虛擬網(wǎng)絡(luò)和流量監(jiān)控將成為決定業(yè)務(wù)健康的重頭戲

網(wǎng)絡(luò)盲點(diǎn)是引起虛擬化環(huán)境中業(yè)務(wù)中斷、服務(wù)質(zhì)量下降以及遭受安全威脅的最主要原因。當(dāng)公司或組織缺乏網(wǎng)絡(luò)可見(jiàn)性，無(wú)法完全掌握其虛擬化環(huán)境中業(yè)務(wù)的網(wǎng)絡(luò)運(yùn)行情況時(shí)，將必然面臨頻繁的業(yè)務(wù)中斷、客戶投訴以及惡意攻擊帶來(lái)的損失。據(jù)Gartner預(yù)測(cè)，到2019年，實(shí)現(xiàn)適當(dāng)?shù)木W(wǎng)絡(luò)可見(jiàn)性和控制工具的60%的企業(yè)將減少三分之一的安全故障。

隨著業(yè)務(wù)規(guī)模的擴(kuò)大，公司和組織對(duì)網(wǎng)絡(luò)可見(jiàn)性的投入亦將會(huì)持續(xù)增加。但除了購(gòu)買(mǎi)增強(qiáng)網(wǎng)絡(luò)可見(jiàn)性的產(chǎn)品和服務(wù)之外，還應(yīng)針對(duì)虛擬化環(huán)境中的業(yè)務(wù)特點(diǎn)，從以下幾個(gè)導(dǎo)致網(wǎng)絡(luò)盲點(diǎn)的原因出發(fā)，構(gòu)建完善的網(wǎng)絡(luò)監(jiān)控和安全體系。

缺乏虛擬網(wǎng)絡(luò)監(jiān)控手段

Gartner報(bào)告聲稱(chēng)80%的虛擬化數(shù)據(jù)中心流量將是虛擬機(jī)或容器之間的東西向流量。這些流量可能永遠(yuǎn)不會(huì)到達(dá)ToR交換機(jī)，而僅僅發(fā)生在服務(wù)器內(nèi)部。隨著東西向流量規(guī)模的進(jìn)一步增長(zhǎng)，以及未來(lái)微服務(wù)和Serverless架構(gòu)的盛行，對(duì)虛擬環(huán)境網(wǎng)絡(luò)及流量的監(jiān)控將成為決定業(yè)務(wù)健康的重頭戲。據(jù)某金融行業(yè)資深專(zhuān)家反饋，當(dāng)前大部分公司或組織仍依靠傳統(tǒng)的從ToR交換機(jī)上獲取鏡像流量的采集方式或是采用功能薄弱，性能不完善的虛擬網(wǎng)絡(luò)監(jiān)控工具，將使自身在虛擬網(wǎng)絡(luò)和云時(shí)代中身處盲人摸象的尷尬境地。

采集丟包

傳統(tǒng)的流量采集方法多使用“采樣”的方式采集大規(guī)模網(wǎng)絡(luò)流量，這些信息一般會(huì)通過(guò)NetFlow/IPFIX等協(xié)議形式生成匯總信息。在采樣的過(guò)程中將會(huì)不可避免地產(chǎn)生失真。這種失真雖然是一種折衷和妥協(xié)的產(chǎn)物，但卻使得精細(xì)化的網(wǎng)絡(luò)管理不再可行。在傳統(tǒng)網(wǎng)絡(luò)時(shí)代，采樣的方式仍可以產(chǎn)生一定作用，但在虛擬網(wǎng)絡(luò)時(shí)代，業(yè)務(wù)流量具有短連接多、并發(fā)與突發(fā)流量密集、轉(zhuǎn)發(fā)路徑復(fù)雜、虛擬機(jī)/容器E2E端點(diǎn)變化頻繁等特點(diǎn)，使得原始的采樣方法在構(gòu)建真正能轉(zhuǎn)化成生產(chǎn)力的網(wǎng)絡(luò)全景視圖方面顯得力不從心，甚至因采樣這種方式的天然缺點(diǎn)，可能會(huì)對(duì)網(wǎng)絡(luò)運(yùn)維人員產(chǎn)生誤導(dǎo)。很多一線的網(wǎng)絡(luò)運(yùn)維人員反映，現(xiàn)有的工具無(wú)法滿足他們?cè)谔摂M網(wǎng)絡(luò)和云時(shí)代運(yùn)維決策的制定需求。

除此之外，在應(yīng)對(duì)激增的東西向流量時(shí)，只有經(jīng)過(guò)精心調(diào)校的采集軟件可以在不影響服務(wù)器生產(chǎn)業(yè)務(wù)效率的條件下全量采集流量。除此之外的產(chǎn)品都將會(huì)因?yàn)檫^(guò)載而產(chǎn)生丟包，使得產(chǎn)品能力無(wú)法得到充分發(fā)揮。隨著10G/25G/100G網(wǎng)卡在數(shù)據(jù)中心的普及，性能將成為一項(xiàng)關(guān)鍵指標(biāo)。

虛擬機(jī)/容器變動(dòng)

虛擬化環(huán)境的特點(diǎn)就是可以針對(duì)不同的應(yīng)用場(chǎng)景，從計(jì)算、存儲(chǔ)和網(wǎng)絡(luò)資源中靈活抽象出虛擬機(jī)/容器示例。當(dāng)抽象的規(guī)模達(dá)到一定程度之后，將會(huì)逐漸失去對(duì)資源的掌控。在某金融企業(yè)1000臺(tái)服務(wù)器規(guī)模的數(shù)據(jù)中心中，因回收不及時(shí)而閑置的虛擬機(jī)有將近100臺(tái)的規(guī)模。另外，因一再刪除添加的防火墻/安全組規(guī)則而產(chǎn)生的安全漏洞，以及在復(fù)雜的抽象層中丟失或延遲到達(dá)的網(wǎng)絡(luò)流量，都將成為制約資源集約化利用，提供業(yè)務(wù)安全保障的網(wǎng)絡(luò)盲點(diǎn)。

工具集關(guān)聯(lián)

在大規(guī)模企業(yè)和組織中，都存在多種網(wǎng)絡(luò)工具共存的情形。將不同的工具可以提供不同的互補(bǔ)的能力，但往往需要事先配置不同的工具使能方式。如有些工具需要網(wǎng)元提供NetFlow信息，有些需要配置ERSPAN，有些需要In-band串聯(lián)等等。這種后臺(tái)工具各自不一的使能方式在增加網(wǎng)絡(luò)復(fù)雜度的同時(shí)，也進(jìn)一步提升了工具的使用成本。據(jù)分析機(jī)構(gòu)報(bào)告顯示，企業(yè)將持續(xù)增加IT預(yù)算，并達(dá)到5%以上的年增長(zhǎng)率，IT工具會(huì)持續(xù)增多。因工具獲取信息“源”各不相同，無(wú)法對(duì)各自的分析結(jié)果進(jìn)行有效綜合，也就無(wú)法形成工具間的優(yōu)勢(shì)互補(bǔ)，進(jìn)而導(dǎo)致本應(yīng)可以實(shí)現(xiàn)的能力沒(méi)有實(shí)現(xiàn)，損害企業(yè)投資。若能從單一信息源處獲取網(wǎng)絡(luò)信息，將產(chǎn)生1+1>2的規(guī)模優(yōu)勢(shì)。

工具操作復(fù)雜

新的工具本身會(huì)很復(fù)雜，而讓使用人員完全掌握新工具的特點(diǎn)，摸清它的“脾氣”會(huì)是更復(fù)雜的事情。如何能最大效率地利用工具，為企業(yè)或組織帶來(lái)最大的投資回報(bào)率并非是一件顯然的事情。虛擬化環(huán)境以及云上環(huán)境本身正在變得越來(lái)越復(fù)雜，而針對(duì)它的工具也有同樣的趨勢(shì)。Gartner的報(bào)告顯示，每增加25%的工具功能，將會(huì)提升100%的工具復(fù)雜度。而工具本身的復(fù)雜將從“工具盲點(diǎn)”最終傳導(dǎo)為網(wǎng)絡(luò)盲點(diǎn)。清晰、簡(jiǎn)明、強(qiáng)大的工具本身就是從最終用戶的層面消除網(wǎng)絡(luò)盲點(diǎn)的一種手段。

網(wǎng)絡(luò)中的盲點(diǎn)將最終成為業(yè)務(wù)問(wèn)題。其所波及的并不僅僅是網(wǎng)絡(luò)組件，而是所有身處這一網(wǎng)絡(luò)之中的虛擬化以及物理組件。消除網(wǎng)絡(luò)盲點(diǎn)的方式就是提高網(wǎng)絡(luò)，特別是虛擬網(wǎng)絡(luò)的可見(jiàn)性。云杉網(wǎng)絡(luò)推出的DeepFlow®為多種云平臺(tái)提供一體化的網(wǎng)絡(luò)解決方案，其專(zhuān)利的虛擬流量采集技術(shù)具備大規(guī)模、零干擾、無(wú)依賴(lài)、過(guò)載保護(hù)、預(yù)處理等優(yōu)點(diǎn)；單臺(tái)控制器同時(shí)管理1000個(gè)采集點(diǎn)和下發(fā)4000條過(guò)濾策略，適用于生產(chǎn)環(huán)境的大規(guī)模虛擬網(wǎng)絡(luò)。