不幸的是,事實(shí)上,許多虛擬機(jī)在一臺服務(wù)器上處理流量有一個很大的缺點(diǎn):流量能見度。很多的概念使得虛擬化試圖跟蹤數(shù)據(jù)包或者分析數(shù)據(jù)流,以了解如何在任何給定的時間網(wǎng)絡(luò)的表現(xiàn)成為一個問題。
在許多部署了虛擬化的數(shù)據(jù)中心,缺乏安全和性能的可視性。例如,當(dāng)一個主要的性能問題在關(guān)鍵型任務(wù)網(wǎng)絡(luò)應(yīng)用程序發(fā)生時。通過做出正確的網(wǎng)絡(luò)架構(gòu)選擇,管理員可以實(shí)現(xiàn)虛擬化帶來的商業(yè)利益,滿足數(shù)據(jù)包級別的可視性需求。
虛擬的盲點(diǎn)剖析
在傳統(tǒng)的網(wǎng)絡(luò),流量分析是使用TAP進(jìn)軍網(wǎng)絡(luò)段,或通過使用端口鏡像SPAN,并在同一子網(wǎng)中的服務(wù)器之間的數(shù)據(jù)流中捕獲數(shù)據(jù)包,以相當(dāng)簡單的方式進(jìn)行分析。
但是,在一個虛擬的世界,這種模式打破了。在虛擬化環(huán)境中,數(shù)據(jù)可能永遠(yuǎn)不會通過一個物理交換機(jī)或網(wǎng)絡(luò),而是留在同一個物理主機(jī),使得監(jiān)測變得困難。通過虛擬適配器到達(dá)虛擬交換機(jī)和備份的流量,無需再次提供一個地方來監(jiān)控流量。
許多企業(yè)往往在IT部門認(rèn)識到可視化的缺失所帶來的網(wǎng)絡(luò)危機(jī)前,經(jīng)歷過這方面的損失。安全團(tuán)隊(duì)可能沒有意識到惡意安全事件,直到他們無法在同一個物理主機(jī)上的監(jiān)控到從虛擬機(jī)到虛擬機(jī)的流量。如果沒有這種可視化,就無法對惡意攻擊進(jìn)行檢測和調(diào)查,以確定受到損害的資源,采取糾正措施并預(yù)防未來的惡意攻擊。由于無法在虛擬數(shù)據(jù)中心看到發(fā)生了什么事,這創(chuàng)造了虛擬盲點(diǎn)。
由于虛擬化是一種成熟的技術(shù),而且?guī)淼耐顿Y回報(bào)率如此之快,在實(shí)現(xiàn)快速部署虛擬化的過程中可能沒有重視盲點(diǎn)問題,甚至是根本就沒有認(rèn)識到有虛擬盲點(diǎn)。具有諷刺意味的是,虛擬化的模式應(yīng)該比物理基礎(chǔ)設(shè)施監(jiān)控得更加緊密,因?yàn)槠湓O(shè)計(jì)的前提便是盡可能的在底層硬件運(yùn)行。
