經(jīng)過(guò)十多年的發(fā)展，企業(yè)在IT基礎(chǔ)設(shè)施以及云原生的業(yè)務(wù)應(yīng)用上穩(wěn)步推進(jìn)。上云業(yè)務(wù)規(guī)模增加，混合云中網(wǎng)絡(luò)變得更為復(fù)雜，企業(yè)對(duì)業(yè)務(wù)安全的訴求、行業(yè)主管部門(mén)監(jiān)管的要求有增無(wú)減。

為什么混合云需要全網(wǎng)流量

在混合云環(huán)境，企業(yè)的業(yè)務(wù)運(yùn)行在邏輯網(wǎng)絡(luò)中，同樣面臨網(wǎng)絡(luò)性能分析、網(wǎng)絡(luò)問(wèn)題定位及排障、網(wǎng)絡(luò)安全管理、合規(guī)審計(jì)、網(wǎng)絡(luò)擴(kuò)展等問(wèn)題。獲取完整的網(wǎng)絡(luò)流量是解決上述問(wèn)題的前提。獲取并管理好現(xiàn)網(wǎng)監(jiān)控流量并不是一件輕松的事情。在云環(huán)境下，選擇網(wǎng)絡(luò)流量采集方案需要考慮流量獲取的方式、環(huán)境中的流量模型、規(guī)模及可管理性、對(duì)現(xiàn)網(wǎng)環(huán)境的影響、平臺(tái)開(kāi)放性。目前獲取虛擬交換機(jī)流量的技術(shù)方案有以下幾種，企業(yè)可根據(jù)自身IT環(huán)境的實(shí)際情況進(jìn)行靈活部署。

1)在虛擬機(jī)或工作負(fù)載(Workload)中安裝采集探針，從操作系統(tǒng)層抓取流量信息。此方案探針部署規(guī)模大，且需要獲取虛擬機(jī)根(Root)權(quán)限。

2)通過(guò)在虛擬交換機(jī)(OVS：Open vSwitch、VDS：vSphere Distributed Switch、VSS：Virtual Standard Switch)上配置鏡像或廣播策略，將所需流量引出。該方案需要對(duì)生產(chǎn)平面的虛擬交換機(jī)進(jìn)行配置。

3)在宿主機(jī)Hypervisor(如 Openstack Hypervisor)上安裝采集探針，以用戶(hù)態(tài)進(jìn)程形式獨(dú)立獲取虛擬交換機(jī)上的流量。該方案無(wú)需對(duì)生產(chǎn)平面的虛擬交換機(jī)進(jìn)行配置。

混合云環(huán)境中，網(wǎng)絡(luò)規(guī)模宏大且資源池類(lèi)型繁多，虛擬交換機(jī)采集點(diǎn)數(shù)量相比傳統(tǒng)監(jiān)控規(guī)模有幾個(gè)數(shù)量級(jí)的增長(zhǎng)。在構(gòu)建整體采集方案時(shí)，企業(yè)應(yīng)充分考慮IT資源的多樣性，采集平臺(tái)應(yīng)該分階段進(jìn)行建設(shè)，尤其要注意確保方案具備擴(kuò)展和統(tǒng)一管理能力。單一的生產(chǎn)環(huán)境在企業(yè)中并不多見(jiàn)，在進(jìn)行流量采集部署時(shí)，需要滿(mǎn)足平滑部署且保證業(yè)務(wù)不間斷，同時(shí)確保對(duì)計(jì)算資源和網(wǎng)絡(luò)帶寬的消耗限制。

全網(wǎng)流量采集與分發(fā)方案

多數(shù)大型企業(yè)目前都存在多數(shù)據(jù)中心、混合云的IT設(shè)施資源，從網(wǎng)絡(luò)的角度看，自有的數(shù)據(jù)中心通過(guò)專(zhuān)有網(wǎng)絡(luò)互聯(lián)，并劃分業(yè)務(wù)區(qū)，并且有可能存在多個(gè)分支機(jī)構(gòu)網(wǎng)絡(luò)。為保障資源彈性，業(yè)務(wù)快速上線等，也大量使用公有云資源，選擇多個(gè)云服務(wù)商。企業(yè)從運(yùn)維排障、運(yùn)營(yíng)管理、業(yè)務(wù)性能等方面都需要對(duì)網(wǎng)絡(luò)有全面清晰的畫(huà)像。

本方案的目標(biāo)是為企業(yè)混合云建立統(tǒng)一高效的網(wǎng)絡(luò)流量采集及分發(fā)平臺(tái)，面對(duì)各類(lèi)資源池實(shí)現(xiàn)統(tǒng)一的流量采集抽象層，并且能對(duì)流量實(shí)現(xiàn)過(guò)濾、去重、壓縮、截短等處理功能，支持IPv4、IPv6協(xié)議環(huán)境，能為網(wǎng)絡(luò)運(yùn)營(yíng)中心、安全運(yùn)營(yíng)中心、大數(shù)據(jù)分析平臺(tái)等多方流量消費(fèi)端提供數(shù)據(jù)供給。

數(shù)據(jù)中心側(cè)

實(shí)現(xiàn)全網(wǎng)流量采集及處理，可以從區(qū)域以及資源池來(lái)規(guī)劃，數(shù)據(jù)中心可按區(qū)域來(lái)定義，區(qū)域內(nèi)通常包含多個(gè)可用區(qū);區(qū)域內(nèi)的網(wǎng)絡(luò)流量包含可用區(qū)內(nèi)的物理網(wǎng)絡(luò)流量和資源池內(nèi)的虛擬網(wǎng)絡(luò)流量。在物理網(wǎng)絡(luò)中，采集點(diǎn)通常由設(shè)備廠商的監(jiān)控方案實(shí)現(xiàn)。DeepFlow® 采集器可對(duì)接設(shè)備廠商方案的標(biāo)準(zhǔn)數(shù)據(jù)輸出。各類(lèi)型號(hào)的DeepFlow® 采集器為全網(wǎng)流量采集方案提供數(shù)據(jù)包捕獲能力;按部署方式分為VMware ESXi采集器、KVM采集器、KVM-DPDK采集器、HyperV采集器、容器OnVM采集器、容器OnHost采集器、Workload采集器等。

公有云側(cè)

公有云為租戶(hù)提供VPC網(wǎng)絡(luò)，Workload采集器以用戶(hù)態(tài)的軟件形式部署在虛擬機(jī)、容器、裸金屬設(shè)備等Workload上，支持Linux、Windows等主流操作系統(tǒng)，實(shí)現(xiàn)VPC內(nèi)各類(lèi)資源的網(wǎng)絡(luò)流量采集。由于部署安裝在Workload操作系統(tǒng)上，采集器數(shù)量多，可以通過(guò)鏡像進(jìn)行預(yù)裝。

控制管理側(cè)

由于采集器數(shù)量大、策略多，波動(dòng)強(qiáng)，需從控制面設(shè)計(jì)入手，解決大規(guī)模及可管理性的問(wèn)題。在多點(diǎn)的部署環(huán)境中，首先指定主區(qū)域(Region)，主控制器存在于主區(qū)域中，當(dāng)啟動(dòng)主控制器高可用功能，主區(qū)域內(nèi)應(yīng)部署多臺(tái)控制器，通過(guò)心跳保證控制器間的狀態(tài)同步，及時(shí)啟動(dòng)主、備控制器選舉。選舉產(chǎn)生主控制器后，為整體流量管理平臺(tái)提供控制入口。除主區(qū)域外的其他區(qū)域控制器為從控制器，不參與主控制器選舉。在云環(huán)境、容器環(huán)境中，控制器通過(guò)對(duì)接虛擬化資源池、配置管理數(shù)據(jù)庫(kù)、公有云開(kāi)放API等，可實(shí)現(xiàn)多粒度下發(fā)采集、分發(fā)策略，更靈活、更貼近業(yè)務(wù)應(yīng)用。

控制器完全控制采集器狀態(tài)，各類(lèi)采集器具備相同狀態(tài)機(jī)機(jī)制，各類(lèi)型的采集器可能處于自檢、運(yùn)行、停止、異常、保護(hù)等幾種狀中，其中保護(hù)狀態(tài)，是確保采集器工作時(shí)，平臺(tái)能對(duì)其使用CPU、內(nèi)存資源使用上限的限定。當(dāng)采集器壓力過(guò)大時(shí)，采集器狀態(tài)將由“運(yùn)行”切換至“保護(hù)”狀態(tài)，以確保不對(duì)生產(chǎn)環(huán)境產(chǎn)生影響，直至重新調(diào)整資源配置或處理壓力下降，切回至“運(yùn)行”狀態(tài)。

此外，單一DeepFlow® 控制器可管理2000個(gè)采集器，通常能夠滿(mǎn)足一個(gè)可用區(qū);控制器最大支持50臺(tái)的規(guī)模，方案整體可滿(mǎn)足10萬(wàn)臺(tái)采集器統(tǒng)一管理，足以應(yīng)對(duì)大型企業(yè)私有IT、公有云、容器等網(wǎng)絡(luò)流量采集需求。

基于分布式的監(jiān)控流量處理

不同于集中式后處理的方案，DeepFlow® 采集器具備專(zhuān)利算法的前置計(jì)算能力可在采集點(diǎn)對(duì)流量進(jìn)行直接處理。眾多采集器和控制器共同構(gòu)建成一個(gè)與云網(wǎng)規(guī)模一致的分布式流量處理系統(tǒng)，大幅減少了分發(fā)數(shù)據(jù)對(duì)監(jiān)控網(wǎng)絡(luò)和后端分析工具的壓力。通過(guò)各類(lèi)型的采集器實(shí)現(xiàn)流量采集處理抽象層，主要對(duì)數(shù)據(jù)包處理能力進(jìn)行抽象，包括過(guò)濾、去重、數(shù)據(jù)包截短、壓縮、特征標(biāo)記等功能。

高性能網(wǎng)絡(luò)時(shí)序數(shù)據(jù)訂閱服務(wù)

對(duì)于非原始數(shù)據(jù)包的數(shù)據(jù)消費(fèi)需求，平臺(tái)提供開(kāi)放的數(shù)據(jù)訂閱方式。處理后的包頭，網(wǎng)絡(luò)元數(shù)據(jù)、遙測(cè)統(tǒng)計(jì)數(shù)據(jù)通過(guò)網(wǎng)絡(luò)平面匯總至高性能時(shí)序數(shù)據(jù)庫(kù)中，可通過(guò)API，消息隊(duì)列為其他數(shù)據(jù)消費(fèi)平臺(tái)調(diào)用。

部署

整體方案主要涉及采集器、控制器、高性能時(shí)序數(shù)據(jù)庫(kù)三部分，在完成規(guī)劃整體方案后，可分區(qū)域、分資源池按階段投入建設(shè)，最終為企業(yè)混合云IT基礎(chǔ)設(shè)施環(huán)境構(gòu)建統(tǒng)一的流量監(jiān)控管理平臺(tái)。對(duì)于已經(jīng)運(yùn)行的混合云環(huán)境，可以在不影響生產(chǎn)環(huán)境運(yùn)行的情況下部署實(shí)施，網(wǎng)絡(luò)規(guī)劃上將 DeepFlow® 平臺(tái)所涉及的管理、監(jiān)控分發(fā)平面復(fù)用在已有的網(wǎng)絡(luò)平面中，通?？梢詮?fù)用已有的網(wǎng)絡(luò)管理平面。對(duì)于整體規(guī)劃的方案，建議對(duì)整體混合云規(guī)劃獨(dú)立的網(wǎng)絡(luò)監(jiān)控平面，對(duì)混合云的監(jiān)管流量統(tǒng)一、獨(dú)立地進(jìn)行管理。根據(jù)流量、資源情況整體規(guī)劃采集器的性能，DeepFlow® 采集器最低可配置1vCPU、128M的計(jì)算資源。

與傳統(tǒng)方案比較

采集技術(shù)先進(jìn)：全網(wǎng)采集方案主要圍繞 DeepFlow® 采集器技術(shù)實(shí)現(xiàn)，采集器以進(jìn)程形態(tài)部署，最大程度上避免對(duì)生產(chǎn)交換平面的干擾，不存在與生產(chǎn)平面交換機(jī)流表沖突的風(fēng)險(xiǎn)，同時(shí)在操作系統(tǒng)上繼承進(jìn)程級(jí)保護(hù)優(yōu)勢(shì)，實(shí)現(xiàn)整體系統(tǒng)穩(wěn)定。

分布式系統(tǒng)：采集到數(shù)據(jù)包后避免集中處理，采用分布式架構(gòu)，采集點(diǎn)分布處理控制器集中管理。

場(chǎng)景全規(guī)模大：整體方案是基于分布式設(shè)計(jì)模型以及多地域管理，可以充分保障資源池規(guī)模彈性擴(kuò)展，整體系統(tǒng)可管理 10 萬(wàn)臺(tái)采集器，涵蓋虛擬機(jī)、容器、公有云資源池。

可管理性：平臺(tái)主控制器具備對(duì)所有采集器的監(jiān)控和管理能力。通過(guò)對(duì)接云平臺(tái)使得操作貼近資源池特性，針對(duì)云資源的遷移、回收、重新部署等場(chǎng)景做到了實(shí)時(shí)策略跟隨，保障采集能力在動(dòng)態(tài)環(huán)境下的持續(xù)執(zhí)行。

數(shù)據(jù)服務(wù)：數(shù)據(jù)服務(wù)是將流量采集與后端平臺(tái)對(duì)接的重要環(huán)節(jié)，完整流量數(shù)據(jù)包多目的地分發(fā)，高性能網(wǎng)絡(luò)時(shí)序數(shù)據(jù)庫(kù)通過(guò)API、ZeroMQ、Kafka等消息隊(duì)列提供流數(shù)據(jù)服務(wù)。同時(shí)也將采集與后端各類(lèi)分析工具解耦，避免流量采集器局限在僅為單一工具服務(wù)的豎井中。

總結(jié)

DeepFlow® 混合云全網(wǎng)監(jiān)控流量采集與分發(fā)解決方案為企業(yè)在混合云、云原生等新型IT基礎(chǔ)設(shè)施環(huán)境演進(jìn)過(guò)程中，提供完整地、可持續(xù)的平臺(tái)級(jí)監(jiān)控流量管理，避免重復(fù)投入，重復(fù)安裝，解決實(shí)際網(wǎng)絡(luò)監(jiān)管難題，也為企業(yè)規(guī)劃整體運(yùn)維、安全平臺(tái)補(bǔ)齊現(xiàn)網(wǎng)流量、流日志這一板塊。本方案已應(yīng)用于金融、運(yùn)營(yíng)商等客戶(hù)IT環(huán)境中。