Loading...
18Nov

Оценка систем защиты сайта с помощью стресс-тестирования

Оценка систем защиты сайта с помощью стресс-тестирования

Russian
  • Alt

В первом квартале 2022 года DDoS Intelligence зафиксировали 91 052 DDoS-атак на российские сайты и IT-системы. При этом более 55% кибератак были направлены на взлом и кражу конфиденциальной информации. К сожалению, предпосылок для снижения уровня угрозы нет. В таких условиях важно понимать, насколько устойчив сайт к незапланированным всплескам активности и насколько он защищен от проникновений. Ответы на все эти вопросы дает стресс-тестирование.

 

Стресс-тестирование — совокупность методологий оценки безопасности IT систем. В нее входит классическое стресс-тестирование на отказ в обслуживании, анализ поведения веб-сервиса на пиковых нагрузках, тестирование попытки технического взлома и проникновение методом социальной инженерии. В рамках этого материала поговорим пока только о классическом стресс-тесте и пентесте.

Задачи стресс-тестирование сайта

При стресс-тесте выясняется, насколько сайт устойчив к естественным диспропорциональным нагрузкам, как ресурс ведет себя при DDoS-атаке, выдержит ли UDP-флуд, SYN-флуд и HTTP-флуд, а также в течение какого времени система защиты от DDoS может результативно отражать атаку. Последнее — важно, поскольку согласно отчету Лаборатории Касперского «DDoS-атаки во втором квартале 2022 года», тенденция второго квартала настораживает: атаки стали длительнее и сложнее. Многие длятся сутками — рекордной стала вредоносная активность на протяжении 29 дней. Увеличилась и доля «умных атак». Почти половина всех DDoS-активностей разработана под конкретный сайт, учитывают его архитектуру и уязвимости.

Алгоритм стресс-тестирования сайта

Для стресс-тестов сайта используются специализированные программные инструменты, однако подход к оценке системы безопасности примерно одинаков:

  • определяют метрики и диапазон KPI;
  • разрабатывают сценарии атак (превышение пропускной способности канала,  «медленные запросы», HTTP (s) flood, ресурсоемкие запросы и пр.)
  • специалисты организуют контролируемые DDoS-атаки на всех возможных уровнях,
  • постепенно наращивают нагрузку, например, с шагом 15-25% RPS (количество запросов за секунду),
  • фиксируют текущий уровень устойчивости сайта,
  • определяют предельные нагрузки, на которых сайт «ложится»,
  • идентифицируют слабые места,
  • составляют рекомендации по повышению устойчивости системы защиты сайта.

Для чего нужен стресс тест

Если говорить о сайтах, то стресс-тестирование актуально, в первую очередь для ресурсов, у которых стоимость отказа исчисляется сотнями тысяч или миллионами. Здесь достаточно посчитать, какую сумму потеряет бизнес, если DDoS-атака обрушит биллинговую систему или «положит» интернет-магазин на старте распродажи.

 

Мы рекомендуем стресс-тестирование сайтам на старых CMS. Многие из них заточены под лимитированный объем трафика и не рассчитаны на превышение нагрузки. Стресс-тест помогает определить предел устойчивости ресурса на этой CMS и рассчитать, что выгоднее — периодически терять N трафика и транзакций или переносить ресурс на новую систему управления контентом. 

 

Стресс-тестирование сайта проводится для только что запущенных проектов. В основном это крупные СМИ, маркетплейсы, корпоративные ресурсы b2b сегмента. Им важно определить нормальный и критический объем трафика, чтобы сразу заложить резерв мощности и понимать, как масштабировать ресурсы на случай пиковой нагрузки.

Задачи пентеста

Главная задача пентеста сайта — определить, может ли текущий уровень защищенности выдержать кибератаку для получения несанкционированного доступа. Например, если хакер пытается через офисный сегмент сети проникнуть в рабочий периметр, чтобы получить доступ к персональным данным. Или найти доступ к файловой системе с правами редактирования данных.  


Насколько это актуально — показывает статистика Group-IB, разработчика решений для защиты интеллектуальной собственности в сети. По сведениям компании за весну и лето 2022 года у российских предприятий тем или иным образом было украдено более 200 баз данных. Основными мишенями оказались видеосервисы, медицинский бизнес и компании отрасли доставки. 

План пентеста сайта

Для тестирования сайта на возможность хакерского вторжения, пентест дробится на этапы:

1. Определяется сценарий. В рамках «черного ящика» специалисты получают только адрес сайта. С «белым/серым ящиком» у них есть административный доступ к CMS или учетная запись пользователя.

2. Выбирается цель пентеста. Обычно это либо проникнуть как можно глубже в систему, либо найти как можно больше уязвимостей.

3. Находятся уязвимые компоненты сайта, программные закладки и ошибки в настройках хостинга, оборудования.

4. Выбираются инструменты и наборы средств для проникновения.

5. Специалист, моделируя действия хакера, ведет атаки на выявленные уязвимости.

6. Полученные результаты документируются.

7. Определяются приоритетные и не критичные уязвимости.

8. Составляется список рекомендаций по их устранению.

 

Пентест считается завершенным, если специалисту удается выполнить поставленную задачу или заканчивается время, выделенное на проект.

Кому и когда нужен пентест

Современные пентестеры — не просто «белые хакеры» с прокачанными навыками технического взлома. Это специалисты с огромным портфелем техник и инструментов, знанием тонкостей социальной инженерии, пониманием технической и организационной структуры систем информационной безопасности (ИБ). Это делает пентест сложной, трудоемкой и довольно дорогой услугой. Она оправдана, когда:

  • на сайте есть критичные для бизнес-деятельности данные,
  • тестирование на проникновение необходимо для выстраивания целостной стратегии ИБ;
  • компании важно обосновать расходы на мероприятия по защите информации;
  • нужно определить вектор развития ИБ.

Обратите внимание! Пентест обязателен для предприятий госсектора, банков и других компаний, которые являются одним из компонентов критической информационной государственной структуры. Для них защита информации, условия пентеста и требования к пентестерам жёстко регулируется нормативными документами ФСТЭК, ФСБ и Банка России.

 

В остальных случаях бизнес может заказать пентест под свои задачи. От проверки корпоративного сайта компании до тестирования его отдельных компонентов.

Главное — чётко понимать, что одним пентестом защита сайта не исчерпывается. Результаты нужно будет переложить на практику, интегрировать с итогами стресс-теста и внедрить полученные рекомендации.

 

Тестирование безопасности
14Nov

Администрирование операционных систем для бизнеса

Администрирование операционных систем для бизнеса

Russian
  • Alt

Когда ИТ-рутина отнимает больше ресурсов, чем развитие бизнеса, администрирование Windows и Linux на уровне платформы выделяют в отдельный процесс. Тогда поддержкой и обслуживанием операционных систем занимаются сертифицированные специалисты, а более высокоуровневые задачи можно переложить на штатный персонал.

Pадачи, которые решает администрирование операционных систем

Администрирование операционных систем — классический аутсорсинг. Этот сервис выбирает бизнес, у которого нет соответствующих компетенций или их реализация «на стороне» более выгодна. С точки зрения практики администрирование операционных систем силами подрядчика решает пять практических задач:

1. Обеспечить стабильную работу операционной системы в соответствии с установленными метриками. Понятие «стабильный» довольно растяжимое, поэтому для администрирования ОС устанавливается SLA с четко определенными параметрами. У Nubes в SLA администрирования ОС входит глубина хранения резервных копий, время реакции на инцидент и время его решения, глубина хранения данных по мониторингу.

2. Проверять обновления и новые конфигурации ОС. Чтобы обновления не ломали ОС и не замедляли работу прикладных приложений, перед установкой обновлений Microsoft и Linux специалисты тестируют их в «песочнице». Если все в порядке, запускают в продуктивную среду.

3. Контролировать производительность ОС и решать проблемы, если они возникают. Сюда входит инсталляция и первичные настройки, оперативное реагирование на проблемы, консультации, контроль параметров доступа, оценка производительности.

4.  Много времени занимает отчетность и планирование нагрузки. Еще больше уходит на регулярный мониторинг. Это важные, но ресурсоемкие процессы. Если переложить их на подрядчика, можно освободить от рутины одного или нескольких штатных администраторов.

5. Сократить расходы на специалистов узких компетенций. На кадровом рынке не так много специалистов, работающих с отраслевыми дистрибутивами и узкопрофильными системами для корпоративного использования. Специалистов не только мало — они стоят больше рынка, поэтому с форматом сервиса администрирования ОС у бизнеса гораздо больше шансов получить качественную поддержку за вменяемые деньги.

Инструменты безопасности

Передавая операционную систему для администрирования, компания делегирует подрядчику значительную часть полномочий по управлению и поддержке бизнеса. Вполне естественно, что заказчика волнует, каким образом провайдер гарантирует надежность и безопасность услуг.

 

В нашем случае надежность и безопасность администрирования Windows и Linux обеспечивает специализированный набор ИТ-инструментов:

 

  • Система контроля и отслеживания действий Wallix. Инструмент записывает действия системных администраторов в реальном времени, сохраняет их и сводит в наглядные отчеты. Это снижает риск неправомерных действий привилегированных пользователей.
  • Хранение логов в облачном хранилище. Даже если логи уничтожат на сервере, мы всегда сможем достать их из хранилища.
  • Чтобы минимизировать человеческий фактор при настройке ПО, используем программное решение Ansible.
  • Собираем метрики работы ОС каждые 5 секунд. В случае нештатной ситуации эти данные помогут найти причину сбоя и принять взвешенное решение.
  • Разумное ограничение прав. Следуем принципу наименьших привилегий и выдаем пользователям тот минимум прав, который нужен для работы. Без «про запас» и «на всякий случай».
  • Виртуальный резерв оборудования. Если серверное оборудование выйдет из строя, развернем бэкап в облаке Nubes и запустим виртуальные серверы для безотказной работы бизнес-систем.

 

Администрирование ОС как сервис — перспективный вариант для малого бизнеса, который понимает риски самостоятельной поддержки операционных систем. И выгодный для крупных компаний, которые посчитали рентабельность перехода на подрядный формат, хотят сэкономить на налоговых издержках и взносах за сотрудников. 

 

Более предметно риски и экономию применительно к конкретному бизнесу можем обсудить по телефону +7 (495) 789-4135 или info@nubes.ru.

 

Администрирование ОС
09Nov

Преимущества облачного диска

Преимущества облачного диска

Russian
  • Alt

По данным «Лаборатории Касперского» 59% сотрудников для пересылки документов и решения корпоративных вопросов используют личную почту. 38% — мессенджеры, в том числе Skype, Google Messages, Apple iMessage и WhatsApp, чья безопасность и приватность вызывают много вопросов. Ситуация распространенная, но при таком подходе к работе с информацией, организация рано или поздно сталкивается с двумя проблемами:

1. Персональные данные сотрудников, клиентов и информация, составляющая коммерческую тайну, оказывается в открытом доступе. И не важно по какой причине: из-за случайной ошибки или преднамеренного «слива».

2. Изменения не фиксируются. Непонятно, кто и когда корректировал файл и имел ли он на это право. Сложно оценить актуальность документа и определить, кого с ним можно ознакомить. Необходимость уточнять все эти мелочи тормозит работу. Что особенно заметно в ситуации, когда для срочного согласования нужно показать проект соглашения, например, трем-четырем сотрудникам и свести их правки воедино.

 

Чуть проще, если в компании есть электронный документооборот. В системе ЭДО передачу данных защищает шифрование, а статус документа и действия контрагентов фиксируются. Когда ЭДО нет или организация контактирует с партнерами, у которых не налажен электронный документооборот, обмен информацией идет спонтанно и бессистемно.

Мы расскажем, как наладить безопасное хранение и работу с документами внутри компании и с подрядчиками. Чтобы разрабатывать, согласовывать, обмениваться документами, не боясь утечек конфиденциальной информации.

Корпоративный облачный диск для хранения документов в облаке

Облачный диск – облачное решение для хранения общих файлов. Оно работает как сетевое хранилище, обеспечивая бизнесу защищенную среду для хранения данных и удобный инструментарий для коллегиальной работы с информацией. Рассмотрим каждый аспект облачного решения.

Защищенность облака для хранения документов

Документы хранятся в отдельном облачном хранилище, которое разворачивается на защищенных серверах. В случае с облачным диском Nubes, сами сервера размещаются в дата-центре уровня Tier III, а хранилище работает на базе платформы Nextcloud. Nextcloud – автономное решение для совместной работы с документами, синхронизации файлов и коммуникаций на разных платформах (web, iOS и Android). Данные в хранилище не индексируются, а значит не появятся в поисковых сетях.

Безопасность обмена внутри компании и за ее пределами

Система обмена документами такая же, как у привычных файловых хостингов – доступ по ссылке. Документам в облаке присваивается уникальный url с определенными правами на просмотр, скачивание, редактирование, удаление. Внутри компании или контрагенту ссылку можно расшарить по корпоративному e-mail.

Контроль прозрачности

Так как каждый пользователь входит в облачный диск под своим аккаунтом, в истории редактирований можно отследить, кто и как работал с файлом, какие использовались права доступа, в какое время открывали документ. По истории версий удобно прослеживается хронология изменений.

Обмен данными ведется исключительно на диске

Файлы не участвуют в пересылке. Документы хранятся в облаке на диске, а пересылаются только ссылки. Для дополнительной защиты документ можно закрыть паролем или установить временной диапазон. Например, если вы установите время доступа к файлу с 9 до 18 часов, с 18:01 начнет действовать ограничение по времени и даже по ссылке документ не откроется.

Безопасные гостевые доступы для проектной работы

Если в компании есть аутсорс-команды и проектные группы, которые привлекаются для разовых задач, им можно настроить гостевой доступ к конкретным папкам. Гостевые аккаунты будут действовать все время, пока идет работа над проектом, после чего автоматически аннулируются.

Удобная работа с тяжелыми документами

Файлы в форматах 3d и bim, тяжелые видео легко загружаются через браузер. Даже при неустойчивом интернет-соединении модуль многопоточной загрузки обеспечивает стабильную заливку файлов на диск.

Соответствие ФЗ-152

Специальная редакция облачного диска Nubes удовлетворяет требованиям к третьему уровню защиты персональных данных, а значит может использоваться для хранения и обработки персональных данных УЗ-3 (общедоступные и иные ПД сотрудников или данные менее чем 100000 субъектов и пр.) в полном соответствии с ФЗ-152.

Расширение до полномасштабной коммуникационной платформы

Если говорить об облачном диске именно на базе NextCloud, то дополнительно к хранению документов, в облаке можно развернуть бесплатные модули для коллегиального доступа. У платформы их более 100, начиная от классических онлайн-редакторов текстовой, табличной, графической информации до трекеров задач.

 

С дополнительными модулями или без них – с облачным диском вы получаете единое, защищенное корпоративное пространство для совместной работы с документами. Удобное для всех. Безопасное для бизнеса.

 

Облачный диск
06Nov

Какое облако выбрать для размещения базы данных

Какое облако выбрать для размещения базы данных

Russian
  • Alt

Для управления облачными базами данных у бизнеса есть два варианта. В первом компания арендует облако для самостоятельной инсталляции базы данных. Во втором использует модель «программное обеспечение как услуга» и получает облако с готовой базой необходимой конфигурации. Модель управляемых баз данных мы подробно разбирали в нескольких предыдущих статьях. Сегодня поговорим об облаке, в котором пользователь может самостоятельно развернуть базу и самостоятельно ее обслуживать. 

Базы данных в облаке: как это работает

На первый взгляд все просто: компания арендует виртуальную инфраструктуру и разворачивает в облаке базу данных (БД). Если это база 1С, например, в облако также устанавливается полноценная лицензионная версия 1С, под нее разворачиваются удаленные рабочие столы для сотрудников. Настройкой, обновлением ПО, резервным копированием, мониторингом, анализом логов занимается внутренняя команда или сторонний подрядчик. 

Выбор облака под базу данных

Требования к облаку для базы данных не выходят за рамки стандартных критериев надежной виртуальной инфраструктуры: отказоустойчивость, безопасность, масштабируемость.

Отказоустойчивость

Отказоустойчивость облака складывается из отказоустойчивости инженерных систем ЦОД, физической архитектуры и уровня виртуализации. В нашем случае отказоустойчивость на уровне инфраструктуры ЦОД обеспечивает резервирование электропитания и пожаротушения по схеме 2N, охлаждения по схеме N+1. ИТ-инфраструктура также резервируется — в каждом кластере есть резервные серверы.

 

На уровне виртуализации отказоустойчивость облака реализуется через High Availability (HA) VMware. Технология кластеризации поддерживает мгновенный перезапуск виртуальных машин в автоматическом режиме, и, если один из узлов кластера выходит из строя, его виртуальные машины автоматически перезапускаются на других узлах.

Безопасность

Безопасность облачных сред на стороне провайдера поддерживают несколько контуров защиты:

1. Физическая защита аппаратной базы, на которой развернуто облако;

2. Защита каналов связи между провайдером и поставщиками интернета;

3. Антивирусная защита и межсетевое экранирование служебных элементов облака;

4. Контроль доступа администраторов облачных сред и защита их рабочих мест;

5. Мониторинг и устранение уязвимостей на уровне облака.

 

Дополнительно, согласно политике информационной безопасности клиента, мы можем делать резервные копии по графику бэкапов, шифровать соединения с СУБД по протоколу TLS и технологии GPG.

Масштабируемость

Выбирая облако под базу данных, бизнес ждет от сервиса максимальной гибкости и эластичности. На этот параметр самым непосредственным образом влияют конкретные серверы с конкретными процессорами. Облако облаком, но виртуальные машины разворачиваются на физическом оборудовании. Именно поэтому наши облака базируются на оборудовании enterprise-уровня: 4-сокетных серверах с процессорами Intel Gold Хeon 6254 3,1 ГГц и СХД InfiniDat, Netapp и Huawei. На таких мощностях клиенты Nubes разворачивают виртуальные машины объемом до 36 ядер с оперативной памятью до 768 ГБ RAM, и получают практически неограниченные возможности для масштабирования. Если нужно, могут добавить процессоров, поменять диск, расширить память и емкость сети. Или масштабироваться по горизонтали, добавив дополнительных узлов поверх работающей инфраструктуры. Или даже зайти сразу с двух сторон, одновременно нарастить ресурсы и добавить дополнительные узлы.

Немного о разнице подходов к облачным базам данных

Чтобы видеть разницу в подходах к выбору облачных баз данных, нужно понимать специфику услуг. 

 

С DBaaS бизнес получает готовую, управляемую и стабильную базу данных. Без доступа по SSH, возможности менять системные настройки или управлять виртуальной машиной с СУБД. Ограниченная гибкость, минимум обслуживания — зато поставили и работает, никаких сложностей с инсталляцией и поддержкой. Все сделает команда DB-администраторов провайдера. Хороший вариант для бизнеса со стандартными задачами.

 

Базы данных в IaaS выбирают компании, которым критична гибкость и максимум возможностей для масштабирования. Например, когда нужно развернуть специфическую базу данных и кастомизировать ее под отраслевые задачи, установить локальное программное обеспечение БД в облаке или запустить конфигурацию СУБД, которой нет в готовых решениях. 

Также, помимо очевидных вертикального и горизонтального подходов к масштабированию, у баз данных в IaaS есть масса вариантов оптимизировать работу без наращивания мощностей. В одних случаях для улучшения производительности достаточно оптимизировать запросы или скорректировать конфигурацию дисковой подсистемы. В других придется менять существующую топологию. Это, конечно, сложнее и дольше, зато кардинально решает вопрос производительности без дополнительных расходов на увеличение ресурсов. 

 

В любом случае, IaaS позволяет контролировать базу данных настолько, насколько это возможно в арендованном облаке. Главное, чтобы у DB-администратора был аргументированный выбор БД под проект и четкое понимание:

  • какие комбинации технологических стеков обеспечат БД максимум эффективности,
  • какие специфические функции баз данных влияют на бизнес-критичные процессы в облаке и как мониторить эти метрики,
  • какие функции базы данных обеспечат максимум производительности в краткосрочной или долгосрочной перспективе.  

 

Для сильной DB-команды это не проблемы, а задачи. Мы поможем решить их при миграции с текущей ИТ-инфраструктуры в облако Nubes или учесть при создании IaaS  с нуля. 

 

Базы данных
31Oct

Контейнеризация приложений с помощью Kubernetes

Контейнеризация приложений с помощью Kubernetes

Russian
  • Alt

Мы много писали о виртуализации, но ничего не рассказывали про контейнеризацию, а ведь у нас два сервиса для управления контейнерами в сложных инфраструктурах! Исправляемся и посвящаем этот обзор основам контейнеризации приложений с помощью Kubernetes (K8s).

Почему Kubernetes

Когда разработчикам нужно запустить одно-два приложение для парсинга логов или, допустим, базу данных Elasticsearch, это можно сделать через образ контейнера. Нет необходимости поднимать Kubernetes и помещать контейнер в кластер — в продуктовой среде вполне можно использовать отдельные контейнеры Docker и управлять ими вручную. Но со сложной рабочей нагрузкой и сотнями контейнеров ручное управление не справится. Нужен хороший инструмент оркестрации. Такой как  Kubernetes. 

Чем удобен Kubernetes

Разработчики, которые сталкивались с проблемой несовместимого инструментария для развертывания инфраструктуры, говорят об удобной унификации взаимодействия. Распределенные команды уточняют, что платформа помогает им работать как единое целое. Компании, которые быстро и часто создают много приложений, упирают на скорость time-to-market. Инженеры Big Data главным преимуществом K8s называют возможность разворачивать и гибко управлять более чем 100 контейнерными кластерами. 

 

Правы и те и другие. Kubernetes действительно удобный, гибкий инструмент для ускоренного вывода приложений в продуктивную среду,  бесшовного обновления компонентов, унификации подхода к рабочей инфраструктуре.

Варианты работы с Kubernetes

Платформу Kubernetes можно развернуть на железе или в облаке. В последнем случае есть вариант углубиться еще на один уровень, чтобы определиться — хотите ли вы самостоятельно управлять Kubernetes, развернутым поверх облака или предпочитаете управляемый оркестратор? В нашем случае вариант с самостоятельно управляемой платформой называется Standard Kubernetes, а администрируемые кластеры — managed Kubernetes.

 

При стандартном подходе кластеры Kubernetes развертываются в облаке как автономные vApp, а администратор объединяет в кластер виртуальные серверы, балансировщики, диски, настройки сети и другие объекты облака. Дальше остается запустить инструмент командной строки для подключения к виртуальному дата-центру и настроить управление сервисом. Решение удобно для компаний с микросервисной архитектурой, серьезными потребностями в ресурсах и командой специалистов с узкими компетенциями. Как минимум, в области безопасности, администрирования СХД, управления Kubernetes.

 

Managed Kubernetes реализуется в формате «Kubernetes как услуга» или «аренда кластера Kubernetes». При таком подходе разработчики получают не голый Kubernetes, а готовый к работе кластер. Настроенный, адаптированный под задачи команды. Администрирование кластера Kubernetes берет на себя провайдер. У разных поставщиков состав сервиса может быть разным, но в реализации Nubes управляемый K8s закрывает все вопросы по гарантии доступности, совместимости обновлений, резервному копированию, масштабированию, балансировке трафика. 

 

Ввиду этих особенностей, сервис managed Kubernetes может быть интересен бизнесу двух категорий:

1. Малому, среднему digital бизнесу и IT-стартапам, которым при ограниченном бюджете нужны полнофункциональные Kubernetes-решения. Готовые решения традиционно дешевле и это позволяет снизить расходы на внедрение K8s. 

2. Средний и крупный бизнес, для которого разработка и доставка кода приложений до production не является профильным направлением. Такому бизнесу важно свести технические вопросы к минимуму и дать команде разработки возможность сосредоточиться на основной деятельности. 

 

В любом из вариантов реализации, Kubernetes — мощное, технически сложное решение. Оно подходит не для каждого проекта, но для чувствительных к нагрузкам e-commerce, игровых приложений со сложной микросервисной архитектурой и сервисов с машинным обучением или Big Data, Kubernetes становится практически безальтернативным выбором.

 

Сервис Kubernetes
07Oct

Импортозамещение VMware | Блог

Импортозамещение VMware

Russian
  • Alt

Санкции в IT кардинально изменили ландшафт отечественного рынка. Риск остаться без привычных сервисов мотивирует российский бизнес пробовать отечественные ИТ-продукты и переводить информационные активы на безопасные платформы. К сожалению, одной мотивации мало. Мы постоянно мониторим рынок на предмет российских решений для импортозамещения VMware и видим, что процесс идет, однако идет он непросто и не быстро.

Open source альтернативы виртуализации VMware

OpenStack

Это одна из основных альтернатив VMware. Действительно, это гибкое модульное решение для развертывания инфраструктуры облачных приложений. Отлично кастомизируется и поддерживает множество инструментов IT-разработки. А те, которые пока не поддерживает, можно самостоятельно добавить. Ведь OpenStack — это программное обеспечение с открытым исходным кодом. При необходимости его можно доработать под интеграцию с Kubernetes, 1С, отраслевыми финтех-решениями и т.д. 

 

OpenStack поддерживает некоммерческая организация OpenStack Foundation. Она не зависит от санкционной политики ЕС и США, поэтому считается безопасной альтернативой продуктам глобальных вендоров. Но это не точно. Весной 2022 г российские разработчики столкнулись с категоричной позицией нескольких формально независимых отраслевых сообществ, того же GitHub. В этот момент философия открытого кода дала сбой и open source перестал считаться безопасным.

 

Кроме того, ввиду модульной структуры OpenStack сложно считать альтернативой виртуализации VMware. Это архитектурно сложный продукт. В составе платформы более 30 компонентов и для развёртывания облачного сервиса их нужно собрать, настроить и заставить работать вместе. Задача не из простых, требует узких отраслевых компетенций.

 

Как показывает практика внедрений, OpenStack целесообразно использовать для операторов связи, дата-центров, наукоемких компаний с гибким управлением системами виртуализации по облачной модели — крупного бизнеса с глубокой внутренней экспертизой и мощной ресурсной базой. 

ZStack

ZStack работает как IaaS-платформа для построения частного облака. Создан китайским разработчиком технологий виртуализации и облачных вычислений, компанией ZStack International Information Technologies Limited. В азиатско-тихоокеанском регионе на ZStack построены облачные решения межнациональных компаний и предприятий с госучастием. Например UnionPay и Bocom International.

 

ZStack поддерживает гипервизор на базе KVM, работает с процессорами Intel, AMD и китайскими процессорами на базе альтернативных архитектур. Помимо открытой публичной версии, сервис предлагает прогрессивные Enterprise-решения. Среди них есть версия, работающая в полностью изолированном режиме. Она интересна тем, что функционирует без постоянных обновлений, сводя к минимуму зависимость от вендора.

 

У ZStack предусмотрен функционал для упрощенной миграции с VMware, а по набору опций некоторые эксперты сравнивают систему с VMware. Однако в России крайне мало специалистов с практическими компетенциями в ZStack и пока нет примеров крупных внедрений. Из-за этого сложно сказать, несколько платформа будет соответствовать ожиданиям заказчиков из enterprise сегмента. 

 

Кроме того, open source продукт, пусть и дружественной страны, не защищен от рисков санкционного давления. Продвигая свои системы на международном рынке, ZStack в любом момент может столкнуться с ограничениями по работе в РФ. Прецеденты есть и это тоже нужно учитывать.

Российские ИТ-продукты для импортозамещения VMware

В реестре российских программ для импортозамещения VMware ближе всего к функционалу привычной системы виртуализация решения Enterprise Cloud Platform Veil, zVirt и vStack.

Veil

Полностью российский продукт без грамма открытого кода. Разработан для создания облачной инфраструктуры на базе универсальных серверных платформ с архитектурой x86-64 (Dell, Supermicro, Depo, Yadro, T-Platform, Etegro, Huawei, Aquarius, Graviton Tundra и др.). В качестве архитектурного подхода использует классическую NFS, iSCSI, FC и гиперконвергентную архитектуру. Поддерживает гипервизор KVM и централизованное управление. У платформы упрощенный мониторинг производительности и сбоев, предусмотрена функция автоматизации инфраструктуры. 

 

В рамках одного кластера поддерживается живая миграция и Distributed Resource Scheduler, как у VMware. Firewall работает с Dr.Web и Kaspersky. Есть собственное программное хранилище типа vSAN — GlusterFS. Для развертывания виртуальных рабочих мест предусмотрен функционал VeiL VD. 

 

У Veil нет ограничений на количество виртуальных машин (ВМ), но максимальный размер кластера лимитирован 64 узлами. Поддерживается виртуализация GPU, гостевые ОС Windows и Linux, интегрированное резервное копирование по безагентной схеме. В то же время, в отличие от VMware, у Veil не предусмотрен портал самообслуживания, нет управления обновлениями ВМ и самое грустное — нет функционала Fault Tolerance, который у VMware защищает критически важные виртуальные машины.

zVirt

Систему управления средой виртуализации zVirt разработала компания Orion soft, ранее известная как «Инфолэнд». zVirt работает на комбинации собственных и открытых программных решений, поддерживает классическую гиперконвергентную архитектуру. В качестве гипервизора использует Node. В рамках импортозамещения zVirt уже работает в Глонасс, дочерних компаниях, входящих в контур «Газпрома», в Минкомсвязи Пермского края и др. организациях с государственным участием.

 

На момент написания статьи Orion soft предлагает третий релиз ZVirt 3.0 для управления серверами, ВМ, СХД, кластерами и другими объектами виртуализации. Платформа работает на процессорах с архитектурой 64, в также AMD-серверах старых поколений и серверах GAGAR>N по стандарту Open Compute Project (ОСP) на основе архитектуры Tioga Pass.

 

Дальше — стандартно. ZVirt поддерживает нigh availability, централизованное управление и мониторинг, управление операциями. Живая миграция построена по тому же принципу, как и у VMware. Собственное хранилище реализовано по аналогии с vSAN. ZVirt работает с гостевыми ОС Астра Линукс, РедСофт, Windows, Базальт. Есть портал самообслуживания и два обособленных модуля — портал офицера безопасности и система резервного копирования ВМ (ручная и автоматическая). 

 

Как и у Veil, максимальное количество виртуальных машин не ограничивается, но и Fault Tolerance тоже нет. Также отсутствует привычная для виртуальных систем VMware автоматизация инфраструктуры, динамическое распределение файловых ресурсов ВМ по системам хранения, нет репликации данных между СХД, как и механизма клонирования запущенных ВМ.

 

Обнадеживает, что разработчик раз в год выпускает новую версию, добавляя в нее новые модули и функции.

vStack

vStack разработана на технологии открытого исходного кода и позиционируется как гиперковергентная платформа корпоративного уровня. Разворачивается на гипервизоре второго типа bhyve, работает на базе стандартного серверного оборудования. Из преимуществ, которые декларирует vStack, основными считаются: 

  •  горизонтальная масштабируемость за счет программно-определяемых компонентов,
  • отсутствие зависимости от вендоров аппаратного обеспечения,
  • упрощение инфраструктуры, и за счет этого экономия на поддержке.

 

Архитектура предусматривает размер кластера от 3 до 24 узлов, iSCSI, NFS и собственный протоколы доступа. Есть мониторинг производительности, поддерживаются ОС FreeBSD, Linux (OEL/CentOS/Ubuntu/Debian), Windows 2019/2022. Ресурсы vCPU могут лимитироваться в реальном времени, также интересным выглядит автономный механизм бюджетирования квантов vCPU. API реализован через JSON-RPC. Программно определяемые сети реализуются через Vlan, Vxlan и собственный вариант — GENEVE. В ближайших релизах разработчик обещает сетевую связность разных форматов виртуализации, функционал клонирования и «мягкой» миграции ВМ.  

 

Исходя из технологического стека, vStack сложно назвать 100% заменой виртуализации VMware. Скорей альтернативой в случаях, когда бизнесу не нужно 100%, 80% и даже 70% функционала VMware. Или когда ИТ-стратегия компании сосредоточена на активном горизонтальном масштабировании и старается до минимума снизить зависимость от вендора железа. 

 

В целом, ни одно из перечисленных решений не заместит систему виртуализации VMware полностью, один в один. У каждого есть ограничения и нюансы. Но когда в силу законодательных требований или управленческих решений предприятие переходит на санкционнонезависимое ПО, к ним придется адаптироваться. Если же компания не под санкциями, никто не мешает пользоваться привычным инструментарием VMware, пусть и без нововведений. 

 

Мы же, пока ждем зрелых, полнофункциональных отечественных решений для импортозамещения VMware, поддерживаем программные продукты вендора силами сертифицированных инженеров и обеспечиваем работоспособность сервиса на стабильном уровне, чтобы у вас по-прежнему были отказоустойчивые облака и производительная инфраструктура для критичных бизнес-приложений.

 

Облако Nubes
30Sep

ТОП-10 вопросов про VDI решения для бизнеса

ТОП-10 вопросов про VDI решения для бизнеса

Russian
  • Alt

Собрали десять вопросов, которые нам часто задают про виртуальные рабочие столы для бизнеса. Отвечаем на все десять одной статьей.

Зачем VDI, если на компьютеры сотрудников можно установить хороший антивирус и прописать корпоративную политику информационной б

Когда компания небольшая и у нее нет специальных требований к информационной безопасности, VDI действительно избыточна. А вот для крупного бизнеса, госструктур, наукоемких и оборонных предприятий с жестким контролем доступа к информации, VDI решает самую сложную проблему ИБ — проблему человеческого фактора:

  • Данные, относящиеся к коммерческой тайне, хранятся на серверах в ЦОД. Так можно быть уверенным, что данные не утекут за пределы информационной системы компании, не попадут на личные ПК пользователей или смартфоны внешних разработчиков. Для этого в сети устанавливается запрет на проброс USB, дисковых носителей, передачу данных на клиентские устройства и даже снятие скриншотов.
  • Доступ к информации ранжируется по уровням допуска. Папки с политикой в области качества, например, можно оставить открытыми для линейного персонала и управленцев. Документы бухгалтерии, правовой службы и отдела продаж — закрыть для всех, кроме сотрудников этих служб и высшего менеджмента.
  • При подозрительной активности, например попытке запуска программы из «черного списка», администратор блокирует рабочее место.

Все это можно настроить и в стандартной корпоративной сети?

Да, но именно с VDI вы управляете сетью виртуальных рабочих столов удаленно, централизованно, быстро. Администратор может загрузить единый набор ПО, обновить политику безопасности и список разрешенных сервисов одновременно для филиалов в Уфе и Сочи, откатить обновления, установить патчи для исправления уязвимостей сразу для всех устройств.

Что еще дает VDI помимо безопасности?

Главным образом, гибкость управления рабочими ресурсами. Так, для проекта на стадии роста можно в считанные дни развернуть терминальную сеть для нового колл-центра, например, а по завершении работ так же быстро сократить ее. 

 

Еще одно преимущество VDI — удобное взаимодействие с привлеченными командами и аутсорсерами. Если в проекте участвуют внешние сотрудники, аудиторы или консультанты, VDI серьезно упрощает их включение в информационную сеть компании:

1. Создаем для пользователей из любой точки мира удаленные рабочие столы,

2. Даем доступ к конкретным данным и ПО, 

3. Закрывая проект, сохраняем результаты работы и удаляем рабочие места.  

 

Без сложностей подключения распределенной команды. Без риска, что у кого-то из подрядчиков останутся пароли и доступы к системе.

Почему говорят о сокращении расходов с VDI, ведь инфраструктура требует больших вложений?

Когда мы говорим, что виртуальные рабочие столы сокращают затраты на ИТ, имеем в виду затраты на терминалы и ИТ-штат. 

 

Во-первых, в качестве рабочей станции подойдет ПК с базовыми системными требованиями. Это ощутимо экономит бюджет на закупку мощного «железа», например, для географически распределенной команды разработчиков и дизайнеров. 

 

Во-вторых, переход на VDI снимает нагрузку с ИТ-персонала. Особенно в компаниях с широкой региональной сетью филиалов. Вместо того, чтобы держать в каждом из филиалов по 2-3 администратора, поддержку системы можно переложить на нескольких сотрудников головного офиса. Централизованное управление виртуальными рабочими местами это позволяет. 


Есть еще вопрос репутации, который сейчас напрямую соотносится с финансовыми потерями. Последние несколько месяцев мы наблюдали несколько неприятных инцидентов с утечкой данных у известных компаний. Это уже отразилось на их репутации и кто знает, чем отзовется в будущем. Кроме того, к середине сентября 2022 года Минцифры готовит законопроект об оборотных штрафах для бизнеса за утечки персональных данных. Регулятор серьезно ужесточает санкции за утечку данных, так что для некоторых бизнесов качественное улучшение информационной безопасности полностью оправдает стоимость внедрения решений VDI.

Как еще оптимизировать затраты с помощью VDI?

VDI помогает экономить на лицензиях. Когда в компании несколько десятков сотрудников пользуются одинаковым набором ПО, дешевле купить одну многопользовательскую лицензию для доступа через VDI, чем брать отдельные. Кроме того, у ПО с централизованным хранением проще своевременно обновлять версии и одномоментно добавлять нужные модули. Без простоев и путаницы с актуальными/просроченными лицензиями.

Как обеспечивается безопасность виртуальных рабочих столов?

Для защиты виртуальных рабочих мест подключается антивирусные продукты на базе межсетевого экранирования. В периметре защиты настраивается система контроля от утечек информации, устанавливается многофакторная аутентификация. Централизованно настраивается восстановление данных из резервных копий и развертывание виртуальных столов из сохраненных шаблонов. При необходимости набор средств защиты можно усилить дополнительными средствами ИБ.

Какие есть варианты развертывания VDI?

Первый — построить VDI на собственной инфраструктуре. При таком подходе сервер, на котором гипервизор развернет виртуальные машины, располагается в серверной компании или в ЦОД. Не самое дешевое решение, учитывая сложности с поставками «железа» и требовательность VDI к пропускной способности сети.  

 

Второй вариант — развернуть VDI как сервис на арендованных мощностях облачного провайдера. На данный момент это самый гибкий и выгодный формат для дистанционной работы бизнеса с филиальной сетью и закрытой коммерческой информацией.

Как это работает?

Если говорить о VDI в реализации Nubes, то мы выделяем ресурсы на своих серверах и подбираем решения VDI под задачи бизнеса. Вы получаете возможность запускать и удаленно управлять десятками и сотнями пользовательских десктопов, объединяя их в группы по типу задач.

Чем VDI отличается от RDS?

Технологии похожи, но отличаются подходом к реализации. У RDS виртуальные рабочие столы разворачиваются на одном виртуальном сервере и на одной операционной системе. Пользователи не изолированы друг от друга и ресурсы сервера распределяются между ними равномерно. Это создает определенные сложности при установке тяжелого профессионального ПО и настройке прав доступа.

 

В реализации VDI инфраструктура удаленных рабочих столов разворачивается на отдельных виртуальных машинах. Каждый пользователь получает свой пул ресурсов, который не приходится делить с коллегами. К тому же VDI дает возможность настроить виртуальные машины под конкретные задачи. Например, под задачи разработки или аналитики, обработки больших данных, работы с пакетом графического ПО и пр.

Кто отвечает за качество работы инфраструктуры виртуальных рабочих столов?

Ответственность четко разграничена. Провайдер отвечает за параметры физического оборудования, работу виртуальных машин, стабильный и высокоскоростной канал связи. Доступность и качество сервиса гарантируются SLA. В нашем случае для услуги «Виртуальные рабочие столы VDI» гарантируется доступность сервиса 99,95%, реакция на инцидент в течение 15 минут и не более 5 мс сетевой задержки. На стороне бизнеса остается администрирование сеансов и рабочих мест, включая техническую поддержку пользователей и обновление ПО.

 

У нас есть конкретные решения для виртуализации рабочих мест ритейла, финансовых и проектных организаций, сервисного бизнеса — предприятий с разными требованиями к нагрузке и ИБ. Позвоните или оставьте заявку в форме обратной связи, и специалисты Nubes помогут подобрать конфигурацию под нагрузку, типовой и нестандартный набор задач вашей компании. 

 

Виртуальные рабочие столы VDI
26Sep

Резервное копирование данных на базе Veeam Agent

Резервное копирование данных на базе Veeam Agent

Russian

Для резервного копирования данных есть множество программных решений и сервисов, но в этой статье мы расскажем о Veeam Agent. Это один из самых простых и удобных агентов для создания бэкапов приложений, виртуальных машин, файлов и баз данных.

  • Alt

Veeam Agent подходит для резервного копирования в рабочих средах под управлением ОС Windows, Linux и macOS. Выполняет бэкапы с частных/публичных облаков, локальной инфраструктуры, виртуального ЦОДа, облачных серверов и виртуальных машин — универсальный инструмент, который одновременно защищает данные от потери и ускоряет оперативное восстановление системы после повреждения или сбоя.

Принцип создания бэкапов через Veeam Agent

Veeam Agent работает внутри операционной системы. Для ОС семейства Windows от 7 SP1 до Server 2022 предлагается отдельный агент. Для ОС семейства Linux выпускается Veeam Agent, совместимый с дистрибутивом Debian, Ubuntu, openSUSE, Fedora, Oracle Linux, SLES for SAP, CentOS, RHEL. Агент для macOS поддерживает работу в Monterey, Catalina и пр.

 

На Windows Veeam Agent работает следующим образом: снимает снапшот тома, чтобы подтвердить согласованность данных, затем переносит файлы в указанное место, параллельно сжимая их для экономии. Если копируется том, бэкапятся все блоки данных тома. Если резервируются файлы, агент создает внутри файла резервной копии том и оставляет в нем копии тех файлов, которые указаны в задании на бэкап. Когда бэкап выполняется повторно, инструмент делает инкрементное копирование, то есть переносит в бэкап только файлы, изменившиеся с момента последнего копирования.

 

Veeam Agent на Linux работает по сходному принципу: модуль Veeamsnap делает снапшот указанного тома и в заданное место для хранения копирует загрузчик и таблицу разделов. После этого агент считывает данные из тома, сжимает и копирует их в хранилище. Когда бэкапирование закончено, снимок данных удаляется.  

 

Veeam Agent рассчитан на несколько режимов копирования. При настройке можно выбрать, хотите вы делать бэкапы машины целиком, резервировать отдельные тома или файлы. Агентский Veeam для Linux позволяет использовать режим disable snapchot. В этом режиме отключаются снапшоты и копии получаются полными. Такой вариант подходит для бэкапирования критичных для бизнеса файлов, однако требует больше места и времени.

 

В качестве целевого места хранения Veeam Agent задействует внешние диски, ресурсы Veeam Backup and Replication или облако. В нашем случае резервные копии приложений, баз данных, томов, файловых систем, физических и виртуальных машин клиентов хранятся в облаке Nubes. Гибкое масштабирование позволяет выделять неограниченное место под хранение, при этом стоимость хранения считается только за те объемы, которые использованы под бэкапы.

Что важно учитывать при выборе Veeam Agent для резервирования данных

Veeam Agent — сервис базового уровня. Его основное предназначение — резервирование систем или отдельных файлов из виртуальных машин. Чтобы восстановить систему после сбоя, придется сначала развернуть, настроить виртуальную машину и только потом загружать в нее файлы. Либо восстанавливать систему на соседний сервер/виртуальную машину. То есть, это инструмент для сохранения и быстрого восстановления данных, но не ИТ-инфраструктуры в целом. Также следует учитывать, что в процессе работы Veeam Agent потребляет ресурсы виртуальной машины. Не критично, но стоит держать это в уме.

 

Крупным компаниям с инфраструктурой из множества виртуальных машин функционала агентского Veeam для бэкапов недостаточно. Бизнесу с большим объемом вычислительных ресурсов и сложным IT-ландшафтом нужен инструмент не просто для резервирования данных, а сервис быстрого и безопасного восстановления инфраструктуры в целом. 

 

Именно поэтому наши клиенты часто используют агентский Veeam для бэкапов вместе с решением Veeam Backup & Replication. Это полнофункциональный инструмент резервного копирования и репликации, обеспечивающий комплексный контроль и управление бэкапами, местом на СХД и облаком для хранения копий. Интеграция позволяет управлять резервным копированием из одной точки входа. Таким образом, в зависимости от потребностей и целей, у бизнеса появляется возможность оперативно восстанавливать как виртуальные машины целиком, так и отдельные данные, что делает этот подход наиболее результативным.

 

Резервное копирование
15Sep

Управляемые базы данных для бизнеса

Управляемые базы данных для бизнеса

Russian

Крупному бизнесу удобно держать базы данных на своих мощностях и администрировать своими силами. У небольших компаний на штатную единицу DB администратора нагрузки недостаточно, но и оставить базы данных без управления нельзя, поэтому администрированием нагружают кого-нибудь из смежных IT-специалистов. Вполне рабочая схема, пока инфраструктура статична. Как только она начинает расти или усложняться — возникают проблемы.

  • Alt

Когда возникают проблемы становится очевидной ценность внешнего DB администрирования: она, как минимум, усиливает IT-компетенции компании в нужное время в нужном месте, закрывает точечные задачи по своему профилю и берет на себя отдельные этапы системных решений. Как это работает на прикладном уровне и можно ли в таком формате использовать сервис DBaaS — проанализируем в статье. В заключение предложим параметры оценки DBaaS и показатели, на которые стоит ориентироваться при выборе подрядчика для управляемых баз данных.

Какие задачи решает внешнее DB администрирование

Адаптирует инфраструктуру под регулярные или разовые нагрузки

Ритейл, сезонный бизнес, научно-исследовательские и образовательные организации периодически сталкиваются с периодами повышенной нагрузки. Например, в сезон повышенного спроса, на время регистрации на конференцию, при запуске нового проекта или в день старта «Черной пятницы». В этой ситуации внешнее управление базами данных помогает решить задачу точечно, подобрав инструмент под растущую нагрузку, или заранее  найти и закрыть «узкие места» системы, чтобы сервис справлялся с пиковыми нагрузками.

Локализует проблему и предложит решение

Базы данных «со стажем» часто используются не по назначению или со временем обрастают избыточными ограничениями и связями. Когда количество ошибок и дефектов достигает критической массы, система замедляется или ломается. Здесь DB-администраторы работают как аудиторы: изучают архитектуру, ищут причины сбоев и падения производительности, локализуют проблему и предлагают решение. Полезно во всех ситуациях, когда все работало и неожиданно возникли сложности. В большинстве случаев аудит и устранение найденных ошибок целесообразно передать в одни руки — облачному провайдеру. При таком подходе компания получит помощь с миграцией, готовую облачную базу данных в облаке и все преимущества работы с одним исполнителем.

Обеспечит соблюдение требований законодательства или службы безопасности

Информационная безопасность и соблюдение требований законодательства — отдельный большой пласт работы в IT. В идеале им должен заниматься специалист по информационной безопасности в связке со всеми смежными экспертами, включая администратора ОС, инженера службы сопровождения и администратора БД. Если решать эту задачу «в одно лицо», без понимания баланса между безопасностью и производительностью, есть шанс замедлить работу всей системы.В случае с Managed DBaaS, аутсорсер упрощает процесс на своей стороне. Например в Nubes мы предлагаем размещение в облаке, соответствующем 152-ФЗ и разворачиваем базы данных внутри защищенного периметра.

Рутинные задачи

Если компания может позволить себе штатного DBA, выгоднее привлечь к работе высококлассного специалиста. Ему можно отдать приоритетные коммерческие проекты, переложив шаблонные задачи на внешний сервис DBaaS. При таком раскладе достигаются сразу две серьезные бизнес-цели: штатный сотрудник получает весомую нематериальную мотивацию для профессионального развития, а внутренние проекты компании поддерживаются и развиваются.

Внедрение и поддержка новых технологических решений

Подбирая новую CRM и, допустим, ИТ-продукт для аналитики, сложно оценить архитектурные особенности новых решений. И сложно понять, как они повлияют на производительность ИТ-инфраструктуры, насколько усложнят/упростят обслуживание системы в целом.

 

Здесь у управляемых баз данных с внешним администрированием весомые преимущества: провайдер помогает с подбором архитектуры, параметров СУБД и необходимой реализацией, берет на себя администрирование БД, физической, виртуальной инфраструктуры и ОС. Вопросы совместимости, производительности и обслуживания решают узкопрофильные эксперты подрядчика. Как результат — стабильная, безопасная база данных, адаптированная под конкретные бизнес-задачи.

Преимущества DBaaS как managed-сервиса

Сервис DBaaS обеспечивает бесперебойное функционирование баз данных с поддержкой на всех уровнях:

  • мониторинг производительности, доступности, сетевых задержек и других показателей,
  • обновление ПО и актуализация обновлений безопасности,
  • контроль метрик SLA,
  • резервное копирование, размещение в облаке по 152-ФЗ и другие аспекты безопасности.  

 

Уровни управления БД определяют зоны ответственности. Самый верхний — бизнес-логика — находится в компетенции заказчика. Для него нужно глубокое понимание бизнес-процессов и их связей, поэтому львиная доля нагрузки ложится на бизнес-аналитика. DB-архитекторы аутсорсера тоже могут помочь, но в рамках поиска «узких мест» и потенциальных проблем.  

 

Ниже бизнес-логики идет уровень управления базой данных вплоть до «железа». Здесь полностью рулит подрядчик: обновляет ПО, контролирует оборудование, оперирует виртуальными ресурсами.

 

С зоной администрирования базы данных все неоднозначно. Одни провайдеры включают в понятие «администрирования БД» минимальный набор услуг — резервное копирование и реакцию на инциденты. Другие предлагают расширенный набор работ, например, резервное копирование, в том числе по индивидуальному расписанию, балансировщик нагрузки, кластеризацию и репликацию для повышения отказоустойчивости БД и пр. Как видим, за предложением «администрирование, обновление и поддержка» может скрываться разновариантный список работ. Вот почему на этом уровне важно понять, за какие показатели базы данных в облаке отвечает подрядчик облачных услуг, а чем управляет сам клиент.

 

В первую группу показателей, за которую в подавляющем большинстве случаев отвечает облачный провайдер, входят параметры доступности. Они указаны в SLA и отражают именно доступность базы данных в облаке. 

 

Во вторую группу метрик обычно включаются производительность и сопряженные с ней процессы, допустим, задержки при обращении к файлам данных на диске. Третью составляют показатели безопасности, в том числе контроль паролей администраторов. В последнюю очередь мониторятся характеристики конфигураций, то есть непосредственно настройки облачной базы данных.

 

В базовом варианте поддержки БД провайдер контролирует первую группу метрик. Производительность, безопасность и конфигурации остаются в зоне ответственности клиента. За исключением тех случаев, когда компания подключает комплекс сервисов и оплачивает premium-уровень поддержки.

 

Чтобы понять, кто за что отвечает и в каком объеме — изучите SLA. Проясните дополнительно, какие именно инциденты относятся к приоритетным, как с ними справляется подрядчик, какие показатели и в каком диапазоне входят в группу критичных.

Алгоритм оценки компетенций внешнего сервиса Managed DBaaS

Подходить к оценке компетенций внешнего сервиса Managed DBaaS нужно комплексно. Изучите практику решения аналогичных задач, ресурсы, набор решений и уровень безопасности подрядчика.

Практика решения конкретных задач

Уточните, с базами какого типа и объема работал подрядчик. Был ли опыт работы с БД под конкретной нагрузкой. Есть ли примеры решения задач по обеспечению высокой доступности или катастрофоустойчивости. Насколько широк пул инструментов, которые аутсорсер может предложить для восстановления базы после массового сбоя или обеспечения высокой доступности. Есть ли у архитекторов баз данных провайдера отраслевая экспертиза и сертификаты.

Ресурсная база

Возьмите пробный период и протестируйте управляемые базы данных на предмет отказоустойчивости, производительности, отклика при превышении порога допустимых значений. Когда известны оптимальные метрики, двух недель тест-драйва будет достаточно. Если это первый опыт DBaaS, попросите протестировать БД на нормальной и пиковой нагрузках.

Оценка безопасности

На формальном уровне провайдера легко проверить по сертификатам, аттестатам 152-ФЗ, соглашению о неразглашении, а на прикладном уровне подрядчика можно оценить по набору инструментов безопасности. Список современных решений классов PAM, DAM и DBF легко гуглится.

Набор решений

Обратите внимание на набор дополнительных инструментов для защиты от внешних и внутренних угроз. Если у провайдера облачных баз данных они есть, вам не придется искать подрядчика по ИБ и состыковывать решения друг с другом. В идеале аутсорсер должен обеспечивать бесшовную интеграцию продуктов для безопасности баз данных на всех уровнях, от DDoS-атаки извне до превышения полномочий авторизованными пользователями.


Пройдитесь по этим пунктам и вы получите объективную картину возможностей, которые открывает сервис DBaaS. Если возможности перевешивают риски, останется расставить приоритеты и разработать roadmap перехода на управляемые базы данных в облаке.

 

Базы данных
02Sep

Возможности кастомизации и производительности облачного хостинга | Блог

Возможности кастомизации и производительности облачного хостинга

Russian

Мы уже рассказывали о преимуществах аренды облачных ресурсов. В этот раз сосредоточимся всего на двух параметрах облачного хостинга и глубже проанализируем возможности кастомизации и производительность IaaS. 

  • Alt

Кастомизация облачного хостинга

Под кастомизацией мы понимаем изменение конфигурации и настроек облачного хостинга под конкретные задачи. Например, под законодательные и корпоративные требования, отраслевую специфику и целевое назначение.

 

Примером кастомизации хостинга под законодательные и корпоративные требования можно считать хостинг ИСПДн, ориентированный на защиту персональных данных по № 152-ФЗ. Или хостинг PCI DSS, соответствующий требованиям стандарта PCI DSS. В обоих случаях провайдеры адаптируют хостинг, используя специальный набор инструментов безопасности. В этом варианте бизнес получает облако с готовым набором средств защиты, что упрощает соблюдение норм информационной безопасности, подготовку к проверкам Роскомнадзора и сертификации по PCI DSS. 

 

Под отраслевую специфику облака кастомизируют специальными программными решениями. Например, в облачном хостинге для телеком-услуг сетевые функции виртуализируются отдельными программными продуктами и учитывают потребности в быстрой, практически мгновенной оптимизации трафика. Хостинг для провайдеров облачных решений, например SaaS или PaaS, предусматривает возможность управления динамически меняющимися базами данных и разработан с прицелом на несколько комбинаций частных и гибридных облаков. 

 

Если спуститься на уровень ниже, мы увидим кастомизацию облачного хостинга под конкретный бизнес-задачи. Например, под VDI. В данном случае инфраструктура для виртуальных рабочих столов акцентируется на Storage и здесь под кастомизацию попадают параметры скорости и задержки в системах хранения данных. Таким же образом адаптируются облака под 1С, SAP, базы данных. 

 

Для базовой кастомизации мы типизируем отраслевые запросы клиентов, адаптируем облачные решения и выделяем их в специализированные сегменты IaaS. В более сложных случаях, когда требования к безопасности, производительности и гибкости не укладываются в предложенные решения, облако настраивается индивидуально, под существенные особенности бизнеса.

 

Важно! Несмотря на точность подгонки под бизнес-процессы, у глубокой кастомизации есть и обратная сторона. Углубляясь в тонкие настройки, бизнес рискует получить слишком дорогой в разработке, внедрении и обслуживании продукт. Здесь важно сохранить баланс между удобством и рентабельностью и, либо вовремя остановить кастомизацию, либо выбрать готовый продукт по принципу «лучший из возможных».

Производительность облачного хостинга

Производительность облачного хостинга определяет комплекс факторов. В первую очередь, это ресурсы виртуальных ядер процессора, оперативной памяти, хранилища, а также сетевой доступ к ним. Во вторую ― настройки виртуальной машины (ВМ) и операционной системы (ОС), конфигурации программного обеспечения на стороне клиента. Ресурсы и настройки образуют сложную комбинацию факторов, именно поэтому сравнивать производительность системы по одним только vCPU, vRAM и storage не совсем корректно. 1С, SAP и VDI на одном из том же облачном хостинге будут работать совершенно по-разному.

 

Для бизнес-приложений и прикладного ПО часто предлагают облачный хостинг на специализированных аппаратных решениях с индивидуальными конфигурациями ВМ. Например, для хостинга 1С используют оборудование с процессорами частотой не менее 3,0 ГГц и резервируют ресурсы под виртуальные ядра процессора. Для SAP-хостинга критичен увеличенный объем виртуальной оперативной памяти, а под виртуальные АТС задействуется вариант с максимальным числом гарантированных ядер vCPU.

 

В то же время нельзя оценивать производительность облачного хостинга по одной только скорости процессора, среднему времени доступа к SSD-диску и другим чисто техническим показателям. Можно собрать мощную аппаратную базу в собственной серверной и развернуть на ней системы с высокими показателями быстродействия. Формально такой хостинг будет высокопроизводительным, но при каждом отключении электропитания или локальном сбое он будет «падать». Зачем и кому нужна такая производительность при нулевой отказоустойчивости? Именно поэтому производительность нельзя оценивать в отрыве от отказоустойчивости облачного хостинга. Когда к нам приходит заявка на тестирование или подключение к облачному хостингу мы всегда выясняем, под какие задачи и нагрузки он нужен. Уточняем критичность размещаемых систем, требования к безопасности и защищенности и, только исходя из этого, предлагаем ту или иную конфигурацию облака. 

 

Чтобы получить расчет по вариантам хостинга нестандартной конфигурации или подобрать отказоустойчивый и экономически рентабельный облачный сервис, закажите консультацию со специалистами Nubes. И обязательно протестируйте хостинг, проиграв все возможные сценарии использования. Это удобно и бесплатно. 

 

Облако Nubes