作者: Colin Jao 饒康立 – VMware資深技術顧問,主要負責VMware NSX產品線,目前致力於網路虛擬化、分散式安全防護技術與新應用遞送方案的介紹與推廣。
我們在前面三篇的網誌內討論了進行微分段方案部署的建議步驟,並且簡單說明了在vRealize Log Insight內檢視日誌的方式。我們再把這幾個步驟列出來:
但在前面我們略過了一個要點,就是在步驟二內要採用的『工具』:如何去確認實際運作的業務應用,有產生出哪些網路流?在這邊可以使用的工具建議可以用下列這幾種:
- vRealize Network Insight
- NSX Intelligence
vRealize Network Insight (vRNI) 是VMware於2016年買下,專門進行網路流監控的統計與分析方案。經過數年的發展,除了在vSphere / NSX的環境內進行運用外,也可更進一步發展至實體網路設備,甚至到公有雲環境如AWS的Flow Log等都可納入Network Insight的監控範圍。我們之前有寫過四篇網誌與大家進行介紹,如果各位有興趣歡迎到下列各篇進行參考:
- https://www.facebook.com/notes/664900477052110/ vRealize Network Insight–軟體定義資料中心的重要維運工具
- https://www.facebook.com/notes/668757319999759/ 怎麼用vRealize Network Insight快速進行軟體定義資料中心問題排除
- https://www.facebook.com/notes/676335215908636/ 怎麼以vRealize Network Insight搭配NSX提供安全微分段規劃
- https://www.facebook.com/notes/680018862206938/ 以vRealize Network Insight進行虛實環境網路路徑檢視
這邊我們很快地將vRealize Network Insight在微分段評估上的特性進行整理說明。Network Insight可獨立購買、或隨附於NSX Enterprise Plus提供。Network Insight方案的特性為
- 獨立於NSX Data Center 之外的網路管理維運方案,因此在使用時,即使客戶環境沒有 NSX,亦可先在現有的環境內獨立安裝vRNI,來提供需求的評估與資料收集作業
- 也因此,無論客戶後續選擇採用NSX-T或是NSX for vSphere來進行微分段功能,均可採用vRNI作為評估工具。但當然,各位看到此文的時候,應該都要採用NSX-T來進行部署了
- vRNI的網路流資料來源可基於vDS或是由NSX防火牆所送出的Netflow資訊。
- vRNI除了虛擬化環境的網路流分析外,同時亦可藉由SSH / SNMP / Netflow等機制由實體環境的防火牆、交換器、負載平衡器等設備取得資訊,提供路徑分析與網路環境維運等功能
- vRNI可提供防火牆規則的建議,但不會直接呼叫NSX-T or NSX for vSphere來進行規則派發
- 由於vRNI可獨立於NSX之外進行網路流收集與防火牆規則建議,因此無論客戶環境是新安裝 (Greenfield) 或是現有已在運作的生產環境 (Brownfield) ,都適合運用 vRNI 作為網路流收集的工具
我們從17年到現在有在多個客戶的微分段部署採用 vRNI 來進行前期業務流分析以及後續的網路維運作業,只要用戶環境目前的業務系統是放在vSphere環境的虛機內,且有啟用vDS作為虛擬交換器,就可以透過vRNI進行封包抓取與分析,算是相當成熟且於客戶環境常被使用的方案。那為什麼我們還要發展其他的網路分析及可視化工具 – NSX Intelligence呢?最主要的原因在於產品定位上:
- vRNI被定位為支援性廣的產品,應該可以監控除了vCenter / NSX外其他包含實體設備、公有雲等的不同方案。也因此,vRNI策略上主要會採用開放性的公開標準來加大可納管的範圍
- 但如果我們要看得深,比如說在NSX納管的節點內,可以看到除了網路流來源目的資訊,甚至包含分析這些是不是攻擊的封包,Latency是否過大等等,用標準的協定就會叫力有未逮。而這邊就會是NSX Intelligence後續主要可以提供客戶的效益
下篇內我們會與大家就NSX Intelligence進行簡要介紹,後面我們還會就vRNI以及NSX Intelligence之間的不同適用情境做更進一步的說明。
Comments
0 Comments have been added so far