Yaqinda Check Point yangi kengaytiriladigan platformani taqdim etdi . Biz allaqachon to'liq maqolani nashr etganmiz . Muxtasar qilib aytganda, bu sizga bir nechta qurilmalarni birlashtirish va ular orasidagi yukni muvozanatlash orqali xavfsizlik shlyuzining ish faoliyatini deyarli chiziqli oshirish imkonini beradi. Ajablanarlisi shundaki, bu kengaytiriladigan platforma faqat yirik ma'lumotlar markazlari yoki gigant tarmoqlar uchun mos keladi degan afsona hali ham mavjud. Bu mutlaqo to'g'ri emas.
Check Point Maestro bir vaqtning o'zida bir nechta foydalanuvchilar toifalari uchun ishlab chiqilgan (biz ularni biroz keyinroq ko'rib chiqamiz), shu jumladan o'rta biznes uchun. Ushbu qisqa maqolalar turkumida men aks ettirishga harakat qilaman Check Point Maestro-ning o'rta tashkilotlar uchun texnik va iqtisodiy afzalliklari (500 foydalanuvchidan) va nima uchun bu variant klassik klasterdan yaxshiroq bo'lishi mumkin.
Check Point Maestro maqsadli auditoriyasi
Birinchidan, Check Point Maestro mo'ljallangan foydalanuvchi segmentlarini ko'rib chiqaylik. Ulardan faqat 4 tasi bor:
1. Shassi imkoniyatlariga ega bo'lmagan kompaniyalar. Check Point Maestro Check Point-ning birinchi kengaytiriladigan platformasi emas. Biz allaqachon yozgan edikki, ilgari 64000 va 44000 kabi modellar bor edi. Garchi ular Ajoyib ko'rsatkichlarga ega bo'lsa-da, hali ham bu EMAS kompaniyalar bor edi. Maestro bu kamchilikni yo'q qiladi, chunki ... 31 tagacha qurilmalarni bitta yuqori samarali klasterga yig'ish imkonini beradi. Shu bilan birga, siz yuqori darajadagi qurilmalardan (23900, 26000) klasterni yig'ishingiz mumkin va shu bilan ulkan o'tkazuvchanlikka erishasiz.
Aslida, xavfsizlik shlyuzlari sohasida, Check Point hozirda bunday imkoniyatni amalga oshiradigan yagona hisoblanadi.
2. O'z uskunasini tanlash imkoniyatiga ega bo'lishni xohlaydigan kompaniyalar. Qadimgi kengaytiriladigan platformalarning kamchiliklaridan biri bu qat'iy belgilangan "pichoq modullari" dan foydalanish zarurati (Check Point SGM). Yangi Check Point Maestro platformasi juda ko'p turli xil qurilmalardan foydalanishga imkon beradi. Siz ikkala modelni o'rta segmentdan (5600, 5800, 5900, 6500, 6800) va High End segmentidan (15000 seriyali, 23000 seriyali, 26000 seriyali) tanlashingiz mumkin. Bundan tashqari, siz vazifalarga qarab ularni birlashtira olasiz.
Bu resurslardan optimal foydalanish nuqtai nazaridan juda qulaydir. To'g'ri modelni tanlash orqali faqat kerakli ishlashni sotib olishingiz mumkin.
3. Shassi juda ko'p bo'lgan kompaniyalar, lekin miqyosi hali ham zarur. Qadimgi kengaytiriladigan platformalarning (64000, 44000) yana bir "kamchiligi" yuqori kirish chegarasi edi (iqtisodiy nuqtai nazardan). Uzoq vaqt davomida kengaytiriladigan platformalar faqat "yaxshi" IT byudjeti bo'lgan yirik korxonalar uchun mavjud edi. Check Point Maestro paydo bo'lishi bilan hamma narsa o'zgardi. Minimal to'plamning narxi (orkestrator + ikkita shlyuz) klassik faol/kutish klasteri bilan solishtirish mumkin (va ba'zan pastroq). Bular. kirish chegarasi sezilarli darajada kamaydi. Yechimni tanlayotganda, kompaniya ehtiyojlarning keyingi ortishi uchun ortiqcha to'lamasdan darhol kengaytiriladigan arxitekturani yaratishi mumkin. Check Point Maestro joriy etilganidan bir yil o'tgach, ko'proq foydalanuvchilar bormi? Siz faqat bitta yoki ikkita shlyuz qo'shasiz, mavjudlarini almashtirmasdan. Siz hatto topologiyani o'zgartirishingiz shart emas. Bir necha marta bosish bilan yangi shlyuzlarni orkestrga ulang va ularga sozlamalarni qo'llang.
4. Mavjud qurilmalardan optimal foydalanishni xohlaydigan kompaniyalar. O'ylaymanki, ko'pchilik Trade-In protsedurasi bilan tanish. Mavjud qurilmalarning ishlashi endi etarli bo'lmaganda va joriy ehtiyojlarni qondirish uchun apparatni yangilash kerak bo'lganda. Juda qimmat protsedura. Bundan tashqari, mijozda turli xil vazifalar uchun bir nechta Check Point klasterlari bo'lgan vaziyat tez-tez uchraydi. Masalan, perimetrni himoya qilish uchun klaster, masofaviy kirish uchun klaster (RA VPN), VSX uchun klaster va boshqalar. Bundan tashqari, bir klasterda etarli resurslar bo'lmasligi mumkin, boshqasi esa ularning ko'pligiga ega. Check Maestro - bu resurslarni ular orasidagi yukni dinamik ravishda taqsimlash orqali ulardan foydalanishni optimallashtirish uchun ajoyib imkoniyat.
Bular. siz quyidagi imtiyozlarga ega bo'lasiz:
- Mavjud uskunani "tashlash" kerak emas. Siz bitta yoki ikkita qo'shimcha shlyuz sotib olishingiz mumkin yoki...
- Resurslardan maqbulroq foydalanish uchun boshqa mavjud shlyuzlar o'rtasida dinamik yuk balansini sozlang. Agar perimetr shlyuzidagi yuk keskin oshsa, orkestr uzoqdan kirish shlyuzlarining "zerikkan" resurslaridan foydalanishi mumkin va aksincha. Bu mavsumiy (yoki vaqtinchalik) yuk cho'qqilarini yumshatishga yordam beradi.
Siz tushunganingizdek, oxirgi ikki segment, xususan, o'rta biznesga tegishli bo'lib, ular endi kengaytiriladigan xavfsizlik platformalaridan foydalanish imkoniyatiga ega. Biroq, mantiqiy savol tug'ilishi mumkin: "Nima uchun Check Point Maestro oddiy klasterdan yaxshiroq?βBiz bu savolga javob berishga harakat qilamiz.
Klassik klaster va Check Point Maestro
Agar klassik Check Point klasteri haqida gapiradigan bo'lsak, unda ikkita ish rejimi qo'llab-quvvatlanadi: Yuqori mavjudlik (ya'ni Faol/Kutish rejimi) va Yuk almashish (ya'ni Faol/Faol). Biz ularning ish mazmunini, shuningdek, ijobiy va salbiy tomonlarini qisqacha tasvirlab beramiz.
Yuqori mavjudlik (faol/kutish rejimi)
Nomidan ko'rinib turibdiki, ushbu ish rejimida bitta tugun barcha trafikni o'zi orqali o'tkazadi, ikkinchisi esa kutish rejimida va agar faol tugun har qanday muammoga duch kela boshlasa, trafikni oladi.
Taroziga soling:
- Eng barqaror rejim;
- Trafikni qayta ishlashni tezlashtirish uchun xususiy SecureXL mexanizmi qo'llab-quvvatlanadi;
- Agar faol tugun ishlamay qolsa, ikkinchisi barcha trafikni "hazm qilish" imkoniyatiga ega bo'lishi kafolatlanadi (chunki u aynan bir xil).
Kamchiliklari:
Aslida, faqat bitta minus bor - bitta tugun butunlay bo'sh. O'z navbatida, shuning uchun biz faqat trafikni boshqarishi uchun yanada kuchliroq apparat sotib olishga majburmiz.
Albatta, HA rejimi yuk almashishdan ko'ra ishonchliroq, ammo resurslarni optimallashtirish ko'p narsani xohlamaydi.
Yuk almashish (faol/faol)
Ushbu rejimda klasterdagi barcha tugunlar trafikni qayta ishlaydi. Bunday klasterga siz 8 tagacha qurilmalarni birlashtira olasiz (4 ).
Taroziga soling:
- Siz yukni tugunlar o'rtasida taqsimlashingiz mumkin, bu esa kamroq kuchli qurilmalarni talab qiladi;
- Silliq masshtablash imkoniyati (klasterga 8 tagacha tugunni qo'shish).
Kamchiliklari:
- G'alati, ijobiy tomonlar darhol kamchiliklarga aylanadi. Ular kompaniyada faqat ikkita tugun bo'lsa ham, Yuk almashish rejimidan foydalanishni yaxshi ko'radilar. Pulni tejashni xohlab, ular har biri 40-50% yuklangan qurilmalarni sotib olishadi. Va hamma narsa yaxshi bo'lganga o'xshaydi. Ammo agar bitta tugun ishlamay qolsa, biz butun yukni qolganiga o'tkazadigan vaziyatga duch kelamiz, bu shunchaki bardosh bera olmaydi. Natijada, bunday sxemada xatoga chidamlilik yo'q.
- Bunga bir qator yuk almashish cheklovlarini qo'shing (). Va eng muhim cheklov - SecureXL qo'llab-quvvatlanmaydi, bu mexanizm trafikni qayta ishlashni sezilarli darajada tezlashtiradi;
- Klasterga yangi tugunlarni qo'shish orqali masshtabni o'zgartirishga kelsak, afsuski, yuklarni almashish bu erda idealdan uzoqdir. Agar klasterga 4 dan ortiq qurilmalar qo'shilsa, u holda ishlash boshlanadi .
Dastlabki ikkita kamchilikni hisobga olgan holda, ikkita tugunni ishlatishda nosozliklarga chidamliligini ta'minlash uchun biz tanqidiy vaziyatda trafikni "hazm qilishi" uchun yanada samaraliroq uskunani sotib olishga majburmiz. Natijada bizda hech qanday iqtisodiy foyda yo'q, lekin biz katta miqdorni olamiz . Bundan tashqari, R80.20 versiyasidan boshlab, Yuk almashish rejimi qo'llab-quvvatlanmasligini ta'kidlash kerak. Bu foydalanuvchilarni kerakli yangilanishlardan cheklaydi. Yangi versiyalarda yuklarni taqsimlash qo'llab-quvvatlanadimi yoki yo'qmi, hozircha noma'lum.
Check Point Maestro alternativa sifatida
Klaster nuqtai nazaridan, Check Point Maestro yuqori mavjudlik va yuk almashish rejimlarining asosiy afzalliklarini oldi:
- Orkestrga ulangan shlyuzlar SecureXL-dan foydalanishi mumkin, bu esa trafikni qayta ishlashning maksimal tezligini ta'minlaydi. Yuk almashishga xos bo'lgan boshqa cheklovlar yo'q;
- Trafik bitta Xavfsizlik guruhidagi shlyuzlar o'rtasida taqsimlanadi (bir nechta jismoniylardan tashkil topgan mantiqiy shlyuz). Buning yordamida biz kamroq unumdor qurilmalarni o'rnatishimiz mumkin, chunki bizda yuqori mavjudlik rejimida bo'lgani kabi bo'sh shlyuzlar yo'q. Shu bilan birga, quvvatni yukni taqsimlash rejimidagi kabi jiddiy yo'qotishlarsiz deyarli chiziqli ravishda oshirish mumkin (batafsilroq ma'lumot keyinroq).
Bularning barchasi ajoyib, ammo ikkita aniq misolni ko'rib chiqaylik.
Misol β1
X kompaniyasi tarmoq perimetrida shlyuzlar klasterini o'rnatish niyatida bo'lsin. Ular allaqachon Yuk almashishning barcha cheklovlari (ular uchun qabul qilinishi mumkin emas) bilan tanish bo'lishdi va faqat yuqori mavjudlik rejimini ko'rib chiqmoqdalar. O'lchovdan so'ng, 6800 shlyuzi ular uchun mos ekanligi ma'lum bo'ldi, uni 50% dan ko'proq yuklamaslik kerak (hech bo'lmaganda biroz ishlash zaxirasiga ega bo'lish uchun). Bu klaster bo'lgani uchun siz ikkinchi qurilmani sotib olishingiz kerak, u shunchaki kutish rejimida havoni "chekadi". Bu juda qimmat chekishxona.
Ammo alternativa bor. Orkestr va uchta 6500 shlyuzdan bir to'plamni oling.Bu holda trafik har uch qurilma o'rtasida taqsimlanadi. Agar siz ikkita modelning xususiyatlariga qarasangiz, uchta 6500 shlyuz bitta 6800 dan kuchliroq ekanligini ko'rasiz.
Shunday qilib, Check Point Maestro ni tanlashda X kompaniyasi quyidagi afzalliklarga ega bo'ladi:
- Kompaniya darhol kengaytiriladigan platformani yaratadi. Keyinchalik unumdorlikning oshishi yana 6500 ta uskunani qo'shish bilan bog'liq bo'ladi.Nima oddiyroq bo'lishi mumkin?
- Yechim hali ham xatoga chidamli, chunki Agar bitta tugun ishlamay qolsa, qolgan ikkitasi yukni engishga qodir.
- Bir xil darajada muhim va hayratlanarli afzallik - bu arzonroq! Afsuski, men narxlarni oshkora e'lon qila olmayman, lekin agar qiziqsangiz, mumkin
Misol β2
Y kompaniyasi allaqachon 6500 ta modeldan iborat HA klasteriga ega bo'lsin.Faol tugun 85% ga yuklanadi, bu esa eng yuqori yuklanish vaqtida samarali trafikda yo'qotishlarga olib keladi. Muammoning mantiqiy yechimi apparatni yangilash kabi ko'rinadi. Keyingi model 6800. Ya'ni. kompaniya Trade-In dasturi orqali shlyuzlarni qaytarishi va ikkita yangi (qimmatroq) qurilmani sotib olishi kerak bo'ladi.
Ammo muqobil variant ham bor. Orkestrni va boshqa bir xil tugunni sotib oling (6500). Uchta qurilmadan iborat klasterni yig'ing va ushbu 85% yukni uchta shlyuz bo'ylab "tarqang". Natijada siz katta ishlash marjasiga ega bo'lasiz (uchta qurilma o'rtacha atigi 30% yuklanadi). Agar uchta tugunlardan biri o'lgan bo'lsa ham, qolgan ikkitasi o'rtacha 45% yuk bilan tirbandlikka dosh beradi. Bundan tashqari, eng yuqori yuklanishlar uchun uchta faol 6500 shlyuzdan iborat klaster HA klasterida joylashgan (ya'ni faol/kutish) bitta 6800 shlyuzdan kuchliroq bo'ladi. Qolaversa, bir-ikki yil ichida Y kompaniyasining ehtiyoji yana ortib borsa, yana bitta-ikkita 6500 ta tugunni qo'shish kerak bo'ladi.Menimcha, bu erda iqtisodiy foyda aniq.
xulosa
Ha, Check Point Maestro SMB uchun yechim emas. Ammo hatto o'rta biznes allaqachon ushbu platforma haqida o'ylashi va hech bo'lmaganda iqtisodiy samaradorlikni hisoblashga harakat qilishi mumkin. Kengaytiriladigan platformalar klassik klasterdan ko'ra foydaliroq bo'lishi mumkinligini bilib hayron qolasiz. Shu bilan birga, nafaqat iqtisodiy, balki texnik jihatdan ham afzalliklar mavjud. Biroq, biz ular haqida keyingi maqolada gaplashamiz, bu erda texnik hiylalardan tashqari, men bir nechta tipik holatlarni (topologiya, stsenariylar) ko'rsatishga harakat qilaman.
Shuningdek, siz bizning umumiy sahifalarimizga obuna bo'lishingiz mumkin (, , , ), bu erda siz Check Point va boshqa xavfsizlik mahsulotlarida yangi materiallar paydo bo'lishini kuzatishingiz mumkin.
Manba: www.habr.com