Зусім нядаўна кампанія Check Point прэзентавала новую якая маштабуецца платформу . Мы ўжо публікавалі цэлы артыкул аб тым, . Калі сцісла - дазваляе амаль лінейна павялічваць прадукцыйнасць шлюза бяспекі шляхам аб'яднання некалькіх прылад і балансаванні нагрузкі паміж імі. Дзіўна, але да гэтага часу захоўваецца міф, што гэтая scalable платформа падыходзіць толькі для вялікіх датацэнтраў або для гіганцкіх сетак. Гэта зусім не так.
Check Point Maestro распрацоўваўся адразу для некалькіх катэгорый карыстачоў (мы разгледзім іх крыху пазней), сярод які ёсць і сярэдні бізнэс. У гэтым невялікім цыкле артыкулаў я пастараюся адлюстраваць тэхнічныя і эканамічныя перавагі Check Point Maestro для арганізацый сярэдняга памеру (ад 500 карыстачоў) і чаму гэты варыянт можа быць лепш класічнага кластара.
Мэтавая аўдыторыя Check Point Maestro
Першым чынам давайце разгледзім карыстацкія сегменты, для якіх быў распрацаваны Check Point Maestro. Іх усяго 4:
1. Кампаніі, якім не хапала магчымасцяў шасі. Check Point Maestro гэта не першая якая маштабуецца платформа Check Point. Мы ўжо пісалі, што раней былі такія мадэлі як 64000 і 44000. У іх хоць і была ВЯЛІКАЯ прадукцыйнасць, але ўсё ж былі кампаніі, якім гэтага было МАЛА. Maestro ухіляе гэты недахоп, т.к. дазваляе збіраць да 31-й прылады ў адзін высокапрадукцыйны кластар. Пры гэтым збіраць кластар вы можаце з топавых прылад (23900, 26000), тым самым дамагаючыся каласальнай прапускной здольнасці.
Насамрэч, у вобласці шлюзаў бяспекі, Check Point пакуль адзіныя, хто рэалізуе падобную магчымасць.
2. Кампаніі, якія хочуць мець магчымасць выбіраць "жалеза". Адзін з недахопаў старых scalable платформаў – неабходнасць выкарыстоўваць строга вызначаныя "модулі-ляза" (Check Point SGM). Новая ж платформа Check Point Maestro дазваляе выкарыстоўваць велізарную колькасць розных прылад. Вы можаце выбіраць як мадэлі з сярэдняга сегмента (5600, 5800, 5900, 6500, 6800), так і з High End сегмента (15000 серыя, 23000 серыя, 26000 серыя). Больш за тое, вы можаце іх камбінаваць, у залежнасці ад задач.
Гэта вельмі зручна з пункта гледжання аптымальнага выкарыстання рэсурсаў. Вы можаце дакупляць толькі патрэбную вам прадукцыйнасць, за рахунак выбару патрэбнай мадэлі.
3. Кампаніі, для якіх шасі гэта занадта шмат, але маштабаванасць усё роўна патрэбна. Яшчэ адным "недахопам" старых scalable платформаў (64000, 44000) з'яўляўся высокі парог уваходу (з эканамічнага пункта гледжання). Доўгі час якія маштабуюцца платформы былі даступныя толькі для буйнага бізнэсу з "добрымі" бюджэтамі на IT. Са з'яўленнем Check Point Maestro усё змянілася. Кошт мінімальнага бандла (аркестратар + два шлюзы) супастаўная (а часам і ніжэй) з класічным active/standby кластарам. Г.зн. парог уваходу істотна знізіўся. Кампанія пры выбары рашэння можа адразу закласці якая маштабуецца архітэктуру, пры гэтым не пераплачваючы за магчымы наступны рост запатрабаванняў. Карыстальнікаў стала больш праз год пасля ўкаранення Check Point Maestro? Проста дадаеце адзін-два шлюза, без якіх-небудзь замен ужо наяўных. Не прыйдзецца нават тапалогію мяняць. Проста падключаеце новыя шлюзы да аркестратара і ўжываеце да іх налады літаральна ў пару клікаў.
4. Кампаніі, якія жадаюць аптымальна выкарыстоўваць ужо існуючыя прылады. Думаю шмат каму знаёмая працэдура Trade-In. Калі прадукцыйнасці існуючых прылад ужо недастаткова і для задавальнення бягучых запатрабаванняў трэба абнавіць "жалеза". Даволі затратная працэдура. Плюс, вельмі часта бывае сітуацыя, калі ў замоўца ёсць некалькі кластараў Check Point пад розныя задачы. Напрыклад кластар пад абарону перыметра, кластар пад выдалены доступ (RA VPN), кластар пад VSX і г.д. Прычым у аднаго кластара можа не хапаць рэсурсаў, а ў другога іх з лішкам. Check Maestro з'яўляецца выдатнай магчымасцю аптымізаваць выкарыстанне гэтых рэсурсаў, дынамічна размяркоўваючы паміж імі нагрузку.
Г.зн. вы атрымліваеце наступныя перавагі:
- Няма неабходнасці "выкідваць" наяўнае жалеза. Вы можаце дакупіць адзін-два шлюзы, альбо…
- Наладзіць дынамічнае балансаванне нагрузкі паміж іншымі існуючымі шлюзамі, для больш аптымальнага выкарыстання рэсурсаў. Калі рэзка ўзрастае нагрузка на шлюз перыметра, то аркестратар зможам задзейнічаць "сумныя" рэсурсы шлюзаў выдаленага доступу і наадварот. Гэта дапамагае згладжваць сезонныя (або часовыя) пікі нагрузкі.
Як вы напэўна зразумелі, апошнія два сегмента ставяцца як раз да бізнэсу сярэдняга памеру, якія зараз таксама могуць сабе дазволіць выкарыстанне якія маштабуюцца платформаў бяспекі. Аднак, можа ўзнікнуць слушнае пытанне: “Чым Check Point Maestro лепшы за звычайны кластар?” Паспрабуем адказаць на гэтае пытанне.
Класічны кластар vs Check Point Maestro
Калі казаць аб класічным кластары Check Point то падтрымліваецца два рэжыму працы: High Availability (г.зн. Active/Standby) і Load Sharing (г.зн. Active/Active). Сцісла апішам іх сэнс працы, а таксама іх плюсы і мінусы.
High Availability (Active/Standby)
Як вынікае з назову, у гэтым рэжыме працы адна нода прапускае праз сябе ўвесь трафік, а другая ў рэжыме чакання і падхапляе трафік калі актыўная нода пачынае выпрабоўваць якія-небудзь праблемы.
Плюсы:
- Найбольш стабільны рэжым;
- Падтрымліваецца прапрыетарны механізм SecureXL для паскарэння апрацоўкі трафіку;
- У выпадку выхаду са строю актыўнай ноды, другая гарантавана зможа "пераварыць" увесь трафік (таму што яна сапраўды такая ж).
Мінусы:
Па сутнасці толькі адзін мінус - адна нода цалкам прастойвае. У сваю чаргу з-за гэтага мы вымушаны купляць больш магутнае "жалеза", каб яно магло спраўляцца з трафікам у адзіночку.
Безумоўна, HA рэжым больш надзейны, чым Load Sharing, але аптымізацыя рэсурсаў вымушае жадаць лепшага.
Load Sharing (Active/Active)
У дадзеным рэжыме ўсе ноды кластара апрацоўваюць трафік. Аб'яднаць у такі кластар можна да 8 прылад (больш 4-х ).
Плюсы:
- Можна размеркаваць нагрузку паміж нодамі, за рахунак чаго патрабуюцца меней прадукцыйныя прылады;
- Магчымасць плыўнага маштабавання (даданне ў кластар да 8 нод).
Мінусы:
- Як ні дзіўна, але плюсы тут жа вывальваюцца ў мінусы. Рэжым Load Sharing кахаюць выкарыстаць нават калі ў кампаніі ўсяго дзве ноды. Жадаючы зэканоміць, купляюцца прылады, кожнае з якіх загружаецца на 40-50 працэнтаў. І быццам усё добра. Але калі падае адна нода, мы атрымліваем сітуацыю, калі ўся нагрузка пераходзіць на астатнюю, якая проста не спраўляецца. У выніку адмоваўстойлівасць у такой схеме адсутнічае як такая.
- Дадайце да гэтага кучу абмежаванняў Load Sharing-а (). А самае галоўнае абмежаванне – не падтрымліваецца SecureXL, механізм, які істотна паскарае апрацоўку трафіку;
- Што да маштабавання шляхам дадання новых нод у кластар, то нажаль Load Sharing тут далёка не ідэальны. Калі ў кластар дадаецца больш за 4-х прылад, то прадукцыйнасць пачынае .
Улічваючы першыя два мінусы, для рэалізацыі адмоваўстойлівасці пры выкарыстанні двух нод, мы вымушаны таксама набываць больш прадукцыйнае жалеза, каб яно магло "пераварыць" трафік у крытычнай сітуацыі. Па выніку, ніякай эканамічнай выгады мы не маем, але атрымліваем вялікую колькасць . Больш за тое, варта адзначыць, што пачынаючы з версіі R80.20 рэжым Load Sharing не падтрымліваецца. Гэта абмяжоўвае карыстальнікаў у неабходных абнаўленнях. Ці будзе падтрымлівацца Load Sharing у навейшых рэлізах пакуль невядома.
Check Point Maestro як альтэрнатыва
З пункту гледжання кластара, Check Point Maestro узяў галоўныя плюсы High Availability і Load Sharing рэжымаў:
- Шлюзы падлучаныя да аркестратара могуць выкарыстоўваць SecureXL, што забяспечвае максімальную хуткасць апрацоўкі трафіку. Адсутнічаюць і іншыя абмежаванні ўласцівыя Load Sharing;
- Трафік размяркоўваецца паміж шлюзамі ў адной Security Group (лагічны шлюз які складаецца з некалькіх фізічных). Дзякуючы гэтаму можна закласці меней прадукцыйныя прылады, бо ў нас больш няма прастойваюць шлюзаў, як у рэжыме High Availability. Пры гэтым нарошчваць магутнасць можна практычна лінейна, без такіх сур'ёзных страт як у Load Sharing рэжыме (падрабязней крыху пазней).
Усё гэта выдатна, але давайце разгледзім два канкрэтныя прыклады.
прыклад №1
Няхай кампанія Х збіраецца ўсталяваць на перыметры сеткі кластар шлюзаў. Яны ўжо азнаёміліся са ўсімі абмежаваннямі Load Sharing (якія для іх непрымальныя) і разглядаюць выключна High Availability рэжым. Пасля сайзінгу высвятляецца, што ім падыходзіць шлюз 6800, які не павінен быць загружаны больш за на 50% (каб быў хоць нейкі запас па прадукцыйнасці). Паколькі гэта будзе кластар, то трэба купляць і другую прыладу, якая будзе ў рэжыме standby проста "капціць" паветра. Вельмі дарагая «капцілка» выходзіць.
Але ёсць альтэрнатыва. Узяць бандл з аркестратара і трох шлюзаў 6500. У гэтым выпадку трафік будзе размяркоўвацца паміж усімі трыма прыладамі. Калі вы паглядзіце характарыстыкі двух мадэляў, то ўбачыце, што тры шлюза 6500 больш магутны, чым адзін 6800.
Такім чынам кампанія Х пры выбары Check Point Maestro атрымлівае наступныя перавагі:
- Кампанія адразу закладвае якая маштабуецца платформу. Наступнае павелічэнне прадукцыйнасці будзе зводзіцца да простага дадання яшчэ адной "жалязякі" 6500. Што можа быць прасцей?
- Рашэнне па-ранейшаму з'яўляецца адмоваўстойлівасцю, т.я. пры выхадзе са строю адной ноды, астатнія дзве змогуць справіцца з нагрузкай.
- Не менш важная і дзіўная перавага - гэта танней! Нажаль я не магу выкладваць кошты ў адчынены доступ, але калі цікава, можаце
прыклад №2
Хай кампанія Y ужо мае HA кластар з мадэляў 6500. Актыўная нода загружана на 85%, што пры віновых нагрузках прыводзіць да страт у прадуктыўным трафіку. Лагічным вырашэннем праблемы бачыцца абнаўленне жалеза. Наступная мадэль - 6800. Г.зн. кампаніі трэба будзе здаць шлюзы па праграме Trade-In і набыць два новыя (больш дарагія) прылады.
Але ёсць і альтэрнатыўны варыянт. Набыць аркестратар і яшчэ адну сапраўды такую ж ноду (6500). Сабраць кластар з трох прылад і "размазаць" гэтыя 85% нагрузкі ўжо па трох шлюзах. У выніку вы атрымаеце вялікі запас па прадукцыйнасці (тры прылады ў сярэднім будуць загружаны за ўсё на 30%). Нават калі адна нода з трох "памрэ", то пакінутыя дзве ўсё роўна зладзяцца з трафікам з сярэдняй загрузкай у 45%. Пры гэтым для пікавых нагрузак кластар з трох актыўных шлюзаў 6500 будзе больш магутны, чым адзін шлюз 6800, які знаходзіцца ў HA кластары (г.зн. active/standby). Акрамя таго, калі праз год-два ў кампаніі Y ізноў узрастуць запатрабаванні, тое ўсё што ім трэба будзе зрабіць дадаць яшчэ адну/дзве ноды 6500. Думаю эканамічная выгада тут відавочная.
Заключэнне
Так, Check Point Maestro гэтае не рашэнне для SMB. Але нават сярэдні бізнэс можа ўжо задумацца аб гэтай платформе і хаця б паспрабаваць разлічыць эканамічную эфектыўнасць. Вы будзеце здзіўлены, калі выявіце, што якія маштабуюцца платформы могуць апынуцца выгодней класічнага кластара. Пры гэтым існуюць перавагі не толькі эканамічныя, але і тэхнічныя. Аднак пра іх мы пагаворым ужо ў наступным артыкуле, дзе акрамя тэхнічных "фішак" я пастараюся паказаць некалькі тыпавых кейсаў (тапалогія, сцэнары).
Вы таксама можаце падпісацца на нашы паблікі (, , , ), дзе можна сачыць за з'яўленнем новых матэрыялаў па Check Point і іншым security прадуктам.
Крыніца: habr.com