[sage-ka] Virtualisierung als Sparmaßnahme

Olaf Hopp Olaf.Hopp at atis.uka.de
Mi Apr 15 10:47:40 CEST 2009 

On 04/15/2009 10:25 AM, Andreas Jellinghaus wrote:
> Wenn wir schon bei ESXi sind, eine Frage dazu noch:

Meine Aussagen unten beziehen sich nur auf den ESX (ohne i)
> 
> wie zieht man einen guest auf einen anderen host, und bekommt
> da keine probleme? eine möglichkeit ist eine neue mac für die
> IP und diese per broadcast bekannt geben. da gibts aber nichts
> standardisiertes, und das hätte diverse probleme, oder?

Nein die  MAC "wandert" mit.
Der Switch lernt die neue MAC/Port Konfig on-the-fly
Am Switch haben wir nicht gefummelt. Vielleicht schickt der
ESX Host aktiv einen arp-Request damit der Switch das moeglichst
schnell lernt. Wenn man bei einer Live-Migration zuschaut und gleichzeitig
eine Ping auf die migrierende VM schickt, passiert es _manchmal_,
das ein Ping verloren geht, meistens aber nicht.

> also bleibt für mich nur die feste mac per netzwerk interface
> auf jedem guest, die mit wandert. das setzt schon mal die anbindung
> per bridged mode vorraus. da frage ich mich nun aber weiter:
> wie ist das verhältnis zwischen switch und host? der switch
> muss ja auch seinen internen cache aktualisieren, und die
> packete zur gleichen mac an einen anderen host schicken.
> wie wird der darüber informiert? reicht es ein packet mit
> der guest mac von der neuen quelle aus zu schicken? wäre
> das nicht unsicher?
> 
> oder brauchtes mehr vertrauen zwischen switch und host, als
> man einem normalen serverinterface geben würde? oder gar
> routing protokolle (STP was das glaub ich)? und falls der
> host "mehr vertrauen" bekommt, wieviel filter etc. sind
> in der bridge implementation? kann der guestunfug machen
> (arp spooding, arp caches fluten, STP angriffe, und was wir
> alles in den letzten jahrzehnten so hatten), oder hat vmware
> filter eingebaut, die trotz bridge konfiguration vieles
> verhindern (ähnlich wie switches eigentlich transparent
> sind, aber in der sicheren konfiguration bei arp fluten
> und ähnlichem den port dicht machen können)?

Per default das der Gast das nicht, man kann es ihm aber
explizit erlauben solchen Unfug zu treiben, wenn mans braucht.
Ebenso ist der promiscous mode der NIC verboten.
Das legt man aber als Admin auf dem virt. ESX Switch fest
an dem die VM haengt. Der Gast hat da keine Chance.

Olaf

-- 

==============================================================================
      __0
    _-\<,_     Dipl.-Geophys. Olaf Hopp
   (_)/ (_)    ATIS - Abteilung Technische Infrastruktur

University of Karlsruhe          EMail: Olaf.Hopp at atis.uni-karlsruhe.de
Faculty of Computer Science      WWW  : http://www.atis.uni-karlsruhe.de
Building 50.34 Room-No. 009
Am Fasanengarten 5               Fon  : +49 (721) 608-3973
D-76131 Karlsruhe / Germany      Fax  : +49 (721) 608-6699

==============================================================================