2. Типични случајеви употребе за Цхецк Поинт Маестро

Недавно је Цхецк Поинт представио нову скалабилну платформу Наставник. Већ смо објавили цео чланак о шта је то и како функционише. Укратко, омогућава вам да скоро линеарно повећате перформансе сигурносног гејтвеја комбиновањем више уређаја и балансирањем оптерећења између њих. Изненађујуће, још увек постоји мит да је ова скалабилна платформа погодна само за велике центре података или гигантске мреже. Ово апсолутно није тачно.

Цхецк Поинт Маестро је развијен за неколико категорија корисника одједном (ми ћемо их погледати мало касније), укључујући предузећа средње величине. У овој краткој серији чланака покушаћу да размислим техничке и економске предности Цхецк Поинт Маестра за организације средње величине (од 500 корисника) и зашто је ова опција можда боља од класичног кластера.

Цхецк Поинт Маестро циљна публика

Прво, погледајмо сегменте корисника за које је дизајниран Цхецк Поинт Маестро. Има их само 4:

1. Компаније којима су недостајале могућности шасије. Цхецк Поинт Маестро није прва скалабилна платформа компаније Цхецк Поинт. Већ смо писали да су раније постојали модели 64000 и 44000. Иако су имали ОДЛИЧНЕ перформансе, ипак је било компанија којима ово НИЈЕ ДОВОЉНО. Маестро отклања овај недостатак, јер... омогућава вам да саставите до 31 уређај у један кластер високих перформанси. У исто време, можете саставити кластер од врхунских уређаја (23900, 26000), чиме ћете постићи колосалан проток.

У ствари, у области безбедносних капија, Цхецк Поинт је тренутно једини који имплементира такву могућност.

2. Компаније које желе да имају могућност да бирају свој хардвер. Један од недостатака старијих скалабилних платформи је потреба да се користе строго дефинисани „бладе модули“ (Цхецк Поинт СГМ). Нова Цхецк Поинт Маестро платформа вам омогућава да користите огроман број различитих уређаја. Можете изабрати оба модела из средњег сегмента (5600, 5800, 5900, 6500, 6800) и из Хигх Енд сегмента (15000 серија, 23000 серија, 26000 серија). Штавише, можете их комбиновати, у зависности од задатака.

Ово је веома згодно са становишта оптималног коришћења ресурса. Можете купити само оне перформансе које су вам потребне избором правог модела.

3. Компаније за које је шасија превише, али је и даље потребна скалабилност. Још један „недостатак“ старих скалабилних платформи (64000, 44000) био је висок улазни праг (са економске тачке гледишта). Дуго времена, скалабилне платформе су биле доступне само великим предузећима са „добрим“ ИТ буџетима. Са појавом Цхецк Поинт Маестра, све се променило. Цена минималног пакета (оркестратор + два гејтвеја) је упоредива (и понекад нижа) са класичним активним/приправним кластером. Оне. улазни праг је значајно пао. Приликом избора решења, компанија може одмах да постави скалабилну архитектуру, без преплаћивања за евентуално накнадно повећање потреба. Има ли више корисника годину дана након увођења Цхецк Поинт Маестра? Ви само додате један или два гејтвеја, без замене постојећих. Не морате чак ни да мењате топологију. Једноставно повежите нове мрежне пролазе са оркестратором и примените подешавања на њих у само неколико кликова.

4. Компаније које желе да оптимално искористе постојеће уређаје. Мислим да су многи људи упознати са процедуром Траде-Ин. Када перформансе постојећих уређаја више нису довољне и хардвер је потребно ажурирати како би задовољио тренутне потребе. Прилично скупа процедура. Осим тога, често постоји ситуација када корисник има неколико Цхецк Поинт кластера за различите задатке. На пример, кластер за заштиту периметра, кластер за даљински приступ (РА ВПН), кластер за ВСКС, итд. Штавише, један кластер можда нема довољно ресурса, док их други има у изобиљу. Цхецк Маестро је одлична прилика за оптимизацију коришћења ових ресурса динамичком дистрибуцијом оптерећења између њих.

Оне. добијате следеће погодности:

• Нема потребе да „баците“ постојећи хардвер. Можете купити један или два додатна гејтвеја, или...
• Конфигуришите динамичко балансирање оптерећења између осталих постојећих мрежних пролаза за оптималније коришћење ресурса. Ако се оптерећење периметарског гејтвеја нагло повећа, онда ће оркестратор моћи да користи „досадне“ ресурсе мрежних пролаза за даљински приступ и обрнуто. Ово помаже да се изгладе сезонски (или привремени) врхови оптерећења.

Као што вероватно разумете, последња два сегмента се посебно односе на средња предузећа, која сада такође могу да приуште коришћење скалабилних безбедносних платформи. Међутим, може се поставити разумно питање: „Зашто је Цхецк Поинт Маестро бољи од обичног кластера?„Покушаћемо да одговоримо на ово питање.

Цлассиц цлустер вс Цхецк Поинт Маестро

Ако говоримо о класичном Цхецк Поинт кластеру, онда су подржана два режима рада: Хигх Аваилабилити (тј. Ацтиве/Стандби) и Лоад Схаринг (тј. Ацтиве/Ацтиве). Укратко ћемо описати њихов смисао рада, као и њихове предности и мане.

Висока доступност (активно/приправности)

Као што назив говори, у овом режиму рада један чвор пропушта сав саобраћај кроз себе, а други је у стању приправности и преузима саобраћај ако активни чвор почне да има проблема.
Предности:

• Најстабилнији режим;
• Подржан је власнички СецуреКСЛ механизам за убрзавање обраде саобраћаја;
• Ако активни чвор поквари, други је загарантовано у стању да „свари“ сав саобраћај (јер је потпуно исти).

Против:
У ствари, постоји само један минус - један чвор је потпуно неактиван. Заузврат, због тога смо принуђени да купујемо моћнији хардвер како би могао сам да се носи са саобраћајем.

Наравно, ХА режим је поузданији од дељења оптерећења, али оптимизација ресурса оставља много да се пожели.

Дељење оптерећења (активно/активно)

У овом режиму, сви чворови у кластеру обрађују саобраћај. Можете комбиновати до 8 уређаја у такав кластер (више од 4 Не препоручује).
Предности:

• Можете дистрибуирати оптерећење између чворова, што захтева мање моћне уређаје;
• Могућност глатког скалирања (додавање до 8 чворова у кластер).

Против:

• Чудно, предности се одмах претварају у мане. Они воле да користе режим дељења оптерећења чак и када компанија има само два чвора. У жељи да уштеде, купују уређаје, од којих је сваки оптерећен на 40-50%. И изгледа да је све у реду. Али ако један чвор поквари, добијамо ситуацију да се целокупно оптерећење пребацује на преостали, који једноставно не може да се носи. Као резултат тога, у таквој шеми не постоји толеранција грешака као таква.
  
• Додајте овоме гомилу ограничења дељења оптерећења (скКСНУМКС). А најважније ограничење је да СецуреКСЛ није подржан, механизам који значајно убрзава обраду саобраћаја;
• Што се тиче скалирања додавањем нових чворова у кластер, нажалост, дељење оптерећења је далеко од идеалног. Ако се у кластер дода више од 4 уређаја, почиње перформансе драматично пасти.

Узимајући у обзир прва два недостатка, да бисмо имплементирали толеранцију грешака при коришћењу два чвора, такође смо принуђени да купујемо продуктивнији хардвер како би могао да „свари“ саобраћај у критичној ситуацији. Као резултат тога, немамо никакву економску корист, али добијамо велики износ Ограничења. Штавише, вреди напоменути да почевши од верзије Р80.20, режим дељења оптерећења није подржан. Ово ограничава кориснике од потребних ажурирања. Још није познато да ли ће Дељење оптерећења бити подржано у новијим издањима.

Цхецк Поинт Маестро као алтернатива

Са кластерске тачке гледишта, Цхецк Поинт Маестро је искористио главне предности режима високе доступности и дељења оптерећења:

• Гејтвеји повезани са оркестратором могу да користе СецуреКСЛ, који обезбеђује максималну брзину обраде саобраћаја. Не постоје никаква друга ограничења својствена Дели оптерећења;
• Саобраћај је распоређен између мрежних пролаза у једној безбедносној групи (логички гатеваи који се састоји од неколико физичких). Захваљујући томе, можемо да инсталирамо мање продуктивне уређаје, јер више немамо неактивне мрежне пролазе, као у режиму високе доступности. Истовремено, снага се може повећати скоро линеарно, без тако озбиљних губитака као у режиму дељења оптерећења (више детаља касније).

Све је ово сјајно, али хајде да погледамо два конкретна примера.

Пример бр. КСНУМКС

Нека компанија Кс намерава да инсталира кластер гатеваи-а на периметру мреже. Већ су се упознали са свим ограничењима дељења оптерећења (која су за њих неприхватљива) и разматрају искључиво режим високе доступности. Након димензионисања, испоставило се да је за њих погодан гејтвеј 6800, који не би требало да буде оптерећен више од 50% (како би имао бар неку резерву перформанси). Пошто ће ово бити кластер, потребно је да купите други уређај, који ће једноставно „пушити“ ваздух у режиму мировања. То је веома скупа пушница.
Али постоји алтернатива. Узмите пакет од оркестратора и три гејтвеја 6500. У овом случају, саобраћај ће бити распоређен између сва три уређаја. Ако погледате спецификације два модела, видећете да су три 6500 гејтвеја моћнија од једног 6800.

Дакле, када бирате Цхецк Поинт Маестро, компанија Кс добија следеће предности:

• Компанија одмах поставља скалабилну платформу. Накнадно повећање перформанси ће се свести на једноставно додавање још 6500 комада хардвера. Шта би могло бити једноставније?
• Решење је и даље отпорно на грешке, јер Ако један чвор поквари, преостала два ће моћи да се носе са оптерећењем.
• Једнако важна и изненађујућа предност је што је јефтиније! Нажалост, не могу јавно да објавим цене, али ако сте заинтересовани, можете контактирајте нас за прорачуне

Пример бр. КСНУМКС

Нека компанија И већ има ХА кластер од 6500 модела. Активни чвор је оптерећен на 85%, што током вршног оптерећења доводи до губитака у продуктивном саобраћају. Чини се да је логично решење проблема ажурирање хардвера. Следећи модел је 6800. тј. компанија ће морати да врати гејтвејеве преко Траде-Ин програма и набави два нова (скупља) уређаја.
Али постоји алтернативна опција. Купите оркестратор и још један потпуно исти чвор (6500). Саставите групу од три уређаја и „проширите“ ових 85% оптерећења на три мрежна пролаза. Као резултат тога, добићете огромну маргину перформанси (три уређаја ће бити учитана само 30% у просеку). Чак и ако један од три чвора умре, преостала два ће се и даље носити са саобраћајем са просечним оптерећењем од 45%. Штавише, за вршна оптерећења, група од три активна 6500 гејтвеја ће бити моћнија од једног 6800 мрежног пролаза, који се налази у ХА кластеру (тј. активан/приправан). Поред тога, ако се за годину или две потребе компаније И поново повећају, онда ће све што треба да ураде јесте да додају још један или два чвора од 6500. Мислим да је економска корист овде очигледна.

Закључак

Да, Цхецк Поинт Маестро није решење за мала и средња предузећа. Али чак и средњи бизнис већ може размишљати о овој платформи и бар покушати да израчуна економску ефикасност. Бићете изненађени када откријете да скалабилне платформе могу бити профитабилније од класичног кластера. Истовремено, постоје предности не само економске, већ и техничке. Међутим, о њима ћемо говорити у следећем чланку, где ћу, поред техничких трикова, покушати да прикажем неколико типичних случајева (топологија, сценарији).

Такође се можете претплатити на наше јавне странице (Telegram, фацебоок, VK, ТС Солутион Блог), где можете пратити појаву нових материјала о Цхецк Поинт-у и другим безбедносним производима.

Извор: ввв.хабр.цом