網(wǎng)絡(luò)盲點(diǎn)是引起虛擬化環(huán)境中業(yè)務(wù)中斷、服務(wù)質(zhì)量下降以及遭受安全威脅的最主要原因。當(dāng)公司或組織缺乏網(wǎng)絡(luò)可見性,無(wú)法完全掌握其虛擬化環(huán)境中業(yè)務(wù)的網(wǎng)絡(luò)運(yùn)行情況時(shí),將必然面臨頻繁的業(yè)務(wù)中斷、客戶投訴以及惡意攻擊帶來(lái)的損失。據(jù)Gartner預(yù)測(cè),到2019年,實(shí)現(xiàn)適當(dāng)?shù)木W(wǎng)絡(luò)可見性和控制工具的60%的企業(yè)將減少三分之一的安全故障。
隨著業(yè)務(wù)規(guī)模的擴(kuò)大,公司和組織對(duì)網(wǎng)絡(luò)可見性的投入亦將會(huì)持續(xù)增加。但除了購(gòu)買增強(qiáng)網(wǎng)絡(luò)可見性的產(chǎn)品和服務(wù)之外,還應(yīng)針對(duì)虛擬化環(huán)境中的業(yè)務(wù)特點(diǎn),從以下幾個(gè)導(dǎo)致網(wǎng)絡(luò)盲點(diǎn)的原因出發(fā),構(gòu)建完善的網(wǎng)絡(luò)監(jiān)控和安全體系。
缺乏虛擬網(wǎng)絡(luò)監(jiān)控手段
Gartner報(bào)告聲稱80%的虛擬化數(shù)據(jù)中心流量將是虛擬機(jī)或容器之間的東西向流量。這些流量可能永遠(yuǎn)不會(huì)到達(dá)ToR交換機(jī),而僅僅發(fā)生在服務(wù)器內(nèi)部。隨著東西向流量規(guī)模的進(jìn)一步增長(zhǎng),以及未來(lái)微服務(wù)和Serverless架構(gòu)的盛行,對(duì)虛擬環(huán)境網(wǎng)絡(luò)及流量的監(jiān)控將成為決定業(yè)務(wù)健康的重頭戲。據(jù)某金融行業(yè)資深專家反饋,當(dāng)前大部分公司或組織仍依靠傳統(tǒng)的從ToR交換機(jī)上獲取鏡像流量的采集方式或是采用功能薄弱,性能不完善的虛擬網(wǎng)絡(luò)監(jiān)控工具,將使自身在虛擬網(wǎng)絡(luò)和云時(shí)代中身處盲人摸象的尷尬境地。
采集丟包
傳統(tǒng)的流量采集方法多使用“采樣”的方式采集大規(guī)模網(wǎng)絡(luò)流量,這些信息一般會(huì)通過(guò)NetFlow/IPFIX等協(xié)議形式生成匯總信息。在采樣的過(guò)程中將會(huì)不可避免地產(chǎn)生失真。這種失真雖然是一種折衷和妥協(xié)的產(chǎn)物,但卻使得精細(xì)化的網(wǎng)絡(luò)管理不再可行。在傳統(tǒng)網(wǎng)絡(luò)時(shí)代,采樣的方式仍可以產(chǎn)生一定作用,但在虛擬網(wǎng)絡(luò)時(shí)代,業(yè)務(wù)流量具有短連接多、并發(fā)與突發(fā)流量密集、轉(zhuǎn)發(fā)路徑復(fù)雜、虛擬機(jī)/容器E2E端點(diǎn)變化頻繁等特點(diǎn),使得原始的采樣方法在構(gòu)建真正能轉(zhuǎn)化成生產(chǎn)力的網(wǎng)絡(luò)全景視圖方面顯得力不從心,甚至因采樣這種方式的天然缺點(diǎn),可能會(huì)對(duì)網(wǎng)絡(luò)運(yùn)維人員產(chǎn)生誤導(dǎo)。很多一線的網(wǎng)絡(luò)運(yùn)維人員反映,現(xiàn)有的工具無(wú)法滿足他們?cè)谔摂M網(wǎng)絡(luò)和云時(shí)代運(yùn)維決策的制定需求。
除此之外,在應(yīng)對(duì)激增的東西向流量時(shí),只有經(jīng)過(guò)精心調(diào)校的采集軟件可以在不影響服務(wù)器生產(chǎn)業(yè)務(wù)效率的條件下全量采集流量。除此之外的產(chǎn)品都將會(huì)因?yàn)檫^(guò)載而產(chǎn)生丟包,使得產(chǎn)品能力無(wú)法得到充分發(fā)揮。隨著10G/25G/100G網(wǎng)卡在數(shù)據(jù)中心的普及,性能將成為一項(xiàng)關(guān)鍵指標(biāo)。
虛擬機(jī)/容器變動(dòng)
虛擬化環(huán)境的特點(diǎn)就是可以針對(duì)不同的應(yīng)用場(chǎng)景,從計(jì)算、存儲(chǔ)和網(wǎng)絡(luò)資源中靈活抽象出虛擬機(jī)/容器示例。當(dāng)抽象的規(guī)模達(dá)到一定程度之后,將會(huì)逐漸失去對(duì)資源的掌控。在某金融企業(yè)1000臺(tái)服務(wù)器規(guī)模的數(shù)據(jù)中心中,因回收不及時(shí)而閑置的虛擬機(jī)有將近100臺(tái)的規(guī)模。另外,因一再刪除添加的防火墻/安全組規(guī)則而產(chǎn)生的安全漏洞,以及在復(fù)雜的抽象層中丟失或延遲到達(dá)的網(wǎng)絡(luò)流量,都將成為制約資源集約化利用,提供業(yè)務(wù)安全保障的網(wǎng)絡(luò)盲點(diǎn)。
工具集關(guān)聯(lián)
在大規(guī)模企業(yè)和組織中,都存在多種網(wǎng)絡(luò)工具共存的情形。將不同的工具可以提供不同的互補(bǔ)的能力,但往往需要事先配置不同的工具使能方式。如有些工具需要網(wǎng)元提供NetFlow信息,有些需要配置ERSPAN,有些需要In-band串聯(lián)等等。這種后臺(tái)工具各自不一的使能方式在增加網(wǎng)絡(luò)復(fù)雜度的同時(shí),也進(jìn)一步提升了工具的使用成本。據(jù)分析機(jī)構(gòu)報(bào)告顯示,企業(yè)將持續(xù)增加IT預(yù)算,并達(dá)到5%以上的年增長(zhǎng)率,IT工具會(huì)持續(xù)增多。因工具獲取信息“源”各不相同,無(wú)法對(duì)各自的分析結(jié)果進(jìn)行有效綜合,也就無(wú)法形成工具間的優(yōu)勢(shì)互補(bǔ),進(jìn)而導(dǎo)致本應(yīng)可以實(shí)現(xiàn)的能力沒有實(shí)現(xiàn),損害企業(yè)投資。若能從單一信息源處獲取網(wǎng)絡(luò)信息,將產(chǎn)生1+1>2的規(guī)模優(yōu)勢(shì)。
工具操作復(fù)雜
新的工具本身會(huì)很復(fù)雜,而讓使用人員完全掌握新工具的特點(diǎn),摸清它的“脾氣”會(huì)是更復(fù)雜的事情。如何能最大效率地利用工具,為企業(yè)或組織帶來(lái)最大的投資回報(bào)率并非是一件顯然的事情。虛擬化環(huán)境以及云上環(huán)境本身正在變得越來(lái)越復(fù)雜,而針對(duì)它的工具也有同樣的趨勢(shì)。Gartner的報(bào)告顯示,每增加25%的工具功能,將會(huì)提升100%的工具復(fù)雜度。而工具本身的復(fù)雜將從“工具盲點(diǎn)”最終傳導(dǎo)為網(wǎng)絡(luò)盲點(diǎn)。清晰、簡(jiǎn)明、強(qiáng)大的工具本身就是從最終用戶的層面消除網(wǎng)絡(luò)盲點(diǎn)的一種手段。
網(wǎng)絡(luò)中的盲點(diǎn)將最終成為業(yè)務(wù)問(wèn)題。其所波及的并不僅僅是網(wǎng)絡(luò)組件,而是所有身處這一網(wǎng)絡(luò)之中的虛擬化以及物理組件。消除網(wǎng)絡(luò)盲點(diǎn)的方式就是提高網(wǎng)絡(luò),特別是虛擬網(wǎng)絡(luò)的可見性。云杉網(wǎng)絡(luò)推出的DeepFlow®為多種云平臺(tái)提供一體化的網(wǎng)絡(luò)解決方案,其專利的虛擬流量采集技術(shù)具備大規(guī)模、零干擾、無(wú)依賴、過(guò)載保護(hù)、預(yù)處理等優(yōu)點(diǎn);單臺(tái)控制器同時(shí)管理1000個(gè)采集點(diǎn)和下發(fā)4000條過(guò)濾策略,適用于生產(chǎn)環(huán)境的大規(guī)模虛擬網(wǎng)絡(luò)。