Skip to main content

以軟體探測器維護軟體網路的能見度

像容器化這樣的新型網路虛擬化技術極度仰賴於在眾多輕量級虛擬資源中分配流量, 因為這些資源具有高瞬變性,電信營運商無法使用實體探測器來監控彼此之間的流量。 硬體探測器也無法執行服務保證及疑難排解等基本功能。

遺漏網路流量能見度可能會抹除虛擬化的優勢。 那我們該如何在虛擬網路環境中確保流量能見度呢?答案是導入軟體探測器。

NFV 需要虛擬探測器

過去,電信營運商以專用設備來監控網路, 但實體探測器無法存取邏輯介面,當然就無法監控同一台伺服器代管之所有虛擬機器 (VM) 間的流量。 正是因為如此,實體設備無法輕易地監控經由虛擬疊層連接之不同伺服器的流量。

相反的,無論是虛擬或實體網路,軟體探測器都能運作, 辨識成千上萬的通訊協定與中繼資料屬性,進而管制流量、串連服務鏈、保障服務,並且啟動新一代的防火牆。

軟體探測器能夠即時監控高密度的資料流量,實現 NFV 的彈性網路基礎架構承諾, 同時也能建立具有執行分析能力的結構化資料集。 這種針對網路使用率及服務品質的精細檢視,讓電信營運商能夠快速地修正服務相關問題,並且設計出創新功能。

高達第 7 層的分類

專精於深入封包檢測 (DPI) 及 IP 分類軟體的 Qosmos 是推出軟體探測器的其中一家公司。 該公司的虛擬化探測器能夠提供即時流量分析、分類,並且能夠擷取高達第 7 層的中繼資料。 這些豐富的資料能夠妥善地支援串流分析、惡意軟體偵測、資料外洩防護,以及雲端應用程式安全代理等諸多功能。

Qosmos 表示其軟體探測器可在多種不同平台上實作,從虛擬 CPE 裝置到搭載 Xeon 的大型伺服器均可。 事實上,該公司的軟體探測器可在處理價值鏈的前期整併動態計數器,進一步減少網路虛擬化的成本及複雜性。

使用 DPDK 建構軟體探測器

Qosmos 使用一組效能最佳化封包處理 API,即 Intel® Data Plane Development Kit (DPDK) 建構其虛擬探測器 (圖 1)。 Intel 最近開放了這套原本作為專有技術推出的 API 原始碼,現在開發人員可以在包括以 RISC 為基礎的處理器等各式各樣不同的平台上使用 Intel DPDK。

圖 1:Intel® Data Plane Development Kit (Intel® DPDK) 卸載運算密集服務。 (資料來源:Intel)

Intel DPDK 虛擬交換器 (vSwitch) 讓電信營運商能在執行 NFV 工作負載的伺服器平台上最大化封包吞吐量。 這是與所有基於 Intel® 架構的硬體平台皆可相容的開放平台。

Qosmos 在其 ixEngine* DPI 引擎中整合了 Intel DPDK vSwitch,大幅強化封包處理效能。 Qosmos 的技術長 Nicolas Bouthors 表示:「如 DPDK 般的技術能夠強化 Qosmos DPI 軟體在資料擷取層的效能」。 

處理器最佳化網路虛擬化

Bouthors 指出軟體探測器必須能夠應對日益增加的網路流量:「這會直接衝擊處理需求」。此外,以穩定的延遲時間交換封包的需求也越來越大。

為了妥善因應不斷增加的資源需求,必須使用 Intel® Xeon® 處理器 E5-2600 v4 產品等效能強大的處理器來保持運作順暢。
由於 CPU 功率越來越好,加密及封包轉送等網路任務也更易於管理。

最重要的是,Xeon E5 2600 v4 這類的處理器能夠以通稱為 Intel® Resource Director Technology (RDT) 的服務品質 (QoS) 技術加速網路虛擬化。

osm-comms-qosmos-figure-2

圖 2. RDT 藉由優先處理 VM 工作負載來協助虛擬功能。 (資料來源:Intel)

RDT 技術能夠提升處理器快取和主要記憶體等關鍵共用資源的能見度及控制性 (圖 2), 同時保持瞬態封包不會塞滿快取記憶體,也不會移置重要的程式碼和資料。

新的 NFV 典範正在推動目前主要以硬體實行的電信功能軟體化。 Intel Broadwell 系列的 Xeon 處理器正在加速實現改為使用虛擬探測器等軟體功能。

軟體探測器如何補強 NFV

對於面臨 CAPEX 與 OPEX 壓力以及資料流量空前高漲的情形,NFV 技術可謂至關重大。 軟體探測器能降低即時監控虛擬網路功能或 VNF 相關的 CAPEX 及 OPEX 成本。

因此,處理平台的選擇也非常重要,因為軟體探測器在極端網路環境中的封包加速有其固有需求:處理平台必須能為現代的虛擬化環境提供足夠頻寬、運算資源以及專用工具!