Բոլորովին վերջերս Check Point-ը ներկայացրել է նոր ընդլայնվող հարթակ . Այս մասին մենք արդեն մի ամբողջ հոդված ենք հրապարակել . Մի խոսքով, այն թույլ է տալիս գրեթե գծային կերպով բարձրացնել անվտանգության դարպասի արդյունավետությունը՝ համատեղելով բազմաթիվ սարքեր և հավասարակշռելով դրանց միջև բեռը: Զարմանալիորեն, դեռ մի առասպել կա, որ այս մասշտաբային հարթակը հարմար է միայն մեծ տվյալների կենտրոնների կամ հսկա ցանցերի համար: Սա բացարձակապես ճիշտ չէ:
Check Point Maestro-ն մշակվել է միանգամից մի քանի կատեգորիաների օգտատերերի համար (դրանց կանդրադառնանք մի փոքր ավելի ուշ), այդ թվում՝ միջին բիզնեսի համար։ Այս կարճ հոդվածաշարում ես կփորձեմ անդրադառնալ Check Point Maestro-ի տեխնիկական և տնտեսական առավելությունները միջին չափի կազմակերպությունների համար (500 օգտվողներից) և ինչու այս տարբերակը կարող է ավելի լավ լինել, քան դասական կլաստերը.
Check Point Maestro թիրախային լսարանը
Նախ, եկեք նայենք օգտվողների այն հատվածներին, որոնց համար նախատեսված է Check Point Maestro-ն: Դրանցից ընդամենը 4-ն է.
1. Ընկերություններ, որոնք չունեին շասսիի հնարավորություններ. Check Point Maestro-ն Check Point-ի առաջին մասշտաբային հարթակը չէ: Մենք արդեն գրել ենք, որ նախկինում եղել են այնպիսի մոդելներ, ինչպիսիք են 64000 և 44000 մոդելները: Չնայած նրանք ունեին ՀԵՏԱԶՈՏԱԿԱՆ կատարողականություն, այնուամենայնիվ կային ընկերություններ, որոնց համար սա ԲԱՎԱՐԻՉ չէր: Մաեստրոն վերացնում է այս թերությունը, քանի որ... թույլ է տալիս հավաքել մինչև 31 սարք մեկ բարձր արդյունավետության կլաստերի մեջ: Միևնույն ժամանակ, դուք կարող եք հավաքել կլաստեր վերին սարքերից (23900, 26000)՝ դրանով իսկ հասնելով հսկայական թողունակության:
Փաստորեն, անվտանգության դարպասների ոլորտում Check Point-ը ներկայումս միակն է, որն իրականացնում է նման հնարավորություն։
2. Ընկերություններ, որոնք ցանկանում են, որ կարողանան ընտրել իրենց ապարատը. Ավելի հին ընդլայնելի հարթակների թերություններից մեկը խստորեն սահմանված «սայրի մոդուլներ» (Check Point SGM) օգտագործելու անհրաժեշտությունն է: Նոր Check Point Maestro հարթակը թույլ է տալիս օգտագործել հսկայական քանակությամբ տարբեր սարքեր։ Դուք կարող եք ընտրել երկու մոդելները միջին հատվածից (5600, 5800, 5900, 6500, 6800) և High End հատվածից (15000 սերիա, 23000 սերիա, 26000 սերիա): Ավելին, դուք կարող եք դրանք համատեղել՝ կախված առաջադրանքներից։
Սա շատ հարմար է ռեսուրսների օպտիմալ օգտագործման տեսանկյունից։ Դուք կարող եք ձեռք բերել միայն այն կատարումը, որն անհրաժեշտ է՝ ընտրելով ճիշտ մոդելը:
3. Ընկերություններ, որոնց համար շասսին չափազանց շատ է, բայց մասշտաբայնությունը դեռևս անհրաժեշտ է. Հին մասշտաբային հարթակների մեկ այլ «թերություն» (64000, 44000) մուտքի բարձր շեմն էր (տնտեսական տեսանկյունից): Երկար ժամանակ մասշտաբային հարթակները հասանելի էին միայն «լավ» ՏՏ բյուջե ունեցող խոշոր բիզնեսներին: Check Point Maestro-ի գալուստով ամեն ինչ փոխվել է։ Նվազագույն փաթեթի արժեքը (նվագավորող + երկու դարպաս) համեմատելի է (և երբեմն ավելի ցածր) դասական ակտիվ/սպասման կլաստերի հետ: Նրանք. մուտքի շեմը զգալիորեն իջել է. Լուծում ընտրելիս ընկերությունն անմիջապես կարող է սահմանել մասշտաբային ճարտարապետություն՝ առանց ավելորդ վճարելու կարիքների հնարավոր հետագա աճի համար: Check Point Maestro-ի ներդրումից մեկ տարի անց ավելի շատ օգտատերեր կա՞ն: Դուք պարզապես ավելացնում եք մեկ կամ երկու դարպաս՝ առանց գոյություն ունեցողների փոխարինման: Դուք նույնիսկ կարիք չունեք փոխել տոպոլոգիան: Պարզապես միացրեք նոր դարպասները նվագախմբին և կիրառեք դրանց կարգավորումները ընդամենը մի քանի կտտոցով:
4. Ընկերություններ, որոնք ցանկանում են օպտիմալ օգտագործել գոյություն ունեցող սարքերը. Կարծում եմ, շատերը ծանոթ են Trade-In ընթացակարգին: Երբ գոյություն ունեցող սարքերի արդյունավետությունն այլևս բավարար չէ, և սարքավորումները պետք է թարմացվեն ընթացիկ կարիքները բավարարելու համար: Բավականին թանկ ընթացակարգ։ Բացի այդ, հաճախ լինում է մի իրավիճակ, երբ հաճախորդն ունի մի քանի Check Point կլաստերներ տարբեր առաջադրանքների համար: Օրինակ՝ կլաստեր՝ պարագծային պաշտպանության համար, կլաստեր՝ հեռավոր մուտքի համար (RA VPN), կլաստեր՝ VSX-ի համար և այլն։ Ավելին, մի կլաստերը կարող է չունենալ բավարար ռեսուրսներ, մինչդեռ մյուսն ունի դրանց առատություն: Check Maestro-ն այս ռեսուրսների օգտագործումը օպտիմալացնելու հիանալի հնարավորություն է՝ նրանց միջև բեռը դինամիկ բաշխելով:
Նրանք. դուք ստանում եք հետևյալ առավելությունները.
- Կարիք չկա «դեն նետել» գոյություն ունեցող սարքավորումները։ Դուք կարող եք գնել մեկ կամ երկու լրացուցիչ դարպասներ, կամ...
- Կազմաձևեք դինամիկ բեռի հավասարակշռումը գոյություն ունեցող այլ դարպասների միջև՝ ռեսուրսների առավել օպտիմալ օգտագործման համար: Եթե պարագծային դարպասի ծանրաբեռնվածությունը կտրուկ ավելանա, ապա նվագախումբը կկարողանա օգտագործել հեռավոր մուտքի դարպասների «ձանձրալի» ռեսուրսները և հակառակը: Սա օգնում է հարթեցնել սեզոնային (կամ ժամանակավոր) ծանրաբեռնվածության գագաթնակետերը:
Ինչպես հավանաբար հասկանում եք, վերջին երկու հատվածները վերաբերում են հատկապես միջին բիզնեսին, որոնք այժմ կարող են իրենց թույլ տալ նաև օգտագործել անվտանգության ընդլայնելի հարթակներ: Այնուամենայնիվ, կարող է առաջանալ ողջամիտ հարց.Ինչու՞ է Check Point Maestro-ն ավելի լավ, քան սովորական կլաստերը:«Մենք կփորձենք պատասխանել այս հարցին։
Դասական կլաստեր ընդդեմ Check Point Maestro-ի
Եթե մենք խոսում ենք դասական Check Point կլաստերի մասին, ապա աջակցվում են երկու գործառնական ռեժիմներ՝ High Availability (այսինքն՝ Active/Standby) և Load Sharing (այսինքն՝ Active/Active): Մենք հակիրճ կնկարագրենք նրանց աշխատանքի իմաստը, ինչպես նաև դրական և բացասական կողմերը:
Բարձր հասանելիություն (Ակտիվ/Սպասման ռեժիմ)
Ինչպես անունն է հուշում, այս գործող ռեժիմում մի հանգույց անցնում է ամբողջ երթևեկությունը իր միջով, իսկ երկրորդը գտնվում է սպասման ռեժիմում և վերցնում է երթևեկությունը, եթե ակտիվ հանգույցը սկսում է որևէ խնդիր ունենալ:
Կոալիցիայում:
- Առավել կայուն ռեժիմ;
- Գույքային SecureXL մեխանիզմն ապահովված է երթևեկության մշակումն արագացնելու համար.
- Եթե ակտիվ հանգույցը ձախողվի, ապա երկրորդը երաշխավորված է, որ կկարողանա «մարսել» ամբողջ տրաֆիկը (քանի որ դա ճիշտ նույնն է):
Դեմ:
Փաստորեն, կա միայն մեկ մինուս `մեկ հանգույցը ամբողջովին պարապ է: Իր հերթին, դրա պատճառով մենք ստիպված ենք ավելի հզոր սարքավորումներ գնել, որպեսզի այն կարողանա միայնակ կառավարել երթևեկությունը։
Իհարկե, HA ռեժիմն ավելի հուսալի է, քան Load Sharing-ը, սակայն ռեսուրսների օպտիմիզացումը շատ ցանկալի է թողնում:
Բեռնման համօգտագործում (ակտիվ/ակտիվ)
Այս ռեժիմում կլաստերի բոլոր հանգույցները մշակում են տրաֆիկը: Նման կլաստերի մեջ կարող եք միավորել մինչև 8 սարք (ավելի քան 4 ).
Կոալիցիայում:
- Դուք կարող եք բեռը բաշխել հանգույցների միջև, ինչը պահանջում է ավելի քիչ հզոր սարքեր;
- Սահուն մասշտաբավորման հնարավորություն (կլաստերին ավելացնելով մինչև 8 հանգույց):
Դեմ:
- Տարօրինակ է, բայց դրական կողմերը անմիջապես վերածվում են մինուսների: Նրանք սիրում են օգտագործել Load Sharing ռեժիմը նույնիսկ այն դեպքում, երբ ընկերությունն ունի ընդամենը երկու հանգույց։ Ցանկանալով խնայել՝ գնում են սարքեր, որոնցից յուրաքանչյուրը բեռնված է 40-50%-ով։ Եվ կարծես ամեն ինչ լավ է: Բայց եթե մի հանգույց ձախողվի, մենք ստանում ենք մի իրավիճակ, երբ ամբողջ բեռը փոխանցվում է մնացածին, որը պարզապես չի կարող հաղթահարել: Արդյունքում, նման սխեմայում սխալների հանդուրժողականություն, որպես այդպիսին, չկա:
- Սրան ավելացրեք մի շարք Load Sharing սահմանափակումներ (). Եվ ամենակարևոր սահմանափակումն այն է, որ SecureXL-ը չի աջակցվում, մեխանիզմ, որը զգալիորեն արագացնում է երթևեկության մշակումը.
- Ինչ վերաբերում է կլաստերին նոր հանգույցներ ավելացնելու միջոցով ընդլայնմանը, ապա, ցավոք, այստեղ Load Sharing-ը հեռու է իդեալական լինելուց: Եթե կլաստերին ավելացվեն 4-ից ավելի սարքեր, ապա գործարկումը սկսվում է .
Հաշվի առնելով առաջին երկու թերությունները, երկու հանգույցների օգտագործման ժամանակ սխալների հանդուրժողականություն կիրառելու համար մենք նաև ստիպված ենք գնել ավելի արդյունավետ սարքավորում, որպեսզի այն կարողանա «մարսել» տրաֆիկը կրիտիկական իրավիճակում: Արդյունքում մենք ոչ մի տնտեսական օգուտ չունենք, բայց մեծ գումար ենք ստանում . Ավելին, հարկ է նշել, որ սկսած R80.20 տարբերակից, Load Sharing ռեժիմը չի ապահովվում: Սա սահմանափակում է օգտվողներին անհրաժեշտ թարմացումներից: Դեռևս հայտնի չէ, թե արդյոք Load Sharing-ը կաջակցվի նոր թողարկումներում:
Ստուգեք Point Maestro-ն որպես այլընտրանք
Կլաստերային տեսանկյունից Check Point Maestro-ն վերցրեց High Availability և Load Sharing ռեժիմների հիմնական առավելությունները.
- Նվագախմբին միացված դարպասները կարող են օգտագործել SecureXL, որն ապահովում է երթևեկության մշակման առավելագույն արագությունը: Load Sharing-ին բնորոշ այլ սահմանափակումներ չկան.
- Երթևեկությունը բաշխվում է մեկ Անվտանգության խմբի դարպասների միջև (տրամաբանական դարպաս, որը բաղկացած է մի քանի ֆիզիկականից): Դրա շնորհիվ մենք կարող ենք տեղադրել ավելի քիչ արդյունավետ սարքեր, քանի որ մենք այլևս չունենք պարապ դարպասներ, ինչպես High Availability ռեժիմում։ Միևնույն ժամանակ, հզորությունը կարող է աճել գրեթե գծային, առանց այնպիսի լուրջ կորուստների, ինչպիսին է Load Sharing ռեժիմում (ավելի մանրամասն՝ ավելի ուշ):
Այս ամենը հիանալի է, բայց եկեք դիտարկենք երկու կոնկրետ օրինակ:
Օրինակ # 1
Թող X ընկերությունը մտադիր է ցանցի պարագծի վրա դարպասների կլաստեր տեղադրել: Նրանք արդեն ծանոթացել են Load Sharing-ի բոլոր սահմանափակումներին (որոնք իրենց համար անընդունելի են) և դիտարկում են բացառապես High Availability ռեժիմը։ Չափավորելուց հետո պարզվում է, որ նրանց համար հարմար է 6800 gateway-ը, որը չպետք է բեռնվի 50%-ից ավելի (որպեսզի գոնե որոշ կատարողականի ռեզերվ լինի)։ Քանի որ սա կլինի կլաստեր, դուք պետք է գնեք երկրորդ սարքը, որը սպասման ռեժիմում պարզապես օդ «կծխի»: Շատ թանկ ծխախոտ է։
Բայց կա այլընտրանք. Վերցրեք մի փաթեթ նվագախմբից և երեք 6500 դարպասներ: Այս դեպքում երթևեկությունը կբաշխվի բոլոր երեք սարքերի միջև: Եթե նայեք երկու մոդելների բնութագրերին, ապա կտեսնեք, որ երեք 6500 դարպասներ ավելի հզոր են, քան մեկ 6800:
Այսպիսով, Check Point Maestro-ն ընտրելիս X ընկերությունը ստանում է հետևյալ առավելությունները.
- Ընկերությունն անմիջապես ստեղծում է լայնածավալ հարթակ: Արդյունավետության հետագա աճը կհանգեցնի պարզապես ևս 6500 սարքաշարի ավելացմանը: Ի՞նչը կարող է լինել ավելի պարզ:
- Լուծումը դեռ անսխալական է, քանի որ Եթե մի հանգույց ձախողվի, մնացած երկուսը կկարողանան հաղթահարել բեռը:
- Ոչ պակաս կարևոր և զարմանալի առավելությունն այն է, որ այն ավելի էժան է: Ցավոք, ես չեմ կարող գները հրապարակել, բայց եթե հետաքրքրված եք, կարող եք
Օրինակ # 2
Թող Y ընկերությունն արդեն ունենա 6500 մոդելներից բաղկացած HA կլաստեր: Ակտիվ հանգույցը բեռնված է 85%-ով, ինչը պիկ բեռների ժամանակ հանգեցնում է արտադրողական երթևեկության կորուստների: Խնդրի տրամաբանական լուծումը կարծես թե սարքաշարի թարմացումն է։ Հաջորդ մոդելը 6800 է. Այսինքն. ընկերությունը պետք է վերադարձնի դարպասները Trade-In ծրագրի միջոցով և ձեռք բերի երկու նոր (ավելի թանկ) սարք:
Բայց կա այլընտրանքային տարբերակ. Գնեք նվագախումբ և մեկ այլ ճիշտ նույն հանգույց (6500): Հավաքեք երեք սարքերից բաղկացած կլաստեր և «տարածեք» բեռի այս 85%-ը երեք դարպասների վրա: Արդյունքում, դուք կստանաք կատարողականի հսկայական մարժա (երեք սարքերը կբեռնվեն միջինում ընդամենը 30% -ով): Նույնիսկ եթե երեք հանգույցներից մեկը մահանա, մնացած երկուսը դեռ կհաղթահարեն երթևեկությունը 45% միջին ծանրաբեռնվածությամբ: Ավելին, գագաթնակետային բեռների դեպքում երեք ակտիվ 6500 դարպասների կլաստերն ավելի հզոր կլինի, քան մեկ 6800 դարպասը, որը գտնվում է HA կլաստերում (այսինքն՝ ակտիվ/սպասման ռեժիմում): Բացի այդ, եթե մեկ-երկու տարի հետո Y ընկերության կարիքները կրկին ավելանան, ապա նրանց ընդամենը պետք է ավելացնել ևս մեկ-երկու 6500 հանգույց, կարծում եմ այստեղ տնտեսական օգուտն ակնհայտ է:
Ամփոփում
Այո, Check Point Maestro-ն լուծում չէ SMB-ի համար: Բայց նույնիսկ միջին բիզնեսն արդեն կարող է մտածել այս հարթակի մասին և գոնե փորձել հաշվարկել տնտեսական արդյունավետությունը։ Դուք կզարմանաք՝ տեսնելով, որ մասշտաբային հարթակները կարող են ավելի շահավետ լինել, քան դասական կլաստերը: Ընդ որում, կան առավելություններ ոչ միայն տնտեսական, այլև տեխնիկական։ Սակայն դրանց մասին կխոսենք հաջորդ հոդվածում, որտեղ, բացի տեխնիկական հնարքներից, կփորձեմ ցույց տալ մի քանի բնորոշ դեպքեր (տոպոլոգիա, սցենարներ)։
Կարող եք նաև բաժանորդագրվել մեր հանրային էջերին (, , , ), որտեղ կարող եք հետևել նոր նյութերի ի հայտ գալուն Check Point-ում և անվտանգության այլ արտադրանքներում:
Source: www.habr.com