盡管某些數(shù)據(jù)中心角色正在聚合，但SDN是真正聚焦網(wǎng)絡(luò)的技術(shù)，對服務(wù)器管理員幾乎沒有任何影響?SDN帶來了很多好的東西，但對虛擬網(wǎng)絡(luò)進行微分割的技術(shù)正受到關(guān)注。SDN聚焦網(wǎng)絡(luò)，對網(wǎng)絡(luò)進行微分割很可能是數(shù)據(jù)中心中服務(wù)器管理員角色增加的關(guān)鍵所在。

對服務(wù)器管理員來說，部署新系統(tǒng)或服務(wù)器時所面臨的最大的挑戰(zhàn)之一并非技術(shù)，而是程序、政策。現(xiàn)在創(chuàng)建一臺服務(wù)器(或者上百臺服務(wù)器)就和點擊幾下鼠標一樣簡單。虛擬化帶來了更高級別的靈活性與可擴展性。我們遇到的問題往往是內(nèi)部流程，需要內(nèi)部流程作為檢查點確保沒有資源浪費，安全保護是恰當?shù)摹默F(xiàn)在開始，讓我們關(guān)注安全層面。在現(xiàn)有環(huán)境中增加新服務(wù)器很可能會帶來安全風險。取決于應(yīng)用需求，增加新服務(wù)器可能像做文書工作一樣簡單，也可能像復(fù)核委員會一樣復(fù)雜。

事實是增加服務(wù)器時可能會給邊界防護帶來挑戰(zhàn)。如果應(yīng)用程序需要訪問互聯(lián)網(wǎng)，那么必須在邊界處打開端口而且規(guī)則必須落實到位。邊界安全策略調(diào)整必須正確記錄，因為這可能會影響其他服務(wù)器。每次增加新服務(wù)器時都需要重復(fù)如下步驟：修改策略并進行相關(guān)記錄。在環(huán)境不斷擴大時，這一過程可能會變得過于復(fù)雜、繁瑣。VLAN以及網(wǎng)絡(luò)分割能夠提供幫助，但往往提供的是基于硬件、價格不菲的解決方案。這一安全模型經(jīng)常被比作煮得半熟的雞蛋——外殼堅硬內(nèi)部松軟——這恰恰是邊界安全修改引發(fā)關(guān)注的原因之一。

在每臺服務(wù)器前面增加防火墻與路由器成本過高。物理網(wǎng)絡(luò)設(shè)備并不便宜而且需要很多基礎(chǔ)設(shè)施。現(xiàn)在虛擬服務(wù)器擴張以及能夠?qū)⒎阑饓奥酚善鬟w移到軟件空間允許采用新的微分割技術(shù)。使用微分割及SDN，管理員每次部署新服務(wù)器時，還可以同時部署一個定制的防火墻或路由器。與修改每臺新服務(wù)器的邊界安全策略不同，安全策略可以與應(yīng)用程序相關(guān)聯(lián)。這將安全模型從類似于煮得半熟的雞蛋變更為完全煮熟的雞蛋，外殼和內(nèi)部都很牢固可靠。

盡管看起來網(wǎng)絡(luò)及安全團隊可能會因此而受益，但之前往往會阻礙新環(huán)境部署的核心步驟變得更容易實施，服務(wù)器管理員同樣能夠因此而受益。例如，如果不再需要修改邊界安全，微分段能夠避免某些審核及審批流程。在部署需要通過路由器進行分割的大型環(huán)境時同樣可以采用經(jīng)過簡化的流程。當然這一切需要花時間實現(xiàn)自動化配置。不幸的是，網(wǎng)絡(luò)團隊可能正在管理的不是少數(shù)的防火墻、路由器，而是上百臺軟件定義的設(shè)備。

對網(wǎng)絡(luò)或安全團隊來說微分割并不是一件輕松的事兒，但其在一致性及防護上的優(yōu)勢值得我們?nèi)プ觥７?wù)器管理員將享受不需要搬運超重貨物的福利。福利并非一直都有，所以要盡情享用。

服務(wù)器管理員可以從構(gòu)建他們所支持的應(yīng)用服務(wù)器配置文件開始。為創(chuàng)建微分割配置文件提供幫助，有必要針對每類服務(wù)器創(chuàng)建應(yīng)用類型及通信端口矩陣。知道擁有什么以及希望能夠部署什么有助于推動SDN進程并為未來的數(shù)據(jù)中心做好準備。