Azkenaldian, Check Pointek plataforma eskalagarri berri bat aurkeztu zuen . Artikulu oso bat argitaratu dugu dagoeneko . Laburbilduz, segurtasun atebidearen errendimendua ia linealki handitzeko aukera ematen du, hainbat gailu konbinatuz eta haien arteko karga orekatuz. Harrigarria bada ere, oraindik badago plataforma eskalagarri hau datu-zentro handietarako edo sare erraldoietarako soilik egokia den mito bat. Hau ez da guztiz egia.
Check Point Maestro hainbat erabiltzaile-kategoria aldi berean garatu zen (apur bat geroago aztertuko ditugu), enpresa ertainentzat barne. Artikulu sorta labur honetan hausnartzen saiatuko naiz Check Point Maestroren abantaila tekniko eta ekonomikoak erakunde ertainentzat (500 erabiltzailetik aurrera) eta zergatik izan daitekeen aukera hau kluster klasiko bat baino hobea..
Check Point Maestro xede-publikoa
Lehenik eta behin, ikus ditzagun Check Point Maestrorentzat diseinatutako erabiltzaile-segmentuak. 4 bakarrik daude:
1. Xasisaren gaitasunik ez zuten enpresak. Check Point Maestro ez da Check Point-en lehen plataforma eskalagarria. Dagoeneko idatzi dugu lehenago 64000 eta 44000 bezalako modeloak zeudela. Errendimendu HANDIA izan bazuten ere, oraindik ere bazeuden enpresa horiek nahikoa EZ zena. Maestrok eragozpen hori ezabatzen du, zeren... 31 gailu gehienez errendimendu handiko kluster batean muntatzeko aukera ematen du. Aldi berean, goi-mailako gailuetatik (23900, 26000) multzo bat munta dezakezu, eta, horrela, ikaragarrizko abiadura lortuz.
Izan ere, segurtasun atebideen arloan, Check Point da gaur egun gaitasun hori ezartzen duen bakarra.
2. Beren hardwarea aukeratu ahal izan nahi duten enpresak. Plataforma eskalagarri zaharrenen desabantaila bat zorrozki definitutako "blade moduluak" (Check Point SGM) erabili beharra da. Check Point Maestro plataforma berriak gailu ezberdin ugari erabiltzeko aukera ematen du. Bi modeloak hauta ditzakezu erdiko segmentutik (5600, 5800, 5900, 6500, 6800) eta High End segmentutik (15000 serie, 23000 serie, 26000 serie). Gainera, horiek konbina ditzakezu, zereginen arabera.
Baliabideen erabilera optimoaren ikuspegitik oso erosoa da hori. Behar duzun errendimendua soilik erosi dezakezu eredu egokia aukeratuz.
3. Xasisa gehiegi duten enpresak, baina eskalagarritasuna oraindik beharrezkoa da. Plataforma eskalagarri zaharren beste "desabantaila" bat (64000, 44000) sarrera-atalase altua zen (ikuspegi ekonomikotik). Denbora luzez, plataforma eskalagarriak IT aurrekontu "onak" zituzten enpresa handientzat soilik zeuden eskuragarri. Check Point Maestroren etorrerarekin dena aldatu da. Gutxieneko sortaren kostua (orkestratzailea + bi atebide) parekoa da (eta batzuetan baxuagoa) aktibo/etengabeko kluster klasiko batekin. Horiek. sarrera-atalasea nabarmen jaitsi da. Irtenbide bat aukeratzerakoan, enpresa batek berehala ezarri dezake arkitektura eskalagarria, gero beharren gehikuntzaren ondorioz gehiegi ordaindu gabe. Erabiltzaile gehiago daude Check Point Maestro aurkeztu eta urtebetera? Atebide bat edo bi gehitu besterik ez duzu, lehendik daudenak ordezkatu gabe. Ez duzu topologia aldatu beharrik ere. Konektatu atebide berriak orkestratzaileari eta aplikatu ezarpenak klik pare batean.
4. Dauden gailuen erabilera optimoa egin nahi duten enpresak. Uste dut jende askok ezagutzen duela Trade-In prozedura. Lehendik dauden gailuen errendimendua nahikoa ez denean eta hardwarea eguneratu behar denean egungo beharrei erantzuteko. Prozedura nahiko garestia. Gainera, sarritan bezero batek zeregin desberdinetarako hainbat Check Point kluster dituen egoera bat izaten da. Adibidez, perimetroaren babeserako kluster bat, urruneko sarbiderako kluster bat (RA VPN), VSXrako kluster bat, etab. Gainera, kluster batek behar adina baliabide ez izatea, beste batek, berriz, ugari ditu. Check Maestro aukera bikaina da baliabide horien erabilera optimizatzeko karga dinamikoki banatuz.
Horiek. onura hauek lortuko dituzu:
- Ez dago lehendik dagoen hardwarea "bota" beharrik. Pasabide gehigarri bat edo bi erosi ditzakezu edo...
- Konfiguratu karga oreka dinamikoa dauden beste atebide batzuen artean, baliabideak hobeto erabiltzeko. Perimetroko atebidearen karga nabarmen handitzen bada, orkestratzaileak urruneko sarbideko atebideen baliabide "aspertuak" erabili ahal izango ditu eta alderantziz. Horrek sasoiko (edo aldi baterako) karga-gailurrak leuntzen laguntzen du.
Seguruenik ulertuko duzunez, azken bi segmentuak negozio ertainei dagozkie bereziki, eta orain segurtasun-plataforma eskalagarriak ere erabil ditzakete. Hala ere, arrazoizko galdera bat sor daiteke: "Zergatik da hobea Check Point Maestro ohiko kluster bat baino?Β«Galdera honi erantzuten saiatuko gara.
Kluster klasikoa vs Check Point Maestro
Check Point kluster klasikoari buruz hitz egiten badugu, bi funtzionamendu modu onartzen dira: High Availability (hau da, Aktiboa/Esandby) eta Load Sharing (hau da, Aktiboa/Aktiboa). Lanaren esanahia laburki deskribatuko dugu, baita alde onak eta txarrak ere.
Erabilgarritasun handia (aktibo/etenan)
Izenak dioen bezala, funtzionamendu-modu honetan, nodo batek trafiko guztia beretik pasatzen du, eta bigarrena egonean moduan dago eta trafikoa jasotzen du nodo aktiboa arazorik izaten hasten bada.
Pros:
- Modu egonkorrena;
- SecureXL mekanismo jabeduna onartzen da trafikoaren prozesamendua bizkortzeko;
- Nodo aktiboak huts egiten badu, bigarrenak trafiko guztia "digeritu" ahal izango duela bermatuta dago (berdina baita).
Cons:
Izan ere, minus bakarra dago - nodo bat guztiz inaktiboa da. Era berean, horregatik, hardware indartsuagoa erostera behartuta gaude, trafikoa bakarrik kudeatu ahal izateko.
Jakina, HA modua Load Sharing baino fidagarriagoa da, baina baliabideen optimizazioak asko uzten du.
Karga partekatzea (aktiboa/aktiboa)
Modu honetan, klusterreko nodo guztiek trafikoa prozesatzen dute. Gehienez 8 gailu konbina ditzakezu kluster batean (4 baino gehiago ).
Pros:
- Karga nodoen artean banatu dezakezu, eta horrek gailu indartsu gutxiago behar ditu;
- Leun eskalatzeko aukera (klusterari 8 nodo gehituz).
Cons:
- Bitxia bada ere, pros berehala txar bihurtzen dira. Karga partekatzea modua erabiltzea gustatzen zaie, nahiz eta enpresak bi nodo baino ez dituen. Dirua aurreztu nahirik, gailuak erosten dituzte, bakoitza % 40-50ean kargatuta dago. Eta dena ondo dagoela dirudi. Baina nodo batek huts egiten badu, karga osoa gainerakora transferitzen den egoera bat lortzen dugu, eta horrek ezin du aurre egin. Ondorioz, halako eskema batean ez dago akatsen tolerantziarik.
- Gehitu honi Karga partekatzeko murrizketa mordo bat (). Eta mugarik garrantzitsuena da SecureXL ez dela onartzen, trafikoaren prozesamendua nabarmen bizkortzen duen mekanismoa;
- Klusterera nodo berriak gehituz eskalatzeari dagokionez, zoritxarrez, Karga partekatzea oso urrun dago hemen. Klusterrean 4 gailu baino gehiago gehitzen badira, errendimendua hasiko da .
Lehenengo bi desabantailak kontuan hartuta, bi nodo erabiltzean akatsen tolerantzia ezartzeko, hardware produktiboagoa erostera behartuta gaude, egoera kritikoan trafikoa "digeritu" dezan. Ondorioz, ez dugu onura ekonomikorik, baina kopuru handia lortzen dugu . Gainera, nabarmentzekoa da R80.20 bertsiotik hasita, Load Sharing modua ez dela onartzen. Horrek erabiltzaileei behar diren eguneratzeak mugatzen ditu. Oraindik ez da ezagutzen Karga partekatzea bertsio berrietan onartuko den.
Check Point Maestro alternatiba gisa
Klusterren ikuspuntutik, Check Point Maestrok erabilgarritasun handiko eta karga partekatzeko moduen abantaila nagusiak hartu zituen:
- Orkestratzaileari konektatutako atebideek SecureXL erabil dezakete, trafikoa prozesatzeko abiadura maximoa bermatzen duena. Ez dago Karga Partekatzean berezko beste murrizketarik;
- Trafikoa atebideen artean banatzen da Segurtasun Talde batean (hainbat fisikok osatutako atebide logikoa). Horri esker, ekoizpen gutxiagoko gailuak instala ditzakegu, jada ez baitugu inaktibo atebiderik, Erabilgarritasun Handiko moduan bezala. Aldi berean, potentzia ia linealki handitu daiteke, Load Sharing moduan bezalako galera larririk gabe (xehetasun gehiago geroago).
Hau guztia bikaina da, baina ikus ditzagun bi adibide zehatz.
Adibidez β1
Utzi X enpresari sarearen perimetroan atebide multzo bat instalatzeko asmoa. Dagoeneko ezagutu dituzte Karga Partekatzearen murrizketa guztiak (onartezinak direnak) eta Eskuragarritasun Handiko modua soilik aztertzen ari dira. Dimentsionatu ondoren, 6800 atea egokia da haientzat, eta hori ez da % 50 baino gehiago kargatu behar (gutxienez errendimendu-erreserbaren bat izateko). Hau kluster bat izango denez, bigarren gailu bat erosi behar duzu, egonean moduan airea "erretzen" duena. Erretegia oso garestia da.
Baina bada alternatiba bat. Hartu orkestratzailetik sorta bat eta hiru 6500 atebide. Kasu honetan, trafikoa hiru gailuen artean banatuko da. Bi modeloen zehaztapenei erreparatuz gero, hiru 6500 atebide 6800 bat baino indartsuagoak direla ikusiko duzu.
Horrela, Check Point Maestro aukeratzerakoan, X enpresak abantaila hauek jasotzen ditu:
- Konpainiak berehala ezartzen du plataforma eskalagarri bat. Ondoren, errendimenduaren igoera beste 6500 hardware pieza gehitzea besterik ez da izango. Zer izan liteke sinpleagoa?
- Irtenbidea oraindik akatsak tolerantea da, zeren Nodo batek huts egiten badu, gainerako biek kargari aurre egin ahal izango diote.
- Abantaila bezain garrantzitsua eta harrigarria da merkeagoa dela! Zoritxarrez, ezin ditut prezioak publikoki argitaratu, baina interesatzen bazaizu, egin dezakezu
Adibidez β2
Utzi Y konpainiak dagoeneko 6500 modeloko HA kluster bat edukitzea. Nodo aktiboa % 85ean kargatzen da, eta horrek karga gorenetan trafiko produktiboan galerak eragiten ditu. Badirudi arazoaren irtenbide logikoa hardwarea eguneratzea dela. Hurrengo eredua 6800 da. Hau da. enpresak Trade-In programaren bidez atebideak itzuli eta bi gailu berri (garestiagoak) erosi beharko ditu.
Baina bada aukera alternatibo bat. Erosi orkestratzaile bat eta nodo bereko beste bat (6500). Muntatu hiru gailuko multzo bat eta "hedatu" kargaren %85 hori hiru atebidetan. Ondorioz, errendimendu-marjina handia lortuko duzu (hiru gailu %30ean bakarrik kargatuko dira batez beste). Hiru nodoetako bat hiltzen bada ere, gainerako biek trafikoari aurre egingo diote batez beste %45eko kargarekin. Gainera, karga gorenetarako, 6500 atebide aktiboko hiru kluster bat 6800 atebide bat baino indartsuagoa izango da, hau da, HA klusterrean (hau da, aktiboa/egonkortasuna). Horrez gain, urtebete edo bitan Y enpresaren beharrak berriro handitzen badira, 6500 nodo bat edo bi gehitzea besterik ez dute egin beharko.Nire ustez hemen etekin ekonomikoa nabaria da.
Ondorioa
Bai, Check Point Maestro ez da SMBrako irtenbidea. Baina enpresa ertain batek ere dagoeneko pentsatu dezake plataforma honetan eta, gutxienez, eraginkortasun ekonomikoa kalkulatzen saiatu. Harritu egingo zara plataforma eskalagarriak kluster klasiko bat baino errentagarriagoak izan daitezkeela ikusteak. Aldi berean, abantaila ekonomikoak ez ezik, teknikoak ere badaude. Hala ere, hurrengo artikuluan hitz egingo dugu, non, trikimailu teknikoez gain, hainbat kasu tipiko (topologia, eszenatokiak) erakusten saiatuko naizen.
Gure orri publikoetara ere harpidetu zaitezke (, , , ), non Check Point-en eta beste segurtasun-produktu batzuen material berrien sorrera jarrai dezakezun.
Iturria: www.habr.com