【陈怀临注：时光如梭。上次写这篇文章是2008年10月。转眼2年过去。这次做一些修订和校注。】

Intel CPU的产品称呼比较混乱。这一点对于在Intel工作的员工也是如此。下面是笔者在这方面的一些经验。希望对读者同学们有所帮助。

首先，对非专业人士而言，接触的名称通常为CPU的产品品牌（Brand Name），而不是微结构（Micro-Architecture）名称。什么是微结构？就是你看不见的那些东西。例如流水线（Pipeline）的设计，局部总线（Local Bus），缓存（Cache）的设计，存储总线（Memory Bus）等。到目前为止，一般而言，Intel CPU微结构的系列为：i386, i486, P5, P6, Netburst, Pentium-M，Core（Merom 65nm和 Penryn 45nm）。Core微结构的65nm流片有：Merom，Concore，Allendale等；45nm的流片Penryn，Workfiled，Yorkfield等。Penryn是Merom的直系后代。Nehalem是基于Penryn 45纳米流程的直系后代。从Penryn 45nm工艺流程的基础上，Nehalem微结构横空出世。在Nehalem与Core微结构的继承性上，目前英文的wiki上是不精确的。Nehalem最大的特点就是FSB和（或）北桥的消失，QPI的引入和把在Core微结构抛弃（或曰暂停的）HyperThreading从新引入。 Nehalem之后的事情比较清爽：Nehalem, Westmere(Nehalem在32nm工艺下的Tick )，Sandy Bridge，Ivy Bridge（Sandy Bridge在28nm 工艺下的Tick）和Haswell。通常，我们也可以说Nehalem和Westmere都属于Nehalem微结构。Sandy Bridge和Ivy Bridge都属于广义的Sandy Bridge微结构。这种关系就是Intel现在非常重要的Tick Tock的流程。如下图所示，为Intel的TT模型。

Tick其实就是Introduce一个新的工艺和各种PROCESS。Tock就是Introduce一个新的微结构。

工艺与结构的拆分对于Intel这些年来的成功是根本的。这里面的原因其实也很简单：如果一个芯片建立在一个新的工艺 AND又是一个新的微结构上。一旦出了问题，基本上整个公司就歇了一半了。CEO就要买豆腐撞死。没有Baseline的事情，最好不要去做。所以TT模式可以你确保，在一个已经酒精考验的PROCESS下，Tock一下，如果芯片有问题，那就基本上是新的结构出了问题。如果一个基于考验过的微结构在一个新的工艺下（Tick一下），如果芯片有问题，显然是工艺方面有bug。。。。总而言之，这样一个拿着billion美金烧出来的芯片，就可控了。。。

另外，TT模型的另外一个好处就是把工程师队伍有效的运作起来。例如，Core的Merom和Pennyn都是Intel以色列团队主导做的；然后Nehalem和Westmere是美国Oregon团队做的；然后Sandy Bridge和Ivy Bridge又是犹太人主导；再下面再是美国团队做。TT下去，循环往复。。

Intel在这个方面是从血的教训里学来的。当年的最新的NetBurst redesign Prescott在90nm就是Tick(90nm
新工艺与Tock（x86-64Extension）在一起了。一通混战之后，最后发现是Power Leakage问题无法解决，从而导致Intel彻底放弃NetBurst，从新捡起P6微结构。。。

所以，Intel的微结构变化可以简单概括为：
i386, i486, P5, P6, Netburst, Pentium-M，Core（Merom，Penryn ），Nehalem(Nehalem, Westmere), Sandy Bridge(Sandy Bridge, Ivy Bridge), Haswell(Haswell, Rockwell)。
从下面这张Intel解释其Tick Tock的图中读者也可以清晰的认识到这些微结构的家族关系：

多个CPU产品可以来源于同一个微结构。其意思是一代产品。属于同一个微结构的多款CPU基本上可以认为是同一类，或同一代产品。同一个微结构下的多款CPU的原因很多，例如，简单化的版本；某个特定市场的定制版本等。

同一个名称的CPU可以是来自不同的微结构。如Celeron CPU有P6微结构的，Netburst微结构的，Pentium-M微结构的和Core微结构的。如果不懂的话，您购买了一个Netburst微结构的Celeron，在性能价格比上就不好了。在同年代中，您当然应该选择Pentium-M的款式。对Intel的Xeon名称的CPU也一样，读者可以发现，Xeon可以来自不同的微结构技术。

因此，CPU的产品名称基本上没有用。一定要知道其来自哪个微结构。换言之，CPU名称与微结构的映射关系是M:N。

这些微结构名词与我们日常看到的广告上的“Inside Intel”的名称的关系如下：

(本文不讨论IA64体系结构。笔者认为IA64除了在科学计算方面，基本上没有任何意义了。）

<微结构名称>: {CPU品牌（Brand）}+

i386: 80386DX, 80386SX, 80376, 80386SL, 80386EX

i486: 80486DX, 80486SX, 80486DX2, 80486SL, 80486DX4

P5: Pentium, Pentium with MMX

P6: Pentium Pro, Pentium II, Celeron (Pentium II-based), Pentium III, Pentium II and III Xeon, Celeron (Pentium III Coppermine-based), Celeron (Pentium III Tualatin-based)

Netburst：(32位)Pentium 4, Xeon, Mobile Pentium 4-M, Pentium 4 EE, Pentium 4E, Pentium 4F，（64位)Pentium D, Pentium Extreme Edition, Xeon

Pentium-M：Pentium M, Celeron M, Intel Core, Dual-Core Xeon LV, Intel Pentium Dual-Core

Core：（64位）Xeon, Intel Core 2, Pentium Dual Core, Celeron M

Nehalem：Xeon， Core i7，Core i7 Extreme，Core i5。

Westmere：Xeon， Core i7，Core i7 Extreme，Core i5， Core i3，Pentium，Celeron

在基于Nehalem微结构下45nm工艺下流片的CPU有：

Nehalem(45nm)

桌面（Desktop）
Bloomfield (4核，8线程)
Lynnfield（4核，8线程）//存在4/4，无HyperThreading变种
Clarkfield（4核，8线程）

服务器（Server）
Nehalem-EX（8核，16线程）（Beckton）
Nehalem-EP（4核，8线程）(Gainestown) //存在4/4，2/2无HyperThreading变种

下图是Nehalem-EX和Nehalem-EP的结构比较图：

Westmere(32nm)

Westmere-EX (还没有出来。应该10个核，20个线程)
Westmere-EP（6核，12线程）（Gulftown）//存在4/8，4/4变种。XEON 5690为6/12.
Clarkdale（2核，4线程和加了一个45nm的iGFX）//其实是两个die。一个package。
Arrandale（2和，4线程和加了一个45nm的图形卡iGFX）。//其实是两个die。一个package。

下图所示为Westmere的Clarkdale的芯片图。一个Package，二个Die。CPU Die是32nm；Graphic芯片是45nm。换言之，就是混在一起完事交差。读者想想马上要出来的无缝的Sandy Bridge的GPU集成，就知道其中之区别了。

Sandy Bridge估计是明年上市。首发（希望不要交钱或者给什么芯片协会黑金）是2核和4核的。之后会慢慢的温水煮青蛙，8核和10核的都往外涌。。。如果一旦Intel把Steve Jobs拿下，NVDA的GPU出局。天可怜目前6B的NVDA。。。估计最后下场与AMD会差不多。

下图所示为Sand Bridge的Die图。与Westmere + GPU的双芯片（Die)解决方案，我们可以看见，GPU Seamlessly进来了。。。

华赛USG9110已经相当成熟，至少在硬件设计与系统结构上达到国际水准。期待下一代产品的问世，也希望国内安全厂商迅速跟进，提升行业的整体水平。

原文发布于《计算机世界》

信息时代，运营商网络带宽不断增加，需要面对更多、更复杂的安全威胁。同时，行业用户及大型企业开始建设更具规模的数据中心，对安全产品的性能需求也与日俱增。但由于自身的业务复杂性限制，防火墙性能的提升速度总是逊于同时代的数据通信产品，成为新一代高速网络中的瓶颈。

针对这一现状，国内外安全行业领导厂商也推出了一些高端解决方案，它们无一例外地采用了分布式处理的思路，以增加业务处理节点的方式实现高性能。交换机加载防火墙模块是出现较早的一类成熟方案，它利用交换机的高速交换能力，将需要进行访问控制的流量通过背板导入防火墙模块，经处理后再进行转发。如果遇到性能瓶颈，可以多配置几个防火墙模块，线性提升系统的整体处理能力。但从实际应用的角度看，这种方案还存在一些问题。首先，如果想充分发挥性能，管理员必须非常了解自己的业务模型，人为地进行流量分配，才能使各业务节点达到较高的利用率。其次，当业务流量模型发生变化时，很难迅速找到合理的配置修改方案。对于业务灵活性要求不亚于性能的运营商和数据中心用户来说，这类产品显然不是最佳选择。

为采用分布式处理思路的高端防火墙增加智能负载均衡特性，使其可以自行为各业务节点合理分配流量，已成为业界公认比较先进的一类产品解决方案。由于该方案对厂商的研发实力有着非常高的要求，目前市场上可见的产品并不多，且多由国外厂商所推出。作为国内规模最大的信息安全解决方案提供商之一，华为赛门铁克亦成功推出了采用智能分布式处理方案的Secospace USG9100/USG9300（以下简称USG9100/USG9300）系列产品。近日，计算机世界实验室对USG9100系列中的低端型号USG9110进行了细致深入的评估测试，在此与读者朋友们分享。

ATCA架构下的智能分布式处理

USG9110是第一款来到计算机世界实验室的基于ATCA架构设计的安全产品，满足PICMG 3.0规范的要求，在交换容量、可靠性、兼容性及功耗等方面有所保证。5U规格的机框显得十分紧凑，前后面板都留满扩展槽位，主要用于扩充业务卡与接口卡。机框两侧是支持热插拔的风扇框，USG9110可以根据内部温度传感器提供的信息动态调节风扇转速，在保证自身健康运行的同时减小功耗、降低噪音。顶部留有机框管理卡（SMM）插槽，该卡负责机框及所有扩展卡物理层面上的统一控管，属于必配部件之一。USG9110工作在主备模式的供电子系统支持多种规格的动力电输入，可以满足不同环境下的部署需求。

为了实现业务的分布式处理，USG9110采用了以交换为核心、控制平面与业务平面相分离的设计思路。机框面板的最下侧两个扩展槽位属于主控交换卡（MSU），该卡运行着系统软件，负责完成路由协议的维护、系统配置及各层面功能特性的管理等工作，是USG9110业务层面的控管核心。卡上集成的交换模块为USG9110提供了120Gbps的数据交换能力，并且当插入两块主控交换卡时，各卡上的交换模块将共同工作，使设备的交换容量达到240Gbps，同时提供相应的冗余特性。为了提升这部分带宽的应用效率，配置下发、信息统计和各部件/接口状态信息的收集将从另一个独立的交换网络上进行。这种设计符合ATCA标准定义，是保证分布式系统稳定性的必然之选。

机框前面板的另外4个槽位属于业务卡（SPUA），它与交换背板相连接，负责绝大多数安全业务的处理和数据转发，是USG9110的业务处理核心。这块业务卡的设计十分惊艳，其思路和做法在安全产品范畴内实属罕见：华为赛门铁克的工程师在一块业务卡上集成了两颗运行在950MHz的NetLogic XLR732多核多线程处理器，提供了强大的计算与转发性能；而针对快速转发前访问控制对性能造成的微弱影响，更是不惜成本地采用了通常出现在高端路由器上的TCAM来进行硬件加速。除此之外，作为智能分布式处理的关键因素，数据流的调度分配由业务卡上自行研发的FPGA逻辑实现。它可以根据多种算法，实现不同的负载均衡模式，将流量下发到单块或多块业务卡上的处理器进行处理，是当之无愧的交通枢纽。单从硬件规格上看，这块业务卡已经体现了华为赛门铁克优秀的硬件研发实力，其水平在国内外均处于领先行列。

USG9110的接口卡（RTM）被设计为插在机身背面的小卡形式，与前置的业务卡一一对应。规格方面，华为赛门铁克提供了多款集成不同种类、不同接口密度的型号，用户可根据自身情况灵活选择。接口卡的规格还在随着需求变化推陈出新，我们这次测试的产品就配备了两块新发布的高密度接口卡，单卡提供16个千兆接口和两个万兆接口。

USG9110定位于高端应用环境，各方面特性都与常见的中低端产品有明显不同，我们用了很长时间来熟悉这款产品。各类模块的全冗余设计是最引人注目的一点，也是运营商及大型行业用户最关注的指标。在测试中，我们曾对主控交换卡、业务卡和接口卡都进行过热插拔操作，系统一直保持稳定运行。由于USG9110具有智能负载均衡的能力，当一块业务卡被拔出时，该卡承担的所有任务会被自动分发到其他业务卡进行处理，最大化地减小了上层业务中断的可能性。

通常，高端产品也意味着高功耗、高发热，但USG9110并不在此列。这款遵循ATCA标准设计的产品对整机与各模块的功耗、散热控制得十分严格，官方给出的整机最大功耗仅为800W。而经过实测，采用双路供电、配备两块机框管理卡、两块主控交换卡、单块业务卡和单块高密度接口卡的USG9110在满载运行时的功耗为每路174W，双业务卡、双接口卡时的每路功耗为264W，在同级别产品中优势明显。

性能：随业务卡数量线性增长

有了强大的硬件平台做基础，USG9110的性能可谓十分强悍。每秒25万HTTP新建、400万并发连接、10Gbps的吞吐量……这仅仅是产品规格表中给出的USG9110单块业务处理卡的性能，却已经为测试带来不小的难度。2009年9月，华为赛门铁克联合实验室合作伙伴思博伦通信对该系列产品进行了测试，其中某些项目竟然动用了20台当时最先进的应用层性能测试仪Avalanche2900方可完成。本次测试中，虽然思博伦通信为我们提供了最新的Avalanche3100测试仪，却仍然无法测出USG9110的某些性能值，我们会在统计图表中特别注明。受整体测试环境的限制，所有项目中都使用测试仪直接连接USG9110的两个10Gbps端口进行测试。

吞吐量与延迟是防火墙产品永恒的性能指标。我们按照RFC2544规范的要求，使用思博伦SmartBits网络层性能测试仪对透明模式下的两个10Gbps链路进行了测试。USG9110在配备单块业务卡的情况下，64Byte帧长时的双向吞吐量接近15%，256Byte以上帧长时超过90%。而在配备两块业务卡的情况下，只要带宽不成为瓶颈，吞吐量就都可以翻番，达到了智能分布式处理最理想的效果。平均延迟方面，单/双业务卡下的测试结果几乎没有区别，显示出分布式处理并未给业务流程带来额外的开销。TCAM的引入理论上可以大幅增加访问控制的实现效率，我们在USG9110上加载5000条策略后重复进行了测试，结果未发生丝毫变化。

随着互联网应用技术的变化，防火墙的连接处理能力已逐渐超越包转发性能，成为用户选型时最关键的评估指标。而USG9110在这部分测试中表现出来的性能，令人相信华为赛门铁克的工程师们深谙这一点。我们按照RFC3511规范的要求，使用Avalanche3100应用层性能测试仪考察了USG9110在透明模式、加载5000条访问控制策略情况下的性能。遗憾的是，在对HTTP新建速率和最大并发连接数进行测试时，即便只配备单业务卡，测试仪还是先于USG9110到达性能极限。虽然我们无法验证官方给出的性能数据，但从测试仪达到满载时USG9110的CPU资源占用情况推断，该产品“单卡25万HTTP新建/400万并发连接、双卡性能增加一倍”的指标合情合理。而在最大HTTP可用带宽的测试中，9.8Gbps的实测结果也只是10Gbps链路能够达到的最大性能，USG9110处理起来显得游刃有余。

防火墙集成IPSec VPN接入已经是业界的事实标准，许多用户为了业务的安全，也在进行愈发复杂的VPN部署。借助高性能硬件平台，USG9110也提供了相当强悍的IPSec隧道处理能力，并且同样可以借助更多的业务卡实现性能的进一步提升。测试结果也证明了这一点，在野蛮+快速/DES+MD5的参数配置下，该产品配备单业务卡时的隧道新建速率达到每秒221条（峰值速度，平均稳定在170左右），最大隧道容量接近4万；双业务卡时，两个指标都有了将近一倍的增幅。需要说明的是，我们并没有对新加入的业务卡进行任何设置，USG9110可以自动进行VPN隧道协商的分布式处理，效果也令人满意。在隧道的可用带宽测试中，测试仪的性能又很不幸地成为瓶颈，实测得到的结果只有官方标称值（单业务卡8Gbps）的零头。有了如此强大的性能和分布式处理机制做基础，相信在网络带宽没有发生量级变化前，USG9110可以胜任任何规模的VPN部署。

测试后记

这是一次艰难而顺利的测试。为了搭建与USG9110相匹配的环境，我们在测试仪的协调方面颇费周折；而在性能测试过程中，该产品表现稳定，业务的分布式处理效果也颇为出色，使实测数据与预测值大多吻合，又节省了许多时间。我们认为，在软、硬件系统方面有着深厚积累的华为赛门铁克，对USG9110这种采用智能分布式处理机制的安全产品已有充分的驾驭能力。深入了解用户的安全需求，扩展USG9110的功能特性，也许应该是产品团队下一步的工作重点。

身为一个虚拟化技术的爱好者，每年的VMworld大会是不得不关注的，因为在每年的VMworld大会上VMware都会发布许多非常有心意的虚拟化产品，今年也是如此，在8月30号的VMWorld 2010大会上，VMware正式对外发布了用于搭建企业内部云计算中心的管理产品vCloud Director，通过这个产品能有效地提升整个IT部门的运维方式，并推动IT转向以业务为中心的模式，也就是“IT即服务”，而本文将给大家深入介绍这款产品。

简介

vCloud Director（以下简称Director）是基于VMware vSphere的虚拟化能力，并扩展了VMware vCenter的资源池功能以使IT部门能够创建“VDC（Virtual Data Center，虚拟数据中心）”，即由计算、网络和存储资源组成的资源池以及预定义的管理策略、服务水平协议和定价机制，并为用户提供基于VDC的计算资源和能在其之上部署应用。在用户体验方面，与同为管理软件的VMware vCenter不同的是，Director在用户界面上并没有选择传统的客户端，而是基于Adobe Flex RIA技术的Web UI，通过这个Web UI，用户只需通过鼠标的点击或者少量的键盘输入就能完成包括云的创建和管理，网络的设置和应用的部署等一些极为耗时和繁琐的操作，而且还基于开放的OVF协议，并提供使用REST技术的vCloud API。

除了上面提到这些基本功能之外，在计费方面，Director还集成了最新的VMware vCenter Chargeback 1.5版来完成计算资源使用的计费工作。在安全方面，Director还整合了VMware vShield技术来提升云计算中心的安全性。还有，VMware还推出了和Director相关的VMware vCloud数据中心服务，通过这个服务，Director用户能借助VMware广泛的技术合作伙伴和服务提供商生态系统，通过引入安全、兼容的公共云来能够扩展数据中心能力，并且像管理私有云那样轻松地管理公共云。通过这种混合模式，用户能在不降低安全性或控制力的情况下获得云计算的好处，而且还在对企业非常关键的合规性和安全方面有完善的支持。

图1. vCloud Director的架构图

创建VDC和组织

由于无论是一个私有云还是公有云，它们都很有可能面对各种类型的客户或者多样的场景，所以vCloud Director并没有将所有的IT资源都归于一个云或者一个用户中，而在设计上支持资源隔离和多租户这样的机制，为了这个目标，vCloud Director引入了两个非常核心的概念：其一是上面提到过的用于对资源进行隔离的VDC；其二是用于支持多租户机制的组织（organization）”。

VDC是一个包含用于云计算的计算和存储等资源的集合，在使用上，管理员首先在Director上添加一些vCenter Server，这样能能这些vCenter Server管理的计算资源给公布出来，并这些资源组合成一个巨大的资源池，之后管理员可以创建一个VDC，并按照自己想法或者某些规则来将资源池中部分或者全部计算和存储资源添加到这个新建的VDC中，比如，管理员可以按照性能，将性能比较出色的计算和存储资源分配给名为“Tier1”的VDC，而将那些在性能上非常落后的硬件资源归为一个名为“Tier2”的VDC。同时管理员可以为每个VDC设置相应的Cost和SLA参数。

管理员通过规则（Policy）来将多个用户组合成同一个组织，比如，属于财务部门的人员都归类到财务部门这个组织等，而且每个组织都有自己独占的虚拟资源和目录（Catalog）、独立的LDAP认证系统和特定的规则管理。通过组织这个特性能够让多个单位分享同一套基础设施，而且Director会为每个组织生成不同的URL来让她们登录，在每个组织内部，管理员可以创建其下属的用户和小组，还可以为每个组织设定相应的租约（Lease）、额度（Quota）和限制（Limit）等参数。此外，组织中的用户可以通过三种方式进行认证：其一是使用Director本地数据库；其二是使用与Director相匹配的Active Directory或者LDAP服务器；其三是使用这个组织特定的Active Directory或者LDAP服务器。

接下来，将介绍一下VDC和组织之间的关系，首先，VDC按照规模大小分为两个类别，Provider级和Organization级。在使用的时候，管理员先创建多个Provider VDC，比如：下图中的Gold VDC和Silver VDC等。之后，管理员在Provider VDC的基础上为组织创建新的Organization VDC，比如，下图中的Org 1 Gold VDC。同时需要注意的是一个Organization VDC能够和创建其Provider VDC一样大，并且是一个组织可以拥有多个Organization VDC。

图2. VDC和组织的关系

还有，Provider VDC可以通过三种方式在其上创建Organization VDC：其一是按需使用，只有当用户在Organization VDC上部署一个虚拟机，才会消耗相关Provider VDC的资源；其二是预留池（Reservation Pool）机制，在Organization VDC创建的时候，Provider VDC会分配一定的资源，通过由组织来控制诸如共享值（Shares）和保留值（Reservations）等高级资源管理配置；其三是分配池（Allocation Pool）机制，这个机制和前面预留池机制相同的是，Provider VDC会为Organization VDC分配一定的资源，但是类似共享值和保留值等高级资源管理配置则由负责Provider VDC的管理员设置。

网络的设计

在网络方面，Director主要有两大类机制：其一是外部网络（External Network）机制；其二是网络池（Network Pools）机制。

在Director中，外部网络机制主要给部署的虚拟机提供链接此虚拟机所属组织之外网络（包括属于其它组织的网络或者互联网）的能力，在实现上面，一个外部网络就是一个用于传输对外虚拟机流量的portgroup，这个portgroup通过使用一个VLAN标签（tag）来实现网络的隔离。在使用方面，管理员会首先创建一个外部网络，需要填写的参数有网络的子网掩码、默认的网关、首选和备选的DNS地址、DNS前缀和静态IP地址池，之后将这个外部网络和相关的虚拟机联系起来即可。

网络池是一系列隔离的Layer 2的网段，而且网络池是用来创建组织和虚拟机网络的基石，主要用于组织内部虚拟机之间的通信，并且它也确保网络能够在云中自动地被使用和部署。在使用方面，每当用户部署一个虚拟机，都会消耗其对应网络池的一个IP地址。在实现方面，网络池主要是由三种技术支持：其一是基于VLAN的；其二是依赖Director自己的网络隔离技术VCDNI（VMware vCloud Director Network Isolation technology）；其三是使用Portgroup的。

目录管理

在Director中，目录主要用于存储各种资源的容器，一个目录隶属于一个组织，并主要有这个组织的管理员负责创建，并且可根据需要来设置这个目录的共享设置。主要存储的东西包括两大类：其一是vApp，它是基于OVF格式的虚拟器件，通过部署vApp来快速搭建一个包含多个虚拟机的应用；其二是一些诸如ISO格式和floppy格式的镜像和介质，可用于在虚拟机上安装操作系统或者传递数据给虚拟机。

安全部分

在安全方面，由于传统的企业安全依赖于代理、专属硬件以及与硬件相关的脆弱配置。由于云环境具有动态特性，应用和服务在其中可以随处移动并采取了共享的基础架构，因此有必要采用新的安全模式。所以Director集成了专门针对虚拟环境和云环境的安全模式的vShield安全技术，并在今年VMworld大会上推出了三款的新的产品，包括VMware vShield Edge、VMware vShield App和VMware vShield Endpoint，它们可以对包括防火墙、虚拟专用网（VPN）和负载均衡等在内的安全和边缘服务进行虚拟化，使它们摆脱物理基础架构的束缚，并提供了单一的、自适应的、可编程的安全基础架构。这有利于解决传统模式过于复杂且缺乏灵活性等问题，为IT团队提供更好的可见性和控制力。如果与VMware合作伙伴的解决方案结合起来使用，VMware vShield将能够提供比传统的物理部署模式更加安全的VMware虚拟化环境和云环境，而成本仅为后者的很小一部分。

计费

在计费方面，Director并没有重新发明轮子，而是利用最新版的VMware vCenter Chargeback来。首先，介绍一下Chargeback，它主要用来进行准确的成本测算、分析和报告，以实现成本透明和责任落实，并使用户能够将 IT 成本与业务单位、成本中心或外部客户对应起来，从而帮助更好地了解资源成本是多少，这样不仅能让业务所有者和 IT 人员了解支持业务服务所需的实际的虚拟基础架构成本，而且还可以获知可通过那些途径来优化资源利用率，以降低总体 IT 基础架构开支。还有，通过与Chargeback的整合，使得Director可以对多种云资源的使用情况进行计费，比如，存储资源、网络资源和vShield服务所消耗的资源等，而且可以为了不同的组织生成不同的报表。

VMware vCloud数据中心服务

首先，虽然公共云服务提供了在自助的、基于使用付费的模式中交付计算能力的替代方案，但是诸多不利因素依然限制了公共云服务在企业内部的广泛采用，例如安全问题、不确定的服务水平协议、缺乏法规遵从以及对于厂商锁定的担忧等。VMware vCloud数据中心服务则为企业提供了一种新的方式，在将数据中心扩展至外部云的同时保持安全性、法规遵从和服务质量。VMware vCloud数据中心服务由包括Bluelock、Colt、SingTel、Terremark和Verizon等在内的数家全球领先的服务提供商提供，采用了全球统一的基础架构以及管理和安全模式，使企业客户能够在内部虚拟化的基础架构与外部云之间进行工作负载的迁移。

其次，在合规性（Compliance）和安全方面，VMware vCloud数据中心服务提供了经过VMware认证的兼容性、可移植性、可审计的安全控制、SAS-70-Type-II或ISO-27001认证、包括状态防火墙和两层网络隔离的虚拟应用安全性、基于角色的访问控制以及LDAP目录验证。

总的来说，Director这款产品主要是通过整合多个基于vCenter Server的资源池来实现一个基本完备的IaaS云。虽然在功能上面，Director所支持的功能无法和Amazon EC2之类专业的IaaS云相媲美，但是其在安全和计费等方面都所涉及，再加上VMware原有虚拟化软件在企业数据中心的统治性，可以预见这款产品非常适合那些已经在VMware技术有一定的投入，并想体验云计算的优越性的企业用户。还有，通过对Director的介绍，我们应该能对一个IaaS云的基本构造有一个比较深入的了解。

参考资料：

1. VMware vCloud Director.http://www.vmware.com/products/vcloud-director/
2. VMware vCloud Director Evaluator’s Guide.http://www.vmware.com/resources/techresources/10140
3. VMware vCloud Director Admin Guide.http://www.vmware.com/pdf/vcd_10_admin_guide.pdf
4. VMware拓展云基础架构战略 推动IT即服务.http://product.ccidnet.com/art/18767/20100903/2176135_1.html
5. VMware vCloud Datacenter Services.http://www.vmware.com/solutions/cloud-computing/public-cloud/vcloud-datacenter-services.html
6. VMware vCenter Chargeback 1.5 Release Notes.http://www.vmware.com/support/vcbm/doc/vcbm_1_5_release_notes.html
7. Catalogs in VMware vCloud Director.http://kb.vmware.com/selfservice/microsites/search.do?language=en_US&cmd=displayKC&externalId=1026324

【陈怀临注：最近因为不可告人的目的关注浪潮比较多：-），感觉浪潮确实获得过许多成功的高潮。今年推出了8路的基于Nehalem-EX的服务器。而且号称将很快推出32路的系统。8路难度倒是不大。32路可不容易。。。】

【附录：】浪潮服务器天梭TS850相关参数：

l 自主模块化设计 达到国际先进水平

品质来源于设计，浪潮突破了芯片、硬件、BIOS、OS、结构一系列关键技术，领先国内厂商，达到国际先进水平，绽放“中国创造”魅力。

l 强劲引擎 高效动力 性能至上

TS850支持英特尔最新推出的基于Nehalem-EX架构的八核至强处理器，具备24MB大容量二级缓存，最多可支持64个物理处理核心，128个线程，为您的应用提供强大的并行计算处理能力。

l 物理分区 资源均衡 应用灵活

用户根据LCD触控屏提示，进行简单的菜单操作实现双分区，而无需硬件板卡的拆卸组装。八路机器形成双四路功能时，每个分区有各自独立的VGA，网络，硬盘，PCI-E扩展插槽等接口。双分区可实现双机HA，每个分区可安装各自独立的不同操作系统等应用。双分区是完全的物理隔离，每个四路系统分别采用独立的供电模组，时序控制，从而保证了每个分区系统通信的独立性。

l 针对不用应用需求 提供优秀的扩展能力

兼顾高扩展性、高密度及散热的需求，在6U空间内实现最大化的扩展能力。系统最大支持64根DDR3 ECC内存，最大支持1TB内存，同时内存控制器所支持的半球模式，更带来了低延时的内存性能提升；系统最大支持18块2.5’ SAS/SATA/SSD硬盘，同时提供了9个PCI-E 2.0的IO扩展槽。

l 四级RAS功能保证 系统可靠性达99.999%

从芯片级、链路级、模块级、系统级等各个方面都提供了20多项RAS特性。更值得一提的是，PCI-E X16插槽支持热插拔功能，让用户在系统运行状态下，完成PCI-E卡的插拔动作，在扩展IO的时候，避免让系统停机维护。