Visai neseniai „Check Point“ pristatė naują keičiamo dydžio platformą . Jau paskelbėme visą straipsnį apie . Trumpai tariant, tai leidžia beveik tiesiškai padidinti saugos šliuzo našumą derinant kelis įrenginius ir subalansuojant apkrovą tarp jų. Keista, bet vis dar gajus mitas, kad ši keičiamo dydžio platforma tinka tik dideliems duomenų centrams ar milžiniškiems tinklams. Tai visiškai netiesa.
„Check Point Maestro“ buvo sukurtas kelioms vartotojų kategorijoms vienu metu (pažvelgsime šiek tiek vėliau), įskaitant ir vidutines įmones. Šioje trumpoje straipsnių serijoje pabandysiu apmąstyti techniniai ir ekonominiai Check Point Maestro pranašumai vidutinio dydžio organizacijoms (nuo 500 vartotojų) ir kodėl ši parinktis gali būti geresnė už klasikinį klasterį.
„Check Point Maestro“ tikslinė auditorija
Pirmiausia pažvelkime į vartotojų segmentus, kuriems buvo sukurta „Check Point Maestro“. Jų yra tik 4:
1. Įmonės, kurioms trūko važiuoklės galimybių. „Check Point Maestro“ nėra pirmoji „Check Point“ keičiamo dydžio platforma. Jau rašėme, kad anksčiau buvo tokie modeliai kaip 64000 ir 44000. Nors jie turėjo PUIKUS našumą, vis dėlto buvo įmonių, kurioms to neužteko. Maestro pašalina šį trūkumą, nes... leidžia surinkti iki 31 įrenginio į vieną didelio našumo grupę. Tuo pačiu metu galite surinkti klasterį iš aukščiausios klasės įrenginių (23900, 26000), taip pasiekdami didžiulį pralaidumą.
Tiesą sakant, saugumo vartų srityje „Check Point“ šiuo metu yra vienintelė, įdiegusi tokią galimybę.
2. Įmonės, kurios nori turėti galimybę pasirinkti techninę įrangą. Vienas iš senesnių keičiamo dydžio platformų trūkumų yra būtinybė naudoti griežtai apibrėžtus „blade modulius“ (Check Point SGM). Naujoji Check Point Maestro platforma leidžia naudoti daugybę skirtingų įrenginių. Galite rinktis abu modelius iš vidutinio segmento (5600, 5800, 5900, 6500, 6800) ir iš aukščiausios klasės segmento (15000 serija, 23000 serija, 26000 serija). Be to, priklausomai nuo užduočių, galite juos derinti.
Tai labai patogu optimalaus išteklių panaudojimo požiūriu. Pasirinkę tinkamą modelį, galite įsigyti tik jums reikalingą našumą.
3. Įmonės, kurioms važiuoklės per daug, bet mastelio vis dar reikia. Kitas senų keičiamo dydžio platformų (64000, 44000) „trūkumas“ buvo aukštas įėjimo slenkstis (ekonominiu požiūriu). Ilgą laiką keičiamos platformos buvo prieinamos tik didelėms įmonėms, turinčioms „gerą“ IT biudžetą. Atsiradus „Check Point Maestro“, viskas pasikeitė. Minimalaus paketo (orkestratorius + du šliuzai) kaina yra panaši (ir kartais mažesnė) su klasikiniu aktyviu / budėjimo režimu. Tie. įstojimo slenkstis gerokai sumažėjo. Pasirinkdama sprendimą, įmonė gali iš karto susidėti keičiamo dydžio architektūrą, nepermokėdama už galimą vėlesnį poreikių padidėjimą. Ar praėjus metams po „Check Point Maestro“ pristatymo atsiranda daugiau vartotojų? Tiesiog pridėkite vieną ar du šliuzus, nepakeisdami esamų. Jums net nereikia keisti topologijos. Tiesiog prijunkite naujus šliuzus prie orkestro ir pritaikykite jiems nustatymus vos keliais paspaudimais.
4. Įmonės, kurios nori optimaliai išnaudoti esamus įrenginius. Manau, kad daugelis žmonių yra susipažinę su „Trade-In“ procedūra. Kai esamų įrenginių našumo nebepakanka ir reikia atnaujinti techninę įrangą, kad ji atitiktų esamus poreikius. Gana brangi procedūra. Be to, gana dažnai pasitaiko situacija, kai klientas turi kelias Check Point grupes skirtingoms užduotims atlikti. Pavyzdžiui, perimetro apsaugos klasteris, nuotolinės prieigos klasteris (RA VPN), VSX klasteris ir kt. Be to, vienas klasteris gali neturėti pakankamai išteklių, o kitas turi jų gausą. Check Maestro yra puiki galimybė optimizuoti šių išteklių naudojimą dinamiškai paskirstant apkrovą tarp jų.
Tie. jūs gaunate šiuos privalumus:
- Nereikia „išmesti“ esamos įrangos. Galite įsigyti vieną ar du papildomus šliuzus arba...
- Konfigūruokite dinaminį apkrovos balansavimą tarp kitų esamų šliuzų, kad būtų galima optimaliau panaudoti išteklius. Jei perimetro šliuzo apkrova smarkiai padidės, orkestrantas galės naudoti „pabodusius“ nuotolinės prieigos šliuzų išteklius ir atvirkščiai. Tai padeda išlyginti sezoninius (arba laikinus) apkrovos pikus.
Kaip tikriausiai suprantate, paskutiniai du segmentai yra susiję būtent su vidutinio dydžio įmonėmis, kurios dabar taip pat gali sau leisti naudoti keičiamo dydžio saugos platformas. Tačiau gali kilti pagrįstas klausimas: „Kodėl „Check Point Maestro“ yra geresnis nei įprastas klasteris?„Pabandysime atsakyti į šį klausimą.
Klasikinis klasteris vs Check Point Maestro
Jeigu kalbėtume apie klasikinį Check Point klasterį, tai palaikomi du darbo režimai: High Availability (t.y. Active/Standby) ir Load Sharing (t.y. Active/Active). Trumpai apibūdinsime jų darbo prasmę, privalumus ir trūkumus.
Aukštas prieinamumas (aktyvus / budėjimo režimas)
Kaip rodo pavadinimas, šiame darbo režime vienas mazgas visą srautą perduoda per save, o antrasis yra budėjimo režime ir paima srautą, jei aktyvus mazgas pradeda patirti kokių nors problemų.
Argumentai "už":
- Stabiliausias režimas;
- Patentuotas SecureXL mechanizmas palaikomas siekiant pagreitinti srauto apdorojimą;
- Jei aktyvus mazgas sugenda, antrasis garantuotai galės „suvirškinti“ visą srautą (nes jis lygiai toks pat).
Trūkumai:
Tiesą sakant, yra tik vienas minusas - vienas mazgas visiškai neveikia. Savo ruožtu dėl to esame priversti pirkti galingesnę aparatūrą, kad ji galėtų viena valdyti srautą.
Žinoma, HA režimas yra patikimesnis nei „Load Sharing“, tačiau išteklių optimizavimas palieka daug norimų rezultatų.
Krovinio bendrinimas (aktyvus / aktyvus)
Šiuo režimu visi klasterio mazgai apdoroja srautą. Į tokią grupę galite sujungti iki 8 įrenginių (daugiau nei 4 ).
Argumentai "už":
- Galite paskirstyti apkrovą tarp mazgų, tam reikia mažiau galingų įrenginių;
- Sklandaus mastelio keitimo galimybė (į klasterį įtraukiant iki 8 mazgų).
Trūkumai:
- Kaip bebūtų keista, pliusai iškart virsta minusais. Jie mėgsta naudoti „Load Sharing“ režimą, net kai įmonė turi tik du mazgus. Norėdami sutaupyti, perka įrenginius, kurių kiekvienas apkraunamas 40-50 proc. Ir atrodo, kad viskas gerai. Bet jei vienas mazgas sugenda, gauname situaciją, kai visa apkrova perkeliama likusiam, kuris tiesiog negali susidoroti. Dėl to tokioje schemoje nėra gedimų tolerancijos.
- Pridėkite prie šios krūvos apkrovos bendrinimo apribojimų (). Ir svarbiausias apribojimas yra tai, kad SecureXL nepalaikomas, mechanizmas, kuris žymiai pagreitina srauto apdorojimą;
- Kalbant apie mastelio keitimą pridedant naujų mazgų į klasterį, deja, apkrovos bendrinimas čia toli gražu nėra idealus. Jei prie klasterio pridedami daugiau nei 4 įrenginiai, našumas prasidės .
Atsižvelgdami į pirmuosius du trūkumus, norėdami įgyvendinti gedimų toleranciją naudojant du mazgus, taip pat esame priversti įsigyti našesnę techninę įrangą, kad ji galėtų „suvirškinti“ srautą kritinėje situacijoje. Dėl to mes neturime jokios ekonominės naudos, bet gauname didelę sumą . Be to, verta paminėti, kad pradedant nuo R80.20 versijos, „Load Sharing“ režimas nepalaikomas. Tai apriboja naudotojų galimybę atlikti būtinus atnaujinimus. Dar nežinoma, ar naujesnėse versijose bus palaikomas apkrovos dalijimasis.
Check Point Maestro kaip alternatyva
Klasterio požiūriu „Check Point Maestro“ pasinaudojo pagrindiniais didelio prieinamumo ir apkrovos pasidalijimo režimų pranašumais:
- Prie orkestro prijungti vartai gali naudoti SecureXL, kuris užtikrina maksimalų srauto apdorojimo greitį. Nėra jokių kitų apribojimų, būdingų dalijimuisi apkrova;
- Eismas paskirstomas tarp šliuzų vienoje saugos grupėje (loginis šliuzas, susidedantis iš kelių fizinių). Dėl to galime įdiegti mažiau produktyvius įrenginius, nes nebeturime tuščiosios eigos šliuzų, kaip aukšto prieinamumo režime. Tuo pačiu metu galia gali būti padidinta beveik tiesiškai, be tokių rimtų nuostolių kaip „Load Sharing“ režime (daugiau informacijos vėliau).
Visa tai puiku, bet pažvelkime į du konkrečius pavyzdžius.
Pavyzdys №1
Tegul įmonė X ketina tinklo perimetro įdiegti šliuzų grupę. Jie jau susipažino su visais „Load Sharing“ apribojimais (kurie jiems yra nepriimtini) ir svarsto išskirtinai aukšto prieinamumo režimą. Paskaičiavus dydį paaiškėja, kad jiems tinka 6800 gateway, kuris neturėtų būti apkrautas daugiau nei 50% (kad būtų bent kiek našumo rezervo). Kadangi tai bus klasteris, reikia nusipirkti antrą įrenginį, kuris budėjimo režimu tiesiog „rūkys“ orą. Tai labai brangi rūkykla.
Bet yra alternatyva. Paimkite paketą iš orkestro ir trijų šliuzų 6500. Tokiu atveju srautas bus paskirstytas tarp visų trijų įrenginių. Jei pažvelgsite į dviejų modelių specifikacijas, pamatysite, kad trys 6500 šliuzai yra galingesni už vieną 6800.
Taigi, pasirinkdama Check Point Maestro, įmonė X gauna šiuos privalumus:
- Bendrovė nedelsdama nustato keičiamo dydžio platformą. Vėliau našumas padidės tiesiog pridėjus dar 6500 aparatinės įrangos. Kas gali būti paprasčiau?
- Sprendimas vis dar yra atsparus gedimams, nes Jei vienas mazgas sugenda, likusieji du galės susidoroti su apkrova.
- Ne mažiau svarbus ir stebinantis privalumas yra tai, kad tai pigiau! Deja, kainų skelbti viešai negaliu, bet jei domina, galite
Pavyzdys №2
Tegul įmonė Y jau turi 6500 modelių HA klasterį.Aktyvus mazgas apkraunamas 85%, o tai piko metu praranda produktyvų srautą. Atrodo, kad logiškas problemos sprendimas yra techninės įrangos atnaujinimas. Kitas modelis yra 6800. Tai yra. įmonei reikės grąžinti vartus per Trade-In programą ir įsigyti du naujus (brangesnius) įrenginius.
Bet yra alternatyvus variantas. Pirkite orkestrantą ir kitą lygiai tokį patį mazgą (6500). Surinkite trijų įrenginių grupę ir „paskirstykite“ šią 85% apkrovos per tris šliuzus. Dėl to gausite didžiulę našumo maržą (trys įrenginiai bus apkrauti vidutiniškai tik 30%). Net jei vienas iš trijų mazgų miršta, likusieji du vis tiek susidoros su srautu, kurio vidutinė apkrova yra 45%. Be to, esant didžiausiai apkrovai, trijų aktyvių 6500 šliuzų grupė bus galingesnė už vieną 6800 šliuzą, esantį HA klasteryje (ty aktyvus / budėjimo režimas). Be to, jei po metų ar dvejų įmonės Y poreikiai vėl padidės, tada jiems tereikės pridėti dar vieną ar du mazgus 6500. Manau, kad ekonominė nauda čia akivaizdi.
išvada
Taip, „Check Point Maestro“ nėra sprendimas mažoms ir vidutinėms įmonėms. Tačiau net ir vidutinis verslas jau gali pagalvoti apie šią platformą ir bent jau pabandyti apskaičiuoti ekonominį efektyvumą. Nustebsite sužinoję, kad keičiamo dydžio platformos gali būti pelningesnės nei klasikinės grupės. Tuo pačiu metu yra ne tik ekonominių, bet ir techninių pranašumų. Tačiau apie juos pakalbėsime kitame straipsnyje, kur, be techninių gudrybių, pabandysiu parodyti kelis tipinius atvejus (topologiją, scenarijus).
Taip pat galite užsiprenumeruoti mūsų viešuosius puslapius (, , , ), kur galite stebėti naujos medžiagos atsiradimą „Check Point“ ir kituose saugos produktuose.
Šaltinis: www.habr.com