8.3.2　基于策略的管理

有很多方法可以完成管理任务，而对于云IaaS服务来说，基于策略的管理则是最合适的方法之一。什么是基于策略的管理呢？初学者可以将它理解为一个管理系统，它为每一个下属管理（子管理）系统分别确立了不同的目标，然后子管理系统又将这些目标相应转换分解成更低一级的活动，确保目标能够完成。此时，更上一级的管理系统将只需要关注如何设置全局策略上，而子系统会将策略转换成相应行动。基于策略的网络管理技术主要面向分布式管理任务，能够尽可能地近地靠近管理网络的边缘。

图8-7给出了一个简化的基于策略的管理模型，基本组件包括：

·策略执行点（Policy Enforcement Point,PEP）：负责实际执行策略，即定义一组符合策略的条件，依据策略执行相应的活动。

·策略决策点（Policy Decision Point,PDP）：当PEP截获某个策略触发器后，由PDP决定该执行何种策略，PDP根据PEP报告的条件，从策略库中提取相关策略，将它翻译成一组执行动作，返回给PEP，然后由PEP负责执行。PDP通常与PEP驻留在同一系统内，也可以是一个外部（单独）控制器。

图　8-7　简化的基于策略管理模型

·策略管理工具：策略管理工具负责策略的定义和管理，建立好的策略必须要分布到各个PDP上，而能够触发某个策略规则的条件必须要分配到各个PEP上，使得PEP能够感知分析出符合预定义策略的事件和行为类型。