1. 某地產(chǎn)開發(fā)商的轉(zhuǎn)型之路
隨著企業(yè)對云的認(rèn)識越來越成熟，行業(yè)云、私有云逐漸成為企業(yè)的選擇。“世界500強(qiáng)”某地產(chǎn)開發(fā)商對科技、互聯(lián)網(wǎng)的擁抱由來已久，早年便有向互聯(lián)網(wǎng)企業(yè)學(xué)習(xí)的歷史，CEO在一次演講中表示，企業(yè)向技術(shù)轉(zhuǎn)型是必然的趨勢，并于2016年啟動了“沃土計(jì)劃”，開啟了集團(tuán)內(nèi)部的一場信息化革命）。為保證沃土計(jì)劃的落地實(shí)施，地產(chǎn)開發(fā)商組建了自己的網(wǎng)絡(luò)科技全資子公司（以下簡稱“地產(chǎn)科技企業(yè)”）。
地產(chǎn)科技企業(yè)是向集團(tuán)總部以及所有下屬子公司、相關(guān)聯(lián)公司提供IT規(guī)劃、開發(fā)和運(yùn)營服務(wù)的IT服務(wù)提供商。在這樣的背景下，其IT建設(shè)迅速發(fā)展起來的。在轉(zhuǎn)型過程中，多元業(yè)務(wù)戰(zhàn)略對業(yè)務(wù)間整合、客戶資源打通、信息系統(tǒng)建設(shè)等也提出了更高的要求，集團(tuán)總部希望自己扮演的角色是一個全新的生態(tài)構(gòu)建者、連接者，采用“重服務(wù)，偏運(yùn)營”的方式將產(chǎn)業(yè)上、下游的要素進(jìn)行聚集，進(jìn)而對產(chǎn)業(yè)鏈進(jìn)行重構(gòu)，形成新的生態(tài)系統(tǒng)。
2. 地產(chǎn)科技企業(yè)的多云戰(zhàn)略
據(jù)RightScale 2019年云狀態(tài)報(bào)告顯示，84%的企業(yè)采用了多云戰(zhàn)略?；旌显频膬?yōu)勢在企業(yè)上云過程中愈發(fā)突顯，各大廠商也在混合云市場繼續(xù)發(fā)力使得多云管理、云網(wǎng)協(xié)同和安全方面的能力不斷提升，混合云在各個行業(yè)的應(yīng)用越來越深入。在這樣的背景下，地產(chǎn)科技企業(yè)選擇了多云架構(gòu)作為集團(tuán)業(yè)務(wù)上云的基礎(chǔ)支撐。在不同階段分別上線了阿里公有云、微軟Azure公有云、華為公有云、VMware私有云、華為私有云共計(jì)5個云資源池平臺以滿足業(yè)務(wù)發(fā)展的需要。
2.1. 多云異構(gòu)帶來的挑戰(zhàn)
與眾多企業(yè)一樣，虛擬網(wǎng)絡(luò)如何監(jiān)控分析成為地產(chǎn)科技企業(yè)的新課題。這5朵云由于缺乏有效的虛擬網(wǎng)絡(luò)分析工具和手段，無法對其進(jìn)行統(tǒng)一的管理，因此迫切希望構(gòu)建統(tǒng)一的混合云管理平臺提高運(yùn)營效率，以確保5朵云持續(xù)、高效、安全地運(yùn)行。
業(yè)界已形成共識，針對傳統(tǒng)網(wǎng)絡(luò)的監(jiān)控分析方法無法適應(yīng)云時代的需求，目前地產(chǎn)科技企業(yè)的云平臺在虛擬網(wǎng)絡(luò)監(jiān)控分析方面還存在一些空白。采用多云架構(gòu)之后，云的管理團(tuán)隊(duì)遇到了基礎(chǔ)設(shè)施資源池多樣化、異構(gòu)資源池統(tǒng)一監(jiān)控難、資源和服務(wù)的調(diào)配能力與效率低等困難。
2.2. 5朵云的統(tǒng)一流量管理
業(yè)界對于多云環(huán)境的統(tǒng)一網(wǎng)絡(luò)監(jiān)控尚在探索之中。云杉網(wǎng)絡(luò) DeepFlow® 獨(dú)有的采集器技術(shù)能夠同時運(yùn)行在不同的資源池環(huán)境中，單臺控制器可以對接多個不同的云平臺和管理數(shù)千個采集器，從而實(shí)現(xiàn)多云異構(gòu)環(huán)境下統(tǒng)一的網(wǎng)絡(luò)監(jiān)控和分析，由此成為市場上能夠匹配地產(chǎn)科技企業(yè)的5朵不同云的最佳選擇。通過采用 DeepFlow® 方案，地產(chǎn)科技企業(yè)得以建設(shè)并實(shí)現(xiàn)如下目標(biāo)：
東西向流量采集能力
針對5朵不同的云平臺，實(shí)現(xiàn)對部分直接在宿主機(jī)內(nèi)部完成傳輸?shù)臇|西向流量的采集，破除虛擬網(wǎng)絡(luò)帶來的黑盒效應(yīng)。
全網(wǎng)可視化能力
實(shí)現(xiàn)包括虛擬網(wǎng)絡(luò)以及混合網(wǎng)絡(luò)中端到端的網(wǎng)絡(luò)可視化，生產(chǎn)網(wǎng)絡(luò)和業(yè)務(wù)網(wǎng)絡(luò)實(shí)時數(shù)據(jù)以及歷史網(wǎng)絡(luò)數(shù)據(jù)的可視化等。
基于租戶網(wǎng)絡(luò)的計(jì)量能力
通過對接云平臺及基于SDN的虛擬網(wǎng)絡(luò)，區(qū)分租戶網(wǎng)絡(luò)并實(shí)現(xiàn)對租戶網(wǎng)絡(luò)流量精確的采集、統(tǒng)計(jì)能力。
虛擬網(wǎng)絡(luò)異常感知能力
通過對虛擬網(wǎng)絡(luò)流量的分析，實(shí)現(xiàn)對業(yè)務(wù)網(wǎng)絡(luò)變更、網(wǎng)絡(luò)故障惡化、網(wǎng)絡(luò)異常的自動感知及告警能力。
3. DeepFlow® 解決方案

地產(chǎn)科技企業(yè)在經(jīng)過反復(fù)調(diào)研和詳細(xì)溝通后，選擇了部署 DeepFlow® 虛擬網(wǎng)絡(luò)流量采集與分析系統(tǒng)軟件，以現(xiàn)有的5個云平臺網(wǎng)絡(luò)數(shù)據(jù)為核心，通過對其虛擬網(wǎng)絡(luò)流量進(jìn)行采集和分析，實(shí)時監(jiān)控云平臺網(wǎng)絡(luò)運(yùn)行情況，保障網(wǎng)絡(luò)安全高效地運(yùn)行。



      3.1. 方案概述
在該項(xiàng)目建設(shè)中， DeepFlow® 平臺對接范圍包括阿里公有云、VMware、華為公有云、華為私有云、微軟公有云共5個平臺。通過部署DeepFlow® 采集器、控制器和數(shù)據(jù)節(jié)點(diǎn)三大組件，幫助地產(chǎn)科技企業(yè)在混合云環(huán)境中實(shí)現(xiàn)了虛擬網(wǎng)絡(luò)流量的統(tǒng)一采集和實(shí)時分析，實(shí)現(xiàn)對業(yè)務(wù)關(guān)鍵鏈路的全面性能監(jiān)控，并提供虛擬網(wǎng)絡(luò)端到端的路徑診斷。
采集器運(yùn)行于5朵云的計(jì)算節(jié)點(diǎn)，通過從控制器獲取ACL規(guī)則，提供對云環(huán)境中的網(wǎng)包數(shù)據(jù)完備的采集和預(yù)處理能力（如過濾、分發(fā)、Flow生成、Flow截取、脫敏等功能）可精細(xì)地實(shí)現(xiàn)對云網(wǎng)絡(luò)流量的采集和分析。
控制器組件以集群模式旁路部署在本地資源池的標(biāo)準(zhǔn)x86服務(wù)器中，提供5朵云的對接和全部采集器的管理以及采集策略的管理。數(shù)據(jù)節(jié)點(diǎn)部署方式和控制器相同，提供豐富的實(shí)時分析和回溯取證等功能，并根據(jù)項(xiàng)目規(guī)劃要求，支持橫向擴(kuò)展。
3.2. 部署實(shí)施
在項(xiàng)目實(shí)施過程中，控制器和數(shù)據(jù)節(jié)點(diǎn)旁路部署在地產(chǎn)科技企業(yè)本地資源池的x86集群，控制器通過對接云平臺實(shí)現(xiàn)了虛擬機(jī)遷移感知，從而實(shí)現(xiàn)了采集策略的自動化跟隨；同時 DeepFlow® 擁有對自身系統(tǒng)的全面監(jiān)控能力，以確保平臺穩(wěn)定運(yùn)行且不會對地產(chǎn)科技企業(yè)云環(huán)境造成影響。根據(jù)5朵不同云的技術(shù)差異，采集器組件在不同的云環(huán)境中，采取了如下部署方式：
在基于開源OpenStack云平臺環(huán)境（如華為私有云）中，采集器以用戶態(tài)進(jìn)程的形式安裝在宿主機(jī)上，利用宿主機(jī)操作系統(tǒng)自身內(nèi)核的功能模塊，對其虛擬網(wǎng)卡進(jìn)行流量采集。
在VMware云平臺、微軟Hyper-V虛擬化環(huán)境和其他公有云中，通過在獨(dú)立虛擬機(jī)中安裝采集器的方式，借助宿主機(jī)或公有云操作系統(tǒng)自帶的虛擬交換機(jī)功能實(shí)現(xiàn)流量的采集。
3.2.1. 云網(wǎng)全景圖
地產(chǎn)科技企業(yè)云平臺對資源上下級的關(guān)聯(lián)展示有所缺失。例如網(wǎng)管平臺只有宿主機(jī)與虛擬機(jī)的信息關(guān)系，而云平臺又只有VPC、子網(wǎng)、虛擬機(jī)信息；當(dāng)宿主機(jī)故障時，無法判斷影響了哪些客戶的哪些資源。借助 DeepFlow® 資源拓?fù)浼饶懿榭促Y源的所有云平臺信息、流量統(tǒng)計(jì)信息，又能根據(jù)不同視角來查看資源的關(guān)聯(lián)關(guān)系；例如VPC視角能將VPC關(guān)聯(lián)的虛擬網(wǎng)關(guān)、VPC所包含的子網(wǎng)、虛擬機(jī)、虛擬路由器、虛擬安全組、外網(wǎng)/內(nèi)網(wǎng)IP等全部呈現(xiàn)。
現(xiàn)有的流量統(tǒng)計(jì)和管理工具中，基本具備對單資源點(diǎn)的監(jiān)控，但多資源之間的流量走向關(guān)系卻不能直觀地可視化，因此則不能進(jìn)行帶寬資源優(yōu)化，也不能監(jiān)控流量到底流向何方。借助 DeepFlow® 流量拓?fù)淠芰?，云平臺的運(yùn)營者不僅能從大范圍到小范圍層層深入揭示流量拓?fù)潢P(guān)系，也能窺見資源與資源之間、資源與Internet之間、資源與未知流量之間的關(guān)系。
3.2.2. 云網(wǎng)診斷
云時代東西向流量占比越來越大，虛擬網(wǎng)絡(luò)越來越得到重視，但虛擬網(wǎng)絡(luò)問題的定位還處在蠻荒期，多數(shù)場景下都是一邊人工查看配置信息，一邊找到對應(yīng)設(shè)備，一邊導(dǎo)流量分析的狀態(tài)。云平臺運(yùn)營者無法準(zhǔn)確知曉業(yè)務(wù)部門提出來的帶寬需求是否合理；也不知道虛擬機(jī)的投放是否符合業(yè)務(wù)需求；不清楚東西向的流量與南北向流量的變化；難以區(qū)分哪些業(yè)務(wù)的流量產(chǎn)生了異常；不能預(yù)判活躍TCP端口是否有變化。
地產(chǎn)科技企業(yè)的5朵云不同程度地遇到了上述問題，要解決上述問題需要先解決東西向流量帶來的巨大壓力。DeepFlow® 依靠精準(zhǔn)的流量預(yù)處理能力，從多資源維度、多租戶視角、多流量場景、任意時間粒度來統(tǒng)計(jì)與分析云網(wǎng)流量、包量，針對業(yè)務(wù)畫像梳理出來的業(yè)務(wù)做可視化監(jiān)控。此外，DeepFlow® 提供了豐富的可自定義告警設(shè)置，通過對不同的云資源池、設(shè)定詳細(xì)的網(wǎng)絡(luò)性能監(jiān)控指標(biāo)和告警閾值，從而實(shí)現(xiàn)了快速發(fā)現(xiàn)和定位業(yè)務(wù)網(wǎng)絡(luò)異常；結(jié)合支持五元組采集過濾的PCAP下載功能，滿足了故障回溯取證的需求，覆蓋了故障事前預(yù)警和事后分析的全場景。
4. 價(jià)值總結(jié)
在不侵?jǐn)_生產(chǎn)網(wǎng)絡(luò)、不影響業(yè)務(wù)連續(xù)性的前提下，DeepFlow® 通過與地產(chǎn)科技企業(yè)多云平臺的對接，在層次復(fù)雜的虛擬網(wǎng)絡(luò)環(huán)境中從服務(wù)和應(yīng)用角度，梳理并監(jiān)控業(yè)務(wù)網(wǎng)絡(luò)，通過對網(wǎng)絡(luò)指標(biāo)的異常信息進(jìn)行實(shí)時分析，為業(yè)務(wù)在虛擬網(wǎng)絡(luò)中的運(yùn)行狀態(tài)提供及時的監(jiān)控告警。地產(chǎn)科技企業(yè)通過部署 DeepFlow® 實(shí)現(xiàn)了異構(gòu)云資源池虛擬網(wǎng)絡(luò)流量的按需采集、統(tǒng)一管理，解決了多云環(huán)境下虛擬流量的一體化管理和分析，為企業(yè)的業(yè)務(wù)整合、資源打通和基礎(chǔ)設(shè)施建設(shè)打下了堅(jiān)實(shí)的基礎(chǔ)。