Жакында Check Point жаңы масштабдалуучу платформаны сунуштады . Бул тууралуу биз буга чейин толук макала жарыялаганбыз . Кыскача айтканда, бул бир нече түзмөктөрдү айкалыштыруу жана алардын ортосундагы жүктү тең салмактоо аркылуу коопсуздук шлюзунун иштешин дээрлик сызыктуу жогорулатууга мүмкүндүк берет. Таң калыштуусу, бул масштабдуу платформа чоң маалымат борборлору же гигант тармактары үчүн гана ылайыктуу деген уламыш бар. Бул таптакыр туура эмес.
Check Point Maestro бир эле учурда колдонуучулардын бир нече категориялары үчүн иштелип чыккан (биз аларды бир аз кийинчерээк карап чыгабыз), анын ичинде орто бизнес үчүн. Бул кыска макалалар сериясында мен чагылдырууга аракет кылам Check Point Maestroнун техникалык жана экономикалык артыкчылыктары орто уюмдар үчүн (500 колдонуучудан) жана эмне үчүн бул параметр классикалык кластерге караганда жакшыраак болушу мүмкүн.
Check Point Maestro максаттуу аудиториясы
Биринчиден, Check Point Maestro иштелип чыккан колдонуучу сегменттерин карап көрөлү. Алардын 4 гана бар:
1. Шасси мүмкүнчүлүктөрү жок компаниялар. Check Point Maestro Check Point'тин биринчи масштабдалуучу платформасы эмес. Биз буга чейин 64000 жана 44000 сыяктуу моделдер болгонун жазганбыз. Алар ЖАКШЫ көрсөткүчтөргө ээ болсо да, бул ЖЕТИШСИЗ болгон компаниялар дагы болгон. Maestro бул кемчиликти жок кылат, анткени... бир жогорку өндүрүмдүүлүктөгү кластерге 31 түзмөккө чейин чогултууга мүмкүндүк берет. Ошол эле учурда, сиз кластерди эң жогорку деңгээлдеги түзмөктөрдөн (23900, 26000) чогулта аласыз, ошону менен эбегейсиз кубаттуулукка жетише аласыз.
Чынында, коопсуздук шлюздары тармагында, Check Point учурда мындай мүмкүнчүлүктү ишке ашырган жалгыз.
2. Аппараттык жабдыктарды тандап алгысы келген компаниялар. Эски масштабдуу платформалардын кемчиликтеринин бири - бул катуу аныкталган "лад модулдарын" (Check Point SGM) колдонуу зарылчылыгы. Жаңы Check Point Maestro платформасы көптөгөн ар кандай түзүлүштөрдү колдонууга мүмкүндүк берет. Сиз эки моделди орто сегменттен (5600, 5800, 5900, 6500, 6800) жана High End сегментинен (15000 сериясы, 23000 сериясы, 26000 сериясы) тандай аласыз. Мындан тышкары, сиз милдеттерге жараша, аларды бириктире аласыз.
Бул ресурстарды оптималдуу пайдалануу көз карашынан алганда абдан ыңгайлуу. Сиз туура моделди тандоо менен керектүү аткарууну гана сатып ала аласыз.
3. Шасси өтө көп, бирок масштабдуулугу дагы эле керек болгон компаниялар. Эски масштабдуу платформалардын дагы бир "кемчилиги" (64000, 44000) жогорку кирүү босогосу болгон (экономикалык көз караштан алганда). Узак убакыт бою масштабдалуучу платформалар "жакшы" IT бюджети бар ири ишканалар үчүн гана жеткиликтүү болгон. Check Point Maestro пайда болушу менен баары өзгөрдү. Минималдуу таңгактын баасы (оркестр + эки шлюз) классикалык активдүү/күтүү кластери менен салыштырууга болот (жана кээде төмөн). Ошол. кирүү босогосу бир кыйла төмөндөдү. Чечүүнү тандап жатканда, компания муктаждыктын кийинки өсүшү үчүн ашыкча төлөбөстөн, дароо масштабдуу архитектураны орното алат. Check Point Maestro киргизилгенден бир жылдан кийин колдонуучулар көбөйөбү? Сиз жөн гана бир же эки шлюз кошосуз, учурдагыларды алмаштырбайсыз. Топологияны өзгөртүүнүн деле кереги жок. Жөн гана жаңы шлюздарды оркестрге туташтырыңыз жана аларга жөндөөлөрдү бир нече чыкылдатуу менен колдонуңуз.
4. Учурдагы түзмөктөрдү оптималдуу пайдаланууну каалаган компаниялар. Мен көп адамдар Trade-In процедурасы менен тааныш деп ойлойм. Учурдагы түзмөктөрдүн иштеши жетишсиз болгондо жана аппараттык камсыздоо учурдагы керектөөлөрдү канааттандыруу үчүн жаңыртылышы керек. Абдан кымбат процедура. Мындан тышкары, көбүнчө кардардын ар кандай тапшырмалар үчүн бир нече Check Point кластерлери болгон жагдай бар. Мисалы, периметрди коргоо үчүн кластер, алыстан кирүү үчүн кластер (RA VPN), VSX үчүн кластер ж.б. Анын үстүнө, бир кластерде ресурстар жетишсиз болсо, экинчисинде алардын көптүгү бар. Check Maestro бул ресурстарды алардын ортосундагы жүктү динамикалык бөлүштүрүү менен пайдаланууну оптималдаштыруу үчүн эң сонун мүмкүнчүлүк.
Ошол. сиз төмөнкү артыкчылыктарды аласыз:
- Колдонулган аппаратураны “ыргытуунун” кереги жок. Сиз бир же эки кошумча шлюз сатып алсаңыз болот, же...
- Ресурстарды оптималдуу пайдалануу үчүн башка учурдагы шлюздардын ортосундагы динамикалык жүк балансын конфигурациялаңыз. Эгерде периметрдик шлюздеги жүк кескин көбөйсө, анда оркестр алыстан кирүү шлюздарынын "тажатылган" ресурстарын колдоно алат жана тескерисинче. Бул сезондук (же убактылуу) жүктүн чокуларын жылмакай кылууга жардам берет.
Сиз түшүнгөндөй, акыркы эки сегмент атайын орто бизнеске тиешелүү, алар азыр масштабдуу коопсуздук платформаларын колдоно алышат. Бирок, акылга сыярлык суроо туулат: "Эмне үчүн Check Point Maestro кадимки кластерге караганда жакшыраак?«Биз бул суроого жооп берүүгө аракет кылабыз.
Классикалык кластер жана Check Point Maestro
Эгерде классикалык Check Point кластери жөнүндө сөз кыла турган болсок, анда эки иштөө режими колдоого алынат: Жогорку Жеткиликтүүлүк (б.а. Active/Standby) жана жүк бөлүшүү (б.а. Active/Active). Биз кыскача иш алардын маанисин, ошондой эле жакшы жана жаман жактарын сүрөттөп берет.
Жогорку жеткиликтүүлүк (Активдүү/Күтүү режиминде)
Аты айтып тургандай, бул иштөө режиминде бир түйүн бардык трафикти өзү аркылуу өткөрөт, ал эми экинчиси күтүү режиминде жана активдүү түйүндө кандайдыр бир көйгөйлөр жарала баштаса, трафикти алат.
артыкчылыктары:
- Эң туруктуу режим;
- Проприетардык SecureXL механизми трафикти иштетүүнү тездетүү үчүн колдоого алынат;
- Эгерде жигердүү түйүн иштебей калса, экинчиси бардык трафикти "сиңирип" ала турганына кепилдик берилет (анткени ал дал ушундай).
жактары:
Чынында, бир гана минус бар - бир түйүн толугу менен бош турат. Өз кезегинде, ушундан улам, биз трафикти жалгыз көтөрө алгыдай күчтүү жабдыктарды сатып алууга аргасыз болуп жатабыз.
Албетте, HA режими жүк бөлүшүүгө караганда ишенимдүү, бирок ресурсту оптималдаштыруу көп нерсени талап кылат.
Жүктөөнү бөлүшүү (Активдүү/Активдүү)
Бул режимде кластердеги бардык түйүндөр трафикти иштетет. Мындай кластерге 8ге чейин түзмөктөрдү бириктире аласыз (4 ).
артыкчылыктары:
- Сиз азыраак кубаттуу түзмөктөрдү талап кылган түйүндөрдүн ортосунда жүктү бөлүштүрө аласыз;
- Жылмакай масштабдоо мүмкүнчүлүгү (кластерге 8 түйүнгө чейин кошуу).
жактары:
- Кызык жери, жакшы жактары дароо жаман жактарга айланат. Алар компаниянын эки гана түйүнү болгондо да жүк бөлүшүү режимин колдонууну жакшы көрүшөт. Акчаны үнөмдөөнү каалап, ар бири 40-50% жүктөлгөн аппараттарды сатып алышат. Анан баары жакшы окшойт. Бирок бир түйүн иштебей калса, биз бүт жүктү калган бирине өткөрүп бере турган кырдаалды алабыз, аны жөн эле көтөрө албайт. Натыйжада, мындай схемада эч кандай ката толеранттуулук жок.
- Буга бир топ жүк бөлүшүү чектөөлөрүн кошуңуз (). Жана эң маанилүү чектөө SecureXL колдоого алынбайт, бул механизм трафикти иштетүүнү кыйла тездетет;
- Кластерге жаңы түйүндөрдү кошуу менен масштабга келсек, тилекке каршы, жүк бөлүшүү бул жерде идеалдуу эмес. Эгерде кластерге 4төн ашык түзмөк кошулса, анда аткаруу башталат .
Алгачкы эки кемчиликти эске алып, эки түйүндү колдонууда катачылыкка чыдамдуулукту ишке ашыруу үчүн, биз ошондой эле критикалык кырдаалда трафикти "сиңирип" алышы үчүн, дагы жемиштүү жабдыктарды сатып алууга мажбур болдук. Натыйжада экономикалык жактан эч кандай пайдабыз жок, бирок чоң суммада алабыз . Мындан тышкары, R80.20 версиясынан баштап, жүк бөлүшүү режими колдоого алынбагандыгын белгилей кетүү керек. Бул колдонуучуларды талап кылынган жаңыртуулардан чектейт. Жүктөрдү бөлүшүү жаңы релиздерде колдоого алынабы же жокпу азырынча белгисиз.
Check Point Maestro альтернатива катары
Кластердик көз караштан алганда, Check Point Maestro Жогорку жеткиликтүүлүк жана жүктөрдү бөлүшүү режимдеринин негизги артыкчылыктарын алды:
- Оркестрге туташкан шлюздар SecureXL колдоно алышат, бул трафикти иштетүү ылдамдыгын камсыз кылат. Жүктөрдү бөлүшүүгө мүнөздүү башка чектөөлөр жок;
- Трафик бир Коопсуздук тобунун шлюздарынын ортосунда бөлүштүрүлөт (бир нече физикалык жактан турган логикалык шлюз). Мунун аркасында биз азыраак өндүрүмдүү түзмөктөрдү орното алабыз, анткени Жогорку Жеткиликтүүлүк режиминдегидей бош шлюздарыбыз жок. Ошол эле учурда, кубаттуулукту дээрлик сызыктуу түрдө, жүк бөлүшүү режиминдегидей олуттуу жоготууларсыз көбөйтүүгө болот (кийинирээк маалымат).
Мунун баары сонун, бирок эки конкреттүү мисалды карап көрөлү.
мисал №1
X компаниясы тармактын периметрине шлюздардын кластерин орнотууга ниеттенсин. Алар мурунтан эле жүк бөлүшүүнүн бардык чектөөлөрү менен таанышып калышты (бул алар үчүн кабыл алынгыс) жана Жогорку жеткиликтүүлүк режимин гана карап жатышат. Өлчөмдөрү аныкталгандан кийин, алар үчүн 6800 шлюз ылайыктуу экени белгилүү болду, аны 50% дан ашык жүктөөгө болбойт (жок дегенде бир аз аткаруу резервине ээ болуу үчүн). Бул кластер болгондуктан, күтүү режиминде абаны жөн эле "тамеки тарта турган" экинчи аппаратты сатып алышыңыз керек. Бул абдан кымбат түтүн.
Бирок альтернатива бар. Оркестрден бир таңгак жана үч 6500 шлюз алыңыз.Мындай учурда трафик үч түзмөккө тең бөлүштүрүлөт. Эгер сиз эки моделдин өзгөчөлүктөрүн карасаңыз, үч 6500 шлюз бир 6800гө караганда күчтүүрөөк экенин көрөсүз.
Ошентип, Check Point Maestro тандоодо X компаниясы төмөнкү артыкчылыктарды алат:
- Компания дароо масштабдуу платформаны түзөт. Өндүрүмдүүлүктүн кийинки жогорулашы жөн гана дагы 6500 аппараттык жабдууну кошуу менен болот. Эмне жөнөкөй болушу мүмкүн?
- Чечим дагы эле катачылыкка чыдамдуу, анткени Бир түйүн иштебей калса, калган экөө жүктү көтөрө алат.
- Маанилүү жана таң калыштуу артыкчылыгы - бул арзаныраак! Тилекке каршы, мен бааларды жалпыга ачык жарыялай албайм, бирок кызыксаңыз болот
мисал №2
Y компаниясында 6500 моделден турган HA кластери бар болсун.Активдүү түйүн 85% менен жүктөлөт, бул эң жогорку жүктөмдө өндүрүмдүү трафиктин жоготууларына алып келет. Көйгөйдүн логикалык чечими аппараттык камсыздоону жаңыртуу сыяктуу көрүнөт. Кийинки модель 6800. Башкача айтканда. компания Trade-In программасы аркылуу шлюздарды кайтарып, эки жаңы (кымбатыраак) түзмөктөрдү сатып алышы керек.
Бирок альтернативалуу вариант бар. Оркестр жана башка так ошол түйүн (6500) сатып алыңыз. Үч аппараттан турган кластерди чогултуп, жүктүн бул 85% үч шлюз аркылуу “жайыңыз”. Натыйжада, сиз чоң өндүрүмдүүлүк маржасына ээ болосуз (үч түзмөк орто эсеп менен 30% гана жүктөлөт). Үч түйүндөрдүн бири өлсө дагы, калган экөө 45% орточо жүгү менен трафикти көтөрө алышат. Мындан тышкары, эң жогорку жүктөмдөр үчүн үч активдүү 6500 шлюздан турган кластер HA кластеринде жайгашкан бир 6800 шлюздан күчтүүрөөк болот (б.а. активдүү/күтүү). Мындан тышкары, бир-эки жылдан кийин Y компаниясынын муктаждыгы кайра көбөйсө, аларга дагы бир-экиден 6500 түйүн кошсо болду.Менин оюмча, бул жерде экономикалык пайда ачык эле көрүнүп турат.
жыйынтыктоо
Ооба, Check Point Maestro SMB үчүн чечим эмес. Бирок, ал тургай, орто бизнес буга чейин эле бул аянтча жөнүндө ойлонуп, жок эле дегенде, экономикалык натыйжалуулугун эсептөө үчүн аракет кыла алат. Сиз масштабдуу платформалар классикалык кластерге караганда көбүрөөк кирешелүү болушу мүмкүн экенине таң каласыз. Ошол эле учурда экономикалык гана эмес, техникалык жактан да артыкчылыктар бар. Бирок, биз алар жөнүндө кийинки макалада сөз кылабыз, мында техникалык трюктардан тышкары, мен бир нече типтүү учурларды (топология, сценарийлер) көрсөтүүгө аракет кылам.
Сиз ошондой эле биздин жалпы баракчаларыбызга жазылсаңыз болот (, , , ), анда сиз Check Point жана башка коопсуздук өнүмдөрүндө жаңы материалдардын пайда болушун байкай аласыз.
Source: www.habr.com