Блокировки задели многие проекты, работающие для российского рынка. Ниже — история одного из срочных переездов нашего заказчика.
19 апреля они заметили блокировку одного из IP-адресов своего публичного сервиса частью провайдеров на территории РФ. 20 апреля ситуация усугубилась — вся подсеть стала недоступной. Это уронило тестовую среду, один из резервных каналов, частично нарушило работу почтовых серверов. Проблему удалось решить заменой IP-адресов, проксированием трафика через другие дата-центры.
Когда стало понятно, что всё это всерьёз и надолго (точнее, когда возник такой риск), один наш заказчик, компания Теко — международная процессинговая компания, решил развернуть инстанс в нашем облаке. Их CIO была важна большая федеративность сервиса, большее присутствие на территории РФ. Цитата:
«Облако в РФ даёт больше гарантий клиентам, что сервис не будет заблокирован РКН. Скорость, с которой нам предоставили ресурсы, была очень важна. Происходило всё достаточно быстро: первым делом мы добавили GEO dns для доступности сервиса на территории РФ, начали проксирование трафика через незаблокированные ДЦ. Медленная часть — федерация для БД».
«Были сложности с технологическим стэком, который мы используем, необходимо было строить дополнительные туннели до зарубежного облака, столкнулись с проблемой в работе новых версий strongSwan… Во сколько обошлось? Очень дорого: помимо прямой оплаты за вычислительные ресурсы, есть существенные траты временных ресурсов на поддержку нескольких облаков, отсутствие необходимых амазоновских/гугловских услуг. В итоге работаем с дополнительным облаком, несём гораздо большие финансовые расходы. Появились дополнительные точки отказа. Диагностика проблем стала сложнее. Мы используем подход IaC (infrastructure as code), это позволило построить воспроизводимую инфраструктуру на базе Terraform, Ansible, Kubernetes. Деплой инфраструктуры достаточно быстро проходил».
Вторая история
«Заметили, как и все, — из новостей. Перестали работать или стали работать со сбоями некоторые сторонние сервисы, которые мы используем в своей работе. Например, Slack и Maven-репозитории. Непосредственно нашего бизнеса это не затронуло — мы уже достаточно давно держим инфраструктуру, которая обслуживает клиентов в РФ, у провайдеров в РФ. С облаком Техносерв мы знакомы уже достаточно давно и накопили некоторые знания о нём.
При выборе облачного провайдера, помимо качества и надёжности сервиса, важны юридические вопросы. Документооборот в случае облака вне РФ достаточно сложный, оплата сопряжена с валютным контролем и налоговыми тонкостями. Если компания работает и ведёт бизнес в РФ, то проще всего иметь всю обслуживающую его инфраструктуру там же.
Мы работали с разными провайдерами в РФ, также у нашей команды большой опыт работы с платформой AWS и другими мировыми лидерами в IaaS. От облачного провайдера мы ожидаем не просто возможность арендовать виртуальную машину, а дополнительный функционал, который позволит упростить поддержку инфраструктуры, такой как:
- облачные хранилища и базы данных, которые позволяют экономить на самостоятельной поддержке сложных решений. При этом важно, чтобы они были построены на основе индустриальных стандартов, а не приводили к vendor-lock;
- гибкое ценообразование, которое учитывает особенности нашего использования вычислительных ресурсов, позволяет нам действительно экономить. Важен подход провайдера, его готовность совместно с клиентом искать способы оптимизации;
- удобные инструменты управления инфраструктурой — работать с самописной панелью управления без API не всегда бывает удобно.
В случае Техносерва весь перечисленный функционал мы увидели, это стало для нас важным аргументом. Дальнейшее тестирование показало большой запас по производительности инфраструктуры Техносерв и желание технической службы идти навстречу и отлаживать вместе узкие места инфраструктуры, которые в итоге перестали таковыми быть. Мы мигрировали в него несколько сервисов из других облачных провайдеров, далее стали новые сервисы развёртывать уже в облаке Техносерв.
У нас заняло около месяца разобраться с облачным хранилищем и встроить новую площадку в нашу существующую сетевую инфраструктуру.
Были проблемы при интеграции облачного хранилища, возможно, мы были первыми, кто его использовал в такой модели. Однако мы остались довольны работой с поддержкой: коллеги помогли нам решить основные проблемы, по необходимости подключили разработчиков хранилища для исправления ошибок.
В итоге получили площадку, которая стала основной для нас в РФ. Мы подключили ряд инструментов, которые мы используем для обработки данных, такие как Apache Spark и Apache Zeppelin, к работе с облачным хранилищем Техносерв. Мы были приятно удивлены, что полная совместимость с AWS S3 API позволяет использовать существующие библиотеки без каких-либо изменений. В случае со Spark использование облачного хранилища для нас позволяет избежать необходимости в HDFS-кластерах и экономить на этом деньги, при этом не теряя в скорости и надёжности».
Что происходит?
Из-за блокировок началась вторая волна миграции с Амазона на российские облака (первая волна была в момент начала действия новых нормативов по хранению и обработке персональных данных, она, по сути, дала толчок российскому рынку виртуализации). Большинству наших новых заказчиков нужны максимально совместимые сервисы вроде объектного хранилища S3. В России только четыре облачных провайдера поставляют эту услугу и мы наиболее совместимы по оценке экспертов (надо отметить, оценка делалась, когда S3-провайдеров было три) — CIO выбирают нашу площадку.
Почему не VPN или проксирование? Потому что поддерживать стабильно такую структуру достаточно сложно в свете тех же блокировок. Некоторые заказчики рассматривали варианты переноса инфраструктуры на немецкие сервера, но, как вы знаете, это оперативное решение не помогло — те же Hetzner попали в список блокировок сразу всей подсетью.
Итог — переноситься в российское облако. Причина довольно банальна: поскольку Роскомнадзор — российская организация, на территории РФ он сначала предупреждает о блокировке, потом даёт время принять меры, потом блокирует. То есть мы можем либо выделить «хулиганам» подсеть, блокировка которой не коснётся остальных клиентов, либо попросить их прекратить деятельность по пункту о помехах другим клиентам публичного облака.
У нас открытые цены, при определённых условиях мы выгоднее Амазона. Вот прайс.
«Кошмарить» физически нас не начнут в силу ряда причин организационного характера — нужно судебное постановление, которое довольно долго получается. Но про это лучше расскажет мой коллега чуть позже.
Поскольку у нас довольно гибкое квантование, если ситуация прекратится, можно будет переключиться обратно на AWS и держать у нас договор для резервного развёртывания. Если не прекратится — ну, есть российский ЦОД, где крутится Амазон-совместимое облако. Мы помогаем переехать быстро и подняться с минимальным даунтаймом или без него — в зависимости от архитектуры и объёмов.
Самый частый случай переезда некрупных проектов сейчас — либо бекап, остановка и развёртывание из бекапа у нас, либо бекап, развёртывание, синхронизация и отключение первого инстанса.
По всем вопросам пишите на почту: MBlinov@technoserv.com
Комментарии (26)
KirEv
23.04.2018 16:08то чувство, когда VDS, и побоку эти облачные телодвижения и несколько белых ip
AxisPod
23.04.2018 16:20+2Ну да, заблочат по маске /12 подсетку датацентра, окажется там какой-нить один сайт и по боку все ваши белые IP. Сейчас никто поштучно ведь не блочит адреса телеграма, а прям гигантскими подсетями, никто не будет разбираться, ваши там адреса или чьи то ещё.
nerudo
23.04.2018 16:31+6А если к вам Телеграм в качестве клиента придет, выгоните?
AivanF
23.04.2018 17:59+1Нет же, дадут им подсеть, а РКН её заблокирует – вот и все дела.
То есть мы можем либо выделить «хулиганам» подсеть, блокировка которой не коснётся остальных клиентов, либо попросить их прекратить деятельность по пункту о помехах другим клиентам публичного облака.
decomeron
23.04.2018 16:36+1при определённых условиях мы выгоднее Амазона.
Можно озвучить эти условия?MbBlinov Автор
24.04.2018 17:11Если Вы компания, которая специализируюется на разработке, например мобильных приложений, или Вам необходимо обеспечивать быструю работу сайта с большим количеством пользовательского контента, или же у Вашей компании есть необходимость осуществлять раздачу большого объема медиа-файлов т.е. основными требованиями для Вас будут использование (скачивание) больших объемов хранимой информации и обеспечение быстрой раздачи данных, то наиболее оптимальным выбором для Вас будет использование тарифа «Частый доступ», доступного в рамках сервиса Облачное Хранилище, полные тарифы ниже.
vitaliy2
24.04.2018 20:57раздачу большого объема медиа-файлов
Скачивание 2 рубля за ГБ, когда у Hetzner 8 копеек (0.0011 €). Да, там не облако. Но скачивание оплачивается по факту — сколько скачали, столько и оплатил. У вас, простите, в 24 раза дороже.MbBlinov Автор
25.04.2018 13:47Сравнение наших сервисов не совсем корректно, т.к. в отличие от Облачного Хостинга мы предоставляем услугу Объектного Облачного Хранилища, работающего по S3 и предназначенного в первую очередь для надежного хранения десятков и сотен Тб, а иногда и Пб данных, а также для быстрой работы с миллионами хранимых объектов.
vitaliy2
25.04.2018 15:09Мне кажется, на таком объёме данных дешевле самому организовать нужную инфраструктуру, чем платить в 24 раза дороже. Уж очень большая разница в цене.
ohmytribe
23.04.2018 16:36+5«Облако в РФ даёт больше гарантий клиентам, что сервис не будет заблокирован РКН»
Довольно смешное высказывание. Облако в РФ может быть заблокировано не только для россиян, но и, так сказать. полностью уничтожено.
wanomgn
23.04.2018 17:24+3>Облако в РФ даёт больше гарантий клиентам, что сервис не будет заблокирован РКН
Зачем блокировать? Просто подъедет микроавтобус с «маски-шоу» и просто вынесет все сервера… И удобней и прибыльней.
TriLka
23.04.2018 20:13Вас так же заблокируют как амазон, когда вы предоставите сервис телеграмму.
А если не предоставите, то как я могу быть уверен, что через месяц вы меня не выгоните?
Нет, спасибо. Что-то, а поддерживать отечественного производителя — себе дороже.
ColdPhoenix
23.04.2018 20:49Про кошмарить посмеялся от души.
1)постановление суда должно быть в любом случае. Не важно РФ или не РФ. Не аргумент.
2)Это не работает когда блокируют ссылаясь на решение 2015 года.
bond1768
23.04.2018 22:00Ненавязчивая реклама высокодуховного отечественного облака. РПЦ одобрила ваши деяния? Если нет, то не факт что вас не заблочат.
Hardened
24.04.2018 03:17Отзывы, по ощущениям, придуманные. Клиенты, обычно, не пишут с таким количеством расхожих штампов про сервисы провайдера. А внутренние компетенции по Spark Техносерв не так давно активно парился.
Nice try, но не верится.
Вместо политоты лучше бы дали статью про сравнение производительности Spark на HDFS и на S3…
skobkin
24.04.2018 15:01«Кошмарить» физически нас не начнут в силу ряда причин организационного характера — нужно судебное постановление, которое довольно долго получается. Но про это лучше расскажет мой коллега чуть позже.
То есть, когда недавно без решения суда по "экстремизму" банили целыми подсетями — это было законно и они тратили на это очень много времени? Вы от этого как-то защищены?
Alozar
Простите конечно, но в свете последних событий эта фраза не звучит убедительно.
awesomer
Напротив.
В свете последний событий — вы имеете ввиду Телеграм.
Телеграм недоступен через суд — потому и события эти.
AxisPod
Ну в следующий раз решат заблочить DNS, вся ведь проблема от доменов. И ведь суд нормально всё это дело разрешит. Так что не уверен в нядёжности вообще никак.
RomanL
А как суд относится к блокировке целых подсетей, ip адреса в которых могут вообще не иметь никакого отношения к блокируемому сервису?
suharik
Могут не иметь, а могут и иметь. Вот вы сперва докажите, что не имеют отношения. А там посмотрим, может и распорядимся разблокировать. Если это технически будет возможно. РКН нам подскажет, так оно или нет.
am_devcorp
А как же презумпция чего-то там?А, ну понятно, да, я забыл.OtshelnikFm
убедительнее — «да у нас крыша есть — депутаты и менты. Мы в 90-х и не то творили и выжили».
Какой прекрасный шанс хабру быть в стороне от политики — корпоративные блоги вон как зашевелились на волне блокировок. Активность проявляют — пойди ко мне, давай сюда, заходи не робей.
Этот бизнес понятное дело почему молчит и не протестуют когда нагибают пол инета.