2. Tipiski Check Point Maestro lietoŔanas gadījumi
Pavisam nesen Check Point prezentÄja jaunu mÄrogojamu platformu SkolotÄjs. MÄs jau esam publicÄjuÅ”i veselu rakstu par kas tas ir un kÄ tas darbojas. ÄŖsÄk sakot, tas ļauj gandrÄ«z lineÄri palielinÄt droŔības vÄrtejas veiktspÄju, apvienojot vairÄkas ierÄ«ces un lÄ«dzsvarojot slodzi starp tÄm. PÄrsteidzoÅ”i, ka joprojÄm pastÄv mÄ«ts, ka Ŕī mÄrogojamÄ platforma ir piemÄrota tikai lieliem datu centriem vai milzu tÄ«kliem. TÄ absolÅ«ti nav taisnÄ«ba.
Check Point Maestro tika izstrÄdÄts vairÄkÄm lietotÄju kategorijÄm vienlaikus (tÄs apskatÄ«sim nedaudz vÄlÄk), tostarp vidÄjiem uzÅÄmumiem. Å ajÄ Ä«sajÄ rakstu sÄrijÄ es centÄ«Å”os to atspoguļot Check Point Maestro tehniskÄs un ekonomiskÄs priekÅ”rocÄ«bas vidÄjÄm organizÄcijÄm (no 500 lietotÄjiem) un kÄpÄc Ŕī iespÄja var bÅ«t labÄka par klasisko klasteru.
Check Point Maestro mÄrÄ·auditorija
Vispirms apskatÄ«sim lietotÄju segmentus, kuriem Check Point Maestro bija paredzÄts. Ir tikai 4 no tiem:
1. UzÅÄmumi, kuriem trÅ«ka Å”asijas iespÄju. Check Point Maestro nav Check Point pirmÄ mÄrogojamÄ platforma. Jau rakstÄ«jÄm, ka iepriekÅ” bija tÄdi modeļi kÄ 64000 un 44000. Lai arÄ« tiem bija LIELISKS sniegums, tomÄr bija kompÄnijas, kurÄm ar to NEPIETIEKA. Maestro novÄrÅ” Å”o trÅ«kumu, jo... ļauj apkopot lÄ«dz 31 ierÄ«cei vienÄ augstas veiktspÄjas klasterÄ«. TajÄ paÅ”Ä laikÄ jÅ«s varat salikt klasteru no augstÄkÄs klases ierÄ«cÄm (23900, 26000), tÄdÄjÄdi panÄkot milzÄ«gu caurlaidspÄju.
Faktiski droŔības vÄrteju jomÄ Check Point Å”obrÄ«d ir vienÄ«gais, kas ievieÅ” Å”Ädu iespÄju.
2. UzÅÄmumi, kas vÄlas izvÄlÄties savu aparatÅ«ru. Viens no vecÄku mÄrogojamo platformu trÅ«kumiem ir nepiecieÅ”amÄ«ba izmantot stingri definÄtus āasmeÅu moduļusā (Check Point SGM). JaunÄ Check Point Maestro platforma ļauj izmantot milzÄ«gu skaitu dažÄdu ierÄ«Äu. Varat izvÄlÄties abus modeļus no vidÄjÄ segmenta (5600, 5800, 5900, 6500, 6800) un no augstÄkÄs klases segmenta (15000 sÄrija, 23000 sÄrija, 26000 sÄrija). TurklÄt jÅ«s varat tos apvienot atkarÄ«bÄ no uzdevumiem.
Tas ir ļoti Ärti no resursu optimÄlas izmantoÅ”anas viedokļa. IzvÄloties pareizo modeli, varat iegÄdÄties tikai nepiecieÅ”amo veiktspÄju.
3. UzÅÄmumi, kuriem Å”asijas ir par daudz, bet mÄrogojamÄ«ba tomÄr nepiecieÅ”ama. VÄl viens veco mÄrogojamo platformu (64000, 44000) "trÅ«kums" bija augstais ienÄkÅ”anas slieksnis (no ekonomiskÄ viedokļa). Ilgu laiku mÄrogojamÄs platformas bija pieejamas tikai lieliem uzÅÄmumiem ar ālabiemā IT budžetiem. LÄ«dz ar Check Point Maestro parÄdÄ«Å”anos viss ir mainÄ«jies. MinimÄlÄ komplekta (orÄ·estrators + divi vÄrtejas) izmaksas ir salÄ«dzinÄmas (un dažreiz arÄ« zemÄkas) ar klasisko aktÄ«vo/gaidstÄves kopu. Tie. iestÄÅ”anÄs slieksnis ir ievÄrojami samazinÄjies. IzvÄloties risinÄjumu, uzÅÄmums var uzreiz izveidot mÄrogojamu arhitektÅ«ru, nepÄrmaksÄjot par iespÄjamu turpmÄku vajadzÄ«bu pieaugumu. Vai gadu pÄc Check Point Maestro ievieÅ”anas ir vairÄk lietotÄju? JÅ«s vienkÄrÅ”i pievienojiet vienu vai divas vÄrtejas, neaizstÄjot esoÅ”Äs. Jums pat nav jÄmaina topoloÄ£ija. VienkÄrÅ”i pievienojiet orÄ·estrim jaunas vÄrtejas un piemÄrojiet tÄm iestatÄ«jumus tikai ar pÄris klikŔķiem.
4. UzÅÄmumi, kas vÄlas optimÄli izmantot esoÅ”Äs ierÄ«ces. Es domÄju, ka daudzi cilvÄki ir pazÄ«stami ar tirdzniecÄ«bas procedÅ«ru. Kad esoÅ”o ierÄ«Äu veiktspÄja vairs nav pietiekama un ir jÄatjaunina aparatÅ«ra, lai tÄ atbilstu paÅ”reizÄjÄm vajadzÄ«bÄm. Diezgan dÄrga procedÅ«ra. TurklÄt diezgan bieži ir situÄcija, kad klientam ir vairÄki Check Point klasteri dažÄdiem uzdevumiem. PiemÄram, perimetra aizsardzÄ«bas klasteris, attÄlÄs piekļuves klasteris (RA VPN), VSX klasteris utt. TurklÄt vienam klasterim var nebÅ«t pietiekami daudz resursu, bet citam to ir daudz. Check Maestro ir lieliska iespÄja optimizÄt Å”o resursu izmantoÅ”anu, dinamiski sadalot slodzi starp tiem.
Tie. jÅ«s saÅemat Å”Ädas priekÅ”rocÄ«bas:
Nav nepiecieÅ”ams āizmestā esoÅ”o aparatÅ«ru. JÅ«s varat iegÄdÄties vienu vai divas papildu vÄrtejas vai...
KonfigurÄjiet dinamisko slodzes lÄ«dzsvaroÅ”anu starp citÄm esoÅ”ajÄm vÄrtejÄm, lai optimÄlÄk izmantotu resursus. Ja krasi palielinÄs slodze uz perimetra vÄrteju, tad orÄ·estrÄtÄjs varÄs izmantot attÄlÄs piekļuves vÄrteju ānoguruÅ”osā resursus un otrÄdi. Tas palÄ«dz izlÄ«dzinÄt sezonas (vai pagaidu) slodzes maksimumus.
KÄ jÅ«s droÅ”i vien saprotat, pÄdÄjie divi segmenti attiecas tieÅ”i uz vidÄjiem uzÅÄmumiem, kuri tagad var atļauties izmantot arÄ« mÄrogojamÄs droŔības platformas. TomÄr var rasties pamatots jautÄjums: "KÄpÄc Check Point Maestro ir labÄks par parasto klasteru?"MÄs centÄ«simies atbildÄt uz Å”o jautÄjumu.
Klasiskais klasteris pret Check Point Maestro
Ja runÄjam par klasisko Check Point klasteru, tad tiek atbalstÄ«ti divi darbÄ«bas režīmi: High Availability (t.i. Active/Standby) un Load Sharing (t.i. Active/Active). ÄŖsi aprakstÄ«sim viÅu darba nozÄ«mi, kÄ arÄ« to plusus un mÄ«nusus.
Augsta pieejamÄ«ba (aktÄ«va/gaidstÄve)
KÄ norÄda nosaukums, Å”ajÄ darbÄ«bas režīmÄ viens mezgls visu trafiku laiž caur sevi, bet otrs ir gaidÄ«Å”anas režīmÄ un uztver trafiku, ja aktÄ«vajÄ mezglÄ rodas problÄmas.
Plusi:
StabilÄkais režīms;
PatentÄtais SecureXL mehÄnisms tiek atbalstÄ«ts, lai paÄtrinÄtu trafika apstrÄdi;
Ja aktÄ«vais mezgls neizdodas, otrais tiek garantÄts, ka varÄs āsagremotā visu trafiku (jo tas ir tieÅ”i tÄds pats).
MÄ«nusi:
Faktiski ir tikai viens mÄ«nuss - viens mezgls ir pilnÄ«gi dÄ«kstÄvÄ. SavukÄrt Ŕī iemesla dÄļ esam spiesti pirkt jaudÄ«gÄku aparatÅ«ru, lai tÄ viena pati spÄtu apkalpot trafiku.
Protams, HA režīms ir uzticamÄks par slodzes kopÄ«goÅ”anu, taÄu resursu optimizÄcija atstÄj daudz ko vÄlÄties.
Slodzes kopīgoŔana (aktīvs/aktīvs)
Å ajÄ režīmÄ visi klastera mezgli apstrÄdÄ trafiku. Å ÄdÄ klasterÄ« varat apvienot lÄ«dz 8 ierÄ«cÄm (vairÄk nekÄ 4 nav ieteicama).
Plusi:
Varat sadalÄ«t slodzi starp mezgliem, kam nepiecieÅ”amas mazÄk jaudÄ«gas ierÄ«ces;
SavÄdi, ka plusi uzreiz pÄrvÄrÅ”as mÄ«nusos. ViÅiem patÄ«k izmantot slodzes koplietoÅ”anas režīmu pat tad, ja uzÅÄmumam ir tikai divi mezgli. VÄloties ietaupÄ«t naudu, viÅi pÄrk ierÄ«ces, no kurÄm katra ir noslogota ar 40-50%. Un Ŕķiet, ka viss ir kÄrtÄ«bÄ. Bet, ja viens mezgls neizdodas, rodas situÄcija, kad visa slodze tiek pÄrnesta uz atlikuÅ”o, kas vienkÄrÅ”i netiek galÄ. TÄ rezultÄtÄ Å”ÄdÄ shÄmÄ nav kļūdu tolerances kÄ tÄdas.
Pievienojiet tam virkni slodzes koplietoÅ”anas ierobežojumu (sk101539). Un vissvarÄ«gÄkais ierobežojums ir tas, ka netiek atbalstÄ«ts SecureXL ā mehÄnisms, kas ievÄrojami paÄtrina trafika apstrÄdi;
Kas attiecas uz mÄrogoÅ”anu, pievienojot klasterim jaunus mezglus, diemžÄl slodzes koplietoÅ”ana Å”eit ir tÄlu no ideÄla. Ja klasterim ir pievienotas vairÄk nekÄ 4 ierÄ«ces, sÄkas veiktspÄja dramatiski krist.
Å emot vÄrÄ pirmos divus trÅ«kumus, lai ieviestu kļūdu toleranci, izmantojot divus mezglus, esam spiesti iegÄdÄties arÄ« produktÄ«vÄku aparatÅ«ru, lai tÄ kritiskÄ situÄcijÄ varÄtu āsagremotā trafiku. RezultÄtÄ mums nav nekÄda ekonomiska labuma, bet mÄs iegÅ«stam lielu summu ierobežojumiem. TurklÄt ir vÄrts atzÄ«mÄt, ka, sÄkot ar versiju R80.20, slodzes koplietoÅ”anas režīms netiek atbalstÄ«ts. Tas ierobežo lietotÄju iespÄju veikt nepiecieÅ”amos atjauninÄjumus. PagaidÄm nav zinÄms, vai slodzes kopÄ«goÅ”ana tiks atbalstÄ«ta jaunÄkos laidienos.
Check Point Maestro kÄ alternatÄ«vu
No kopu viedokļa Check Point Maestro izmantoja galvenÄs priekÅ”rocÄ«bas, ko sniedz augsta pieejamÄ«ba un slodzes koplietoÅ”ana:
OrÄ·estratoram pievienotÄs vÄrtejas var izmantot SecureXL, kas nodroÅ”ina maksimÄlu trafika apstrÄdes Ätrumu. Nav citu ierobežojumu, kas raksturÄ«gi slodzes dalÄ«Å”anai;
Satiksme tiek sadalÄ«ta starp vÄrtejÄm vienÄ droŔības grupÄ (loÄ£iskÄ vÄrteja, kas sastÄv no vairÄkÄm fiziskÄm). Pateicoties tam, mÄs varam uzstÄdÄ«t mazÄk produktÄ«vas ierÄ«ces, jo mums vairs nav dÄ«kstÄves vÄrtejas, kÄ tas ir High Availability režīmÄ. TajÄ paÅ”Ä laikÄ jaudu var palielinÄt gandrÄ«z lineÄri, bez tik nopietniem zaudÄjumiem kÄ Load Sharing režīmÄ (sÄ«kÄka informÄcija vÄlÄk).
Tas viss ir lieliski, bet apskatÄ«sim divus konkrÄtus piemÄrus.
PiemÄrs ā1
Ä»aujiet uzÅÄmumam X tÄ«kla perimetrÄ uzstÄdÄ«t vÄrteju kopu. ViÅi jau ir iepazinuÅ”ies ar visiem slodzes koplietoÅ”anas ierobežojumiem (kas viÅiem ir nepieÅemami) un apsver tikai High Availability režīmu. PÄc izmÄru noteikÅ”anas izrÄdÄs, ka viÅiem ir piemÄrots 6800 vÄrteja, kuru nevajadzÄtu noslogot vairÄk par 50% (lai bÅ«tu vismaz kÄda veiktspÄjas rezerve). TÄ kÄ Å”Ä« bÅ«s klasteris, jums jÄiegÄdÄjas otra ierÄ«ce, kas gaidÄ«Å”anas režīmÄ vienkÄrÅ”i "dÅ«mos" gaisu. TÄ ir ļoti dÄrga kÅ«pinÄtava.
Bet ir alternatÄ«va. PaÅemiet komplektu no orÄ·estratora un trÄ«s vÄrtejÄm 6500. Å ajÄ gadÄ«jumÄ trafika tiks sadalÄ«ta starp visÄm trim ierÄ«cÄm. Ja paskatÄs uz divu modeļu specifikÄcijÄm, jÅ«s redzÄsit, ka trÄ«s 6500 vÄrtejas ir jaudÄ«gÄkas nekÄ viena 6800.
TÄdÄjÄdi, izvÄloties Check Point Maestro, uzÅÄmums X saÅem Å”Ädas priekÅ”rocÄ«bas:
UzÅÄmums nekavÄjoties izveido mÄrogojamu platformu. PÄc tam veiktspÄjas palielinÄÅ”ana bÅ«s vienkÄrÅ”a, pievienojot vÄl 6500 aparatÅ«ras. Kas var bÅ«t vienkÄrÅ”Äks?
RisinÄjums joprojÄm ir izturÄ«gs pret defektiem, jo Ja viens mezgls neizdodas, pÄrÄjie divi spÄs tikt galÄ ar slodzi.
Tikpat svarÄ«ga un pÄrsteidzoÅ”a priekÅ”rocÄ«ba ir tÄ, ka tas ir lÄtÄks! DiemžÄl es nevaru publicÄt cenas publiski, bet, ja jÅ«s interesÄ, varat sazinieties ar mums, lai veiktu aprÄÄ·inus
PiemÄrs ā2
Lai uzÅÄmumam Y jau ir 6500 modeļu HA klasteris.AktÄ«vais mezgls ir noslogots par 85%, kas maksimÄlÄs slodzes laikÄ rada produktÄ«vas satiksmes zudumus. Å Ä·iet, ka problÄmas loÄ£isks risinÄjums ir aparatÅ«ras atjauninÄÅ”ana. NÄkamais modelis ir 6800. Tas ir. uzÅÄmumam bÅ«s jÄatgriež vÄrtejas caur Trade-In programmu un jÄiegÄdÄjas divas jaunas (dÄrgÄkas) ierÄ«ces.
Bet ir alternatÄ«va iespÄja. PÄrciet orÄ·estrÄtÄju un vÄl vienu tieÅ”i tÄdu paÅ”u mezglu (6500). Salieciet trÄ«s ierÄ«Äu kopu un "izplatiet" Å”os 85% slodzes pa trim vÄrtejÄm. RezultÄtÄ jÅ«s iegÅ«sit milzÄ«gu veiktspÄjas rezervi (trÄ«s ierÄ«ces tiks ielÄdÄtas vidÄji tikai par 30%). Pat ja viens no trim mezgliem nomirst, pÄrÄjie divi joprojÄm tiks galÄ ar satiksmi ar vidÄjo slodzi 45%. TurklÄt maksimÄlÄs slodzes gadÄ«jumÄ trÄ«s aktÄ«vo 6500 vÄrteju kopa bÅ«s jaudÄ«gÄka par vienu 6800 vÄrteju, kas atrodas HA klasterÄ« (t.i., aktÄ«va/gaidstÄve). TurklÄt, ja pÄc gada vai diviem uzÅÄmuma Y vajadzÄ«bas atkal palielinÄsies, tad viÅiem bÅ«s tikai jÄpievieno vÄl viens vai divi mezgli 6500. ManuprÄt, ekonomiskais ieguvums Å”eit ir acÄ«mredzams.
SecinÄjums
JÄ, Check Point Maestro nav risinÄjums maziem un vidÄjiem uzÅÄmumiem. Bet pat vidÄjais bizness jau var domÄt par Å”o platformu un vismaz mÄÄ£inÄt aprÄÄ·inÄt ekonomisko efektivitÄti. JÅ«s bÅ«siet pÄrsteigts, atklÄjot, ka mÄrogojamÄs platformas var bÅ«t ienesÄ«gÄkas nekÄ klasiskÄs kopas. TajÄ paÅ”Ä laikÄ priekÅ”rocÄ«bas ir ne tikai ekonomiskas, bet arÄ« tehniskas. TaÄu par tiem runÄsim nÄkamajÄ rakstÄ, kur lÄ«dzÄs tehniskajiem trikiem mÄÄ£inÄÅ”u parÄdÄ«t vairÄkus tipiskus gadÄ«jumus (topoloÄ£iju, scenÄrijus).
Varat arÄ« abonÄt mÅ«su publiskÄs lapas (Telegram, Facebook, VK, TS risinÄjumu emuÄrs), kurÄ var sekot lÄ«dzi jaunu materiÄlu parÄdÄ«Å”anÄs Check Point un citos droŔības produktos.