Avec Flowmill, Splunk ajoutera une corde réseau à sa suite d’observabilité

Flowmill, la (future) composante NPM d’Observability Suite

Basée à Palo Alto, Flowmill est une startup fondée en 2016 et spécialiste de la surveillance des performances réseau (NPM) cloud. Son logiciel retrace automatiquement les connexions entre microservices à partir de l’OS afin « de bâtir une vue en temps réel d’un système distribué », peut-on entendre dans une vidéo de présentation.
Pour cela, Flowmill s’appuie sur la technologie eBPF (Extended Bekerley Packet Filter). Il s’agit d’une évolution récente d’une procédure conçue en 1992 pour filtrer les paquets réseau. Ce protocole minimaliste né en 2013 est doté d’extensions pour d’injecter de manière sécurisée des éléments dans le code du kernel Linux pour exécuter des opérations sur le noyau en lui-même. Cela permet de collecter des événements bas niveau comme des changements de contexte, des allocations mémoire, mais aussi des réceptions de paquets.

La startup utilise cette technique pour détecter les pertes de paquets, les pics de trafics, ou encore les problèmes de connexion et de DNS.

Flowmill assure que son emploi d’eBPF octroie une couverture complète d’une pile de microservices, un suivi en temps réel et une « surcharge négligeable » (environ 0,25 % par cœur CPU, selon elle) sans modifier le code des applications. Son outil comprend une fonctionnalité de découverte et d’analyse automatique de dépendances, et donc de liaisons involontaires ou suspectes, voire des exfiltrations de données.

Flowmill précise dans sa documentation qu’elle dispose pour cela de trois types d’agents : l’agent eBPF (un par VM par hôte), puis deux collecteurs de métadonnées pour AWS et Kubernetes (un par cluster).

« L’approche de Flowmill […] s’inscrit parfaitement dans la politique de Splunk en matière d’observabilité. »

Les données collectées (débits TCP, UDP, taux de paquets reçu, taux d’erreur HTTP, DNS, etc.) de ces sources sont chiffrées, puis traitées et enrichies en temps réel via des algorithmes de corrélation, avant d’être stockées dans une base de séries chronologiques (TSDB). Pour les consommer, la startup propose son interface graphique, des intégrations avec les outils du marché via API, ainsi que l’envoi de notifications et d’alertes (via PagerDuty ou Slack).

« L’approche de Flowmill pour la construction de systèmes qui prennent en charge des intégrations et des analyses de haute fiabilité, en temps réel et à cardinalité élevée, s’inscrit parfaitement dans la politique de Splunk en matière d’observabilité », déclare Jonathan Perry, fondateur et PDG de Flowmill dans un communiqué de presse.

Une stratégie frénétique d’acquisitions

Sur le papier, il suffirait de connecter Flowmill et la plateforme de télémétrie Splunk Cloud via API, mais Splunk est amateur de l’adaptation, de l’intégration et de la refonte de marque.

L’éditeur a notamment acquis SignalFX en 2019, un acteur fournisseur d’une solution APM renommée en Splunk APM, après intégration avec sa pile technologique. La même année, Splunk a assimilé Streamlio (traitement en temps réel), et Omnition (traçabilité distribuée).

Plus récemment, Splunk a annoncé l’achat de l’Estonien Plumbr, spécialisé dans le suivi des performances des applications Java (qui a étendu ses capacités à PHP, Python et nodeJS) pour propulser son offre RUM (Real User Monitoring). Il a également mis la main sur Rigor, dont le logiciel est dédié à la surveillance de l’expérience numérique (Digital Experience Monitoring, DEM). Cette phase de boulimie d’acquisitions vise sans doute à donner le change aux concurrents (très) nombreux : AppDynamics (Cisco), Dynatrace, Datadog ou encore New Relic empruntent une route similaire.

Reste à savoir si cette approche bout en bout convaincra les clients qui, eux, sont davantage préoccupés par le coût du monitoring et de la migration en cloud.