網(wǎng)絡(luò)監(jiān)聽可以提供對網(wǎng)絡(luò)流量的詳細可見性,了解這是否是增強數(shù)據(jù)中心可觀察性配置文件的正確解決方案。
獲得對網(wǎng)絡(luò)流量的可見性是數(shù)據(jù)中心可觀察性的關(guān)鍵組成部分,這就是為什么安裝網(wǎng)絡(luò)分流器可能是數(shù)據(jù)中心運營商尋求增強其監(jiān)控能力的明智選擇。
然而,網(wǎng)絡(luò)抽查并不總是數(shù)據(jù)中心內(nèi)部最好的可觀察性解決方案。根據(jù)您的目標和資源,其他方法可能提供更好的可見性或更低的成本。
為了幫助您做出決定,本文解釋了網(wǎng)絡(luò)竊聽的工作原理、它們對數(shù)據(jù)中心可觀察性的影響、網(wǎng)絡(luò)竊聽的替代方案,以及何時(或不)希望在您的設(shè)施中添加網(wǎng)絡(luò)竊聽。
什么是網(wǎng)絡(luò)監(jiān)聽?
網(wǎng)絡(luò)分流器是一種捕捉網(wǎng)絡(luò)流量的設(shè)備。通常情況下,分流器復制流量,然后將副本發(fā)送到可以存儲或分析的位置。原來的交通到達預定的目的地,沒有中斷。
一些供應商在這種情況下將“TAP”視為“測試接入點”或“終端接入點”的縮寫。
分流器通常部署在本地網(wǎng)絡(luò)的位置,允許它們攔截服務器和外部端點之間的流量。
網(wǎng)絡(luò)分流器有兩種形式:
?物理分流器,效率更高,因為它們需要最少的計算資源來復制或轉(zhuǎn)發(fā)網(wǎng)絡(luò)流量。由于缺乏足夠的內(nèi)存或CPU等問題,物理分流器也不太容易發(fā)生故障,這降低了它們可能以破壞正常流量的方式發(fā)生故障的風險。
?虛擬分流器,指的是復制流量通過服務器或網(wǎng)絡(luò)交換機的軟件代理。虛擬分流器的部署更加靈活,因為使用它們不需要設(shè)置新的硬件。但是,由于它們需要內(nèi)存和CPU來操作,因此在流量超過可用資源所能處理的情況下,它們可能會失敗。
當流量流經(jīng)網(wǎng)絡(luò)時,網(wǎng)絡(luò)分流器可以捕獲流量,并幫助數(shù)據(jù)中心運營商增強其可觀察性能力
網(wǎng)絡(luò)分流器的替代品
竊聽并不是獲得網(wǎng)絡(luò)可見性的唯一方法。一種替代方法是在服務器或其他端點上運行網(wǎng)絡(luò)監(jiān)控軟件。該軟件可以檢查進出端點的流量。
然而,這種方法的主要挑戰(zhàn)是必須為要觀察的每個端點設(shè)置單獨的監(jiān)視代理。
此外,監(jiān)視代理會消耗大量的CPU和內(nèi)存資源(盡管基于eBPF等技術(shù)的可觀察性新方法可以幫助緩解這個問題)。
您還可以生成通過交換機或其他路由硬件的流量的網(wǎng)絡(luò)日志。日志記錄通常不記錄網(wǎng)絡(luò)數(shù)據(jù)本身,這使得它不同于竊聽;相反,日志通常記錄諸如哪些端點正在相互通信以及它們正在使用哪些協(xié)議之類的信息。
因此,網(wǎng)絡(luò)日志記錄不能提供與網(wǎng)絡(luò)TAP相同的信息深度。但是,如果數(shù)據(jù)中心可觀察性的主要目標是獲得整體網(wǎng)絡(luò)行為的感覺,而不是分析網(wǎng)絡(luò)流量本身,那么日志記錄可能是一種更簡單、更有效的方法。
網(wǎng)絡(luò)分流器對數(shù)據(jù)中心可觀測性的好處
在您想要跟蹤網(wǎng)絡(luò)上發(fā)生的事情的任何設(shè)置中,網(wǎng)絡(luò)點擊都是有用的。例如,訪問辦公室的本地網(wǎng)絡(luò)可以幫助檢測與網(wǎng)絡(luò)攻擊相關(guān)的惡意流量。
然而,網(wǎng)絡(luò)分流器作為數(shù)據(jù)中心內(nèi)部的網(wǎng)絡(luò)可觀察性解決方案尤其有益,原因如下:
?處理大流量的能力:一個典型的數(shù)據(jù)中心在任何給定的小時內(nèi),其網(wǎng)絡(luò)上可能有價值數(shù)gb的數(shù)據(jù)流。因為網(wǎng)絡(luò)連接(尤其是物理連接)非常高效,它們擅長處理這種高流量負載。
?集中式可觀測性:位于戰(zhàn)略位置的網(wǎng)絡(luò)分流器可以攔截所有流入和流出數(shù)據(jù)中心的數(shù)據(jù),為觀察網(wǎng)絡(luò)提供集中的有利位置。當您希望監(jiān)控數(shù)百或數(shù)千個端點的流量時,這一點尤其有用。
包級可見性:網(wǎng)絡(luò)點擊允許您查看流經(jīng)網(wǎng)絡(luò)的每個單獨的數(shù)據(jù)單元(稱為數(shù)據(jù)包)。這種深度可見性對于復雜的故障排除需求非常有用,例如找出某些類型的流量經(jīng)歷高丟包率的原因。
?更低的中斷風險:數(shù)據(jù)中心可觀察性技術(shù)消耗大量CPU和內(nèi)存,如果缺乏足夠的資源正常運行,導致網(wǎng)絡(luò)流量停滯,則會造成中斷操作的風險。然而,由于物理網(wǎng)絡(luò)的高效操作,它們幾乎沒有這個問題。這在任何托管關(guān)鍵任務工作負載的數(shù)據(jù)中心都是一個優(yōu)勢。
數(shù)據(jù)中心網(wǎng)絡(luò)分流器的缺點
盡管有其優(yōu)勢,但在數(shù)據(jù)中心內(nèi)部接入網(wǎng)絡(luò)也帶來了一些潛在的挑戰(zhàn)。一個是成本。每個高容量硬件監(jiān)聽器的成本可能高達10,000美元,您可能需要多個監(jiān)聽器來監(jiān)控不同的網(wǎng)絡(luò)或網(wǎng)段。這使得這些設(shè)備成為數(shù)據(jù)中心內(nèi)的一項重要投資。
隱私是另一個挑戰(zhàn)。除非您的組織擁有數(shù)據(jù)中心內(nèi)的所有基礎(chǔ)設(shè)施,否則網(wǎng)絡(luò)竊聽可能會讓您訪問其他人的數(shù)據(jù)。這可能會違反數(shù)據(jù)中心運營商的服務條款。也就是說,根據(jù)您的網(wǎng)絡(luò)設(shè)計方式和您放置分流器的位置,通?赡苤粡臄(shù)據(jù)中心內(nèi)的某些服務器收集數(shù)據(jù),而忽略路由到其他服務器或從其他服務器發(fā)送的流量。
找到一種方法來分析通過點擊產(chǎn)生的所有數(shù)據(jù)也很困難。與分析由網(wǎng)絡(luò)監(jiān)聽產(chǎn)生的大量數(shù)據(jù)相比,在網(wǎng)絡(luò)日志文件中查找模式相對簡單。
何時為數(shù)據(jù)中心采用網(wǎng)絡(luò)監(jiān)聽
利用網(wǎng)絡(luò)挖掘作為數(shù)據(jù)中心可觀察性的手段是否有意義取決于以下幾點:
?數(shù)據(jù)中心網(wǎng)絡(luò)架構(gòu):為了有效地部署一個網(wǎng)絡(luò)監(jiān)聽器,需要一個網(wǎng)絡(luò)架構(gòu),允許將監(jiān)聽器插入到一個可以訪問想要捕獲的所有流量的位置,并避免捕獲任何你沒有權(quán)限監(jiān)控的第三方流量。
?有多少網(wǎng)絡(luò)流量:如果有如此多的流量,其他網(wǎng)絡(luò)可觀察性解決方案無法處理它,流量捕獲可能是最好的選擇。
?有多少端點:如果監(jiān)控來自相對較小的服務器集合的流量,那么托管在服務器上的傳統(tǒng)網(wǎng)絡(luò)監(jiān)控代理可能是實現(xiàn)可觀察性的一種更簡單的方法。
?需要多大的可觀察性深度:如果需要對數(shù)據(jù)中心流量進行盡可能深入的觀察,挖掘可能是最好的方法。如果只想了解整個網(wǎng)絡(luò)的操作和趨勢,可以考慮使用日志記錄。