如何规划建设虚拟化环境的网络流量镜像?

目前,公司正在建设基于网络流量镜像的相关系统,如npm、bpc、数据库sql语句审计等。并已初步搭建了type交换机网络。但虚拟化平台中,部分虚拟机的网络流量可能在物理机内部的虚拟交换机中完成交互,无法从物理交换机上获取流量镜像。我们了解到了虚拟化环境的网络流量镜像的以...显示全部

目前,公司正在建设基于网络流量镜像的相关系统,如npm、bpc、数据库sql语句审计等。并已初步搭建了type交换机网络。
但虚拟化平台中,部分虚拟机的网络流量可能在物理机内部的虚拟交换机中完成交互,无法从物理交换机上获取流量镜像。
我们了解到了虚拟化环境的网络流量镜像的以下三种方式:
1、使用vmware VDS分布式交换机的端口镜像功能
2、在每台宿主机上安装第三方的虚拟机,用于收集这台宿主机内部的虚拟机网络流量
3、在需要镜像流量镜像的虚拟机上安装第三方agent,收集自身的网络流量
三种方式都将通过区别业务网卡的单独网卡将镜像流量传送至type网络。
本人目前倾向于选择第一种方案,但是对于vmware的端口镜像功能是否会影响宿主机的整体性能存在担忧。
想向各位金融行业的前辈们请教下三种方案的优劣,大家都是使用哪种方式来实现的?实施过程中有没有踩过什么坑?

收起

查看其它 7 个回答黄江的回答

黄江黄江  技术支持 , 某银行
zhuhaiqiangbenjaminbinlinjh等赞同了此回答

目前,某银行使用的是:
2、在每台宿主机上安装第三方的虚拟机,用于收集这台宿主机内部的虚拟机网络流量
我行主要使用Gigamon的解决方案。

      Gigamon 的虚拟化流量采集方案部署由 3 部分组成,包括 FM 集中管理平台、 VM 虚拟化采集探针和 GigaSmart 流量处理引擎。
     GigaVUE-FM 集中管理平台 ( 矩阵管理器 ) : Gigamon 的集中式管理程序 , 紧密整合 VMware vCenter, 用于批量部署和配置 GigaVUE-VM 矩阵节点采集虚拟机层面的流量监测策略。 可利用 vCenter 的 API, 在动态资源调度 (DRS) 和高可用性 (HA) 集群环境下追 踪 vMotion 事件 , 使可视化策略与被监视的虚拟机绑定 , 并随着虚拟机在物理宿主机之间的迁移而迁移。
       GigaVUE-VM 矩阵节点: 是一套 vSphere 客户机虚拟机系统 , 部署在每一台宿主机, 无需特定的软件、内核加载模块或更改 Hypervisor 。用于从 VMware 的虚拟交换系统采集流量,并提供高级的过滤功能和数据包截短功能,然后将数据包进行封装转发至 GigaSmart 流量处理引擎。
       GigaVUE-HC: 带有 GigaSmart 卡的 HC ,通过 GigaSmart 解封装功能,能够将数据包还原至原始报文,并可以调用其它高级功能如去重、脱敏等,并将数据包转发至相应的工具。

在本方案链路通讯部署上有 2 个组成部分,包括管理层面的链路通讯, Tunneling 链路通讯。
❶ 管理层面的链路通讯:用于 FM 对 VM 的安装、配置下发
❷ Tunneling 链路通讯:用于 VM 采集虚拟机流量通过 Tunneling 封装转发到 HC上

按照简单,控制方便,需要使用IP地址。
目前来说,对服务器性能影响很小。

 2019-09-29
  • 谢谢,gigamon的这个方案的确不错,有一个统一的平台可以对多台物理机批量的镜像虚机安装、管理、和策略分发,解决了使用第二种方案令人头疼的管理问题。
    2019-09-30

回答者

黄江技术支持, 某银行

回答状态

  • 发布时间:2019-09-29
  • 关注会员:14 人
  • 回答浏览:647
  • 关于TWT  使用指南  社区专家合作  厂商入驻社区  企业招聘  投诉建议  版权与免责声明  联系我们
    © 2019  talkwithtrend — talk with trend,talk with technologist 京ICP备09031017号-30