Съвсем наскоро Check Point представи нова мащабируема платформа . Вече публикувахме цяла статия за . Накратко, той ви позволява почти линейно да увеличите производителността на шлюза за сигурност чрез комбиниране на множество устройства и балансиране на натоварването между тях. Изненадващо, все още съществува мит, че тази мащабируема платформа е подходяща само за големи центрове за данни или гигантски мрежи. Това абсолютно не е вярно.
Check Point Maestro е разработен за няколко категории потребители наведнъж (ще ги разгледаме малко по-късно), включително средни предприятия. В тази кратка поредица от статии ще се опитам да отразя технически и икономически предимства на Check Point Maestro за средни по размер организации (от 500 потребители) и защо тази опция може да е по-добра от класически клъстер.
Целева аудитория на Check Point Maestro
Първо, нека да разгледаме потребителските сегменти, за които е проектиран Check Point Maestro. Има само 4 от тях:
1. Компании, на които липсват възможности за шаси. Check Point Maestro не е първата мащабируема платформа на Check Point. Вече писахме, че преди имаше такива модели като 64000 и 44000. Въпреки че имаха СТРАХОТНА производителност, все още имаше компании, за които това НЕ Е ДОСТАТЪЧНО. Maestro елиминира този недостатък, защото... ви позволява да сглобите до 31 устройства в един високопроизводителен клъстер. В същото време можете да сглобите клъстер от устройства от най-висок клас (23900, 26000), като по този начин постигнете колосална производителност.
Всъщност, в областта на шлюзовете за сигурност, Check Point в момента е единственият, който прилага такава възможност.
2. Компании, които искат да могат да избират своя хардуер. Един от недостатъците на по-старите мащабируеми платформи е необходимостта от използване на строго дефинирани „блейд модули“ (Check Point SGM). Новата платформа Check Point Maestro ви позволява да използвате огромен брой различни устройства. Можете да избирате както модели от средния сегмент (5600, 5800, 5900, 6500, 6800), така и от High End сегмента (серия 15000, серия 23000, серия 26000). Освен това можете да ги комбинирате в зависимост от задачите.
Това е много удобно от гледна точка на оптимално използване на ресурсите. Можете да закупите само производителността, от която се нуждаете, като изберете правилния модел.
3. Компании, за които шасито е твърде много, но все още е необходима мащабируемост. Друг „недостатък“ на старите мащабируеми платформи (64000 44000, XNUMX XNUMX) беше високият праг за влизане (от икономическа гледна точка). Дълго време мащабируемите платформи бяха достъпни само за големи фирми с „добри“ ИТ бюджети. С появата на Check Point Maestro всичко се промени. Цената на минималния пакет (оркестратор + два шлюза) е сравнима (и понякога по-ниска) с класически активен/резервен клъстер. Тези. прагът за влизане е спаднал значително. При избора на решение, една компания може незабавно да създаде мащабируема архитектура, без да плаща повече за евентуално последващо увеличаване на нуждите. Има ли повече потребители година след въвеждането на Check Point Maestro? Вие просто добавяте един или два шлюза, без никаква подмяна на съществуващите. Дори не е нужно да променяте топологията. Просто свържете нови шлюзове към оркестратора и приложете настройки към тях само с няколко кликвания.
4. Компании, които искат да използват оптимално съществуващите устройства. Мисля, че много хора са запознати с процедурата Trade-In. Когато производителността на съществуващите устройства вече не е достатъчна и хардуерът трябва да бъде актуализиран, за да отговори на текущите нужди. Доста скъпа процедура. Плюс това, доста често има ситуация, когато клиентът има няколко клъстера Check Point за различни задачи. Например клъстер за периметърна защита, клъстер за отдалечен достъп (RA VPN), клъстер за VSX и др. Освен това един клъстер може да няма достатъчно ресурси, докато друг има изобилие от тях. Check Maestro е отлична възможност за оптимизиране на използването на тези ресурси чрез динамично разпределяне на натоварването между тях.
Тези. получавате следните предимства:
- Няма нужда да „изхвърляте“ съществуващия хардуер. Можете да закупите един или два допълнителни шлюза или...
- Конфигурирайте динамично балансиране на натоварването между други съществуващи шлюзове за по-оптимално използване на ресурсите. Ако натоварването на периметърния шлюз се увеличи рязко, тогава оркестраторът ще може да използва „отегчените“ ресурси на шлюзовете за отдалечен достъп и обратно. Това помага за изглаждане на сезонните (или временни) пикове на натоварване.
Както вероятно разбирате, последните два сегмента се отнасят конкретно до средните предприятия, които вече могат да си позволят да използват мащабируеми платформи за сигурност. Въпреки това може да възникне разумен въпрос: „Защо Check Point Maestro е по-добър от обикновения клъстер?„Ще се опитаме да отговорим на този въпрос.
Класически клъстер срещу Check Point Maestro
Ако говорим за класическия клъстер Check Point, тогава се поддържат два режима на работа: висока наличност (т.е. активен/в режим на готовност) и споделяне на натоварването (т.е. активен/активен). Ще опишем накратко техния смисъл на работа, както и техните плюсове и минуси.
Висока наличност (активен/в режим на готовност)
Както подсказва името, в този режим на работа единият възел пропуска целия трафик през себе си, а вторият е в режим на готовност и поема трафика, ако активният възел започне да изпитва проблеми.
плюсове:
- Най-стабилният режим;
- Поддържа се собственият механизъм SecureXL за ускоряване на обработката на трафика;
- Ако активният възел се повреди, вторият гарантирано ще може да „усвои“ целия трафик (защото е абсолютно същият).
против:
Всъщност има само един минус - един възел е напълно празен. От своя страна, поради това, ние сме принудени да купуваме по-мощен хардуер, за да може да се справи сам с трафика.
Разбира се, режимът HA е по-надежден от споделянето на натоварването, но оптимизацията на ресурсите оставя много да се желае.
Споделяне на натоварването (активно/активно)
В този режим всички възли в клъстера обработват трафик. Можете да комбинирате до 8 устройства в такъв клъстер (повече от 4 ).
плюсове:
- Можете да разпределите натоварването между възлите, което изисква по-малко мощни устройства;
- Възможност за плавно мащабиране (добавяне на до 8 възела към клъстера).
против:
- Колкото и да е странно, плюсовете веднага се превръщат в минуси. Те обичат да използват режим за споделяне на натоварването, дори когато компанията има само два възела. Искайки да спестят пари, те купуват устройства, всяко от които е заредено на 40-50%. И изглежда всичко е наред. Но ако един възел се повреди, получаваме ситуация, при която целият товар се прехвърля към останалия, който просто не може да се справи. В резултат на това в такава схема няма устойчивост на грешки като такава.
- Добавете към това куп ограничения за споделяне на натоварването (). И най-важното ограничение е, че не се поддържа SecureXL, механизъм, който значително ускорява обработката на трафика;
- Що се отнася до мащабирането чрез добавяне на нови възли към клъстера, за съжаление споделянето на натоварването далеч не е идеално тук. Ако към клъстера се добавят повече от 4 устройства, тогава започва изпълнението .
Имайки предвид първите два недостатъка, за да реализираме толерантност към грешки при използване на два възела, ние също сме принудени да закупим по-продуктивен хардуер, така че да може да „смила“ трафика в критична ситуация. В резултат на това нямаме никаква икономическа изгода, но получаваме голяма сума . Освен това си струва да се отбележи, че от версия R80.20 режимът за споделяне на натоварването не се поддържа. Това ограничава потребителите от необходимите актуализации. Все още не е известно дали споделянето на натоварването ще се поддържа в по-новите версии.
Check Point Maestro като алтернатива
От гледна точка на клъстера, Check Point Maestro се възползва от основните предимства на режимите High Availability и Load Sharing:
- Шлюзовете, свързани към оркестратора, могат да използват SecureXL, което осигурява максимална скорост на обработка на трафика. Няма други ограничения, присъщи на споделянето на натоварването;
- Трафикът се разпределя между шлюзовете в една група за сигурност (логически шлюз, състоящ се от няколко физически). Благодарение на това можем да инсталираме по-малко продуктивни устройства, тъй като вече нямаме празни шлюзове, както в режим на висока наличност. В същото време мощността може да се увеличи почти линейно, без толкова сериозни загуби, както в режим на споделяне на натоварването (повече подробности по-късно).
Всичко това е страхотно, но нека да разгледаме два конкретни примера.
Пример #1
Нека компания X възнамерява да инсталира клъстер от шлюзове в периметъра на мрежата. Те вече са се запознали с всички ограничения на Load Sharing (които са неприемливи за тях) и обмислят изключително режима на High Availability. След оразмеряване се оказва, че за тях е подходящ шлюза 6800, който не трябва да се натоварва с повече от 50% (за да има поне някакъв запас от производителността). Тъй като това ще бъде клъстер, трябва да закупите второ устройство, което просто ще „пуши“ въздух в режим на готовност. Това е много скъпа пушилня.
Но има алтернатива. Вземете пакет от оркестратора и три шлюза 6500. В този случай трафикът ще бъде разпределен между трите устройства. Ако погледнете спецификациите на двата модела, ще видите, че три 6500 шлюза са по-мощни от един 6800.
По този начин, при избора на Check Point Maestro, компанията X получава следните предимства:
- Компанията веднага създава мащабируема платформа. Последващото увеличение на производителността ще се сведе до просто добавяне на още един хардуер от 6500. Какво може да бъде по-просто?
- Решението все още е устойчиво на грешки, т.к Ако един възел се повреди, останалите два ще могат да се справят с товара.
- Също толкова важно и изненадващо предимство е, че е по-евтин! За съжаление не мога да публикувам цени публично, но ако се интересувате, можете
Пример #2
Нека компанията Y вече има HA клъстер от 6500 модела.Активният възел е натоварен на 85%, което по време на пикови натоварвания води до загуби в продуктивния трафик. Логичното решение на проблема изглежда е актуализиране на хардуера. Следващият модел е 6800. Т.е. компанията ще трябва да върне шлюзовете чрез програмата Trade-In и да закупи две нови (по-скъпи) устройства.
Но има алтернативен вариант. Купете оркестратор и друг точно същия възел (6500). Съберете клъстер от три устройства и „разпределете“ тези 85% от товара между три шлюза. В резултат на това ще получите огромен марж на производителността (три устройства ще бъдат заредени само с 30% средно). Дори ако един от трите възела умре, останалите два пак ще се справят с трафика със средно натоварване от 45%. Освен това, за пикови натоварвания, клъстер от три активни 6500 шлюза ще бъде по-мощен от един 6800 шлюз, който се намира в HA клъстера (т.е. активен/в готовност). Освен това, ако след година или две нуждите на компанията Y отново се увеличат, тогава всичко, което те ще трябва да направят, е да добавят още един или два възела 6500. Мисля, че икономическата полза тук е очевидна.
Заключение
Да, Check Point Maestro не е решение за SMB. Но дори среден бизнес вече може да помисли за тази платформа и поне да се опита да изчисли икономическата ефективност. Ще се изненадате да откриете, че мащабируемите платформи могат да бъдат по-печеливши от класическия клъстер. В същото време има предимства не само икономически, но и технически. За тях обаче ще говорим в следващата статия, където освен технически трикове ще се опитам да покажа няколко типични случая (топология, сценарии).
Можете също да се абонирате за нашите публични страници (, , , ), където можете да проследите появата на нови материали за Check Point и други продукти за сигурност.
Източник: www.habr.com