近日，VMware发布了vCloud Director产品，它赋予了vSphere管理员，即通常所说的服务器管理员，创建逻辑网络，路由，使用网络地址转换 (NAT) ，甚至是在逻辑网段实施防火墙的能力。网络管理员的职责与控制着vCloud性能的虚拟化管理员的职责在逐渐发生重叠，这使得他们为此而担忧，但实际上，真正需要担心的是这些项目实施中的细枝末节。

　　根据VMware vCloud Director评估指南可知，vCloud Director使用了以下三种机制来分离相关的网络集合（network pools）：

　　•只有一个物理vSphere服务器的Portgroups；

　　•VLANs；

　　•MAC-in-MAC封装，称为VMware vCloud Director 网络分离技术 (VCDNI)。

　　在使用最后一种机制时，vSphere服务器执行自己逻辑上的第2和第3层网络，包括跨接的数据中心基础设施顶端的NAT和防火墙功能，完全地忽略了网络部门的作用。

　　毫不奇怪，VMware大力促进VCDNI技术，正是因为其提供了更好的安全性 ，并能阻止inter-VLAN跳跃攻击。但是在幕后，VMware所告诉服务器管理员的是，如果忽略网络管理员，事情就会变得更简单。

　　退一步看，我更倾向于三层数据中心网络，在三层网络中，每个服务器（物理的或虚拟的）都有各自的IP地址，我唯一担心的是如何在服务器之间，或服务器与终端用户之间提供端到端的IP通讯，以满足 SLA 和QoS。

　　如果我在Google或Facebook工作，也许我的愿望就可以实现（因为Google和Facebook都忙于发展自己的网络，忙于网络的正常运转，所以不会玩什么花哨的网络功能）。但是在一个典型的企业数据中心当中，我们不得不处理当今的鱼龙混杂的状况，原因有以下几点：

　　•IPv4的设计人员选择了32-bit的地址长度，15年前当我们打算部署IPv6时，大家都临阵退缩了，所以我们不得不接受NAT；

　　•交换机供应商为三层网络功能收取额外费用的决定，尽管基于主机路由的IP数据包转发的费用应该和基于MAC地址的二层帧转发的费用一样便宜或者更便宜；

　　•被迫使用负载均衡来隐藏单一IP地址后的服务器群组，这正是因为我们使用了三十年的传输协议（TCP），因为在TCP/IP中是缺乏会话层的，而且socket API的效果也不理想；

　　•操作系统运营商试图通过实施疯狂计划，如Microsoft Network负载均衡等来逃避其在系统平台中显露的局限性；

　　•一些服务器管理人员并不能保证其系统平台的绝对安全，所以我们得提供保护。也正因为事件足够多，我们不得不使用防火墙来顺应各种行业规范（比如，PCI）。

　　当今，虚拟化供应商正在试图说服大众去接触并认识网际网络的问题（例外肯定是有的，但也并不是所有服务器管理员都搭建并管理过大型数据中心网络），这些问题包括从白手起家，使用未经验证的虚拟化组件以及GUI来重新搭建一个混合式的网络系统。在此我也对此寄予希望，但要确保你公司的CIO对云基础设施中的稳定性和安全性是由谁来负责有一定的了解。

　　关于作者：Ivan Pepelnjak, CCIE No. 1354，拥有长达25年的网络经验。在网络设计、安装、故障排除等方面拥有10年经验，曾经管理过大型服务供应商以及企业的WAN和LAN网络，目前是NIL Data Communications的首席技术顾问，专注于先进的基于IP网络和Web技术。