今天的IT企業組織正面臨著前所未有的挑戰。企業內部的業務部門正繼續要求其IT部門能夠快速的提供各種創新的服務，以迅速的應對來自外部的安全威脅和市場機遇。而與此同時，企業組織也在不例外地發布廣泛的授權來進一步的削減支出預算。在這些困難時期，采用顛覆性的新興技術無疑成為了幫助當今的IT企業組織提高效率，并真正實現以更少的投入實現更多的產出的關鍵。作為這些新興技術中的突出代表，云計算和虛擬化技術就屬于這類創新技術，其允許企業組織在增加IT服務交付的同時，最大限度地提高資源利用率，從而創建更加動態和靈活的基礎架構。

通過簡化服務器管理，同時提高空間和用電效率，虛擬化技術可以幫助企業組織節省大量的成本。借助采用虛擬化技術，企業可以比過去更加靈活。例如，在由VMware公司所提供的一系列案例研究中，部署采用了虛擬化技術之后的企業實現了IT運營總體擁有成本降低67%。因此，虛擬化技術的采用正在迅速的推進。而且，在當前的經濟困難和不斷要求削減成本的大背景下，對于該技術的采用很可能會進一步的加速。有公開報告估計，憑借著虛擬化作為驅動技術標準，5年內，全球云市場將超過3000億美元。

即使虛擬化和云計算具有不可否認的成本和可擴展性方面的優勢，但軟件定義的云計算的彈性和動態化的特性也為企業組織的IT專業人員們帶來了全新的挑戰。盡管對于緊急需求的響應能力已經得到了大大的提高，但所需診斷的問題和分析性能也變得更加復雜。隨著更多的應用程序數據的路徑被籠罩在虛擬網絡中，使用傳統的方法來管理和監視網絡操作運營變得越來越困難。企業的IT領導者和利益相關者們一直在努力獲得可視化，以維護和改進應用程序的性能，并在這種新型的網絡中實施企業對于相關監管法規政策的遵守，同時進一步的充分利用虛擬化技術所帶來的益處。IT企業組織所面臨的挑戰是需要根據“過份的夸張炒作”來調整預期，以便理解真實的價值和投資回報。

虛擬化技術為當前的IT企業組織提供了引人注目的益處。從財務上看，該技術通過在單臺服務器上托管越來越多的虛擬機(VM)來實現容量利用率的最大化，從而實現了成本節約，管理的靈活性和業務敏捷性。管理人員們只需按一下按鈕，就可以在幾分鐘內部署一臺新的服務器，并投入生產，而且通常不會給企業組織帶來任何成本。但是，隨著工作負載和服務器變得虛擬化，曾經用于監控、分析和保護數據中心資產和網絡流量的工具現在變得越來越“隱形”，除了連接服務器的物理鏈接之外幾乎無法看到。曾經整體的、大型二進制應用程序現在則分布于現代腳本語言、Java、APIs，并通過REST、JSON和Ruby語音運行在分布式功能架構上。對分布式應用程序體系架構的這種改變創造了越來越多的東西走向的流量處理應用程序調用，并且大部分應用程序內流量也都在使用封裝的覆蓋網絡。隨著虛擬化技術的進一步普及，工具的可視化會降低。

主機內的流量

虛擬化正在服務器基礎設施內造成盲點或無形網絡。由于跨軟件定義的云基礎架構的大量流量被封裝在虛擬隧道終端上，并且在很多情況下甚至沒有觸及物理網絡，所以虛擬機和網絡管理員正在失去對這種通信的可見性和控制。這種對于全面的可見性的缺乏正在導致尋求在虛擬化基礎設施中結束復雜工作負載的IT專業人員們陷入沉默。

在虛擬化和云部署中，安全性和合規性是首要考慮因素，企業組織正在努力調節優先事項之間的競爭，以虛擬化其操作運營環境，同時仍滿足現有的可視化要求。

因此，當看到流量的可視化、遵守合規性和對于數據安全的擔憂一直位列企業對于云服務采用的頂級抑制阻礙因素之中就不足為奇了。

vMotion技術

vSphere vMotion技術是由VMware公司所開發的，該技術可將正在運行的虛擬機從一臺物理服務器實時遷移到另一臺物理服務器。vMotion技術通過連續自動優化虛擬機，允許創建一個動態的、自動化的、自我優化的數據中心。這項技術包括容錯、高可用性和災難恢復功能，是確保將停機中斷時間降至最低的第一步。但是，隨著這種靈活性的增強，使得服務器基礎架構的變化將隨著全新的復雜層次的增加而發生變化。為了有效監控這些環境，管理人員需要確保監控可以無縫并自動更新以反映這些變化。此外，監控解決方案需要保持監控連續性和具備歷史記錄的功能，以便管理員們可以更好地跟蹤和評估這些問題，并制定更好的策略。當虛擬機重新分配時，如果缺乏跟蹤和監視這些vMotion事件的能力，則最終的配置可能會對應用程序和服務的可用性和性能造成影響。

虛擬交換機(vSwitch)的功能

提供虛擬機(VM)交換連接的最常見方式是虛擬以太網橋接(VEB)，通常被稱為vSwitch。vSwitch是一款與虛擬管理程序相關的軟件組件，其功能類似于提供入站/出站和虛擬機之間通信的第2層硬件交換機。默認情況下，每臺虛擬機都可以通過簡單的虛擬交換機與同一臺主機上的其他的虛擬機進行直接的通信，而不需要任何虛擬機間流量監控或基于策略的檢查和過濾。由vSwitch內部處理的主機內虛擬機流量不會傳輸物理網絡。許多位于虛擬服務器之外的基于網絡的安全和監視設備都無法看到此通信。

因此，將多臺物理服務器整合到一款單一的虛擬服務器平臺中，會嚴重影響到將物理服務器遷移到虛擬服務器之前已經部署好的所有網絡和應用程序、防火墻入侵檢測以及其他合規工具的監控。簡而言之，傳統的網絡監控和安全措施可能無法有效的管理越來越多的虛擬機之間的流量，從而使虛擬機非常容易受到攻擊。缺乏可視化會使得故障隔離和解決方法變得復雜，甚至可能會消除將物理機遷移到虛擬機所帶來的相關的成本節約。

在單臺主機上的虛擬機間流量的可視化

隨著企業的關鍵任務工作負載逐步遷移到虛擬服務器，越來越多的關鍵網絡流量在托管在同一主機上的虛擬機之間發生。故而，虛擬交換基礎架構的可視化對于管理端到端的服務交付變得至關重要。因此，企業將需要一種解決方案，該解決方案只將在同一主機上的虛擬機之間傳輸的數據流推送到外部監控工具，而不會引起任何安全問題。當前市場上已經有相關服務供應商的虛擬可視化架構節點通過提供智能化的過濾技術來滿足企業客戶的這些要求，允許企業客戶選擇特定的虛擬機之間的流量流、部署節點，可以跨這些環境智能地檢測，選擇，過濾和執行本地(或遠程)轉發虛擬流量，而不會對操作過程進行任何更改或為底層基礎架構增加任何進一步的復雜性。因此，目前部署的監控和管理工具可用于分析使用包括vSphere分布式交換機(VDS)和思科 Nexus 1000V在內的同類最佳虛擬交換機在虛擬基礎架構上傳輸的流量。

通過vMotion進行維護

企業部署虛擬化技術所帶來的好處是無懈可擊的：包括提高了靈活敏捷性、可擴展性和成本節約等等。然而，其同時也為企業操作運營環境帶來了監控方面的挑戰難題——包括復雜性、缺乏可視性和控制力以及潛在的低效率。為了有效監控這些環境，企業的管理員們必須利用對這些自動化技術具有集成、同步可視化的解決方案。與VMware vCenter基礎架構緊密集成，同時利用VMware開放式API，相關服務供應商的結構節點可以跟蹤VMware高可用性(HA)和分布式資源調度程序(DRS)群集環境中的敏捷性。作為此支持的一部分，可視化策略與受監控的虛擬機綁定，并隨著虛擬機在虛擬群集中在物理主機之間遷移而遷移。通過基于標準的API對vMotion事件進行閉環反饋，以及可實現可視性策略同步的自動化框架，可以在靈活的虛擬基礎架構中實現對監控和安全狀態的無縫，實時調整。

使用VN-Link在思科部署中實現可視化

除了分布式虛擬交換機之外，思科還在為具有唯一VN-Tag ID的原始數據包添加標簽后，提供了將虛擬數據流轉發到外部網絡交換機的選項。標簽中最重要的組件是數據源和虛擬接口(VIF)目標ID，它們標識單個物理端口上的多個單獨虛擬接口。但是，既然數據包已經被標簽修改了，主要的挑戰是訪問這個封裝的流量，而不會改變硬件或軟件或浪費處理周期。

自適應數據包過濾(Adaptive Packet Filtering)實現了封裝感知功能，允許運營商基于VN-Tag源或目標VIF_ID、或內部(封裝)的數據包內容過濾和轉發傳入的流量流。對于不了解VN-Tag標頭的監控和分析工具，自適應數據包過濾還可以結合使用標頭剝離，在轉發數據包之前刪除VN-Tag標頭。相關服務供應商的技術所提供的高級處理功能提供了有條件地過濾和轉發流量的靈活性，并根據數據包中的特定內容交替剝離VN-Tag標頭。通過這些服務供應商的技術所提供的預處理功能，網絡和安全監控設備現在可以檢測來自虛擬網絡的流量來源，而不會花費寶貴的資源。

圖1：由物理交換機管理交換的VN標記的主機內流量

VN-Tag

VN-Tag標準被提議作為替代解決方案來提供接入層擴展，而無需擴展管理和STP域，也無需實施端到端策略，從而提高了虛擬化環境中的網絡可視性——特別是同一主機上的虛擬機到虛擬機的流量。

使用VN-Tag，在執行了必要的安全策略(見下圖)后，額外的VN-Tag標頭將被添加到以太網幀中，供VN-Tag識別的外部(交換機)設備使用，以唯一標識VIF并轉發數據。VN-Tags因此提供虛擬網絡感知，允許將每個虛擬接口的單獨配置看作是物理端口。

圖2： VN-Tag作為附加標頭被添加

這種方法完全消除了虛擬管理程序的任何交換功能，并將其定位在與服務器物理上無關的外部硬件網絡交換機中——數據包交換與虛擬管理程序完全分離(請參見上圖1)。

VN-Tags的多功能性使這項技術能夠應用于現有的物理網絡基礎設施。例如，VN-Tag可用于橋接擴展，其中一個唯一標識標簽插入到每個在思科架構擴展器和Nexus父交換機之間交換的幀中，以唯一標識始發端口。

VN-Tag的缺點之一是它們利用了對以太網幀的補充。不了解VN-Tag的標準監控工具將完全不了解此流量，因此無法使用。VN-Tag還會增加主機服務器物理網絡鏈路上的流量。

圖3：VXLAN允許第2層虛擬網絡跨越物理邊界