不幸的是,事實上,許多虛擬機在一臺服務(wù)器上處理流量有一個很大的缺點:流量能見度。很多的概念使得虛擬化試圖跟蹤數(shù)據(jù)包或者分析數(shù)據(jù)流,以了解如何在任何給定的時間網(wǎng)絡(luò)的表現(xiàn)成為一個問題。
在許多部署了虛擬化的數(shù)據(jù)中心,缺乏安全和性能的可視性。例如,當一個主要的性能問題在關(guān)鍵型任務(wù)網(wǎng)絡(luò)應(yīng)用程序發(fā)生時。通過做出正確的網(wǎng)絡(luò)架構(gòu)選擇,管理員可以實現(xiàn)虛擬化帶來的商業(yè)利益,滿足數(shù)據(jù)包級別的可視性需求。
虛擬的盲點剖析
在傳統(tǒng)的網(wǎng)絡(luò),流量分析是使用TAP進軍網(wǎng)絡(luò)段,或通過使用端口鏡像SPAN,并在同一子網(wǎng)中的服務(wù)器之間的數(shù)據(jù)流中捕獲數(shù)據(jù)包,以相當簡單的方式進行分析。
但是,在一個虛擬的世界,這種模式打破了。在虛擬化環(huán)境中,數(shù)據(jù)可能永遠不會通過一個物理交換機或網(wǎng)絡(luò),而是留在同一個物理主機,使得監(jiān)測變得困難。通過虛擬適配器到達虛擬交換機和備份的流量,無需再次提供一個地方來監(jiān)控流量。
許多企業(yè)往往在IT部門認識到可視化的缺失所帶來的網(wǎng)絡(luò)危機前,經(jīng)歷過這方面的損失。安全團隊可能沒有意識到惡意安全事件,直到他們無法在同一個物理主機上的監(jiān)控到從虛擬機到虛擬機的流量。如果沒有這種可視化,就無法對惡意攻擊進行檢測和調(diào)查,以確定受到損害的資源,采取糾正措施并預(yù)防未來的惡意攻擊。由于無法在虛擬數(shù)據(jù)中心看到發(fā)生了什么事,這創(chuàng)造了虛擬盲點。
由于虛擬化是一種成熟的技術(shù),而且?guī)淼耐顿Y回報率如此之快,在實現(xiàn)快速部署虛擬化的過程中可能沒有重視盲點問題,甚至是根本就沒有認識到有虛擬盲點。具有諷刺意味的是,虛擬化的模式應(yīng)該比物理基礎(chǔ)設(shè)施監(jiān)控得更加緊密,因為其設(shè)計的前提便是盡可能的在底層硬件運行。