南来北往,犹问东西
云杉网络专利采集技术Trident,首次在中国实现虚拟网络In-band Telemetry采集商用部署。以最小的资源占用满足全时全量流量采集需求,部署无依赖、业务网络零侵扰。
1. 不改动vswitch配置,东西向引流没法做?
传统的东西向引流方式多采用改动vswitch配置的方式,添加引流流表或镜像虚拟端口。该方式不仅会加大vswitch压力,降低网络转发性能,同时流表之间也容易冲突,影响网络业务。Trident采集不依赖vswitch配置,直接从hypervisor中收取原始数据包,对现有网络策略无任何影响。
2. 计算节点配置不统一,部署之前先要安装依赖库?
传统采集组件部署时需要多种特定版本的工具库、第三方组件的支持,严格又复杂的部署依赖既影响FAE团队部署效率,又可能与现有环境冲突。Trident基于GO语言特性,直接提供二进制可执行文件,不再需要任何环境依赖,极速部署。
3. 传输采集流量需要占用一半网络带宽?
采集的流量从采集点发送至分析点时仍需占用网络带宽。如无任何处理,采集的流量占用和原始流量相同的网络带宽。为最小化带宽资源占用,Trident采用了云杉专利的网包压缩算法,能够将网络流量压缩至原流量大小的5%。
4. 部署节点数量多,还需要手动管理?
节点规模的扩大,使得统一管控愈加复杂。云杉网络采用统一中心控制架构,从控制器可通过专用加密信道自动下发可编程策略,极大地减轻管理工作量,轻松完成500节点规模的策略管理。
5. 采集组件又变成了新的黑盒?
作为管理的依据,采集组件自身的状态也需要详加监控,用以实时了解组件运转状态。Trident提供数十种监控指标,以可视化的方式统一呈现给管理员,做到对采集状态一目了然。
客户案例
足不出户实现电信级云网络交付
中国电信启动的混合云战略致力于为客户提供电信级的云产品和服务。中国电信成都分公司打造的“晨云”在业界率先将全套 SDN 解决方案融入生产环境。云杉网络的 SDN 技术使“晨云”的技术人员无需再次进入机房即可在几分钟内完成网络的交付,强有力地支撑了“晨云”的建设和发展。
全量搜索,实时回溯
全量历史流量搜索引擎,提供多维度流量状况关联分析,全景式重现指定时段网络流量状态,提供完整保护的第一案发现场。
1. 历史故障没存留现场,等复现全靠天意?
网络规模进一步扩大和复杂化之后,网络问题往往难以复现,缺少完整的证据链帮助定位和排障。DeepFlow提供网络回溯功能,全量保存任意历史时刻网络状态,按关键字(IP地址、目的端口号、TCP关闭类型等)搜索,呈现全部相关流量历史变化情况,不错过任何一个细节。
2. 业务延迟高,哪个环节出了问题?
业务往往由多个环节组成,任何一个环节出现问题都会影响业务总体性能。DeepFlow支持网络路径分段划分,量化表征段与段之间的流量状态,快速定位出现问题的环节,专注问题,提高效率。
3. 业务故障部门间互相推诿,有力的证据在哪寻找?
云上业务发生故障时,网络部门通过传统的网络设备日志等手段往往难以自证。DeepFlow通过对网络连接的多达数十种指标的刻画(RTT、建连时间、建连成功率、最大延迟、TCP零窗次数、TCP重传次数、TCP关闭状态等),判别是网络的问题还是服务器软件的问题,帮助不同部门之间判定责任。
4. 云内是黑盒,看不到云内网络虚拟机之间访问关系?
虚拟网络内部组件关系复杂,虚拟机的频繁迁移与变动又进一步加剧了网络的复杂程度。管理人员往往对历史或当前的虚拟机之间的组网情况缺少全局认识。DeepFlow提供虚拟网络拓扑,完整描述各虚拟机及虚拟网络组件之间的访问关系以及流量状态,全面掌握虚拟网络整体情况,做到胸有成竹,心中有数。
5. Overlay网络出现问题,怎么关联物理网络与虚拟网络?
基于物理设备的Underlay网络承载其上的Overlay网络,当Overlay网络出现问题时,需要快速定位承载其运行的物理设备是否出现异常,反之亦然。DeepFlow提供对VxLAN、GRE等隧道技术的解封装能力,并进一步关联承载隧道的物理网络,实现Overlay网络与Underlay网络关联的可视化。
客户案例
平安领衔金融云
DeepFlow 为平安云打造了一体化的网络数据平台,为平安云的运维和运营提供云网络可视化与分析、网络监控和网络安全。平安云将利用 DeepFlow 对虚拟化网络的细粒度控制能力,进一步打造网络大数据平台,为云平台网络的稳定和安全保驾护航,让网络变得更加稳定、安全和智能。
资源细化,最优分配
实时监测带宽、虚拟机等资源状态,合理调配、及时回收,最大化业务资源价值,提供详细计量报表,支撑业务创新,推动用户决策。
1. 出售云中租户带宽,难以说服客户购买更多资源?
数据中心希望客户购买更多网络带宽,但客户往往在业务出现网络瓶颈之后才考虑购买,并且对需要购买的带宽总量缺乏认识。DeepFlow提供对数据中心租户带宽使用情况的详细统计及趋势分析,帮助数据中心提供给客户需要扩容的详细量化数据,影响最终客户购买决策。
2.虚拟机资源宝贵,如何发现空置的虚拟机资源?
虚拟机由于其灵活开通、删除、迁移的特性,在一些客户中出现了虚拟机空置的现象。DeepFlow可通过网络角度判断特定虚拟机是否在承载业务工作量,帮助用户及时收回宝贵的虚拟机资源。
3. 不同ISP专线接入,能不能实现业务创新?
数据中心采购的ISP资源往往价格存在很大差别,在没有精细化计量手段时,往往粗放地按照带宽计费,没有体现不同ISP资源的差异,造成资源浪费。DeepFlow提供精细的南北向流量计量手段,使得数据中心可按不同ISP带宽、不同流量使用情况分别计费,实现业务创新。同时调配数据中心带宽资源,实现资源的最优配置。
4. 每个月都需要总结运营情况报表,有没有人能代劳?
网络和业务部门往往需要定期对业务运营情况汇总。DeepFlow可按用户定义的时间周期汇总周期内网络资源使用情况,详细描述汇报对象的网络使用情况,并提供EXCEL、PDF、CVS等多种文件格式导出。
5. 带宽采购成本均摊至业务,业务收益核算不准确?
云中运行的各项业务需要进行成本核算,以计算业务收益。但没有精细计量时,网络成本往往按照均摊的方式折算入各业务成本。DeepFlow提供灵活的业务定义及划分,并在此基础上提供网络流量的精细化计量,完成业务网络成本的准确核算,实现对业务收益的正确认知。
客户案例
亚洲首个T4等级的数据中心 国科数据中心
DeepFlow 为国科数据中心“国科云”提供了开放的网络架构方案。首先从根本上避免了对网络设备的绑定,未来的扩容发展完全自主可控;同时依托 SDN,将虚拟和物理计算资源、存储资源和安全资源,通过灵活组网交付给用户,支撑复杂及核心的企业级业务部署。
保障策略,持续验证
对齐复杂的安全策略和实际网络状态,持续验证策略符合用户最终的安全意图,自定义安全资源组,填补虚拟网络安全空白。
1. 安全策略复杂,安全策略是否失效不敢打包票?
安全策略往往只增不减,但是否所有策略仍在生效并无统一验证手段。DeepFlow提供安全白名单验证机制,用户可按IP地址、业务角色、资源组等方式划分网络资源,并依照意图设定白名单安全策略。DeepFlow在流量采集之后,会持续进行分析验证,一旦发现违反白名单策略的流量,即可认为安全策略失效。
2. 外部攻击频发,大数据能不能帮上忙?
DDos类攻击已呈愈演愈烈的形势。为保证业务安全,DeepFlow提供基于历史流量数据的大数据NBAD安全分析,建立历史流量模型,快速识别攻击模式,在攻击发生之前预警,提供“医于未病”的防护能力。
3. 内部虚拟机感染为肉鸡,如何在造成破坏前发现?
内部虚拟机被恶意程序感染,在内网往往可以造成更大的破坏。DeepFlow实时监控全网东西向流量,并基于NBAD大数据安全分析,能够识别端口扫描、ARP欺骗、暴力破解、多种Dos攻击等网络恶意行为,迅速识别被感染的虚拟机。
4. 保存敏感信息的虚拟机到底有没有被访问?
敏感信息的安全是上云之后企业用户普遍担忧的问题。往往在设置了安全策略之后,缺乏足够的信心。DeepFlow从最底层的网络流量角度,描述保存敏感信息的虚拟机内外网的全部网络行为,不放过任何可疑行为,确保数据安全。
5. 有恶意访问出现,我的安全策略有没有起作用?
当恶意访问出现时,用户需要判断安全策略有没有生效。DeepFlow可以识别防护对象对恶意访问有没有给出回应,如果有,给出了怎样的回应。以此可以判定网络管理员设定的安全策略有没有产生真实的防护作用。
客户案例
亚洲首个T4等级的数据中心 国科数据中心
DeepFlow 为国科数据中心“国科云”提供了开放的网络架构方案。首先从根本上避免了对网络设备的绑定,未来的扩容发展完全自主可控;同时依托 SDN,将虚拟和物理计算资源、存储资源和安全资源,通过灵活组网交付给用户,支撑复杂及核心的企业级业务部署。