深入介绍VMware vCloud Director

身为一个虚拟化技术的爱好者，每年的VMworld大会是不得不关注的，因为在每年的VMworld大会上VMware都会发布许多非常有心意的虚拟化产品，今年也是如此，在8月30号的VMWorld 2010大会上，VMware正式对外发布了用于搭建企业内部云计算中心的管理产品vCloud Director，通过这个产品能有效地提升整个IT部门的运维方式，并推动IT转向以业务为中心的模式，也就是“IT即服务”，而本文将给大家深入介绍这款产品。

简介

vCloud Director（以下简称Director）是基于VMware vSphere的虚拟化能力，并扩展了VMware vCenter的资源池功能以使IT部门能够创建“VDC（Virtual Data Center，虚拟数据中心）”，即由计算、网络和存储资源组成的资源池以及预定义的管理策略、服务水平协议和定价机制，并为用户提供基于VDC的计算资源和能在其之上部署应用。在用户体验方面，与同为管理软件的VMware vCenter不同的是，Director在用户界面上并没有选择传统的客户端，而是基于Adobe Flex RIA技术的Web UI，通过这个Web UI，用户只需通过鼠标的点击或者少量的键盘输入就能完成包括云的创建和管理，网络的设置和应用的部署等一些极为耗时和繁琐的操作，而且还基于开放的OVF协议，并提供使用REST技术的vCloud API。

除了上面提到这些基本功能之外，在计费方面，Director还集成了最新的VMware vCenter Chargeback 1.5版来完成计算资源使用的计费工作。在安全方面，Director还整合了VMware vShield技术来提升云计算中心的安全性。还有，VMware还推出了和Director相关的VMware vCloud数据中心服务，通过这个服务，Director用户能借助VMware广泛的技术合作伙伴和服务提供商生态系统，通过引入安全、兼容的公共云来能够扩展数据中心能力，并且像管理私有云那样轻松地管理公共云。通过这种混合模式，用户能在不降低安全性或控制力的情况下获得云计算的好处，而且还在对企业非常关键的合规性和安全方面有完善的支持。

图1. vCloud Director的架构图

创建VDC和组织

由于无论是一个私有云还是公有云，它们都很有可能面对各种类型的客户或者多样的场景，所以vCloud Director并没有将所有的IT资源都归于一个云或者一个用户中，而在设计上支持资源隔离和多租户这样的机制，为了这个目标，vCloud Director引入了两个非常核心的概念：其一是上面提到过的用于对资源进行隔离的VDC；其二是用于支持多租户机制的组织（organization）”。

VDC是一个包含用于云计算的计算和存储等资源的集合，在使用上，管理员首先在Director上添加一些vCenter Server，这样能能这些vCenter Server管理的计算资源给公布出来，并这些资源组合成一个巨大的资源池，之后管理员可以创建一个VDC，并按照自己想法或者某些规则来将资源池中部分或者全部计算和存储资源添加到这个新建的VDC中，比如，管理员可以按照性能，将性能比较出色的计算和存储资源分配给名为“Tier1”的VDC，而将那些在性能上非常落后的硬件资源归为一个名为“Tier2”的VDC。同时管理员可以为每个VDC设置相应的Cost和SLA参数。

管理员通过规则（Policy）来将多个用户组合成同一个组织，比如，属于财务部门的人员都归类到财务部门这个组织等，而且每个组织都有自己独占的虚拟资源和目录（Catalog）、独立的LDAP认证系统和特定的规则管理。通过组织这个特性能够让多个单位分享同一套基础设施，而且Director会为每个组织生成不同的URL来让她们登录，在每个组织内部，管理员可以创建其下属的用户和小组，还可以为每个组织设定相应的租约（Lease）、额度（Quota）和限制（Limit）等参数。此外，组织中的用户可以通过三种方式进行认证：其一是使用Director本地数据库；其二是使用与Director相匹配的Active Directory或者LDAP服务器；其三是使用这个组织特定的Active Directory或者LDAP服务器。

接下来，将介绍一下VDC和组织之间的关系，首先，VDC按照规模大小分为两个类别，Provider级和Organization级。在使用的时候，管理员先创建多个Provider VDC，比如：下图中的Gold VDC和Silver VDC等。之后，管理员在Provider VDC的基础上为组织创建新的Organization VDC，比如，下图中的Org 1 Gold VDC。同时需要注意的是一个Organization VDC能够和创建其Provider VDC一样大，并且是一个组织可以拥有多个Organization VDC。

图2. VDC和组织的关系

还有，Provider VDC可以通过三种方式在其上创建Organization VDC：其一是按需使用，只有当用户在Organization VDC上部署一个虚拟机，才会消耗相关Provider VDC的资源；其二是预留池（Reservation Pool）机制，在Organization VDC创建的时候，Provider VDC会分配一定的资源，通过由组织来控制诸如共享值（Shares）和保留值（Reservations）等高级资源管理配置；其三是分配池（Allocation Pool）机制，这个机制和前面预留池机制相同的是，Provider VDC会为Organization VDC分配一定的资源，但是类似共享值和保留值等高级资源管理配置则由负责Provider VDC的管理员设置。

网络的设计

在网络方面，Director主要有两大类机制：其一是外部网络（External Network）机制；其二是网络池（Network Pools）机制。

在Director中，外部网络机制主要给部署的虚拟机提供链接此虚拟机所属组织之外网络（包括属于其它组织的网络或者互联网）的能力，在实现上面，一个外部网络就是一个用于传输对外虚拟机流量的portgroup，这个portgroup通过使用一个VLAN标签（tag）来实现网络的隔离。在使用方面，管理员会首先创建一个外部网络，需要填写的参数有网络的子网掩码、默认的网关、首选和备选的DNS地址、DNS前缀和静态IP地址池，之后将这个外部网络和相关的虚拟机联系起来即可。

网络池是一系列隔离的Layer 2的网段，而且网络池是用来创建组织和虚拟机网络的基石，主要用于组织内部虚拟机之间的通信，并且它也确保网络能够在云中自动地被使用和部署。在使用方面，每当用户部署一个虚拟机，都会消耗其对应网络池的一个IP地址。在实现方面，网络池主要是由三种技术支持：其一是基于VLAN的；其二是依赖Director自己的网络隔离技术VCDNI（VMware vCloud Director Network Isolation technology）；其三是使用Portgroup的。

目录管理

在Director中，目录主要用于存储各种资源的容器，一个目录隶属于一个组织，并主要有这个组织的管理员负责创建，并且可根据需要来设置这个目录的共享设置。主要存储的东西包括两大类：其一是vApp，它是基于OVF格式的虚拟器件，通过部署vApp来快速搭建一个包含多个虚拟机的应用；其二是一些诸如ISO格式和floppy格式的镜像和介质，可用于在虚拟机上安装操作系统或者传递数据给虚拟机。

安全部分

在安全方面，由于传统的企业安全依赖于代理、专属硬件以及与硬件相关的脆弱配置。由于云环境具有动态特性，应用和服务在其中可以随处移动并采取了共享的基础架构，因此有必要采用新的安全模式。所以Director集成了专门针对虚拟环境和云环境的安全模式的vShield安全技术，并在今年VMworld大会上推出了三款的新的产品，包括VMware vShield Edge、VMware vShield App和VMware vShield Endpoint，它们可以对包括防火墙、虚拟专用网（VPN）和负载均衡等在内的安全和边缘服务进行虚拟化，使它们摆脱物理基础架构的束缚，并提供了单一的、自适应的、可编程的安全基础架构。这有利于解决传统模式过于复杂且缺乏灵活性等问题，为IT团队提供更好的可见性和控制力。如果与VMware合作伙伴的解决方案结合起来使用，VMware vShield将能够提供比传统的物理部署模式更加安全的VMware虚拟化环境和云环境，而成本仅为后者的很小一部分。

计费

在计费方面，Director并没有重新发明轮子，而是利用最新版的VMware vCenter Chargeback来。首先，介绍一下Chargeback，它主要用来进行准确的成本测算、分析和报告，以实现成本透明和责任落实，并使用户能够将 IT 成本与业务单位、成本中心或外部客户对应起来，从而帮助更好地了解资源成本是多少，这样不仅能让业务所有者和 IT 人员了解支持业务服务所需的实际的虚拟基础架构成本，而且还可以获知可通过那些途径来优化资源利用率，以降低总体 IT 基础架构开支。还有，通过与Chargeback的整合，使得Director可以对多种云资源的使用情况进行计费，比如，存储资源、网络资源和vShield服务所消耗的资源等，而且可以为了不同的组织生成不同的报表。

VMware vCloud数据中心服务

首先，虽然公共云服务提供了在自助的、基于使用付费的模式中交付计算能力的替代方案，但是诸多不利因素依然限制了公共云服务在企业内部的广泛采用，例如安全问题、不确定的服务水平协议、缺乏法规遵从以及对于厂商锁定的担忧等。VMware vCloud数据中心服务则为企业提供了一种新的方式，在将数据中心扩展至外部云的同时保持安全性、法规遵从和服务质量。VMware vCloud数据中心服务由包括Bluelock、Colt、SingTel、Terremark和Verizon等在内的数家全球领先的服务提供商提供，采用了全球统一的基础架构以及管理和安全模式，使企业客户能够在内部虚拟化的基础架构与外部云之间进行工作负载的迁移。

其次，在合规性（Compliance）和安全方面，VMware vCloud数据中心服务提供了经过VMware认证的兼容性、可移植性、可审计的安全控制、SAS-70-Type-II或ISO-27001认证、包括状态防火墙和两层网络隔离的虚拟应用安全性、基于角色的访问控制以及LDAP目录验证。

总的来说，Director这款产品主要是通过整合多个基于vCenter Server的资源池来实现一个基本完备的IaaS云。虽然在功能上面，Director所支持的功能无法和Amazon EC2之类专业的IaaS云相媲美，但是其在安全和计费等方面都所涉及，再加上VMware原有虚拟化软件在企业数据中心的统治性，可以预见这款产品非常适合那些已经在VMware技术有一定的投入，并想体验云计算的优越性的企业用户。还有，通过对Director的介绍，我们应该能对一个IaaS云的基本构造有一个比较深入的了解。

参考资料：

1. VMware vCloud Director.http://www.vmware.com/products/vcloud-director/
2. VMware vCloud Director Evaluator's Guide.http://www.vmware.com/resources/techresources/10140
3. VMware vCloud Director Admin Guide.http://www.vmware.com/pdf/vcd_10_admin_guide.pdf
4. VMware拓展云基础架构战略 推动IT即服务.http://product.ccidnet.com/art/18767/20100903/2176135_1.html
5. VMware vCloud Datacenter Services.http://www.vmware.com/solutions/cloud-computing/public-cloud/vcloud-datacenter-services.html
6. VMware vCenter Chargeback 1.5 Release Notes.http://www.vmware.com/support/vcbm/doc/vcbm_1_5_release_notes.html
7. Catalogs in VMware vCloud Director.http://kb.vmware.com/selfservice/microsites/search.do?language=en_US&cmd=displayKC&externalId=1026324