深入介绍VMware vCloud Director

深入介紹VMware vCloud Director
作者吳朱華| 2010-09-24 20:55 | 類型雲計算| 沒有用戶評論»
身為一個虛擬化技術的愛好者，每年的VMworld大會是不得不關注的，因為在每年的VMworld大會上VMware都會發佈許多非常有心意的虛擬化產品，今年也是如此，在8月30號的VMWorld 2010大會上，VMware正式對外發佈了用於搭建企業內部雲計算中心的管理產品vCloud Director，通過這個產品能有效地提升整個IT部門的運維方式，並推動IT轉向以業務為中心的模式，也就是“IT即服務”，而本文將給大家深入介紹這款產品。

簡介
vCloud Director（以下簡稱Director）是基於VMware vSphere的虛擬化能力，並擴展了VMware vCenter的資源池功能以使IT部門能夠創建“VDC（Virtual Data Center，虛擬資料中心）”，即由計算、網路和存儲資源組成的資源池以及預定義的管理策略、服務水準協定和定價機制，並為用戶提供基於VDC的計算資源和能在其之上部署應用。

在使用者體驗方面，與同為管理軟體的VMware vCenter不同的是，Director在使用者介面上並沒有選擇傳統的用戶端，而是基於Adobe Flex RIA技術的Web UI，通過這個Web UI，使用者只需通過滑鼠的點擊或者少量的鍵盤輸入就能完成包括雲的創建和管理，網路的設置和應用的部署等一些極為耗時和繁瑣的操作，而且還基於開放的OVF 協定，並提供使用REST技術的vCloud API。

除了上面提到這些基本功能之外，在計費方面，Director還集成了最新的VMware vCenter Chargeback 1.5版來完成計算資源使用的計費工作。

在安全方面，Director還整合了VMware vShield技術來提升雲計算中心的安全性。

還有，VMware還推出了和Director相關的VMware vCloud資料中心服務，通過這個服務，Director使用者能借助VMware廣泛的技術合作夥伴和服務提供者生態系統，通過引入安全、相容的公共雲來能夠擴展資料中心能力，並且像管理私有雲那樣輕鬆地管理公共雲。

通過這種混合模式，使用者能在不降低安全性或控制力的情況下獲得雲計算的好處，而且還在對企業非常關鍵的合規性和安全方面有完善的支持。

圖1. vCloud Director的架構圖
創建VDC和組織
由於無論是一個私有雲還是公有雲，它們都很有可能面對各種類型的客戶或者多樣的場景，所以vCloud Director並沒有將所有的IT資源都歸於一個雲或者一個用戶中，而在設計上支持資源隔離和多租戶這樣的機制，為了這個目標，vCloud Director引入了兩個非常核心的概念：其一是上面提到過的用於對資源進行隔離的VDC；其二是用於支援多租戶機制的組織（organization）”。

VDC是一個包含用於雲計算的計算和存儲等資源的集合，在使用上，管理員首先在Director上添加一些vCenter Server，這樣能能這些vCenter Server管理的計算資源給公佈出來，並這些資源組合成一個巨大的資源池，之後管理員可以創建一個VDC，並按照自己想法或者某些規則來將資源池中部分或者全部計算和存儲資源添加到這個新建的VDC中，比如，管理員可以按照性能，將性能比較出色的計算和存儲資源配置給名為“Tier1”的VDC，而將那些在性能上非常落後的硬體資源歸為一個名為“Tier2”的VDC。

同時管理員可以為每個VDC設置相應的Cost和SLA參數。

管理員通過規則（Policy）來將多個使用者組合成同一個組織，比如，屬於財務部門的人員都歸類到財務部門這個組織等，而且每個組織都有自己獨佔的虛擬資源和目錄（Catalog）、獨立的LDAP認證系統和特定的規則管理。

通過組織這個特性能夠讓多個單位分享同一套基礎設施，而且Director會為每個組織生成不同的URL來讓她們登錄，在每個組織內部，管理員可以創建其下屬的用戶和小組，還可以為每個組織設定相應的租約（Lease）、額度（Quota）和限制（Limit）等參數。

此外，組織中的使用者可以通過三種方式進行認證：其一是使用Director本地資料庫；其二是使用與Director相匹配的Active Directory或者LDAP伺服器；其三是使用這個組織特定的Active Directory或者LDAP伺服器。

接下來，將介紹一下VDC和組織之間的關係，首先，VDC按照規模大小分為兩個類別，Provider級和Organization級。

在使用的時候，管理員先創建多個Provider VDC，比如：下圖中的Gold VDC和Silver VDC等。

之後，管理員在Provider VDC的基礎上為組織創建新的Organization VDC，比如，下圖中的Org 1 Gold VDC。

同時需要注
意的是一個Organization VDC能夠和創建其Provider VDC一樣大，並且是一個組織可以擁有多個Organization VDC。

圖2. VDC和組織的關係
還有，Provider VDC可以通過三種方式在其上創建Organization VDC：其一是按需使用，只有當用戶在Organization VDC上部署一個虛擬機器，才會消耗相關Provider VDC 的資源；其二是預留池（Reservation Pool）機制，在Organization VDC創建的時候，Provider VDC會分配一定的資源，通過由組織來控制諸如共用值（Shares）和保留值（Reservations）等高級資源管理配置；其三是分配池（Allocation Pool）機制，這個機制和前面預留池機制相同的是，Provider VDC會為Organization VDC分配一定的資源，但是類似共用值和保留值等高級資源管理配置則由負責Provider VDC的管理員設置。

網路的設計
在網路方面，Director主要有兩大類機制：其一是外部網路（External Network）機制；其二是網路池（Network Pools）機制。

在Director中，外部網路機制主要給部署的虛擬機器提供連結此虛擬機器所屬組織之外網路（包括屬於其它組織的網路或者互聯網）的能力，在實現上面，一個外部網路就是一個用於傳輸對外虛擬機器流量的portgroup，這個portgroup通過使用一個VLAN標籤（tag）來實現網路的隔離。

在使用方面，管理員會首先創建一個外部網路，需要填寫的參數有網路的子網路遮罩、預設的閘道、首選和備選的DNS位址、DNS首碼和靜態IP位址集區，之後將這個外部網路和相關的虛擬機器聯繫起來即可。

網路池是一系列隔離的Layer 2的網段，而且網路池是用來創建組織和虛擬機器網路的基石，主要用於組織內部虛擬機器之間的通信，並且它也確保網路能夠在雲中自動地被使用和部署。

在使用方面，每當使用者部署一個虛擬機器，都會消耗其對應網路池的一個IP位址。

在實現方面，網路池主要是由三種技術支持：其一是基於VLAN的；其二是依賴Director自己的網路隔離技術VCDNI（VMware vCloud Director Network Isolation technology）；其三是使用Portgroup的。

目錄管理
在Director中，目錄主要用於存儲各種資源的容器，一個目錄隸屬於一個組織，並主要有這個組織的管理員負責創建，並且可根據需要來設置這個目錄的共用設置。

主要存儲的東西包括兩大類：其一是vApp，它是基於OVF格式的虛擬器件，通過部署vApp來快速搭建一個包含多個虛擬機器的應用；其二是一些諸如ISO格式和floppy格式的鏡像和介質，可用於在虛擬機器上安裝作業系統或者傳遞資料給虛擬機器。

安全部分
在安全方面，由於傳統的企業安全依賴於代理、專屬硬體以及與硬體相關的脆弱配置。

由於雲環境具有動態特性，應用和服務在其中可以隨處移動並採取了共用的基礎架構，因此有必要採用新的安全模式。

所以Director集成了專門針對虛擬環境和雲環境的安全模式的vShield安全技術，並在今年VMworld大會上推出了三款的新的產品，包括VMware vShield Edge、VMware vShield App和VMware vShield Endpoint，它們可以對包括防火牆、虛擬私人網路（VPN）和負載均衡等在內的安全和邊緣服務進行虛擬化，使它們擺脫物理基礎架構的束縛，並提供了單一的、自我調整的、可程式設計的安全基礎架構。

這有利於解決傳統模式過於複雜且缺乏靈活性等問題，為IT團隊提供更好的可見性和控制力。

如果與VMware合作夥伴的解決方案結合起來使用，VMware vShield將能夠提供比傳統的物理部署模式更加安全的VMware虛擬化環境和雲環境，而成本僅為後者的很小一部分。

計費
在計費方面，Director並沒有重新發明輪子，而是利用最新版的VMware vCenter Chargeback來。

首先，介紹一下Chargeback，它主要用來進行準確的成本測算、分析和報告，以實現成本透明和責任落實，並使用戶能夠將IT 成本與業務單位、成本中心或外部客戶對應起來，從而説明更好地瞭解資源成本是多少，這樣不僅能讓業務所有者和IT 人員瞭解支援業務服務所需的實際的虛擬基礎架構成本，而且還可以獲知可通過那些途徑來優化資源利用率，以降低總體IT 基礎架構開支。

還有，通過與Chargeback 的整合，使得Director可以對多種雲資源的使用情況進行計費，比如，存儲資源、網路資源和vShield服務所消耗的資源等，而且可以為了不同的組織生成不同的報表。

VMware vCloud資料中心服務
首先，雖然公共雲服務提供了在自助的、基於使用付費的模式中交付計算能力的替代方案，但是諸多不利因素依然限制了公共雲服務在企業內部的廣泛採用，例如安全問題、不確定的服務水準協定、缺乏法規遵從以及對於廠商鎖定的擔憂等。

VMware vCloud資料中心服務則為企業提供了一種新的方式，在將資料中心擴展至外部雲的同時保持安全性、法規遵從和服務品質。

VMware vCloud資料中心服務由包括Bluelock、Colt、SingTel、Terremark和Verizon等在內的數家全球領先的服務提供者提供，採用了全球統一的基礎架構以及管理和安全模式，使企業客戶能夠在內部虛擬化的基礎架構與外部雲之間進行工作負載的遷移。

其次，在合規性（Compliance）和安全方面，VMware vCloud資料中心服務提供了經過VMware認證的相容性、可攜性、可審計的安全控制、SAS-70-Type-II或ISO-27001認證、包括狀態防火牆和兩層網路隔離的虛擬應用安全性、基於角色的存取控制以及LDAP目錄驗證。

總的來說，Director這款產品主要是通過整合多個基於vCenter Server的資源池來實現一個基本完備的IaaS雲。

雖然在功能上面，Director所支援的功能無法和Amazon EC2之類專業的IaaS雲相媲美，但是其在安全和計費等方面都所涉及，再加上VMware原有虛擬化軟體在企業資料中心的統治性，可以預見這款產品非常適合那些已經在VMware技術有一定的投入，並想體驗雲計算的優越性的企業用戶。

還有，通過對Director的介紹，我們應該能對一個IaaS雲的基本構造有一個比較深入的瞭解。