数据中心体系架构在过去几年间一直在发生着引人注目的变化。在很多数据中心,不断地扩张导致其内部结构按照应用分解成不同的功能区。而为每种应用复制标准的3层体系架构,结果产生了一种彻头彻尾的等级式网络。在这种体系架构中,一些核心的安全服务,如防火墙和入侵防御等,都集中在网络树的根部,与入口路由器和所谓“隔离区(DMZ)”最为接近。
其他的安全应用,如SSL加速器或认证/授权系统则可能会附加在某个特定的应用功能区内,通常都是作为“临时性”手段,或作为故障维修手段附加上去的。此外还会有一些被动监控设备,用于监控侦听端口(span port)的流量,监控网络树上一些重要交叉点的流量。所有这些不同的安全系统如今都在进行整合,将会共同创建一个专用的安全子网体系架构。
这种整合并非数据中心所专有。其实我们在许多其他的网络或者应用服务中也都看到过类似的整合。优化设备、缓存、负载均衡、应用网关、XML网关和安全设备等通常都会被集成起来作为一个“服务子网”,可用于数据中心内的任何一类应用。推动这种体系架构上的变化的最主要的因素就是应用架构上的相应变化。当应用被整合以及被虚拟化后,它们常常是驻留在一个服务器池中,以便可以快速地在池中任何一个地方进行预置。
因此,如今要想指定某台服务器是“专用于CRM的”,已经非常困难了。别误解我的意思:我不是在说应用的适应性或应用的自动化可以随意胡来。其实,即便完全用手工进行预置,系统的灵活性和服务器的池化也会模糊各分区间的固定界限,从而让各种应用流动起来。如果应用可以随意迁移,那么支持性的应用和服务当然也应该加以整合,进行共享。
越来越多的企业开始探讨DMZ与设备的整合。他们试图创建各种标准化的服务子网,目的当然是为了节约成本,降低复杂度。到目前为止,企业所关注的焦点是应用服务(优化、缓存等)与安全服务(DMZ整合、IPS等)是否应该整合。不过从目前的发展来看,把这些功能融合到更少的设备中去已经成为一种趋势,很多企业都在设法将它们集成到一个子网中去。
另一种很有意思的可能性是被动监控系统的整合。数据中心内有很多散落在各处的被动监控系统,不管它们是用来监控性能、网络参数、流量、安全事件还是应用的,这些被动设备都会相互竞争有限的侦听端口。在一些关键交叉点上,网络交换机会很快占尽有限的侦听端口,竞相为大量监控设备提供流量备份。那么这个点就可能是体系架构整合的下一个点。依靠主动的设备子网架构,企业就可以构建专门的监控架构,在某个位置上整合所有的被动设备。
一旦数据中心的功能区被打乱,那么数据中心网络就会变成更为扁平的架构,我们预计会看到各种设备(主动的和被动的)会被整合进专用的服务子网。数据中心的体系架构之所以会发生变化,开始是因为服务器的虚拟化与整合,但这些变化将会产生持续的影响。安全也不例外。