理設(shè)備或資源能作為它自己的多個物理版本，在網(wǎng)絡(luò)中共享。網(wǎng)絡(luò)虛擬化是思科SONA框架的一個重要組件。思科SONA使用虛擬化技術(shù)來改進服務(wù)器和存儲局域網(wǎng)（SAN）等網(wǎng)絡(luò)資產(chǎn)的使用。例如，一個物理防火墻能配置為執(zhí)行多個虛擬防火墻的功能，幫助企業(yè)優(yōu)化資源和安全投資。其他虛擬化戰(zhàn)略包括集中策略管理、負載均衡和動態(tài)分配等。虛擬化能提高靈活性和網(wǎng)絡(luò)效率，降低資本和運營開支。訪問控制：身份驗證和接入層安全接入層安全對于保護園區(qū)局域網(wǎng)免遭外部威脅十分重要。通過在威脅進入園區(qū)前即采取防御措施的特性，能對思科網(wǎng)絡(luò)虛擬化解

18、決方案構(gòu)成補充。IEEE 802.1X即是這樣一種技術(shù)，它是端口安全的標準。802.1X在用戶及其相關(guān)的VPN間形成強大的連接，防止在未授權(quán)情況下訪問禁止接入的資源。另一種補充技術(shù)是思科網(wǎng)絡(luò)準入控制(NAC)。NAC的職責是在邊緣防御威脅，在有害流量到達分布層或核心層前即將其刪除。NAC有助于確保用戶不會使園區(qū)基礎(chǔ)設(shè)施遭受到任何病毒、蠕蟲等威脅。路徑隔離：L3 VPN為支持園區(qū)網(wǎng)絡(luò)虛擬化，思科提供了三個非常適用于典型園區(qū)網(wǎng)絡(luò)設(shè)計，并混合使用了L2和L3技術(shù)的解決方案： GRE隧道 VRF-lite MPLS VPN GRE隧道GRE隧道為在園區(qū)網(wǎng)絡(luò)上創(chuàng)建封閉用戶組提供了一種相當簡單且高效的方法

19、。GRE隧道非常適于作為托管“訪客”接入的企業(yè)解決方案，使公司能為訪客或來訪者提供全球互聯(lián)網(wǎng)接入，而又能防止這些用戶訪問內(nèi)部資源。在圖1中，GRE隧道與Cisco VRF-lite特性共用，為訪客接入創(chuàng)建了一個簡單、易于管理的解決方案。圖1. 結(jié)合使用GRE隧道和VRF-lite該解決方案的優(yōu)勢包括： 能跨越典型的多層園區(qū)網(wǎng)絡(luò)（無需園區(qū)級VLAN）。 訪客用戶流量與其他公司局域網(wǎng)流量隔離。 所有訪客流量的進入點位于中央位置，使安全性和服務(wù)質(zhì)量(QoS)策略更易于管理。 甚至能通過廣域網(wǎng)擴展到分支機構(gòu)。 在將GRE隧道作為支持封閉用戶組的解決方案時，需要注意的一個因素是隧道本身較難配置和管理，因

20、此不建議解決方案部署超過兩條隧道。此類網(wǎng)絡(luò)虛擬化適用于需要星型拓撲的場合。VRF-liteVRF-lite是一個思科特性，通常稱為多VRF客戶邊緣，通過使用單一路由設(shè)備支持多個虛擬路由器，來提供園區(qū)分區(qū)解決方案。VRF-lite是MPLS的輕量版本。利用VRF-lite，網(wǎng)絡(luò)經(jīng)理能靈活地為任意特定VPN使用任意IP地址空間，而無論它是否與其他VPN的地址空間重疊或沖突。這種靈活性在很多場合都非常實用。例如，當所收購公司的網(wǎng)絡(luò)合并到一個共享局域網(wǎng)中，所收購的網(wǎng)絡(luò)能作為獨立VPN進入基礎(chǔ)設(shè)施，幾乎或完全不會干擾網(wǎng)絡(luò)上的日常業(yè)務(wù)流程。VRF-lite能用作端到端解決方案，如圖2所示，也能與另一解決方

21、案共用來支持封閉用戶組，這將在下一部分中討論?？傮w來說，VRF-lite的可擴展性高于GRE隧道，但它最適用于有四或五個分區(qū)的網(wǎng)絡(luò)。每次添加用戶組時，它都需要人工重配置，因此相當耗費勞力。圖2. VRF作為端到端解決方案部署MPLS VPN另一種為封閉用戶組進行園區(qū)網(wǎng)絡(luò)分區(qū)的方法為基于MPLS的L3 VPN。和GRE隧道與VRF-lite一樣，MPLS VPN提供了一種安全可靠的方式，在通用物理基礎(chǔ)設(shè)施上進行網(wǎng)絡(luò)邏輯分區(qū)。盡管電信運營商使用MPLS技術(shù)的時間已有幾年，但因為局域網(wǎng)交換機上缺乏對MPLS的支持，它還未在企業(yè)網(wǎng)絡(luò)中廣泛部署。而不斷改變的業(yè)務(wù)需求，以及相應(yīng)的新產(chǎn)品面世，正幫助MPLS

22、成為園區(qū)基礎(chǔ)設(shè)施中的重要技術(shù)。隨著Cisco Catalyst 6500系列提供了對于MPLS VPN的支持，對許多大型企業(yè)來說，MPLS技術(shù)已擁有了廉宜價位。MPLS VPN具有本文中討論的其他解決方案的所有優(yōu)勢（參見圖3）。此外，任何MPLS VPN都能通過配置，連接至用戶和位于網(wǎng)絡(luò)中任意地點的資源，而不會影響性能或網(wǎng)絡(luò)設(shè)計。相應(yīng)地，MPLS VPN也是三個思科網(wǎng)絡(luò)基礎(chǔ)設(shè)施虛擬化解決方案中可擴展性最高的。當添加或改動用戶組時，無需人工重配置，這提高了可擴展性，降低了運營開支。當在網(wǎng)絡(luò)邊緣使用VLAN，在園區(qū)的路由部分使用L3 VPN時，保留了層次化園區(qū)網(wǎng)部署的所有優(yōu)勢，同時該解決方案還能在

23、園區(qū)局域網(wǎng)中實現(xiàn)端到端、可擴展分區(qū)，并支持集中的安全特性和服務(wù)。和VRF-lite一樣，網(wǎng)絡(luò)定址靈活性也是MPLS VPN的另一優(yōu)勢。圖3. MPLS VPN支持任意到任意連接統(tǒng)一接入提供靈活性這三個思科園區(qū)網(wǎng)虛擬化解決方案并不限制用戶使用任何特定的接入類型。盡管他們在單一物理網(wǎng)絡(luò)基礎(chǔ)設(shè)施中工作，但這些解決方案能輕松地支持移動用戶。無論使用的解決方案是基于GRE隧道、VRF-lite還是MPLS VPN，用戶只要能接入網(wǎng)絡(luò)，就能透明地與其所屬的封閉用戶組相關(guān)聯(lián)。虛擬化服務(wù)虛擬化網(wǎng)絡(luò)服務(wù)是思科網(wǎng)絡(luò)基礎(chǔ)設(shè)施虛擬化解決方案和SONA的一個重要組件，能幫助企業(yè)高效運營，從而減少其網(wǎng)絡(luò)上使用的設(shè)備數(shù)目。思科網(wǎng)絡(luò)虛擬化解決方