民生银行虚拟网络流量管理实践

导语：金融业务创新带来的需求是快速响应，新技术、新架构的引入则带来了组织和人才转型压力，虚拟化、云平台和服务治理对运维支撑的压力持续增加，故障处理难度进一步加大、运维数据亟待挖掘。

在2018年上市银行半年报中，金融科技一词频频出现，上市银行纷纷布局数字化转型，私有云建设及投产已经在金融行业广泛开展。“十三五”使银行业上云加快，但虚拟网络流量在监控管理、运维及分析领域缺少相应的管理手段，面临虚机分散、虚机动态迁移及上下线、多租户、异构环境复杂等众多挑战。与此同时，业务、安全、审计等部门对虚拟网络流量的需求持续增加，民生银行通过私有云网络流量管理平台赋能云环境的运维管理，针对性地在云计算新环境下创新。

工具链孤岛与排障效率

民生银行金融业务生产系统根据行业相关要求需要对全部网络流量数据进行分析，包括性能、交易、安全、防欺诈等，在传统网络环境中主要采用链路镜像和在应用服务器旁路分析系统两种方案，已有流量采集方案和分析系统能够满足业务需求，并在行业内处于领先地位。随着行内云平台建设和业务系统上云，私有云的弹性和功能等优势极大提高了业务交付能力和服务质量，但同时也给运维部门带来新的挑战。金融业务创新带来的需求是快速响应，新技术新架构带来的组织和人才转型压力，虚拟化、云平台和服务治理对运维支撑带来的压力，故障处理难度加大、运维数据亟待挖掘。

首先，私有云中虚拟机间之间的东西向流量导致网络监控出现盲点，现有网络监控、分析和安全工具无法对东西向流量进行全面处理，导致部分网络流量未被监控，可能暴露在安全风险和威胁之中；其次，私有云中虚拟资源（含计算和网络资源等）的创建、迁移、销毁等操作的实效性和动态性较强，网络流量分发方案需要能够适配云平台，从云平台视角实现云内虚拟网络流量的精准采集和高效分发等功能，将云内私有网络流量分发给行内生产环境已有的物理网络分发设备。

私有云中虚拟网络流量采集与分发系统应具备适配云并实现将云内虚拟网络流量全部或按需转发到后端分析系统的能力，以消除虚拟网络盲点。因行内现已具备传统网络分发设备和后端相关监控、分析和安全工具，为保护现有投资充分利用，虚拟网络流量分发系统应具备相对完善的L2-L4的过滤、Payload截断、虚拟机迁移感知以及对系统自身组件和资源用量的监控能力，以完善现有监控系统虚拟网络采集功能。

DeepFlow®虚拟网络流量采集与分发方案

云杉网络DeepFlow®虚拟网络流量分发系统是面向云平台虚拟网络流量采集分发的领先型技术实现，能够在云内虚拟网络和数据中心网络分析设备之间实现流量的按需过滤和分发，既可以将虚拟网络流量分发到物理网络分路器，也可以直接分发给对应的分析工具。

面对民生银行的实际需求，其他解决方案至少需要约4核CPU以及8G内存的计算资源，在流量过滤条件和监控呈现角度以VxLAN VNI作为区分不同Tanent的条件；而云杉网络DeepFlow®在VMware平台和OpenStack云环境中提供两种不同的方案，计算资源最低仅需1核CPU以及128M内存，且无需对现有虚拟交换机做任何变更；在流量过滤条件配置和监控呈现角度，DeepFlow®能够与云平台直接对接，无需人工对Tanent和VxLAN VNI进行匹配。DeepFlow®以更低的资源占用、云原生的策略配置、与现有网络流量分发系统更强的适配性等具体优势，成为民生银行私有云平台虚拟网络流量采集与分发的落地方案。

DeepFlow®采集与分发方案包含控制器与采集器两大核心组件，采集器支持虚拟机在线迁移感知，能够实现采集策略的自动化跟随。通过标准API接口适配各大主流云平台环境，支持VMware VSS/VDS、Open vSwitch、Linux Bridge等各种虚拟交换设备，无论用户环境是否有采用第三方SDN方案均能够实现平台对接和网络流量精准采集和按需分发功能。

民生银行一站式虚拟网络数据服务

DeepFlow®采集与分发方案能够同时对接多达4套云平台，面向所有租户网络提供L2-L4的数据包过滤和分发功能，包括但不限于项目、虚拟网络、IP地址、网络协议、服务端口及各种组合条件等，同时能够对数据包进行Payload按需截断以提升后端分析工具处理能力，解决了工具链孤岛问题，最大限度利用已有投资。

DeepFlow®采集与分发方案具备部署零依赖、策略零干扰、资源消耗低等典型优势，为民生银行私有云的数据治理、异常检测、故障定位、链路分析等运维管理场景提供了数据支撑。通过将不同的虚拟流量导入到不同的网络监控和分析系统工具（如NPM、Firewall、行为分析工具等）满足了民生银行等保合规、安全审计等需求。

借助DeepFlow®采集与分发平台，民生银行打通了工具链孤岛、提高了运营效率，加速了向数字化、轻型化、综合化标杆银行的转型。