隨著云和容器等虛擬化技術的不斷擴張，云、數據中心和企業網中的東西向流量呈快速增長趨勢。對東西向虛擬網絡流量的采集與分析，可以幫助用戶實現如下價值：

高效運維，保障業務連續

如果不采集虛擬網絡流量，用戶80%的網絡流量將呈現“黑盒”狀態。遇到因網絡問題導致的業務延遲與中斷時，運維人員猶如盲人摸象。通過對虛擬流量的采集與分析，可以點亮黑盒，呈現精細的虛擬網絡運行狀態，快速定位故障根因，確保業務的連續與穩定。

精細化運營，提高投入產出比

計算、網絡、存儲、帶寬等都是支撐業務需要投入的資源。但在當前業務運營過程中，仍然存在諸如閑置虛擬機未回收、網絡鏈路負載不平均，不同ISP帶寬粗放分配的問題。通過對虛擬流量的采集與分析，可以及時偵測資源使用情況，合理調度資源，提高資源利用率，進而提高投入產出比。

安全防護，保證內網安全

網絡規模擴大和靈活性的提高，內網安全策略呈現只增不減、變動頻繁的狀態。但當前配置的內網安全策略是否全部生效，以及隨著虛擬網絡變動，需要刪除的策略是否已經清理干凈，都是難以回答的問題。同時內網虛擬機被攻陷之后，運維人員是否能及時識別“肉雞”進而保證內網安全，都是需要通過對虛擬流量的采集與分析解決的問題。

虛擬網絡流量采集的關鍵指標

采集性能

作為占據云數據中心總量80%的虛擬流量，實現全量采集需要高性能的采集技術作為支撐。在采集的同時，針對不同業務，還需要完成去重、截斷、脫敏等其他預處理工作，進一步增加了對性能的要求。因此采集性能將是衡量虛擬網絡流量采集技術的一個關鍵指標。

資源開銷

多數虛擬流量采集技術都需要占用本可應用于業務的計算、存儲和網絡資源。除了盡可能少地消耗這些資源之外，仍需要考慮對采集技術實施管理的開銷。尤其當節點規模擴大之后，如果管理成本也同樣呈現線性的上升趨勢，那么該采集技術將不具有理想的擴展能力。

侵擾程度

當前常見的采集技術，往往需要在hypervisor或相關組件上添加額外的采集策略配置。這些策略除了存在與業務策略的沖突隱患之外，往往還會進一步增加hypervisor或其他業務組件的負擔，影響服務SLA。

部署依賴

當需要在hypervisor上部署agent實現流量采集時，往往需要考慮針對不同hypervisor環境的依賴條件，以及各類第三方庫的安裝、升級。在此過程中往往存在沖突或不兼容的情況，影響現有生產系統，增加采集部署難度。

現有虛擬網絡采集技術比較

策略采集

由控制節點接收用戶指令后，對虛擬網元（一般是虛擬交換機）下發采集策略，將流量通過隧道或其他形式轉發至分析節點，完成虛擬流量采集。一般多見于SDN網絡環境。

Pros

?由控制節點中心化控制，策略下發靈活

?可依據業務需求實現細粒度按需采集

?對hypervisor系統沒有依賴

Cons

?采集策略有可能存在與業務策略的沖突

?全量采集需要下發的策略數目大，管理難度高

?增加虛擬網元壓力，采集流量無壓縮，帶寬占用高

網元采集

由虛擬網元（一般是虛擬交換機）直接提供虛擬流量鏡像能力。用戶可通過調用對應的API實現虛擬流量的采集能力。一般多見于成熟的商用整體網絡解決方案。與策略采集不同，網元采集的粒度及靈活度多受限于網元接口API開放出來的能力。

Pros

?直接調用虛擬網元相關接口API，實現簡單

?無策略沖突隱患

?部署簡易

Cons

?受限于接口API的粒度，無法自行實現細粒度控制

?影響虛擬網元性能

代理采集

在hypervisor上運行agent代理，同時啟動專用的流量分析虛擬機。Agent接收控制節點的指令，完成網絡配置，將流量導入流量分析虛擬機，完成流量采集。與策略采集方案的不同之處在于，虛擬網元的配置不直接由控制器完成，并且采集的流量毋須通過隧道等方式發送，而是直接進入本地虛擬機，減少網絡帶寬的占用。

Pros

?控制節點毋須管理大量的采集策略，減輕控制節點壓力

?流量由本地轉發至分析節點（虛擬機），不占用生產網絡帶寬

?可實現細粒度流量采集

?可在本地完成去重、截斷、脫敏等工作，確保數據安全

Cons

?采集策略可能存在與業務策略的沖突

?虛擬機會占用一部分計算、存儲和管理資源

?Agent部署存在對hypervisor環境的依賴

如何實現下一代采集技術？

當前的采集技術分別具有各自的優勢與劣勢。針對當前普遍存在的虛擬網絡采集的需求與痛點，云杉網絡推出專利性的Trident采集技術，解決現有技術存在的問題，滿足用戶對虛擬網絡采集的苛刻要求。Trident作為獨立運行于hypervisor上的采集進程，具有如下特點：

無依賴

Trident由GO語言編寫，利用GO語言的天然優勢，直接生成二進制可執行程序文件，文件僅14MB大小，對部署系統沒有任何第三方庫或組件依賴，可以在任意內核版本大于2.2（1999年發布）的Linux系統上部署運行。

高性能

Trident利用了基于內存映射的“零拷貝”技術，避免了傳統流量采集方案中對數據包的多次拷貝，消除了網絡數據采集的性能瓶頸，從而達到以最小的資源占用，滿足巨量增長的網絡東西向流量采集的目的。可對位于同一臺宿主機的所有虛擬機東西向流量進行全量、實時采集。當前在350Kpps的采集性能下，僅使用15%CPU。

零干擾

Trident可以理解為一臺“影子交換機”，毋須對現有虛擬網元進行任何額外的配置，即可直接采集流經hypervisor的全部流量，對現有網絡策略無任何干擾。

細粒度

Trident通過gRPC接收控制器發送的指令，可實時配置ACL過濾規則、截斷長度、脫敏配置、采集端口等工作參數，或針對指定虛擬接口、IP地址、協議、端口號設定精細采集策略，并可在控制節點編程自動化實現。可針對虛擬化環境虛擬機變動頻率高，網絡環境復雜多變的情況。