网络盲点是引起虚拟化环境中业务中断、服务质量下降以及遭受安全威胁的最主要原因。当公司或组织缺乏网络可见性,无法完全掌握其虚拟化环境中业务的网络运行情况时,将必然面临频繁的业务中断、客户投诉以及恶意攻击带来的损失。据Gartner预测,到2019年,实现适当的网络可见性和控制工具的60%的企业将减少三分之一的安全故障。
随着业务规模的扩大,公司和组织对网络可见性的投入亦将会持续增加。但除了购买增强网络可见性的产品和服务之外,还应针对虚拟化环境中的业务特点,从以下几个导致网络盲点的原因出发,构建完善的网络监控和安全体系。
缺乏虚拟网络监控手段
Gartner报告声称80%的虚拟化数据中心流量将是虚拟机或容器之间的东西向流量。这些流量可能永远不会到达ToR交换机,而仅仅发生在服务器内部。随着东西向流量规模的进一步增长,以及未来微服务和Serverless架构的盛行,对虚拟环境网络及流量的监控将成为决定业务健康的重头戏。据某金融行业资深专家反馈,当前大部分公司或组织仍依靠传统的从ToR交换机上获取镜像流量的采集方式或是采用功能薄弱,性能不完善的虚拟网络监控工具,将使自身在虚拟网络和云时代中身处盲人摸象的尴尬境地。
采集丢包
传统的流量采集方法多使用“采样”的方式采集大规模网络流量,这些信息一般会通过NetFlow/IPFIX等协议形式生成汇总信息。在采样的过程中将会不可避免地产生失真。这种失真虽然是一种折衷和妥协的产物,但却使得精细化的网络管理不再可行。在传统网络时代,采样的方式仍可以产生一定作用,但在虚拟网络时代,业务流量具有短连接多、并发与突发流量密集、转发路径复杂、虚拟机/容器E2E端点变化频繁等特点,使得原始的采样方法在构建真正能转化成生产力的网络全景视图方面显得力不从心,甚至因采样这种方式的天然缺点,可能会对网络运维人员产生误导。很多一线的网络运维人员反映,现有的工具无法满足他们在虚拟网络和云时代运维决策的制定需求。
除此之外,在应对激增的东西向流量时,只有经过精心调校的采集软件可以在不影响服务器生产业务效率的条件下全量采集流量。除此之外的产品都将会因为过载而产生丢包,使得产品能力无法得到充分发挥。随着10G/25G/100G网卡在数据中心的普及,性能将成为一项关键指标。
虚拟机/容器变动
虚拟化环境的特点就是可以针对不同的应用场景,从计算、存储和网络资源中灵活抽象出虚拟机/容器示例。当抽象的规模达到一定程度之后,将会逐渐失去对资源的掌控。在某金融企业1000台服务器规模的数据中心中,因回收不及时而闲置的虚拟机有将近100台的规模。另外,因一再删除添加的防火墙/安全组规则而产生的安全漏洞,以及在复杂的抽象层中丢失或延迟到达的网络流量,都将成为制约资源集约化利用,提供业务安全保障的网络盲点。
工具集关联
在大规模企业和组织中,都存在多种网络工具共存的情形。将不同的工具可以提供不同的互补的能力,但往往需要事先配置不同的工具使能方式。如有些工具需要网元提供NetFlow信息,有些需要配置ERSPAN,有些需要In-band串联等等。这种后台工具各自不一的使能方式在增加网络复杂度的同时,也进一步提升了工具的使用成本。据分析机构报告显示,企业将持续增加IT预算,并达到5%以上的年增长率,IT工具会持续增多。因工具获取信息“源”各不相同,无法对各自的分析结果进行有效综合,也就无法形成工具间的优势互补,进而导致本应可以实现的能力没有实现,损害企业投资。若能从单一信息源处获取网络信息,将产生1+1>2的规模优势。
工具操作复杂
新的工具本身会很复杂,而让使用人员完全掌握新工具的特点,摸清它的“脾气”会是更复杂的事情。如何能最大效率地利用工具,为企业或组织带来最大的投资回报率并非是一件显然的事情。虚拟化环境以及云上环境本身正在变得越来越复杂,而针对它的工具也有同样的趋势。Gartner的报告显示,每增加25%的工具功能,将会提升100%的工具复杂度。而工具本身的复杂将从“工具盲点”最终传导为网络盲点。清晰、简明、强大的工具本身就是从最终用户的层面消除网络盲点的一种手段。
网络中的盲点将最终成为业务问题。其所波及的并不仅仅是网络组件,而是所有身处这一网络之中的虚拟化以及物理组件。消除网络盲点的方式就是提高网络,特别是虚拟网络的可见性。云杉网络推出的DeepFlow®为多种云平台提供一体化的网络解决方案,其专利的虚拟流量采集技术具备大规模、零干扰、无依赖、过载保护、预处理等优点;单台控制器同时管理1000个采集点和下发4000条过滤策略,适用于生产环境的大规模虚拟网络。