理解端口与端口组

首先刚接触到VMware vSphere，其中的几个产品及其它们的关系先写一下，便于后期的理解。

• vSphere：这是一整套产品，是VMware公司的一套服务器虚拟化解决方案，其中有VMware ESXi hypervisor、VMware vCenter Server一系列产品;
• ESXi：它是一个虚拟机的管理程序（hypervisor），其实就是将X86的服务器给虚拟化，之后便可以在这台服务器上创建、配置多个虚拟机以及相应的OS(Linux和Windows)；需要补充的是，ESXi和VMware（workstation）的区别：VMware需要在一台已经安装了OS的机器上进行安装运行；而ESXi是直接运行在服务器硬件上的，用于企业级，一般的IDC（互联网数据中心）现在都是采用ESXi。
• vCenter Server：在ESXi虚拟化之后的服务器需要工具管理，而vCenter Server就是，并且可以同时管理多台；
• vSphere Client：可以直接管理装有ESXi主机，但只能管理一台；而通过vCenter之后可以实现ESXi服务器的集中式管理，实现更多的功能；

端口与端口组

正式进入主题，理解端口与端口组的概念。在理解端口和端口组之前，需要先介绍一些概念:

1、ESXi网络架构的主要工作就是虚拟交换机的创建、配置，虚拟交换机有两类：标准交换机（vSwitch，下简称）和分布式交换机。

2、vSwitch的创建是在vSphere Web客户端，管理的话，可以在vSphere Web中也可以在vSphere CLI上使用esxcli命令进行管理，但是这些都只能在VMkernel中操作。那么虚拟交换机主要有以下几个类型的通信方式：

• 同一个ESXi主机中不同虚拟机之间；
• 不同ESXi主机中不同虚拟机之间；
• 虚拟机与网络中物理主机之间；
• vMotion、iSCSI、NFS或容错日志的VMkernel网络访问；

3、VMkernel（也叫vmknic）端口：一种特殊的虚拟交换机端口，配置一个IP，主要功能是支持虚拟机管理程序流量管理、vMotion、iSCSI存储访问、网络附加存储（NAS）、网络文件系统（NFS）访问或vSphere FT日志记录；（关于VMkernel需要更详细的内容）

从这其实可以看出来，想要实现如此多的通信方式，vSwitch并不是孤立的，如此我们便需要理解“上行链路”、“端口和端口组”的的概念了。如果没有上行链路，那么vSwitch就无法访问上行网络设备；如果没有端口，那么vSwitch就无法连接虚拟机或者VMkernel。

介绍了虚拟交换机的两个分类，以及标准虚拟交换机所实现的通信方式。而这些不同的通信方式，就是ESXi使用端口和端口组来区分的。这里虚拟交换机与物理交换机一样，如果没有端口，那就是无法与其他交换机相连接，那它就是无用的一台机器而已。

4、关于端口和端口组：

端口组主要有两个作用：

• 一是区分通过vSwitch的流量类型；
• 二是可以充当通信或者安全策略配置的边界。（管理员可以在标准虚拟交换机和端口组级别配置第2层以太网安全选项；其实也可以在端口组级别上覆盖标准虚拟交换机级别所设置的网络策略）

sWitch可以有两种链接类型：

• 一是VMkernel端口：用于IP储存或者vMotion迁移；用于ESXi管理网络
• 二是VM端口组，一个或者多个。

在实际操作中，这两种链接方式是可以并存的，也就是我可以在一台交换机上创建拥有这两种链接类型的虚拟交换机。由于没有端口或端口组的sWitch是没有意义的，所以要求sWitch必须至少包含一个端口或者是端口组，所以在使用vSphere Web创建sWitch时会默认创建新的端口或者端口组。除了端口和端口组，上行链路（另一篇）也是必须的，否则虚拟交换机无法与外部网络链接。

补充：【转发】

“虚拟机不是将其 vNIC 连接到 vSwitch 上的特定端口，而是连接到端口组。”——官方文档

端口组是虚拟化领域里独有的概念，准确的说是VMware为虚拟化平台引入的概念；同时，可以把它理解为一种执行策略，这种策略可以提供增强的网络安全、网络分段、更佳的性能、高可用性以及流量管理。

交换机可以分割冲突域，但是接入所有交换机的端口都处在一个广播域之中，物理环境可以放置路由器来分割广播域，但是在虚拟环境下，该怎样分割广播域，当然不会在虚拟一个路由器吧，所以端口组的概念就出现了。端口组是以名称来区分的，同一台物理服务器的端口组的名称是唯一的。不同端口组的虚拟网卡将不会收到互相的广播，这种限制不仅局限于同一台物理服务器上，而且也可以这样理解，对于数据中心中物理连接到同一网络的所有端口组（即每组都可以接收其他组的广播），会赋予同一标签。 反过来，如果两个端口组无法接收对方的广播，则会赋予不同的标签。

端口组的设置默认从它所在的虚拟交换机继承，同时，也可以在端口组层面单独修改；这样可以将设置的粒度划分的更小，可以设置vlan、流量调整、网卡绑定调整。