圖1. vCloud Director的架構圖

創(chuàng)建VDC和組織

由于無論是一個私有云還是公有云，它們都很有可能面對各種類型的客戶或者多樣的場景，所以vCloud Director并沒有將所有的IT資源都歸于一個云或者一個用戶中，而在設計上支持資源隔離和多租戶這樣的機制，為了這個目標，vCloud Director引入了兩個非常核心的概念：其一是上面提到過的用于對資源進行隔離的VDC;其二是用于支持多租戶機制的組織(organization)”。

VDC是一個包含用于云計算的計算和存儲等資源的集合，在使用上，管理員首先在Director上添加一些vCenter Server，這樣能能這些vCenter Server管理的計算資源給公布出來，并這些資源組合成一個巨大的資源池，之后管理員可以創(chuàng)建一個VDC，并按照自己想法或者某些規(guī)則來將資源池中部分或者全部計算和存儲資源添加到這個新建的VDC中，比如，管理員可以按照性能，將性能比較出色的計算和存儲資源分配給名為“Tier1”的VDC，而將那些在性能上非常落后的硬件資源歸為一個名為“Tier2”的VDC。同時管理員可以為每個VDC設置相應的Cost和SLA參數(shù)。

管理員通過規(guī)則(Policy)來將多個用戶組合成同一個組織，比如，屬于財務部門的人員都歸類到財務部門這個組織等，而且每個組織都有自己獨占的虛擬資源和目錄(Catalog)、獨立的LDAP認證系統(tǒng)和特定的規(guī)則管理。通過組織這個特性能夠讓多個單位分享同一套基礎設施，而且Director會為每個組織生成不同的URL來讓她們登錄，在每個組織內部，管理員可以創(chuàng)建其下屬的用戶和小組，還可以為每個組織設定相應的租約(Lease)、額度(Quota)和限制(Limit)等參數(shù)。此外，組織中的用戶可以通過三種方式進行認證：其一是使用Director本地數(shù)據(jù)庫;其二是使用與Director相匹配的Active Directory或者LDAP服務器;其三是使用這個組織特定的Active Directory或者LDAP服務器。

接下來，將介紹一下VDC和組織之間的關系，首先，VDC按照規(guī)模大小分為兩個類別，Provider級和Organization級。在使用的時候，管理員先創(chuàng)建多個Provider VDC，比如：下圖中的Gold VDC和Silver VDC等。之后，管理員在Provider VDC的基礎上為組織創(chuàng)建新的Organization VDC，比如，下圖中的Org 1 Gold VDC。同時需要注意的是一個Organization VDC能夠和創(chuàng)建其Provider VDC一樣大，并且是一個組織可以擁有多個Organization VDC。

圖2. VDC和組織的關系

還有，Provider VDC可以通過三種方式在其上創(chuàng)建Organization VDC：其一是按需使用，只有當用戶在Organization VDC上部署一個虛擬機，才會消耗相關Provider VDC的資源;其二是預留池(Reservation Pool)機制，在Organization VDC創(chuàng)建的時候，Provider VDC會分配一定的資源，通過由組織來控制諸如共享值(Shares)和保留值(Reservations)等高級資源管理配置;其三是分配池(Allocation Pool)機制，這個機制和前面預留池機制相同的是，Provider VDC會為Organization VDC分配一定的資源，但是類似共享值和保留值等高級資源管理配置則由負責Provider VDC的管理員設置。

網(wǎng)絡的設計

在網(wǎng)絡方面，Director主要有兩大類機制：其一是外部網(wǎng)絡(External Network)機制;其二是網(wǎng)絡池(Network Pools)機制。

在Director中，外部網(wǎng)絡機制主要給部署的虛擬機提供鏈接此虛擬機所屬組織之外網(wǎng)絡(包括屬于其它組織的網(wǎng)絡或者互聯(lián)網(wǎng))的能力，在實現(xiàn)上面，一個外部網(wǎng)絡就是一個用于傳輸對外虛擬機流量的portgroup，這個portgroup通過使用一個VLAN標簽(tag)來實現(xiàn)網(wǎng)絡的隔離。在使用方面，管理員會首先創(chuàng)建一個外部網(wǎng)絡，需要填寫的參數(shù)有網(wǎng)絡的子網(wǎng)掩碼、默認的網(wǎng)關、首選和備選的DNS地址、DNS前綴和靜態(tài)IP地址池，之后將這個外部網(wǎng)絡和相關的虛擬機聯(lián)系起來即可。

網(wǎng)絡池是一系列隔離的Layer 2的網(wǎng)段，而且網(wǎng)絡池是用來創(chuàng)建組織和虛擬機網(wǎng)絡的基石，主要用于組織內部虛擬機之間的通信，并且它也確保網(wǎng)絡能夠在云中自動地被使用和部署。在使用方面，每當用戶部署一個虛擬機，都會消耗其對應網(wǎng)絡池的一個IP地址。在實現(xiàn)方面，網(wǎng)絡池主要是由三種技術支持：其一是基于VLAN的;其二是依賴Director自己的網(wǎng)絡隔離技術VCDNI(VMware vCloud Director Network Isolation technology);其三是使用Portgroup的。

目錄管理

在Director中，目錄主要用于存儲各種資源的容器，一個目錄隸屬于一個組織，并主要有這個組織的管理員負責創(chuàng)建，并且可根據(jù)需要來設置這個目錄的共享設置。主要存儲的東西包括兩大類：其一是vApp，它是基于OVF格式的虛擬器件，通過部署vApp來快速搭建一個包含多個虛擬機的應用;其二是一些諸如ISO格式和floppy格式的鏡像和介質，可用于在虛擬機上安裝操作系統(tǒng)或者傳遞數(shù)據(jù)給虛擬機。

安全部分

在安全方面，由于傳統(tǒng)的企業(yè)安全依賴于代理、專屬硬件以及與硬件相關的脆弱配置。由于云環(huán)境具有動態(tài)特性，應用和服務在其中可以隨處移動并采取了共享的基礎架構，因此有必要采用新的安全模式。所以Director集成了專門針對虛擬環(huán)境和云環(huán)境的安全模式的vShield安全技術，并在今年VMworld大會上推出了三款的新的產(chǎn)品，包括VMware vShield Edge、VMware vShield App和VMware vShield Endpoint，它們可以對包括防火墻、虛擬專用網(wǎng)(VPN)和負載均衡等在內的安全和邊緣服務進行虛擬化，使它們擺脫物理基礎架構的束縛，并提供了單一的、自適應的、可編程的安全基礎架構。這有利于解決傳統(tǒng)模式過于復雜且缺乏靈活性等問題，為IT團隊提供更好的可見性和控制力。如果與VMware合作伙伴的解決方案結合起來使用，VMware vShield將能夠提供比傳統(tǒng)的物理部署模式更加安全的VMware虛擬化環(huán)境和云環(huán)境，而成本僅為后者的很小一部分。

計費

在計費方面，Director并沒有重新發(fā)明輪子，而是利用最新版的VMware vCenter Chargeback來。首先，介紹一下Chargeback，它主要用來進行準確的成本測算、分析和報告，以實現(xiàn)成本透明和責任落實，并使用戶能夠將 IT 成本與業(yè)務單位、成本中心或外部客戶對應起來，從而幫助更好地了解資源成本是多少，這樣不僅能讓業(yè)務所有者和 IT 人員了解支持業(yè)務服務所需的實際的虛擬基礎架構成本，而且還可以獲知可通過那些途徑來優(yōu)化資源利用率，以降低總體 IT 基礎架構開支。還有，通過與Chargeback的整合，使得Director可以對多種云資源的使用情況進行計費，比如，存儲資源、網(wǎng)絡資源和vShield服務所消耗的資源等，而且可以為了不同的組織生成不同的報表。

VMware vCloud數(shù)據(jù)中心服務

首先，雖然公共云服務提供了在自助的、基于使用付費的模式中交付計算能力的替代方案，但是諸多不利因素依然限制了公共云服務在企業(yè)內部的廣泛采用，例如安全問題、不確定的服務水平協(xié)議、缺乏法規(guī)遵從以及對于廠商鎖定的擔憂等。VMware vCloud數(shù)據(jù)中心服務則為企業(yè)提供了一種新的方式，在將數(shù)據(jù)中心擴展至外部云的同時保持安全性、法規(guī)遵從和服務質量。VMware vCloud數(shù)據(jù)中心服務由包括Bluelock、Colt、SingTel、Terremark和Verizon等在內的數(shù)家全球領先的服務提供商提供，采用了全球統(tǒng)一的基礎架構以及管理和安全模式，使企業(yè)客戶能夠在內部虛擬化的基礎架構與外部云之間進行工作負載的遷移。

其次，在合規(guī)性(Compliance)和安全方面，VMware vCloud數(shù)據(jù)中心服務提供了經(jīng)過VMware認證的兼容性、可移植性、可審計的安全控制、SAS-70-Type-II或ISO-27001認證、包括狀態(tài)防火墻和兩層網(wǎng)絡隔離的虛擬應用安全性、基于角色的訪問控制以及LDAP目錄驗證。

總的來說，Director這款產(chǎn)品主要是通過整合多個基于vCenter Server的資源池來實現(xiàn)一個基本完備的IaaS云。雖然在功能上面，Director所支持的功能無法和Amazon EC2之類專業(yè)的IaaS云相媲美，但是其在安全和計費等方面都所涉及，再加上VMware原有虛擬化軟件在企業(yè)數(shù)據(jù)中心的統(tǒng)治性，可以預見這款產(chǎn)品非常適合那些已經(jīng)在VMware技術有一定的投入，并想體驗云計算的優(yōu)越性的企業(yè)用戶。還有，通過對Director的介紹，我們應該能對一個IaaS云的基本構造有一個比較深入的了解。

tangrong