ProHoster > Blogs > Administrācija > 2. Tipiski Check Point Maestro lietoŔanas gadījumi

2. Tipiski Check Point Maestro lietoŔanas gadījumi

2. Tipiski Check Point Maestro lietoŔanas gadījumi

Pavisam nesen Check Point prezentēja jaunu mērogojamu platformu Skolotājs. Mēs jau esam publicējuÅ”i veselu rakstu par kas tas ir un kā tas darbojas. ÄŖsāk sakot, tas ļauj gandrÄ«z lineāri palielināt droŔības vārtejas veiktspēju, apvienojot vairākas ierÄ«ces un lÄ«dzsvarojot slodzi starp tām. PārsteidzoÅ”i, ka joprojām pastāv mÄ«ts, ka Ŕī mērogojamā platforma ir piemērota tikai lieliem datu centriem vai milzu tÄ«kliem. Tā absolÅ«ti nav taisnÄ«ba.

Check Point Maestro tika izstrādāts vairākām lietotāju kategorijām vienlaikus (tās apskatÄ«sim nedaudz vēlāk), tostarp vidējiem uzņēmumiem. Å ajā Ä«sajā rakstu sērijā es centÄ«Å”os to atspoguļot Check Point Maestro tehniskās un ekonomiskās priekÅ”rocÄ«bas vidējām organizācijām (no 500 lietotājiem) un kāpēc Ŕī iespēja var bÅ«t labāka par klasisko klasteru.

Check Point Maestro mērķauditorija

Vispirms apskatīsim lietotāju segmentus, kuriem Check Point Maestro bija paredzēts. Ir tikai 4 no tiem:

1. Uzņēmumi, kuriem trÅ«ka Å”asijas iespēju. Check Point Maestro nav Check Point pirmā mērogojamā platforma. Jau rakstÄ«jām, ka iepriekÅ” bija tādi modeļi kā 64000 un 44000. Lai arÄ« tiem bija LIELISKS sniegums, tomēr bija kompānijas, kurām ar to NEPIETIEKA. Maestro novērÅ” Å”o trÅ«kumu, jo... ļauj apkopot lÄ«dz 31 ierÄ«cei vienā augstas veiktspējas klasterÄ«. Tajā paŔā laikā jÅ«s varat salikt klasteru no augstākās klases ierÄ«cēm (23900, 26000), tādējādi panākot milzÄ«gu caurlaidspēju.

2. Tipiski Check Point Maestro lietoŔanas gadījumi

Faktiski droŔības vārteju jomā Check Point Å”obrÄ«d ir vienÄ«gais, kas ievieÅ” Ŕādu iespēju.

2. Uzņēmumi, kas vēlas izvēlēties savu aparatÅ«ru. Viens no vecāku mērogojamo platformu trÅ«kumiem ir nepiecieÅ”amÄ«ba izmantot stingri definētus ā€œasmeņu moduļusā€ (Check Point SGM). Jaunā Check Point Maestro platforma ļauj izmantot milzÄ«gu skaitu dažādu ierīču. Varat izvēlēties abus modeļus no vidējā segmenta (5600, 5800, 5900, 6500, 6800) un no augstākās klases segmenta (15000 sērija, 23000 sērija, 26000 sērija). Turklāt jÅ«s varat tos apvienot atkarÄ«bā no uzdevumiem.

2. Tipiski Check Point Maestro lietoŔanas gadījumi

Tas ir ļoti ērti no resursu optimālas izmantoÅ”anas viedokļa. Izvēloties pareizo modeli, varat iegādāties tikai nepiecieÅ”amo veiktspēju.

3. Uzņēmumi, kuriem Å”asijas ir par daudz, bet mērogojamÄ«ba tomēr nepiecieÅ”ama. Vēl viens veco mērogojamo platformu (64000, 44000) "trÅ«kums" bija augstais ienākÅ”anas slieksnis (no ekonomiskā viedokļa). Ilgu laiku mērogojamās platformas bija pieejamas tikai lieliem uzņēmumiem ar ā€œlabiemā€ IT budžetiem. LÄ«dz ar Check Point Maestro parādÄ«Å”anos viss ir mainÄ«jies. Minimālā komplekta (orÄ·estrators + divi vārtejas) izmaksas ir salÄ«dzināmas (un dažreiz arÄ« zemākas) ar klasisko aktÄ«vo/gaidstāves kopu. Tie. iestāŔanās slieksnis ir ievērojami samazinājies. Izvēloties risinājumu, uzņēmums var uzreiz izveidot mērogojamu arhitektÅ«ru, nepārmaksājot par iespējamu turpmāku vajadzÄ«bu pieaugumu. Vai gadu pēc Check Point Maestro ievieÅ”anas ir vairāk lietotāju? JÅ«s vienkārÅ”i pievienojiet vienu vai divas vārtejas, neaizstājot esoŔās. Jums pat nav jāmaina topoloÄ£ija. VienkārÅ”i pievienojiet orÄ·estrim jaunas vārtejas un piemērojiet tām iestatÄ«jumus tikai ar pāris klikŔķiem.

2. Tipiski Check Point Maestro lietoŔanas gadījumi

4. Uzņēmumi, kas vēlas optimāli izmantot esoŔās ierÄ«ces. Es domāju, ka daudzi cilvēki ir pazÄ«stami ar tirdzniecÄ«bas procedÅ«ru. Kad esoÅ”o ierīču veiktspēja vairs nav pietiekama un ir jāatjaunina aparatÅ«ra, lai tā atbilstu paÅ”reizējām vajadzÄ«bām. Diezgan dārga procedÅ«ra. Turklāt diezgan bieži ir situācija, kad klientam ir vairāki Check Point klasteri dažādiem uzdevumiem. Piemēram, perimetra aizsardzÄ«bas klasteris, attālās piekļuves klasteris (RA VPN), VSX klasteris utt. Turklāt vienam klasterim var nebÅ«t pietiekami daudz resursu, bet citam to ir daudz. Check Maestro ir lieliska iespēja optimizēt Å”o resursu izmantoÅ”anu, dinamiski sadalot slodzi starp tiem.

2. Tipiski Check Point Maestro lietoŔanas gadījumi

Tie. jÅ«s saņemat Ŕādas priekÅ”rocÄ«bas:

  • Nav nepiecieÅ”ams ā€œizmestā€ esoÅ”o aparatÅ«ru. JÅ«s varat iegādāties vienu vai divas papildu vārtejas vai...
  • Konfigurējiet dinamisko slodzes lÄ«dzsvaroÅ”anu starp citām esoÅ”ajām vārtejām, lai optimālāk izmantotu resursus. Ja krasi palielinās slodze uz perimetra vārteju, tad orÄ·estrētājs varēs izmantot attālās piekļuves vārteju ā€œnoguruÅ”osā€ resursus un otrādi. Tas palÄ«dz izlÄ«dzināt sezonas (vai pagaidu) slodzes maksimumus.

Kā jÅ«s droÅ”i vien saprotat, pēdējie divi segmenti attiecas tieÅ”i uz vidējiem uzņēmumiem, kuri tagad var atļauties izmantot arÄ« mērogojamās droŔības platformas. Tomēr var rasties pamatots jautājums: "Kāpēc Check Point Maestro ir labāks par parasto klasteru?"Mēs centÄ«simies atbildēt uz Å”o jautājumu.

Klasiskais klasteris pret Check Point Maestro

Ja runājam par klasisko Check Point klasteru, tad tiek atbalstÄ«ti divi darbÄ«bas režīmi: High Availability (t.i. Active/Standby) un Load Sharing (t.i. Active/Active). ÄŖsi aprakstÄ«sim viņu darba nozÄ«mi, kā arÄ« to plusus un mÄ«nusus.

Augsta pieejamība (aktīva/gaidstāve)

Kā norāda nosaukums, Å”ajā darbÄ«bas režīmā viens mezgls visu trafiku laiž caur sevi, bet otrs ir gaidÄ«Å”anas režīmā un uztver trafiku, ja aktÄ«vajā mezglā rodas problēmas.
Plusi:

  • Stabilākais režīms;
  • Patentētais SecureXL mehānisms tiek atbalstÄ«ts, lai paātrinātu trafika apstrādi;
  • Ja aktÄ«vais mezgls neizdodas, otrais tiek garantēts, ka varēs ā€œsagremotā€ visu trafiku (jo tas ir tieÅ”i tāds pats).

MÄ«nusi:
Faktiski ir tikai viens mÄ«nuss - viens mezgls ir pilnÄ«gi dÄ«kstāvē. Savukārt Ŕī iemesla dēļ esam spiesti pirkt jaudÄ«gāku aparatÅ«ru, lai tā viena pati spētu apkalpot trafiku.

2. Tipiski Check Point Maestro lietoŔanas gadījumi

Protams, HA režīms ir uzticamāks par slodzes kopÄ«goÅ”anu, taču resursu optimizācija atstāj daudz ko vēlēties.

Slodzes kopīgoŔana (aktīvs/aktīvs)

Šajā režīmā visi klastera mezgli apstrādā trafiku. Šādā klasterī varat apvienot līdz 8 ierīcēm (vairāk nekā 4 nav ieteicama).
Plusi:

  • Varat sadalÄ«t slodzi starp mezgliem, kam nepiecieÅ”amas mazāk jaudÄ«gas ierÄ«ces;
  • Iespēja vienmērÄ«gi mērogot (pievienojot klasterim lÄ«dz 8 mezgliem).

MÄ«nusi:

  • Savādi, ka plusi uzreiz pārvērÅ”as mÄ«nusos. Viņiem patÄ«k izmantot slodzes koplietoÅ”anas režīmu pat tad, ja uzņēmumam ir tikai divi mezgli. Vēloties ietaupÄ«t naudu, viņi pērk ierÄ«ces, no kurām katra ir noslogota ar 40-50%. Un Ŕķiet, ka viss ir kārtÄ«bā. Bet, ja viens mezgls neizdodas, rodas situācija, kad visa slodze tiek pārnesta uz atlikuÅ”o, kas vienkārÅ”i netiek galā. Tā rezultātā Ŕādā shēmā nav kļūdu tolerances kā tādas.
    2. Tipiski Check Point Maestro lietoŔanas gadījumi
  • Pievienojiet tam virkni slodzes koplietoÅ”anas ierobežojumu (sk101539). Un vissvarÄ«gākais ierobežojums ir tas, ka netiek atbalstÄ«ts SecureXL ā€” mehānisms, kas ievērojami paātrina trafika apstrādi;
  • Kas attiecas uz mērogoÅ”anu, pievienojot klasterim jaunus mezglus, diemžēl slodzes koplietoÅ”ana Å”eit ir tālu no ideāla. Ja klasterim ir pievienotas vairāk nekā 4 ierÄ«ces, sākas veiktspēja dramatiski krist.

Ņemot vērā pirmos divus trÅ«kumus, lai ieviestu kļūdu toleranci, izmantojot divus mezglus, esam spiesti iegādāties arÄ« produktÄ«vāku aparatÅ«ru, lai tā kritiskā situācijā varētu ā€œsagremotā€ trafiku. Rezultātā mums nav nekāda ekonomiska labuma, bet mēs iegÅ«stam lielu summu ierobežojumiem. Turklāt ir vērts atzÄ«mēt, ka, sākot ar versiju R80.20, slodzes koplietoÅ”anas režīms netiek atbalstÄ«ts. Tas ierobežo lietotāju iespēju veikt nepiecieÅ”amos atjauninājumus. Pagaidām nav zināms, vai slodzes kopÄ«goÅ”ana tiks atbalstÄ«ta jaunākos laidienos.

Check Point Maestro kā alternatīvu

No kopu viedokļa Check Point Maestro izmantoja galvenās priekŔrocības, ko sniedz augsta pieejamība un slodzes koplietoŔana:

  • OrÄ·estratoram pievienotās vārtejas var izmantot SecureXL, kas nodroÅ”ina maksimālu trafika apstrādes ātrumu. Nav citu ierobežojumu, kas raksturÄ«gi slodzes dalÄ«Å”anai;
  • Satiksme tiek sadalÄ«ta starp vārtejām vienā droŔības grupā (loÄ£iskā vārteja, kas sastāv no vairākām fiziskām). Pateicoties tam, mēs varam uzstādÄ«t mazāk produktÄ«vas ierÄ«ces, jo mums vairs nav dÄ«kstāves vārtejas, kā tas ir High Availability režīmā. Tajā paŔā laikā jaudu var palielināt gandrÄ«z lineāri, bez tik nopietniem zaudējumiem kā Load Sharing režīmā (sÄ«kāka informācija vēlāk).

Tas viss ir lieliski, bet apskatīsim divus konkrētus piemērus.

Piemērs ā„–1

Ä»aujiet uzņēmumam X tÄ«kla perimetrā uzstādÄ«t vārteju kopu. Viņi jau ir iepazinuÅ”ies ar visiem slodzes koplietoÅ”anas ierobežojumiem (kas viņiem ir nepieņemami) un apsver tikai High Availability režīmu. Pēc izmēru noteikÅ”anas izrādās, ka viņiem ir piemērots 6800 vārteja, kuru nevajadzētu noslogot vairāk par 50% (lai bÅ«tu vismaz kāda veiktspējas rezerve). Tā kā Ŕī bÅ«s klasteris, jums jāiegādājas otra ierÄ«ce, kas gaidÄ«Å”anas režīmā vienkārÅ”i "dÅ«mos" gaisu. Tā ir ļoti dārga kÅ«pinātava.
Bet ir alternatīva. Paņemiet komplektu no orķestratora un trīs vārtejām 6500. Šajā gadījumā trafika tiks sadalīta starp visām trim ierīcēm. Ja paskatās uz divu modeļu specifikācijām, jūs redzēsit, ka trīs 6500 vārtejas ir jaudīgākas nekā viena 6800.

2. Tipiski Check Point Maestro lietoŔanas gadījumi

Tādējādi, izvēloties Check Point Maestro, uzņēmums X saņem Ŕādas priekÅ”rocÄ«bas:

  • Uzņēmums nekavējoties izveido mērogojamu platformu. Pēc tam veiktspējas palielināŔana bÅ«s vienkārÅ”a, pievienojot vēl 6500 aparatÅ«ras. Kas var bÅ«t vienkārŔāks?
  • Risinājums joprojām ir izturÄ«gs pret defektiem, jo Ja viens mezgls neizdodas, pārējie divi spēs tikt galā ar slodzi.
  • Tikpat svarÄ«ga un pārsteidzoÅ”a priekÅ”rocÄ«ba ir tā, ka tas ir lētāks! Diemžēl es nevaru publicēt cenas publiski, bet, ja jÅ«s interesē, varat sazinieties ar mums, lai veiktu aprēķinus

Piemērs ā„–2

Lai uzņēmumam Y jau ir 6500 modeļu HA klasteris.AktÄ«vais mezgls ir noslogots par 85%, kas maksimālās slodzes laikā rada produktÄ«vas satiksmes zudumus. Å Ä·iet, ka problēmas loÄ£isks risinājums ir aparatÅ«ras atjaunināŔana. Nākamais modelis ir 6800. Tas ir. uzņēmumam bÅ«s jāatgriež vārtejas caur Trade-In programmu un jāiegādājas divas jaunas (dārgākas) ierÄ«ces.
Bet ir alternatÄ«va iespēja. Pērciet orÄ·estrētāju un vēl vienu tieÅ”i tādu paÅ”u mezglu (6500). Salieciet trÄ«s ierīču kopu un "izplatiet" Å”os 85% slodzes pa trim vārtejām. Rezultātā jÅ«s iegÅ«sit milzÄ«gu veiktspējas rezervi (trÄ«s ierÄ«ces tiks ielādētas vidēji tikai par 30%). Pat ja viens no trim mezgliem nomirst, pārējie divi joprojām tiks galā ar satiksmi ar vidējo slodzi 45%. Turklāt maksimālās slodzes gadÄ«jumā trÄ«s aktÄ«vo 6500 vārteju kopa bÅ«s jaudÄ«gāka par vienu 6800 vārteju, kas atrodas HA klasterÄ« (t.i., aktÄ«va/gaidstāve). Turklāt, ja pēc gada vai diviem uzņēmuma Y vajadzÄ«bas atkal palielināsies, tad viņiem bÅ«s tikai jāpievieno vēl viens vai divi mezgli 6500. Manuprāt, ekonomiskais ieguvums Å”eit ir acÄ«mredzams.

Secinājums

Jā, Check Point Maestro nav risinājums maziem un vidējiem uzņēmumiem. Bet pat vidējais bizness jau var domāt par Å”o platformu un vismaz mēģināt aprēķināt ekonomisko efektivitāti. JÅ«s bÅ«siet pārsteigts, atklājot, ka mērogojamās platformas var bÅ«t ienesÄ«gākas nekā klasiskās kopas. Tajā paŔā laikā priekÅ”rocÄ«bas ir ne tikai ekonomiskas, bet arÄ« tehniskas. Taču par tiem runāsim nākamajā rakstā, kur lÄ«dzās tehniskajiem trikiem mēģināŔu parādÄ«t vairākus tipiskus gadÄ«jumus (topoloÄ£iju, scenārijus).

Varat arÄ« abonēt mÅ«su publiskās lapas (Telegram, Facebook, VK, TS risinājumu emuārs), kurā var sekot lÄ«dzi jaunu materiālu parādÄ«Å”anās Check Point un citos droŔības produktos.

Avots: www.habr.com

Pievieno komentāru