Blog

Capture de trafic dans un datacenter virtuel

Commençons par quelques faits :

  • Selon Cisco, 76% du trafic global est échangé à l’intérieur des datacenters.
  • Selon CIO Insightplus de 85% de la capacité de traitement serveur est maintenant virtualisée.

L’équation est simple à comprendre : si vous ne pouvez pas effectuer de diagnostic sur le trafic échangé entre des machines virtuelles (qui par définition n’atteint jamais un lien physique), vous échouerez dans le diagnostic de vos dégradations de performance !

Le problème soulevé par la capture de trafic en environnement virtuel

La virtualisation ne consiste pas seulement à héberger plusieurs machines sur un hôte physique ; elle apporte beaucoup de nouvelles pratiques qui ont changé le mode de fonctionnement des datacenters et soulève un bon nombre de problématiques :

  • Fonctionnement dynamique : savoir où les serveurs se trouvent à un instant t est maintenant un défi. Des fonctionnalités telles que vMotion fournissent une souplesse accrue et déplacent les serveurs virtuels en fonction des ressources disponibles. La conséquence est que vous ne pouvez plus prédire où telle ou telle machine virtuelle sera située. Capturer le trafic d’une machine virtuelle en extrayant ce trafic depuis un ESX (hôte physique) vers un interface réseau physique (NIC) ne sera plus réalisable. Identifier où capturer le flux est donc votre premier défi.
  • Mécanismes de capture à l’intérieur du datacenter virtuel : nous avons l’habitude de nous appuyer sur des TAP ou des switchs (SPAN – miroir de port) pour obtenir une copie du trafic et analyser le flux. Dans le monde virtuel, ce ne sera pas aussi facile que dans un réseau physique.

Lorsque vous entamez un diagnostic dans un datacenter virtualisé, vous devez prendre en considération les deux points suivants :

Que pouvez-vous encore réaliser sans capturer le trafic à l’intérieur du datacenter virtualisé?

Vous avez encre… des solutions de contournement pour utiliser d’anciennes méthodes… mais elles ont des limites :

  • Limites de périmètre (ce que vous pouvez voir)
  • Limites de contexte (vous devez répondre à un certain nombre de critères pour les mettre en œuvre)

Voici les options qui restent disponibles :

  • Capturer uniquement le trafic entre les clients et les serveurs frontaux sur les cœurs de résau ; ceci fonctionnera à condition que :
    • Votre architecture de client léger ou de VDI n’est pas hébergée dans le datacenter virtuel
    • Vous n’avez pas besoin d’investiguer les dégradations de performance au delà du serveur frontal.
  • Continuer de router les échanges entre VLANs au niveau des cœurs de réseau et maintenir la segmentation en VLAN entre les différents tiers applicatifs ; dans cette situation particulière, vous pouvez capturer le trafic entre les les VLANs sur le réseau physique.
    • Vous ne devez pas avoir d’intérêt pour l’analyse du trafic au sein d’un VLAN.

Ces solutions de contournement, évidemment, n’apportent rien si vous avez besoin d’effectuer un diagnostic de performance applicative en profondeur.

Quelles options pour capturer le trafic à l’intérieur du datacenter virtuel?

Il y a plusieurs options pour capturer un trafic entre des serveurs selon les ressources dont on dispose (budget, souplesse, règles de sécurité, etc…). Vous devez prendre en compte deux types de problématiques pour définir comment vous allez capturer le trafic au sein de l’infrastructure virtuelle :

  • Quel outil produira une copie du trafic ?
  • Où l’outil d’analyse sera-t-il placé ? (C’est un second sujet couvert par l’article suivant)

Voici les options qui restent disponibles :

  • Capturer uniquement le trafic entre les clients et les serveurs frontaux sur les cœurs de résau ; ceci fonctionnera à condition que :
    • Votre architecture de client léger ou de VDI n’est pas hébergée dans le datacenter virtuel
    • Vous n’avez pas besoin d’investiguer les dégradations de performance au delà du serveur frontal.
  • Continuer de router les échanges entre VLANs au niveau des cœurs de réseau et maintenir la segmentation en VLAN entre les différents tiers applicatifs ; dans cette situation particulière, vous pouvez capturer le trafic entre les les VLANs sur le réseau physique.
    • Vous ne devez pas avoir d’intérêt pour l’analyse du trafic au sein d’un VLAN.

Ces solutions de contournement, évidemment, n’apportent rien si vous avez besoin d’effectuer un diagnostic de performance applicative en profondeur.

OPTION 1 : mode PROMISCUOUS

Quand il s’agit d’analyser un problème précis, la solution disponible la plus ancienne est d’utiliser le mode « promiscuous » pour visualiser le trafic entre plusieurs machines virtuelles au sein d’une ferme de serveurs virtuels.

Le mode promiscuous consiste à définir un groupe de machines virtuelles (appelé Port Group dans un environnement VMware) qui seront connectés par le switch virtuel de façon que chaque paquet émis par une VM sera reçu par l’ensemble des VMs à l’intérieur du Port Group. Ce fonctionnement est assez similaire au fait de faire fonctionner le switch virtuel comme un hub pour ces machines virtuelles.

Vous pouvez alors soit intégrer une machine virtuelle qui intègre le logiciel d’analyse de paquets (exemple : Wireshark ou la capture virtuelle de SkyLIGHT PVX) ou dédier une interface physique à ce groupe pour permettre à un équipement externe physique de recevoir la copie du trafic et de l’analyser.

OPTION 2 : TAP VIRTUEL

Certains éditeurs ont mis à disposition des solutions logicielles qui interagissent avec l’infrastructure de virtualisation pour copier le trafic sans avoir à l’obtenir du switch virtuel. Les meilleurs exemples sont des solutions telles que Phantom TAP d’ Ixia ou GigaVue de Gigamon. Bien que ces solutions paraissent attractives à première vue, il est important de considérer les éléments suivants :

  • Leur mise en œuvre au niveau Kernel du système de virtualisation les rend assez intrusive.
  • Ces solutions enverront le trafic vers un équipement d’analyse au travers d’un tunnel ; vous devrez vous assurer que le transport de cette copie du trafic (soit à l’intérieur ou à l’extérieur de l’hôte de virtualisation) est réalisable sans risque ou difficulté. Ce dont nous parlons ici est le trafic brut, ce qui peut présenter un grand volume de données.

OPTION 3 : Fonctionnalités des switchs virtuels (ER/R/SPAN)

Le switch natif (vSwitch pour VMware, OpenVSwitch pour VirtualBox et Xen) peut être remplacé par un switch virtuel offrant des fonctionnalités avancées en termes de capture de trafic (SPAN, RSPAN, ERSPAN). Ces switchs avancés qui supportent des fonctionnalités de capture sont :

Ils peuvent fournir des fonctionnalités telles que SPAN (miroir de port), RSPAN (miroir de port vers un port physique sur un autre switch), ERSPAN (miroir de port vers une destinaition définie par une adresse IP spécifique).

Certaines de ces fonctionnalités sont visées par des prérequis au niveau de l’équipement physique ou virtuel qui reçoit les flux du RSPAN ou de l’ERSPAN ou en termes de licence au niveau de l’infrastructure de virtualisation (par exemple, le type de licence vSphere : VDS est disponible dans la version Enterprise Plus de VMware).

Avantages et inconvenients

Evidemment, ceci est basé sur les capacités des différentes solutions au moment de l’écriture de cet article et sujet à des changements futurs.

Une fois que vous avez défini votre architecture de capture du trafic au sein de votre datacenter virtuel, vous devez envisager comment vous allez analyser le trafic et le transformer en information opérationnelle permettant de gérer les performances.

Il existe plusieurs approches pour le faire ; elles sont décrites dans un second article « Bonnes pratiques pour le diagnostic de performance dans le datacenter virtuel et cloud privé ».