最近,Check Point 推出了一個新的可擴展平台 。 我們已經發表了整篇文章 。 簡而言之,它允許您透過組合多個設備並平衡它們之間的負載來幾乎線性地提高安全網關的效能。 令人驚訝的是,仍然有一個神話認為這種可擴展平台僅適用於大型資料中心或巨型網路。 這絕對不是真的。
Check Point Maestro 是為多個類別的使用者同時開發的(我們稍後會討論它們),包括中型企業。 在這個簡短的系列文章中,我將嘗試反映 Check Point Maestro 對於中型組織(500 個用戶以上)的技術和經濟優勢以及為什麼此選項可能比經典集群更好.
Check Point Maestro 目標受眾
首先,讓我們來看看 Check Point Maestro 的設計目標使用者群。 其中只有4個:
1.缺乏底盤能力的企業。 Check Point Maestro 並不是 Check Point 的第一個可擴展平台。 我們已經寫過,以前有 64000 和 44000 等型號。儘管它們具有出色的性能,但仍然有一些公司的性能還不夠。 Maestro 消除了這個缺點,因為... 讓您將最多 31 台設備組裝成一個高效能叢集。 同時,您可以將頂級設備(23900、26000)組成集群,從而實現巨大的吞吐量。
事實上,在安全閘道領域,Check Point是目前唯一實現這項能力的公司。
2. 希望能夠選擇硬體的公司。 舊的可擴展平台的缺點之一是需要使用嚴格定義的「刀片模組」(Check Point SGM)。 新的 Check Point Maestro 平台可讓您使用大量不同的設備。 您可以選擇中階(5600、5800、5900、6500、6800)和高階(15000 系列、23000 系列、26000 系列)的型號。 此外,您可以根據任務將它們組合起來。
從優化利用資源的角度來看,這是非常方便的。 您可以透過選擇正確的型號來僅購買您需要的性能。
3. 機殼太多,但仍需要擴充性的公司。 舊的可擴展平台(64000、44000)的另一個「缺點」是進入門檻較高(從經濟角度來看)。 長期以來,可擴展平台僅適用於擁有「良好」IT 預算的大型企業。 隨著 Check Point Maestro 的出現,一切都改變了。 最小捆綁包(協調器 + 兩個網關)的成本與經典的主用/備用叢集相當(有時甚至更低)。 那些。 進入門檻大幅下降。 在選擇解決方案時,公司可以立即建立可擴展的架構,而無需為後續可能增加的需求支付過多費用。 Check Point Maestro 推出一年後,使用者數量是否有增加? 您只需新增一兩個網關,無需替換現有網關。 您甚至不必更改拓撲。 只需將新網關連接到協調器,然後點擊幾下即可將設定套用到它們。
4. 想要充分利用現有設備的公司。 我想很多人都熟悉以舊換新的程式。 當現有設備的性能不再足夠,需要更新硬體以滿足當前需求時。 相當昂貴的過程。 另外,經常會出現這樣的情況:客戶擁有多個 Check Point 叢集來執行不同的任務。 例如,用於周界防護的叢集、用於遠端存取(RA VPN)的叢集、用於VSX的叢集等。 此外,一個集群可能沒有足夠的資源,而另一個集群則擁有豐富的資源。 Check Maestro 是透過動態分配資源之間的負載來優化這些資源的使用的絕佳機會。
那些。 您將獲得以下好處:
- 沒有必要「丟掉」現有的硬體。 您可以購買一兩個額外的網關,或...
- 在其他現有網關之間配置動態負載平衡,以更優化地利用資源。 如果外圍網關上的負載急劇增加,那麼協調器將能夠使用遠端存取網關的「無聊」資源,反之亦然。 這有助於消除季節性(或臨時)負載峰值。
正如您可能了解的那樣,最後兩個部分特別與中型企業相關,這些企業現在也可以使用可擴展的安全平台。 然而,可能會出現一個合理的問題:“為什麼 Check Point Maestro 比常規叢集更好?「我們將嘗試回答這個問題。
經典集群與 Check Point Maestro
如果我們談論經典的 Check Point 集群,則支援兩種操作模式:高可用性(即主用/備用)和負載共享(即主用/主用)。 我們將簡要地描述他們工作的意義,以及他們的優點和缺點。
高可用性(主備)
顧名思義,在這種操作模式下,一個節點透過自身傳遞所有流量,第二個節點處於備用模式,並在活動節點開始遇到任何問題時接收流量。
優點:
- 最穩定的模式;
- 支援專有的SecureXL機制,加速流量處理;
- 如果活動節點發生故障,則保證第二個節點能夠「消化」所有流量(因為它完全相同)。
缺點:
事實上,只有一個缺點──一個節點完全空閒。 反過來,正因為如此,我們被迫購買更強大的硬件,以便它可以單獨處理流量。
當然,HA模式比負載共享更可靠,但資源最佳化卻不盡人意。
負載共享(主動/主動)
在這種模式下,叢集中的所有節點都會處理流量。 您最多可以將 8 個設備組合到這樣一個集群中(超過 4 個設備) ).
優點:
- 您可以在節點之間分配負載,這需要不太強大的設備;
- 平滑擴展的可能性(向叢集添加最多 8 個節點)。
缺點:
- 奇怪的是,優點立刻變成缺點。 即使公司只有兩個節點,他們也喜歡使用負載共享模式。 為了省錢,他們購買設備,每台設備的負載率為 40-50%。 一切似乎都很好。 但是,如果一個節點發生故障,我們就會遇到一種情況,即整個負載都會轉移到其餘節點,這根本無法應對。 結果,在這樣的方案中不存在容錯能力。
- 增加一系列負載共享限制()。 最重要的限制是不支援 SecureXL,這是一種可以顯著加快流量處理速度的機制;
- 至於透過向叢集添加新節點來進行擴展,不幸的是,負載共享在這裡遠非理想。 如果叢集中新增超過 4 個設備,則效能開始 .
考慮到前兩個缺點,為了在使用兩個節點時實現容錯,我們還被迫購買生產力更高的硬件,以便它能夠在危急情況下「消化」流量。 結果,我們沒有得到任何經濟效益,但我們得到了一大筆錢 。 而且,值得注意的是,從R80.20版本開始,不再支援負載共享模式。 這限制了使用者所需的更新。 目前尚不清楚新版本是否支援負載共享。
Check Point Maestro 作為替代方案
從叢集的角度來看,Check Point Maestro 發揮了高可用性和負載共用模式的主要優勢:
- 連接到編排器的網關可以使用 SecureXL,這可確保最大的流量處理速度。 負載共享沒有其他固有的限制;
- 流量分佈在一個安全群組(由多個實體網關組成的邏輯網關)中的網關之間。 因此,我們可以安裝生產力較低的設備,因為我們不再像高可用性模式那樣擁有空閒網關。 同時,功率幾乎可以線性增加,不會像負載共享模式那樣造成嚴重損耗(稍後會詳細介紹)。
這一切都很棒,但讓我們來看兩個具體的例子。
示例#1
假設 X 公司打算在網路外圍安裝一組網關。 他們已經熟悉了負載共享的所有限制(這是他們無法接受的),並且正在專門考慮高可用性模式。 調整大小後,結果顯示 6800 網關適合他們,負載不應超過 50%(以便至少有一些效能儲備)。 由於這將是一個集群,因此您需要購買第二個設備,該設備將在待機模式下簡單地「抽動」空氣。 這是一個非常昂貴的煙房。
但還有一個替代方案。 從 Orchestrator 和三個 6500 閘道中取得一個捆綁包。在這種情況下,流量將在所有三個裝置之間分配。 如果您查看這兩種型號的規格,您會發現三台 6500 網關比一台 6800 更強大。
因此,選擇 Check Point Maestro 時,X 公司可以獲得以下優勢:
- 該公司立即建立了一個可擴展的平台。 隨後的效能提升只需再增加 6500 個硬體即可,還有什麼比這更簡單的呢?
- 該解決方案仍然是容錯的,因為如果一個節點發生故障,其餘兩個節點將能夠應付負載。
- 一個同樣重要且令人驚訝的優點是它更便宜! 不幸的是,我不能公開發布價格,但如果你有興趣,你可以
示例#2
假設Y公司已經有一個包含6500個模型的HA集群,活動節點的負載率為85%,在高峰負載期間會導致生產流量的損失。 該問題的合理解決方案似乎是更新硬體。 下一個型號是 6800。 該公司需要透過以舊換新計劃退回網關併購買兩台新的(更昂貴的)設備。
但還有一個替代選擇。 購買一個協調器和另一個完全相同的節點(6500)。 組裝由三個設備組成的集群,並將這 85% 的負載「分散」到三個網關上。 因此,您將獲得巨大的效能裕度(三個設備的平均負載僅為 30%)。 即使三個節點之一死亡,其餘兩個節點仍將以平均 45% 的負載應對流量。 此外,對於尖峰負載,由三個活動 6500 網關組成的叢集將比位於 HA 叢集中的一個 6800 網關更強大(即主用/備用)。 另外,如果一兩年後Y公司的需求再次增加,那麼他們只需要再增加一兩個6500個節點即可,我想這裡的經濟效益是顯而易見的。
結論
是的,Check Point Maestro 不是中小型企業的解決方案。 但即使是中型企業也可以考慮這個平台,並且至少嘗試計算經濟效益。 您會驚訝地發現可擴展平台比經典叢集更有利可圖。 同時,不僅有經濟上的優勢,還有技術上的優勢。 不過,我們將在下一篇文章中討論它們,除了技術技巧之外,我將嘗試展示幾個典型案例(拓撲、場景)。
您也可以訂閱我們的公開頁面(, , , ),您可以在其中關注 Check Point 和其他安全產品上新材料的出現。
來源: www.habr.com