Overlay網絡和數據中心網絡
帶有VXLAN的Overlay網絡很流行,它基本上是將邏輯網絡與基礎物理硬件分離。如今,Overlay網絡已成爲任何數據中心的標準,並增強了數據中心的靈活性。但是,當前我們正處於過渡過程中,數據中心架構正在經歷另一波變革。 今天的區別在於,我們正在談論每個數據中心數百或數千個overlay網絡,最多有數千個端點。 此外,overlay網絡比過去更具動態性。
下圖顯示了雲數據中心網絡的發展。
底層網絡設計&L2 Overlay
這些overlay網絡共享相同的底層網絡,但是對於用戶來說,它是完全透明的網絡。這對L2網絡的用戶是有利的,因爲他們可以做任何他們想做的事情。例如,使用任何IP地址或任何VLAN。但是,缺點是監控參考底圖網絡,因爲您還會看到ioverlay網絡。此外,確定不同的overlay網絡也很複雜。
此圖顯示了一般問題。這些服務中的每一個都可以使用相同的IP範圍。這顯然是因爲運行這些服務的網絡工程師希望使其變得簡單。底層網絡基礎設施處理這些不同服務的分離。這是通過隧道完成的。今天,這是典型的VXLAN;在過去,它是MPLS或VLAN。不同的是,今天它是動態的。
在此方案中,我們有幾個可見性選項:
- 參考底圖網絡的可見性
- 特定overlay網絡的可見性
- 所有overlay網絡的可見性
- 同時顯示參考底圖和overlay的可見性(完整的端到端視圖)
網絡可見性於端點可見性對比
在探索overlay網絡的複雜性之前,瞭解網絡可見性和端點可見性之間的區別至關重要。這兩者之間有一些主要的不同之處。
- 網絡可見性顯示基於網絡數據的指標,而端點可見性顯示基於日誌或活動客戶端的指標。
- 網絡可見性大多是被動解決方案,而端點可見性通常不是被動的。
- 網絡可見性對設備和軟件是不可知的,而端點可見性並不是不可知的,通常需要爲每臺設備採用。
- 網絡可見性涉及較低的運營成本,但終端可見性解決方案的運營成本較高且不可預測。
-
網絡可見性提供端到端視圖,包括傳輸路徑。但是,端點可見性顯示端到端性能,但不顯示網絡路徑或網絡參數。網絡參數是端到端參數的間接派生。
-
網絡可見性與應用相關,但端點可見性提供了良好的以應用爲中心的指標。
-
與終端可見性解決方案相比,由於硬件的原因,網絡可見性在安裝階段涉及更復雜的方法,端點可見性解決方案在一開始就很容易安裝。
-
良好的故障排除需要網絡可見性,而故障排除僅有端點可見性是不夠的。
我們,Cubro,提供網絡可見性解決方案。
Overlay網絡的複雜性
底層網絡設計&L2 overlay和監控
如果您在以下位置分流並監控,則可以在此圖片中清楚地看到問題:
有兩個問題:
問題1:可以多次看到相同的流量。同時可以看到所有overlay網絡。這是因爲L2網絡可以運行相同的IP範圍,並且由於典型的監控解決方案使用IP地址來確定網絡中的不同路徑,因此對於傳統的監控來說,分離流是非常複雜的。
典型的監控工具不能處理隧道流量。幾乎所有監控工具都設計爲僅在一個端口或一個邏輯網絡層上處理流量。此工具通常無法關聯流量。
這是常見的問題;相同的IP範圍但不同的overlay。正常情況下,標準監控設備看不到外部報頭。因此,內部IP測量的結果往往是錯誤的。overlay信息通常會丟失,因此結果不正確!
問題2:這個問題更加複雜。overlay網絡可以分佈在不同的DC上,這些不同的DC通常通過BGP鏈路連接。在這種情況下,需要BGP關聯來產生有用的結果。
數據中心或數據中心網段之間的BGP互聯。
監控現代overlay網絡的不同方法
所有供應商都在談論安全性,每個人都提供很酷的軟件工具來分析您可以考慮的任何威脅。問題只在於將正確的流量傳輸到相關設備。僅點擊和刪除基礎網絡報頭是不夠的,也不能解決問題,因爲overlay是高度動態的,並且在第二層透明overlay網絡中,您很可能會有重複的IP範圍。這種隧道信息的移除會導致錯誤的結果,並且在動態隧道的情況下,可見性工具必須跟隨數據中心的overlay網絡。需要動態隧道過濾-需要解碼信令和路由業務。帶內信令和解碼是未來可見性的必備條件。
每個網絡基礎設施對網絡監控解決方案有不同的要求。有幾種工具和解決方案可用,因此必須仔細選擇合適的解決方案。優化的解決方案提供了更好的網絡控制和更好的性能。
讓我們來看看Cubro提供的三種不同的解決方案設計。
解決方案1:
- 移除並關聯路徑上的流
- 基於底層傳輸信息的流關聯
- 基於BGP的流路合併
- 豐富帶內交換機遙測數據
- 使用開關表信息豐富數據
網絡路徑
現在已經確定了受物理網絡中斷影響的應用程序和主機,SDDC管理員可以通過選擇終端節點來查看VM到VM的流量被封裝在哪裏,並可以具體查看流量經過了哪些物理網絡設備。
現在,SDDC管理員可以確定路徑中的哪些網絡設備是導致應用程序性能問題的原因。
下圖顯示了VM到CM通信中涉及的網絡設備接口。
對於中繼跟蹤通信的接口,將顯示以下信息:
- 該接口上的相對業務量佔其標稱容量的百分比
- 在當前平均數據包大小下可維持的最大數據包速率接口上的相對數據包速率
- 在選定的時間間隔內,通過此接口在每個方向上通過的字節總數
- 在選定的時間間隔內,通過此接口在每個方向上通過的數據包總數
路徑信息不僅適用於日期中心內的VM至VM(東西流量),也適用於VM至網關(南北流量)。此功能可用於識別網絡擁塞和異常活動,例如數據泄露。
解決方案2:
另一種可能的選擇是動態VXLAN過濾。這個方案不像方案1那麼完美,但是可以重用“舊的”監測設備。可以重新調整舊設備的用途,因爲動態VXLAN過濾將確保只過濾出來自相關overlay的流量並將其發送到傳統監控工具。
挑戰在於,只有少數NPB能夠進行VXLAN過濾。第二個問題是,這必須動態完成。因此,某些信令協議必須由數據包代理或外部設備解碼。這將我們引向我們的第三個解決方案-Cubro Cloud Switch(CCS)。
解決方案3:
最先進的解決方案是使用Cubro Cloud Switch,因爲CCS結合了高級交換結構和可視化結構。 下圖顯示了使用CCS時的轉換。
Cubro Cloud Switch在第2層到第7層提供切換功能,同時提供可視化。因爲包轉發是在硬件中完成的,交換機基礎設施知道微服務在哪裏運行,並且可以複製相關的流量,並通過交換機基礎設施將其發送到探測系統(虛擬/真實)。
該解決方案是Cubro設計基於Sonic的高性能硬件雲交換機。Cubro Cloud Fabric提供安全、可擴展的網絡可見性解決方案,可簡化網絡工程師的工作。