虚拟化无疑是在过去十年最大的一个计算趋势。通过分离不同计算平台元素,越来越多的企业用户已经破除了“一个应用程序,一个服务器”的模式,转移到了虚拟机,以便充分实现服务器和工作人员的潜力。忽视虚拟化的益处,在任何竞争性行业都不是一种选择。
不幸的是,事实上,许多虚拟机在一台服务器上处理流量有一个很大的缺点:流量能见度。很多的概念使得虚拟化试图跟踪数据包或者分析数据流,以了解如何在任何给定的时间网络的表现成为一个问题。
在许多部署了虚拟化的数据中心,缺乏安全和性能的可视性。例如,当一个主要的性能问题在关键型任务网络应用程序发生时。通过做出正确的网络架构选择,管理员可以实现虚拟化带来的商业利益,满足数据包级别的可视性需求。
虚拟的盲点剖析
在传统的网络,流量分析是使用TAP进军网络段,或通过使用端口镜像SPAN,并在同一子网中的服务器之间的数据流中捕获数据包,以相当简单的方式进行分析。
但是,在一个虚拟的世界,这种模式打破了。在虚拟化环境中,数据可能永远不会通过一个物理交换机或网络,而是留在同一个物理主机,使得监测变得困难。通过虚拟适配器到达虚拟交换机和备份的流量,无需再次提供一个地方来监控流量。
许多企业往往在IT部门认识到可视化的缺失所带来的网络危机前,经历过这方面的损失。安全团队可能没有意识到恶意安全事件,直到他们无法在同一个物理主机上的监控到从虚拟机到虚拟机的流量。如果没有这种可视化,就无法对恶意攻击进行检测和调查,以确定受到损害的资源,采取纠正措施并预防未来的恶意攻击。由于无法在虚拟数据中心看到发生了什么事,这创造了虚拟盲点。
由于虚拟化是一种成熟的技术,而且带来的投资回报率如此之快,在实现快速部署虚拟化的过程中可能没有重视盲点问题,甚至是根本就没有认识到有虚拟盲点。具有讽刺意味的是,虚拟化的模式应该比物理基础设施监控得更加紧密,因为其设计的前提便是尽可能的在底层硬件运行。
优化网络结构
虚拟化供应商及第三方提供可视化和主机内的虚拟机流量迅速加强。市场上已经有了引进虚拟网络之类的服务,使用现有的成熟的监测技术是可行的,可以同时看到物理和虚拟基础设施。这使得管理员能够继续使用他们当前的监控工具和相关专业知识,节省了大量的时间和金钱的投资。
使用的VMware vSphere 5.x中的vSphere分布式交换机(VDS),利用端口镜像可以提供可视化和虚拟加密流量的能力,在本质上,这个交换机出现的流量就如同它来自一个物理交换机。其他虚拟化供应商,如思科还可以从虚拟环境中提供数据包级数据。
然而,获得数据包级数据只是成功的一半。对于端到端的能见度包括物理和虚拟基础设施,来着VDS的流量必须被过滤和分析。这样企业才能对其安全性能进行全面的监控,获得准确的数据包流,进而在正确的时间从事他们需要做好的工作。
世界上许多大型的数据中心均有投资在网络监控交换机:一种新兴的技术,智能地连接数据中心网络的监视工具。就像在物理网络,过滤和负载均衡的数据包发送到虚拟环境的分析工具是至关重要的,网络监控交换机的工作是为每个网络工具提供准确的需要分析的数据。
这反过来又提高了数据中心整体工作效率,通过运行监测工具,运行更有效和更准确。其他益处包括解决TAP和SPAN端口不足;直观的管理界面,使管理员可以拖放流量工具,而不用命令行界面(CLI)脚本,并能适应未来发展的投资工具和基础设施升级到更高速度的网络。
从物理机到虚拟端口镜像转移的过程中仍然存在的一个问题便是冗余数据包的生成。就像一个物理SPAN,端口镜像虚拟流量很可能包含重复的数据包。为了解决这些问题,领先的网络监控交换机提供线速数据包重复数据删除和数据包微调。包微调导致更有效的监测和删除敏感负载,如用户信息,在将数据传送到监控工具之前,增强了安全性。
虚拟化提高了IT业务能力和灵活性。然而,它也带来了新的挑战:无法获得关键的数据包级网络流量的可视性。但是,通过使用正确的网络架构,包括网络监控交换机,管理员可以实现虚拟化的诸多益处,同时还实现端到端的可见性和保护他们现有的监测工具投资。