一、网络性能监控和网络流量分析

检测基础架构运行中断和故障对于确保应用性能至关重要

您的网络由众多基础架构组件组成，这就很难知道所有组件的作用以及其操作对您的应用的影响。所幸的是，大多数组件支持 SNMP（简单网络管理协议）网络监控功能，该功能可提供快速检测网络基础架构运行中断和故障所需的信息。SNMP 会提供关于网络设备和接口可用性以及其他性能指标（例如带宽利用率、数据包丢失、延迟、错误、丢弃、CPU 和内存）的关键信息和网络诊断。

利用 SNMP 网络监控收集关于组件运行状况的详细数据

除专用于 Windows 的设备以外，Windows Management Instrumentation (WMI) 轮询与 SNMP 监控非常类似。WMI 为您提供了关于 Windows CPU、磁盘、内存和操作系统运行状况的信息。

WMI 还提供了关于以下方面的信息：设备上运行的进程、这些进程占用的资源类型以及某些关键 Microsoft 应用（SQL Server、IIS Web Service、Domain Controller / Active Directory、MSMQ 队列）的运行状况。它还会收集和分享 Windows 任务管理器中的详细信息。

始终知晓您的基础架构对应用性能的影响

支持关键业务应用的基础架构组件的运行状况与这些应用的运行状况同等重要，因为如果基础架构出现故障，您的应用也会出现故障。您需要在业务受到影响前，利用可执行的实时信息提前识别和诊断问题。
避免影响业务交易、员工工作效率、客户体验以及（最重要的）企业声誉的业务中断和停机
通过主动检测性能问题，规避与部署新服务和技术相关的风险
了解影响并衡量第三方服务的服务级别协议 (SLA)

二、腾讯云网络流日志分析

腾讯云网络流日志（Flow logs，FL）为您提供全时、全流、非侵入的弹性网卡流量采集，创建流日志后，您可以在日志服务中查看和检索其数据，或者将指定流日志投递其它产品分析或存储，助力您解决故障排查、合规审计、架构优化、安全检测等问题，让您的云上网络更加稳定、安全和智能。

三、加拿大部署网络监控系统

在美国大规模电子网络监控丑闻曝光的背景下，加拿大国防部长麦克（Peter MacKay）证实，加拿大也有自己的、已存在多年的全球监听监控计划。麦克当地时间周一（6月10日）在议会表示，他授权情报机构进行全球范围的电信监控，搜集电话和互联网联系信息。他强调，相关电子网络监听监控计划的对象不是本国公民，而是针对海外。对于加拿大情报机构是否也利用了美国国家情报局在加境内搜集的数据这一问题，麦克部长未置可否。据加拿大媒体报道，相关监听监控计划于2005年由当时的马丁总理领导的政府开始实施。2008年被中止。2011年，麦克部长指令恢复实施。

四、VPC流量监控

运行复杂网络并非易事。除了简单地启动和保持运行外，您还需要时刻注意异常流量模式或可能表示网络入侵、受损实例或其他异常情况的内容。

今天，我们推出了VPC流量镜像。这是一项新功能，您可以将其与现有的 Virtual Private Clouds (VPC) 一起使用，以大规模捕获和检查网络流量。这将允许您：

检测网络和安全异常 – 您可以从 VPC 中的任何工作负载中提取感兴趣的流量，并将其路由到您选择的检测工具。与基于日志的传统工具相比，您可以更快地检测和响应攻击。

获得操作详情 – 您可以使用 VPC 流量镜像来获取网络可见性和控制，从而使您能够做出更明智的安全决策。

实施合规性和安全控制 – 您可以满足监控、日志记录等方面的法规和合规性要求。

解决问题 – 您可以在内部镜像应用程序流量以进行测试和故障排除您可以分析流量模式并主动定位会影响应用程序性能的阻塞点。

您可以将 VPC 流量镜像视为“虚拟光纤分路器”，其提供流经 VPC 的网络数据包的直接访问权限。您将很快看到，可以选择捕获所有流量，也可以使用筛选器捕获您特别感兴趣的数据包，并可选择限制每个数据包捕获的字节数。您可以在多帐户 AWS 环境中使用 VPC 流量镜像，捕获分布在多个 AWS 账户中的 VPC 的流量，然后将其路由到中央 VPC 进行检查。

您可以镜像来自任何由 AWS Nitro 系统提供支持的任何 EC2 实例（A1、C5、C5d、M5、M5a、M5d、R5、R5a、R5d、T3 和 z1d）的流量。

让我们回顾一下 VPC 流量镜像的关键要素，然后进行设置：

镜像源 – AWS 网络资源，存在于特定 VPC 中，可用作流量源。VPC 流量镜像支持使用弹性网络接口 (ENI) 作为镜像源。

镜像目标 – 作为镜像流量的目标的 ENI 或网络负载均衡器。目标可以与镜像源位于同一 AWS 账户中，也可以位于我上文提到的用于实施中央 VPC 模型的不同账户中。

镜像过滤器 – 要捕获（接受）或跳过（拒绝）的入站或出站（相对于源）流量的规范。筛选器可指定协议、源端口和目标端口的范围以及源和目标的 CIDR 块。规则已编号，并在特定镜像会话范围内按顺序处理。

流量镜像会话 – 镜像源与使用筛选器的目标之间的连接。会话已编号和按顺序评估，第一个匹配（接受或拒绝）用于确定数据包的命运。给定数据包最多发送到一个目标。

您可以使用 VPC 控制台、EC2 CLI 或 EC2 API 进行此设置，并在工作中使用 CloudFormation 支持。我将使用控制台。

我已经拥有 ENI，我将把它用作镜像源和目标（在实际使用案例中，我可能会使用 NLB 目的地）：