虛擬網絡的流量采集與分析

云和容器等虛擬化技術越來越普及,同時帶來一些技術性問題。例如虛擬網絡的流量采集和分析是不是和物理網絡的相同?

1、虛擬網絡與物理網絡

虛擬網絡和物理網絡的工作原理基本相同,只在很少的地方存在差異。

以上是虛擬網絡和物理網絡相同或相似之處,很多地方只是換了個名字。

另外,通過真實的物理服務器NIC和電纜,承載虛擬交換機的物理主機被連接到物理網絡,這在虛擬基礎設施中被稱為“上行鏈路”。

相對來說,虛擬網絡與物理網絡的異同之處非常少。那么物理網絡的流量采集能否用于虛擬網絡呢?

2、虛擬網絡的流量采集

事實上,跟物理網絡基礎設施中一樣,虛擬網絡中也可以用SNMP或NetFlow來收集跨基礎設施的多個點的數據。下面是四種常見的流量采集技術和優缺點。

不同的采集技術對應的分析方法也不同,適用情況也不同,所以要謹慎選擇。其中SNMP和NetFlow是目前使用最廣泛的。

虛擬網絡流量的采集方式一般來說有以下三種:

  • 策略采集。由控制節點接收用戶指令后,對虛擬網元(一般是虛擬交換機)下發采集策略,將流量通過隧道或其他形式轉發至分析節點,完成虛擬流量采集。一般多見于SDN網絡環境。優點:由控制節點中心化控制,策略下發靈活;可依據業務需求實現細粒度按需采集;對hypervisor系統沒有依賴。 缺點:采集策略有可能存在與業務策略的沖突;全量采集需要下發的策略數目大,管理難度高;增加虛擬網元壓力,采集流量無壓縮,帶寬占用高。
  • 網元采集。由虛擬網元(一般是虛擬交換機)直接提供虛擬流量鏡像能力。用戶可通過調用對應的API實現虛擬流量的采集能力。一般多見于成熟的商用整體網絡解決方案。與策略采集不同,網元采集的粒度及靈活度多受限于網元接口API開放出來的能力。 優點:直接調用虛擬網元相關接口API,實現簡單;無策略沖突隱患;部署簡易。缺點:受限于接口API的粒度,無法自行實現細粒度控制;影響虛擬網元性能。
  • 代理采集。在hypervisor上運行agent代理,同時啟動專用的流量分析虛擬機。Agent接收控制節點的指令,完成網絡配置,將流量導入流量分析虛擬機,完成流量采集。與策略采集方案的不同之處在于,虛擬網元的配置不直接由控制器完成,并且采集的流量毋須通過隧道等方式發送,而是直接進入本地虛擬機,減少網絡帶寬的占用。優點:控制節點毋須管理大量的采集策略,減輕控制節點壓力;流量由本地轉發至分析節點(虛擬機),不占用生產網絡帶寬;可實現細粒度流量采集;在本地完成去重、截斷、脫敏等工作,確保數據安全。缺點:采集策略可能存在與業務策略的沖突;虛擬機會占用一部分計算、存儲和管理資源;Agent部署存在對hypervisor環境的依賴。

 3、虛擬網絡的流量分析 

虛擬網絡的流量分析非常復雜,這里僅做簡要介紹,暫不做過多分析。

一、使用NetFlow的虛擬網絡流量分析

使用NetFlow收集數據后,通過網絡性能管理和監控工具來分析這些數據。 常見的網絡性能監控工具包括What’s Up Gold和Solarwinds Orion,常見的NetFlow收集器和分析器包括Plixer Scrutinizer和Solarwinds NetFlow Traffic Analyzer。 如果你使用的是vSphere5之前的版本,你將無法利用NetFlow來監控虛擬基礎設施。然而,當你部署vSphere5之后(假設你使用的是vSphere分布式交換機版本),你可以在單個dvPort(分布式虛擬端口)或上行鏈路中,在端口組啟用NetFlow v5。這樣操作后,你就能夠監控以下內容:

  • 主機內虛擬機流量(同一主機上虛擬機到虛擬機的流量)
  • 主機間虛擬機流量(不同主機上虛擬機到虛擬機的流量)
  • 虛擬機到物理基礎設施的流量

二、通過數據包解碼的虛擬網絡流量分析

如果你想從虛擬網絡來進行數據包解碼呢?為了在物理網絡進行深度數據包檢測(DPI),你需要將協議分析器(例如,在筆記本電腦上運行的分析器)連接到交換機端口,然后配置SPAN(或者RSPAN,如果流量在不同的交換機上)來從單個交換機端口、多個端口或整個VLAN映射流量?,F在,大多數數據中心的服務器都被虛擬化了,很多流量甚至都不會經過物理網絡,所以傳統數據包捕捉方法只有在某些情況下適用,例如分析互聯網連接或者到iSCSI SAN的連接。

在vSphere之前,使用虛擬基礎設施,你在虛擬機上運行協議分析器,創建一個新端口組,并將其配置為混雜模式(使所有數據包發送到所有端口),然后將這個你想要分析的虛擬機轉移到該端口組(出于安全考慮,你不會想在生產端口組啟用混雜模式)。在vSphere Enterprise Plus版中,端口鏡像功能讓你可以快速簡單地鏡像任何dvPort到另一個端口,或者你可以選擇一個VLAN來封裝這些鏡像數據包,這可以通過在配置分布式虛擬交換機端口鏡像時勾選“封裝VLAN”框來實現。在被啟用后,端口鏡像將提供以下可視性:

  • 主機內虛擬機流量(同一主機上虛擬機到虛擬機的流量)
  • 主機間虛擬機流量(不同主機上虛擬機到虛擬機的流量)

當你的服務器被虛擬化后,分析和解決網絡故障與在物理網絡的物理服務器中執行相同的任務并沒有太大區別。根據你需要的詳細信息程度不同,你有兩種不同的方法來實現這一點。

對于高水平流量分析和瓶頸識別而言,使用NetFlow是***選擇,如果你想在虛擬基礎設施中執行深度數據包分析,你可以選擇使用協議分析器的端口鏡像方法。

文章轉載自公眾號 CIO進化論,作者 阿郎

發表評論