不幸的是,事實(shí)上,許多虛擬機(jī)在一臺(tái)服務(wù)器上處理流量有一個(gè)很大的缺點(diǎn):流量能見(jiàn)度。很多的概念使得虛擬化試圖跟蹤數(shù)據(jù)包或者分析數(shù)據(jù)流,以了解如何在任何給定的時(shí)間網(wǎng)絡(luò)的表現(xiàn)成為一個(gè)問(wèn)題。
在許多部署了虛擬化的數(shù)據(jù)中心,缺乏安全和性能的可視性。例如,當(dāng)一個(gè)主要的性能問(wèn)題在關(guān)鍵型任務(wù)網(wǎng)絡(luò)應(yīng)用程序發(fā)生時(shí)。通過(guò)做出正確的網(wǎng)絡(luò)架構(gòu)選擇,管理員可以實(shí)現(xiàn)虛擬化帶來(lái)的商業(yè)利益,滿足數(shù)據(jù)包級(jí)別的可視性需求。
虛擬的盲點(diǎn)剖析
在傳統(tǒng)的網(wǎng)絡(luò),流量分析是使用TAP進(jìn)軍網(wǎng)絡(luò)段,或通過(guò)使用端口鏡像SPAN,并在同一子網(wǎng)中的服務(wù)器之間的數(shù)據(jù)流中捕獲數(shù)據(jù)包,以相當(dāng)簡(jiǎn)單的方式進(jìn)行分析。
但是,在一個(gè)虛擬的世界,這種模式打破了。在虛擬化環(huán)境中,數(shù)據(jù)可能永遠(yuǎn)不會(huì)通過(guò)一個(gè)物理交換機(jī)或網(wǎng)絡(luò),而是留在同一個(gè)物理主機(jī),使得監(jiān)測(cè)變得困難。通過(guò)虛擬適配器到達(dá)虛擬交換機(jī)和備份的流量,無(wú)需再次提供一個(gè)地方來(lái)監(jiān)控流量。
許多企業(yè)往往在IT部門認(rèn)識(shí)到可視化的缺失所帶來(lái)的網(wǎng)絡(luò)危機(jī)前,經(jīng)歷過(guò)這方面的損失。安全團(tuán)隊(duì)可能沒(méi)有意識(shí)到惡意安全事件,直到他們無(wú)法在同一個(gè)物理主機(jī)上的監(jiān)控到從虛擬機(jī)到虛擬機(jī)的流量。如果沒(méi)有這種可視化,就無(wú)法對(duì)惡意攻擊進(jìn)行檢測(cè)和調(diào)查,以確定受到損害的資源,采取糾正措施并預(yù)防未來(lái)的惡意攻擊。由于無(wú)法在虛擬數(shù)據(jù)中心看到發(fā)生了什么事,這創(chuàng)造了虛擬盲點(diǎn)。
由于虛擬化是一種成熟的技術(shù),而且?guī)?lái)的投資回報(bào)率如此之快,在實(shí)現(xiàn)快速部署虛擬化的過(guò)程中可能沒(méi)有重視盲點(diǎn)問(wèn)題,甚至是根本就沒(méi)有認(rèn)識(shí)到有虛擬盲點(diǎn)。具有諷刺意味的是,虛擬化的模式應(yīng)該比物理基礎(chǔ)設(shè)施監(jiān)控得更加緊密,因?yàn)槠湓O(shè)計(jì)的前提便是盡可能的在底層硬件運(yùn)行。