今天的IT企業(yè)組織正面臨著前所未有的挑戰(zhàn)。企業(yè)內(nèi)部的業(yè)務(wù)部門正繼續(xù)要求其IT部門能夠快速的提供各種創(chuàng)新的服務(wù)，以迅速的應(yīng)對來自外部的安全威脅和市場機(jī)遇。而與此同時，企業(yè)組織也在不例外地發(fā)布廣泛的授權(quán)來進(jìn)一步的削減支出預(yù)算。在這些困難時期，采用顛覆性的新興技術(shù)無疑成為了幫助當(dāng)今的IT企業(yè)組織提高效率，并真正實(shí)現(xiàn)以更少的投入實(shí)現(xiàn)更多的產(chǎn)出的關(guān)鍵。作為這些新興技術(shù)中的突出代表，云計(jì)算和虛擬化技術(shù)就屬于這類創(chuàng)新技術(shù)，其允許企業(yè)組織在增加IT服務(wù)交付的同時，最大限度地提高資源利用率，從而創(chuàng)建更加動態(tài)和靈活的基礎(chǔ)架構(gòu)。

通過簡化服務(wù)器管理，同時提高空間和用電效率，虛擬化技術(shù)可以幫助企業(yè)組織節(jié)省大量的成本。借助采用虛擬化技術(shù)，企業(yè)可以比過去更加靈活。例如，在由VMware公司所提供的一系列案例研究中，部署采用了虛擬化技術(shù)之后的企業(yè)實(shí)現(xiàn)了IT運(yùn)營總體擁有成本降低67%。因此，虛擬化技術(shù)的采用正在迅速的推進(jìn)。而且，在當(dāng)前的經(jīng)濟(jì)困難和不斷要求削減成本的大背景下，對于該技術(shù)的采用很可能會進(jìn)一步的加速。有公開報告估計(jì)，憑借著虛擬化作為驅(qū)動技術(shù)標(biāo)準(zhǔn)，5年內(nèi)，全球云市場將超過3000億美元。

即使虛擬化和云計(jì)算具有不可否認(rèn)的成本和可擴(kuò)展性方面的優(yōu)勢，但軟件定義的云計(jì)算的彈性和動態(tài)化的特性也為企業(yè)組織的IT專業(yè)人員們帶來了全新的挑戰(zhàn)。盡管對于緊急需求的響應(yīng)能力已經(jīng)得到了大大的提高，但所需診斷的問題和分析性能也變得更加復(fù)雜。隨著更多的應(yīng)用程序數(shù)據(jù)的路徑被籠罩在虛擬網(wǎng)絡(luò)中，使用傳統(tǒng)的方法來管理和監(jiān)視網(wǎng)絡(luò)操作運(yùn)營變得越來越困難。企業(yè)的IT領(lǐng)導(dǎo)者和利益相關(guān)者們一直在努力獲得可視化，以維護(hù)和改進(jìn)應(yīng)用程序的性能，并在這種新型的網(wǎng)絡(luò)中實(shí)施企業(yè)對于相關(guān)監(jiān)管法規(guī)政策的遵守，同時進(jìn)一步的充分利用虛擬化技術(shù)所帶來的益處。IT企業(yè)組織所面臨的挑戰(zhàn)是需要根據(jù)“過份的夸張炒作”來調(diào)整預(yù)期，以便理解真實(shí)的價值和投資回報。

虛擬化技術(shù)為當(dāng)前的IT企業(yè)組織提供了引人注目的益處。從財務(wù)上看，該技術(shù)通過在單臺服務(wù)器上托管越來越多的虛擬機(jī)(VM)來實(shí)現(xiàn)容量利用率的最大化，從而實(shí)現(xiàn)了成本節(jié)約，管理的靈活性和業(yè)務(wù)敏捷性。管理人員們只需按一下按鈕，就可以在幾分鐘內(nèi)部署一臺新的服務(wù)器，并投入生產(chǎn)，而且通常不會給企業(yè)組織帶來任何成本。但是，隨著工作負(fù)載和服務(wù)器變得虛擬化，曾經(jīng)用于監(jiān)控、分析和保護(hù)數(shù)據(jù)中心資產(chǎn)和網(wǎng)絡(luò)流量的工具現(xiàn)在變得越來越“隱形”，除了連接服務(wù)器的物理鏈接之外幾乎無法看到。曾經(jīng)整體的、大型二進(jìn)制應(yīng)用程序現(xiàn)在則分布于現(xiàn)代腳本語言、Java、APIs，并通過REST、JSON和Ruby語音運(yùn)行在分布式功能架構(gòu)上。對分布式應(yīng)用程序體系架構(gòu)的這種改變創(chuàng)造了越來越多的東西走向的流量處理應(yīng)用程序調(diào)用，并且大部分應(yīng)用程序內(nèi)流量也都在使用封裝的覆蓋網(wǎng)絡(luò)。隨著虛擬化技術(shù)的進(jìn)一步普及，工具的可視化會降低。

主機(jī)內(nèi)的流量

虛擬化正在服務(wù)器基礎(chǔ)設(shè)施內(nèi)造成盲點(diǎn)或無形網(wǎng)絡(luò)。由于跨軟件定義的云基礎(chǔ)架構(gòu)的大量流量被封裝在虛擬隧道終端上，并且在很多情況下甚至沒有觸及物理網(wǎng)絡(luò)，所以虛擬機(jī)和網(wǎng)絡(luò)管理員正在失去對這種通信的可見性和控制。這種對于全面的可見性的缺乏正在導(dǎo)致尋求在虛擬化基礎(chǔ)設(shè)施中結(jié)束復(fù)雜工作負(fù)載的IT專業(yè)人員們陷入沉默。

在虛擬化和云部署中，安全性和合規(guī)性是首要考慮因素，企業(yè)組織正在努力調(diào)節(jié)優(yōu)先事項(xiàng)之間的競爭，以虛擬化其操作運(yùn)營環(huán)境，同時仍滿足現(xiàn)有的可視化要求。

因此，當(dāng)看到流量的可視化、遵守合規(guī)性和對于數(shù)據(jù)安全的擔(dān)憂一直位列企業(yè)對于云服務(wù)采用的頂級抑制阻礙因素之中就不足為奇了。

vMotion技術(shù)

vSphere vMotion技術(shù)是由VMware公司所開發(fā)的，該技術(shù)可將正在運(yùn)行的虛擬機(jī)從一臺物理服務(wù)器實(shí)時遷移到另一臺物理服務(wù)器。vMotion技術(shù)通過連續(xù)自動優(yōu)化虛擬機(jī)，允許創(chuàng)建一個動態(tài)的、自動化的、自我優(yōu)化的數(shù)據(jù)中心。這項(xiàng)技術(shù)包括容錯、高可用性和災(zāi)難恢復(fù)功能，是確保將停機(jī)中斷時間降至最低的第一步。但是，隨著這種靈活性的增強(qiáng)，使得服務(wù)器基礎(chǔ)架構(gòu)的變化將隨著全新的復(fù)雜層次的增加而發(fā)生變化。為了有效監(jiān)控這些環(huán)境，管理人員需要確保監(jiān)控可以無縫并自動更新以反映這些變化。此外，監(jiān)控解決方案需要保持監(jiān)控連續(xù)性和具備歷史記錄的功能，以便管理員們可以更好地跟蹤和評估這些問題，并制定更好的策略。當(dāng)虛擬機(jī)重新分配時，如果缺乏跟蹤和監(jiān)視這些vMotion事件的能力，則最終的配置可能會對應(yīng)用程序和服務(wù)的可用性和性能造成影響。

虛擬交換機(jī)(vSwitch)的功能

提供虛擬機(jī)(VM)交換連接的最常見方式是虛擬以太網(wǎng)橋接(VEB)，通常被稱為vSwitch。vSwitch是一款與虛擬管理程序相關(guān)的軟件組件，其功能類似于提供入站/出站和虛擬機(jī)之間通信的第2層硬件交換機(jī)。默認(rèn)情況下，每臺虛擬機(jī)都可以通過簡單的虛擬交換機(jī)與同一臺主機(jī)上的其他的虛擬機(jī)進(jìn)行直接的通信，而不需要任何虛擬機(jī)間流量監(jiān)控或基于策略的檢查和過濾。由vSwitch內(nèi)部處理的主機(jī)內(nèi)虛擬機(jī)流量不會傳輸物理網(wǎng)絡(luò)。許多位于虛擬服務(wù)器之外的基于網(wǎng)絡(luò)的安全和監(jiān)視設(shè)備都無法看到此通信。

因此，將多臺物理服務(wù)器整合到一款單一的虛擬服務(wù)器平臺中，會嚴(yán)重影響到將物理服務(wù)器遷移到虛擬服務(wù)器之前已經(jīng)部署好的所有網(wǎng)絡(luò)和應(yīng)用程序、防火墻入侵檢測以及其他合規(guī)工具的監(jiān)控。簡而言之，傳統(tǒng)的網(wǎng)絡(luò)監(jiān)控和安全措施可能無法有效的管理越來越多的虛擬機(jī)之間的流量，從而使虛擬機(jī)非常容易受到攻擊。缺乏可視化會使得故障隔離和解決方法變得復(fù)雜，甚至可能會消除將物理機(jī)遷移到虛擬機(jī)所帶來的相關(guān)的成本節(jié)約。

在單臺主機(jī)上的虛擬機(jī)間流量的可視化

隨著企業(yè)的關(guān)鍵任務(wù)工作負(fù)載逐步遷移到虛擬服務(wù)器，越來越多的關(guān)鍵網(wǎng)絡(luò)流量在托管在同一主機(jī)上的虛擬機(jī)之間發(fā)生。故而，虛擬交換基礎(chǔ)架構(gòu)的可視化對于管理端到端的服務(wù)交付變得至關(guān)重要。因此，企業(yè)將需要一種解決方案，該解決方案只將在同一主機(jī)上的虛擬機(jī)之間傳輸?shù)臄?shù)據(jù)流推送到外部監(jiān)控工具，而不會引起任何安全問題。當(dāng)前市場上已經(jīng)有相關(guān)服務(wù)供應(yīng)商的虛擬可視化架構(gòu)節(jié)點(diǎn)通過提供智能化的過濾技術(shù)來滿足企業(yè)客戶的這些要求，允許企業(yè)客戶選擇特定的虛擬機(jī)之間的流量流、部署節(jié)點(diǎn)，可以跨這些環(huán)境智能地檢測，選擇，過濾和執(zhí)行本地(或遠(yuǎn)程)轉(zhuǎn)發(fā)虛擬流量，而不會對操作過程進(jìn)行任何更改或?yàn)榈讓踊A(chǔ)架構(gòu)增加任何進(jìn)一步的復(fù)雜性。因此，目前部署的監(jiān)控和管理工具可用于分析使用包括vSphere分布式交換機(jī)(VDS)和思科 Nexus 1000V在內(nèi)的同類最佳虛擬交換機(jī)在虛擬基礎(chǔ)架構(gòu)上傳輸?shù)牧髁俊?/p>

通過vMotion進(jìn)行維護(hù)

企業(yè)部署虛擬化技術(shù)所帶來的好處是無懈可擊的：包括提高了靈活敏捷性、可擴(kuò)展性和成本節(jié)約等等。然而，其同時也為企業(yè)操作運(yùn)營環(huán)境帶來了監(jiān)控方面的挑戰(zhàn)難題——包括復(fù)雜性、缺乏可視性和控制力以及潛在的低效率。為了有效監(jiān)控這些環(huán)境，企業(yè)的管理員們必須利用對這些自動化技術(shù)具有集成、同步可視化的解決方案。與VMware vCenter基礎(chǔ)架構(gòu)緊密集成，同時利用VMware開放式API，相關(guān)服務(wù)供應(yīng)商的結(jié)構(gòu)節(jié)點(diǎn)可以跟蹤VMware高可用性(HA)和分布式資源調(diào)度程序(DRS)群集環(huán)境中的敏捷性。作為此支持的一部分，可視化策略與受監(jiān)控的虛擬機(jī)綁定，并隨著虛擬機(jī)在虛擬群集中在物理主機(jī)之間遷移而遷移。通過基于標(biāo)準(zhǔn)的API對vMotion事件進(jìn)行閉環(huán)反饋，以及可實(shí)現(xiàn)可視性策略同步的自動化框架，可以在靈活的虛擬基礎(chǔ)架構(gòu)中實(shí)現(xiàn)對監(jiān)控和安全狀態(tài)的無縫，實(shí)時調(diào)整。

使用VN-Link在思科部署中實(shí)現(xiàn)可視化

除了分布式虛擬交換機(jī)之外，思科還在為具有唯一VN-Tag ID的原始數(shù)據(jù)包添加標(biāo)簽后，提供了將虛擬數(shù)據(jù)流轉(zhuǎn)發(fā)到外部網(wǎng)絡(luò)交換機(jī)的選項(xiàng)。標(biāo)簽中最重要的組件是數(shù)據(jù)源和虛擬接口(VIF)目標(biāo)ID，它們標(biāo)識單個物理端口上的多個單獨(dú)虛擬接口。但是，既然數(shù)據(jù)包已經(jīng)被標(biāo)簽修改了，主要的挑戰(zhàn)是訪問這個封裝的流量，而不會改變硬件或軟件或浪費(fèi)處理周期。

自適應(yīng)數(shù)據(jù)包過濾(Adaptive Packet Filtering)實(shí)現(xiàn)了封裝感知功能，允許運(yùn)營商基于VN-Tag源或目標(biāo)VIF_ID、或內(nèi)部(封裝)的數(shù)據(jù)包內(nèi)容過濾和轉(zhuǎn)發(fā)傳入的流量流。對于不了解VN-Tag標(biāo)頭的監(jiān)控和分析工具，自適應(yīng)數(shù)據(jù)包過濾還可以結(jié)合使用標(biāo)頭剝離，在轉(zhuǎn)發(fā)數(shù)據(jù)包之前刪除VN-Tag標(biāo)頭。相關(guān)服務(wù)供應(yīng)商的技術(shù)所提供的高級處理功能提供了有條件地過濾和轉(zhuǎn)發(fā)流量的靈活性，并根據(jù)數(shù)據(jù)包中的特定內(nèi)容交替剝離VN-Tag標(biāo)頭。通過這些服務(wù)供應(yīng)商的技術(shù)所提供的預(yù)處理功能，網(wǎng)絡(luò)和安全監(jiān)控設(shè)備現(xiàn)在可以檢測來自虛擬網(wǎng)絡(luò)的流量來源，而不會花費(fèi)寶貴的資源。

圖1：由物理交換機(jī)管理交換的VN標(biāo)記的主機(jī)內(nèi)流量

VN-Tag

VN-Tag標(biāo)準(zhǔn)被提議作為替代解決方案來提供接入層擴(kuò)展，而無需擴(kuò)展管理和STP域，也無需實(shí)施端到端策略，從而提高了虛擬化環(huán)境中的網(wǎng)絡(luò)可視性——特別是同一主機(jī)上的虛擬機(jī)到虛擬機(jī)的流量。

使用VN-Tag，在執(zhí)行了必要的安全策略(見下圖)后，額外的VN-Tag標(biāo)頭將被添加到以太網(wǎng)幀中，供VN-Tag識別的外部(交換機(jī))設(shè)備使用，以唯一標(biāo)識VIF并轉(zhuǎn)發(fā)數(shù)據(jù)。VN-Tags因此提供虛擬網(wǎng)絡(luò)感知，允許將每個虛擬接口的單獨(dú)配置看作是物理端口。

圖2： VN-Tag作為附加標(biāo)頭被添加

這種方法完全消除了虛擬管理程序的任何交換功能，并將其定位在與服務(wù)器物理上無關(guān)的外部硬件網(wǎng)絡(luò)交換機(jī)中——數(shù)據(jù)包交換與虛擬管理程序完全分離(請參見上圖1)。

VN-Tags的多功能性使這項(xiàng)技術(shù)能夠應(yīng)用于現(xiàn)有的物理網(wǎng)絡(luò)基礎(chǔ)設(shè)施。例如，VN-Tag可用于橋接擴(kuò)展，其中一個唯一標(biāo)識標(biāo)簽插入到每個在思科架構(gòu)擴(kuò)展器和Nexus父交換機(jī)之間交換的幀中，以唯一標(biāo)識始發(fā)端口。

VN-Tag的缺點(diǎn)之一是它們利用了對以太網(wǎng)幀的補(bǔ)充。不了解VN-Tag的標(biāo)準(zhǔn)監(jiān)控工具將完全不了解此流量，因此無法使用。VN-Tag還會增加主機(jī)服務(wù)器物理網(wǎng)絡(luò)鏈路上的流量。

圖3：VXLAN允許第2層虛擬網(wǎng)絡(luò)跨越物理邊界