虛擬化無疑是在過去十年最大的一個(gè)計(jì)算趨勢(shì)。通過分離不同計(jì)算平臺(tái)元素，越來越多的企業(yè)用戶已經(jīng)破除了“一個(gè)應(yīng)用程序，一個(gè)服務(wù)器”的模式，轉(zhuǎn)移到了虛擬機(jī)，以便充分實(shí)現(xiàn)服務(wù)器和工作人員的潛力。忽視虛擬化的益處，在任何競(jìng)爭(zhēng)性行業(yè)都不是一種選擇。

不幸的是，事實(shí)上，許多虛擬機(jī)在一臺(tái)服務(wù)器上處理流量有一個(gè)很大的缺點(diǎn)：流量能見度。很多的概念使得虛擬化試圖跟蹤數(shù)據(jù)包或者分析數(shù)據(jù)流，以了解如何在任何給定的時(shí)間網(wǎng)絡(luò)的表現(xiàn)成為一個(gè)問題。

在許多部署了虛擬化的數(shù)據(jù)中心，缺乏安全和性能的可視性。例如，當(dāng)一個(gè)主要的性能問題在關(guān)鍵型任務(wù)網(wǎng)絡(luò)應(yīng)用程序發(fā)生時(shí)。通過做出正確的網(wǎng)絡(luò)架構(gòu)選擇，管理員可以實(shí)現(xiàn)虛擬化帶來的商業(yè)利益，滿足數(shù)據(jù)包級(jí)別的可視性需求。

虛擬的盲點(diǎn)剖析

在傳統(tǒng)的網(wǎng)絡(luò)，流量分析是使用TAP進(jìn)軍網(wǎng)絡(luò)段，或通過使用端口鏡像SPAN，并在同一子網(wǎng)中的服務(wù)器之間的數(shù)據(jù)流中捕獲數(shù)據(jù)包，以相當(dāng)簡(jiǎn)單的方式進(jìn)行分析。

但是，在一個(gè)虛擬的世界，這種模式打破了。在虛擬化環(huán)境中，數(shù)據(jù)可能永遠(yuǎn)不會(huì)通過一個(gè)物理交換機(jī)或網(wǎng)絡(luò)，而是留在同一個(gè)物理主機(jī)，使得監(jiān)測(cè)變得困難。通過虛擬適配器到達(dá)虛擬交換機(jī)和備份的流量，無需再次提供一個(gè)地方來監(jiān)控流量。

許多企業(yè)往往在IT部門認(rèn)識(shí)到可視化的缺失所帶來的網(wǎng)絡(luò)危機(jī)前，經(jīng)歷過這方面的損失。安全團(tuán)隊(duì)可能沒有意識(shí)到惡意安全事件，直到他們無法在同一個(gè)物理主機(jī)上的監(jiān)控到從虛擬機(jī)到虛擬機(jī)的流量。如果沒有這種可視化，就無法對(duì)惡意攻擊進(jìn)行檢測(cè)和調(diào)查，以確定受到損害的資源，采取糾正措施并預(yù)防未來的惡意攻擊。由于無法在虛擬數(shù)據(jù)中心看到發(fā)生了什么事，這創(chuàng)造了虛擬盲點(diǎn)。

由于虛擬化是一種成熟的技術(shù)，而且?guī)�來的投資回報(bào)率如此之快，在實(shí)現(xiàn)快速部署虛擬化的過程中可能沒有重視盲點(diǎn)問題，甚至是根本就沒有認(rèn)識(shí)到有虛擬盲點(diǎn)。具有諷刺意味的？？是，虛擬化的模式應(yīng)該比物理基礎(chǔ)設(shè)施監(jiān)控得更加緊密，因?yàn)槠湓O(shè)計(jì)的前提便是盡可能的在底層硬件運(yùn)行。

優(yōu)化網(wǎng)絡(luò)結(jié)構(gòu)

虛擬化供應(yīng)商及第三方提供可視化和主機(jī)內(nèi)的虛擬機(jī)流量迅速加強(qiáng)。市場(chǎng)上已經(jīng)有了引進(jìn)虛擬網(wǎng)絡(luò)之類的服務(wù)，使用現(xiàn)有的成熟的監(jiān)測(cè)技術(shù)是可行的，可以同時(shí)看到物理和虛擬基礎(chǔ)設(shè)施。這使得管理員能夠繼續(xù)使用他們當(dāng)前的監(jiān)控工具和相關(guān)專業(yè)知識(shí)，節(jié)省了大量的時(shí)間和金錢的投資。

使用的VMware vSphere 5.x中的vSphere分布式交換機(jī)（VDS），利用端口鏡像可以提供可視化和虛擬加密流量的能力，在本質(zhì)上，這個(gè)交換機(jī)出現(xiàn)的流量就如同它來自一個(gè)物理交換機(jī)。其他虛擬化供應(yīng)商，如思科還可以從虛擬環(huán)境中提供數(shù)據(jù)包級(jí)數(shù)據(jù)。

然而，獲得數(shù)據(jù)包級(jí)數(shù)據(jù)只是成功的一半。對(duì)于端到端的能見度包括物理和虛擬基礎(chǔ)設(shè)施，來著VDS的流量必須被過濾和分析。這樣企業(yè)才能對(duì)其安全性能進(jìn)行全面的監(jiān)控，獲得準(zhǔn)確的數(shù)據(jù)包流，進(jìn)而在正確的時(shí)間從事他們需要做好的工作。

世界上許多大型的數(shù)據(jù)中心均有投資在網(wǎng)絡(luò)監(jiān)控交換機(jī)：一種新興的技術(shù)，智能地連接數(shù)據(jù)中心網(wǎng)絡(luò)的監(jiān)視工具。就像在物理網(wǎng)絡(luò)，過濾和負(fù)載均衡的數(shù)據(jù)包發(fā)送到虛擬環(huán)境的分析工具是至關(guān)重要的，網(wǎng)絡(luò)監(jiān)控交換機(jī)的工作是為每個(gè)網(wǎng)絡(luò)工具提供準(zhǔn)確的需要分析的數(shù)據(jù)。

這反過來又提高了數(shù)據(jù)中心整體工作效率，通過運(yùn)行監(jiān)測(cè)工具，運(yùn)行更有效和更準(zhǔn)確。其他益處包括解決TAP和SPAN端口不足；直觀的管理界面，使管理員可以拖放流量工具，而不用命令行界面（CLI）腳本，并能適應(yīng)未來發(fā)展的投資工具和基礎(chǔ)設(shè)施升級(jí)到更高速度的網(wǎng)絡(luò)。

從物理機(jī)到虛擬端口鏡像轉(zhuǎn)移的過程中仍然存在的一個(gè)問題便是冗余數(shù)據(jù)包的生成。就像一個(gè)物理SPAN，端口鏡像虛擬流量很可能包含重復(fù)的數(shù)據(jù)包。為了解決這些問題，領(lǐng)先的網(wǎng)絡(luò)監(jiān)控交換機(jī)提供線速數(shù)據(jù)包重復(fù)數(shù)據(jù)刪除和數(shù)據(jù)包微調(diào)。包微調(diào)導(dǎo)致更有效的監(jiān)測(cè)和刪除敏感負(fù)載，如用戶信息，在將數(shù)據(jù)傳送到監(jiān)控工具之前，增強(qiáng)了安全性。

虛擬化提高了IT業(yè)務(wù)能力和靈活性。然而，它也帶來了新的挑戰(zhàn)：無法獲得關(guān)鍵的數(shù)據(jù)包級(jí)網(wǎng)絡(luò)流量的可視性。但是，通過使用正確的網(wǎng)絡(luò)架構(gòu)，包括網(wǎng)絡(luò)監(jiān)控交換機(jī)，管理員可以實(shí)現(xiàn)虛擬化的諸多益處，同時(shí)還實(shí)現(xiàn)端到端的可見性和保護(hù)他們現(xiàn)有的監(jiān)測(cè)工具投資。