Компания Check Point довольно резво начала 2019 год сделав сразу несколько анонсов. Рассказать обо всем в одной статье не получится, поэтому начнем с самого главного —
Было — Стало
Проще всего понять чем отличается новая масштабируемая платформа от старых добрых 44000/64000 это взглянуть на картинку ниже:
Разница очевидна.
Старая платформа Check Point 44000/64000
Как видно из картинки выше, первый вариант представляет из себя фиксированную платформу (шасси), в которую можно вставлять ограниченное количество специальных “модулей-лезвий” (Check Point SGM). Все это подключается в Security Switch Module (SSM), который и осуществляет балансировку трафика между шлюзами. На картинке ниже более подробно представлены составляющие этой платформы:
Это отличная платформа в том случае, если вы точно знаете какая производительность вам нужна сейчас и в каких пределах она может вырасти. Однако из-за фиксированного форм-фактора (12 или 6 лезвий) вы ограничены в дальнейшем масштабировании. К тому же, вы вынуждены использовать исключительно SGM лезвия, без возможности подключения обычных аплайнсов у которых гораздо шире модельный ряд. С появлением Maestro Hyperscale Network Security ситуация меняется кардинально.
Новая платформа Check Point Maestro Hyperscale Network Security
Check Point Maestro был впервые представлен 22 января на конференции CPX в Бангкоке. Главные характеристики можно увидеть на картинке ниже:
Как можно заметить, главное преимущество Check Point Maestro — возможность использовать для балансировки обычные шлюзы (appliance). Т.е. мы больше не ограничены SGM лезвиями. Распределять нагрузку можно между любыми устройствами начиная с модели 5600 (SMB модели и Шасси 44000/64000 не поддерживаются). На картинке выше приведены основные показатели, которых можно достичь при использовании новой платформы. Мы можем объединить в один вычислительный ресурс до 31! шлюза. Теперь ваш “фаервол” может выглядеть следующим образом:
Maestro Hyperscale Orchestrator
Уверен, у многих уже появился вопрос: “Что это за Оркестратор?” Что ж, знакомьтесь. Maestro Hyperscale Orchestrator — именно эта штука отвечает за балансировку нагрузки. На данный девайс установлена операционная систем Gaia R80.20 SP. На текущий момент есть две модели Оркестраторов — MHO-140 и MHO-170. Характеристики на картинке ниже:
На первый взгляд может показаться, что это обычный коммутатор. На самом же деле это “коммутатор + балансировщик + система управления ресурсами”. Все в одной коробке.
К этим Оркестраторам подключаются шлюзы. В случае если балансировщики в отказоустойчивом исполнении, то каждый шлюз подключается к каждому оркестратору. Для подключения может использоваться “оптика” (sfp+ / qsfp+ / qsfp28+) либо DAC кабель (Direct Attach Copper). При этом между оркестраторами естественно должен быть линк синхронизации:
На картинке ниже можно увидеть, как распределяются порты этих оркестраторов:
Security Groups
Для того, чтобы нагрузка могла распределяться между шлюзами, эти шлюзы должны быть в одной Security Group. Security Group это логическая группа устройств, которая функционирует как кластер active/active. Эта группа функционирует независимо от других Security Group. С точки зрения сервера управления Security Group выглядит как одно устройство с одним ip-адресом.
При необходимости мы можем вывести один или несколько шлюзов в отдельную Security Group и использовать эту группу для других целей, как отдельный фаервол с точки зрения менеджмента. Пример использования приведен на картинке ниже:
Важное ограничение, в одной Security Group могут использоваться исключительно одинаковые шлюзы (модель). Т.е. если вы хотите линейно растить мощность вашего шлюза безопасности (который является кластером из нескольких устройств), то вы должны добавлять точно такие же шлюзы. В ближайших релизах софта это ограничение должно исчезнуть.
На видео ниже можно увидеть процесс создания Security Group. Процедура интуитивно понятна.
Опять же, если сравнить компоненты Maestro с шассийной платформой, то получится примерно следующая картинка “было-стало”:
В чем выгода новой платформы?
Плюсов на самом деле много, как с технической точки зрения, так и с экономической. Распишу вкратце самые главные:
- Мы практически не ограничены в масштабировании. До 31 шлюза в рамках одной Security Group.
- Можем добавлять шлюзы по мере необходимости. Минимальный набор при покупке — один оркестратор + два шлюза. Не надо закладывать модели “на рост”.
- Из предыдущего пункта вытекает еще один плюс. Нам больше не надо менять шлюзы, которые перестали справляться с нагрузкой. Раньше эта проблема решалась с помощью процедуры trade-in — сдавали старое “железо” и получали новое со скидкой. При такой схеме неизбежны финансовые “потери”. Новая процедура с масштабированием устраняет этот фактор. Ничего сдавать не надо, можно просто продолжать увеличивать производительность с помощью дополнительного “железа”.
- Возможность объединения уже существующих ресурсов для распределения нагрузки. К примеру, можно “перетащить” все свои кластеры на платформу Maestro и собрать несколько Security Group, уже в зависимости от нагрузки.
Бандлы Maestro Hyperscale Network Security
На текущий момент есть несколько вариантов приобретения так называемых бандлов с платформой Maestro. Решение на базе шлюзов 23800, 6800 и 6500:
При этом можно выбрать из двух стандартных типов комплектации:
- Один оркестратор и два шлюза;
- Один оркестратор и три шлюза.
Устройства 6500 и 6800 это новейшие модели, которые были также представлены в начале этого года. Но о них мы поговорим более подробно уже в следующей статье.
Когда можно купить?
Здесь нет однозначного ответа. На данный момент отсутствует нотификация на ввоз этих решений к нам в страну. Как только появится информация по срокам мы сразу сделаем анонс в наших пабликах (
Заключение
Безусловно, новая платформа
P.S. Статья подготовлена при участии Анатолия Масовера — Эксперта по масштабируемым платформам, Check Point Software Technologies.
Источник: habr.com