即使虚拟化和云计算具有不可否认的成本和可扩展性方面的优势, 但软件定义的云计算的弹性和动态化的特性也为企业组织的 IT 专业人员们带来了全新的挑战.
人工智能 + 区块链的发展趋势及应用调研报告
今天的 IT 企业组织正面临着前所未有的挑战. 企业内部的业务部门正继续要求其 IT 部门能够快速的提供各种创新的服务, 以迅速的应对来自外部的安全威胁和市场机遇. 而与此同时, 企业组织也在不例外地发布广泛的授权来进一步的削减支出预算. 在这些困难时期, 采用颠覆性的新兴技术无疑成为了帮助当今的 IT 企业组织提高效率, 并真正实现以更少的投入实现更多的产出的关键. 作为这些新兴技术中的突出代表, 云计算和虚拟化技术就属于这类创新技术, 其允许企业组织在增加 IT 服务交付的同时, 最大限度地提高资源利用率, 从而创建更加动态和灵活的基础架构.
通过简化服务器管理, 同时提高空间和用电效率, 虚拟化技术可以帮助企业组织节省大量的成本. 借助采用虚拟化技术, 企业可以比过去更加灵活. 例如, 在由 VMware 公司所提供的一系列案例研究中, 部署采用了虚拟化技术之后的企业实现了 IT 运营总体拥有成本降低 67%. 因此, 虚拟化技术的采用正在迅速的推进. 而且, 在当前的经济困难和不断要求削减成本的大背景下, 对于该技术的采用很可能会进一步的加速. 有公开报告估计, 凭借着虚拟化作为驱动技术标准, 5 年内, 全球云市场将超过 3000 亿美元.
即使虚拟化和云计算具有不可否认的成本和可扩展性方面的优势, 但软件定义的云计算的弹性和动态化的特性也为企业组织的 IT 专业人员们带来了全新的挑战. 尽管对于紧急需求的响应能力已经得到了大大的提高, 但所需诊断的问题和分析性能也变得更加复杂. 随着更多的应用程序数据的路径被笼罩在虚拟网络中, 使用传统的方法来管理和监视网络操作运营变得越来越困难. 企业的 IT 领导者和利益相关者们一直在努力获得可视化, 以维护和改进应用程序的性能, 并在这种新型的网络中实施企业对于相关监管法规政策的遵守, 同时进一步的充分利用虚拟化技术所带来的益处. IT 企业组织所面临的挑战是需要根据 "过份的夸张炒作" 来调整预期, 以便理解真实的价值和投资回报.
虚拟化技术为当前的 IT 企业组织提供了引人注目的益处. 从财务上看, 该技术通过在单台服务器上托管越来越多的虚拟机 (VM) 来实现容量利用率的最大化, 从而实现了成本节约, 管理的灵活性和业务敏捷性. 管理人员们只需按一下按钮, 就可以在几分钟内部署一台新的服务器, 并投入生产, 而且通常不会给企业组织带来任何成本. 但是, 随着工作负载和服务器变得虚拟化, 曾经用于监控, 分析和保护数据中心资产和网络流量的工具现在变得越来越 "隐形", 除了连接服务器的物理链接之外几乎无法看到. 曾经整体的, 大型二进制应用程序现在则分布于现代脚本语言, Java,APIs, 并通过 REST,JSON 和 Ruby 语音运行在分布式功能架构上. 对分布式应用程序体系架构的这种改变创造了越来越多的东西走向的流量处理应用程序调用, 并且大部分应用程序内流量也都在使用封装的覆盖网络. 随着虚拟化技术的进一步普及, 工具的可视化会降低.
主机内的流量
虚拟化正在服务器基础设施内造成盲点或无形网络. 由于跨软件定义的云基础架构的大量流量被封装在虚拟隧道终端上, 并且在很多情况下甚至没有触及物理网络, 所以虚拟机和网络管理员正在失去对这种通信的可见性和控制. 这种对于全面的可见性的缺乏正在导致寻求在虚拟化基础设施中结束复杂工作负载的 IT 专业人员们陷入沉默.
在虚拟化和云部署中, 安全性和合规性是首要考虑因素, 企业组织正在努力调节优先事项之间的竞争, 以虚拟化其操作运营环境, 同时仍满足现有的可视化要求.
因此, 当看到流量的可视化, 遵守合规性和对于数据安全的担忧一直位列企业对于云服务采用的顶级抑制阻碍因素之中就不足为奇了.
vMotion 技术
vSphere vMotion 技术是由 VMware 公司所开发的, 该技术可将正在运行的虚拟机从一台物理服务器实时迁移到另一台物理服务器. vMotion 技术通过连续自动优化虚拟机, 允许创建一个动态的, 自动化的, 自我优化的数据中心. 这项技术包括容错, 高可用性和灾难恢复功能, 是确保将停机中断时间降至最低的第一步. 但是, 随着这种灵活性的增强, 使得服务器基础架构的变化将随着全新的复杂层次的增加而发生变化. 为了有效监控这些环境, 管理人员需要确保监控可以无缝并自动更新以反映这些变化. 此外, 监控解决方案需要保持监控连续性和具备历史记录的功能, 以便管理员们可以更好地跟踪和评估这些问题, 并制定更好的策略. 当虚拟机重新分配时, 如果缺乏跟踪和监视这些 vMotion 事件的能力, 则最终的配置可能会对应用程序和服务的可用性和性能造成影响.
虚拟交换机 (vSwitch) 的功能
提供虚拟机 (VM) 交换连接的最常见方式是虚拟以太网桥接(VEB), 通常被称为 vSwitch.vSwitch 是一款与虚拟管理程序相关的软件组件, 其功能类似于提供入站 / 出站和虚拟机之间通信的第 2 层硬件交换机. 默认情况下, 每台虚拟机都可以通过简单的虚拟交换机与同一台主机上的其他的虚拟机进行直接的通信, 而不需要任何虚拟机间流量监控或基于策略的检查和过滤. 由 vSwitch 内部处理的主机内虚拟机流量不会传输物理网络. 许多位于虚拟服务器之外的基于网络的安全和监视设备都无法看到此通信.
因此, 将多台物理服务器整合到一款单一的虚拟服务器平台中, 会严重影响到将物理服务器迁移到虚拟服务器之前已经部署好的所有网络和应用程序, 防火墙入侵检测以及其他合规工具的监控. 简而言之, 传统的网络监控和安全措施可能无法有效的管理越来越多的虚拟机之间的流量, 从而使虚拟机非常容易受到攻击. 缺乏可视化会使得故障隔离和解决方法变得复杂, 甚至可能会消除将物理机迁移到虚拟机所带来的相关的成本节约.
在单台主机上的虚拟机间流量的可视化
随着企业的关键任务工作负载逐步迁移到虚拟服务器, 越来越多的关键网络流量在托管在同一主机上的虚拟机之间发生. 故而, 虚拟交换基础架构的可视化对于管理端到端的服务交付变得至关重要. 因此, 企业将需要一种解决方案, 该解决方案只将在同一主机上的虚拟机之间传输的数据流推送到外部监控工具, 而不会引起任何安全问题. 当前市场上已经有相关服务供应商的虚拟可视化架构节点通过提供智能化的过滤技术来满足企业客户的这些要求, 允许企业客户选择特定的虚拟机之间的流量流, 部署节点, 可以跨这些环境智能地检测, 选择, 过滤和执行本地 (或远程) 转发虚拟流量, 而不会对操作过程进行任何更改或为底层基础架构增加任何进一步的复杂性. 因此, 目前部署的监控和管理工具可用于分析使用包括 vSphere 分布式交换机 (VDS) 和思科 Nexus 1000V 在内的同类最佳虚拟交换机在虚拟基础架构上传输的流量.
通过 vMotion 进行维护
企业部署虚拟化技术所带来的好处是无懈可击的: 包括提高了灵活敏捷性, 可扩展性和成本节约等等. 然而, 其同时也为企业操作运营环境带来了监控方面的挑战难题 -- 包括复杂性, 缺乏可视性和控制力以及潜在的低效率. 为了有效监控这些环境, 企业的管理员们必须利用对这些自动化技术具有集成, 同步可视化的解决方案. 与 VMware vCenter 基础架构紧密集成, 同时利用 VMware 开放式 API, 相关服务供应商的结构节点可以跟踪 VMware 高可用性 (HA) 和分布式资源调度程序 (DRS) 群集环境中的敏捷性. 作为此支持的一部分, 可视化策略与受监控的虚拟机绑定, 并随着虚拟机在虚拟群集中在物理主机之间迁移而迁移. 通过基于标准的 API 对 vMotion 事件进行闭环反馈, 以及可实现可视性策略同步的自动化框架, 可以在灵活的虚拟基础架构中实现对监控和安全状态的无缝, 实时调整.
使用 VN-Link 在思科部署中实现可视化
除了分布式虚拟交换机之外, 思科还在为具有唯一 VN-Tag ID 的原始数据包添加标签后, 提供了将虚拟数据流转发到外部网络交换机的选项. 标签中最重要的组件是数据源和虚拟接口 (VIF) 目标 ID, 它们标识单个物理端口上的多个单独虚拟接口. 但是, 既然数据包已经被标签修改了, 主要的挑战是访问这个封装的流量, 而不会改变硬件或软件或浪费处理周期.
自适应数据包过滤 (Adaptive Packet Filtering) 实现了封装感知功能, 允许运营商基于 VN-Tag 源或目标 VIF_ID, 或内部 (封装) 的数据包内容过滤和转发传入的流量流. 对于不了解 VN-Tag 标头的监控和分析工具, 自适应数据包过滤还可以结合使用标头剥离, 在转发数据包之前删除 VN-Tag 标头. 相关服务供应商的技术所提供的高级处理功能提供了有条件地过滤和转发流量的灵活性, 并根据数据包中的特定内容交替剥离 VN-Tag 标头. 通过这些服务供应商的技术所提供的预处理功能, 网络和安全监控设备现在可以检测来自虚拟网络的流量来源, 而不会花费宝贵的资源.
图 1: 由物理交换机管理交换的 VN 标记的主机内流量
VN-Tag
VN-Tag 标准被提议作为替代解决方案来提供接入层扩展, 而无需扩展管理和 STP 域, 也无需实施端到端策略, 从而提高了虚拟化环境中的网络可视性 -- 特别是同一主机上的虚拟机到虚拟机的流量.
使用 VN-Tag, 在执行了必要的安全策略 (见下图) 后, 额外的 VN-Tag 标头将被添加到以太网帧中, 供 VN-Tag 识别的外部 (交换机) 设备使用, 以唯一标识 VIF 并转发数据. VN-Tags 因此提供虚拟网络感知, 允许将每个虚拟接口的单独配置看作是物理端口.
图 2: VN-Tag 作为附加标头被添加
这种方法完全消除了虚拟管理程序的任何交换功能, 并将其定位在与服务器物理上无关的外部硬件网络交换机中 -- 数据包交换与虚拟管理程序完全分离(请参见上图 1).
VN-Tags 的多功能性使这项技术能够应用于现有的物理网络基础设施. 例如, VN-Tag 可用于桥接扩展, 其中一个唯一标识标签插入到每个在思科架构扩展器和 Nexus 父交换机之间交换的帧中, 以唯一标识始发端口.
VN-Tag 的缺点之一是它们利用了对以太网帧的补充. 不了解 VN-Tag 的标准监控工具将完全不了解此流量, 因此无法使用. VN-Tag 还会增加主机服务器物理网络链路上的流量.
图 3:VXLAN 允许第 2 层虚拟网络跨越物理边界
来源: http://virtual.51cto.com/art/201805/573444.htm