不久之后,VMware推行的产品整合策略以及更为精细的安全控制方式也许会使得VMware NSX成为基础架构当中必需的组成部分。
随着虚拟化生态系统不断发展和逐渐成熟,大家的关注重点逐渐脱离了hypervisor自身,转向一些和传统服务器虚拟化平台不相关的其他重要领域。
开发团队越来越关注于Docker以及其他容器技术,因为这些都是下一代应用程序开发的基础;而自动化则是另外一个关注重点,正在影响虚拟化数据中心的方方面面。更快、更高效地部署虚拟机正在成为一种基本的业务需求。尽管VMware一直在这两方面不断努力,但是关注重点同样包含了网络虚拟化技术。VMworld将大量关注重点都放在NSX软件能够完成哪些事情以及如何与其他产品进行整合等方面。尽管看起来这更像是一种营销策略,但是事实上,背后还有很多值得关注的地方。
VMware最初发布NSX的时候,大家最为关注的是为什么思科没有出现在支持的厂商列表当中。很少有人了解这款产品究竟是什么或者为什么需要使用它,因为传统网络仍然能够正常工作,并且经过扩展可以很好地支持虚拟化环境。VMware在软件定义网络方面投入了12亿美元的赌注。虽然现在NSX吸引了大量用户关注并且仍然有很多问题需要解答,然而其还没有推出许多容易理解的使用案例。但是,这种情况并没有阻止VMware将NSX整合到其他产品当中,比如vCloud Suite和vRealize。对于这种整合深度来说,用户不得不担心是否还能在不使用NSX的情况下继续使用VMware产品。下面我带来了一些好消息和坏消息。
好消息是,仍然可以在不使用NSX的情况下运行VMware虚拟化软件——事实上,甚至可以不使用分布式交换机。许多IT员工最为熟悉的还是使用标准交换机配置的最为基本的网络架构。既然过去使用的方案能够正常工作,为什么要更换呢?
这种想法使得大家开始认为hypervisor已经成为一种毫无差异性的产品,并且hypervisor厂商并不重要。如果你的IT投资和数据中心仅限于虚拟化层,那么是的,不同hypervisor不会出现很大差异。但是如果你更为深入地了解规模更大的生态系统, 就会感到hypervisor厂商是十分重要的。不论你选择使用哪种hypervisor,所需要做的事情都不仅仅限于实现虚拟机正常通信。尽管实现虚拟机通信十分简单,只需要在标准交换机和基本软件控制方面进行简单配置,但是现在的安全形势要求我们做的更多。现在的问题不是你是否会受到攻击,而是什么时候。
传统的数据中心模型并不能满足当前环境的安全需求。当VMware推出软件定义数据中心时,许多人并不清楚这是一款怎样的产品以及应该使用何种安全防护技术。而同样的问题也出现在NSX身上。毕竟,除非你所在的企业是一家大型主机提供商,否则其所带来的优势似乎并不能抵消成本支出。直到VMware宣布其微分段(micro-segmentation)网络,情况才开始有所转变,NSX获得了各种类型和规模企业的广泛关注。NSX甚至能够针对虚拟网卡应用安全策略,帮助数据中心从边界安全模型转变为另外一种模型,使得安全可以存在于网络的任何节点当中。这种技术有可能成为黑客的噩梦,因为安全不再是层次化,而是无处不在的。
尽管我们当中很少有人愿意提及安全问题,因为会带来诸多不便,但是传统的安全策略已经不能满足当前需求。安全破坏已经变得过于频繁,它们所带来的威胁已经远远超过了我们能够想象的最坏情况。VMware所提供的解决方案不是多层次安全,而是“微安全”,入侵者在进入另外一个安全障碍之前不能转弯。
这种方式之前尝试过并且失败了,但是VMware已经提出了另外一种方式,能够在性能、管理和成本开销之间做出权衡。如果VMware将NSX整合到其核心产品当中,用户便无法再找借口不使用它。
对于汽车来说,安全带警报声会提醒我们系好安全带;尽管大部分人都承认安全带能够使我们更加安全,但是如果不是系统不断发出安全带未系警报,很多人都不会使用安全带。我们的天性决定了需要使用额外机制来保证自己足够安全。VMware将NSX软件及其安全机制整合到核心产品当中,也就相当于在虚拟环境当中加入了这种安全提醒。尽管VMware并不强制我们使用NSX,但是业务部门应该需要它,VMware只是预见了几年之后将会发生的情况而已。
作者:Brian Kirsch 翻译:王学强
来源:51CTO