5. Часто задаваемые вопросы по Check Point Maestro (FAQ)
Мы опубликовали уже 4 статьи (1, 2, 3 и 4) по Check Point Maestro, где довольно подробно расписали предназначение и различные сценарии использования этого продукта. В связи с этим, нас довольно часто и много спрашивают по поводу данного решения. Большинство задает примерно те же вопросы. Поэтому мы решили оформить небольшой список наиболее часто задаваемых вопросов — FAQ. Надеюсь кому-то это поможет сэкономить время.
В первую очередь, стоит отметить, что есть официальный sk147853 — Maestro Frequently Asked Questions (FAQs), где все довольно подробно. Это основной ресурс, которым точно стоит пользоваться. Мы же приведем свой топ вопросов, со своими, не столь лаконичными, комментариями.
Самые частые вопросы по Check Point Maestro
1) Maestro это новая технология? Не рано ли покупать? Наверняка много багов.
Сама технология балансировки нагрузки между шлюзами у Check Point-а существует уже больше 10 лет. Вспомните шассийные решения 44000/64000. Maestro это в какой-то степени реинкарнация этой же технологии, но в новом формат — вам больше не нужны громоздкие и дорогие шасси. Вы можете покупать только те шлюзы, которые вам нужны и только в том количестве, сколько вам требуется. По сути, Maestro снижает финансовый порог входа в масштабируемые решения, плюс, устраняет недостатки традиционных шассийных моделей (в кластер теперь можно объединять до 31 устройства).
2) Есть же обычные балансировщики. В чем преимущество Maestro?
Другим балансировщиком надо еще уметь управлять. К тому же, это никак не упрощает вам администрирование всех шлюзов, между которыми будет шариться вся нагрузка. Каждый придется администрировать отдельно (особенно при добавлении устройств). В случае же с Maestro, с задачей масштабирования справится даже уборщица. При первоначальной настройке вы создаете Security Group (по сути кластер из нескольких шлюзов), после чего весь процесс добавления шлюзов будет сводиться к подключению 1–2х кабелей к оркестратору (он же балансировщик) и перетаскиванию этого объекта в Security Group через графический интерфейс. Все. Настройки подтянутся автоматически (даже нужные патчи) и шлюз тут же начнет обрабатывать трафик вместе с другими шлюзами группы.
Плюс оркестратора еще в том, что он стоит дешевле классических балансировщиков, в том числе и по стоимости ежегодного владения.
3) Maestro только для крупного бизнеса?
На этот вопрос я уже частично ответил в предыдущем пункте. Maestro просто в разы снизил порог входа в масштабируемые решения. Минимальная модель шлюза, который поддерживает работу с оркестратором — 5600. В ближайшее время добавится поддержка еще одного недорогого шлюза из новой серии — 6200. Преимущества Check Point Maestro перед классическим кластером я описывал ранее. Даже компании с 500–1000 сотрудников уже в серьез могут рассматривать этот вариант.
4) Можно ли использовать порты оркестратора, как порты обычного коммутатора? Например для подключения своих серверов.
Здесь ответ будет лаконичным — НЕТ. Порты оркестратора предназначены только для подключения шлюзов, а так же для подключения к корпоративной сети заказчика и к сети Интернет.
5) Можно ли настроить на оркестраторе SPAN-порт?
Нет. Да и нет в этом смысла. Оркестратор все равно подключается к обычным коммутаторам. Там SPAN и настраивается.
6) Какая максимальная длина кабелей подключения шлюзов в оркестратор?
До 200 метров через Short Range трансиверы. Таким образом, вы можете располагать шлюзы в разных комнатах одного помещения.
7) Тратится ли лицензия на сервере управления при подключении оркестратора?
Нет. Оркестратор вообще никак не администрируется с сервера управления. Более того, все шлюзы одной Security Group (по сути кластер) воспринимаются менеджмент сервером как один. Да, 31 шлюз в одной Security Group будет отображаться как единый объект. Это довольно существенная экономия на сервере управления.
8) На сколько падает производительность аплайнсов, которые подключаются к оркестратору?
Падение производительности минимальное — 1%. Это не сравнимо с потерями, которые вы получаете при использовании шлюзов в классическом режиме load sharing (особенно если их больше 4х штук в кластере).
9) Есть ли обучающие курсы по Check Point Maestro?
Да, теперь есть. Есть сертифицированные учебные центры с настоящим железом (оркестратор нельзя виртуализировать), с сертифицированными тренерами. Можно даже сдать экзамен и получать сертификат такого плана:
Заключение
Если у вас остались вопросы, можете смело задавать их в комментариях или нам на почту. Следите за обновлениями (Telegram, Facebook, VK, TS Solution Blog)!