身為一個(gè)虛擬化技術(shù)的愛好者，每年的VMworld大會是不得不關(guān)注的，因?yàn)樵诿磕甑腣Mworld大會上VMware都會發(fā)布許多非常有心意的虛擬化產(chǎn)品，今年也是如此，在8月30號的VMWorld 2010大會上，VMware正式對外發(fā)布了用于搭建企業(yè)內(nèi)部云計(jì)算中心的管理產(chǎn)品vCloud Director，通過這個(gè)產(chǎn)品能有效地提升整個(gè)IT部門的運(yùn)維方式，并推動IT轉(zhuǎn)向以業(yè)務(wù)為中心的模式，也就是“IT即服務(wù)”，而本文將給大家深入介紹這款產(chǎn)品。

簡介

vCloud Director（以下簡稱Director）是基于VMware vSphere的虛擬化能力，并擴(kuò)展了VMware vCenter的資源池功能以使IT部門能夠創(chuàng)建“VDC（Virtual Data Center，虛擬數(shù)據(jù)中心）”，即由計(jì)算、網(wǎng)絡(luò)和存儲資源組成的資源池以及預(yù)定義的管理策略、服務(wù)水平協(xié)議和定價(jià)機(jī)制，并為用戶提供基于VDC的計(jì)算資源和能在其之上部署應(yīng)用。在用戶體驗(yàn)方面，與同為管理軟件的VMware vCenter不同的是，Director在用戶界面上并沒有選擇傳統(tǒng)的客戶端，而是基于Adobe Flex RIA技術(shù)的Web UI，通過這個(gè)Web UI，用戶只需通過鼠標(biāo)的點(diǎn)擊或者少量的鍵盤輸入就能完成包括云的創(chuàng)建和管理，網(wǎng)絡(luò)的設(shè)置和應(yīng)用的部署等一些極為耗時(shí)和繁瑣的操作，而且還基于開放的OVF協(xié)議，并提供使用REST技術(shù)的vCloud API。

除了上面提到這些基本功能之外，在計(jì)費(fèi)方面，Director還集成了最新的VMware vCenter Chargeback 1.5版來完成計(jì)算資源使用的計(jì)費(fèi)工作。在安全方面，Director還整合了VMware vShield技術(shù)來提升云計(jì)算中心的安全性。還有，VMware還推出了和Director相關(guān)的VMware vCloud數(shù)據(jù)中心服務(wù)，通過這個(gè)服務(wù)，Director用戶能借助VMware廣泛的技術(shù)合作伙伴和服務(wù)提供商生態(tài)系統(tǒng)，通過引入安全、兼容的公共云來能夠擴(kuò)展數(shù)據(jù)中心能力，并且像管理私有云那樣輕松地管理公共云。通過這種混合模式，用戶能在不降低安全性或控制力的情況下獲得云計(jì)算的好處，而且還在對企業(yè)非常關(guān)鍵的合規(guī)性和安全方面有完善的支持。

圖1. vCloud Director的架構(gòu)圖

創(chuàng)建VDC和組織

由于無論是一個(gè)私有云還是公有云，它們都很有可能面對各種類型的客戶或者多樣的場景，所以vCloud Director并沒有將所有的IT資源都?xì)w于一個(gè)云或者一個(gè)用戶中，而在設(shè)計(jì)上支持資源隔離和多租戶這樣的機(jī)制，為了這個(gè)目標(biāo)，vCloud Director引入了兩個(gè)非常核心的概念：其一是上面提到過的用于對資源進(jìn)行隔離的VDC；其二是用于支持多租戶機(jī)制的組織（organization）”。

VDC是一個(gè)包含用于云計(jì)算的計(jì)算和存儲等資源的集合，在使用上，管理員首先在Director上添加一些vCenter Server，這樣能能這些vCenter Server管理的計(jì)算資源給公布出來，并這些資源組合成一個(gè)巨大的資源池，之后管理員可以創(chuàng)建一個(gè)VDC，并按照自己想法或者某些規(guī)則來將資源池中部分或者全部計(jì)算和存儲資源添加到這個(gè)新建的VDC中，比如，管理員可以按照性能，將性能比較出色的計(jì)算和存儲資源分配給名為“Tier1”的VDC，而將那些在性能上非常落后的硬件資源歸為一個(gè)名為“Tier2”的VDC。同時(shí)管理員可以為每個(gè)VDC設(shè)置相應(yīng)的Cost和SLA參數(shù)。

管理員通過規(guī)則（Policy）來將多個(gè)用戶組合成同一個(gè)組織，比如，屬于財(cái)務(wù)部門的人員都?xì)w類到財(cái)務(wù)部門這個(gè)組織等，而且每個(gè)組織都有自己獨(dú)占的虛擬資源和目錄（Catalog）、獨(dú)立的LDAP認(rèn)證系統(tǒng)和特定的規(guī)則管理。通過組織這個(gè)特性能夠讓多個(gè)單位分享同一套基礎(chǔ)設(shè)施，而且Director會為每個(gè)組織生成不同的URL來讓她們登錄，在每個(gè)組織內(nèi)部，管理員可以創(chuàng)建其下屬的用戶和小組，還可以為每個(gè)組織設(shè)定相應(yīng)的租約（Lease）、額度（Quota）和限制（Limit）等參數(shù)。此外，組織中的用戶可以通過三種方式進(jìn)行認(rèn)證：其一是使用Director本地?cái)?shù)據(jù)庫；其二是使用與Director相匹配的Active Directory或者LDAP服務(wù)器；其三是使用這個(gè)組織特定的Active Directory或者LDAP服務(wù)器。

接下來，將介紹一下VDC和組織之間的關(guān)系，首先，VDC按照規(guī)模大小分為兩個(gè)類別，Provider級和Organization級。在使用的時(shí)候，管理員先創(chuàng)建多個(gè)Provider VDC，比如：下圖中的Gold VDC和Silver VDC等。之后，管理員在Provider VDC的基礎(chǔ)上為組織創(chuàng)建新的Organization VDC，比如，下圖中的Org 1 Gold VDC。同時(shí)需要注意的是一個(gè)Organization VDC能夠和創(chuàng)建其Provider VDC一樣大，并且是一個(gè)組織可以擁有多個(gè)Organization VDC。

圖2. VDC和組織的關(guān)系

還有，Provider VDC可以通過三種方式在其上創(chuàng)建Organization VDC：其一是按需使用，只有當(dāng)用戶在Organization VDC上部署一個(gè)虛擬機(jī)，才會消耗相關(guān)Provider VDC的資源；其二是預(yù)留池（Reservation Pool）機(jī)制，在Organization VDC創(chuàng)建的時(shí)候，Provider VDC會分配一定的資源，通過由組織來控制諸如共享值（Shares）和保留值（Reservations）等高級資源管理配置；其三是分配池（Allocation Pool）機(jī)制，這個(gè)機(jī)制和前面預(yù)留池機(jī)制相同的是，Provider VDC會為Organization VDC分配一定的資源，但是類似共享值和保留值等高級資源管理配置則由負(fù)責(zé)Provider VDC的管理員設(shè)置。

網(wǎng)絡(luò)的設(shè)計(jì)

在網(wǎng)絡(luò)方面，Director主要有兩大類機(jī)制：其一是外部網(wǎng)絡(luò)（External Network）機(jī)制；其二是網(wǎng)絡(luò)池（Network Pools）機(jī)制。

在Director中，外部網(wǎng)絡(luò)機(jī)制主要給部署的虛擬機(jī)提供鏈接此虛擬機(jī)所屬組織之外網(wǎng)絡(luò)（包括屬于其它組織的網(wǎng)絡(luò)或者互聯(lián)網(wǎng)）的能力，在實(shí)現(xiàn)上面，一個(gè)外部網(wǎng)絡(luò)就是一個(gè)用于傳輸對外虛擬機(jī)流量的portgroup，這個(gè)portgroup通過使用一個(gè)VLAN標(biāo)簽（tag）來實(shí)現(xiàn)網(wǎng)絡(luò)的隔離。在使用方面，管理員會首先創(chuàng)建一個(gè)外部網(wǎng)絡(luò)，需要填寫的參數(shù)有網(wǎng)絡(luò)的子網(wǎng)掩碼、默認(rèn)的網(wǎng)關(guān)、首選和備選的DNS地址、DNS前綴和靜態(tài)IP地址池，之后將這個(gè)外部網(wǎng)絡(luò)和相關(guān)的虛擬機(jī)聯(lián)系起來即可。

網(wǎng)絡(luò)池是一系列隔離的Layer 2的網(wǎng)段，而且網(wǎng)絡(luò)池是用來創(chuàng)建組織和虛擬機(jī)網(wǎng)絡(luò)的基石，主要用于組織內(nèi)部虛擬機(jī)之間的通信，并且它也確保網(wǎng)絡(luò)能夠在云中自動地被使用和部署。在使用方面，每當(dāng)用戶部署一個(gè)虛擬機(jī)，都會消耗其對應(yīng)網(wǎng)絡(luò)池的一個(gè)IP地址。在實(shí)現(xiàn)方面，網(wǎng)絡(luò)池主要是由三種技術(shù)支持：其一是基于VLAN的；其二是依賴Director自己的網(wǎng)絡(luò)隔離技術(shù)VCDNI（VMware vCloud Director Network Isolation technology）；其三是使用Portgroup的。

目錄管理

在Director中，目錄主要用于存儲各種資源的容器，一個(gè)目錄隸屬于一個(gè)組織，并主要有這個(gè)組織的管理員負(fù)責(zé)創(chuàng)建，并且可根據(jù)需要來設(shè)置這個(gè)目錄的共享設(shè)置。主要存儲的東西包括兩大類：其一是vApp，它是基于OVF格式的虛擬器件，通過部署vApp來快速搭建一個(gè)包含多個(gè)虛擬機(jī)的應(yīng)用；其二是一些諸如ISO格式和floppy格式的鏡像和介質(zhì)，可用于在虛擬機(jī)上安裝操作系統(tǒng)或者傳遞數(shù)據(jù)給虛擬機(jī)。

安全部分

在安全方面，由于傳統(tǒng)的企業(yè)安全依賴于代理、專屬硬件以及與硬件相關(guān)的脆弱配置。由于云環(huán)境具有動態(tài)特性，應(yīng)用和服務(wù)在其中可以隨處移動并采取了共享的基礎(chǔ)架構(gòu)，因此有必要采用新的安全模式。所以Director集成了專門針對虛擬環(huán)境和云環(huán)境的安全模式的vShield安全技術(shù)，并在今年VMworld大會上推出了三款的新的產(chǎn)品，包括VMware vShield Edge、VMware vShield App和VMware vShield Endpoint，它們可以對包括防火墻、虛擬專用網(wǎng)（VPN）和負(fù)載均衡等在內(nèi)的安全和邊緣服務(wù)進(jìn)行虛擬化，使它們擺脫物理基礎(chǔ)架構(gòu)的束縛，并提供了單一的、自適應(yīng)的、可編程的安全基礎(chǔ)架構(gòu)。這有利于解決傳統(tǒng)模式過于復(fù)雜且缺乏靈活性等問題，為IT團(tuán)隊(duì)提供更好的可見性和控制力。如果與VMware合作伙伴的解決方案結(jié)合起來使用，VMware vShield將能夠提供比傳統(tǒng)的物理部署模式更加安全的VMware虛擬化環(huán)境和云環(huán)境，而成本僅為后者的很小一部分。

計(jì)費(fèi)

在計(jì)費(fèi)方面，Director并沒有重新發(fā)明輪子，而是利用最新版的VMware vCenter Chargeback來。首先，介紹一下Chargeback，它主要用來進(jìn)行準(zhǔn)確的成本測算、分析和報(bào)告，以實(shí)現(xiàn)成本透明和責(zé)任落實(shí)，并使用戶能夠?qū)?IT 成本與業(yè)務(wù)單位、成本中心或外部客戶對應(yīng)起來，從而幫助更好地了解資源成本是多少，這樣不僅能讓業(yè)務(wù)所有者和 IT 人員了解支持業(yè)務(wù)服務(wù)所需的實(shí)際的虛擬基礎(chǔ)架構(gòu)成本，而且還可以獲知可通過那些途徑來優(yōu)化資源利用率，以降低總體 IT 基礎(chǔ)架構(gòu)開支。還有，通過與Chargeback的整合，使得Director可以對多種云資源的使用情況進(jìn)行計(jì)費(fèi)，比如，存儲資源、網(wǎng)絡(luò)資源和vShield服務(wù)所消耗的資源等，而且可以為了不同的組織生成不同的報(bào)表。

VMware vCloud數(shù)據(jù)中心服務(wù)

首先，雖然公共云服務(wù)提供了在自助的、基于使用付費(fèi)的模式中交付計(jì)算能力的替代方案，但是諸多不利因素依然限制了公共云服務(wù)在企業(yè)內(nèi)部的廣泛采用，例如安全問題、不確定的服務(wù)水平協(xié)議、缺乏法規(guī)遵從以及對于廠商鎖定的擔(dān)憂等。VMware vCloud數(shù)據(jù)中心服務(wù)則為企業(yè)提供了一種新的方式，在將數(shù)據(jù)中心擴(kuò)展至外部云的同時(shí)保持安全性、法規(guī)遵從和服務(wù)質(zhì)量。VMware vCloud數(shù)據(jù)中心服務(wù)由包括Bluelock、Colt、SingTel、Terremark和Verizon等在內(nèi)的數(shù)家全球領(lǐng)先的服務(wù)提供商提供，采用了全球統(tǒng)一的基礎(chǔ)架構(gòu)以及管理和安全模式，使企業(yè)客戶能夠在內(nèi)部虛擬化的基礎(chǔ)架構(gòu)與外部云之間進(jìn)行工作負(fù)載的遷移。

其次，在合規(guī)性（Compliance）和安全方面，VMware vCloud數(shù)據(jù)中心服務(wù)提供了經(jīng)過VMware認(rèn)證的兼容性、可移植性、可審計(jì)的安全控制、SAS-70-Type-II或ISO-27001認(rèn)證、包括狀態(tài)防火墻和兩層網(wǎng)絡(luò)隔離的虛擬應(yīng)用安全性、基于角色的訪問控制以及LDAP目錄驗(yàn)證。

總的來說，Director這款產(chǎn)品主要是通過整合多個(gè)基于vCenter Server的資源池來實(shí)現(xiàn)一個(gè)基本完備的IaaS云。雖然在功能上面，Director所支持的功能無法和Amazon EC2之類專業(yè)的IaaS云相媲美，但是其在安全和計(jì)費(fèi)等方面都所涉及，再加上VMware原有虛擬化軟件在企業(yè)數(shù)據(jù)中心的統(tǒng)治性，可以預(yù)見這款產(chǎn)品非常適合那些已經(jīng)在VMware技術(shù)有一定的投入，并想體驗(yàn)云計(jì)算的優(yōu)越性的企業(yè)用戶。還有，通過對Director的介紹，我們應(yīng)該能對一個(gè)IaaS云的基本構(gòu)造有一個(gè)比較深入的了解。

參考資料：

1. VMware vCloud Director.http://www.vmware.com/products/vcloud-director/
2. VMware vCloud Director Evaluator’s Guide.http://www.vmware.com/resources/techresources/10140
3. VMware vCloud Director Admin Guide.http://www.vmware.com/pdf/vcd_10_admin_guide.pdf
4. VMware拓展云基礎(chǔ)架構(gòu)戰(zhàn)略 推動IT即服務(wù).http://product.ccidnet.com/art/18767/20100903/2176135_1.html
5. VMware vCloud Datacenter Services.http://www.vmware.com/solutions/cloud-computing/public-cloud/vcloud-datacenter-services.html
6. VMware vCenter Chargeback 1.5 Release Notes.http://www.vmware.com/support/vcbm/doc/vcbm_1_5_release_notes.html
7. Catalogs in VMware vCloud Director.http://kb.vmware.com/selfservice/microsites/search.do?language=en_US&cmd=displayKC&externalId=1026324