最近,Check Point 推出了一个新的可扩展平台 。 我们已经发表了整篇文章 。 简而言之,它允许您通过组合多个设备并平衡它们之间的负载来几乎线性地提高安全网关的性能。 令人惊讶的是,仍然有一个神话认为这种可扩展平台仅适用于大型数据中心或巨型网络。 这绝对不是真的。
Check Point Maestro 是为多个类别的用户同时开发的(我们稍后会讨论它们),包括中型企业。 在这个简短的系列文章中,我将尝试反映 Check Point Maestro 对于中型组织(500 个用户以上)的技术和经济优势以及为什么此选项可能比经典集群更好.
Check Point Maestro 目标受众
首先,我们来看看 Check Point Maestro 的设计目标用户群。 其中只有4个:
1、缺乏底盘能力的企业。 Check Point Maestro 并不是 Check Point 的第一个可扩展平台。 我们已经写过,以前有 64000 和 44000 等型号。尽管它们具有出色的性能,但仍然有一些公司的性能还不够。 Maestro 消除了这个缺点,因为... 允许您将多达 31 台设备组装成一个高性能集群。 同时,您可以从高端设备(23900、26000)组建集群,从而实现巨大的吞吐量。
事实上,在安全网关领域,Check Point是目前唯一实现这一能力的公司。
2. 希望能够选择硬件的公司。 旧的可扩展平台的缺点之一是需要使用严格定义的“刀片模块”(Check Point SGM)。 新的 Check Point Maestro 平台允许您使用大量不同的设备。 您可以选择中档(5600、5800、5900、6500、6800)和高端(15000 系列、23000 系列、26000 系列)的型号。 此外,您可以根据任务将它们组合起来。
从优化利用资源的角度来看,这是非常方便的。 您可以通过选择正确的型号来仅购买您需要的性能。
3. 机箱太多,但仍需要扩展性的公司。 旧的可扩展平台(64000、44000)的另一个“缺点”是进入门槛较高(从经济角度来看)。 长期以来,可扩展平台仅适用于拥有“良好”IT 预算的大型企业。 随着 Check Point Maestro 的出现,一切都发生了变化。 最小捆绑包(协调器 + 两个网关)的成本与经典的主用/备用集群相当(有时甚至更低)。 那些。 准入门槛大幅下降。 在选择解决方案时,公司可以立即建立可扩展的架构,而无需为后续可能增加的需求支付过多费用。 Check Point Maestro 推出一年后,用户数量是否有所增加? 您只需添加一两个网关,无需替换现有网关。 您甚至不必更改拓扑。 只需将新网关连接到协调器,然后单击几下即可将设置应用到它们。
4. 想要充分利用现有设备的公司。 我想很多人都熟悉以旧换新的程序。 当现有设备的性能不再足够,需要更新硬件以满足当前需求时。 相当昂贵的过程。 另外,经常会出现这样的情况:客户拥有多个 Check Point 集群来执行不同的任务。 例如,用于周界防护的集群、用于远程访问(RA VPN)的集群、用于VSX的集群等。 此外,一个集群可能没有足够的资源,而另一个集群则拥有丰富的资源。 Check Maestro 是通过动态分配资源之间的负载来优化这些资源的使用的绝佳机会。
那些。 您将获得以下好处:
- 没有必要“扔掉”现有的硬件。 您可以购买一两个额外的网关,或者...
- 在其他现有网关之间配置动态负载平衡,以更优化地利用资源。 如果外围网关上的负载急剧增加,那么协调器将能够使用远程访问网关的“无聊”资源,反之亦然。 这有助于消除季节性(或临时)负载峰值。
正如您可能了解的那样,最后两个部分特别与中型企业相关,这些企业现在也可以负担得起使用可扩展的安全平台。 然而,可能会出现一个合理的问题:“为什么 Check Point Maestro 比常规集群更好?“我们将尝试回答这个问题。
经典集群与 Check Point Maestro
如果我们谈论经典的 Check Point 集群,则支持两种操作模式:高可用性(即主用/备用)和负载共享(即主用/主用)。 我们将简要描述他们工作的意义,以及他们的优点和缺点。
高可用性(主备)
顾名思义,在这种操作模式下,一个节点通过自身传递所有流量,第二个节点处于备用模式,并在活动节点开始遇到任何问题时接收流量。
优点:
- 最稳定的模式;
- 支持专有的SecureXL机制,加速流量处理;
- 如果活动节点发生故障,则保证第二个节点能够“消化”所有流量(因为它完全相同)。
缺点:
事实上,只有一个缺点——一个节点完全空闲。 反过来,正因为如此,我们被迫购买更强大的硬件,以便它可以单独处理流量。
当然,HA模式比负载共享更可靠,但资源优化却不尽如人意。
负载共享(主动/主动)
在这种模式下,集群中的所有节点都会处理流量。 您最多可以将 8 个设备组合到这样一个集群中(超过 4 个设备) ).
优点:
- 您可以在节点之间分配负载,这需要不太强大的设备;
- 平滑扩展的可能性(向集群添加最多 8 个节点)。
缺点:
- 奇怪的是,优点立即变成缺点。 即使公司只有两个节点,他们也喜欢使用负载共享模式。 为了省钱,他们购买设备,每台设备的负载率为 40-50%。 一切似乎都很好。 但是,如果一个节点发生故障,我们就会遇到一种情况,即整个负载都会转移到其余节点,这根本无法应对。 结果,在这样的方案中不存在容错能力。
- 添加一系列负载共享限制()。 最重要的限制是不支持 SecureXL,这是一种可以显着加快流量处理速度的机制;
- 至于通过向集群添加新节点来进行扩展,不幸的是,负载共享在这里远非理想。 如果集群中添加超过 4 个设备,则性能开始 .
考虑到前两个缺点,为了在使用两个节点时实现容错,我们还被迫购买生产力更高的硬件,以便它能够在危急情况下“消化”流量。 结果,我们没有得到任何经济效益,但却得到了一大笔钱 。 而且,值得注意的是,从R80.20版本开始,不再支持负载共享模式。 这限制了用户所需的更新。 目前尚不清楚新版本是否支持负载共享。
Check Point Maestro 作为替代方案
从集群的角度来看,Check Point Maestro 发挥了高可用性和负载共享模式的主要优势:
- 连接到编排器的网关可以使用 SecureXL,这可确保最大的流量处理速度。 负载共享没有其他固有的限制;
- 流量分布在一个安全组(由多个物理网关组成的逻辑网关)中的网关之间。 因此,我们可以安装生产力较低的设备,因为我们不再像高可用性模式那样拥有空闲网关。 同时,功率几乎可以线性增加,不会像负载共享模式那样造成严重损失(稍后详细介绍)。
这一切都很棒,但让我们看两个具体的例子。
例如№1
假设 X 公司打算在网络外围安装一组网关。 他们已经熟悉了负载共享的所有限制(这是他们无法接受的),并且正在专门考虑高可用性模式。 调整大小后,结果表明 6800 网关适合他们,负载不应超过 50%(以便至少有一些性能储备)。 由于这将是一个集群,因此您需要购买第二个设备,该设备将在待机模式下简单地“抽”空气。 这是一个非常昂贵的烟房。
但还有一个替代方案。 从 Orchestrator 和三个 6500 网关中获取一个捆绑包。在这种情况下,流量将在所有三个设备之间分配。 如果您查看这两种型号的规格,您会发现三台 6500 网关比一台 6800 更强大。
因此,当选择 Check Point Maestro 时,X 公司可以获得以下优势:
- 该公司立即建立了一个可扩展的平台。 随后的性能提升只需再添加 6500 个硬件即可,还有什么比这更简单的呢?
- 该解决方案仍然是容错的,因为如果一个节点发生故障,其余两个节点将能够应对负载。
- 一个同样重要且令人惊讶的优势是它更便宜! 不幸的是,我不能公开发布价格,但如果你有兴趣,你可以
例如№2
假设Y公司已经有一个包含6500个模型的HA集群,活动节点的负载率为85%,在高峰负载期间会导致生产流量的损失。 该问题的合理解决方案似乎是更新硬件。 下一个型号是 6800。 该公司需要通过以旧换新计划退回网关并购买两台新的(更昂贵的)设备。
但还有一个替代选择。 购买一个协调器和另一个完全相同的节点(6500)。 组装由三个设备组成的集群,并将这 85% 的负载“分散”到三个网关上。 因此,您将获得巨大的性能裕度(三个设备的平均负载仅为 30%)。 即使三个节点之一死亡,其余两个节点仍将以平均 45% 的负载应对流量。 此外,对于峰值负载,由三个活动 6500 网关组成的集群将比位于 HA 集群中的一个 6800 网关更强大(即主用/备用)。 另外,如果一两年后Y公司的需求再次增加,那么他们只需要再增加一两个6500个节点即可,我想这里的经济效益是显而易见的。
结论
是的,Check Point Maestro 不是中小型企业的解决方案。 但即使是中型企业也可以考虑这个平台,并至少尝试计算经济效益。 您会惊讶地发现可扩展平台比经典集群更有利可图。 同时,不仅有经济上的优势,还有技术上的优势。 不过,我们将在下一篇文章中讨论它们,除了技术技巧之外,我将尝试展示几个典型案例(拓扑、场景)。
您还可以订阅我们的公共页面(, , , ),您可以在其中关注 Check Point 和其他安全产品上新材料的出现。
来源: habr.com