盡管某些數(shù)據(jù)中心角色正在聚合，但SDN是真正聚焦網(wǎng)絡(luò)的技術(shù)，對(duì)服務(wù)器管理員幾乎沒(méi)有任何影響?SDN帶來(lái)了很多好的東西，但對(duì)虛擬網(wǎng)絡(luò)進(jìn)行微分割的技術(shù)正受到關(guān)注。SDN聚焦網(wǎng)絡(luò)，對(duì)網(wǎng)絡(luò)進(jìn)行微分割很可能是數(shù)據(jù)中心中服務(wù)器管理員角色增加的關(guān)鍵所在。

[[142261]]

對(duì)服務(wù)器管理員來(lái)說(shuō)，部署新系統(tǒng)或服務(wù)器時(shí)所面臨的***的挑戰(zhàn)之一并非技術(shù)，而是程序、政策。現(xiàn)在創(chuàng)建一臺(tái)服務(wù)器(或者上百臺(tái)服務(wù)器)就和點(diǎn)擊幾下鼠標(biāo)一樣簡(jiǎn)單。虛擬化帶來(lái)了更高級(jí)別的靈活性與可擴(kuò)展性。我們遇到的問(wèn)題往往是內(nèi)部流程，需要內(nèi)部流程作為檢查點(diǎn)確保沒(méi)有資源浪費(fèi)，安全保護(hù)是恰當(dāng)?shù)?。從現(xiàn)在開(kāi)始，讓我們關(guān)注安全層面。在現(xiàn)有環(huán)境中增加新服務(wù)器很可能會(huì)帶來(lái)安全風(fēng)險(xiǎn)。取決于應(yīng)用需求，增加新服務(wù)器可能像做文書(shū)工作一樣簡(jiǎn)單，也可能像復(fù)核委員會(huì)一樣復(fù)雜。

事實(shí)是增加服務(wù)器時(shí)可能會(huì)給邊界防護(hù)帶來(lái)挑戰(zhàn)。如果應(yīng)用程序需要訪(fǎng)問(wèn)互聯(lián)網(wǎng)，那么必須在邊界處打開(kāi)端口而且規(guī)則必須落實(shí)到位。邊界安全策略調(diào)整必須正確記錄，因?yàn)檫@可能會(huì)影響其他服務(wù)器。每次增加新服務(wù)器時(shí)都需要重復(fù)如下步驟：修改策略并進(jìn)行相關(guān)記錄。在環(huán)境不斷擴(kuò)大時(shí)，這一過(guò)程可能會(huì)變得過(guò)于復(fù)雜、繁瑣。VLAN以及網(wǎng)絡(luò)分割能夠提供幫助，但往往提供的是基于硬件、價(jià)格不菲的解決方案。這一安全模型經(jīng)常被比作煮得半熟的雞蛋——外殼堅(jiān)硬內(nèi)部松軟——這恰恰是邊界安全修改引發(fā)關(guān)注的原因之一。

在每臺(tái)服務(wù)器前面增加防火墻與路由器成本過(guò)高。物理網(wǎng)絡(luò)設(shè)備并不便宜而且需要很多基礎(chǔ)設(shè)施。現(xiàn)在虛擬服務(wù)器擴(kuò)張以及能夠?qū)⒎阑饓奥酚善鬟w移到軟件空間允許采用新的微分割技術(shù)。使用微分割及SDN，管理員每次部署新服務(wù)器時(shí)，還可以同時(shí)部署一個(gè)定制的防火墻或路由器。與修改每臺(tái)新服務(wù)器的邊界安全策略不同，安全策略可以與應(yīng)用程序相關(guān)聯(lián)。這將安全模型從類(lèi)似于煮得半熟的雞蛋變更為完全煮熟的雞蛋，外殼和內(nèi)部都很牢固可靠。

盡管看起來(lái)網(wǎng)絡(luò)及安全團(tuán)隊(duì)可能會(huì)因此而受益，但之前往往會(huì)阻礙新環(huán)境部署的核心步驟變得更容易實(shí)施，服務(wù)器管理員同樣能夠因此而受益。例如，如果不再需要修改邊界安全，微分段能夠避免某些審核及審批流程。在部署需要通過(guò)路由器進(jìn)行分割的大型環(huán)境時(shí)同樣可以采用經(jīng)過(guò)簡(jiǎn)化的流程。當(dāng)然這一切需要花時(shí)間實(shí)現(xiàn)自動(dòng)化配置。不幸的是，網(wǎng)絡(luò)團(tuán)隊(duì)可能正在管理的不是少數(shù)的防火墻、路由器，而是上百臺(tái)軟件定義的設(shè)備。

對(duì)網(wǎng)絡(luò)或安全團(tuán)隊(duì)來(lái)說(shuō)微分割并不是一件輕松的事兒，但其在一致性及防護(hù)上的優(yōu)勢(shì)值得我們?nèi)プ?。服?wù)器管理員將享受不需要搬運(yùn)超重貨物的福利。福利并非一直都有，所以要盡情享用。

服務(wù)器管理員可以從構(gòu)建他們所支持的應(yīng)用服務(wù)器配置文件開(kāi)始。為創(chuàng)建微分割配置文件提供幫助，有必要針對(duì)每類(lèi)服務(wù)器創(chuàng)建應(yīng)用類(lèi)型及通信端口矩陣。知道擁有什么以及希望能夠部署什么有助于推動(dòng)SDN進(jìn)程并為未來(lái)的數(shù)據(jù)中心做好準(zhǔn)備。