Кампанія Check Point даволі хутка пачатку 2019 год зрабіўшы адразу некалькі анонсаў. Распавесці пра ўсё ў адным артыкуле не атрымаецца, таму пачнем з самага галоўнага -
Было - Стала
Прасцей за ўсё зразумець чым адрозніваецца новая якая маштабуецца платформа ад старых добрых 44000/64000 гэта зірнуць на малюнак ніжэй:
Розніца відавочная.
Старая платформа Check Point 44000/64000
Як відаць з карцінкі вышэй, першы варыянт уяўляе з сябе фіксаваную платформу (шасі), у якую можна ўстаўляць абмежаваную колькасць спецыяльных "модуляў-лёзаў" (Check Point SGM). Усё гэта падключаецца ў Security Switch Module (SSM), які і ажыццяўляе балансаванне трафіку паміж шлюзамі. На малюнку ніжэй больш падрабязна прадстаўлены складнікі гэтай платформы:
Гэта выдатная платформа ў тым выпадку, калі вы сапраўды ведаеце якая прадукцыйнасць вам патрэбна зараз і ў якіх межах яна можа вырасці. Аднак з-за фіксаванага формаў-фактару (12 ці 6 лёзаў) вы абмежаваныя ў далейшым маштабаванні. Да таго ж, вы змушаныя выкарыстоўваць выключна SGM ляза, без магчымасці падлучэння звычайных аплайнсаў у якіх значна шырэй мадэльны шэраг. Са з'яўленнем Maestro Hyperscale Network Security сітуацыя мяняецца кардынальна.
Новая платформа Check Point Maestro Hyperscale Network Security
Check Point Maestro быў упершыню прадстаўлены 22 студзеня на канферэнцыі CPX у Бангкоку. Галоўныя характарыстыкі можна ўбачыць на малюнку ніжэй:
Як можна заўважыць, галоўная перавага Check Point Maestro – магчымасць выкарыстоўваць для балансавання звычайныя шлюзы (appliance). Г.зн. мы больш не абмежаваныя SGM лёзамі. Размяркоўваць нагрузку можна паміж любымі прыладамі пачынальна з мадэлі 5600 (SMB мадэлі і Шасі 44000/64000 не падтрымліваюцца). На малюнку вышэй прыведзены асноўныя паказчыкі, якіх можна дасягнуць пры выкарыстанні новай платформы. Мы можам аб'яднаць у адзін вылічальны рэсурс да 31! шлюза. Цяпер ваш "фаервол" можа выглядаць наступным чынам:
Maestro Hyperscale Orchestrator
Упэўнены, у многіх ужо з'явілася пытанне: “Што гэта за Аркестратар?” Што ж, знаёмцеся. Maestro Hyperscale Orchestrator - менавіта гэтая штука адказвае за балансаванне нагрузкі. На дадзены девайс усталявана аперацыйная сістэма Gaia R80.20 SP. На дадзены момант ёсць дзве мадэлі Аркестратараў. МХО-140 и МХО-170. Характарыстыкі на малюнку ніжэй:
На першы погляд можа здацца, што гэта звычайны камутатар. На самой жа справе гэта "камутатар + балансавальнік + сістэма кіравання рэсурсамі". Усё ў адной скрынцы.
Да гэтых Аркестратараў падключаюцца шлюзы. У выпадку, калі балансавальнікі ў адмоваўстойлівым выкананні, то кожны шлюз падключаецца да кожнага аркестратара. Для падлучэння можа выкарыстоўвацца "оптыка" (sfp+ / qsfp+ / qsfp28+) альбо DAC кабель (Direct Attach Copper). Пры гэтым паміж аркестратарамі натуральна павінен быць лінк сінхранізацыі:
На малюнку ніжэй можна ўбачыць, як размяркоўваюцца парты гэтых аркестратараў:
групы бяспекі
Для таго, каб нагрузка магла размяркоўвацца паміж шлюзамі, гэтыя шлюзы павінны быць у адной Security Group. Група бяспекі гэта лагічная група прылад, якая функцыянуе як кластар active/active. Гэтая група функцыянуе незалежна ад іншых Security Group. З пункту гледжання сервера кіравання Security Group выглядае як адна прылада з адным ip-адрасам.
Пры неабходнасці мы можам вывесці адзін або некалькі шлюзаў у асобную Security Group і выкарыстоўваць гэтую групу для іншых мэт, як асобны фаервол з пункта гледжання менеджменту. Прыклад выкарыстання прыведзены на малюнку ніжэй:
Важнае абмежаванне, у адной Security Group могуць выкарыстоўвацца выключна аднолькавыя шлюзы (мадэль). Г.зн. калі вы жадаеце лінейна гадаваць магутнасць вашага шлюза бяспекі (які з'яўляецца кластарам з некалькіх прылад), тыя вы павінны дадаваць сапраўды такія ж шлюзы. У бліжэйшых рэлізах софту гэтае абмежаванне павінна знікнуць.
На відэа ніжэй можна ўбачыць працэс стварэння Security Group. Працэдура інтуітыўна зразумелая.
Ізноў жа, калі параўнаць кампаненты Maestro з шасійнай платформай, тое атрымаецца прыкладна наступная карцінка было-стала :
У чым выгада новай платформы?
Плюсаў насамрэч шмат, як з тэхнічнага пункту гледжання, так і з эканамічнага. Распішу сцісла самыя галоўныя:
- Мы практычна не абмежаваны ў маштабаванні. Да 31 шлюза ў рамках адной Security Group.
- Можам дадаваць шлюзы па меры неабходнасці. Мінімальны набор пры куплі - адзін аркестратар + два шлюзы. Не трэба закладваць мадэлі "на рост".
- З папярэдняга пункта выцякае яшчэ адзін плюс. Нам больш не трэба мяняць шлюзы, якія перасталі спраўляцца з нагрузкай. Раней гэтая праблема вырашалася з дапамогай працэдуры trade-in - здавалі старое "жалеза" і атрымлівалі новае са зніжкай. Пры такой схеме непазбежныя фінансавыя "страты". Новая працэдура з маштабаваннем ухіляе гэты фактар. Нічога здаваць не трэба, можна проста працягваць павялічваць прадукцыйнасць з дапамогай дадатковага "жалеза".
- Магчымасць аб'яднання ўжо існуючых рэсурсаў для размеркавання нагрузкі. Да прыкладу, можна "перацягнуць" усе свае кластары на платформу Maestro і сабраць некалькі Security Group, ужо ў залежнасці ад нагрузкі.
Бандлы Maestro Hyperscale Network Security
На бягучы момант ёсць некалькі варыянтаў набыцця так званых бандаў з платформай Maestro. Рашэнне на базе шлюзаў 23800, 6800 і 6500:
Пры гэтым можна абраць з двух стандартных тыпаў камплектацыі:
- Адзін аркестратар і два шлюзы;
- Адзін аркестратар і тры шлюзы.
прылады 6500 и 6800 гэта найноўшыя мадэлі, якія былі таксама прадстаўлены ў пачатку гэтага года. Але пра іх мы пагаворым больш падрабязна ўжо ў наступным артыкуле.
Калі можна купіць?
Тут няма адназначнага адказу. На гэты момант адсутнічае натыфікацыя на ўвоз гэтых рашэнняў да нас у краіну. Як толькі з'явіцца інфармацыя па тэрмінах мы адразу зробім анонс у нашых пабліках (
Заключэнне
Безумоўна, новая платформа
PS Артыкул падрыхтаваны пры ўдзеле Анатоля Масавера - Эксперта па маштабуюцца платформах, Check Point Software Technologies.
Крыніца: habr.com