Правила агрегации

Правило агрегации метрик — это настройка, которая определяет:

  1. Куда отправлять собранные данные (конечная точка: IP/DNS + порт).

  2. В каком формате отправлять данные (IPFIX или sFlow).

  3. С каких сущностей собирать метрики (уровень агрегации):

  • проект (все порты всех ВМ внутри проекта),

  • сеть (все порты ВМ внутри этой сети),

  • конкретная ВМ (все её порты),

  • отдельный порт (точечный сбор метрик).

Таким образом, каждое правило агрегации имеет имя, описание, определённый тип собираемых данных и конечную точку, в которую перенаправляется телеметрия.

Детальное описание правила

../../../_images/rule_info.png

В приведённом примере агрегация выполняется по инстансу analyzer.

В детальной информации приводятся следующие данные:

  • имя интерфейса: tap2e85a4do-ea;

  • IP-адрес агента: 172.16.96.46;

  • индекс интерфейса в системе Linux: 23.

Пример работы с метриками IPFIX

Для демонстрации работы с метриками IPFIX были развернуты сервисы Elasticsearch, Kibana и Flow-collector.

../../../_images/collector.png

На изображении представлен пример отображения метрик, когда для отображения выбраны только индексы интерфейсов, с которых выходят пакеты и на которые они поступают:

  • flow.out.netif.index — индекс исходящего интерфейса;

  • flow.in.netif.index — индекс входящего интерфейса.

В данном случае на целевой коллектор были переданы только данные, относящиеся к инстансу “analyzer”, так как у него имеется единственный интерфейс с именем tap2e85a4do-ea и системным индексом 23.

Создание правила для агрегации метрик (пример с sFlow-коллектором)

Рассмотрим процесс создания правила агрегации метрик на примере sFlow-коллектора.

Перед началом работы можно убедиться, что у коллектора sFlow отсутствуют подключённые агенты. Это позволяет наглядно проследить, как правило агрегации влияет на сбор и отображение данных.

Для создания нового правила агрегации метрик перейдите на вкладку Агрегация метрик и нажмите кнопку Создать правило

../../../_images/rule_cr.png

Заполните обязательные поля:

  • Имя правила;

  • Тип данных — доступны два варианта протокола сбора телеметрии: sFlow и IPFIX. sFlow — это протокол, который позволяет снимать лёгкие выборки трафика и собирать счётчики интерфейсов, чтобы в реальном времени видеть, как работает сеть, без перегрузки оборудования. IPFIX детализированная «телеметрия потоков».

Сравнение IPFIX и sFlow

Характеристика

IPFIX

sFlow

Метод

Экспорт информации о потоках

Выборка пакетов + счётчики

Детализация

Высокая, поддерживает кастомные поля

Общая, зависит от частоты выборки

Нагрузка

Выше (обработка потоков)

Ниже (выборка пакетов)

Подходит для

Анализ, биллинг, SLA, безопасность

Мониторинг больших сетей в реальном времени

Стандарт

RFC 7011 (IETF)

RFC 3176 (IETF)

  • Конечная точка — адрес или DNS-имя, на которое будет отправляться

агрегированная телеметрия.

Далее следует выбрать сущности, по которым будет выполняться агрегация.

Возможные варианты:

  • проект целиком,

  • отдельная сеть,

  • конкретный инстанс,

  • отдельные порты.

В качестве примера выберем виртуальную машину “analyzer” для настройки правила агрегации метрик.

../../../_images/rule_cr.png ../../../_images/rule_cr_2.png

После выбора сущности нажмите кнопку «ОК». Правило будет создано и появится в списке правил агрегации метрик.

Просмотр метрик в sFlow-коллекторе

После открытия sFlow-коллектора и выбора метрики “ifindex” можно увидеть следующее:

  • значение метрики равно 23 — это индекс интерфейса в системе Linux;

  • данный интерфейс является единственным, по которому поступают данные.

Пересоздание правила

Меню пересоздания правила аналогично меню создания нового правила. В нём можно изменить:

  • имя правила,

  • тип данных,

  • конечную точку,

  • выбрать новые сущности для агрегации.

В рамках демонстрации был добавлен ещё один инстанс для сбора телеметрии — “test-2”.

../../../_images/rule_re_cr.png

После внесения изменений нажмите кнопку «ОК». Правило будет пересоздано с обновлёнными параметрами и появится в списке правил агрегации метрик.

Если при пересоздании не изменялись имя правила, тип данных или конечная точка, то на странице правил видимых изменений не будет.

В этом случае для просмотра внесенных изменений необходимо открыть страницу с детальным представлением правила.

Открыв страницу детального представления правила, можно увидеть, что среди инстансов появилась новая кликабельная ссылка на виртуальную машину “test_2”.

../../../_images/test_2.png

  • При клике по имени виртуальной машины открывается страница с подробной

информацией о данной виртуальной машине. Кроме того, в таблице «Сопоставление интерфейсов» появился новый интерфейс:

  • имя интерфейса: tapcc9f65ce-fa

  • системный индекс: 24

Просмотр метрик в sFlow-коллекторе после пересоздания правила После открытия страницы sFlow-коллектора можно заметить, что максимальное значение метрики ifindex изменилось и теперь равно 24. Это соответствует интерфейсу виртуальной машины “test_2”, добавленной при пересоздании правила.

../../../_images/metrics_2.png

Просмотр минимального значения метрики ifindex При просмотре метрики ifindex в sFlow-коллекторе минимальное значение равно 23. Это соответствует системному индексу интерфейса виртуальной машины “analyzer”.