网络自动化是怎样加速部署和提高安全性的

Ann+Bednarz+杨勇

Vmware商店讨论了网络自动化在安全和管理上的优势，而且也能很好地支持敏捷项目。

五年前，新墨西哥州立大学的IT相当分散。新墨西哥州立大学副首席信息官Brian Pietrewicz说：“每个学校和学院都有自己的IT，在大多数情况下，他们的资源完全不够用——缺少人手的IT部门要应对电话、应用程序、电子邮件、桌面机、服务器、存储、灾难恢复等等，所有相关的工作。”

大学后来过渡到自助服务模型，100多个系可以自己部署基础设施和应用服务，由现在集中式的IT部门负责管理。

采用VMware的vCloud自动化中心后，每个系既能使用云资源，管理部门也能根据需要来调整云资源。

Pietrewicz说：“从物理机到虚拟机，再到vCAC，我们的配置时间从12个星期缩短到3星期，最后只有20分钟，但我们觉得显然还有很大差距，包括部署网络，部署防火墙和安全部件。缺少的关键部件是网络。”

什么是网络自动化？

传统上，由人工进行网络部署和配置管理，这是一个容易出错的过程。而网络虚拟化支持在软件中创建网络，把网络从底层物理硬件中抽象出来。IT部门使用策略驱动的方法，快速部署好网络，为工作负载提供网络和安全服务。

自动化使这一切迈上了新台阶，根据预先设定的策略自动部署包括带宽管理、负载均衡，并进行根源分析在内的网络功能。

为了消除新墨西哥州立大学的网络瓶颈，部署了VMware的“NSX网络虚拟化平台”和“vRealize自动化”云自动化软件。Pietrewicz最近在拉斯维加斯举行的VMworld大会上介绍了大学的经验。Pietrewicz解释了大学采用网络虚拟化的原因：“敏捷性和自动化是我们走上NSX道路的真正原因。”

微分段提高了安全性

他说，除了敏捷性，NSX还支持微分段，这代表了安全方面实质性的改善。

对微分段感兴趣的公司把NSX作为一种安全工具而推广使用——工作负载被分成不同的区域，分段间相互隔离，分别进行安全防护。采用微分段，公司把虚拟防火墙布设在服务器周围，控制数据中心内网日益增长的横向数据流。

如果出現了泄露事件，微分段限制了黑客对网络的横向渗透。出于敏捷性的原因，NSX运行在虚拟机管理程序层。如果工作负载移动，那么安全策略和属性也将随之移动。

Sean Jabro是北极星阿尔法公司智能软件解决方案（ISS）的VMware管理员，非常赞同提高网络部署速度的要求。Jabro也在VMworld上谈到了他们公司的自动化工作，他说：“在NSX之前，我们自动化方面的工作做得不是很好。我们任何一个系统的平均上线时间都要好几个星期。我们的开发人员真的很想迅速推进，但IT部门跟不上。”

ISS的开发人员已经转而采用DevOps模式，这需要一种能处理经常性改动的敏捷基础架构，网络已成为企业快速发展的瓶颈。Jabro说：“直到我们真的开始采用一些自动化过程之后，我们才变得敏捷起来。”

安全也推动了ISS的NSX部署。Jabro说：“我们公司有一个任务很重的开发人员群组，会经常出现‘影子IT。采用了NSX这样的产品后，能够真正的锁定我们内部的安全状态，同时还允许他们在环境中启动虚拟机，设置好自动防火墙规则，允许他们立即访问自己需要的东西，对我们来说这些都是非常重要的工作。”

自动化能干什么？

Pietrewicz说：“您想想，从第一次配置虚拟机，到最后部署好网络和防火墙，这期间需要多少个步骤，其中最难的部分是确定实现这些步骤到底需要什么。”整个过程涉及到数百甚至数千个跨角色、部门和系统的步骤。

Pietrewicz说，新墨西哥州立大学已经完成的步骤是，采用基本防火墙规则集部署了虚拟机，为今后发展打好了网络基础。但这项工作还没有完成。太多的技术选择带来了更多的运营挑战。

Pietrewicz说：“有的地方过去只有一两个防火墙选项，而现在有几千个。标签和策略可以指向任何方向。当有人说，‘我需要这台机器上的这个端口开放给这组IP，标签数量，以及总体上非常灵活的产品使我们能够马上满足其要求，但在最初部署之后，我们仍然想清楚的知道我们的运营情况怎样。我们总是不得不把所有人都叫回房间开会——我们的安全部门、平台部门、网络部门，‘我们到底在做什么？”

必须加强标准化，这样才能顺利解决部署问题。

总部位于伦敦的信息和分析公司IHS Markit资深网络运营专家Andrew Hrycaj说，在某些网络选项自动化的过程中，IHS Markit的IT领导们清楚的知道他们需要把环境中的很多东西进行标准化。

Hrycaj说：“当您要把一个自动化部件放到您的网络或者基础设施中时，您不断地修改这些部件，必须创建标准化过程，这样人们就会遵循这些过程。然后，创建定义明确的服务。如果您的开发人员和安全人员——如果每个人都知道他们能从您的基础设施中得到什么，那么问题就会少很多。”

文化挑战

但是，很难全面认识NSX在网络自动化和安全防护上的潜力。首先，它需要从文化上转变观念。

VMware产品营销经理Scott Goodman说：“这不仅仅是技术上的改变，还有人和过程的转变。我们习惯于孤岛式的运营，而NSX让孤岛界线变得模糊，打破孤岛障碍。因此，弄清楚到底由谁来做什么真的是有些挑战。”

Goodman主持了Jabro、Pietrewicz和Hrycaj的讨论。这三位都赞同Goodman关于网络自动化所面临文化挑战的警告。

Jabro说：“让网络维护和安全人员一起呆在同一个房间，同一页面上，这可能是最困难的部分。对我们来说，这更像是一种社会性的变化。”

Pietrewicz说：“令我没有想到的是，最大的挑战来自网络管理员的阻力。”

Hrycaj说：“从我们的角度来看，一开始转变时会很难，因为这是以一种全新的方式来看待网络。”

VMware的NSX把安全功能从物理基础设施中分离出来，将其嵌入到虚拟机管理程序中，这样，安全策略可以应用到虚拟工作负载中。

Hrycaj说：“很酷的是，您改变了对安全状况的看法，不再是网络维护人员考虑IP地址和端口号那种简单的思维。一旦我们明白了这一点，我们和安全部门一起工作，就能够接受过去看似不切实际的期望，并在短时间内使之成为现实。”

Hrycaj说：“但这需要大量的培训，还需要大量的讨论。随着时间的推移，这加强了我们与安全部门的关系，是件好事。”

Ann Bednarz——总编辑助理，Features。Ann Bednarz涉及的领域包括《网络世界》的IT职业、外包和互联网文化。endprint