Зовсім недавно компанія Check Point презентувала нову платформу, що масштабується. . Ми вже публікували цілу статтю про те, . Якщо коротко – дозволяє майже лінійно збільшувати продуктивність шлюзу безпеки шляхом поєднання кількох пристроїв та балансування навантаження між ними. Дивно, але досі зберігається міф, що ця scalable платформа підходить лише для великих датацентрів або гігантських мереж. Це зовсім не так.
Check Point Maestro розроблявся відразу для кількох категорій користувачів (ми розглянемо їх трохи пізніше), серед яких є середній бізнес. У цьому невеликому циклі статей я постараюся відобразити технічні та економічні переваги Check Point Maestro для організацій середнього розміру (від 500 користувачів) і чому цей варіант може бути кращим за класичний кластер.
Цільова аудиторія Check Point Maestro
Перш за все давайте розглянемо сегменти користувача, для яких був розроблений Check Point Maestro. Їх всього 4:
1. Компанії, яким не вистачало можливостей шасі. Check Point Maestro це не перша масштабована платформа Check Point. Ми вже писали, що раніше були такі моделі як 64000 і 44000. У них хоч і була ВЕЛИКА продуктивність, але все ж таки були компанії, яким цього було МАЛО. Maestro усуває цю нестачу, т.к. дозволяє збирати до 31 пристрою в один високопродуктивний кластер. При цьому збирати кластер ви можете з топових пристроїв (23900, 26000), тим самим домагаючись колосальної пропускної здатності.
Насправді, в області шлюзів безпеки, Check Point поки що єдині, хто реалізує подібну можливість.
2. Компанії, які хочуть мати можливість вибирати "залізо". Один із недоліків старих scalable платформ - необхідність використовувати строго певні "модулі-леза" (Check Point SGM). Нова ж платформа Check Point Maestro дозволяє використовувати величезну кількість різних пристроїв. Ви можете вибирати як моделі із середнього сегменту (5600, 5800, 5900, 6500, 6800), так і з High End сегмента (15000 серія, 23000 серія, 26000 серія). Більше того, ви можете їх поєднувати, залежно від завдань.
Це дуже зручно з погляду оптимального використання ресурсів. Ви можете докуповувати лише потрібну вам продуктивність за рахунок вибору потрібної моделі.
3. Компанії, для яких шасі це занадто багато, але масштабованість все одно потрібна. Ще одним "недоліком" старих scalable платформ (64000, 44000) був високий поріг входу (з економічного погляду). Довгий час платформи, що масштабуються, були доступні тільки для великого бізнесу з "хорошими" бюджетами на IT. З появою Check Point Maestro все змінилося. Вартість мінімального бандла (оркестратор + два шлюзи) можна порівняти (а іноді й нижче) з класичним active/standby кластером. Тобто. поріг входу суттєво знизився. Компанія при виборі рішення може відразу закласти архітектуру, що масштабується, при цьому не переплачуючи за можливе подальше зростання потреб. Користувачів побільшало через рік після впровадження Check Point Maestro? Просто додаєте один-два шлюзи, без будь-яких замін вже наявних. Не доведеться навіть топологію міняти. Просто підключаєте нові шлюзи до оркестратора і застосовуєте налаштування до них буквально в пару кліків.
4. Компанії, які хочуть оптимально використовувати вже існуючі пристрої. Думаю багатьом знайома процедура Trade-In. Коли продуктивність існуючих пристроїв вже недостатня і для задоволення поточних потреб потрібно оновити "залізо". Досить витратна процедура. Плюс, дуже часто буває ситуація, коли замовник має кілька кластерів Check Point під різні завдання. Наприклад, кластер під захист периметра, кластер під віддалений доступ (RA VPN), кластер під VSX і т.д. Причому в одного кластера може бракувати ресурсів, а в іншого їх із надлишком. Check Maestro є чудовою можливістю оптимізувати використання цих ресурсів, динамічно розподіляючи між ними навантаження.
Тобто. ви отримуєте такі переваги:
- Немає необхідності "викидати" наявне залізо. Ви можете докупити один-два шлюзи, або…
- Налаштувати динамічне балансування навантаження між іншими шлюзами, що існують, для більш оптимального використання ресурсів. Якщо різко зростає навантаження на шлюз периметра, то оркестратор зможемо задіяти ресурси шлюзів віддаленого доступу і навпаки. Це допомагає згладжувати сезонні (або тимчасові) піки навантаження.
Як ви напевно зрозуміли, останні два сегменти відносяться якраз до бізнесу середнього розміру, які тепер теж можуть собі дозволити використання платформ безпеки, що масштабуються. Однак, може виникнути резонне питання: “Чим Check Point Maestro кращий за звичайний кластер?” Постараємося відповісти на це запитання.
Класичний кластер vs Check Point Maestro
Якщо говорити про класичний кластер Check Point то підтримується два режими роботи: High Availability (тобто Active/Standby) та Load Sharing (тобто Active/Active). Коротко опишемо їх зміст роботи, а також їх плюси та мінуси.
High Availability (Active/Standby)
Як випливає з назви, в цьому режимі одна нода пропускає через себе весь трафік, а друга в режимі очікування і підхоплює трафік якщо активна нода починає відчувати будь-які проблеми.
Плюси:
- Найбільш стабільний режим;
- Підтримується пропрієтарний механізм SecureXL для прискорення обробки трафіку;
- У разі виходу з ладу активної ноди, друга гарантовано зможе “переварити” весь трафік (бо вона така сама).
Мінуси:
По суті, лише один мінус — одна нода повністю простоює. У свою чергу, через це ми змушені купувати більш потужне "залізо", щоб воно могло справлятися з трафіком поодинці.
Безумовно, HA режим надійніший, ніж Load Sharing, але оптимізація ресурсів залишає бажати кращого.
Load Sharing (Active/Active)
У цьому режимі всі ноди кластера обробляють трафік. Об'єднати в такий кластер можна до 8 пристроїв (більше 4-х) ).
Плюси:
- Можна розподілити навантаження між нодами, за рахунок чого потрібні менш продуктивні пристрої;
- Можливість плавного масштабування (додавання в кластер до 8 нід).
Мінуси:
- Як не дивно, але плюси відразу випадають у мінуси. Режим Load Sharing люблять використовувати навіть коли в компанії лише дві ноди. Бажаючи заощадити, купуються пристрої, кожне з яких завантажується на 40-50%. І наче все добре. Але якщо падає одна нода, ми отримуємо ситуацію, коли все навантаження переходить на решту, яка просто не справляється. У результаті стійкість до відмов у такій схемі відсутня як така.
- Додайте до цього купу обмежень Load Sharing-а (). А найголовніше обмеження – не підтримується SecureXL, механізм, який суттєво прискорює обробку трафіку;
- Що стосується масштабування шляхом додавання нових нод у кластер, то на жаль Load Sharing тут не ідеальний. Якщо кластер додається більше 4-х пристроїв, то продуктивність починає .
Враховуючи перші два мінуси, для реалізації стійкості до відмови при використанні двох нід, ми змушені також купувати більш продуктивне залізо, щоб воно могло “переварити” трафік у критичній ситуації. За підсумками, ніякої економічної вигоди ми не маємо, але отримуємо велику кількість . Більше того, варто зазначити, що починаючи з версії R80.20, режим Load Sharing не підтримується. Це обмежує користувачів у потрібних оновленнях. Чи підтримуватиметься Load Sharing у нових релізах поки невідомо.
Check Point Maestro як альтернатива
З точки зору кластера, Check Point Maestro взяв головні плюси High Availability та Load Sharing режимів:
- Шлюзи, підключені до оркестратора, можуть використовувати SecureXL, що забезпечує максимальну швидкість обробки трафіку. Відсутні інші обмеження властиві Load Sharing;
- Трафік розподіляється між шлюзами в одній Security Group (логічний шлюз, що складається з декількох фізичних). Завдяки цьому можна закласти менш продуктивні пристрої, адже у нас більше немає шлюзів, що простоюють, як у режимі High Availability. При цьому нарощувати потужність можна практично лінійно, без таких серйозних втрат як у Load Sharing режимі (детальніше трохи пізніше).
Все це чудово, але давайте розглянемо два конкретні приклади.
Приклад №1
Нехай компанія Х має намір встановити на периметрі мережі кластер шлюзів. Вони вже ознайомилися з усіма обмеженнями Load Sharing (які їм неприйнятні) і розглядають виключно High Availability режим. Після сайзингу з'ясовується, що їм підходить шлюз 6800, який не повинен бути завантажений більш ніж на 50% (щоб був хоч якийсь запас продуктивності). Оскільки це буде кластер, потрібно купувати і другий пристрій, який буде в режимі standby просто "коптити" повітря. Дуже дорога «каптилка» виходить.
Але є альтернатива. Взяти бандл з оркестратора та трьох шлюзів 6500. У цьому випадку трафік розподілятиметься між усіма трьома пристроями. Якщо ви подивіться характеристики двох моделей, то побачите, що три шлюзи 6500 потужніші, ніж один 6800.
Таким чином, компанія Х при виборі Check Point Maestro отримує наступні переваги:
- Компанія відразу закладає масштабовану платформу. Подальше збільшення продуктивності буде зводитись до простого додавання ще однієї “залізки” 6500. Що може бути простіше?
- Рішення як і є отказоустойчивым, т.к. при виході з ладу однієї ноди, дві зможуть впоратися з навантаженням.
- Не менш важлива і дивовижна перевага – це дешевше! На жаль, я не можу викладати ціни у відкритий доступ, але якщо цікаво, можете
Приклад №2
Нехай компанія Y вже має HA кластер із моделей 6500. Активна нода завантажена на 85%, що при пікових навантаженнях призводить до втрат у продуктивному трафіку. Логічним вирішенням проблеми є оновлення заліза. Наступна модель - 6800. Тобто. компанії потрібно буде здати шлюзи за програмою Trade-In і придбати два нові (дорожчі) пристрої.
Але є альтернативний варіант. Придбати оркестратор і ще одну таку ж ноду (6500). Зібрати кластер із трьох пристроїв та “розмазати” ці 85% навантаження вже по трьох шлюзах. У результаті ви отримаєте величезний запас продуктивності (три пристрої в середньому будуть завантажені всього на 30%). Навіть якщо одна нода з трьох “помре”, то дві, що залишилися, все одно впораються з трафіком із середнім завантаженням у 45%. При цьому для пікових навантажень кластер із трьох активних шлюзів 6500 буде потужнішим за один шлюз 6800, який знаходиться в HA кластері (тобто active/standby). Крім того, якщо через рік-два у компанії Y знову зростуть потреби, то все, що їм потрібно буде зробити, — додати ще одну/дві ноди 6500. Думаю, економічна вигода тут очевидна.
Висновок
Так, Check Point Maestro – це не рішення для SMB. Але навіть середній бізнес може вже задуматися про цю платформу і хоча спробувати розрахувати економічну ефективність. Ви будете здивовані, коли виявите, що масштабовані платформи можуть виявитися вигіднішими за класичний кластер. У цьому є переваги як економічні, а й технічні. Однак про них ми поговоримо вже в наступній статті, де, крім технічних «фішок», я спробую показати кілька типових кейсів (топологія, сценарії).
Ви також можете передплатити наші паблики (, , , ), де можна стежити за появою нових матеріалів щодо Check Point та інших security продуктів.
Джерело: habr.com