L3-мониторинг

[klink0v]

Озаботился я тут, понимаешь, учётом и контроля трафика внутри ЦОДа. Например, какой-то сервис весьма активно что-то выкачивает из интернетов, а ты не можешь понять кто же забил аплинк. Или один сервис патологически часто долбится в другой, не получая интересующего ответа, а ты не видишь этой нездоровой ситуации. Или между ЦОДами кто-то начал гонять нехарактерно большие объемы трафика. И так далее.

Вопрос делится на две части: на чем собирать (сэмплировать) и где собирать (коллекционировать). Сначала я думал экспортировать Netflow 9 с ждуниперов. Но потом подумал, что это достаточно плохая идея. Ждуниперы эти зело малахольные. Чуть что не так, они шатаются и падают. А на одной из площадок горе-бизапасники на таком 60 штук VLAN-ов на***вертили, вот его я вообще трогать лишний раз боюсь. Если я на все эти 60 интерфейсов навешу сэмплирование, думаю что на этом всё крайне бесславно и закончится. Даже проверять как-то особо не тянет.

Но, благо, на гипервизорах везде есть OpenVSwitch. А он тоже умеет отдавать sFlow / NetFlow / IPFIX. И для меня прямо сейчас не очень очевидно что именно из этого лучше использовать. Кроме того, есть всякие интересные утилиты, которые готовы настроить OpenVSwitch за тебя в лучшем виде: раз, два. Вторая дык вообще грозится помимо трафика прямо готовую разблюдовку по виртуалкам выдавать и всякие прочие метрики собирать а-ля Zabbix. Но чё-то я опасаюсь всем подряд доступ к unix-сокету OpenVSwitch-а выдавать. Положуть ненароком прод, кому жаловаться пойдёшь?

Но допустим, настрою я лапами OpenVSwitch. На что потом приземлять все эти *Flow? Большинство "рекомендованных" платформ немного платные. Халявный sFlowTrend разрешает не больше пяти источников / устройств. Есть конечно Akvorado, но она ух развесистая. Не факт, что осилю настроить эту вундервафлю за разумное время. Есть Elastiflow, но непонятно насколько хватит её бесплатного функционала в моём случае (обещает до 4000 записей в секунду).

Одним словом, пока что вопросов больше, чем ответов.