有些因素,包括數據中心虛擬化的增加,使得這些數字和名稱的管理成爲了企業IT部門的沉重包袱。帶有自動化功能與工具的IP地址和域名集中式管理現在已經可在DDI方案中獲取。評估這些方案的企業要考慮多個標準。
數據中心和企業網絡中的一些趨勢已經爲網絡管理帶來新的壓力。其中最大的一個改變就是服務器虛擬化的興起,這一改變使得我們可以在數據中心裏大量且快速地部署價格便宜的虛擬機。虛擬機改善了應用的彈性和性能。更多虛擬機被用於應用生命週期的測試,分段傳輸和開發中。
虛擬機在生命週期中被當做應用一樣移入移出的速度比以往的物理機器要快得多。私有云系統的步伐更快,其終端用戶可以定製部署多個應用庫。所有的虛擬機都需要訪問合適的IP網絡,且數字和訪問規則都不能錯。
虛擬化也增加了虛擬網絡設備的數量,如Hypervisor,存儲端點,虛擬機和虛擬網絡設備使用的設備。結果便是,一個單獨的物理服務器可能支持多個子網絡上的十幾個甚至是更多的IP地址。此外,虛擬桌面也越來越普及;這些通過擁有專用IP的數據中心虛擬機和一個桌面客戶設備來取代單獨的臺式電腦。
企業網絡除數據中心以外的部分也變得更加複雜。有很多新的設備也涉及企業網絡,如樓層管理系統,信用卡讀卡器,安全出入設備,監控攝像頭,視頻會議系統,甚至是自動售賣機和電梯。
員工將自己的智能手機帶到工作場所使用時需要通過Wifi訪問網絡。許多企業網絡已經通過連接傳統硬件電話和軟件電話的IP系統支持電話呼叫。所有這些設備都需要IP地址和合適的網絡連接。揚基集團估計大公司網絡中的每個人已經有了四個IP地址,且這一數字還在上升。
IP地址管理非常重要
隨着企業網絡的規模和複雜性不斷上升,用來管理IP地址的DHCP也變得越來越重要。
如果某個服務器失控或是掉線,那麼就會對數據網絡造成較大影響。如果某個DHCP服務器沒有足夠的IP地址可用,或是其他網絡設備配置不當時,IP地址的複製可能在大型網絡上導致較大問題。
網絡架構中出現的新趨勢使DHCP的重要屬性得到擴展。數據網絡變得更爲簡單,分割得也越少。例如,虛擬數據中心通常使用寬帶layer-2通信來推動虛擬機的使用。簡單一點的網絡其操作也會更簡單,但是這樣的網絡也更加脆弱。特別是,剩下不多的DHCP服務器可以在大面積網絡上操作,所以不能出現意外。
數據中心之外,DHCP服務的崩潰可能導致現在企業網絡中網絡與地址池的大量複製。無線設備,VoIP系統,遠程訪問網絡和VPN設備都可能通過自己的安全和泄露策略管理DHCP地址池。在某些網絡公司中,這些配置信息還沒有被普及;當網絡被平鋪或是被減少分區時就會出現衝突。
另一種架構趨勢則是IPv6尋址方式的增長。隨着IPv6的進一步普及,使用IPv4設備的大型企業開始在更大的IPv6環境中進行操作,其尋址方案中對協調性的需求爲網絡管理提出了新挑戰。
DNS已不僅僅是地址映射
DNS因爲擔負起新任務而變得更爲複雜。DNS不再僅僅是從簡單的地址映射到IP地址;它現在就像是個服務代理,可以將請求映射給服務器。
這種映射可能複雜到可以支持負載平衡,流量地理分佈以及基於客戶端機器的地理位置的路由選擇。此外,它可能還要爲出現故障的機器進行路由選擇或是幫助其進行災難恢復。舉個例子,假設是處理一個名爲www.google.com 的DNS名稱——被選來響應給定詢問的服務器就是複雜的實時策略計算的結果。
其影響就是導致DNS TTL值的設置很低,目的是允許動態策略的實施。不過在這一進程中,這已經減少了DNS緩衝的有效性。也就是說,DNS服務器功能必須更強大,因爲緩衝提供的備份更少了。這同時也意味着DNS服務必須提供更多容量才能應對更爲頻繁的詢問。企業或許要升級自己的DNS架構才能保障網絡穩定性。
另外,有些企業是出於安全原因才尋求DNS升級。從2010年6月起就可以指定根服務器支持DNSSEC (DNS 安全擴展),而且這種支持在企業網絡中也逐步得到普及。
以前的工具不再能滿足需求
Linux平臺上兩個最常用來管理IP地址的軟件是BIND和DHCP 後臺程序,還有Windows平臺上的Active Directory。這些程序便宜且普及度高。不過,這些工具通常都受限於單獨域或是子網。可利用這些工具處理多個域和子網,但是只能在系統外部提供協調性才行。
這種協調性通常以手動保留的電子數據表或是其他簡單註冊表的形式出現。而且,在大多數情況下,BIND和AD彼此的兼容性並不好。所以,在同時運行Linux和Windows的大部分企業中,需要進行手動調整以維持其協調性。
除了人力成本和可能出現的錯誤,現在的DNS方案還會爲服從性規則之下的企業帶來某些特定問題。不論是BIND還是AD的手動電子數據表都沒有內置的歷史報告和審計追蹤。而這些都是服從性報告的常規要求,因此就需要投入更多人力進行手動操作。
自動應答IP問題
手動管理的操作就可能出現手誤,而這種手誤會破壞網絡穩定性。較大較複雜的網絡出現的問題也可能更大。自動化可減少這類錯誤的發生。
自動化還可以加速診斷和問題解決,減少誤工時間並改進網絡服務的穩定性。
設計良好的自動化應該在整個域以及Linux和Windows環境之間提供連續性。自動化還應該幫助我們把策略部署到整個網絡。雖然策略必須爲網絡員工而設計,但是自動化的系統應該要確保良好的服從性。所有策略範圍內的操作以及策略的更改都應該被記錄下來,且需用預定義的報告對其進行審計。
網絡設備供應商已經看到了綜合DDI產品自動化的潛力,也已經給出了若干方案。那麼,在選擇方案時應該記住以下幾點:
功能強大與穩定性。 任何方案都應該設置長期穩定操作的追蹤記錄。在多個硬件上,即便是距離較遠時,完成此部署也並不難。其目的就是確保操作持續性。這意味着該方案必須在若干地點之間對配置的可靠性複製與策略信息進行協調。它還應該通過簡單的操作進程在不誤工的情況下進行升級和組件替換。
擴大的容量。必須爲擴增的IP地址以及更爲複雜且動態的DNS配置提供支持。對IP地址服務的頻繁詢問必須得到調整。
跨平臺功能。 現在,應用和客戶都被部署到了多個操作系統和設備平臺,從電腦到移動設備再到嵌入式設備不等。一個方案應該以同一級別的策略服從性和性能爲所有平臺提供支持。
策略的自動實施。許多技巧要素上的策略——IP地址分配,DHCP租用更新,DNS TTL,子網訪問列表等——應保留在同一個地方以便工作人員查看。然後把這些策略實施到企業網絡中。
對服從性的支持,包括自動審計。自動化架構能識別應由誰來進行更改操作,而且還能提供便利的綜合報告。
IPv6轉換。 即便是目前在使用IPv4的企業,任何新架構都應該在時機成熟時支持IPv6的過渡。
現有地址分配與配置信息的合併。 在Windows AD功能升級時,這一點十分重要。保留當前配置工具中的信息十分重要。不能因爲改用新方案反而帶來不穩定性。
在自動化之前,大多數網絡配置都被當成不會經常變更的靜態對象。由於虛擬化爲網絡增加了很多動態操作,所以靜態網絡配置不能滿足需求。靜態配置也不能滿足企業內新架構的需求,包括網絡平鋪化和無線/移動訪問的激增。自動化的IP地址管理應該成爲大多數企業網絡的發展方向。