现代Overlay网络的监控方法(3)

在最后这个文章中,我们将解释一些监控现代overlay网络的不同方法。所有供应商都在谈论安全性,每个人都提供很酷的软件工具来分析您可以考虑的任何威胁。问题只在于将正确的流量传输到相关设备。仅点击和删除基础网络报头是不够的,也不能解决问题,因为overlay是高度动态的,并且在第二层透明overlay网络中,您很可能会有重复的IP范围。这种隧道信息的移除会导致错误的结果,并且在动态隧道的情况下,可见性工具必须跟随数据中心的overlay网络。需要动态隧道过滤-需要解码信令和路由业务。带内信令和解码是未来可见性的必备条件。

每个网络基础设施对网络监控解决方案有不同的要求。有几种工具和解决方案可用,因此必须仔细选择合适的解决方案。优化的解决方案提供了更好的网络控制和更好的性能。

让我们来看看Cubro提供的三种不同的解决方案设计。

解决方案1:

  • 移除并关联路径上的流
  • 基于底层传输信息的流关联
  • 基于BGP的流路合并
  • 丰富带内交换机遥测数据
  • 使用开关表信息丰富数据

网络路径

现在已经确定了受物理网络中断影响的应用程序和主机,SDDC管理员可以通过选择终端节点来查看VM到VM的流量被封装在哪里,并可以具体查看流量经过了哪些物理网络设备。

现在,SDDC管理员可以确定路径中的哪些网络设备是导致应用程序性能问题的原因。

下图显示了VM到CM通信中涉及的网络设备接口。

对于中继跟踪通信的接口,将显示以下信息:

  • 该接口上的相对业务量占其标称容量的百分比
  • 在当前平均数据包大小下可维持的最大数据包速率接口上的相对数据包

速率

  • 在选定的时间间隔内,通过此接口在每个方向上通过的字节总数
  • 在选定的时间间隔内,通过此接口在每个方向上通过的数据包总数

路径信息不仅适用于日期中心内的VM至VM(东西流量),也适用于VM至网关(南北流量)。此功能可用于识别网络拥塞和异常活动,例如数据泄露。

解决方案2:

另一种可能的选择是动态VXLAN过滤。这个方案不像方案1那么完美,但是可以重用“旧的”监测设备。可以重新调整旧设备的用途,因为动态VXLAN过滤将确保只过滤出来自相关overlay的流量并将其发送到传统监控工具。

挑战在于,只有少数NPB能够进行VXLAN过滤。第二个问题是,这必须动态完成。因此,某些信令协议必须由数据包代理或外部设备解码。这将我们引向我们的第三个解决方案-Cubro Cloud Switch(CCS)。

解决方案3:

最先进的解决方案是使用Cubro Cloud Switch,因为CCS结合了高级交换结构和可视化结构。 下图显示了使用CCS时的转换。

Cubro Cloud Switch在第2层到第7层提供切换功能,同时提供可视化。因为包转发是在硬件中完成的,交换机基础设施知道微服务在哪里运行,并且可以复制相关的流量,并通过交换机基础设施将其发送到探测系统(虚拟/真实)。

该解决方案是Cubro设计基于Sonic的高性能硬件云交换机。Cubro Cloud Fabric提供安全、可扩展的网络可见性解决方案,可简化网络工程师的工作。

 

阅读之前相关文章:

现代overlay网络的监控方法(1)

现代overlay网络的监控方法(2)