【CNETCOM 資訊】VMware和微軟提供了軟件定義的數據中心的解決方案。在軟件定義的數據中心中
，所有的資源——包括計算
、存儲、可用性、網絡和安全等——都實現了虛擬化和自動化。本文主要關注的是其中新加入的特性：虛擬化網絡與安全。

　　為了提供一個完全自動化的數據中心，VMware和微軟正在進行最後的努力。完全自動化的數據中心可以作為雲解決方案的基礎

，不管是公有雲、私有雲還是混合雲。VMware將該技術稱作軟件定義的數據中心(SDDC，Software-defined Datacenter)，而微軟稱之為軟件定義的網絡(SDN，Software-defined Networking)
，後者指的是數據中心謎題中需要實現自動化的最後一部分。計算、cunchuhekeyongxingdengziyuanshixianzidonghuayijingyouhenduonianle
，danshigedagongsirengranyizhizhiliyuwangluodexunihuahezidonghua，yijiyuzhixiangguandecelveheanquandengwenti。muqianyoulianggedianxingdejiejuefangan，yigeshiVMware的vCloud Suite
，另一個是微軟的Windows Server 2012和System Center 2012 SP1，Virtual Machine Manager。

　　在最近的VMware World 2012大會上，VMware宣布，vCloud Suite 5.1為構建包括網絡和安全在內的所有資源虛擬化、池化和自動化的數據中心提供了可能。vCloud的網絡與安全層可以創建多租戶虛擬化網絡，該網絡可以動態修改以適應新的需求
，包括虛擬防火牆、VPN、負載均衡和VXLAN網絡。VMware雲基礎設施事業部安全與網絡部門的VP/CTO
，Allwyn Sequeira
，解釋到軟件定義的網絡有幾個關鍵屬性：

　　• 抽象：網絡抽象為一組網絡端口(以及虛擬的網絡接口卡與虛擬機端)。而安全抽象為一組端口防火牆和端點內省。這些抽象分別通過虛擬交換機(vSwitch)和虛擬防火牆(vShield)實例化，並以一種向外擴展的方式部署在每個主機管理程序上。網絡和安全虛擬化層有效地將VDC從底層的物理網絡和防火牆架構中解脫了出來
，也為創建棧體係提供了邏輯基礎。

　　• 池化：vSwitches池化到虛擬分布式交換機(VDS，virtual distributed switches)中。端口池化到端口組中。邏輯網絡調節這些接口組
，它們可以跨數據中心實例化(VXLAN)。端口防火牆在vShield App或Edge中實現。基於虛擬機的安全可以通過vShield Endpoint以(yi)及(ji)端(duan)點(dian)安(an)全(quan)合(he)作(zuo)夥(huo)伴(ban)的(de)產(chan)品(pin)來(lai)實(shi)現(xian)。因(yin)為(wei)向(xiang)外(wai)擴(kuo)展(zhan)這(zhe)種(zhong)部(bu)署(shu)方(fang)式(shi)的(de)特(te)性(xing)，這(zhe)些(xie)池(chi)是(shi)彈(dan)性(xing)的(de)，而(er)且(qie)是(shi)數(shu)據(ju)中(zhong)心(xin)範(fan)圍(wei)的(de)，可(ke)以(yi)按(an)需(xu)分(fen)配(pei)給(gei)租(zu)戶(hu)或(huo)應(ying)用(yong)的(de)所(suo)有(you)者(zhe)。

　　• 服務注入：為了使額外的抽象能直接注入到虛擬層中，平台必須是可擴展的。這些額外的抽象包括加密、入侵檢測與防範、反病毒、應用交付控製器、數據泄露預防
、廣域網優化控製、監控工具和其他L4-7服務等。網絡和安全虛擬化層為這類設備的直接注入提供了一個邏輯環境。

　　• 自動化：正如虛擬機是服務器虛擬化的容器，虛擬數據中心(VDC，Virtual Data Center)就是SDDC的容器。通過vCloud Director
，VDC可以完全自動化地部署，還可以基於策略來部署計算和存儲資源，而將網絡和安全的部署委托給vCloud的網絡與安全子係統。一個集中的命令與控製機製(vShield Manager)會(hui)列(lie)出(chu)所(suo)有(you)的(de)抽(chou)象(xiang)與(yu)池(chi)
，它(ta)還(hai)要(yao)負(fu)責(ze)管(guan)理(li)功(gong)能(neng)
，並(bing)將(jiang)這(zhe)些(xie)池(chi)映(ying)射(she)到(dao)租(zu)戶(hu)或(huo)應(ying)用(yong)等(deng)高(gao)層(ceng)實(shi)體(ti)的(de)需(xu)求(qiu)之(zhi)中(zhong)，還(hai)要(yao)與(yu)高(gao)層(ceng)的(de)虛(xu)擬(ni)化(hua)容(rong)器(qi)進(jin)行(xing)配(pei)合(he)。多(duo)租(zu)戶(hu)、隔離、彈性，以及RESTful接口的可編程性
，都是在這裏處理的。

　　在最近的一篇博客文章中，微軟的Windows網絡團隊的總經理Sandeep Singhal，以及SCVMM團隊的部門項目經理Vijay Tewari，他們討論了內置於Windows Server 2012和System Center 2012 SP1中的軟件定義的網絡能力，利用虛擬化網絡，客戶不需要修改IP地址，即可將其數據中心遷移到Windows Azure雲中，他們也解釋了這是如何做到的：

　　Hyper-V虛擬化網絡能夠在一個共享的物理網上創建多租戶虛擬網絡

，這為雲帶來了網絡靈活性。 每個租戶都有一個完整的虛擬網絡，包括多個虛擬子網和虛擬路由。(有些現有的虛擬化解決方案假定租戶隻有一個子網!)在每個主機上
，Hyper-V使用可以動態更新的SDN策略，將一個租戶網絡與其相應的直達目標的流量聯係起來。SDN策略也決定了哪個虛擬機的這些租戶虛擬機能夠與其通信
，此舉提供了必要的隔離。因此，Hyper-V網絡虛擬化允許將租戶的負載放到物理數據中心內的任何地方。租戶網絡甚至可以使用私有的物理地址(可以複用其他租戶使用的地址)，通過使用自己的IP地址
，租戶可以將現有的負載快速遷移到雲中。實際上，Windows Server 2012支持可以互操作的cross-premise連接，所以你可以無縫地將公有雲中的子網連接回你的本地網絡。

　　我們的SDN解決方案更進了一步，在Hyper-V虛擬交換機上

，支持豐富的流量控製策略。以每個虛擬機為基礎
，你可以配置安全策略用以限製流量類型(和目標)。為wei了le確que保bao關guan鍵jian任ren務wu服fu務wu總zong能neng夠gou使shi用yong必bi要yao的de網wang絡luo容rong量liang，你ni還hai可ke以yi為wei特te定ding的de虛xu擬ni機ji預yu留liu帶dai寬kuan。為wei了le避bi免mian流liu量liang饑ji餓e
，或huo者zhe支zhi持chi各ge種zhong計ji費fei模mo型xing
，你ni甚shen至zhi可ke以yi申shen請qing帶dai寬kuan上shang限xian。更geng重zhong要yao的de是shi，這zhe些xie網wang絡luo控kong製zhi策ce略lve是shi動dong態tai的de
，因yin此ci可ke以yi實shi時shi調tiao整zheng。

　　Singhal和Tewari聲稱，他們的網絡虛擬化解決方案已經在Azure數據中心的產品中進行了測試，“在4000個物理主機上，能夠協同數以萬計的虛擬機之間的通信”。 另一方麵
，VMware聲稱其解決方案是建立在開放標準之上的

，可以將第三方服務(包括使用硬件和虛擬化設備)插入到虛擬網絡的不同位置來訪問流量，具體細節請參考其白皮書。