天天看點

科技雲報道:混合雲之下,全網流量采集為何成為頭部企業的“心頭好”?

科技雲報道原創。

混合雲趨勢下,資料中心的網絡流量監控正在變得越來越複雜。

科技雲報道:混合雲之下,全網流量采集為何成為頭部企業的“心頭好”?

據咨詢機構Enterprise Management Associates調研顯示,在企業上雲之前,大多數企業已經采用了4-10個工具來監控網絡并進行排障。當多雲環境和混合IT架構來臨時,網絡複雜程度成倍增加,傳統的以裝置為中心的網絡監控工具,開始無法滿足雲環境所需的可見性,而企業也很難把越來越零碎的網絡監控工具融合在一起。

那麼,混合雲下的網絡流量監控到底應該怎麼做?對于采用了多雲環境的企業而言,是否存在一種基于“全景”的網絡監控解決方案,能夠讓複雜的網絡環境變得易于管理呢?

科技雲報道:混合雲之下,全網流量采集為何成為頭部企業的“心頭好”?

**

暴漲的虛拟網絡流量,缺失的全網流量監控**

一直以來,網絡流量的采集和分析,是企業資料中心基礎設施不可或缺的監控手段。通過對網絡流量的深度分析,企業能夠更好地定位網絡故障、優化網絡和業務性能名額。

然而,自2019年以來,來自金融、電信、IDC等行業的一線從業者,卻對“雲環境下的網絡流量采集”這一課題,保持着集體性的高度關注。對于這些IT水準走在各行業前列的大型機構來說,一個老生常談的網絡流量監控領域,到底出了什麼問題?

在過去,國内企業資料中心普遍采用傳統三層IT架構,對網絡流量的監控,主要是通過網絡實體交換機鏡像來擷取業務互動的東西向(相對于資料中心出口的南北流量而言)流量,然後将采集到的流量給到分析工具。

随着企業資料中心架構逐漸雲化,網絡流量的采集和分析随之發生了巨大的變化:雲計算環境下,部分東西向的流量不再經過實體交換機。同時,虛拟機的上線、下線、擴容、遷移、切換等操作頻繁,均為自動化實作,而傳統的靜态鏡像無法跟随虛拟機實作同步的動态部署,也就無法采集到所需的流量。換句話說,傳統的基于實體交換機鏡像的網絡流量監控方式,在雲環境中開始失效。

此外,雲端暴增的虛拟網絡流量,也讓傳統的鏡像監控方式難以承受。據艾瑞咨詢《2020年中國資料中心行業發展洞察報告 》指出,雲化推動資料中心向大規模機房演進,目前資料中心東西向流量已經超過南北向流量。在傳統鏡像方式下,大規模的東西向流量通過實體交換機端口被引向虛拟機或伺服器進行集中處理,由于對端口消耗過大,嚴重影響了網絡裝置的性能和穩定性。

值得注意的是,混合雲環境下的網絡架構更為複雜,想要基于企業現有的監控工具實作端到端的診斷,幾乎成了一個不可能完成的任務。在混合IT架構下,企業雲資料中心可能包括OpenStack、VMware、裸金屬、容器等異構IT資源池,涉及業務區、網際網路接入區、外聯區、DMZ區等多種網絡區域劃分,網絡環境正在變得越來越規模巨大、層級複雜且多變。

從企業現有的網絡監控工具看,無論是日志管理、網絡性能管理、應用性能管理等工具,還是雲廠商提供的流量采集和分析工具,都是各自為陣,無法為企業梳理出完整的業務流量通路路徑,來實作基于混合IT的全網流量監控,更不用提在多雲環境中能掌握全局化的、精細化的網絡管理能力。

據Forrester調研報告顯示,12%使用現代基礎設施監控工具的受訪者表示,他們仍然難以獲得端到端的可見性和擴充性以支援整個企業網絡運維。這種局限性,随着企業資料中心雲化程序的深入,暴露得愈發明顯。

越來越多的企業意識到,在混合雲環境中實作全網流量監控,并不是一件輕松的事情。

科技雲報道:混合雲之下,全網流量采集為何成為頭部企業的“心頭好”?

**

企業IT曆史包袱下,全網流量監控改造之痛**

雲環境下全網流量監控的缺失,讓企業如鲠在喉。大型金融機構、電信營運商、IDC營運商,以及采用了混合雲和雲原生技術的行業頭部企業,都在急切地尋求解決方案。

然而在企業IT曆史包袱下,改造之路何談容易?

從建設的角度看,企業經過多年的資訊化建設,積累了大量的軟硬體IT資産,并形成了較為固定的IT管理方式。企業更多考慮的是,如何在保持現有的網絡裝置投資和監控方式的基礎上實施改造。這就要求新的網絡解決方案,能夠與現有的IT軟硬體裝置和監控工具無縫對接,并盡可能輕量級的部署,不幹擾現有的生産環境。

從部署的角度看,雲業務帶來了大規模的、彈性的虛拟網絡流量,那麼雲環境下的流量監控方案也需要随雲而動,一方面能夠在IT異構環境中靈活部署,并随着虛拟機、容器等資源的實時變化而彈性伸縮;另一方面,也需要降低對計算、存儲、帶寬等資源的占用,不能影響現網中運作的業務。

從安全的角度看,大規模的部署、靈活的虛拟網絡變動以及開源元件的應用,都會給内網安全帶來隐患,是以新的方案需要考慮安全政策的自動化管理,以保證現有的安全政策被正确執行,滿足企業上雲安全合規的要求。

從業務的角度看,網絡流量監控曾經隻是IT部門的運維工作,如今卻成為運維、安全、業務審計等多個部門共同的關注。無論是網絡故障排查、雲端網絡告警,還是基于業務視角的網絡診斷,都需要對全網流量進行采集和分析。如何針對每個部門的不同需求,對流量進行“統一采集、多次分發消費”,避免“煙囪式”建設和重複投資,也成為企業考量的關鍵之一。

總體而言,企業對于全網流量采集方案的要求非常高,除了部署的低侵入性、高靈活性、高性能及安全性,還看重采集平台的開放性。

反觀目前市場上大多數的解決方案,仍是基于實體交換機鏡像對流量進行集中處理,或基于虛拟機大規模安裝代理進行流量采集,不僅對現有裝置的性能影響太大,也無法适應雲環境下的靈活多變。這是由于傳統網絡廠商或虛拟化廠商,一般基于自身的軟硬體裝置提供一體化的解決方案,既難以與其他廠商的産品進行融合,也缺乏創新的意願。

混合雲趨勢下爆發的全網流量監控痛點,正在轉化為國内大中型企業雲化程序中的新需求,而這一市場尚待破局。

科技雲報道:混合雲之下,全網流量采集為何成為頭部企業的“心頭好”?

從網絡黑盒到全網監控,行業巨頭的雲網流量采集探索

剛需之下,市場先行,一些技術領先的行業巨頭們已走在了傳統解決方案的前面。據不完全統計,目前國内已有超過30家企業級資料中心部署了雲環境流量采集系統。

那麼,這些巨頭企業到底是如何解決雲網流量監控難題的呢?我們不妨來看幾個代表性的案例。

l 民生銀行:金融監管下的雲網流量監控

在民生銀行,很早就開始實施雲資料中心的轉型更新,業務已成功上雲并穩定運作。為了響應國家金融監管政策,保障雲資料中心的網絡安全、交易監控安全,2019年,民生銀行引入了雲杉網絡DeepFlow虛拟網絡采集可視化與分析平台,以解決雲環境中東西向虛拟流量采集的各類痛點問題。

與傳統的網絡流量監測方式相比,DeepFlow的優勢在于,部署方式簡單,無需維護獨立虛機。由于DeepFlow采用主控端模式,即通過在雲環境每台實體主控端上部署獨立采集軟探針,其天生完全旁路的機制,對虛機、業務網卡、虛機交換機均無侵擾。作為主控端上的使用者态程序,具備輕量、安全、可控等優點。同時,為了規避對主控端穩定性的影響,DeepFlow針對采集器還設定了過載保護機制。

從管理角度看,DeepFlow也是業内少有的能夠同時與OpenStack、VMware等雲平台無縫對接的産品,其控制器可以發現雲平台中的各類資源,包括區域、使用者、VPC、子網、路由器、虛拟機等,并結合流量梳理後直覺地展現給網絡管理者,實時掌握雲環境中的流量采集和資源部署情況。

如今,在民生銀行的分行雲環境中,DeepFlow已與其現有的流量采集平台完成了無縫對接,不僅成功實作了雲環境中東西向虛拟流量的精細采集,還與雲管平台形成了關聯,能夠對雲網絡進行動态的監控。考慮到生産環境的系統安全性,DeepFlow對雲網的監控也能實作與生産系統的零耦合。

總體而言,民生銀行是以最小化的部署,獲得了最大化的靈活采集政策和安全便捷的雲網流量監控。既擴大了原有的流量采集能力,又不影響生産系統的性能和穩定性,可謂雲網流量采集的最佳實踐之一。

l 興業數金:金融行業雲的網絡安全

作為興業銀行集團布局金融科技的先行軍,興業數金早在2017年就被Gartner評為金融雲上司者。資料顯示,這朵金融行業雲由3個高等級的金融級資料中心構成,目前已有170多家企業将業務托管在該雲平台上。

作為大型行業雲服務商,興業數金對雲安全的關注更為迫切。雖然雲資料中心的南北向網絡安全,一直是雲服務商的責任所在,興業數金在其網絡監控技術上已經打磨得極為紮實,但是雲内東西向的網絡流量,即虛拟租戶内部、租戶與租戶之間的網絡連接配接和安全狀況,卻面臨着網絡黑盒。

為了從根本上保障金融雲的網絡安全,興業數金選擇了雲杉網絡DeepFlow,對東西向虛拟網絡流量進行監測與分析,同時提供安全政策驗證功能優化業務安全配置,以強化對雲網流量安全分析的能力。

在興業數金看來,由于DeepFlow采用雲原生的分布式架構,采集器自身具備資料包處理能力,能夠巧妙地利用雲架構的優勢,避免流量采集後的集中處理,大大提升系統整體性能。

同時,也能涵蓋裸金屬、虛拟機、容器、公有雲資源池等多種異構系統場景,整體系統可滿足大規模監控的需求,完美比對了興業數金規模大、場景全的行業雲特征,進而能夠助力興業數金建立強大的東西向虛拟網絡監控和分析能力,進一步保障金融行業雲的網絡安全。

l 河南移動:電信雲的精細化營運

河南移動的私有雲擁有多個資料中心,其資源池數百台叢集規模,承載了數百個業務。作為電信營運商,河南移動的私有雲建設,不僅要滿足國家等保2.0要求,在核心網的可靠性、高效性,以及對客戶隐私保護等方面,也有着比很多行業更為嚴苛的要求。

一方面,河南移動的私有雲内部采用網絡虛拟化後,資料中心東西向流量占據了主導,傳統網絡監測方案已無法适應虛拟流量,系統内的網絡行為完全黑盒化;

另一方面,該私有雲面向的租戶越來越多,從整個省公司各部門到不同省公司之間的跨區使用者,從雲平台營運到租戶業務營運,對雲資源和流量資料的使用情況要求更加精細化。

為了更好地營運好電信雲,在經過反複的測試和對比後,河南移動引入了雲杉網絡DeepFlow對私有雲網絡進行監測,實作了實時分析和故障回溯分析,很好地滿足了河南移動精細化營運和管理的需求。

對電信營運商而言,如今在5G、邊緣計算、物聯網方向的發力,還将産生更多的網絡營運場景。對此,河南移動和雲杉網絡也為即将爆發的實時流量采集和分析需求做好了準備。

科技雲報道:混合雲之下,全網流量采集為何成為頭部企業的“心頭好”?

混合雲時代,如何打造全網流量采集的最佳實踐?**

不難發現,很多行業頭部企業都在雲杉網絡DeepFlow的助力下,建設了全網流量監控分析平台,在私有雲或混合雲環境中實作了精準高效的網絡流量統一采集和分發的能力。

其實,除了上文提到的企業,平安科技等金融機構,移動、聯通、電信三大營運商,及中國航信、深航貨運、聯想IT等大型集團企業,都引入了雲杉網絡DeepFlow來部署雲網流量采集平台。

為什麼這麼多的行業巨頭會選擇雲杉網絡而不是傳統網絡廠商合作?其根本原因在于雲杉網絡用自己的技術實力和産品思路,證明了DeepFlow的的确确是對使用者有價值的,是真正符合使用者需求的。

例如,企業在雲環境中擷取虛拟網絡流量的方式其實有多種,但是使用者最關心的名額,如:部署對生産環境零侵擾、靈活性好、性能高等,卻很少有解決方案能達到企業的标準。

科技雲報道:混合雲之下,全網流量采集為何成為頭部企業的“心頭好”?

雲杉網絡DeepFlow采用的主控端旁路模式,在KVM環境中僅需運作一個使用者态的程序,在公有雲和VMware雲平台以虛拟機的形式部署。當采集器工作時,所消耗的資源為1核CPU、1G記憶體。當采集為Flow資訊時,對網絡帶寬的消耗不足實際流量的5%,并且采集器擁有過載保護機制,真正滿足了企業對侵入性低、穩定性高且動态化部署的需求。

再比如,針對企業在混合雲環境中的流量采集需求,DeepFlow憑借其分布式架構和開放可程式設計的特性,将采集與分析消費解耦,并與多種雲平台對接,實作了大規模異構IT資源池虛拟流量的統一采集和管理。為了確定企業安全政策的一緻性,DeepFlow做到了雲環境采集政策自動化跟随,并通過持續的機器學習自動生成網絡政策建議,在動态環境下持續執行政策。

可以看到,DeepFlow的架構設計和産品功能,天生适合多雲及雲原生環境,這也與雲杉網絡誕生于雲計算時代有關。其SDN的基因與基礎平台的開放性,讓DeepFlow打破了傳統解決方案在侵入性、性能、靈活性等方面瓶頸,同時也能夠原生适配虛拟化、容器、公有雲等多種生态,進而滿足企業在混合雲時代的新需求,而這正是傳統網絡廠商所不具備的特征。

随着越來越多的企業将步入混合雲時代,各行業巨頭和雲杉網絡共同打造的雲網流量采集最佳實踐,無疑也為其他企業提供了可參考的建設經驗。

l 在部署上,平台建設并非一步到位,而是分期建設,按需擴容。

随着資料中心規模擴大、IT基礎設施增多而擴容,企業會逐漸将原有的實體網絡監控、虛拟流量監控、安全事件監控等業務,整合到全網流量采集和分析的平台中。但是,平台建設并非一步到位,而是基于企業現有的IT基礎設施和業務需求進行階段性的建設。

第一步,企業通常會選擇KVM、容器資源池進行部署實施,以DeepFlow解決虛拟網絡環境流量“黑盒”的問題。這是由于企業在傳統實體網絡上已具備完整的監控方案,是以填補虛拟網絡流量監控的空白,并與現有的監控分析工具進行對接,閉合私有雲、容器環境中的運維、業務分析工具鍊,成為企業迫在眉睫的需求。

在虛拟網絡環境的部署取得了理想效果後,企業第二步可以選擇納入更多資源池,如實體交換機、專線等流量資料,以實作對整體資料中心的流量采集能力。同時,對接網絡中心、安全中心、智能運維等平台,滿足各平台對現網流量資料的消費需求。

第三步,企業可以對存在公有雲上所運作的Workload或執行個體流量進行采集,完成對混合雲IT環境整體監控流量管理,實作整體網絡畫像、流量分發、對多平台流量資料分發的服務能力。

如果已經運作了混合雲環境,企業也可以在不影響生産環境運作的情況下分批次部署實施,将DeepFlow平台所涉及的管理、監控分發平面複用在已有的網絡平面中。

l 在規劃上,從不同的IT環境和網絡類型出發,分區域、分資源池進行規劃。

在資料中心側,可以按區域來定義,區域内的網絡流量包含可用區的實體網絡流量和資源池内的虛拟網絡流量。在實體網絡中,采集點通常由裝置廠商的監控方案實作;在虛拟網絡流量采集上,可采用DeepFlow提供的各型号采集器,對接裝置廠商方案的标準資料輸出。

對于多資料中心、多分支機構的企業,DeepFlow也支援各地資料中心區域、各類資源池的網絡流量采集,由相應型号的采集器完成。

在公有雲側,可通過DeepFlow實作公有雲VPC内各類資源的網絡流量采集。采集器以使用者态的軟體形式,部署在虛拟機、容器、裸金屬裝置等Workload上,支援Linux、Windows等主流作業系統。

在控制管理側,可從控制面設計入手,解決大規模及可管理性的問題。控制器是管理控制采集器及政策下發的控制中樞,分為主要制器、備控制器、從控制器,可按照部署要求進行選擇。

在多點的部署環境中,首先指定主區域(Region),主要制器存在于主區域中,為整體流量管理平台提供控制入口。除主區域外,其他區域的控制器作為從控制器,不參與主要制器選舉。

在雲環境、容器環境中,控制器通過對接虛拟化資源池、配置管理資料庫、公有雲開放API等,可實作多粒度下發采集、分發政策,更靈活、更貼近業務應用。

l 在功能上,確定平台的可擴充性、開放性和統一管理能力,實作一次采集、多次分發消費。

在雲和雲原生的環境中,所有的資源包括網絡資源在内,都是可彈性變化的。那麼,對應的網絡監控平台也需要具備彈性的、可擴充的特性。

尤其在混合雲環境中,網絡規模宏大且資源池類型多樣,虛拟交換機采集點數量,相比傳統監控規模多達幾個數量級的增長。是以,可采用DeepFlow這類分布式部署來避免單點瓶頸,充分适配邏輯網絡跨資源池的場景。

同時,應考慮分發的網絡平面、盡量複用已有的網絡,以降低監控系統的資源開銷,并基于不同的業務視角提供網絡分析的全景視圖,避免多部門的重複投入,最終為企業混合雲IT基礎設施環境建構統一的流量監控管理平台。

在混合雲時代,網絡正在變得更加複雜,企業在不同程度遭遇着虛拟網絡黑盒的挑戰。随着行業巨頭紛紛發力全網流量采集與分析,示範效應将逐漸釋放,引導着衆多企業在混合雲環境中應用新的網絡監控管理技術,建設新一代的全網流量監控基礎設施。

【關于科技雲報道】

專注于原創的企業級内容行家——科技雲報道。成立于2015年,是前沿企業級IT領域Top10媒體。獲工信部權威認可,可信雲、全球雲計算大會官方指定傳播媒體之一。深入原創報道雲計算、大資料、人工智能、區塊鍊等領域。

繼續閱讀