关于下一代数据中心的可视化和安全性（上）

网络监控对于维护网络安全性、性能和可靠性至关重要。但是，随着数据中心逐渐适应基于云的应用程序，持续的网络监控可能成为一大挑战。

本文中，我们将为广大读者朋友们介绍基于控制器的SDN解决方案如何利用开放式硬件，以帮助企业组织提供由可视化和安全性所带来的益处。

网络的所有者必须不断的监视和保护网络，以确保其性能和完整性。但随着数据中心逐渐适应云原生应用程序，业务响应速度的不断提高，网络攻击的普及以及预算挑战的不断增加，使得当下的许多企业知足都面临着运营和架构的规模化监控和确保基础设施安全方面的挑战。

传统方法主要通过网络数据包代理(NPB)来获取网络可视化，其很难实现规模化扩展，同时创建了可视化的孤岛，并且其管理过程相当耗时。

当今的数据中心需要采用下一代网络可视化和安全性的方法，以使得他们能够在不增加CAPEX和OPEX的情况下，看到每个网络、工作负载和位置，并进行更快速的部署、运营和扩展。

驱动下一代数据中心可视化和安全性的相关因素

影响下一代可视性和安全体系结构需求的因素是云原生应用程序，持续的网络攻击，业务响应速度的提升以及停滞不前的预算。

云原生应用程序：云原生应用程序、微服务和容器技术的出现推动了数据中心内部的东西走向流量，限制了现有的针对南北走向流量优化的网络架构。机架密度的增加和工作负载的增加意味着数据中心必须扩展监控和安全覆盖范围。

为了维护应用程序SLA和安全性，必须将可视化和安全解决方案应用于数据中心中的每个数据包和数据流——包括每台机架、每个位置以及每台虚拟机，容器和云工作负载。实施规模化监控，并确保来自不同来源的流量的一致性策略在成本和运营复杂度方面都具有挑战性。更加复杂的是工具孤岛，这会减慢故障排除速度，并导致可视化差距。

1、 持续的网络攻击：网络犯罪的兴起以及来自国家和非国家行为体的攻击造成了永久性的威胁。作为响应，网络所有者们采用了普遍的安全方法，要求在整个数据中心具备可见性，并提高了DMZ隔离区的警惕性。检测和阻止恶意流量的主动安全措施越来越重要，响应速度也越来越重要。

2、 业务速度：现如今的IT企业预计将按需推出服务和应用程序。服务交付通常与SLA和组织策略相关联，从而加快执行速度。网络和安全团队希望能够更快地部署，扩展和排除故障，但却受到传统网络监视组件(如NPB)的约束，这些组件需要手动管理，这是一个费力，容易出错的过程，会减慢服务的推出速度，阻碍创新。

3、 停滞不前的预算：数据中心预算大体上停滞不前，预计在当前政治和经济不确定性的大环境下，短期内还将继续维持不变。预算紧张会给企业的网络和安全团队带来压力，无法很好的优化资本支出并提高运营效率，并以现有资源实现更多目标。

针对这些因素的综合影响，今天的数据中心必须变得更为智能，更快速，更高效地运作，以确保企业业务竞争力。

依靠NPB提供网络可视性和流量交付的传统网络监控和安全架构无法适应当今的数据中心需求。相反，它们会成为网络和安全团队的障碍，因为他们试图成功地监控和维护网络，同时控制基础设施和运营支出。

网络监视器的演变

企业过去历史上所采用的加强网络可视性的方法决定了网络所有者扩展网络和安全工具的能力，因为其决定了每款工具监控网络可见性的潜力。

在引入NPB之前，网络监控体系架构使用TAP和SPAN(镜像)端口向网络和安全工具提供流量。工具是分发和有效静态的。

对工具的网络视图进行任何更改都需要对工具进行物理重新部署。由于TAP和SPAN端口无法专门针对每款工具优化流量，因此工具常常过量或者订购不足。从1Gbps到10Gbps甚至更大流量的网络迁移进一步激发了工具性能的提升或最大化。随着网络容量的增长以及用于监控和保护网络的工具的数量和类型的增加，这种部署模式最终变得不再可靠。

TAP或SPAN专用架构是网络可视性的第一代方法，最终还辅以更智能的流量传输工具——传统NPB。

第二代网络的可见性：传统遗留网络包代理

传统NPB允许多个网络工具共享对相同网络链路的访问，从而解决网络所有者在SPAN端口和简单TAP方面遇到的访问争用的问题。其还充当网络和工具之间的智能优化和交付层，允许每个工具仅接收感兴趣的流量，从而确保以最高效率运行——既不会超额也不会预订不足。

大多数部署监控和安全工具的数据中心都使用的是传统的NPB来实时显示网络的可视化。传统的NPB提供精细的控制，以便在卸载到工具之前处理网络数据包，网络和安全团队可以根据需要远程配置这些更改。

NPB供应商们认为，标准的数据包处理功能包括：流量融合、流量复制、L2-L4过滤、工具负载均衡。一些NPB支持额外的高级功能，为工具提供更多易于获取的流量，或支持内联工具。这些包括：重复数据删除、数据包分片、数据包屏蔽、标头剥离，流量生成、深度数据包检测。在DMZ中，内联工具链对于将多个逻辑内联工具顺序交付流量成为必要。这些功能通过减少或消除不相关的工具流量，显着增强了监视和安全体系架构，从而减少了发现和解决性能和安全问题所需的时间。

不幸的是，由于传统NPB的盒式设计，多个NPB之间以及所有连接的网络链路和工具之间的分组处理功能的协调是复杂的、耗时的，并且容易出错。

传统NPB作为独立设备运行，每款设备必须单独进行配置和管理。连接到传统NPB的工具只能访问连接到该NPB的流量，否则需要复杂的手动配置才能将相应的流量路由到多个NPB。每个工具都绑定在物理连接的传统NPB的可见性潜力上。其结果是零碎的可见性对网络变化很敏感。如果网络增长或其架构重新配置，可能需要对工具进行物理重新配置。流量是由NPB分割的，NPB会创建严格的可视性体系结构，变化缓慢——影响网络和安全操作对于性能或安全事件的响应能力。

一些传统NPB支持有限的集群，其中多个NPB可以互连，以便将流量可见性扩展到每个工具;然而，这些集群配置和管理起来很复杂，并且其扩展能力有限。它们也可能导致可见性孤岛，因为不同组的NPB提供对不同网络链路选择的访问。

由于传统的NPB推动了孤岛的形成，并且是静态的，耗时的管理，难以规模化扩展，所以当数据中心试图更快速，更高效，更经济地运行时，它们将为数据中心带来挑战。孤立的静态可视性增加了管理负担，可能导致监控和安全协议的执行不一致，并阻止网络所有者实现对于网络的总体视图。

传统的NPB为数据中心所带来的挑战包括：

传统NPB优于TAP或SPAN的设计，但作为独立设备，它们仍然在架构上处于劣势——这反过来又使企业的网络和安全团队在部署、运行和扩展数据中心监控和安全性时变得不利。

由于上述原因，传统的NPB对于监控当今以应用程序为导向，以安全为中心的数据中心来说是一个不完整的解决方案。