如何做好云数据中心网络流量一体化管理

经过十多年的发展，云服务凭借“弹性、灵活、安全、低成本”的特性，使“上云是常态，不上云是例外”成为共识。统计信息显示，随着企业上云的不断落实，云数据中心东西向流量的占比高达70%以上，而云服务灵活频繁的变动，使得数据中心东西向流量成为企业难以触达的黑盒。

随着企业上云业务规模的增加，虚拟化网络变得更为复杂。但企业对业务安全的诉求、行业主管部门监管的要求有增无减，如何在多种云平台、任意虚拟机之间，不改动生产网络配置、不影响业务连续性和稳定性的同时完成虚拟网络流量的统一采集和分发，以满足不同流量消费部门的需求？

虚拟网络流量采集的必要性

业务的合规性

不同行业和细分领域均有相关的配套安全法规。除了网络安全法和关键信息基础设施安全保护条例，网络安全等级保护制度2.0国家标准将于2019年12月1日正式实施。等保2.0提出安全管理中心要在系统管理、安全管理、审计管理三个方面实现集中监管控，并通过技术手段实现云计算环境安全、区域边界安全和通信网络安全。在此背景下的企业上云，首先要满足等保2.0的合规要求，要能做到针对虚拟网络的实时监控和分析取证，因此虚拟网络流量的精准采集成为满足企业上云的技术制高点。

业务的安全性

当客户持续将业务部署在云环境中，数据中心东西向流量呈指数倍增长。受性能的限制，传统的安全分析工具无法应对和处理PB级流量；再加上虚拟网络流量采集的挑战，传统的安全分析工具在云环境下变成了难以协同的“孤岛”。对于客户报障，难以根据IP地址找到准确的关联路径去抓包分析，在少数无法确定报障IP的情况下更是无从应对。由此造成了在大规模的虚拟网络环境中，管理员无法从全局视角发现网络流量中的异常，这严重制约了云中业务的安全性。

业务的连续性

而通常情况下，云平台不具备虚拟流量采集的能力，例如由于种种原因云厂商不允许在宿主机上部署采集器/探针；部分第三方分析工具不能直接解封装VxLAN等报文；在云环境中，虚拟机之间的网络流量并非全部通过接入交换机进行转发。因此大多数第三方分析工具通常无法直接获取这部分业务流量数据，一旦业务发生故障或访问缓慢，现有的分析系统由于缺乏必要的业务流量数据，难以迅速定位问题，云端业务的连续性将因此受到不通程度的影响。

DeepFlow®采集与分发方案

企业上云的原则是在尽可能不修改应用的前提下，确保业务体验的一致性，即应用云化之后，在业务体验、安全性、连续性方面需要保持或提高。云服务要能够提供企业级的管理、监控、审计、安全等功能以满足行业、国家的安全法规和审计标准。DeepFlow®采集与分发方案面向云数据中心，支持客户根据业务和应用自定义精细的过滤策略，可轻松在异构的云资源池中部署，其主要组件为采集器软件和控制器软件，前者部署在虚拟化平台的计算节点，后者部署在标准x86服务器中（同时支持虚拟化部署）。通过帮助客户构建大规模、高性能、一体化的监控分析平台，确保云中业务的连续性和安全性。

DeepFlow®采集与分发方案支持各类私有云虚拟化环境，包括OpenStack资源池、VMware资源池、WindowsServer资源池、容器资源池、传统裸金属资源池等；支持公有云环境部署，包括腾讯公有云、AWS公有云。

DeepFlow®支持部署方式

DeepFlow®采集与分发方案包含采集器和控制器两大组件，其中控制器组件通常以集群模式部署在标准x86服务器中（亦支持虚拟化部署），控制器支持逃逸模式。采集器运行于计算节点，资源占用低并且具备完整的流量预处理能力；通过从软件控制器获取ACL规则，精细地控制对虚拟网络流量的全网采集和遥测数据的输出。采集器组件在不同的虚拟化环境中，有如下几种部署方式：

物理网络的采集

传统的物理网络流量采集通常有成熟的方案，DeepFlow®的采集主要借助分光、镜像、服务器引流等手段，不同之处在于DeepFlow®借助流量预处理功能可以实现全量的采集。而虚拟网络流量的采集，根据虚拟化环境的不同，而略有差异。

基于KVM的采集

当用户环境为开源OpenStack云平台等KVM环境或容器环境时，采集器可以批量、自动化地以用户态进程的形式安装到宿主机上。利用宿主机操作系统自身内核的功能模块，对其虚拟网卡进行流量采集。该实现与客户环境具体的vSwitch实现无关，用户可以自由选择开源的OpenvSwitch、Linux Bridge或者厂商私有的SDN vSwitch等。

基于ESXi和Hyper-v的采集

当用户环境为VMware云平台或者微软Windows Server虚拟化环境时，采集器以虚拟机的形态运行于计算节点，通过宿主机操作系统自带的虚拟交换机实现流量的采集。该实现依赖客户宿主机操作系统的虚拟交换机，采集器在虚拟机内完成对流量的预处理。

基于Bare-metal的采集

当用户环境为小型机或者其他x86裸金属的环境时，采集器通常以进程态运行在服务器的Hypervisor上，其安装和运行对环境的软件版本和网络策略没有任何依赖。

DeepFlow®采集与分发方案面向云端业务，为多云环境提供一体化的网络流量采集与分发解决方案。通过帮助用户构建大规模、高性能、一体化的监控分析平台，在企业云数据中心解决了虚拟网络流量的一体化采集和多路分发难题，保障业务上云的合规性、安全性和连续性。近8年来先后为金融、电信、能源、运输等多个行业的近百家企业客户带来云数据中心网络方案的创新与新技术的赋能。更多信息，请访问云杉网络官方网站联系我们。