為什么微分割對服務器管理員有好處？

對服務器管理員來說，部署新系統或服務器時所面臨的最大的挑戰之一并非技術，而是程序、政策。現在創建一臺服務器(或者上百臺服務器)就和點擊幾 下鼠標一樣簡單。虛擬化帶來了更高級別的靈活性與可擴展性。我們遇到的問題往往是內部流程，需要內部流程作為檢查點確保沒有資源浪費，安全保護是恰當的。 從現在開始，讓我們關注安全層面。在現有環境中增加新服務器很可能會帶來安全風險。取決于應用需求，增加新服務器可能像做文書工作一樣簡單，也可能像復核 委員會一樣復雜。

事實是增加服務器時可能會給邊界防護帶來挑戰。如果應用程序需要訪問互聯網，那么必須在邊界處打開端口而且規則必須落實到位。邊界安全策略調整必 須正確記錄，因為這可能會影響其他服務器。每次增加新服務器時都需要重復如下步驟：修改策略并進行相關記錄。在環境不斷擴大時，這一過程可能會變得過于復 雜、繁瑣。VLAN以及網絡分割能夠提供幫助，但往往提供的是基于硬件、價格不菲的解決方案。這一安全模型經常被比作煮得半熟的雞蛋——外殼堅硬內部松軟 ——這恰恰是邊界安全修改引發關注的原因之一。

在每臺服務器前面增加防火墻與路由器成本過高。物理網絡設備并不便宜而且需要很多基礎設施。現在虛擬服務器擴張以及能夠將防火墻及路由器遷移到軟 件空間允許采用新的微分割技術。使用微分割及SDN，管理員每次部署新服務器時，還可以同時部署一個定制的防火墻或路由器。與修改每臺新服務器的邊界安全 策略不同，安全策略可以與應用程序相關聯。這將安全模型從類似于煮得半熟的雞蛋變更為完全煮熟的雞蛋，外殼和內部都很牢固可靠。

盡管看起來網絡及安全團隊可能會因此而受益，但之前往往會阻礙新環境部署的核心步驟變得更容易實施，服務器管理員同樣能夠因此而受益。例如，如果 不再需要修改邊界安全，微分段能夠避免某些審核及審批流程。在部署需要通過路由器進行分割的大型環境時同樣可以采用經過簡化的流程。當然這一切需要花時間 實現自動化配置。不幸的是，網絡團隊可能正在管理的不是少數的防火墻、路由器，而是上百臺軟件定義的設備。

對網絡或安全團隊來說微分割并不是一件輕松的事兒，但其在一致性及防護上的優勢值得我們去做。服務器管理員將享受不需要搬運超重貨物的福利。福利并非一直都有，所以要盡情享用。

服務器管理員可以從構建他們所支持的應用服務器配置文件開始。為創建微分割配置文件提供幫助，有必要針對每類服務器創建應用類型及通信端口矩陣。知道擁有什么以及希望能夠部署什么有助于推動SDN進程并為未來的數據中心做好準備。