Rambler's Top100
 
Статьи ИКС № 2 2022
29 марта 2022

Облака-2022: устойчивость на всех уровнях

Помимо злободневных вопросов импортозамещения и взрывного масштабирования российских облаков повестка очередной, уже 11-й конференции Cloud & Digital Transformation, проведенной «ИКС-Медиа», включала в себя всегда актуальные темы устойчивости и безопасности.

Устойчивость распределенной инфраструктуры

Надежность и устойчивость отдельного дата-центра в ближайшие десять лет, как считает директор по развитию бизнеса в России и СНГ Uptime Institute Константин Королев, будет дополнена или замещена устойчивостью на уровне территориально распределенных сетей ЦОДов. Такая инфраструктура неизбежно становится все более распределенной, следуя за приложениями. В связи с этим особую актуальность приобретает концепция Infrastructure Resilience. К. Королев подчеркнул, что термин «resilience» по смыслу принципиально отличается от понятий «надежность» или «отказоустойчивость». Под ним подразумевается устойчивость распределенной цифровой инфраструктуры в целом, а не отдельных ее узлов или приложений, возможность восстановления системы после отказа и предупреждение отказов, а также сохранения работоспособности сервисов. 

Такую устойчивость инфраструктуре дает именно распределенность, а также четкие процедуры управления. Однако эта модель сложна, дорога в реализации и имеет ограниченную применимость. Кроме того, нужно учитывать, что, согласно так называемой теореме Брюера, в любой конкретной распределенной системе можно обеспечить только два из трех свойств: согласованность данных, доступность системы и устойчивость к разделению. 

Возможны четыре варианта организации распределенной инфраструктуры:
  • Single-Site Availability – максимально высокая надежность отдельного объекта с бэкапом данных; 
  • Linked Site Resiliency, когда два или более ЦОДа связаны выделенной сетью; 
  • Distributed Site Resiliency – несколько ЦОДов, использующих общие сети;
  • Cloud-Based Resiliency – распределенные виртуализированные узлы, работающие на основе ряда ЦОДов и контролируемые распределенной системой управления. 
Для оптимального выбора необходимо определить бизнес-задачи, сформулировать принципы размещения приложений и управления рисками, разработать схему хранения и обработки информации с учетом возможностей инфраструктуры и описать порядок ее эксплуатации. 

Автоматизация технической поддержки 

От правильной эксплуатации во многом зависит устойчивая работа любой системы, включая ЦОДы и облачные платформы. Здесь важно минимизировать негативное влияние человеческого фактора. Один из способов сделать это – автоматизация техподдержки. Например, по словам директора по сервисной и технической поддержке «РТК-ЦОД» Дмитрия Одинокова, разработанный в компании интеллектуальный помощник облегчил работу этой службы, объединив все информационные каналы, сократив время на обработку обращений и уменьшив расходы на оплату труда без снижения качества при росте нагрузки. 
В основу интеллектуального помощника были положены собственные наработки и омниканальная платформа для роботизации поддержки клиентов AutoFAQ. Логическая схема проекта включает в себя платформу AutoFAQ, чат-бот в Telegram, виджеты в порталах, инфраструктурные решения, светофор аварий (управление аварийными инцидентами) и сервис-каталог. 

В результате внедрения помощника рост численности персонала замедлился с 60 до 10% в год. Почти на 40% обращений бот отвечает автоматически, при этом время ожидания ответа клиентом уменьшилось с 5–15 мин до 0, а время решения проблем из обращений – с 20–40 до 0–20 мин. Были модернизированы процессы как в дочерней компании, так и в материнской, удалось достичь существенной экономии ресурсов, за счет чего снизилась стоимость техподдержки для клиентов. Кроме того, они получили быстрый доступ к необходимой информации и возможность пользоваться самообслуживанием. В процессе работы над интеллектуальным помощником команда «РТК-ЦОД» приобрела такой уровень экспертизы, что AutoFAQ стала рекомендовать компанию в качестве партнера для внедрения и поддержки этого решения. 

Создание безопасного современного приложения

Еще один важный аспект устойчивой работы – обеспечение безопасности. С переходом от «железных» серверов к виртуализации и последующей контейнеризации и оркестрации контейнеров проблема обеспечения безопасности существенно усложняется, отметил эксперт по ИБ компании Check Point Амир Алиев. Облака и системы виртуализации в частности подвержены разнообразным рискам, начиная от сетевых атак до настроек самого облака. Один из подходов к облачной безопасности – следование модели 4C, предложенной сообществом разработчиков Kubernetes и предусматривающей эшелонированную оборону четырех «С»: Cloud – облака, Cluster – кластера (инфраструктуры, ресурсов в облаке), Container – контейнеров (отдельных приложений) и Code – непосредственно кода. 
В самом облаке нужно обеспечить максимально эффективную защиту ресурсов, т.е. настроить группы безопасности, сетевой трафик, управление идентификацией и аутентификацией, не открывать пользователям доступ к ресурсам, которые им не нужны. Технологии WAF и защиты API приобретают особую важность, и в WAF нужно анализировать не только сигнатуры, но и контекст. Следует анализировать все транзакции, понимать, как каждый пользователь взаимодействует с приложением. Все случаи аномального поведения нужно выявлять и эффективно блокировать.

По словам А. Алиева, автоматизированные решения Check Point способны обеспечить безопасность облачных сервисов и локальной инфраструктуры на всех четырех уровнях. Причем инфраструктура может быть развернута как в собственных ЦОДах заказчика, так и в ЦОДах российских партнеров.

Экосистема импортозамещенных решений

Устойчивость – это еще и снижение санкционных рисков. В сложившихся условиях отечественные разработчики готовы предложить целую экосистему импортозамещающих решений. Так, три компании: «Тионикс», «Диджитал энерджи» и «Скала софтвер», известные работой с крупными государственными и корпоративными заказчиками, объединились на базе «Облачной платформы» и образовали единую продуктовую линейку под брендом «Базис». Директор по продуктам «Базис» Антон Карасев объяснил объединение необходимостью консолидировать ресурсы: «У каждой компании за плечами немало лет работы с инфраструктурой и безопасностью. Среди конкурентов многие занимаются похожими продуктами, но нет максимального эффекта, поскольку потратить сразу много ресурсов на масштабную разработку на нашем рынке сложно». Теперь же под одной маркой работают специалисты по безопасности в виртуализации, эксперты в направлении IaaS и профессионалы в решениях VDI. 
В линейке «Базис» шесть продуктов: Базис.DynamiX (динамическая инфраструктура и IaaS), Базис.Digital Energy (расширение динамической инфраструктуры средствами разработки и тестирования), Базис.Cloud (базовая виртуализация облака), Базис.Virtual Security (расширение базовой виртуализации средствами защиты от несанкционированного доступа), Базис.WorkPlace (виртуализация рабочего места) и Базис.WorkPlace Security (расширение VDI средствами безопасности). При этом отказываться от поддержки прежних продуктов бренд не собирается.

А. Карасев рассказал о нескольких проектах импортозамещения, выполненных на основе решений «Базис». Так, компании, эксплуатирующей два ЦОДа в катастрофоустойчивой конфигурации на инфраструктуре Microsoft с VDI на основе решений Citrix и системой виртуализации от VMware, потребовалось мигрировать на российское ПО. Для нее было развернуто решение на основе Базис.WorkPlace, поддерживающее восемь из 10 сценариев публикации приложений Citrix, до 16 тыс. одновременных соединений, собственные инструменты нагрузочного тестирования, виртуализацию Basis, VMware и OpenStack и аутентификацию с созданием одноразовых паролей на основе времени.

Другой заказчик был заинтересован в «мягком» импортозамещении с использованием продуктов из реестра Минцифры и аттестацией инфраструктуры согласно требованиям ФСТЭК при постепенном переходе на отечественные ОС. Он также получил решение на основе Базис.WorkPlace с поддержкой устройств доступа и VDI как на Windows, так и на российских ОС, публикацией приложений Windows на устройства доступа с российскими ОС и поддержкой доменов на OpenLDAP, SambaDC и FreeIPA. При этом совместно с «Лабораторией Касперского» было разработано управляемое устройство с поддержкой Kaspersky Security. 

Три тренда цифровой трансформации: VDI, облака и безопасность

Наконец, важно обеспечить устойчивую работу ИТ-инфраструктуры в условиях взрывного роста спроса на облачные услуги. Как заявил руководитель направления стратегических проектов компании Selectel Владислав Нефедов, спрос вырос практически в десять раз. При этом он отметил, что классическая услуга colocation практически сведена на нет по причине нехватки места. Зато сборка серверов на заказ идет круглосуточно в гигантских объемах, и в ней задействованы все сотрудники с инженерными навыками. В. Нефедов добавил, что в компании тщательно планировали рост на 2022 г. и имеющегося запаса комплектующих пока хватает. Более того, уже найдены каналы новых поставок: да, оборудование будет дороже, но поставки не прекратятся.
Как провайдер облачных услуг Selectel видит три главных тренда для бизнеса, заинтересованного в цифровой трансформации: использование VDI, облачных хранилищ и приложений и обеспечение цифровой безопасности.

Инфраструктура виртуальных рабочих столов набирает популярность, но реализовывать ее можно по-разному – развернуть VDI на собственной площадке, приобрести рабочие станции как сервис или собрать частное облако. Нужно учитывать, что зоны ответственности клиента и провайдера в этих сценариях будут различны. При выборе важны и чисто экономические аргументы. Например, в рамках одного крупного проекта на более чем 250 тыс. рабочих мест первоначально предполагалось создать инфраструктуру по сценарию on-premise VDI, но оказалось, что провайдеру вендоры предлагают гораздо более существенные скидки, чем конечному клиенту на коробочные версии. В итоге выбор был сделан в пользу частного облака, и заказчику оно обходится дешевле, несмотря на расходы на создание инфраструктуры и обслуживание. 

Для работы в облаках сегодня провайдерами предлагается широкий набор сервисов и ресурсов, опций хранения, вариантов работы с сетями, организации кластеров и управляемых БД. В Selectel над собственной облачной платформой на основе решений OpenStack работают с 2012 г., с 2014-го она эксплуатируется как коммерческий продукт и, по словам В. Нефедова, является одной из самых больших по объему данных инсталляций в стране. 

Что касается цифровой безопасности, то самой актуальной задачей сегодня стала защита от атак на веб-приложения и от DDoS. Сейчас «ломают» или пытаются «ломать» почти всех, спрос на услуги защиты от DDoS-атак вырос более чем в 10 раз. В этих условиях бизнесу целесообразно размещать свою инфраструктуру и приложения в ЦОДе, аттестованном в соответствии с требованиями закона о персональных данных, имеющем сертификаты ФСТЭК, ФСБ и PCI DSS. Там можно располагать приложения вплоть до первого уровня безопасности. Это гораздо быстрее и дешевле, чем создавать подобную инфраструктуру у себя: строить, аттестовывать и эксплуатировать. Один из подобных проектов реализовала Selectel, разместив в своем аттестованном сегменте ЦОДа приложение «Медкарта» компании OnDoc, которым пользуются как пациенты, так и клиники и страховые компании.

* * *

В целом, как показала конференция Cloud & Digital Transformation – 2022, российская облачная индустрия готова к работе в новых условиях резкого роста спроса на услуги. Уровень экспертизы и профессионализма российских специалистов достаточно высок, чтобы обеспечить устойчивую работу облачной инфраструктуры в это непростое время.

Олег Нечай
Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!