参赛单位：北京云杉世纪网络科技有限公司

案例名称：兴业数金云网分析平台

案例简介：

兴业数金做为全国最大的银行信息系统托管服务和金融云服务商，为了满足金融云业务的合规性和云计算网络的安全性，在同城双中心部署了云杉网络DeepFlow®云网分析产品，实现了数据中心虚拟网络流量的高效采集、一体化分发和可视化监控分析，帮助用户从云租户、云网络、云资源的视角梳理业务与虚拟网络之间的流量关系、多维度分析云端业务的流量特性，从而解决业务的合规性、安全性和连续性等问题。

项目背景：

面对日益复杂的虚拟网络环境金融行业进一步加强了行业云的监管与等保要求，数金云急需用先进的技术手段和轻量级的产品来解决云数据中心南北向和东西向网络流量的采集问题，并通过构建可视化的云网平台对云端业务的流量进行用量、性能、回溯、安全、诊断等多类分析，满足云网络资源优化、安全事件分析、业务精细化运营等需求场景。

创新技术/模式应用：

1、 业务无侵扰

DeepFlow®采集器的安装部署，无需修改生产网络的虚拟交换机配置，不依赖特定的系统组件，在KVM环境中仅需运行一个用户态的进程，在公有云和VMware云平台以虚拟机的形式部署。当采集器工作时，所消耗的资源为1核CPU、1G内存，当采集为Flow信息时对网络带宽的消耗不足实际流量的10%，并且采集器拥有过载保护机制，可以确保对生产环境无影响。

2、 高度自动化

一台DeepFlow®控制器能够管理500个采集器，并可自动管理多达4000条过滤策略，采集策略能够跟随虚拟机迁移而自动迁移，无需用户修改策略配置。通过与云平台的对接，能够自学习云内的资源信息并根据流量信息梳理业务网络（关键业务路径），通过持续的机器学习可以自动生成网络策略建议。

3、 开放可编程

DeepFlow®秉承了开放可编程的特性，向下可对接多种云平台以及主流厂商的SDN方案、向上提供标准的开放接口。用户可根据DeepFlow®提供的Restful API满足有定制开发需求和对接第三方工具需求的使用场景。

解决行业哪些痛点：

1、 虚拟网络大规模流量采集

面对大规模的虚拟网络流量，传统的采集手段显然无法满足快速排障的要求，在云架构下必须依靠分布式和In-band的手段方能实现精准和高效采集虚拟网络流量的目标。在此基础上构建统一的虚拟流量采集和分发将成为云网监控和排障的主流趋势。

2、 虚拟网络中的监控盲点

当前中大型金融机构的IT基础设施全面池化，使得传统网络的边界延伸到物理服务器内部，物理服务器内部不同网元之间的流量交互不再完全经过物理交换机。由于成熟的传统网络监控方案只能满足物理服务器外部的需求，无法强化地甚至无损地移植到云环境中，造成虚拟网络存在监控盲区，企业亟需针对虚拟网络梳理新的业务指标体系，以满足业务的监管合规要求。

3、 虚拟网络策略管理复杂

企业数据中心的云化使得虚拟网元的类型和数量呈指数级地上升，相应地虚拟网元的状态监控和配置管理成为了新的挑战。现有系统中海量的策略已经超出了人工处理能力的上限，任何失误都将产生重大的安全生产风险；对于不断上线的大量新业务，网络管理人员倾向于将相关的配置权限转交给业务部门，而业务部门渴望系统可以自动化地为业务生成安全策略。

4、 虚拟网络端到端诊断能力

在云时代由于虚拟网络的层级较多，容器、虚机、主机、接入、核心、网络服务等访问和依赖关系复杂，在云中如何实时识别类型繁多的虚拟网元及其配置信息、进而在虚拟网络动态变化的场景下梳理出业务流量的访问路径，成为业务上云后端到端诊断的难题。

执行过程及风险控制：

云网分析以旁路、非侵入式的方式进行对接、学习、部署，不会对金融云生产网络以及云平台进行更改，不会影响金融业务的持续运行。

通过内核态引流的安全方式，不会与金融云生产网络的策略产生冲突，不会对生产网络进行流表干预。

实时监测分发接口速率，出现异常大流量时实现类似‘股票熔断机制’的效果，保护生产业务不受影响。

业务流量在采集的时候直接进行过滤、压缩、去重、截短、封装，提高了采集的性能和效率。

管理控制器TLS安全通信机制，避免伪造的命令与策略的下发至生产网络。

管理控制器的故障与失效逃逸机制，避免对生产业务造成影响。

效果评估：

兴业数金云网分析项目通过对虚拟网络大规模流量的精准采集和实时分析，解决了虚拟网络多维度多场景流量的可视化问题，利用网络用量分析、性能分析、回溯分析和安全分析，满足了金融机构云端业务的合规性、安全性和连续性，提高了数据云平台安全运维的效率和云服务精细化运营的水平。

运行效果

实现金融云业务流量100%全网、全时、全量的全覆盖采集。

实现金融云业务资源端到端的诊断，发现完整虚拟链路中的关键故障点，扫清业务盲点。

实现金融云关键业务、关键路径的识别与修正，确保关键业务的保障。

实现金融云业务安全策略的验证，识别突发、违规流量，符合工信部、银监会的合法、合规与审计要求。

实现金融云对计算、网络资源的合理规划，僵尸资源回收与带宽资源管理，提高金融云精细化运营能力及提高投资回报率。

性能效果

实现同时采集1000+台宿主机服务器的业务网路流量，满足金融云平台大规模扩展的需求。

实现流量处理能力达到单台20Gbps，并且横向可扩展，支持存在大流量业务的云业务环境。

实现秒级回溯业务流量，分钟级定位业务故障点，直接提升金融云用户满意度。

责任编辑：王超