Ann+Bednarz+楊勇

Vmware商店討論了網絡自動化在安全和管理上的優(yōu)勢，而且也能很好地支持敏捷項目。

五年前，新墨西哥州立大學的IT相當分散。新墨西哥州立大學副首席信息官Brian Pietrewicz說：“每個學校和學院都有自己的IT，在大多數情況下，他們的資源完全不夠用——缺少人手的IT部門要應對電話、應用程序、電子郵件、桌面機、服務器、存儲、災難恢復等等，所有相關的工作?！?/p>

大學后來過渡到自助服務模型，100多個系可以自己部署基礎設施和應用服務，由現在集中式的IT部門負責管理。

采用VMware的vCloud自動化中心后，每個系既能使用云資源，管理部門也能根據需要來調整云資源。

Pietrewicz說：“從物理機到虛擬機，再到vCAC，我們的配置時間從12個星期縮短到3星期，最后只有20分鐘，但我們覺得顯然還有很大差距，包括部署網絡，部署防火墻和安全部件。缺少的關鍵部件是網絡?！?/p>

什么是網絡自動化？

傳統(tǒng)上，由人工進行網絡部署和配置管理，這是一個容易出錯的過程。而網絡虛擬化支持在軟件中創(chuàng)建網絡，把網絡從底層物理硬件中抽象出來。IT部門使用策略驅動的方法，快速部署好網絡，為工作負載提供網絡和安全服務。

自動化使這一切邁上了新臺階，根據預先設定的策略自動部署包括帶寬管理、負載均衡，并進行根源分析在內的網絡功能。

為了消除新墨西哥州立大學的網絡瓶頸，部署了VMware的“NSX網絡虛擬化平臺”和“vRealize自動化”云自動化軟件。Pietrewicz最近在拉斯維加斯舉行的VMworld大會上介紹了大學的經驗。Pietrewicz解釋了大學采用網絡虛擬化的原因：“敏捷性和自動化是我們走上NSX道路的真正原因?！?/p>

微分段提高了安全性

他說，除了敏捷性，NSX還支持微分段，這代表了安全方面實質性的改善。

對微分段感興趣的公司把NSX作為一種安全工具而推廣使用——工作負載被分成不同的區(qū)域，分段間相互隔離，分別進行安全防護。采用微分段，公司把虛擬防火墻布設在服務器周圍，控制數據中心內網日益增長的橫向數據流。

如果出現了泄露事件，微分段限制了黑客對網絡的橫向滲透。出于敏捷性的原因，NSX運行在虛擬機管理程序層。如果工作負載移動，那么安全策略和屬性也將隨之移動。

Sean Jabro是北極星阿爾法公司智能軟件解決方案（ISS）的VMware管理員，非常贊同提高網絡部署速度的要求。Jabro也在VMworld上談到了他們公司的自動化工作，他說：“在NSX之前，我們自動化方面的工作做得不是很好。我們任何一個系統(tǒng)的平均上線時間都要好幾個星期。我們的開發(fā)人員真的很想迅速推進，但IT部門跟不上。”

ISS的開發(fā)人員已經轉而采用DevOps模式，這需要一種能處理經常性改動的敏捷基礎架構，網絡已成為企業(yè)快速發(fā)展的瓶頸。Jabro說：“直到我們真的開始采用一些自動化過程之后，我們才變得敏捷起來。”

安全也推動了ISS的NSX部署。Jabro說：“我們公司有一個任務很重的開發(fā)人員群組，會經常出現‘影子IT。采用了NSX這樣的產品后，能夠真正的鎖定我們內部的安全狀態(tài)，同時還允許他們在環(huán)境中啟動虛擬機，設置好自動防火墻規(guī)則，允許他們立即訪問自己需要的東西，對我們來說這些都是非常重要的工作?！?/p>

自動化能干什么？

Pietrewicz說：“您想想，從第一次配置虛擬機，到最后部署好網絡和防火墻，這期間需要多少個步驟，其中最難的部分是確定實現這些步驟到底需要什么?！闭麄€過程涉及到數百甚至數千個跨角色、部門和系統(tǒng)的步驟。

Pietrewicz說，新墨西哥州立大學已經完成的步驟是，采用基本防火墻規(guī)則集部署了虛擬機，為今后發(fā)展打好了網絡基礎。但這項工作還沒有完成。太多的技術選擇帶來了更多的運營挑戰(zhàn)。

Pietrewicz說：“有的地方過去只有一兩個防火墻選項，而現在有幾千個。標簽和策略可以指向任何方向。當有人說，‘我需要這臺機器上的這個端口開放給這組IP，標簽數量，以及總體上非常靈活的產品使我們能夠馬上滿足其要求，但在最初部署之后，我們仍然想清楚的知道我們的運營情況怎樣。我們總是不得不把所有人都叫回房間開會——我們的安全部門、平臺部門、網絡部門，‘我們到底在做什么？”

必須加強標準化，這樣才能順利解決部署問題。

總部位于倫敦的信息和分析公司IHS Markit資深網絡運營專家Andrew Hrycaj說，在某些網絡選項自動化的過程中，IHS Markit的IT領導們清楚的知道他們需要把環(huán)境中的很多東西進行標準化。

Hrycaj說：“當您要把一個自動化部件放到您的網絡或者基礎設施中時，您不斷地修改這些部件，必須創(chuàng)建標準化過程，這樣人們就會遵循這些過程。然后，創(chuàng)建定義明確的服務。如果您的開發(fā)人員和安全人員——如果每個人都知道他們能從您的基礎設施中得到什么，那么問題就會少很多。”

文化挑戰(zhàn)

但是，很難全面認識NSX在網絡自動化和安全防護上的潛力。首先，它需要從文化上轉變觀念。

VMware產品營銷經理Scott Goodman說：“這不僅僅是技術上的改變，還有人和過程的轉變。我們習慣于孤島式的運營，而NSX讓孤島界線變得模糊，打破孤島障礙。因此，弄清楚到底由誰來做什么真的是有些挑戰(zhàn)?！?/p>

Goodman主持了Jabro、Pietrewicz和Hrycaj的討論。這三位都贊同Goodman關于網絡自動化所面臨文化挑戰(zhàn)的警告。

Jabro說：“讓網絡維護和安全人員一起呆在同一個房間，同一頁面上，這可能是最困難的部分。對我們來說，這更像是一種社會性的變化?！?/p>

Pietrewicz說：“令我沒有想到的是，最大的挑戰(zhàn)來自網絡管理員的阻力。”

Hrycaj說：“從我們的角度來看，一開始轉變時會很難，因為這是以一種全新的方式來看待網絡。”

VMware的NSX把安全功能從物理基礎設施中分離出來，將其嵌入到虛擬機管理程序中，這樣，安全策略可以應用到虛擬工作負載中。

Hrycaj說：“很酷的是，您改變了對安全狀況的看法，不再是網絡維護人員考慮IP地址和端口號那種簡單的思維。一旦我們明白了這一點，我們和安全部門一起工作，就能夠接受過去看似不切實際的期望，并在短時間內使之成為現實。”

Hrycaj說：“但這需要大量的培訓，還需要大量的討論。隨著時間的推移，這加強了我們與安全部門的關系，是件好事?！?/p>

Ann Bednarz——總編輯助理，Features。Ann Bednarz涉及的領域包括《網絡世界》的IT職業(yè)、外包和互聯網文化。endprint