ZStack 3.6.0，支持云主机从任意KVM云平台在线迁移至ZStack( 二 ) 体验完ZStack3.6.0版本的更新

　　我并不信任互联网思维的云产品设计，只要客户还是要“勾选用户注册协议” ，这就不是一个平等的甲乙方关系，而是一个牧羊人和羊群的关系，牧羊人不会尊重羊群的管理诉求。

　　03尊重工程师的操作优化

　　ZStack3.6.0版本希望实现从造船到练兵，要想顺畅完成练兵，就要理解和尊重客户侧的工程师，顺应他们的传统工作习惯，而且减少繁琐易错操作，让客户专注核心业务判断。

　　顺应传统工作习惯并不是贬义词，比如在网络设计中，传统不等于过时，可能是经典场景中的经典设计。

　　ZStack在本次更新中，一个重要网络功能就是VPC防火墙。很多人会将防火墙和安全组混淆，将架构师和软件研发提出的防火墙设置建议，直接扭曲成安全组配置。但ZStack的说明文档很清楚的解释了，防火墙不等于安全组。

　　安全组诞生于大二层网络时代，做不好二层隔离那就先做好三层隔离，其部署位置在云主机的网卡上，其重点防范的是其他云主机的非授权访问。在二层隔离VxLan普及以后，安全组的东西向流量隔离功能已经略有鸡肋，其南北向访问的配置规则则过于简陋。安全组没必要识别目标IP和端口，因为作用点就是本网卡;我们曾经熟悉的“放行所有ESTABLISHED状态报文” ，在安全组模式下也无法设置。

　　防火墙是部署在VPC路由器上的，并不关注内网传输，但对外部访问的控制粒度很细，不仅可以识别源IP目标IP ，对协议中的报文状态也有清晰的识别能力。对于老网络工程师来说，防火墙规则中的“拒绝”和“丢弃”的区别，可以当做经典面试题，而防火墙规则中复杂的优先级设计，是网络工程师炫耀逻辑和工程能力的最好战场。此外VPC路由器支持了NetFlow ，在VPC内排查故障，跟在物理环境上已经相似了。

----ZStack 3.6.0 ，支持云主机从任意KVM云平台在线迁移至ZStack//----

　　ZStack每次更新都有大量操作简化优化， 3.6.0版也不例外，目标是让使用者从边思考边操作一堆繁琐命令，变为只思考一次核心问题，只发出一条简单指令。

　　前文谈过权限设计之后，管理员就要做一个工作——在私有云平台上创建用户。 ZStack提供了AD对接、表格导入的方式批量创建用户;云平台管理员不用把时间花在如何点鼠标新增用户上，而是集中精力判断该添加哪个list的用户。类似的操作优化还有诸如主机硬盘同时快照、云主机优先在旧宿主启动，当主机和硬盘迁移时对目标物理机按负载高低排序。

　　如果说批量创建用户功能是个非常规的单薄操作，那我们就看V2V的自动迁移， ZStack很早就支持vCenter云主机批量迁移，本次更新后支持了KVM云主机批量自动迁移。

　　V2V迁移本来是个重度依赖迁移工程师人力的工作，要求迁移工程师对业务了解、对通用虚拟化标准了解、对新旧V2V资源池的配置了解，然后瞪大了眼睛一台一台迁移。现在ZStack做了足够多的适配，将V2V迁移自动化，那迁移工程师的工作量会极大降低，他们的重点精力放在选择迁移对象和时机上。