不幸的是,事實上,許多虛擬機在一臺服務器上處理流量有一個很大的缺點:流量能見度。很多的概念使得虛擬化試圖跟蹤數據包或者分析數據流,以了解如何在任何給定的時間網絡的表現成為一個問題。
在許多部署了虛擬化的數據中心,缺乏安全和性能的可視性。例如,當一個主要的性能問題在關鍵型任務網絡應用程序發生時。通過做出正確的網絡架構選擇,管理員可以實現虛擬化帶來的商業利益,滿足數據包級別的可視性需求。
虛擬的盲點剖析
在傳統的網絡,流量分析是使用TAP進軍網絡段,或通過使用端口鏡像SPAN,并在同一子網中的服務器之間的數據流中捕獲數據包,以相當簡單的方式進行分析。
但是,在一個虛擬的世界,這種模式打破了。在虛擬化環境中,數據可能永遠不會通過一個物理交換機或網絡,而是留在同一個物理主機,使得監測變得困難。通過虛擬適配器到達虛擬交換機和備份的流量,無需再次提供一個地方來監控流量。
許多企業往往在IT部門認識到可視化的缺失所帶來的網絡危機前,經歷過這方面的損失。安全團隊可能沒有意識到惡意安全事件,直到他們無法在同一個物理主機上的監控到從虛擬機到虛擬機的流量。如果沒有這種可視化,就無法對惡意攻擊進行檢測和調查,以確定受到損害的資源,采取糾正措施并預防未來的惡意攻擊。由于無法在虛擬數據中心看到發生了什么事,這創造了虛擬盲點。
由于虛擬化是一種成熟的技術,而且帶來的投資回報率如此之快,在實現快速部署虛擬化的過程中可能沒有重視盲點問題,甚至是根本就沒有認識到有虛擬盲點。具有諷刺意味的是,虛擬化的模式應該比物理基礎設施監控得更加緊密,因為其設計的前提便是盡可能的在底層硬件運行。
