Привет, Хабр! На связи команда облачной платформы MWS Cloud Platform. Мы разрабатывали облако с нуля с 2024 года и теперь готовы анонсировать выход платформы в паблик. Сегодня мы открываем доступ для всех желающих: сервисы IaaS готовы к коммерческой эксплуатации, ещё появились новые PaaS-сервисы в режиме превью.

Если интересно скорее посмотреть, что у нас вышло — приходите на сайт платформы. А если хочется подробнее почитать, с каким набором функциональности мы запустились и почему, о наших планах на будущее — статья как раз об этом.

Как всё начиналось и зачем нужно новое облако в 2025 году

МТС уже несколько лет ведёт облачный бизнес на базе вендорских решений. В отличие от него, новая облачная платформа — наша собственная разработка. Она не опирается на опенсорсные решения вроде OpenStack или вендорское ПО. Зачем такие сложности? Отсутствие зависимостей от вендоров позволяет нам полностью управлять бэклогом. Так мы можем учитывать обратную связь от пользователей и дорабатывать платформу так, как считаем нужным.

Отсутствие OpenStack под капотом позволяет обойти известные в сообществе ограничения, например медленную работу сети. Чем эффективнее работает платформа на больших масштабах, тем более выгодные условия мы сможем предлагать своим клиентам. Подробно обо всём этом рассказал в своей статье СТО облака Данила Дюгуров.

С самого начала мы рассказываем о том, как проектируем облако, какие технологии выбираем и почему. Снимаем реалити-проект Building the Cloud про разработку, пишем технические deep-dive статьи на Хабр, например о ресурсной модели в IAM и о выборе технологий для облачной сети.

Идеологически при проектировании платформы мы руководствовались двумя принципами: «разработчики для разработчиков», чтобы предусмотреть максимум удобства и сразу проектировать её под запросы энтерпрайз-бизнеса.

Учесть потребности энтерпрайза нам помогают коллеги из большого МТС. Мы делаем единую платформу, которая объединит всех пользователей: продукты экосистемы МТС, бизнес-подразделения и внешних клиентов. Большой телеком в этом случае — один из самых требовательных заказчиков, которых только можно представить. А получилось ли у нас сделать платформу developer friendly, судить нашим пользователям.

Функциональность новой платформы: с чем запустились

Инфраструктурные сервисы

Инфраструктурные сервисы — это фундамент облачной платформы. Они должны быть предсказуемыми и надёжными. Обеспечить эти качества нам позволяет наличие собственных ЦОДов и каналов связи, а также собственный стек технологий.

Сейчас доступны:

• Compute — управление виртуальными машинами и дисками

• Virtual Private Cloud (VPC) — виртуальные пользовательские сети

• Object Storage — масштабируемое хранилище данных

• CDN — сеть для быстрой доставки контента

Compute — наша собственная разработка, в нём используются только низкоуровневые готовые компоненты. Архитектура построена на технологии виртуализации KVM с использованием гипервизора QEMU, который управляется нашим агентом на хостах.

Производительность подключённых к ВМ дисков не зависит от их объёма: можно выбрать любое доступное значение IOPS и пропускной способности для любого размера диска. Даже самый маленький диск может быть самым производительным. Можно делать инкрементальные снапшоты без остановки файловой системы.

Для организации пользовательских сетей служит VPC. В нём можно настроить связность между облачными ресурсами и контролировать сетевой трафик, как внутренний, так и внешний. Ресурсы можно располагать в разных зонах доступности и объединить их в одну подсеть.

Есть встроенный файрвол. В нём можно настроить правила для внутреннего и внешнего трафика, назначить их для определённых портов и протоколов и выставить приоритет выполнения.

Если говорить об архитектуре, то underlay-сеть мы построили по технологии Clos Dual Homing — топология Клоза Leaf-Spine с двойным подключением. Это сделано ради отказоустойчивости и надёжности. Overlay-сеть разработали сами на базе SRv6. Подробнее об архитектуре сети — в статье.

Object Storage — это S3-совместимое объектное хранилище. Сейчас доступен стандартный класс хранения, в 2026-м планируем запустить холодный класс. По функциональности доступны версионирование, логирование, бакеты, конфигурации жизненного цикла объектов, блокировка версии объекта и многое другое. Детали о нашем объектном хранилище можно почитать в статье на Хабре.

Контроль доступа

Для всех облачных ресурсов необходимо обеспечить безопасное централизованное управление доступом. Для этого нужен сервис IAM. Это единая система для управления учётными записями, как пользовательскими, так и служебными, основанная на системе ролей.

Выдача прав доступа работает на любых уровнях: от отдельного ресурса до целой организации. При этом не нужно вручную выдавать сотни разрешений на каждый отдельный ресурс — для группировки есть такая сущность, как роль. Можно использовать сервисно-специфичные роли для доступа к отдельным сервисам или базовые роли для доступа к ресурсам всего облака.

Для обеспечения безопасности мы рекомендуем выставлять пользователям и сервисным аккаунтам только минимально необходимые для работы роли. По тем же причинам в облаке нет субъектов, которые имеют доступ ко всем ресурсам. Когда вы создаёте новые ресурсы, доступ к ним получают только те, кто эти доступы наследует, либо те, кому вы вручную предоставили доступ.

Подробнее о том, как спроектирован IAM, можно почитать в статьях «Как устроена ресурсная модель» и «Как мы проектировали сервис».

Контейнеры

В платформе есть сервисы для контейнерной разработки. Managed Kubernetes предоставляет привычные инструменты для оркестрации контейнеров в облаке и автоматического масштабирования под нагрузку. Он интегрирован с Artifact Registry — сервисом для управления Docker-образами и контейнерами.

Образы автоматически реплицируются. Чтобы сэкономить внешний трафик при развёртывании, можно разместить в облаке и образы, и контейнерную инфраструктуру. А для экономии ресурсов хранения можно настроить автоматическое удаление устаревших версий. Для интеграции работы с образами в пайплайны разработки Artifact Registry поддерживает Docker CLI, а ещё есть встроенный сканер уязвимостей образов.

Развернуть кластер или создать хранилище можно за несколько кликов или парой CLI-команд. Размер хранилища принципиально не ограничен и растёт бесшовно для пользователя, а заботу об инфраструктуре мы берём на себя. Подробно об архитектуре управляемых кластеров Kubernetes можно узнать в 8-м выпуске Building the Cloud.

Платформа данных

Для удобной работы с СУБД мы предоставляем — экосистему управляемых сервисов для хранения и обработки данных в инфраструктуре облака MWS Cloud Platform.

Платформа данных MWS Cloud Platform создана, чтобы снять операционную нагрузку с команд и ускорить доставку бизнес-ценности из данных. Она построена на инфраструктуре IaaS и объединяет управляемые сервисы в единый контур с:

• Изоляцией на уровне виртуальных машин — без общего Kubernetes-кластера или мультиарендности.

• Безопасными подключениями через Private Link — без публичных эндпоинтов, с приватной маршрутизацией трафика.

• Минимальной сетевой задержкой между зонами доступности в 2 мс — для сценариев синхронной репликации и высокой доступности.

• Единым управлением и мониторингом — общие IAM, API и консоль для всех сервисов платформы данных.

Первые сервисы в составе платформы — Managed PostgreSQL и Managed Kafka — доступны пользователям в режиме Preview. А после выхода в общий доступ они будут готовы принимать нагрузки enterprise-уровня.

MWS GPT

Запустили сервис для работы с большими языковыми моделями (LLM) в облачной платформе — MWS GPT. Теперь в платформе можно использовать любую LLM без обслуживания собственной ML-инфраструктуры.

Мы предоставляем пользователям безопасный и масштабируемый доступ к LLM через API и CLI. MWS GPT полностью интегрирован в ресурсную модель MWS Cloud Platform. Управляйте списком доступных моделей, ключами и правами доступа, используя сервисные аккаунты IAM. Совместимость со спецификацией OpenAI API упрощает миграцию существующего кода и интеграцию SDK на популярных языках — Python, JavaScript, Go.

Сервис доступен в режиме Preview — зарегистрируйтесь в консоли и запросите доступ, чтобы начать работу.

Безопасность

Помимо обеспечения физической безопасности дата-центров, безопасности самой инфраструктуры и сервисов облака, мы предоставляем пользователям нативные облачные сервисы для управления безопасностью.

• Certificate Manager — он нужен для хранения, обновления, отслеживания использования и удаления SSL- и TLS-сертификатов. Обновлённый сертификат автоматически обновляется во всех ресурсах, которые его используют. При этом пользователь всегда видит, в каких сервисах облака используются сертификаты, что позволяет избежать ошибок при их удалении.

• Secret Manager пригодится для хранения секретов в облаке, например токенов и паролей. Это упрощает использование секретов в пайплайнах и снижает риск их попадания в открытый доступ.

• Хранить ключи шифрования можно в Key Management Service. Ключи хранятся зашифрованными и недоступны в открытом виде вне сервиса. В данный момент реализовано симметричное шифрование с помощью алгоритма AES-GCM с длиной ключа 128, 192 или 256 бит.

Управление

В платформе есть четыре интерфейса: веб-консоль, CLI, API или Terraform. Консоль — наглядная, для интеграции в CI/CD-процессы подойдёт Terraform. Декларативный API с реконсиляцией подразумевает управление через целевое состояние. Вы описываете, что должно быть, а не как этого добиться — платформа автоматически приводит инфраструктуру в нужное состояние. Не нужно ждать завершения операций: вы всегда можете задать новое состояние, а система сама адаптируется.

Если при работе через API что-то пойдёт не так, изменения автоматически откатятся. Состояние ресурсов в любой момент прозрачно и наблюдаемо. Мы считаем, что такой API легко впишется в подход Infrastructure as Code. И в цело все сервисы устроены по единому принципу: если вы разобрались с одним — вы понимаете, как работает остальное.

Roadmap MWS Cloud Platform: что будем делать дальше

Разработчики работают над расширением функциональности запущенных сервисов и готовят к запуску новые. В первую очередь мы планируем добавить в платформу:

• Load Balancer — балансировщик нагрузки. Нужен для обеспечения доступности приложений и минимального времени отклика за счёт распределения трафика между серверами

• Managed ClickHouse — сервис для создания, настройки и масштабирования кластеров ClickHouse

• Audit Logs — сервис для сбора и хранения аудитных логов для различных задач безопасности: от контроля действий пользователей до расследования инцидентов

Приходите пробовать

Добавим ещё пару слов о стадиях запуска сервисов: Preview и General Availability. Это распространённая практика, но для тех, кому эти термины ещё не знакомы, рассказываем:

• Preview — режим ознакомительного доступа к сервису платформы, в течение которого мы проводим заключительные тесты, убеждаемся в стабильности продукта и его готовности.

• General Availability (GA) — режим коммерческой эксплуатации с предоставлением SLA на работоспособность сервисов.

Итак, платформа запущена, мы все немного выдохнули (нет) и приготовились встречать первых пользователей. Приходите, пробуйте, хвалите, ругайте, делитесь в телеграм-сообществе своим мнением и идеями — мы вас ждём!

Команда MWS Cloud Platform