網(wǎng)絡(luò)監(jiān)聽可以提供對網(wǎng)絡(luò)流量的詳細(xì)可見性,了解這是否是增強(qiáng)數(shù)據(jù)中心可觀察性配置文件的正確解決方案�����。
獲得對網(wǎng)絡(luò)流量的可見性是數(shù)據(jù)中心可觀察性的關(guān)鍵組成部分���,這就是為什么安裝網(wǎng)絡(luò)分流器可能是數(shù)據(jù)中心運(yùn)營商尋求增強(qiáng)其監(jiān)控能力的明智選擇。
然而����,網(wǎng)絡(luò)抽查并不總是數(shù)據(jù)中心內(nèi)部最好的可觀察性解決方案。根據(jù)您的目標(biāo)和資源����,其他方法可能提供更好的可見性或更低的成本。
為了幫助您做出決定��,本文解釋了網(wǎng)絡(luò)竊聽的工作原理、它們對數(shù)據(jù)中心可觀察性的影響���、網(wǎng)絡(luò)竊聽的替代方案��,以及何時(或不)希望在您的設(shè)施中添加網(wǎng)絡(luò)竊聽�。
什么是網(wǎng)絡(luò)監(jiān)聽?
網(wǎng)絡(luò)分流器是一種捕捉網(wǎng)絡(luò)流量的設(shè)備��。通常情況下�����,分流器復(fù)制流量���,然后將副本發(fā)送到可以存儲或分析的位置�����。原來的交通到達(dá)預(yù)定的目的地��,沒有中斷�。
一些供應(yīng)商在這種情況下將“TAP”視為“測試接入點(diǎn)”或“終端接入點(diǎn)”的縮寫���。
分流器通常部署在本地網(wǎng)絡(luò)的位置�����,允許它們攔截服務(wù)器和外部端點(diǎn)之間的流量��。
網(wǎng)絡(luò)分流器有兩種形式:
?物理分流器�,效率更高,因?yàn)樗鼈冃枰钌俚挠?jì)算資源來復(fù)制或轉(zhuǎn)發(fā)網(wǎng)絡(luò)流量�。由于缺乏足夠的內(nèi)存或CPU等問題,物理分流器也不太容易發(fā)生故障����,這降低了它們可能以破壞正常流量的方式發(fā)生故障的風(fēng)險。
?虛擬分流器�����,指的是復(fù)制流量通過服務(wù)器或網(wǎng)絡(luò)交換機(jī)的軟件代理��。虛擬分流器的部署更加靈活�����,因?yàn)槭褂盟鼈儾恍枰O(shè)置新的硬件����。但是,由于它們需要內(nèi)存和CPU來操作�����,因此在流量超過可用資源所能處理的情況下����,它們可能會失敗。
當(dāng)流量流經(jīng)網(wǎng)絡(luò)時���,網(wǎng)絡(luò)分流器可以捕獲流量���,并幫助數(shù)據(jù)中心運(yùn)營商增強(qiáng)其可觀察性能力
網(wǎng)絡(luò)分流器的替代品
竊聽并不是獲得網(wǎng)絡(luò)可見性的唯一方法。一種替代方法是在服務(wù)器或其他端點(diǎn)上運(yùn)行網(wǎng)絡(luò)監(jiān)控軟件����。該軟件可以檢查進(jìn)出端點(diǎn)的流量。
然而�,這種方法的主要挑戰(zhàn)是必須為要觀察的每個端點(diǎn)設(shè)置單獨(dú)的監(jiān)視代理。
此外��,監(jiān)視代理會消耗大量的CPU和內(nèi)存資源(盡管基于eBPF等技術(shù)的可觀察性新方法可以幫助緩解這個問題)���。
您還可以生成通過交換機(jī)或其他路由硬件的流量的網(wǎng)絡(luò)日志����。日志記錄通常不記錄網(wǎng)絡(luò)數(shù)據(jù)本身,這使得它不同于竊聽;相反�,日志通常記錄諸如哪些端點(diǎn)正在相互通信以及它們正在使用哪些協(xié)議之類的信息。
因此��,網(wǎng)絡(luò)日志記錄不能提供與網(wǎng)絡(luò)TAP相同的信息深度��。但是��,如果數(shù)據(jù)中心可觀察性的主要目標(biāo)是獲得整體網(wǎng)絡(luò)行為的感覺�����,而不是分析網(wǎng)絡(luò)流量本身���,那么日志記錄可能是一種更簡單�����、更有效的方法�����。
網(wǎng)絡(luò)分流器對數(shù)據(jù)中心可觀測性的好處
在您想要跟蹤網(wǎng)絡(luò)上發(fā)生的事情的任何設(shè)置中�����,網(wǎng)絡(luò)點(diǎn)擊都是有用的�����。例如�����,訪問辦公室的本地網(wǎng)絡(luò)可以幫助檢測與網(wǎng)絡(luò)攻擊相關(guān)的惡意流量����。
然而�,網(wǎng)絡(luò)分流器作為數(shù)據(jù)中心內(nèi)部的網(wǎng)絡(luò)可觀察性解決方案尤其有益,原因如下:
?處理大流量的能力:一個典型的數(shù)據(jù)中心在任何給定的小時內(nèi)�,其網(wǎng)絡(luò)上可能有價值數(shù)gb的數(shù)據(jù)流。因?yàn)榫W(wǎng)絡(luò)連接(尤其是物理連接)非常高效�����,它們擅長處理這種高流量負(fù)載�����。
?集中式可觀測性:位于戰(zhàn)略位置的網(wǎng)絡(luò)分流器可以攔截所有流入和流出數(shù)據(jù)中心的數(shù)據(jù),為觀察網(wǎng)絡(luò)提供集中的有利位置����。當(dāng)您希望監(jiān)控數(shù)百或數(shù)千個端點(diǎn)的流量時,這一點(diǎn)尤其有用�。
包級可見性:網(wǎng)絡(luò)點(diǎn)擊允許您查看流經(jīng)網(wǎng)絡(luò)的每個單獨(dú)的數(shù)據(jù)單元(稱為數(shù)據(jù)包)。這種深度可見性對于復(fù)雜的故障排除需求非常有用�����,例如找出某些類型的流量經(jīng)歷高丟包率的原因�����。
?更低的中斷風(fēng)險:數(shù)據(jù)中心可觀察性技術(shù)消耗大量CPU和內(nèi)存����,如果缺乏足夠的資源正常運(yùn)行,導(dǎo)致網(wǎng)絡(luò)流量停滯��,則會造成中斷操作的風(fēng)險����。然而����,由于物理網(wǎng)絡(luò)的高效操作��,它們幾乎沒有這個問題����。這在任何托管關(guān)鍵任務(wù)工作負(fù)載的數(shù)據(jù)中心都是一個優(yōu)勢����。
數(shù)據(jù)中心網(wǎng)絡(luò)分流器的缺點(diǎn)
盡管有其優(yōu)勢,但在數(shù)據(jù)中心內(nèi)部接入網(wǎng)絡(luò)也帶來了一些潛在的挑戰(zhàn)�����。一個是成本��。每個高容量硬件監(jiān)聽器的成本可能高達(dá)10,000美元�����,您可能需要多個監(jiān)聽器來監(jiān)控不同的網(wǎng)絡(luò)或網(wǎng)段���。這使得這些設(shè)備成為數(shù)據(jù)中心內(nèi)的一項(xiàng)重要投資�����。
隱私是另一個挑戰(zhàn)�����。除非您的組織擁有數(shù)據(jù)中心內(nèi)的所有基礎(chǔ)設(shè)施�,否則網(wǎng)絡(luò)竊聽可能會讓您訪問其他人的數(shù)據(jù)。這可能會違反數(shù)據(jù)中心運(yùn)營商的服務(wù)條款��。也就是說���,根據(jù)您的網(wǎng)絡(luò)設(shè)計(jì)方式和您放置分流器的位置��,通���?赡苤粡臄(shù)據(jù)中心內(nèi)的某些服務(wù)器收集數(shù)據(jù),而忽略路由到其他服務(wù)器或從其他服務(wù)器發(fā)送的流量���。
找到一種方法來分析通過點(diǎn)擊產(chǎn)生的所有數(shù)據(jù)也很困難�����。與分析由網(wǎng)絡(luò)監(jiān)聽產(chǎn)生的大量數(shù)據(jù)相比�,在網(wǎng)絡(luò)日志文件中查找模式相對簡單。
何時為數(shù)據(jù)中心采用網(wǎng)絡(luò)監(jiān)聽
利用網(wǎng)絡(luò)挖掘作為數(shù)據(jù)中心可觀察性的手段是否有意義取決于以下幾點(diǎn):
?數(shù)據(jù)中心網(wǎng)絡(luò)架構(gòu):為了有效地部署一個網(wǎng)絡(luò)監(jiān)聽器�,需要一個網(wǎng)絡(luò)架構(gòu),允許將監(jiān)聽器插入到一個可以訪問想要捕獲的所有流量的位置���,并避免捕獲任何你沒有權(quán)限監(jiān)控的第三方流量。
?有多少網(wǎng)絡(luò)流量:如果有如此多的流量���,其他網(wǎng)絡(luò)可觀察性解決方案無法處理它��,流量捕獲可能是最好的選擇���。
?有多少端點(diǎn):如果監(jiān)控來自相對較小的服務(wù)器集合的流量,那么托管在服務(wù)器上的傳統(tǒng)網(wǎng)絡(luò)監(jiān)控代理可能是實(shí)現(xiàn)可觀察性的一種更簡單的方法��。
?需要多大的可觀察性深度:如果需要對數(shù)據(jù)中心流量進(jìn)行盡可能深入的觀察�,挖掘可能是最好的方法。如果只想了解整個網(wǎng)絡(luò)的操作和趨勢�����,可以考慮使用日志記錄���。
