Облачный аутсорсинг: симбиоз «железа» и ПО
25.01.2015
Евгения ВОЛЫНКИНА | 08 декабря 2014 |
Облачный аутсорсинг: симбиоз «железа» и ПО
Облачные сервисы невозможны без симбиоза аппаратных и программных средств. Как показала 9-я международная конференция «ЦОД–2014», организованная журналом «ИКС», практически все технологические проблемы образования этого симбиоза уже решены.
Но массовый заказчик еще не свыкся с идеей облачного ИТ-аутсорсинга. Конечно, облачные провайдеры в первую очередь озабочены состоянием «железной» составляющей облаков – дата-центрами, их надежностью, бесперебойной работой, удобным для заказчика географическим расположением, оснащенностью оборудованием и квалифицированным персоналом. Фактически все серьезные операторы ЦОДов повышают безотказность функционирования своих объектов путем создания сетей дата-центров.
Сеть ЦОДов с заходом в ЕС
Например, у национального телекоммуникационного оператора Латвии Lattelecom четыре дата-центра. Один из них, дата-центр Dattum в Риге, имеет дополнительное подтверждение своей надежности уровня Tier III в виде сертификатов Uptime Institute на проект и на готовую площадку. Причем, как отметил директор развития бизнеса ЦОД Lattelecom Марис Сперга, в ближайших планах – получение сертификата Uptime на эксплуатационную устойчивость. Этот дата-центр по современным меркам небольшой – всего 100 стоек, но он имеет серьезные каналы связи с общей пропускной способностью 400 Гбит/с, что является хорошей гарантией нормальной работы сервисов в случае DDoS-атак. Однако несмотря на операторские корни и наличие магистральной сети протяженностью 7500 км, Lattelecom позиционирует себя прежде всего как интегратора и оператора услуг ИТ-аутсорсинга, к которым как раз и относятся услуга дата-центров и облачные сервисы. Как считает М. Сперга, решение об аутсорсинге любой заказчик принимает не только тогда, когда исчерпаны собственные доступные мощности или устарело имеющееся оборудование, но и когда видит возможность таким способом сэкономить как минимум 15% собственных затрат на обеспечение данных сервисов, и именно из этого должны исходить провайдеры при формировании своей ценовой политики. Причем даже такая, казалось бы, мелочь, как оплата электричества по факту потребления при аренде стоек, тоже имеет значение, поскольку далеко не каждый клиент сразу нагружает стойку на 100%. Кроме того, заказчикам важно получить из одних рук полный пакет услуг от базовых (размещение и аренда оборудования) до более высокоуровневых (аренда виртуальных ресурсов, передача, хранение и резервное копирование данных, консалтинг, внедрение и обслуживание корпоративных ИС, сервисы публичного и частного облака). Важным козырем является также предоставление единого SLA на всем пути следования данных вплоть до Ethernet-порта клиента. А дополнительным бонусом все прибалтийские операторы ЦОДов, и Lattelecom в том числе, считают свое расположение на территории Евросоюза при одновременной русскоязычной технической поддержке заказчиков, что, несомненно, оценят те клиенты, к которым не относятся требования российского законодательства о хранении данных на территории РФ.
Не является исключением из этого правила и компания DEAC, тоже имеющая свой основной дата-центр в Риге (кроме него есть также точки присутствия с активным оборудованием в Москве, Лондоне, Амстердаме и Франкфурте). Коммерческий директор представительства DEAC в России Владимир Комиссаров полагает, что провайдеры услуг ЦОДов и облачных сервисов должны предоставить нынешнему заказчику то, что для него действительно важно: гарантию непрерывности его бизнеса (которая обеспечивается безотказной работой дата-центра); комплексную защиту данных (речь идет не только о программных и аппаратных средствах информационной безопасности, но и о европейском правовом поле); снижение рисков и расходов; увеличение доходов бизнеса от такого ИТ-аутсорсинга. Однако надо понимать, что облако или дата-центр нужны только тем компаниям, которые имеют четкую стратегию развития своего бизнеса как минимум на три года вперед, которые находятся в стадии роста, увеличения численности персонала или расширения сети филиалов, которые хотят оптимизировать свои ИТ-процессы, сконцентрироваться на основном бизнесе, а все второстепенные функции отдать на аутсорсинг. Вот таким продвинутым заказчикам DEAC и предлагает платформу виртуализации с заявленной доступностью 99,995%, с серверами от НР, СХД НР 3Par и системой виртуализации VMware vSphere 5.5. По словам В. Комиссарова, клиенты этой виртуальной инфраструктуры получают дополнительные процессорные мощности и память в течение получаса после отправки запроса по электронной почте, а кроме того, клиентам предлагаются пакеты ресурсов по цене втрое ниже, чем если набирать нужную конфигурацию отдельно по компонентам. И все это можно бесплатно протестировать в течение 30 дней.
Можно сказать, что аналогичную международную политику проводит и компания Linxdatacenter: для клиентов, для которых размещение данных в России критично, есть крупные дата-центры в Москве и С.-Петербурге, а если географических ограничений нет, то можно воспользоваться ЦОДами в Варшаве и Таллине. Linxdatacenter придерживается довольно распространенной на российском рынке мультисервисной модели, предлагая и традиционные услуги ЦОДов, и облачные решения на базе своей IaaS-платформы LinxCloud. Как рассказал менеджер технической поддержки продаж Linxdatacenter Игорь Дроздов, платформа LinxCloud построена на многопользовательской архитектуре FlexPod, в которой использованы серверы и коммутаторы Cisco, СХД производства NetApp и ПО виртуализациии VMware vCloud 5.5. Она предназначена для развертывания отказо-устойчивых виртуализованных сетей хранения и обработки данных и поэтому все ее элементы зарезервированы (на каждые семь серверов приходится один резервный, территориально распределенное хранилище данных с резервированными контроллерами, основная СХД с высокопроизводительными SAS-дисками, резервное хранилище с SATA-дисками, резервирование внутренних 10-Гбит/с каналов связи по схеме 2N, многоканальное подключение к интернету).
На базе платформы LinxCloud уже построено гибридное облако для видеосервиса Yota Play (сейчас он называется Okko), который обслуживает более 1 млн пользователей. В этом гибридном облаке задействованы две независимые технологические площадки в ЦОДах Linxdatacenter в Москве и С.-Петербурге, где арендованы, соответственно, две и пять стоек. Аналогичная схема сочетания colocation и IaaS-сервисов на базе системы FlexPod использована при создании гибридного облака для интернет-ритейлера «Юлмарт», а компания «Первый БИТ» получила в LinxCloud виртуальный дата-центр, с помощью которого запустила свой SaaS-сервис «ЛАЙВ!» хостинга и аренды клиентских баз 1С в интернете.
Продажа облака
Построение инфраструктуры для предоставления облачных сервисов российские облачные сервис-провайдеры уже хорошо освоили, тем более что вендоры предлагают для этого фактически готовые решения. Проблема только в том, чтобы продать это облако клиенту. А это, как считает руководитель направления облачной инфраструктуры компании Softline Леонид Аникин , сейчас непросто, ведь в принципе провайдеры не предлагают ничего такого, что современный заказчик не мог бы сделать самостоятельно, пусть даже для этого ему придется закупать оборудование и нанимать специалистов по виртуализации. К облачному провайдеру пойдет только тот клиент, который хочет сфокусироваться на задачах собственного бизнеса и ради этого готов отдать на аутсорсинг те сервисы, которые считает вспомогательными. В принципе, никаких сложностей для заказчиков и провайдеров это вызывать не должно, поскольку ИТ-инфраструктура у всех похожа (типовые серверы, СХД, сетевое оборудование, популярные приложения типа почтовых серверов, офисных и бухгалтерских программ), а сервисы по размещению оборудования в ЦОДе и предоставлению в аренду виртуальных вычислительных ресурсов и типовых приложений хорошо отлажены. Softline, например, заключает партнерские соглашения с дата-центрами по всей России, чтобы заказчики могли разместить свое оборудование или арендовать его в ближайшем ЦОДе с нужным уровнем надежности или получить в качестве сервиса частное облако с выбранной платформой виртуализации, подключенной системой мониторинга и управления и порталом самообслуживания. Конкурировать с мировыми гигантами на облачной ниве российским провайдерам незачем, логичнее заключать партнерские соглашения с Microsoft Azure, Amazon Web Services и т.п. Кстати, по словам Л. Аникина, основные деньги Softline зарабатывает как раз на перепродаже зарубежных SaaS-сервисов, и прежде всего Office 365 и Google Apps.
Тонкости управления облаками...
Облачные операторы стараются сейчас максимально расширить ассортимент предлагаемых сервисов, а поставщики стремятся предложить комплексные решения, на базе которых можно строить сервисы любой конфигурации, в том числе с использованием распределенных облачных дата-центров. Сети из нескольких ЦОДов сейчас имеют не только облачные операторы, но и крупные компании. И для многих из них уже встают проблемы управляемости, эффективности использования и развития имеющихся ресурсов. Старший архитектор департамента ИТ-решений Huawei Russia Константин Бабанаков считает, что решать эти проблемы нужно на двух уровнях – инфраструктуры и управления. Необходимо, чтобы программная инфраструктура каждого входящего в сеть ЦОДа была максимально унифицированной. Также нужны единая система мониторинга и управления и специальное решение для балансировки нагрузки между дата-центрами. Huawei считает, что в сети дата-центров должна использоваться программно-определяемая инфраструктура SDI (Software Defined Infrastructure), которая охватывает программно-определяемые системы вычислений SDC (Software Defined Computing) и хранения данных SDS (Software Defined Storage), а также программно-определяемую сеть SDN (Software Defined Network). Инфраструктура SDI построена на базе платформы OpenStack и не привязана ни к какой аппаратной и программной архитектуре. Вместе с разработанной Huawei платформой управления ManageOne она позволяет создать решение для гибкого унифицированного дата-центра, который может быть масштабирован на несколько площадок с возможностью балансировки нагрузки между ними и управления сетью ЦОДов из единого центра как единым ресурсом. Созданный таким образом ЦОД, который по сути является частным облаком, Huawei называет дата-центром в квадрате: DC2. Для его построения предлагается базовый продукт FusionSphere, который позволяет объединить и виртуализировать все ресурсы имеющихся дата-центров, ликвидировать узкие места и повысить общую производительность обработки и восстановления данных.
Видным приверженцем платформы OpenStack является и компания Red Hat, которая на ее базе разрабатывает продукты для построения открытого гибридного облака. Гибридные облака ориентированы на те компании, которые уже прошли этапы виртуализации ресурсов в одном ЦОДе, распределенной визуализации в нескольких дата-центрах и построения частного облака с автоматической системой управления корпоративными сервисами и приложениями. То есть гибридные облака можно сейчас считать неким «венцом творения» в облачной отрасли. Для предоставления IaaS-сервисов и управления ими Red Hat предлагает оркестратор CloudForms, построенный на открытой платформе OpenStack и, соответственно, способный управлять самыми разными системами виртуализации, присутствующими сейчас на рынке. Как рассказал старший системный архитектор Red Hat Андрей Маркелов, в продукт CloudForms входит система безагентного мониторинга и управления виртуальными машинами, которая позволяет находить в распределенном ЦОДе виртуальные машины с любыми заданными характеристиками и изменять их конфигурацию, причем делается это абсолютно безопасно для системы виртуализации. Кроме того, как и полагается любому облаку, в составе CloudForms есть портал самообслуживания с веб-интерфейсом, через который пользователь может заказывать не только виртуальные машины, но и любые сервисы для построения собственного облака. В данном случае заказ сервиса может подразумевать, например, установку нескольких виртуальных машин, выделение места в СХД, назначение IP-адресов и сетевых портов и т.д. Причем все это делается автоматически, а результатом заказа сервиса является, например, то, что пользователь получает доступ в запрошенную им систему. CloudForms поддерживает возможность размещения на одной инфраструктуре виртуальных машин нескольких заказчиков с гарантией их полной изоляции друг от друга. Поддерживается также горизонтальное масштабирование ресурсов, автоматическая балансировка нагрузки между отдельными виртуальными машинами и целыми дата-центрами, автоматическое переключение на резервные ресурсы в случае отказа основных, возможность управления территориально распределенными ЦОДами, а также возможность построения гибридного облака с подключением любого публичного облака, построенного на базе платформы OpenStack (а таковых немало, поскольку проект OpenStack развивается уже четыре года и, как отметил А. Маркелов, почти все новые облака строятся на основе этой платформы).
Есть в арсенале Red Hat и решение для построения PaaS-сервисов, когда пользователю облака предоставляется не виртуальная машина и прочие ресурсы, а готовая среда, например среда разработки Java. Организовать работу в такой среде позволяет продукт Red Hat OpenShift. Он разграничивает полномочия всех участников проекта, отслеживает версии разрабатываемого ПО, организует бесшовный переход от одной версии к другой и откат обратно в случае необходимости и через веб-портал самообслуживания делает написанные разработчиками приложения доступными пользователям, т.е. фактически позволяет создать некий SaaS-сервис внутри PaaS.
И вот в результате ударной работы разработчиков с использованием PaaS-сервиса или без него облачные приложения созданы. Теперь их надо доставить на устройства пользователей и оптимизировать взаимодействие этих пользователей с корпоративной ИТ-инфраструктурой, в серверах и базах данных которой живут эти приложения. А для этого необходимы разные устройства и программные продукты, которые должны обеспечить кэширование данных, оптимизацию их передачи от пользователя на сервер и обратно, защиту от атак, балансировку нагрузки на разных уровнях, ускорение операций по шифрованию передаваемых данных по протоколу SSL. В принципе, можно собрать такое решение из продуктов разных производителей, но тогда довольно остро встанет вопрос об их управлении и обслуживании, который Citrix Systems предлагает просто снять – с помощью собственного решения Citrix NetScaler, которое может выполнять все перечисленные выше функции. NetScaler представляет собой продукт типа «все в одном», в состав которого входит множество модулей, отвечающих за те или иные функции. Например, есть модули, ответственные за оптимизацию производительности серверов и их разгрузку в случае необходимости, что позволяет либо уменьшить задействованное в корпоративной ИТ-инфраструктуре количество серверов, либо обслуживать большее количество пользователей имеющимся парком серверов. Есть также модули, оптимизирующие использование полосы пропускания каналов, организуемых между клиентами и дата-центром, в котором исполняются приложения, модули, осуществляющие мониторинг всей передаваемой между клиентом и сервером информации и защиту веб-серверов от различных атак.
Вообще, функциональность NetScaler можно разбить на четыре блока, отвечающие, соответственно, за доступность сервисов, скорость исполнения приложений, разгрузку серверной инфраструктуры и безопасность информации. Доступность сервисов обеспечивается за счет балансировки нагрузки и «умного мониторинга» проходящего трафика, скорость – за счет кэширования и сжатия данных, разгрузка – путем мультиплексирования соединений и ускорения обработки SSL-шифрования, безопасность гарантируется за счет использования шлюзов, организации SSL VPN-соединений и защиты веб-приложений от атак на уровне самих приложений, что, правда, не ликвидирует необходимость установки сетевых фаерволов. Однако, как отметил руководитель системных инженеров Citrix Systems Сергей Халяпин, помимо традиционной балансировки нагрузки, обеспечивающей оптимальное распределение клиентов между имеющимися серверными ресурсами в ЦОДе, необходима интеллектуальная балансировка на уровне контента, т.е. нужно постоянно проверять функционирование и доступность приложений на сервере, чтобы перенаправлять пользователя только на тот, на котором реально работает приложение (в принципе, вполне возможна ситуация, когда приложение по какой-то причине недоступно, а сервер отвечает на запросы, т.е. считается работающим). NetScaler же осуществляет реальную проверку работоспособности сервиса, делая запросы и определяя функционирование приложения, чтобы пользователь получал доступ только к рабочей инфраструктуре. Для оптимизации нагрузки NetScaler может также выполнять балансировку на уровне контента, т.е. разносить информацию разных типов на разные группы серверов. Например, на одной группе серверов можно хранить статическую информацию (HTML-файлы, изображения), на другой – динамическую, на третьей – тяжелый видеоконтент.
Заточен NetScaler и для работы в почти традиционной уже конфигурации распределенных ЦОДов, в нем есть функционал, позволяющий оптимизировать работу пользователя с корпоративной инфраструктурой, разбросанной по множеству дата-центров по всему миру. В зависимости от настроек системы пользователь, подключаясь к единому веб-адресу, совершенно прозрачно для себя будет попадать либо на наиболее близкий к нему дата-центр, либо на наименее загруженный, либо на ЦОД с повышенным приоритетом и т.д. И если какой-то дата-центр будет по каким-то причинам временно недоступен, то система автоматически переключит пользователя на следующий по уровню приоритета ЦОД и предоставит ему доступ к запрашиваемому сервису или приложению.
... и их защиты
По-прежнему остается актуальной проблема информационной безопасности для дата-центров и облачных сред, несмотря на то что разработчиками уже давно выпущены и продолжают совершенствоваться специализированные продукты для облачной защиты. Вице-президент по корпоративным продажам и развитию бизнеса «Лаборатории Касперского» Вениамин Левцов привел данные отчета компании RightScale, которая каждый год проводит опрос ИТ-специалистов, работающих в разных отраслях в компаниях всех размеров, о ситуации на мировом рынке облачных сервисов. Так вот, доля тех, кто считает информационную безопасность в облаке очень важной проблемой, среди начинающих пользователей облачных сервисов за последний год снизилась с 38 до 31%, среди тех, кто активно занимается этими технологиями, она осталась неизменной – на уровне 27%, а среди тех, кто в своей работе уже давно использует только облачные сервисы, она сократилась с 18 до 13%, т.е. вопросы безопасности волнуют достаточно большое число компаний. И их опасения вполне понятны, поскольку, как отметил В. Левцов, переход в облако не снижает степени опасности вредоносных программ, которым в принципе неважно, в какой среде работать – на автономной рабочей станции, на мобильном устройстве или на виртуальном десктопе, который обслуживается из удаленного дата-центра. Но облачные среды, конечно, имеют свои особенности, и, по данным «Лаборатории Касперского», из появляющихся каждый день 315 тыс. новых угроз порядка 30% «знают» об этих особенностях и используют их.
При построении систем защиты облачных сред нужно учитывать, что защита периметра корпоративной ИС не дает полной гарантии от взлома, и ситуация усугубляется доступом виртуальных машин в интернет и зачастую бесконтрольным использованием приложений в таких средах. Возможными последствиями пробелов в защите являются риск утечки конфиденциальных данных, недоступность облачного сервиса и отказы в работе виртуальной инфраструктуры. Поэтому корпоративные подразделения ИБ должны разрабатывать специальные политики и стандарты использования защитного ПО и принимать активное участие в проектах по виртуализации ИТ-инфраструктуры с самого начала их реализации. Применение в облачных средах традиционного защитного ПО зачастую создает больше проблем, чем их решает. Если обычный антивирус установить на каждую виртуальную машину, то в периоды обращения за обновлениями антивирусных баз и сканирования нагрузка на хост возрастает до такой степени, что теряется основное преимущество виртуализации – гибкое использование системных ресурсов. При отключении виртуальной машины на ней фиксируется последняя загруженная версия антивирусной базы данных, а это означает, что после включения виртуальная машина будет беззащитна перед угрозами, появившимися за время ее «отсутствия», и в таком уязвимом состоянии она будет пребывать вплоть до очередного обновления антивирусной базы, которое происходит по заранее определенному расписанию. В некоторых облачных средах, а именно там, где плотность виртуальных машин неважна, а работают они под управлением ОС Windows, Linux или Mac, традиционный подход к защите вполне оправдан, но в других случаях требуются специальные решения, которые должны обеспечить приемлемый баланс безопасности и эффективности.
Первый класс решений такого рода был создан еще в 2011 г., в нем используется технология безагентского сканирования: антивирусная защита организуется на уровне гипервизора, ядро антивируса устанавливается только на одну специально выделенную виртуальную машину защиты, на которой и исполняются все процессы, связанные с информационной безопасностью. Но у такого подхода есть и недостатки, и самый главный – то, что далеко не все разработчики платформ виртуализации (а точнее – только VMware) предоставляют создателям защитного ПО интерфейс доступа к файлообменным операциям. Кроме того, для обеспечения должного уровня безопасности защитное ПО должно контролировать память защищаемой виртуальной машины, а интерфейс для этого опять же предоставляется не для всех платформ виртуализации. Для полноценной защиты «Лаборатория Касперского» предлагает использовать технологию «легкого агента». Она дополняет безагентскую технологию контролем памяти, который осуществляется при помощи эвристических механизмов, не требующих больших ресурсов (по данным «Лаборатории Касперского», максимальный вклад «легкого агента» в нагрузку на хост никогда не превышает 10%). Таким образом, «легкий агент» можно установить на каждую виртуальную машину и обеспечить уровень защиты, как на традиционных физических машинах, но без деградации производительности. Достоинством такого подхода является и независимость от политики поставщиков платформ виртуализации, так что уже выпущены решения для сред VMware, Hyper-V, XenServer и готовится решение для KVM. Остается только добавить, что «легкий агент» Kaspersky Security интегрируется с облаком безопасности Kaspersky Security Network, которое позволяет заметно ускорить реакцию на новые угрозы.
* * *
Как видим, для облачного ИТ-аутсорсинга никаких технических препятствий нет. Дело за «малым» – поставщикам облачных решений и облачным провайдерам нужно терпеливо продолжать дело просвещения пользователей и одновременно завоевывать их доверие, недостаток которого остается главным камнем преткновения для многих сервисов.