摘要:以eBPF技术为主的NPM监控在市场日趋火热,本文主要以Packet作为处理目标展开对传统NPM与云原生NPM的差异化分析,带领大家了解二者的优劣势。
网络性能监控 (Network Performance Monitoring - NPM) 是一种用来采集、监控、诊断网络相关的技术和方法,可以帮助IT运维人员方便观察所管理网络的运行状态,了解潜在的故障点和风险,并有助于快速定位故障原因。此外,也能为最大化/调优网络性能、可用性和服务质量提供支撑。
为了更好的监控网络运行状态,NPM产品会采用多种方法来采集多种指标和数据,如SNMP、NetFlow / sFlow、Packet Capture等。这些数据中,SNMP指标需要采集设备主动向被管理的设备去请求,Flow信息由网络设备采样和推送,而Packet通常由独立设备通过网络设备的镜像端口进行流量获取。可见,Packet的方式能提供更多和更完整的网络真实面貌,但是对采集设备的要求也更多,不仅要处理大流量,计算各种网络指标,还需要能深度解析各种网络协议,从而提取更多的信息。因此,市场上不同的NPM产品,主要的竞争差异也是对包的处理,比较先进的NPM产品,从网络包中提取大量的信息之后,通过机器学习和AI的方式,实现自动风险识别,事件提醒等高级功能。
因此,本文主要以Packet 作为处理目标来分析传统NPM与云原生NPM的差异。虽然传统网络和云原生的基础设施环境不一样,但是NPM的目标是一样的:更好地了解网络实时运行状态,为扩容/缩容提供依据,为快速故障诊断提供支持,等等。但也正是IT基础设施环境的不一样,导致了两种环境下NPM的巨大差异,主要体现在以下几方面:
1) 部署方式
传统NPM需要独立硬件连接网络设备的镜像端口,此外,为了能进行多段分析(同一个网络包通过多个网络设备之后,需要计算每个网络设备的转发时延),就需要有多台物理设备连接不同网络设备的镜像端口,如果不同网络设备的物理位置比较近,可以连接至同一个NPM设备的不同抓包端口。
云原生NPM通常以纯软件方式形式存在,部署在业务系统的主机内,如果业务系统已经采用Docker, K8S等集群方式,那么部署起来将更加方便。由于每个主机都会进行部署,因此天生就可以从多处采集不同的流量,实现类似传统NPM中的多段分析。
2) 采集的流量内容
传统NPM可以采集到所有的物理网络流量,包括网络设备之间的路由协议数据。
云原生NPM主要采集所在(虚拟)主机的网络流量,包括主机与外部的通信流量,也包括主机内部通过虚拟网络设备互相连接的容器。
3) 业务影响
从1)中可知,传统NPM使用专用硬件设备来处理和分析网络数据,因此完全不会影响原先的系统运行。
云原生NPM运行在原有的系统中,会占用原有系统的资源,如果NPM占用太多的资源,很有可能会影响系统的运行。
4) 优/劣势
传统NPM可以捕获到更多种类的网络流量,不仅可以分析路由协议,观察网络转发的性能;也可以分析业务的流量,评估客户端和服务端的网络处理性能。另外,传统NPM可以使用更多的资源,对捕获的数据包做更详细的分析;甚至可以将所有捕获的数据进行存储,便于事后更丰富的分析和调查取证使用。相比于软件部署的云原生NPM,硬件成本比较高,升级维护也没那么方便。
云原生NPM部署在业务系统主机内,不仅可以捕获主机与外界的通信流量,还可以捕获主机内部的网络流量,尤其微服务架构流行的时代,主机内部的通信流量也日益增多。缺点是要保持实现的轻量,以免消耗过多的资源,影响业务系统。另外,一般部署的节点较多,对NPM的管理也有较高要求。
5) 实现技术
传统NPM大多采用一台配置较高的服务器硬件,甚至在特别大的流量场景下会使用专业的抓包网卡来捕获数据包,专业网卡一般还会提供高精度的网络包时间戳功能,为计算网络时延、抖动等功能提供帮助。有时,还会配备大容量的磁盘阵列,用于存储捕获的数据包。在软件层面,目前使用DPDK技术捕获数据包比较流行。
云原生NPM大多采用libpcap/winpcap抓包技术,近年来基于eBPF的XDP技术也很受关注。
欢迎各位来乘云伙伴群分享交流,评论区留言即可获得加群方式!
乘云数字是一家可观测软件服务商,专注于为企事业用户提供一站式的IT性能监测与人工智能运维分析服务。云原生环境作为目前主流的基础设施发展方向,我们也十分重视在云原生场景中采集各种主机、容器、POD等各种维度的数据,其中NPM相关的指标和数据也是我们重点关注的一个方向,这些数据被用来观测复杂的云原生网络环境的动态,同时也帮助快速定位网络相关的故障和性能问题。乘云数字的NPM功能,不仅采集操作系统提供的详细指标数据,还结合了旁路抓包的深度流量解析技术和基于eBPF的系统可观测技术。以较少的资源开销,将应用层与网络层进行关联,将网络故障和事件定位至具体的应用,极大地缩短了定位网络异常的时间。
