尽管某些数据中心角色正在聚合,但SDN是真正聚焦网络的技术,对服务器管理员几乎没有任何影响?SDN带来了很多好的东西,但对虚拟网络进行微分割的技术正受到关注。SDN聚焦网络,对网络进行微分割很可能是数据中心中服务器管理员角色增加的关键所在。
对服务器管理员来说,部署新系统或服务器时所面临的最大的挑战之一并非技术,而是程序、政策。现在创建一台服务器(或者上百台服务器)就和点击几下鼠标一样简单。虚拟化带来了更高级别的灵活性与可扩展性。我们遇到的问题往往是内部流程,需要内部流程作为检查点确保没有资源浪费,安全保护是恰当的。从现在开始,让我们关注安全层面。在现有环境中增加新服务器很可能会带来安全风险。取决于应用需求,增加新服务器可能像做文书工作一样简单,也可能像复核委员会一样复杂。
事实是增加服务器时可能会给边界防护带来挑战。如果应用程序需要访问互联网,那么必须在边界处打开端口而且规则必须落实到位。边界安全策略调整必须正确记录,因为这可能会影响其他服务器。每次增加新服务器时都需要重复如下步骤:修改策略并进行相关记录。在环境不断扩大时,这一过程可能会变得过于复杂、繁琐。VLAN以及网络分割能够提供帮助,但往往提供的是基于硬件、价格不菲的解决方案。这一安全模型经常被比作煮得半熟的鸡蛋——外壳坚硬内部松软——这恰恰是边界安全修改引发关注的原因之一。
在每台服务器前面增加防火墙与路由器成本过高。物理网络设备并不便宜而且需要很多基础设施。现在虚拟服务器扩张以及能够将防火墙及路由器迁移到软件空间允许采用新的微分割技术。使用微分割及SDN,管理员每次部署新服务器时,还可以同时部署一个定制的防火墙或路由器。与修改每台新服务器的边界安全策略不同,安全策略可以与应用程序相关联。这将安全模型从类似于煮得半熟的鸡蛋变更为完全煮熟的鸡蛋,外壳和内部都很牢固可靠。
尽管看起来网络及安全团队可能会因此而受益,但之前往往会阻碍新环境部署的核心步骤变得更容易实施,服务器管理员同样能够因此而受益。例如,如果不再需要修改边界安全,微分段能够避免某些审核及审批流程。在部署需要通过路由器进行分割的大型环境时同样可以采用经过简化的流程。当然这一切需要花时间实现自动化配置。不幸的是,网络团队可能正在管理的不是少数的防火墙、路由器,而是上百台软件定义的设备。
对网络或安全团队来说微分割并不是一件轻松的事儿,但其在一致性及防护上的优势值得我们去做。服务器管理员将享受不需要搬运超重货物的福利。福利并非一直都有,所以要尽情享用。
服务器管理员可以从构建他们所支持的应用服务器配置文件开始。为创建微分割配置文件提供帮助,有必要针对每类服务器创建应用类型及通信端口矩阵。知道拥有什么以及希望能够部署什么有助于推动SDN进程并为未来的数据中心做好准备。
作者:何妍
来源:51CTO