Designa nätet innan VM:arna skapas
Nätverk i VMware ESXi är enkelt att komma igång med men lätt att göra otydligt. En virtuell switch kan snabbt få flera portgrupper, VLAN och uplinks utan att någon dokumenterar varför de finns. När ett problem sedan uppstår blir det svårt att veta om felet ligger i gästoperativsystemet, portgruppen, den fysiska switchen eller brandväggen. En bra nätverksdesign börjar därför med tydliga syften: management, VM-trafik, lagring, vMotion och eventuellt backup ska inte blandas utan eftertanke.
Standard vSwitch räcker långt i mindre miljöer. Den hanteras per ESXi-värd och kopplar virtuella nätverkskort till fysiska uplinks. Portgrupper används för att definiera nät där virtuella maskiner ansluts. Varje portgrupp kan ha VLAN-ID och säkerhetspolicyer. I större miljöer ger vSphere Distributed Switch mer centraliserad hantering, konsekventa inställningar och bättre överblick, men den kräver rätt licens och mer planering.
Managementnät och separering
Managementnätet är det viktigaste nätet att skydda. Om fel personer kan nå ESXi Host Client, vCenter eller SSH ökar risken för allvarliga incidenter. Management bör ligga i ett eget VLAN eller segment med brandväggsregler som bara tillåter administratörsarbetsstationer, jump hosts och övervakning. Det bör inte vara åtkomligt från vanliga klientnät. NTP, DNS och syslog ska också planeras så att värden kan kommunicera med rätt system utan att öppna onödiga vägar.
Om du läser om VMware ESXi 7 bör du komma ihåg att äldre miljöer ofta har vuxit fram över tid. En uppgradering är ett bra tillfälle att granska portgrupper, gamla VLAN, oanvända uplinks och dokumentation. Generell support för vSphere 7.x upphörde den 2 oktober 2025, vilket gör det extra viktigt att äldre nätverksdesign inte följer med okritiskt in i nya versioner.
VLAN och portgrupper
VLAN i ESXi konfigureras normalt på portgruppen. Det gör att flera logiska nät kan dela samma fysiska uplink, förutsatt att switchporten är korrekt trunkad. Namnge portgrupper så att de går att förstå även för den som inte byggde miljön. Ett namn som "PG-Prod-App-VLAN120" säger mer än "Network 2". Undvik också att återanvända samma namn för olika nät på olika värdar, eftersom det skapar risk vid migrering av VM:ar.
Säkerhetspolicyer på vSwitch och portgrupper bör granskas. Inställningar som promiscuous mode, MAC address changes och forged transmits ska normalt vara avstängda om det inte finns ett tydligt behov, till exempel för vissa virtuella brandväggar eller lastbalanserare. När undantag behövs ska de dokumenteras så att de inte uppfattas som misstag vid en revision.
Uplinks och redundans
Fysiska nätverkskort är länken mellan virtuella nät och resten av infrastrukturen. Redundans bör planeras med både ESXi och den fysiska switchmiljön i åtanke. NIC teaming kan ge tillgänglighet, men felaktig lastbalansering eller trunkkonfiguration kan skapa svårfelsökta problem. Kontrollera alltid att fysiska switchportar har rätt VLAN, hastighet, duplex och eventuella LACP-inställningar om sådana används.
För lagringsnät som iSCSI eller NFS kan separat fysisk kapacitet vara klokt. Det minskar risken att intensiv VM-trafik påverkar lagringen. vMotion kan också behöva eget nät i större miljöer eftersom migreringar kan generera mycket trafik. Små miljöer kan dela uplinks med VLAN-separering, men då måste kapacitet och prioritering övervakas.
Felsökning
Vid nätverksproblem bör du följa trafiken steg för steg: gästoperativsystem, virtuellt NIC, portgrupp, vSwitch, uplink, fysisk switch och vidare nät. Kontrollera om problemet gäller en VM, en portgrupp eller en hel värd. Jämför med en fungerande VM på samma portgrupp. Titta på felräknare i både ESXi och den fysiska switchen. Den som dokumenterar nätet tydligt före incidenten felsöker snabbare när incidenten väl kommer.