自2015年起,企业上云从政策层面得到了国家的大力推动,并于各行各业迅速落地。2015年的政府工作报告中首次提出“互联网+”行动计划,要求“推动移动互联网、云计算、大数据、物联网等与现代制造业结合,促进电子商务、工业互联网和互联网金融健康发展,引导互联网企业拓展国际市场。”之后几年,从互联网拓展至政务、金融,以及运营商、电力、能源等各行各业。
金融作为牵动国家命脉的基础行业,在迎接新技术时步履总会更为稳健。某股份制商业银行是中国大陆第一家由民间资本设立的全国性商业银行,最初从核心八大系统开始,是国内最早做整个系统集成的一家银行。步入“银行4.0”时代,银行的系统逐步实现由分布到集中,再向云环境演进的过程。从理念上看,由单一网点服务向多渠道、全方位服务、以银行提供为中心向以用户需求为中心进行转变。
理念的转变对作为基础保障平台的网络系统也提出了更高要求——了解和拥抱真正的业务需求,进行前瞻性的探索和测试以保证未来网络满足业务需求。具体而言,首先对外是接入方式变得多样化,根据价格、端口模式、速率、时延等因素提供各类接入方式,进行5G、VPN的尝试,不再局限于专线接入;其次对内的后台业务提供互联互通服务时,要兼顾大数据、人工智能等分析系统高吞吐、低延时以及互联网高弹性、高并发、高敏捷的需求。
除传统网络的变化外,虚拟化和软件定义技术对网络的革新给网络管理者提供了更多选择,能够让传统网络变得更弹性。某股份制商业银行在传统网络架构之上搭建一层虚拟网络,由虚拟网络进行中心控制,并且可以灵活定制,当上层的业务系统和应用发生变化时,只需调节虚拟网络,就可以让网络架构跟随业务的变化,这为系统和应用提供了更丰富的选择,也使得银行的网络变得越来越“柔软”。但与此同时,传统的网络运维监控模式难以满足新的虚拟网络架构的需求。在此背景下,某股份制商业银行引进了云杉网络DeepFlow®混合云全网流量采集分发解决方案来应对虚拟网络流量管理难题。
虚拟网络流量成运维监控盲点
某股份制商业银行业务生产系统根据行业相关要求需要对全部网络流量数据进行分析,包括性能、交易、安全、防欺诈等,在传统网络环境中主要采用流量镜像的旁路监控分析方案,可基本满足业务需求。
多年的IT运维实践后,某股份制商业银行已经建立了CMDB、IT运维管理系统、集中监控系统、交易性能监控系统、自动化运维系统、日志管理平台等多个系统。并且较早地意识到数据孤岛问题,通过建立运维数据中台来统一管理网络流量数据以缓解数据孤岛现象。借助数据中台的赋能,基于硬件的传统网络设备,在云化和虚拟环境下的大规模网络流量可视化方面继续发挥着应有的价值。
随着银行内云平台建设和业务系统逐渐上云,网络流量的方向发生了变化,部分流量直接在Hypervisor层虚拟交换机中完成了转发,导致传统链路镜像方式无法获取到云内完整流量数据。虚拟网络流量巨大,在不干扰生产环境的前提下完成流量的采集、分发和分析是保障云端业务的关键。
此外,对于云网建设,理想状态下云安全和云运维应先行,但业界上云的普遍情况尚未达到“兵马(业务)未动,粮草(云安全和云运维)先行”的状态,某股份制商业银行也面临着这样的挑战,想要找到一种创新的虚拟网络流量管理方案,来完成云网络环境下的流量采集,并且能够与现有分析工具无缝对接,从而解决业务迁移上云所面临的流量盲区、虚拟网络运维监控效率低的问题。
DeepFlow®透析混合云全网流量
在SDN网络中,需要将虚拟机全部业务流量采集并转发给分析系统,理论上可以采用在OVS配置流表规则或者在虚拟机部署Agent实现,但这两种方案风险和成本都比较高。
云杉网络的DeepFlow®采集器通过专利技术在资源低消耗、系统零侵扰的前提下,实现了虚拟网络流量的按需采集和转发。在某股份制商业银行的网络环境中,因为已经部署成熟的监控分析系统,因此DeepFlow®采集器只需将虚拟网络流量按需地直接转发到后端分析系统即可,从而帮助银行实现了全网流量的分析与可视化。该方案可根据链路中不同的网络设备逐段关联分析,在这些网元中部署多个流量采集点,可以透视全链路网络的流量情况。
同时,DeepFlow®通过银行云平台的标准API接口完成云平台网络、资源和拓扑关系的自主学习,并将网络流量与云平台的资源和服务进行关联映射。这样将监控流量和云平台项目建立直观的关联关系后,用户能够更方便地从云端对应用业务进行画像分析。DeepFlow®采集器对其它功能组件部署零依赖、策略零干扰、资源低消耗这种完全解耦的方式,满足了某股份制商业银行对云内流量监控分析的无扰需求,使得采集到的数据可以与任何其它流量分析工具对接。
作为云原生的一体化的虚拟网络流量采集与分发解决方案,DeepFlow®通过大规模、精准的虚拟流量采集与高效的分发能力,帮助银行补足云网环境下监控运维系统的短板,打通了工具链孤岛,助力银行提高整体网络运维监控的效率。