Жақында Check Point жаңа масштабталатын платформаны ұсынды . туралы толық мақала жариялағанбыз . Бір сөзбен айтқанда, ол бірнеше құрылғыларды біріктіру және олардың арасындағы жүктемені теңестіру арқылы қауіпсіздік шлюзінің өнімділігін сызықты дерлік арттыруға мүмкіндік береді. Бір қызығы, бұл масштабталатын платформа тек үлкен деректер орталықтары немесе алып желілер үшін жарамды деген миф әлі де бар. Бұл мүлдем дұрыс емес.
Check Point Maestro бір уақытта пайдаланушылардың бірнеше санаттары үшін әзірленген (біз оларды сәл кейінірек қарастырамыз), соның ішінде орта бизнес үшін. Осы қысқаша мақалалар топтамасында мен ойлануға тырысамын Check Point Maestro техникалық және экономикалық артықшылықтары орта ұйымдар үшін (500 пайдаланушыдан) және неге бұл опция классикалық кластерден жақсы болуы мүмкін.
Check Point Maestro мақсатты аудиториясы
Алдымен, Check Point Maestro әзірленген пайдаланушы сегменттерін қарастырайық. Олардың тек 4-еуі бар:
1. Шасси мүмкіндіктері жоқ компаниялар. Check Point Maestro Check Point-тің бірінші масштабталатын платформасы емес. Біз бұрын 64000 және 44000 сияқты модельдер болғанын жазған болатынбыз. Олар тамаша өнімділікке ие болғанымен, әлі де бұл ЖЕТІЛМЕЙТІН компаниялар болды. Маэстро бұл кемшілікті жояды, өйткені... өнімділігі жоғары бір кластерге 31 құрылғыға дейін жинауға мүмкіндік береді. Сонымен қатар, сіз кластерді жоғары деңгейлі құрылғылардан (23900, 26000) жинай аласыз, осылайша үлкен өткізу қабілетіне қол жеткізе аласыз.
Шын мәнінде, қауіпсіздік шлюздері саласында Check Point қазіргі уақытта мұндай мүмкіндікті жүзеге асыратын жалғыз.
2. Аппараттық құралдарды таңдау мүмкіндігін алғысы келетін компаниялар. Ескі масштабталатын платформалардың кемшіліктерінің бірі - қатаң анықталған «пышақ модульдерін» (Check Point SGM) пайдалану қажеттілігі. Жаңа Check Point Maestro платформасы әртүрлі құрылғылардың үлкен санын пайдалануға мүмкіндік береді. Орта сегменттен (5600, 5800, 5900, 6500, 6800) және High End сегментінен (15000 сериясы, 23000 сериясы, 26000 сериясы) екі үлгіні де таңдауға болады. Сонымен қатар, сіз тапсырмаларға байланысты оларды біріктіре аласыз.
Бұл ресурстарды оңтайлы пайдалану тұрғысынан өте ыңғайлы. Дұрыс үлгіні таңдау арқылы сізге қажет өнімділікті ғана сатып алуға болады.
3. Шассиі тым көп, бірақ масштабтау әлі де қажет компаниялар. Ескі масштабталатын платформалардың тағы бір «кемшілігі» (64000, 44000) кірудің жоғары шегі болды (экономикалық тұрғыдан). Ұзақ уақыт бойы масштабталатын платформалар тек «жақсы» АТ бюджеттері бар ірі бизнес үшін қол жетімді болды. Check Point Maestro-ның пайда болуымен бәрі өзгерді. Ең аз топтаманың құны (оркестр + екі шлюз) классикалық белсенді/күту кластерімен салыстыруға болады (кейде төменірек). Анау. кіру шегі айтарлықтай төмендеді. Шешімді таңдаған кезде, компания қажеттіліктердің ықтимал артуы үшін артық төлем жасамай, бірден масштабталатын архитектураны құра алады. Check Point Maestro енгізілгеннен кейін бір жылдан кейін пайдаланушылар көбейе ме? Бір немесе екі шлюзді бұрыннан ауыстырмай қосасыз. Топологияны өзгертудің қажеті жоқ. Оркестрге жаңа шлюздерді қосып, оларға бірнеше рет басу арқылы параметрлерді қолданыңыз.
4. Қолданыстағы құрылғыларды оңтайлы пайдаланғысы келетін компаниялар. Менің ойымша, көптеген адамдар Trade-In процедурасымен таныс. Қолданыстағы құрылғылардың өнімділігі жеткіліксіз болған кезде және ағымдағы қажеттіліктерді қанағаттандыру үшін жабдықты жаңарту қажет болғанда. Өте қымбат процедура. Сонымен қатар, тұтынушыда әртүрлі тапсырмалар үшін бірнеше Check Point кластері болатын жағдай жиі кездеседі. Мысалы, периметрді қорғауға арналған кластер, қашықтан қол жеткізуге арналған кластер (RA VPN), VSX үшін кластер және т.б. Оның үстіне, бір кластерде ресурстар жеткіліксіз болса, екіншісінде олардың көптігі болуы мүмкін. Check Maestro - бұл ресурстарды олардың арасындағы жүктемені динамикалық түрде бөлу арқылы пайдалануды оңтайландырудың тамаша мүмкіндігі.
Анау. келесі артықшылықтарды аласыз:
- Қолданыстағы жабдықты «лақтырудың» қажеті жоқ. Сіз бір немесе екі қосымша шлюз сатып ала аласыз немесе...
- Ресурстарды оңтайлы пайдалану үшін басқа бар шлюздер арасында динамикалық жүктемені теңестіруді теңшеңіз. Егер периметрлік шлюзге жүктеме күрт өссе, оркестр қашықтан қол жеткізу шлюздерінің «скучно» ресурстарын пайдалана алады және керісінше. Бұл маусымдық (немесе уақытша) жүктеме шыңдарын тегістеуге көмектеседі.
Өздеріңіз түсінген боларсыздар, соңғы екі сегмент арнайы орта бизнеске қатысты, олар енді масштабталатын қауіпсіздік платформаларын пайдалана алады. Дегенмен, ақылға қонымды сұрақ туындауы мүмкін: «Неліктен Check Point Maestro қарапайым кластерге қарағанда жақсы?«Біз бұл сұраққа жауап беруге тырысамыз.
Классикалық кластер және Check Point Maestro
Егер классикалық Check Point кластері туралы айтатын болсақ, онда екі жұмыс режиміне қолдау көрсетіледі: жоғары қолжетімділік (яғни, белсенді/күту режимі) және жүктемені бөлісу (яғни, белсенді/белсенді). Біз олардың жұмысының мағынасын, сондай-ақ олардың жақсы және жаман жақтарын қысқаша сипаттаймыз.
Жоғары қолжетімділік (белсенді/күту режимі)
Аты айтып тұрғандай, бұл жұмыс режимінде бір түйін барлық трафикті өзі арқылы өткізеді, ал екіншісі күту режимінде болады және белсенді түйінде қандай да бір проблемалар туындаса, трафикті қабылдайды.
Артықшылықтары:
- Ең тұрақты режим;
- Трафикті өңдеуді жылдамдату үшін меншікті SecureXL механизміне қолдау көрсетіледі;
- Егер белсенді түйін сәтсіз болса, екіншісіне барлық трафикті «қорытуға» кепілдік беріледі (өйткені ол дәл солай).
Кемшіліктері:
Шын мәнінде, бір ғана минус бар - бір түйін толығымен бос. Өз кезегінде, осыған байланысты біз трафикті жалғыз басқара алатындай қуаттырақ жабдықты сатып алуға мәжбүрміз.
Әрине, HA режимі Жүктемені бөлісуге қарағанда сенімдірек, бірақ ресурстарды оңтайландыру көп нәрсені қаламайды.
Жүктемені бөлісу (белсенді/белсенді)
Бұл режимде кластердегі барлық түйіндер трафикті өңдейді. Мұндай кластерге 8 құрылғыға дейін біріктіруге болады (4 ).
Артықшылықтары:
- Сіз аз қуатты құрылғыларды қажет ететін түйіндер арасында жүктемені бөлуге болады;
- Тегіс масштабтау мүмкіндігі (кластерге 8 түйінге дейін қосу).
Кемшіліктері:
- Бір қызығы, артықшылықтар бірден минусқа айналады. Олар компанияда тек екі түйін болса да, Жүктемені бөлісу режимін пайдаланғанды ұнатады. Ақшаны үнемдегісі келіп, әрқайсысы 40-50% жүктелетін құрылғыларды сатып алады. Және бәрі жақсы сияқты. Бірақ егер бір түйін сәтсіздікке ұшыраса, біз барлық жүктеме қалғанға ауысатын жағдайды аламыз, ол жай ғана жеңе алмайды. Нәтижесінде, мұндай схемада ақауларға төзімділік жоқ.
- Бұған жүкті бөлісу шектеулерін қосыңыз (). Және ең маңызды шектеу - SecureXL-ге қолдау көрсетілмейді, бұл трафикті өңдеуді айтарлықтай тездететін механизм;
- Кластерге жаңа түйіндерді қосу арқылы масштабтауға келетін болсақ, өкінішке орай, жүкті ортақ пайдалану бұл жерде идеалдан алыс. Кластерге 4-тен астам құрылғы қосылса, өнімділік басталады .
Алғашқы екі кемшілікті ескере отырып, екі түйінді пайдалану кезінде ақауларға төзімділікті жүзеге асыру үшін біз сыни жағдайда трафикті «қорыта» алатындай өнімдірек жабдықты сатып алуға мәжбүрміз. Соның салдарынан экономикалық пайдамыз жоқ, бірақ үлкен сома аламыз . Сонымен қатар, R80.20 нұсқасынан бастап Жүктемені бөлісу режиміне қолдау көрсетілмейтінін атап өткен жөн. Бұл пайдаланушыларды қажетті жаңартуларды шектейді. Жүктемені ортақ пайдалану жаңа шығарылымдарда қолдау көрсетілетіні әлі белгісіз.
Check Point Maestro балама ретінде
Кластер тұрғысынан Check Point Maestro жоғары қолжетімділік және жүктемені бөлісу режимдерінің негізгі артықшылықтарын алды:
- Оркестрге қосылған шлюздер трафикті өңдеудің максималды жылдамдығын қамтамасыз ететін SecureXL пайдалана алады. Жүктемені бөлісуге тән басқа шектеулер жоқ;
- Трафик бір Қауіпсіздік тобының шлюздері арасында бөлінеді (бірнеше физикалықдан тұратын логикалық шлюз). Осының арқасында біз өнімділігі төмен құрылғыларды орната аламыз, өйткені бізде жоғары қолжетімділік режиміндегідей бос шлюздер жоқ. Сонымен қатар, қуатты жүктемені бөлісу режиміндегі сияқты елеулі шығындарсыз дерлік сызықты түрде арттыруға болады (толығырақ кейінірек).
Мұның бәрі тамаша, бірақ екі нақты мысалды қарастырайық.
Мысал №1
X компаниясы желі периметрінде шлюздер кластерін орнатуға ниет білдірсін. Олар жүкті бөлісудің барлық шектеулерімен (олар үшін қолайсыз) бұрыннан таныс болды және тек жоғары қолжетімділік режимін қарастыруда. Өлшемді анықтағаннан кейін, олар үшін 6800 шлюзі қолайлы екені белгілі болды, оны 50% -дан артық жүктемеу керек (кем дегенде өнімділік резерві болуы үшін). Бұл кластер болғандықтан, күту режимінде ауаны жай ғана «түтіндей алатын» екінші құрылғыны сатып алу керек. Бұл өте қымбат темекі шегетін орын.
Бірақ балама бар. Оркестрден бір буманы және үш 6500 шлюзді алыңыз. Бұл жағдайда трафик барлық үш құрылғы арасында бөлінеді. Екі модельдің сипаттамаларына қарасаңыз, үш 6500 шлюзі бір 6800-ге қарағанда қуаттырақ екенін көресіз.
Осылайша, Check Point Maestro таңдау кезінде X компаниясы келесі артықшылықтарға ие болады:
- Компания бірден масштабталатын платформаны ұсынады. Өнімділіктің кейінгі артуы жай ғана басқа 6500 аппараттық құралды қосумен байланысты болады. Не оңайырақ болуы мүмкін?
- Шешім әлі де ақауларға төзімді, өйткені Бір түйін сәтсіз болса, қалған екеуі жүктемені көтере алады.
- Бірдей маңызды және таңқаларлық артықшылығы - бұл арзанырақ! Өкінішке орай, мен бағаларды жариялай алмаймын, бірақ сізді қызықтыратын болса, жариялай аласыз
Мысал №2
Y компаниясында 6500 модельден тұратын HA кластері бар болсын.Белсенді түйін 85% жүктеледі, бұл ең жоғары жүктеме кезінде өнімді трафиктің жоғалуына әкеледі. Мәселенің логикалық шешімі аппараттық құралды жаңарту сияқты. Келесі модель 6800. Яғни. компанияға Trade-In бағдарламасы арқылы шлюздерді қайтарып, екі жаңа (қымбатырақ) құрылғы сатып алу қажет болады.
Бірақ балама нұсқа бар. Оркестрді және басқа дәл сол түйінді (6500) сатып алыңыз. Үш құрылғыдан тұратын кластерді жинап, жүктеменің осы 85% үш шлюз арқылы «таратыңыз». Нәтижесінде сіз үлкен өнімділік маржасына ие боласыз (үш құрылғы орташа есеппен 30% ғана жүктеледі). Үш түйіннің біреуі өлсе де, қалған екеуі орташа жүктемесі 45% болатын трафикті жеңе алады. Сонымен қатар, ең жоғары жүктемелер үшін үш белсенді 6500 шлюзден тұратын кластер HA кластерінде (яғни белсенді/күту режимінде) орналасқан бір 6800 шлюзінен күштірек болады. Сонымен қатар, бір-екі жылдан кейін Y компаниясының қажеттіліктері қайта артса, оларға тағы бір-екі 6500 түйін қосса болғаны.Бұл жерде экономикалық тиімділік анық деп ойлаймын.
қорытынды
Иә, Check Point Maestro SMB үшін шешім емес. Бірақ тіпті орта бизнес бұл платформа туралы ойлануға және кем дегенде экономикалық тиімділікті есептеуге тырысуы мүмкін. Сіз масштабталатын платформалар классикалық кластерге қарағанда тиімдірек болатынына таң қаласыз. Бұл ретте тек экономикалық емес, техникалық жағынан да артықшылықтар бар. Дегенмен, біз олар туралы келесі мақалада айтатын боламыз, онда техникалық трюктерден басқа, мен бірнеше типтік жағдайларды (топология, сценарийлер) көрсетуге тырысамын.
Сіз сондай-ақ біздің жалпыға ортақ беттерімізге жазыла аласыз (, , , ), мұнда сіз Check Point және басқа қауіпсіздік өнімдерінде жаңа материалдардың пайда болуын бақылай аласыз.
Ақпарат көзі: www.habr.com