不幸的是,事实上,许多虚拟机在一台服务器上处理流量有一个很大的缺点:流量能见度。很多的概念使得虚拟化试图跟踪数据包或者分析数据流,以了解如何在任何给定的时间网络的表现成为一个问题。
在许多部署了虚拟化的数据中心,缺乏安全和性能的可视性。例如,当一个主要的性能问题在关键型任务网络应用程序发生时。通过做出正确的网络架构选择,管理员可以实现虚拟化带来的商业利益,满足数据包级别的可视性需求。
虚拟的盲点剖析
在传统的网络,流量分析是使用TAP进军网络段,或通过使用端口镜像SPAN,并在同一子网中的服务器之间的数据流中捕获数据包,以相当简单的方式进行分析。
但是,在一个虚拟的世界,这种模式打破了。在虚拟化环境中,数据可能永远不会通过一个物理交换机或网络,而是留在同一个物理主机,使得监测变得困难。通过虚拟适配器到达虚拟交换机和备份的流量,无需再次提供一个地方来监控流量。
许多企业往往在IT部门认识到可视化的缺失所带来的网络危机前,经历过这方面的损失。安全团队可能没有意识到恶意安全事件,直到他们无法在同一个物理主机上的监控到从虚拟机到虚拟机的流量。如果没有这种可视化,就无法对恶意攻击进行检测和调查,以确定受到损害的资源,采取纠正措施并预防未来的恶意攻击。由于无法在虚拟数据中心看到发生了什么事,这创造了虚拟盲点。
由于虚拟化是一种成熟的技术,而且带来的投资回报率如此之快,在实现快速部署虚拟化的过程中可能没有重视盲点问题,甚至是根本就没有认识到有虚拟盲点。具有讽刺意味的是,虚拟化的模式应该比物理基础设施监控得更加紧密,因为其设计的前提便是尽可能的在底层硬件运行。
