軟件定義的數(shù)據(jù)中心已經(jīng)來臨

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

VMware和微軟提供了軟件定義的數(shù)據(jù)中心的解決方案。在軟件定義的數(shù)據(jù)中心中，所有的資源——包括計(jì)算、存儲(chǔ)、可用性、網(wǎng)絡(luò)和安全等——都實(shí)現(xiàn)了虛擬化和自動(dòng)化。本文主要關(guān)注的是其中新加入的特性：虛擬化網(wǎng)絡(luò)與安全。

為了提供一個(gè)完全自動(dòng)化的數(shù)據(jù)中心，VMware和微軟正在進(jìn)行最后的努力。完全自動(dòng)化的數(shù)據(jù)中心可以作為云解決方案的基礎(chǔ)，不管是公有云、私有云還是混合云。VMware將該技術(shù)稱作軟件定義的數(shù)據(jù)中心(SDDC，Software-defined Datacenter)，而微軟稱之為軟件定義的網(wǎng)絡(luò)(SDN，Software-defined Networking)，后者指的是數(shù)據(jù)中心謎題中需要實(shí)現(xiàn)自動(dòng)化的最后一部分。計(jì)算、存儲(chǔ)和可用性等資源實(shí)現(xiàn)自動(dòng)化已經(jīng)有很多年了，但是各大公司仍然一直致力于網(wǎng)絡(luò)的虛擬化和自動(dòng)化，以及與之相關(guān)的策略和安全等問題。目前有兩個(gè)典型的解決方案，一個(gè)是VMware的vCloud Suite，另一個(gè)是微軟的windows Server 2012和System Center 2012 SP1，Virtual Machine Manager。

在最近的VMware World 2012大會(huì)上，VMware宣布，vCloud Suite 5.1為構(gòu)建包括網(wǎng)絡(luò)和安全在內(nèi)的所有資源虛擬化、池化和自動(dòng)化的數(shù)據(jù)中心提供了可能。vCloud的網(wǎng)絡(luò)與安全層可以創(chuàng)建多租戶虛擬化網(wǎng)絡(luò)，該網(wǎng)絡(luò)可以動(dòng)態(tài)修改以適應(yīng)新的需求，包括虛擬防火墻、VPN、負(fù)載均衡和VXLAN網(wǎng)絡(luò)。VMware云基礎(chǔ)設(shè)施事業(yè)部安全與網(wǎng)絡(luò)部門的VP/CTO，Allwyn Sequeira，解釋到軟件定義的網(wǎng)絡(luò)有幾個(gè)關(guān)鍵屬性：

抽象。網(wǎng)絡(luò)抽象為一組網(wǎng)絡(luò)端口(以及虛擬的網(wǎng)絡(luò)接口卡與虛擬機(jī)端)。而安全抽象為一組端口防火墻和端點(diǎn)內(nèi)省。這些抽象分別通過虛擬交換機(jī)(vSwitch)和虛擬防火墻(vShIEld)實(shí)例化，并以一種向外擴(kuò)展的方式部署在每個(gè)主機(jī)管理程序上。網(wǎng)絡(luò)和安全虛擬化層有效地將VDC從底層的物理網(wǎng)絡(luò)和防火墻架構(gòu)中解脫了出來，也為創(chuàng)建棧體系提供了邏輯基礎(chǔ)。

池化。vSwitches池化到虛擬分布式交換機(jī)(VDS，virtual distributed switches)中。端口池化到端口組中。邏輯網(wǎng)絡(luò)調(diào)節(jié)這些接口組，它們可以跨數(shù)據(jù)中心實(shí)例化(VXLAN)。端口防火墻在vShield App或Edge中實(shí)現(xiàn)?；谔摂M機(jī)的安全可以通過vShield Endpoint以及端點(diǎn)安全合作伙伴的產(chǎn)品來實(shí)現(xiàn)。因?yàn)橄蛲鈹U(kuò)展這種部署方式的特性，這些池是彈性的，而且是數(shù)據(jù)中心范圍的，可以按需分配給租戶或應(yīng)用的所有者。

服務(wù)注入。為了使額外的抽象能直接注入到虛擬層中，平臺(tái)必須是可擴(kuò)展的。這些額外的抽象包括加密、入侵檢測(cè)與防范、反病毒、應(yīng)用交付控制器、數(shù)據(jù)泄露預(yù)防、廣域網(wǎng)優(yōu)化控制、監(jiān)控工具和其他L4-7服務(wù)等。網(wǎng)絡(luò)和安全虛擬化層為這類設(shè)備的直接注入提供了一個(gè)邏輯環(huán)境。

自動(dòng)化。正如虛擬機(jī)是服務(wù)器虛擬化的容器，虛擬數(shù)據(jù)中心(VDC，Virtual Data Center)就是SDDC的容器。通過vCloud Director，VDC可以完全自動(dòng)化地部署，還可以基于策略來部署計(jì)算和存儲(chǔ)資源，而將網(wǎng)絡(luò)和安全的部署委托給vCloud的網(wǎng)絡(luò)與安全子系統(tǒng)。一個(gè)集中的命令與控制機(jī)制(vShield Manager)會(huì)列出所有的抽象與池，它還要負(fù)責(zé)管理功能，并將這些池映射到租戶或應(yīng)用等高層實(shí)體的需求之中，還要與高層的虛擬化容器進(jìn)行配合。多租戶、隔離、彈性，以及RESTful接口的可編程性，都是在這里處理的。

在最近的一篇博客文章中，微軟的Windows網(wǎng)絡(luò)團(tuán)隊(duì)的總經(jīng)理Sandeep Singhal，以及SCVMM團(tuán)隊(duì)的部門項(xiàng)目經(jīng)理Vijay Tewari，他們討論了內(nèi)置于Windows Server 2012和System Center 2012 SP1中的軟件定義的網(wǎng)絡(luò)能力，利用虛擬化網(wǎng)絡(luò)，客戶不需要修改IP地址，即可將其數(shù)據(jù)中心遷移到Windows Azure云中，他們也解釋了這是如何做到的：

Hyper-V虛擬化網(wǎng)絡(luò)能夠在一個(gè)共享的物理網(wǎng)上創(chuàng)建多租戶虛擬網(wǎng)絡(luò)，這為云帶來了網(wǎng)絡(luò)靈活性。 每個(gè)租戶都有一個(gè)完整的虛擬網(wǎng)絡(luò)，包括多個(gè)虛擬子網(wǎng)和虛擬路由。(有些現(xiàn)有的虛擬化解決方案假定租戶只有一個(gè)子網(wǎng)!)在每個(gè)主機(jī)上，Hyper-V使用可以動(dòng)態(tài)更新的SDN策略，將一個(gè)租戶網(wǎng)絡(luò)與其相應(yīng)的直達(dá)目標(biāo)的流量聯(lián)系起來。SDN策略也決定了哪個(gè)虛擬機(jī)的這些租戶虛擬機(jī)能夠與其通信，此舉提供了必要的隔離。因此，Hyper-V網(wǎng)絡(luò)虛擬化允許將租戶的負(fù)載放到物理數(shù)據(jù)中心內(nèi)的任何地方。租戶網(wǎng)絡(luò)甚至可以使用私有的物理地址(可以復(fù)用其他租戶使用的地址)，通過使用自己的IP地址，租戶可以將現(xiàn)有的負(fù)載快速遷移到云中。實(shí)際上，Windows Server 2012支持可以互操作的cross-premise連接，所以你可以無縫地將公有云中的子網(wǎng)連接回你的本地網(wǎng)絡(luò)。

我們的SDN解決方案更進(jìn)了一步，在Hyper-V虛擬交換機(jī)上，支持豐富的流量控制策略。以每個(gè)虛擬機(jī)為基礎(chǔ)，你可以配置安全策略用以限制流量類型(和目標(biāo))。為了確保關(guān)鍵任務(wù)服務(wù)總能夠使用必要的網(wǎng)絡(luò)容量，你還可以為特定的虛擬機(jī)預(yù)留帶寬。為了避免流量饑餓，或者支持各種計(jì)費(fèi)模型，你甚至可以申請(qǐng)帶寬上限。更重要的是，這些網(wǎng)絡(luò)控制策略是動(dòng)態(tài)的，因此可以實(shí)時(shí)調(diào)整。

Singhal和Tewari聲稱，他們的網(wǎng)絡(luò)虛擬化解決方案已經(jīng)在Azure數(shù)據(jù)中心的產(chǎn)品中進(jìn)行了測(cè)試，“在4000個(gè)物理主機(jī)上，能夠協(xié)同數(shù)以萬計(jì)的虛擬機(jī)之間的通信”。 另一方面，VMware聲稱其解決方案是建立在開放標(biāo)準(zhǔn)之上的，可以將第三方服務(wù)(包括使用硬件和虛擬化設(shè)備)插入到虛擬網(wǎng)絡(luò)的不同位置來訪問流量，具體細(xì)節(jié)請(qǐng)參考其白皮書。