虚拟化催生变革 IP网络走向管理自动化

    IP网络犹如现代企业的神经系统。大大小小的电脑，设备，传感器，电话和各种部件都是根据IP地址和域名来传输数据。


    有些因素，包括数据中心虚拟化的增加，使得这些数字和名称的管理成为了企业IT部门的沉重包袱。带有自动化功能与工具的IP地址和域名集中式管理现在已经可在DDI方案中获取。评估这些方案的企业要考虑多个标准。


    数据中心和企业网络中的一些趋势已经为网络管理带来新的压力。其中最大的一个改变就是服务器虚拟化的兴起，这一改变使得我们可以在数据中心里大量且快速地部署价格便宜的虚拟机。虚拟机改善了应用的弹性和性能。更多虚拟机被用于应用生命周期的测试，分段传输和开发中。


    虚拟机在生命周期中被当做应用一样移入移出的速度比以往的物理机器要快得多。私有云系统的步伐更快，其终端用户可以定制部署多个应用库。所有的虚拟机都需要访问合适的IP网络，且数字和访问规则都不能错。


    虚拟化也增加了虚拟网络设备的数量，如Hypervisor，存储端点，虚拟机和虚拟网络设备使用的设备。结果便是，一个单独的物理服务器可能支持多个子网络上的十几个甚至是更多的IP地址。此外，虚拟桌面也越来越普及；这些通过拥有专用IP的数据中心虚拟机和一个桌面客户设备来取代单独的台式电脑。


    企业网络除数据中心以外的部分也变得更加复杂。有很多新的设备也涉及企业网络，如楼层管理系统，信用卡读卡器，安全出入设备，监控摄像头，视频会议系统，甚至是自动售卖机和电梯。

    员工将自己的智能手机带到工作场所使用时需要通过Wifi访问网络。许多企业网络已经通过连接传统硬件电话和软件电话的IP系统支持电话呼叫。所有这些设备都需要IP地址和合适的网络连接。扬基集团估计大公司网络中的每个人已经有了四个IP地址，且这一数字还在上升。

    IP地址管理非常重要


    随着企业网络的规模和复杂性不断上升，用来管理IP地址的DHCP也变得越来越重要。


    如果某个服务器失控或是掉线，那么就会对数据网络造成较大影响。如果某个DHCP服务器没有足够的IP地址可用，或是其他网络设备配置不当时，IP地址的复制可能在大型网络上导致较大问题。


    网络架构中出现的新趋势使DHCP的重要属性得到扩展。数据网络变得更为简单，分割得也越少。例如，虚拟数据中心通常使用宽带layer-2通信来推动虚拟机的使用。简单一点的网络其操作也会更简单，但是这样的网络也更加脆弱。特别是，剩下不多的DHCP服务器可以在大面积网络上操作，所以不能出现意外。


    数据中心之外，DHCP服务的崩溃可能导致现在企业网络中网络与地址池的大量复制。无线设备，VoIP系统，远程访问网络和VPN设备都可能通过自己的安全和泄露策略管理DHCP地址池。在某些网络公司中，这些配置信息还没有被普及；当网络被平铺或是被减少分区时就会出现冲突。


    另一种架构趋势则是IPv6寻址方式的增长。随着IPv6的进一步普及，使用IPv4设备的大型企业开始在更大的IPv6环境中进行操作，其寻址方案中对协调性的需求为网络管理提出了新挑战。


    DNS已不仅仅是地址映射


    DNS因为担负起新任务而变得更为复杂。DNS不再仅仅是从简单的地址映射到IP地址；它现在就像是个服务代理，可以将请求映射给服务器。


    这种映射可能复杂到可以支持负载平衡，流量地理分布以及基于客户端机器的地理位置的路由选择。此外，它可能还要为出现故障的机器进行路由选择或是帮助其进行灾难恢复。举个例子，假设是处理一个名为www.google.com 的DNS名称——被选来响应给定询问的服务器就是复杂的实时策略计算的结果。


    其影响就是导致DNS TTL值的设置很低，目的是允许动态策略的实施。不过在这一进程中，这已经减少了DNS缓冲的有效性。也就是说，DNS服务器功能必须更强大，因为缓冲提供的备份更少了。这同时也意味着DNS服务必须提供更多容量才能应对更为频繁的询问。企业或许要升级自己的DNS架构才能保障网络稳定性。


    另外，有些企业是出于安全原因才寻求DNS升级。从2010年6月起就可以指定根服务器支持DNSSEC （DNS 安全扩展），而且这种支持在企业网络中也逐步得到普及。


    以前的工具不再能满足需求


    Linux平台上两个最常用来管理IP地址的软件是BIND和DHCP 后台程序，还有Windows平台上的Active Directory。这些程序便宜且普及度高。不过，这些工具通常都受限于单独域或是子网。可利用这些工具处理多个域和子网，但是只能在系统外部提供协调性才行。


    这种协调性通常以手动保留的电子数据表或是其他简单注册表的形式出现。而且，在大多数情况下，BIND和AD彼此的兼容性并不好。所以，在同时运行Linux和Windows的大部分企业中，需要进行手动调整以维持其协调性。


    除了人力成本和可能出现的错误，现在的DNS方案还会为服从性规则之下的企业带来某些特定问题。不论是BIND还是AD的手动电子数据表都没有内置的历史报告和审计追踪。而这些都是服从性报告的常规要求，因此就需要投入更多人力进行手动操作。


    自动应答IP问题


    手动管理的操作就可能出现手误，而这种手误会破坏网络稳定性。较大较复杂的网络出现的问题也可能更大。自动化可减少这类错误的发生。


    自动化还可以加速诊断和问题解决，减少误工时间并改进网络服务的稳定性。


    设计良好的自动化应该在整个域以及Linux和Windows环境之间提供连续性。自动化还应该帮助我们把策略部署到整个网络。虽然策略必须为网络员工而设计，但是自动化的系统应该要确保良好的服从性。所有策略范围内的操作以及策略的更改都应该被记录下来，且需用预定义的报告对其进行审计。


    网络设备供应商已经看到了综合DDI产品自动化的潜力，也已经给出了若干方案。那么，在选择方案时应该记住以下几点：


    功能强大与稳定性。 任何方案都应该设置长期稳定操作的追踪记录。在多个硬件上，即便是距离较远时，完成此部署也并不难。其目的就是确保操作持续性。这意味着该方案必须在若干地点之间对配置的可靠性复制与策略信息进行协调。它还应该通过简单的操作进程在不误工的情况下进行升级和组件替换。


    扩大的容量。必须为扩增的IP地址以及更为复杂且动态的DNS配置提供支持。对IP地址服务的频繁询问必须得到调整。


    跨平台功能。 现在，应用和客户都被部署到了多个操作系统和设备平台，从电脑到移动设备再到嵌入式设备不等。一个方案应该以同一级别的策略服从性和性能为所有平台提供支持。


    策略的自动实施。许多技巧要素上的策略——IP地址分配，DHCP租用更新，DNS TTL，子网访问列表等——应保留在同一个地方以便工作人员查看。然后把这些策略实施到企业网络中。


    对服从性的支持，包括自动审计。自动化架构能识别应由谁来进行更改操作，而且还能提供便利的综合报告。


    IPv6转换。 即便是目前在使用IPv4的企业，任何新架构都应该在时机成熟时支持IPv6的过渡。


    现有地址分配与配置信息的合并。 在Windows AD功能升级时，这一点十分重要。保留当前配置工具中的信息十分重要。不能因为改用新方案反而带来不稳定性。


    在自动化之前，大多数网络配置都被当成不会经常变更的静态对象。由于虚拟化为网络增加了很多动态操作，所以静态网络配置不能满足需求。静态配置也不能满足企业内新架构的需求，包括网络平铺化和无线/移动访问的激增。自动化的IP地址管理应该成为大多数企业网络的发展方向。