Meast resint presintearre Check Point in nij skalberber platfoarm . Wy hawwe al publisearre in hiel artikel oer . Koartsein kinne jo de prestaasjes fan 'e feiligenspoarte hast lineêr ferheegje troch meardere apparaten te kombinearjen en de lading tusken har te balansearjen. Ferrassend is d'r noch altyd in myte dat dit skalberbere platfoarm allinich geskikt is foar grutte datasintra of gigantyske netwurken. Dit is perfoarst net wier.
Check Point Maestro waard ûntwikkele foar ferskate kategoryen brûkers tagelyk (wy sille se in bytsje letter besjen), ynklusyf middelgrutte bedriuwen. Yn dizze koarte searje artikels sil ik besykje te reflektearjen technyske en ekonomyske foardielen fan Check Point Maestro foar middelgrutte organisaasjes (fan 500 brûkers) en wêrom dizze opsje better kin wêze as in klassike kluster.
Check Point Maestro doelgroep
Litte wy earst sjen nei de brûkerssegminten wêrfoar Check Point Maestro is ûntworpen. Der binne mar 4 fan harren:
1. Bedriuwen dy't mist chassis mooglikheden. Check Point Maestro is net Check Point syn earste scalable platfoarm. Wy hawwe al skreaun dat earder wiene sokke modellen as 64000 en 44000. Hoewol't se hiene GREAT prestaasje, der wiene noch bedriuwen dêr't dit wie NET GENOEG. Maestro elimineert dit nadeel, om't ... kinne jo sammelje maksimaal 31 apparaten yn ien hege-optreden kluster. Tagelyk kinne jo in kluster gearstalle fan top-ein apparaten (23900, 26000), dêrmei it berikken fan kolossale trochstreaming.
Yn feite, op it mêd fan feiligens gateways, Check Point is op it stuit de ienige dy't ymplemintearret sa'n mooglikheid.
2. Bedriuwen dy't wolle kinne kieze harren hardware. Ien fan de neidielen fan âldere scalable platfoarms is de needsaak om te brûken strang definiearre "blade modules" (Check Point SGM). It nije Check Point Maestro-platfoarm lit jo in grut oantal ferskillende apparaten brûke. Jo kinne beide modellen kieze út it middensegment (5600, 5800, 5900, 6500, 6800) en út it High End-segment (15000-searje, 23000-searje, 26000-searje). Boppedat kinne jo se kombinearje, ôfhinklik fan de taken.
Dit is heul handich út it eachpunt fan optimaal gebrûk fan boarnen. Jo kinne allinich de prestaasjes keapje dy't jo nedich binne troch it juste model te kiezen.
3. Bedriuwen dêr't it chassis is te folle, mar scalability is noch nedich. In oar "neideel" fan 'e âlde scalable platfoarms (64000, 44000) wie de hege yngong drompel (út in ekonomysk eachpunt). Lange tiid wiene skalbere platfoarms allinich beskikber foar grutte bedriuwen mei "goede" IT-budzjetten. Mei de komst fan Check Point Maestro is alles feroare. De kosten fan 'e minimale bondel (orkestrator + twa poarten) binne te fergelykjen (en soms leger) mei in klassyk aktyf / standby-kluster. Dy. de yntreedrompel is flink sakke. By it kiezen fan in oplossing kin in bedriuw fuortendaliks in skaalbere arsjitektuer lizze, sûnder te folle te beteljen foar in mooglike folgjende ferheging fan behoeften. Binne der mear brûkers in jier nei de ynfiering fan Check Point Maestro? Jo foegje gewoan ien of twa poarten ta, sûnder ferfanging fan besteande. Jo hoege de topology net iens te feroarjen. Ferbine gewoan nije poarten mei de orkestrator en tapasse ynstellings op har yn mar in pear mûsklikken.
4. Bedriuwen dy't besteande apparaten optimaal brûke wolle. Ik tink dat in protte minsken bekend binne mei de Trade-In proseduere. As de prestaasjes fan besteande apparaten net mear genôch binne en de hardware moat wurde bywurke om te foldwaan oan hjoeddeistige behoeften. Hiel djoere proseduere. Plus, frij faak is d'r in situaasje as in klant ferskate Check Point-klusters hat foar ferskate taken. Bygelyks in kluster foar perimeterbeskerming, in kluster foar tagong op ôfstân (RA VPN), in kluster foar VSX, ensfh. Boppedat kin ien kluster net genôch boarnen hawwe, wylst in oar der in oerfloed fan hat. Kontrolearje Maestro is in poerbêste kâns om it gebrûk fan dizze boarnen te optimalisearjen troch de lading dynamysk tusken har te ferdielen.
Dy. jo krije de folgjende foardielen:
- D'r is gjin need om besteande hardware te "smite". Jo kinne ien of twa ekstra poarten keapje, of ...
- Konfigurearje dynamyske load balancing tusken oare besteande poarten foar mear optimaal benutten fan middels. As de lading op 'e perimeter gateway skerp tanimt, dan sil de orkestrator de "ferfeeld" boarnen fan 'e tagongspoarten op ôfstân brûke kinne en oarsom. Dit helpt om seizoene (as tydlike) loadpieken te glêdjen.
Lykas jo wierskynlik begripe, relatearje de lêste twa segminten spesifyk oan middelgrutte bedriuwen, dy't no ek kinne betelje om skaalbere feiligensplatfoarms te brûken. In ridlike fraach kin lykwols opkomme: "Wêrom is Check Point Maestro better as in gewoane kluster?"Wy sille besykje dizze fraach te beantwurdzjen.
Klassike kluster vs Check Point Maestro
As wy prate oer it klassike Check Point-kluster, dan wurde twa bestjoeringsmodi stipe: hege beskikberens (dus aktyf / standby) en laden dielen (dus aktyf / aktyf). Wy sille koart beskriuwe harren betsjutting fan wurk, en ek harren foar- en neidielen.
Hege beskikberens (aktyf/standby)
Lykas de namme al fermoeden docht, giet ien knooppunt yn dizze bestjoeringsmodus alle ferkear troch himsels, en de twadde is yn standby-modus en nimt ferkear op as de aktive knooppunt begjint problemen te ûnderfinen.
Pros:
- De meast stabile modus;
- It proprietêre SecureXL-meganisme wurdt stipe om ferkearferwurking te fersnellen;
- As de aktive knooppunt mislearret, is de twadde garandearre om al it ferkear te "fertarren" (om't it krekt itselde is).
Cons:
Yn feite is d'r mar ien minus - ien knooppunt is folslein idle. Op syn beurt wurde wy hjirtroch twongen om machtiger hardware te keapjen, sadat it it ferkear allinich kin omgean.
Fansels is HA-modus betrouberer as Load Sharing, mar optimisaasje fan boarnen lit in protte te winskjen oer.
Laden dielen (aktyf/aktyf)
Yn dizze modus ferwurkje alle knooppunten yn it kluster ferkear. Jo kinne maksimaal 8 apparaten kombinearje yn sa'n kluster (mear dan 4 ).
Pros:
- Jo kinne fersprieden de lading tusken knopen, dat fereasket minder krêftige apparaten;
- Mooglikheid fan glêde skaalfergrutting (oant 8 knopen tafoegje oan it kluster).
Cons:
- Frjemd genôch, de foardielen wurde fuortendaliks yn neidielen. Se wolle graach Load Sharing-modus brûke, sels as it bedriuw mar twa knopen hat. Wolle se jild besparje, keapje se apparaten, elk fan dat wurdt laden op 40-50%. En alles liket goed te wêzen. Mar as ien knooppunt mislearret, krije wy in situaasje wêryn de folsleine lading wurdt oerbrocht nei de oerbleaune, dy't gewoan net kin. Dêrtroch is der yn sa'n regeling gjin fouttolerânsje as sadanich.
- Foegje hjir in boskje beheiningen foar laden dielen ta (). En de wichtichste beheining is dat SecureXL net stipe wurdt, in meganisme dat it ferkearferwurking signifikant fersnelt;
- Wat skaalfergrutting oanbelanget troch nije knopen ta te foegjen oan it kluster, spitigernôch is Load Sharing hjir fier fan ideaal. As mear as 4 apparaten wurde tafoege oan it kluster, dan begjint de prestaasjes .
Sjoen de earste twa neidielen, om fouttolerânsje te realisearjen by it brûken fan twa knooppunten, binne wy ek twongen om mear produktive hardware te keapjen, sadat it ferkear yn in krityske situaasje kin "fertarje". Dêrtroch hawwe wy gjin ekonomysk foardiel, mar krije wy in grut bedrach . Boppedat, it is de muoite wurdich opskriuwen dat begjinnend út ferzje R80.20, Load Sharing modus wurdt net stipe. Dit beheint brûkers fan fereaske updates. It is noch net bekend oft Load Sharing sil wurde stipe yn nijere releases.
Check Point Maestro as alternatyf
Ut in kluster eachpunt, Check Point Maestro naam de wichtichste foardielen fan hege beskikberens en load Sharing modi:
- Gateways ferbûn mei de orkestrator kinne SecureXL brûke, dy't soarget foar maksimale ferkearsferwurkingssnelheid. D'r binne gjin oare beheiningen ynherinte yn Load Sharing;
- Ferkear wurdt ferdield tusken poarten yn ien Security Group (in logyske poarte besteande út ferskate fysike). Hjirmei kinne wy minder produktive apparaten ynstallearje, om't wy gjin idle poarten mear hawwe, lykas yn 'e modus High Availability. Tagelyk, macht kin wurde ferhege hast lineêr, sûnder sokke serieuze ferliezen as yn Load Sharing modus (mear details letter).
Dit is allegear geweldich, mar litte wy nei twa spesifike foarbylden sjen.
Foarbyld # 1
Lit bedriuw X fan doel om in kluster fan poarten te ynstallearjen op de netwurk perimeter. Se binne al bekend wurden mei alle beheiningen fan Load Sharing (dy't foar har net akseptabel binne) en beskôgje allinich de High Availability-modus. Nei sizing, docht bliken dat de 6800 gateway is geskikt foar harren, dat moat net laden wurde mei mear as 50% (om te hawwen op syn minst wat prestaasjes reserve). Sûnt dit sil in kluster, moatte jo keapje in twadde apparaat, dat sil gewoan "smoke" lucht yn standby modus. It is in hiel djoer smokehouse.
Mar der is in alternatyf. Nim in bondel út de orkestrator en trije poarten fan 6500. Yn dit gefal wurdt it ferkear ferdield tusken alle trije apparaten. As jo nei de spesifikaasjes fan 'e twa modellen sjogge, sille jo sjen dat trije 6500-poarten machtiger binne as ien 6800.
Sa, by it kiezen fan Check Point Maestro, krijt bedriuw X de folgjende foardielen:
- It bedriuw leit fuortendaliks in skaalber platfoarm. In folgjende ferheging fan prestaasjes sil delkomme op it gewoan tafoegjen fan in oar stik hardware fan 6500. Wat kin ienfâldiger?
- De oplossing is noch altyd fout-tolerant, omdat As ien knooppunt mislearret, sille de oerbleaune twa de lading kinne omgean.
- In like wichtich en ferrassend foardiel is dat it goedkeaper is! Spitigernôch, ik kin net pleatse prizen iepenbier, mar as jo binne ynteressearre, do kinst
Foarbyld # 2
Lit bedriuw Y al in HA-kluster fan modellen fan 6500. De aktive knooppunt wurdt laden op 85%, dy't by pyklasten liedt ta ferliezen yn produktyf ferkear. De logyske oplossing foar it probleem liket it bywurkjen fan de hardware te wêzen. It folgjende model is 6800. Dat is. it bedriuw sil de poarten moatte weromjaan fia it Trade-In-programma en twa nije (djoere) apparaten keapje.
Mar d'r is in alternative opsje. Keapje in orkestrator en in oar krekt deselde knooppunt (6500). Meitsje in kluster fan trije apparaten gear en "fersprieden" dizze 85% fan 'e lading oer trije poarten. As gefolch krije jo in enoarme prestaasjesmarge (trije apparaten wurde gemiddeld op mar 30% laden). Sels as ien fan 'e trije knooppunten stjert, sille de oerbleaune twa noch mei in gemiddelde lading fan 45% mei ferkear omgean. Boppedat, foar peak loads, sil in kluster fan trije aktive 6500-poarten machtiger wêze as ien 6800-poarte, dy't leit yn 'e HA-kluster (d.w.s. aktyf / standby). Dêrneist, as yn in jier of twa bedriuw Y syn behoeften tanimme wer, dan alles wat se hoege te dwaan is tafoegjen fan ien of twa mear 6500 knopen. Ik tink dat de ekonomyske foardiel hjir is fanselssprekkend.
konklúzje
Ja, Check Point Maestro is gjin oplossing foar SMB. Mar sels in middelgrutte bedriuw kin al tinke oer dit platfoarm en op syn minst besykje de ekonomyske effisjinsje te berekkenjen. Jo sille ferrast wêze om te finen dat skalberbere platfoarms rendabeler kinne wêze dan in klassike kluster. Tagelyk binne d'r foardielen net allinich ekonomysk, mar ek technysk. Wy sille lykwols oer har prate yn it folgjende artikel, wêr't, neist technyske trúkjes, ik besykje ferskate typyske gefallen (topology, senario's) te sjen.
Jo kinne ek abonnearje op ús iepenbiere siden (, , , ), wêr't jo it ûntstean fan nije materialen kinne folgje op Check Point en oare feiligensprodukten.
Boarne: www.habr.com