今天的IT企業(yè)組織正面臨著前所未有的挑戰(zhàn)。企業(yè)內(nèi)部的業(yè)務(wù)部門(mén)正繼續(xù)要求其IT部門(mén)能夠快速的提供各種創(chuàng)新的服務(wù)，以迅速的應(yīng)對(duì)來(lái)自外部的安全威脅和市場(chǎng)機(jī)遇。而與此同時(shí)，企業(yè)組織也在不例外地發(fā)布廣泛的授權(quán)來(lái)進(jìn)一步的削減支出預(yù)算。在這些困難時(shí)期，采用顛覆性的新興技術(shù)無(wú)疑成為了幫助當(dāng)今的IT企業(yè)組織提高效率，并真正實(shí)現(xiàn)以更少的投入實(shí)現(xiàn)更多的產(chǎn)出的關(guān)鍵。作為這些新興技術(shù)中的突出代表，云計(jì)算和虛擬化技術(shù)就屬于這類(lèi)創(chuàng)新技術(shù)，其允許企業(yè)組織在增加IT服務(wù)交付的同時(shí)，最大限度地提高資源利用率，從而創(chuàng)建更加動(dòng)態(tài)和靈活的基礎(chǔ)架構(gòu)。

通過(guò)簡(jiǎn)化服務(wù)器管理，同時(shí)提高空間和用電效率，虛擬化技術(shù)可以幫助企業(yè)組織節(jié)省大量的成本。借助采用虛擬化技術(shù)，企業(yè)可以比過(guò)去更加靈活。例如，在由VMware公司所提供的一系列案例研究中，部署采用了虛擬化技術(shù)之后的企業(yè)實(shí)現(xiàn)了IT運(yùn)營(yíng)總體擁有成本降低67%。因此，虛擬化技術(shù)的采用正在迅速的推進(jìn)。而且，在當(dāng)前的經(jīng)濟(jì)困難和不斷要求削減成本的大背景下，對(duì)于該技術(shù)的采用很可能會(huì)進(jìn)一步的加速。有公開(kāi)報(bào)告估計(jì)，憑借著虛擬化作為驅(qū)動(dòng)技術(shù)標(biāo)準(zhǔn)，5年內(nèi)，全球云市場(chǎng)將超過(guò)3000億美元。

即使虛擬化和云計(jì)算具有不可否認(rèn)的成本和可擴(kuò)展性方面的優(yōu)勢(shì)，但軟件定義的云計(jì)算的彈性和動(dòng)態(tài)化的特性也為企業(yè)組織的IT專(zhuān)業(yè)人員們帶來(lái)了全新的挑戰(zhàn)。盡管對(duì)于緊急需求的響應(yīng)能力已經(jīng)得到了大大的提高，但所需診斷的問(wèn)題和分析性能也變得更加復(fù)雜。隨著更多的應(yīng)用程序數(shù)據(jù)的路徑被籠罩在虛擬網(wǎng)絡(luò)中，使用傳統(tǒng)的方法來(lái)管理和監(jiān)視網(wǎng)絡(luò)操作運(yùn)營(yíng)變得越來(lái)越困難。企業(yè)的IT領(lǐng)導(dǎo)者和利益相關(guān)者們一直在努力獲得可視化，以維護(hù)和改進(jìn)應(yīng)用程序的性能，并在這種新型的網(wǎng)絡(luò)中實(shí)施企業(yè)對(duì)于相關(guān)監(jiān)管法規(guī)政策的遵守，同時(shí)進(jìn)一步的充分利用虛擬化技術(shù)所帶來(lái)的益處。IT企業(yè)組織所面臨的挑戰(zhàn)是需要根據(jù)“過(guò)份的夸張炒作”來(lái)調(diào)整預(yù)期，以便理解真實(shí)的價(jià)值和投資回報(bào)。

虛擬化技術(shù)為當(dāng)前的IT企業(yè)組織提供了引人注目的益處。從財(cái)務(wù)上看，該技術(shù)通過(guò)在單臺(tái)服務(wù)器上托管越來(lái)越多的虛擬機(jī)(VM)來(lái)實(shí)現(xiàn)容量利用率的最大化，從而實(shí)現(xiàn)了成本節(jié)約，管理的靈活性和業(yè)務(wù)敏捷性。管理人員們只需按一下按鈕，就可以在幾分鐘內(nèi)部署一臺(tái)新的服務(wù)器，并投入生產(chǎn)，而且通常不會(huì)給企業(yè)組織帶來(lái)任何成本。但是，隨著工作負(fù)載和服務(wù)器變得虛擬化，曾經(jīng)用于監(jiān)控、分析和保護(hù)數(shù)據(jù)中心資產(chǎn)和網(wǎng)絡(luò)流量的工具現(xiàn)在變得越來(lái)越“隱形”，除了連接服務(wù)器的物理鏈接之外幾乎無(wú)法看到。曾經(jīng)整體的、大型二進(jìn)制應(yīng)用程序現(xiàn)在則分布于現(xiàn)代腳本語(yǔ)言、Java、APIs，并通過(guò)REST、JSON和Ruby語(yǔ)音運(yùn)行在分布式功能架構(gòu)上。對(duì)分布式應(yīng)用程序體系架構(gòu)的這種改變創(chuàng)造了越來(lái)越多的東西走向的流量處理應(yīng)用程序調(diào)用，并且大部分應(yīng)用程序內(nèi)流量也都在使用封裝的覆蓋網(wǎng)絡(luò)。隨著虛擬化技術(shù)的進(jìn)一步普及，工具的可視化會(huì)降低。

主機(jī)內(nèi)的流量

虛擬化正在服務(wù)器基礎(chǔ)設(shè)施內(nèi)造成盲點(diǎn)或無(wú)形網(wǎng)絡(luò)。由于跨軟件定義的云基礎(chǔ)架構(gòu)的大量流量被封裝在虛擬隧道終端上，并且在很多情況下甚至沒(méi)有觸及物理網(wǎng)絡(luò)，所以虛擬機(jī)和網(wǎng)絡(luò)管理員正在失去對(duì)這種通信的可見(jiàn)性和控制。這種對(duì)于全面的可見(jiàn)性的缺乏正在導(dǎo)致尋求在虛擬化基礎(chǔ)設(shè)施中結(jié)束復(fù)雜工作負(fù)載的IT專(zhuān)業(yè)人員們陷入沉默。

在虛擬化和云部署中，安全性和合規(guī)性是首要考慮因素，企業(yè)組織正在努力調(diào)節(jié)優(yōu)先事項(xiàng)之間的競(jìng)爭(zhēng)，以虛擬化其操作運(yùn)營(yíng)環(huán)境，同時(shí)仍滿(mǎn)足現(xiàn)有的可視化要求。

因此，當(dāng)看到流量的可視化、遵守合規(guī)性和對(duì)于數(shù)據(jù)安全的擔(dān)憂(yōu)一直位列企業(yè)對(duì)于云服務(wù)采用的頂級(jí)抑制阻礙因素之中就不足為奇了。

vMotion技術(shù)

vSphere vMotion技術(shù)是由VMware公司所開(kāi)發(fā)的，該技術(shù)可將正在運(yùn)行的虛擬機(jī)從一臺(tái)物理服務(wù)器實(shí)時(shí)遷移到另一臺(tái)物理服務(wù)器。vMotion技術(shù)通過(guò)連續(xù)自動(dòng)優(yōu)化虛擬機(jī)，允許創(chuàng)建一個(gè)動(dòng)態(tài)的、自動(dòng)化的、自我優(yōu)化的數(shù)據(jù)中心。這項(xiàng)技術(shù)包括容錯(cuò)、高可用性和災(zāi)難恢復(fù)功能，是確保將停機(jī)中斷時(shí)間降至最低的第一步。但是，隨著這種靈活性的增強(qiáng)，使得服務(wù)器基礎(chǔ)架構(gòu)的變化將隨著全新的復(fù)雜層次的增加而發(fā)生變化。為了有效監(jiān)控這些環(huán)境，管理人員需要確保監(jiān)控可以無(wú)縫并自動(dòng)更新以反映這些變化。此外，監(jiān)控解決方案需要保持監(jiān)控連續(xù)性和具備歷史記錄的功能，以便管理員們可以更好地跟蹤和評(píng)估這些問(wèn)題，并制定更好的策略。當(dāng)虛擬機(jī)重新分配時(shí)，如果缺乏跟蹤和監(jiān)視這些vMotion事件的能力，則最終的配置可能會(huì)對(duì)應(yīng)用程序和服務(wù)的可用性和性能造成影響。

虛擬交換機(jī)(vSwitch)的功能

提供虛擬機(jī)(VM)交換連接的最常見(jiàn)方式是虛擬以太網(wǎng)橋接(VEB)，通常被稱(chēng)為vSwitch。vSwitch是一款與虛擬管理程序相關(guān)的軟件組件，其功能類(lèi)似于提供入站/出站和虛擬機(jī)之間通信的第2層硬件交換機(jī)。默認(rèn)情況下，每臺(tái)虛擬機(jī)都可以通過(guò)簡(jiǎn)單的虛擬交換機(jī)與同一臺(tái)主機(jī)上的其他的虛擬機(jī)進(jìn)行直接的通信，而不需要任何虛擬機(jī)間流量監(jiān)控或基于策略的檢查和過(guò)濾。由vSwitch內(nèi)部處理的主機(jī)內(nèi)虛擬機(jī)流量不會(huì)傳輸物理網(wǎng)絡(luò)。許多位于虛擬服務(wù)器之外的基于網(wǎng)絡(luò)的安全和監(jiān)視設(shè)備都無(wú)法看到此通信。

因此，將多臺(tái)物理服務(wù)器整合到一款單一的虛擬服務(wù)器平臺(tái)中，會(huì)嚴(yán)重影響到將物理服務(wù)器遷移到虛擬服務(wù)器之前已經(jīng)部署好的所有網(wǎng)絡(luò)和應(yīng)用程序、防火墻入侵檢測(cè)以及其他合規(guī)工具的監(jiān)控。簡(jiǎn)而言之，傳統(tǒng)的網(wǎng)絡(luò)監(jiān)控和安全措施可能無(wú)法有效的管理越來(lái)越多的虛擬機(jī)之間的流量，從而使虛擬機(jī)非常容易受到攻擊。缺乏可視化會(huì)使得故障隔離和解決方法變得復(fù)雜，甚至可能會(huì)消除將物理機(jī)遷移到虛擬機(jī)所帶來(lái)的相關(guān)的成本節(jié)約。

在單臺(tái)主機(jī)上的虛擬機(jī)間流量的可視化

隨著企業(yè)的關(guān)鍵任務(wù)工作負(fù)載逐步遷移到虛擬服務(wù)器，越來(lái)越多的關(guān)鍵網(wǎng)絡(luò)流量在托管在同一主機(jī)上的虛擬機(jī)之間發(fā)生。故而，虛擬交換基礎(chǔ)架構(gòu)的可視化對(duì)于管理端到端的服務(wù)交付變得至關(guān)重要。因此，企業(yè)將需要一種解決方案，該解決方案只將在同一主機(jī)上的虛擬機(jī)之間傳輸?shù)臄?shù)據(jù)流推送到外部監(jiān)控工具，而不會(huì)引起任何安全問(wèn)題。當(dāng)前市場(chǎng)上已經(jīng)有相關(guān)服務(wù)供應(yīng)商的虛擬可視化架構(gòu)節(jié)點(diǎn)通過(guò)提供智能化的過(guò)濾技術(shù)來(lái)滿(mǎn)足企業(yè)客戶(hù)的這些要求，允許企業(yè)客戶(hù)選擇特定的虛擬機(jī)之間的流量流、部署節(jié)點(diǎn)，可以跨這些環(huán)境智能地檢測(cè)，選擇，過(guò)濾和執(zhí)行本地(或遠(yuǎn)程)轉(zhuǎn)發(fā)虛擬流量，而不會(huì)對(duì)操作過(guò)程進(jìn)行任何更改或?yàn)榈讓踊A(chǔ)架構(gòu)增加任何進(jìn)一步的復(fù)雜性。因此，目前部署的監(jiān)控和管理工具可用于分析使用包括vSphere分布式交換機(jī)(VDS)和思科 Nexus 1000V在內(nèi)的同類(lèi)最佳虛擬交換機(jī)在虛擬基礎(chǔ)架構(gòu)上傳輸?shù)牧髁俊?/p>

通過(guò)vMotion進(jìn)行維護(hù)

企業(yè)部署虛擬化技術(shù)所帶來(lái)的好處是無(wú)懈可擊的：包括提高了靈活敏捷性、可擴(kuò)展性和成本節(jié)約等等。然而，其同時(shí)也為企業(yè)操作運(yùn)營(yíng)環(huán)境帶來(lái)了監(jiān)控方面的挑戰(zhàn)難題——包括復(fù)雜性、缺乏可視性和控制力以及潛在的低效率。為了有效監(jiān)控這些環(huán)境，企業(yè)的管理員們必須利用對(duì)這些自動(dòng)化技術(shù)具有集成、同步可視化的解決方案。與VMware vCenter基礎(chǔ)架構(gòu)緊密集成，同時(shí)利用VMware開(kāi)放式API，相關(guān)服務(wù)供應(yīng)商的結(jié)構(gòu)節(jié)點(diǎn)可以跟蹤VMware高可用性(HA)和分布式資源調(diào)度程序(DRS)群集環(huán)境中的敏捷性。作為此支持的一部分，可視化策略與受監(jiān)控的虛擬機(jī)綁定，并隨著虛擬機(jī)在虛擬群集中在物理主機(jī)之間遷移而遷移。通過(guò)基于標(biāo)準(zhǔn)的API對(duì)vMotion事件進(jìn)行閉環(huán)反饋，以及可實(shí)現(xiàn)可視性策略同步的自動(dòng)化框架，可以在靈活的虛擬基礎(chǔ)架構(gòu)中實(shí)現(xiàn)對(duì)監(jiān)控和安全狀態(tài)的無(wú)縫，實(shí)時(shí)調(diào)整。

使用VN-Link在思科部署中實(shí)現(xiàn)可視化

除了分布式虛擬交換機(jī)之外，思科還在為具有唯一VN-Tag ID的原始數(shù)據(jù)包添加標(biāo)簽后，提供了將虛擬數(shù)據(jù)流轉(zhuǎn)發(fā)到外部網(wǎng)絡(luò)交換機(jī)的選項(xiàng)。標(biāo)簽中最重要的組件是數(shù)據(jù)源和虛擬接口(VIF)目標(biāo)ID，它們標(biāo)識(shí)單個(gè)物理端口上的多個(gè)單獨(dú)虛擬接口。但是，既然數(shù)據(jù)包已經(jīng)被標(biāo)簽修改了，主要的挑戰(zhàn)是訪(fǎng)問(wèn)這個(gè)封裝的流量，而不會(huì)改變硬件或軟件或浪費(fèi)處理周期。

自適應(yīng)數(shù)據(jù)包過(guò)濾(Adaptive Packet Filtering)實(shí)現(xiàn)了封裝感知功能，允許運(yùn)營(yíng)商基于VN-Tag源或目標(biāo)VIF_ID、或內(nèi)部(封裝)的數(shù)據(jù)包內(nèi)容過(guò)濾和轉(zhuǎn)發(fā)傳入的流量流。對(duì)于不了解VN-Tag標(biāo)頭的監(jiān)控和分析工具，自適應(yīng)數(shù)據(jù)包過(guò)濾還可以結(jié)合使用標(biāo)頭剝離，在轉(zhuǎn)發(fā)數(shù)據(jù)包之前刪除VN-Tag標(biāo)頭。相關(guān)服務(wù)供應(yīng)商的技術(shù)所提供的高級(jí)處理功能提供了有條件地過(guò)濾和轉(zhuǎn)發(fā)流量的靈活性，并根據(jù)數(shù)據(jù)包中的特定內(nèi)容交替剝離VN-Tag標(biāo)頭。通過(guò)這些服務(wù)供應(yīng)商的技術(shù)所提供的預(yù)處理功能，網(wǎng)絡(luò)和安全監(jiān)控設(shè)備現(xiàn)在可以檢測(cè)來(lái)自虛擬網(wǎng)絡(luò)的流量來(lái)源，而不會(huì)花費(fèi)寶貴的資源。

圖1：由物理交換機(jī)管理交換的VN標(biāo)記的主機(jī)內(nèi)流量

VN-Tag

VN-Tag標(biāo)準(zhǔn)被提議作為替代解決方案來(lái)提供接入層擴(kuò)展，而無(wú)需擴(kuò)展管理和STP域，也無(wú)需實(shí)施端到端策略，從而提高了虛擬化環(huán)境中的網(wǎng)絡(luò)可視性——特別是同一主機(jī)上的虛擬機(jī)到虛擬機(jī)的流量。

使用VN-Tag，在執(zhí)行了必要的安全策略(見(jiàn)下圖)后，額外的VN-Tag標(biāo)頭將被添加到以太網(wǎng)幀中，供VN-Tag識(shí)別的外部(交換機(jī))設(shè)備使用，以唯一標(biāo)識(shí)VIF并轉(zhuǎn)發(fā)數(shù)據(jù)。VN-Tags因此提供虛擬網(wǎng)絡(luò)感知，允許將每個(gè)虛擬接口的單獨(dú)配置看作是物理端口。

圖2： VN-Tag作為附加標(biāo)頭被添加

這種方法完全消除了虛擬管理程序的任何交換功能，并將其定位在與服務(wù)器物理上無(wú)關(guān)的外部硬件網(wǎng)絡(luò)交換機(jī)中——數(shù)據(jù)包交換與虛擬管理程序完全分離(請(qǐng)參見(jiàn)上圖1)。

VN-Tags的多功能性使這項(xiàng)技術(shù)能夠應(yīng)用于現(xiàn)有的物理網(wǎng)絡(luò)基礎(chǔ)設(shè)施。例如，VN-Tag可用于橋接擴(kuò)展，其中一個(gè)唯一標(biāo)識(shí)標(biāo)簽插入到每個(gè)在思科架構(gòu)擴(kuò)展器和Nexus父交換機(jī)之間交換的幀中，以唯一標(biāo)識(shí)始發(fā)端口。

VN-Tag的缺點(diǎn)之一是它們利用了對(duì)以太網(wǎng)幀的補(bǔ)充。不了解VN-Tag的標(biāo)準(zhǔn)監(jiān)控工具將完全不了解此流量，因此無(wú)法使用。VN-Tag還會(huì)增加主機(jī)服務(wù)器物理網(wǎng)絡(luò)鏈路上的流量。

圖3：VXLAN允許第2層虛擬網(wǎng)絡(luò)跨越物理邊界