网络监听可以提供对网络流量的详细可见性,了解这是否是增强数据中心可观察性配置文件的正确解决方案。
获得对网络流量的可见性是数据中心可观察性的关键组成部分,这就是为什么安装网络分流器可能是数据中心运营商寻求增强其监控能力的明智选择。
然而,网络抽查并不总是数据中心内部最好的可观察性解决方案。根据您的目标和资源,其他方法可能提供更好的可见性或更低的成本。
为了帮助您做出决定,本文解释了网络窃听的工作原理、它们对数据中心可观察性的影响、网络窃听的替代方案,以及何时(或不)希望在您的设施中添加网络窃听。
什么是网络监听?
网络分流器是一种捕捉网络流量的设备。通常情况下,分流器复制流量,然后将副本发送到可以存储或分析的位置。原来的交通到达预定的目的地,没有中断。
一些供应商在这种情况下将“TAP”视为“测试接入点”或“终端接入点”的缩写。
分流器通常部署在本地网络的位置,允许它们拦截服务器和外部端点之间的流量。
网络分流器有两种形式:
- 物理分流器,效率更高,因为它们需要最少的计算资源来复制或转发网络流量。由于缺乏足够的内存或CPU等问题,物理分流器也不太容易发生故障,这降低了它们可能以破坏正常流量的方式发生故障的风险。
- 虚拟分流器,指的是复制流量通过服务器或网络交换机的软件代理。虚拟分流器的部署更加灵活,因为使用它们不需要设置新的硬件。但是,由于它们需要内存和CPU来操作,因此在流量超过可用资源所能处理的情况下,它们可能会失败。
当流量流经网络时,网络分流器可以捕获流量,并帮助数据中心运营商增强其可观察性能力。
网络分流器的替代品
窃听并不是获得网络可见性的唯一方法。一种替代方法是在服务器或其他端点上运行网络监控软件。该软件可以检查进出端点的流量。
然而,这种方法的主要挑战是必须为要观察的每个端点设置单独的监视代理。
此外,监视代理会消耗大量的CPU和内存资源(尽管基于eBPF等技术的可观察性新方法可以帮助缓解这个问题)。
您还可以生成通过交换机或其他路由硬件的流量的网络日志。日志记录通常不记录网络数据本身,这使得它不同于窃听;相反,日志通常记录诸如哪些端点正在相互通信以及它们正在使用哪些协议之类的信息。
因此,网络日志记录不能提供与网络TAP相同的信息深度。但是,如果数据中心可观察性的主要目标是获得整体网络行为的感觉,而不是分析网络流量本身,那么日志记录可能是一种更简单、更有效的方法。
网络分流器对数据中心可观测性的好处
在您想要跟踪网络上发生的事情的任何设置中,网络点击都是有用的。例如,访问办公室的本地网络可以帮助检测与网络攻击相关的恶意流量。
然而,网络分流器作为数据中心内部的网络可观察性解决方案尤其有益,原因如下:
- 处理大流量的能力:一个典型的数据中心在任何给定的小时内,其网络上可能有价值数gb的数据流。因为网络连接(尤其是物理连接)非常高效,它们擅长处理这种高流量负载。
- 集中式可观测性:位于战略位置的网络分流器可以拦截所有流入和流出数据中心的数据,为观察网络提供集中的有利位置。当您希望监控数百或数千个端点的流量时,这一点尤其有用。
- 包级可见性:网络点击允许您查看流经网络的每个单独的数据单元(称为数据包)。这种深度可见性对于复杂的故障排除需求非常有用,例如找出某些类型的流量经历高丢包率的原因。
- 更低的中断风险:数据中心可观察性技术消耗大量CPU和内存,如果缺乏足够的资源正常运行,导致网络流量停滞,则会造成中断操作的风险。然而,由于物理网络的高效操作,它们几乎没有这个问题。这在任何托管关键任务工作负载的数据中心都是一个优势。
数据中心网络分流器的缺点
尽管有其优势,但在数据中心内部接入网络也带来了一些潜在的挑战。一个是成本。每个高容量硬件监听器的成本可能高达10,000美元,您可能需要多个监听器来监控不同的网络或网段。这使得这些设备成为数据中心内的一项重要投资。
隐私是另一个挑战。除非您的组织拥有数据中心内的所有基础设施,否则网络窃听可能会让您访问其他人的数据。这可能会违反数据中心运营商的服务条款。也就是说,根据您的网络设计方式和您放置分流器的位置,通常可能只从数据中心内的某些服务器收集数据,而忽略路由到其他服务器或从其他服务器发送的流量。
找到一种方法来分析通过点击产生的所有数据也很困难。与分析由网络监听产生的大量数据相比,在网络日志文件中查找模式相对简单。
何时为数据中心采用网络监听
利用网络挖掘作为数据中心可观察性的手段是否有意义取决于以下几点:
- 数据中心网络架构:为了有效地部署一个网络监听器,需要一个网络架构,允许将监听器插入到一个可以访问想要捕获的所有流量的位置,并避免捕获任何你没有权限监控的第三方流量。
- 有多少网络流量:如果有如此多的流量,其他网络可观察性解决方案无法处理它,流量捕获可能是最好的选择。
- 有多少端点:如果监控来自相对较小的服务器集合的流量,那么托管在服务器上的传统网络监控代理可能是实现可观察性的一种更简单的方法。
- 需要多大的可观察性深度:如果需要对数据中心流量进行尽可能深入的观察,挖掘可能是最好的方法。如果只想了解整个网络的操作和趋势,可以考虑使用日志记录。