最近,Check Point推出了新的可扩展
Maestro平台。 我们已经发表了一篇有关
它是什么以及它如何工作的整篇文章。 简而言之-通过组合多个设备并平衡它们之间的负载,它几乎可以线性提高Security Gateway的性能。 令人惊讶的是,仍然存在一个神话,即这种可扩展平台仅适用于大型数据中心或巨型网络。 这是完全错误的。
Check Point Maestro是同时为多种类别的用户开发的(稍后我们将考虑它们),其中还包括中型企业。 在这个简短的系列文章中,我将尝试反映
Check Point Maestro对于中型组织(来自500个用户)的
技术和经济优势,以及为什么此选项可能比传统集群更好 。
目标受众检查点大师
首先,让我们看一下为Check Point Maestro开发的用户群。 其中有4个:
1.缺乏底盘功能的公司 。 Check Point Maestro不是第一个可扩展的Check Point平台。 我们已经写过,以前有64000和44000这样的模型。尽管它们具有出色的性能,但它们仍然拥有属于LITTLE的公司。 Maestro消除了此缺点,因为 允许您在一个高性能群集中收集多达31个设备。 同时,您可以从高端设备(23900、26000)组装一个集群,从而获得巨大的带宽。
实际上,在安全网关领域,Check Point是唯一实现此功能的设备。
2.希望能够选择硬件的公司 。 较旧的可伸缩平台的缺点之一是需要使用严格定义的“刀片模块”(Check Point SGM)。 新的Check Point Maestro平台允许您使用大量不同的设备。 您可以从中间部分(5600、5800、5900、6500、6800)和高端部分(15000系列,23000系列,26000系列)中选择两种型号。 此外,您可以根据任务将它们组合在一起。
从最佳利用资源的角度来看,这非常方便。 通过选择合适的型号,您只能购买所需的性能。
3.底盘太多,但仍需要可伸缩性的公司 。 旧的可扩展平台(64000、44000)的另一个“缺点”是较高的进入门槛(从经济角度来看)。 长期以来,可伸缩平台仅适用于具有“良好” IT预算的大型企业。 随着Check Point Maestro的出现,一切都发生了变化。 最小捆绑包(协调器+两个网关)的成本与传统的活动/备用集群相当(有时更低)。 即 进入门槛已大大降低。 选择解决方案时,公司可以立即建立可扩展的体系结构,而不必为随后可能出现的需求增长支付过多的费用。 Check Point Maestro推出一年后,还有更多用户吗? 只需添加一个或两个网关,而无需任何现有替代。 您甚至不必更改拓扑。 只需将新网关连接到管弦乐队,然后单击几下即可将设置应用到它们。
4.希望最佳使用现有设备的公司 。 我认为许多人都熟悉以旧换新程序。 当现有设备的性能不再足以满足当前需求时,您需要更新硬件。 相当昂贵的程序。 另外,客户经常有多个Check Point群集来执行不同的任务。 例如,用于外围保护的群集,用于远程访问的群集(RA VPN),用于VSX的群集等。 此外,一个群集可能没有足够的资源,而另一个群集则有大量的资源。 Check Maestro是通过动态分配资源之间的负载来优化这些资源使用的绝好机会。
即 您将获得以下好处:
- 无需“丢弃”现有的熨斗。 您可以购买一个或两个网关,或者...
- 在其他现有网关之间设置动态负载平衡,以更优化地利用资源。 如果外围网关上的负载急剧增加,那么协调器可以使用远程访问网关的“无聊”资源,反之亦然。 这有助于消除季节性(或临时)负荷高峰。
正如您可能理解的那样,最后两个部分仅与中型企业有关,现在中型企业也可以负担得起可扩展安全平台的使用。 但是,可能会出现一个合理的问题:“
为什么Check Point Maestro比传统的集群更好? ”我们将尝试回答这个问题。
经典集群vs Check Point Maestro
如果我们谈论经典的Check Point群集,则支持两种操作模式:高可用性(即活动/备用)和负载共享(即活动/活动)。 我们简要描述了他们的工作意义以及他们的利弊。
高可用性(活动/备用)
顾名思义,在这种操作模式下,一个节点将所有流量传递通过它自己,第二个节点处于备用模式,如果活动节点开始遇到任何问题,则拾取流量。
优点:
- 最稳定的模式;
- 支持专有的SecureXL机制以加快流量处理;
- 如果活动节点发生故障,则保证第二个节点能够“消化”所有流量(因为它完全相同)。
缺点:
实际上,只有一个负号-一个节点完全空闲。 反过来,因此,我们被迫购买功能更强大的硬件,使其仅能应付流量。
当然,高可用性模式比负载共享更可靠,但是资源优化还有很多不足之处。
负载共享(活动/活动)
在这种模式下,群集中的所有节点都将处理流量。 您最多可以将8个设备组合到这样的群集中(
不建议使用 4个以上的设备)。
优点:
- 您可以在节点之间分配负载,因此需要效率较低的设备。
- 平滑扩展的可能性(最多可将8个节点添加到一个群集中)。
缺点:
- 奇怪的是,但是利弊立即陷入弊端。 他们喜欢使用负载共享模式,即使公司只有两个节点也是如此。 为了省钱,购买了设备,每种设备的负载率为40%至50%。 而且一切似乎都很好。 但是,如果一个节点掉落,我们会遇到这样一种情况,即整个负载都落到了剩下的那个负载上,这简直无法应付。 结果,就没有这样的方案中的容错能力。
- 再加上一堆负载共享限制( sk101539 )。 最重要的限制是不支持SecureXL,该机制可显着加快流量处理。
- 至于通过向群集中添加新节点来进行扩展,不幸的是,负载分担远非理想之举。 如果将四个以上的设备添加到群集,则性能开始急剧下降 。
考虑到前两个缺点,为了在使用两个节点时实现容错能力,我们还被迫购买更高效的硬件,以便它可以在紧急情况下“消化”流量。 结果,我们没有任何经济利益,但是我们受到了很多
限制 。 此外,值得注意的是,从版本R80.20开始,不支持负载共享模式。 这限制了用户进行必要的更新。 在新版本中是否支持负载共享仍然是未知的。
Check Point Maestro替代
从群集的角度来看,Check Point Maestro发挥了高可用性和负载共享模式的主要优势:
- 连接到协调器的网关可以使用SecureXL,以确保最大的流量处理速度。 负载共享没有其他固有限制;
- 流量在一个安全组中的网关之间分配(一个逻辑网关由多个物理网关组成)。 因此,可以构建效率较低的设备,因为像高可用性模式一样,我们不再拥有空闲网关。 同时,您可以几乎线性地增加功率,而不会出现如负载共享模式那样的严重损失(稍后会详细介绍)。
所有这些都很棒,但是让我们看两个具体示例。
示例1
让X公司打算在网络外围安装网关群集。 他们已经熟悉了负载共享的所有限制(这对于他们来说是不可接受的),并且正在专门考虑采用高可用性模式。 调整大小后,事实证明6800网关适合它们,其负载不应超过50%(以便至少在性能上有一定余地)。 由于它将是一个集群,因此您需要购买第二台设备,该设备将处于待机状态,只是“冒烟”。 一个非常昂贵的“烟雾屋”问世了。
但是,还有另一种选择。 从管弦乐队和三个网关6500中获取捆绑包。在这种情况下,流量将在所有三个设备之间分配。 如果您看一下这两种模型的特性,您会发现三个6500网关比一个6800网关功能更强大。
因此,X公司在选择Check Point Maestro时会获得以下好处:
- 该公司立即奠定了可扩展的平台。 随后提高的生产率将减少为简单地添加另一个“硬件” 6500所能带来的好处。
- 解决方案仍然是容错的,因为 如果一个节点发生故障,其余两个节点将能够应付负载。
- 同样重要且令人惊讶的优势是价格便宜! 不幸的是,我无法在公共领域发布价格,但是如果有兴趣,您可以联系我们进行计算
示例2
假设Y公司已经拥有6500个模型的HA集群,活动节点的负载为85%,这在高峰负载时会导致生产流量的损失。 解决这个问题的合理方法是更新熨斗。 下一个型号是6800。 该公司将需要通过以旧换新计划下的网关,并购买两个新的(更昂贵的)设备。
但是,还有另一种选择。 购买一个乐团和一个完全相同的节点(6500)。 组装由三个设备组成的集群,并在三个网关处“涂抹”这85%的负载。 结果,您将获得巨大的性能利润(平均而言,三个设备的负载率仅为30%)。 即使三个节点之一“死亡”,其余两个节点仍然可以应付平均负载为45%的流量。 同时,对于峰值负载,由三个活动6500网关组成的集群将比位于HA集群中的一个6800网关(即活动/备用)更强大。 另外,如果在一两年内公司Y的需求再次增加,那么他们所要做的就是再增加一个/两个6500节点。我认为这里的经济效益是显而易见的。
结论
是的,Check Point Maestro不是针对SMB的解决方案。 但是,即使是中型企业也已经可以考虑使用此平台,至少可以尝试计算经济效率。 当您发现可扩展平台比传统集群更有利可图时,您会感到惊讶。 同时,不仅具有经济优势,而且具有技术优势。 但是,我们将在下一篇文章中讨论它们,除了技术“芯片”之外,我还将尝试展示一些典型的情况(拓扑,场景)。
您还可以订阅我们的公众(
Telegram ,
Facebook ,
VK ,
TS解决方案博客 ),在这里您可以监视Check Point和其他安全产品上新材料的出现。