為什麼資料中心需要使用VMware NSX？

不久之後，vmware推行的産品整合政策以及更為精細的安全控制方式也許會使得vmware nsx成為基礎架構當中必需的組成部分。

随着虛拟化生态系統不斷發展和逐漸成熟，大家的關注重點逐漸脫離了hypervisor自身，轉向一些和傳統伺服器虛拟化平台不相關的其他重要領域。

開發團隊越來越關注于docker以及其他容器技術，因為這些都是下一代應用程式開發的基礎;而自動化則是另外一個關注重點，正在影響虛拟化資料中心的方方面面。更快、更高效地部署虛拟機正在成為一種基本的業務需求。盡管vmware一直在這兩方面不斷努力，但是關注重點同樣包含了網絡虛拟化技術。vmworld将大量關注重點都放在nsx軟體能夠完成哪些事情以及如何與其他産品進行整合等方面。盡管看起來這更像是一種營銷政策，但是事實上，背後還有很多值得關注的地方。

vmware最初釋出nsx的時候，大家最為關注的是為什麼思科沒有出現在支援的廠商清單當中。很少有人了解這款産品究竟是什麼或者為什麼需要使用它，因為傳統網絡仍然能夠正常工作，并且經過擴充可以很好地支援虛拟化環境。vmware在軟體定義網絡方面投入了12億美元的賭注。雖然現在nsx吸引了大量使用者關注并且仍然有很多問題需要解答，然而其還沒有推出許多容易了解的使用案例。但是，這種情況并沒有阻止vmware将nsx整合到其他産品當中，比如vcloud suite和vrealize。對于這種整合深度來說，使用者不得不擔心是否還能在不使用nsx的情況下繼續使用vmware産品。下面我帶來了一些好消息和壞消息。

好消息是，仍然可以在不使用nsx的情況下運作vmware虛拟化軟體——事實上，甚至可以不使用分布式交換機。許多it員工最為熟悉的還是使用标準交換機配置的最為基本的網絡架構。既然過去使用的方案能夠正常工作，為什麼要更換呢?

這種想法使得大家開始認為hypervisor已經成為一種毫無差異性的産品，并且hypervisor廠商并不重要。如果你的it投資和資料中心僅限于虛拟化層，那麼是的，不同hypervisor不會出現很大差異。但是如果你更為深入地了解規模更大的生态系統， 就會感到hypervisor廠商是十分重要的。不論你選擇使用哪種hypervisor，所需要做的事情都不僅僅限于實作虛拟機正常通信。盡管實作虛拟機通信十分簡單，隻需要在标準交換機和基本軟體控制方面進行簡單配置，但是現在的安全形勢要求我們做的更多。現在的問題不是你是否會受到攻擊，而是什麼時候。

傳統的資料中心模型并不能滿足目前環境的安全需求。當vmware推出軟體定義資料中心時，許多人并不清楚這是一款怎樣的産品以及應該使用何種安全防護技術。而同樣的問題也出現在nsx身上。畢竟，除非你所在的企業是一家大型主機提供商，否則其所帶來的優勢似乎并不能抵消成本支出。直到vmware宣布其微分段(micro-segmentation)網絡，情況才開始有所轉變，nsx獲得了各種類型和規模企業的廣泛關注。nsx甚至能夠針對虛拟網卡應用安全政策，幫助資料中心從邊界安全模型轉變為另外一種模型，使得安全可以存在于網絡的任何節點當中。這種技術有可能成為黑客的噩夢，因為安全不再是階層化，而是無處不在的。

盡管我們當中很少有人願意提及安全問題，因為會帶來諸多不便，但是傳統的安全政策已經不能滿足目前需求。安全破壞已經變得過于頻繁，它們所帶來的威脅已經遠遠超過了我們能夠想象的最壞情況。vmware所提供的解決方案不是多層次安全，而是“微安全”，入侵者在進入另外一個安全障礙之前不能轉彎。

這種方式之前嘗試過并且失敗了，但是vmware已經提出了另外一種方式，能夠在性能、管理和成本開銷之間做出權衡。如果vmware将nsx整合到其核心産品當中，使用者便無法再找借口不使用它。

對于汽車來說，安全帶警報聲會提醒我們系好安全帶;盡管大部分人都承認安全帶能夠使我們更加安全，但是如果不是系統不斷發出安全帶未系警報，很多人都不會使用安全帶。我們的天性決定了需要使用額外機制來保證自己足夠安全。vmware将nsx軟體及其安全機制整合到核心産品當中，也就相當于在虛拟環境當中加入了這種安全提醒。盡管vmware并不強制我們使用nsx，但是業務部門應該需要它，vmware隻是預見了幾年之後将會發生的情況而已。

作者：brian kirsch 翻譯：王學強

來源：51cto