El Switch Virtual Distribuido (DVS) proporciona visibilidad, seguridad y control a los entornos de red de nuestro servidores XenServer. Este consiste en un Switch virtualizado (vSwitch) corriendo en cada servidor XenServer y un DVS Controler, como servidor centralizado para administrar y coordinar cada uno de los vSwitchs.

DVSC se proporciona como máquina virtual de XenServer. En este artículo vamos a ver como instalar DVS y una breve Overview del producto.
DVS Controler proporciona definir de  manera granular políticas de seguridad para el control del tráfico enviado y recibido por las VMs de un host proporcionando una visibilidad detallada de lo que ocurre y del rendimiento de todo el tráfico enviado dentro del entorno de red.

Para habilitar vSwitch deberemos seguir los pasos que indicamos a continuación. El primer paso, es habilitar  la funcionalidad en los host de XenServer. Para ello, vía CLI, mediante SSH, Localmente o utilizando la consola del  host de  XenCenter, habilitaremos vSwitch tecleando:

$ xe-switch-network-backend openvswitch

Una vez habilitado, será necesario reiniciar el host de XenServer. Este comando modifica el fichero /etc/xensource/network.conf y coloca la línea OpenvSwitch en lugar de Bridged para que pueda establecerse la conexión con el servidor.
Para utilizar DVS Controler necesitaremos cumplir con unos requerimientos mínimos de Hardware para la VM que correrá DVSC. Esta debe cumplir con.

•    2 CP
•    2GB RAM
•    16GB Disco

Una vez seguros que cumplimos con los mismos, se realizará la importación de la VM tal y como indicamos a continuación.
Lo primero que haremos será descargar desde MyCitrix el fichero .xva en formato .GZ. Si tenemos este fichero en el propio servidor, deberemos descomprimir el mismo mediante la línea de comandos:

$ gunzip –c fichero.gz

O

$ tar –xvf fichero.gz

En un sistema Windows, podemos utilizar alguna herramienta como WinRar para realizar la descompresión del fichero .gz.

Ello nos proporcionara un fichero .xva, formato default utilizado por XenServer como discos virtuales. Llegados a este punto, disponer de DVSC en nuestro host pasará por una importación.

Seleccionamos mediante “Browse” la ubicación del fichero .XVA descargado.

Seleccionamos el host dónde importaremos la VM del DVSC.

Seleccionamos el Storage dónde ubicar la VM y la interface de red de XenServer dónde conectaremos DVSC.
Una vez finalizado, se nos mostrará un resumen de los datos especificados y confirmando la misma se procederá a la importación de la VM.

En la pestaña “Logs” del Host podremos ver el estado y evolución del proceso de importación.

La importación puede tardar  +/- unos 15-20 min para los 5GB de XVA y se creará una VM de unos 16GB de disco.
Una vez importada la máquina DVSC, dispondremos de un prompt dónde logarnos y empezar a utilizar DVSC.

Para acceder a DVS disponemos de varios modos:

Acceso CLi:

•    Mediante la pestaña consola de la VM DVSC en XenCenter
•    Mediente conexión SSH contra el DVSC

Acceso GUi:

•    Localmente Mediante XenCenter
•    Utilizando un Explorador web..

Cuando nos loguemos en DVSC, lo primero que deberemos hacer es configurar las IPs de nuestro servidor.  El acceso a DVSC se realizará mediante el usuario admin passwd admin, por defecto.

Una vez dentro de DVSC, configuramos la tarjeta de red mediante el siguiente comando:

$ set controller management-interface config static [ip] [mask] [Gateway]

Si vamos a configurar el servidor via DHCP en lugar de una dirección estatica, cambiaremos el static y sus argumentos por dhcp.

Una vez configurada nuestra interface de red, podremos acceder al mismo mediante un explorador web.

Nos logamos como indicamos anteriormente y, por motivos de seguridad, se nos solicitará una nueva password para admin.

Tras ello, dispondremos de acceso a la consola web de DVSC.

Otra manera de acceder gráficamente a DVSC, es mediante XenCenter. Pero, como lo hacemos si usualmente mediante la pestaña console accedemos directamente al CLI?

Primero deberemos activar la opción “Local-Gui” en modo enabled. Para ello, dentro de la CLI de DVSC, teclearemos lo siguiente:

$ set controller local-gui-enabled yes

Para acceder a la GUI desde XenCenter, nos posicionaremos en la pestaña console, y pulsaremos sobre la opción “Switch Graphical console”

Apareciendo la solicitud de password necesaria para logarnos.

Nos validamos mediante la nueva password, accediendo de este modo al entorno gráfico vía XenCenter . Puede ser que no podáis logaros via “Switch to graphical”, eso es debido a que además seria necesario establecer una passwd para la conexión VNC, ya que esta se realiza vía VNC.

Para ello, realizaremos lo siguiente desde el CLI.

$ set controller vnc-passwd

Establecido el mismo, ya podemos logar sin problemas con nuestro DVSC.

NOTA: La contraseña de VNC, debe tener almenos 8 carácteres y únicamente habilitará el acceso mediante VNC contra el servidor. Posteriormente necesitaremos logarnos igualmente en nuestro DVSC.

DVS Controller: Overview

Vamos a echar un vistazo a nuestro vSwitch y a configurarlo para nuestro entorno. Lo primero que nos llama la atención es lo tres menús superiores (Top Panel) que nos posibilitan los tres grandes accesos a DVSC.

Dashboard, Visibility&Control y Settings.

Dashboard nos proporciona una vista global y estadísticas e información relativa a nuestro entorno de red y los eventos administrativos.

Visibility&Control, nos brinda estados y estadísticas y nos posibilita la configuración de acceso y control, QoS y la configuración de directivas que utilizaremos en nuestras redes virtuales.

Settings, nos posibilita la configuración de DVSC, IPs, usuarios, delegación de permisos, servidor NTP, Mantenimiento y updates, acceso al syslog y configuración de Snapshots.

Disponemos de una barra de estado, que nos permite visualizar  la versión, la ayuda online, realizar el Logout, refrescar o ver con que usuario estamos logados.

Un panel lateral que hace referencia a las opciones que tenemos disponibles en cada opción del Top Panel, y una panel Central  y  Side Panel, dónde podemos ver , en forma de árbol los nodos y grupos disponibles a configurar. Este Panel, solo está disponible en Visibility&Control.

Cuando se selecciona un elemento del Panel de árbol o Side panel, por ejemplo, una VM dentro del panel de recursos, se nos mostrará información como el estado de la misma en el panel central.

Para disponer de funcionalidad en los paneles, primero deberemos configurar el acceso a nuestro Host. Para ello, dentro de la opción “All Resource Pool”, añadiremos el acceso a Pool Master Server del pool que administraremos con DSVC.

 

NOTA: Si en este punto no conseguís conectaros al Master Poll (con el error de authentication Failure) puede ser debido a que no habéis activado el OpenvSwitch en XenServer o no disponéis de las licencias adecuadas en el servidor de licencias.

 

Como podeis ver, tras incluir el pool de hypervisores, el Dashboard ahora muestra información al respecto sobre el entorno de red.

Si Pulsamos sobre el pool de Network en el Visibility&Control, podemos ver información ampliada relativa a las red en cuestión, el interface físico, sus VMs  (con datos de red asociados, IP, Mac, tráfico).

De igual modo, podemos consultar esa información por Host de XenServer y para entrar al detalle sobre interfaces VIF y las VMs, seleccionaremos el pool correspondiente a las VMs.

Desde cada VIF podemos ver una lista de las  políticas configuradas y establecidas y cuales afectan al interface en cuestión, pudiendo ver  un desglose ya sea por descripción de la norma o visualizando los detalles de la misma.

La pestaña de Flow Stadistics, nos muestra  una gráfica con histórico de estadísticas y visualización en tiempo real del estado de la red.

La siguiente pestaña, Access Control, nos muestra información relativa a las políticas aplicadas. Estas normas son configurables por VIF, PIF, por VM o por Pool.

Port Configuration, nos permitirá configurar políticas aplicables a los puertos VIF. Las siguiente políticas son soportadas en este  punto:
QoS: Quality of Service, nos proporciona directivas para controlar el ratio máximo de transferencia por VM conectada a DVS.
Traffic Mirroring: Remote Switched Port Analyzer (RSPAN) proporciona directivas de soporte para el envio y recepción, tanto en VIF como en VLAN del Mirroring Trafic con el fin de soportar el trafico utilizado por las aplicaciones de monitorización.

DVSC, nos permite configurar GRUPOS de VMs o de Address . Ello nos permitirá especificar rangos de IP para utilizar como origen o destino para las ACLs y para el reporte y estadísticas del grupo en el Flow Stadistics.
Añadir un grupo es muy sencillo, nos situamos en el Visibility, en la pestaña Status y seleccionamos Create Group.

Indicamos el nombre del mismo, su descripción e incluimos las  VMs que queramos incluir en el grupo. En nuestro caso, incluimos los dos apliances de Citrix.

Creado el grupo podemos agregar miembros, de igual forma a la creación del grupo.

Nos aparecerá un desplegable con las VMs disponibles.

Pudiendo ver en el Pool del Grupo en cuestión un resumen del mismo.

Ahora, si nos situamos en el Grupo Creado y nos vamos al FlowStadistics, únicamente veremos información relativa a las máquinas virtuales que componen el grupo.

En la parte de Address Group, el concepto es el mismo pero agrupando en direcciones de red.

A partir de ahí, tocará empezar a crear nuestras directivas de acceso mediante la consola Access Control para la cual podemos utilizar directivas ACL en las cuales se incluye:

• Acción: indicación de que hacer con un tráfico especifico (permitir o denegar)
• Protocolo: El protocolo del tráfico al cual queremos aplicar la directiva. Podemos aplicar a todos los protocolos utilizando (Any).
• Direction: La dirección del tráfico dónde se aplica la norma. (from, to)
• Remote Address: Indica que la regla se limita a cierta dirección IP en particular.

Las directivas además siguen un esquema de directivas en forma de árbol con lo cual se aplican reglas de herencia y prevalencia por nivel.

CLI – Command Line  Interface
Aunque disponemos de una consola Gráfica, también podemos acceder a la CLI de nuestro DSVC. Este, aunque es una base Linux, mediante el usuario admin, nos sumistra un entorno modificado en la cual solo tenemos acceso a ciertos comandos para la administración de DVSC.

Estos son bastante intuitivos, empezando por aquellos que empiezan por:

• Show: Muestran información del Controller
  Set: Modifican información del controller.
  Restart: para el reinicio de los daemons.

Además disponemos de otros comandos, tales como:
Ping, Help, y  exit.

Algunos ejemplos de comandos  són:

• Realiza un Shutdown del servidor
  $ halt controller
• Configurar la tarjeta de red
  $ set controller management-interface config static [ip] [mask] [Gateway]
• Habilitar VNC para el Switch a modo gráfico
  $ set controller local-gui-enabled yes
• Indicar Password para validación VNC
  $ set controller vnc-passwd
• Indicar la versión del controller
  $ show controller versión
• Indicar la configuración de red
  $ show controller management-interface
• Modificar el nombre de host
• $ set controller hostname

DVSC es una herramienta a la cual podemos sacarle mucho jugo que nos proporciona un completo análisis de nuestros recursos de red virtuales así como una completa gestión de directivas para el control del tráfico.