Перейти к содержанию

Гибридная инфраструктура что это

Понятие «гибрида» распространено в сфере IT. Чаще всего под этим подразумевают поддержание разнородных элементов в одной экосистеме.

Например, допустим, компания использует несколько баз данных — реляционную PostgreSQL и NoSQL Redis для работы с кэшем. Есть еще распространенное понятие «гибридное облако», которое подразумевает смешение разных видов облаков (частное и публичное) или платформ разных вендоров.

Так что же имеется в виду под гибридной инфраструктурой?

Гибридная инфраструктура — это смешение элементов инфраструктуры разной природы в одной системе.

Классический пример: связка выделенных и облачных серверов в рамках одного провайдера. Но бывают и другие вариации «гибрида». Например, выделенные серверы размещены на собственной площадке (on-premises), а облачные — у провайдера. Легитимны и варианты размещения у разных провайдеров — например, облачной IT-инфраструктуры. Несмотря на одну «облачную» природу, компания будет иметь дело с «гибридом» панели управления ресурсами.

Часто под гибридной инфраструктурой подразумевается сложносочиненная, дорогая, трудоемкая в поддержке система. Но это далеко не всегда так. Современные провайдеры предлагают все более простые в имплементации и выгодные для поддержки решения.

Гибридная инфраструктура безопасность

Чем сложнее система, тем больше у нее точек отказа. Все это, однако, не значит, что гибридная инфраструктура не может быть безопасной и отказоустойчивой. Разберемся, какие особенности есть в такой инфраструктуре с точки зрения безопасности и как с ними работают провайдеры.

Как устроена безопасность в гибридной IT-инфраструктуре

Понятие безопасности инфраструктуры шире, чем просто ее защита от внешних угроз. К нему также относится физическая безопасность (отказоустойчивость). Провайдер гарантирует защиту и корректную работу оборудования в своем контуре.

Для разделения дата-центров по уровню защиты была разработана классификация Tier. Ключевой параметр, который отличает Tier III и Tier IV, — возможность проводить работы, например, замену сетевого диска, без остановки оборудования.

классификация Tier

Отказоустойчивость и информационная безопасность являются ключевыми направлениями работы провайдеров инфраструктуры, поэтому они вкладываются в развитие технологий, подходов и персонала.

Риски и решения на физическом уровне

  1. Проблемы с электропитанием Провайдер резервирует каждую систему, включает источники бесперебойного питания и дизель-генераторные установки в инфраструктуру дата-центра. Даже если в городе не будет электричества в течение 48 часов, дата-центры продолжат работу от ДГУ.

  2. Перегрев и неправильный микроклимат Здесь в качестве решения — организация зарезервированной по схеме N+1 системы охлаждения. При этом системы могут быть разные в зависимости от особенностей площадки и климата. Кроме того, в дата-центрах работает система мониторинга температуры и состава воздуха.

  3. Вероятность пожара Противопожарное оборудование, прохождение обучений и проверки систем — лучшая профилактика. Для ликвидации возгораний используется газ, который не причиняет вреда оборудованию и не запускает коррозию.

Риски и решения на уровне информационной безопасности

Лучше всего об информационной безопасности со стороны провайдера говорит наличие у него официальных документов — сертификатов и аттестатов, основанных на независимой экспертизе.

  1. DDoS-атаки У провайдера весь трафик проходит сквозь защитный комплекс. Нелегитимный трафик отбрасывается, а клиентам поступает только очищенный входящий трафик. Обладая информацией об исходящем трафике, система фильтрации использует дополнительные алгоритмы, которые повышают точность фильтрации при TCP ACK/FIN/RST-атаках до 99,9%.

  2. Доступ к сети извне С этим риском справляется межсетевой экран. Инструмент анализирует параметры передачи данных и сравнивает их с установленными параметрами. У провайдера устанавливают межсетевые экраны на периферии сети, чтобы ограничивать транзит трафика, установку нежелательных соединений за счет средств фильтрации и аутентификации. Кроме этого, можно также настроить облачный stateful-файрвол и бесплатный базовый stateless-файрвол.

  3. Кража паролей и сертификатов Чтобы закрыть этот риск, компании предлагают использовать менеджер секретов, в котором поддерживается бесплатный выпуск и автоматическое обновление сертификатов Let’s Encrypt®.

  4. Целевые атаки и парсинг От такого типа атак защищают средства WAF. Сервис на базе машинного обучения выявляет и блокирует подозрительную активность с помощью методов сигнатурного, поведенческого и репутационного анализов.

Когда провайдер не может помочь

Во многих сценариях поставщик IT-инфраструктуры помогает сохранить доступность сервисов во время сбоев или кибератак. Он также помогает быстро поднимать данные и хранить реплики. Но есть случаи, когда провайдер бессилен.

  • Провайдер ответственен только за IT-инфраструктуру в своем контуре. Использовать практики отказоустойчивости или инструменты для обеспечения информационной безопасности он может исключительно в своих дата-центрах.

  • Провайдер не может учитывать уязвимости сторонних приложений, которыми пользуется клиент. Это также касается API.

Важно помнить, что провайдеру требуется время на разрешение проблем. Все положения о времени реакций, как правило, зафиксированы в SLA.

Гибридная инфраструктура контроль

Теперь поговорим о страхе вендор-лока и потери контроля над инфраструктурой. Также затронем тему SLA (Service Level Agreement), которое позволяет разграничить ответственность между клиентом и провайдером.

Вендор-лок: почему его боятся

Вендор-лок — это зависимость компании или пользователя от конкретного продукта. Отказ от него может привести к финансовым потерям или иному дискомфорту: нужно будет переучивать команду, мигрировать сервисы, тратить время на разработчиков.

Все это означает для компании потерю гибкости и, как следствие, повышение рисков для развития.

Как обезопасить себя от вендор-лока

  1. Подумайте о резервной площадке Гибридный подход — это не только про смешение выделенных и облачных серверов. Он включает в себя и сочетание разных площадок — например, размещение или аренду инфраструктуры у разных провайдеров. Это может быть связка двух российских провайдеров или «глобальная» история с объединением инфраструктуры в России и у зарубежного поставщика.

  2. Подбирайте конвергентное программное обеспечение При выборе программного обеспечения подумайте, насколько заменяемым оно является. В идеале если ваш технологический стек будет способен существовать в большом числе комбинаций. Одно ПО можно будет заменить другим без непреодолимых технических конфликтов.

Также хорошим решением может быть использование и доработка под себя open source-инструментов. Это позволит, во-первых, избежать вендор-лока на уровне программного обеспечения. Во-вторых, ПО с открытым исходным кодом с большей вероятностью подойдет под инфраструктуру совершенно разных поставщиков.

  1. Реализуйте подход IaC — инфраструктура как код Подход Infrastructure as a code как папка со всеми важными документами. В случае чрезвычайных ситуаций — например, пожара, ее можно прихватить с собой. Вместо того чтобы тратить время на сбор документов по всему дому.

**IaC **работает по тому же принципу. В случае чего у вас есть описание инфраструктуры — развертывание ее через Terraform займет в разы меньше времени, чем сборка с нуля. IaC — это всегда возможность реализовать план Б. При отказе работы сервисов одного провайдера можно довольно быстро развернуться в другом облаке — главное, чтобы алгоритм действий был хорошо знаком и отрепетирован.

Почему SLA — это не только про деньги

SLA, или Service Level Agreement, переводится как «Соглашение об уровне обслуживания». Грубо говоря, это договор между провайдером и клиентом об уровне сервиса.

Считается, что SLA — это про деньги, или компенсацию за сбои в обслуживании и простой в работе сервиса, в которых виноват поставщик IT-инфраструктуры. Но не менее важно то, что SLA определяет границы ответственности провайдера и клиента — вводит четкие определения обязанностей для обеих сторон.

Что это дает?

  • Добавляет прозрачности при построении инфраструктуры: клиент понимает, где есть точки контроля на его стороне, а где начинается «вотчина» провайдера.

  • У клиента появляется возможность дозировать ответственность. Например, арендовать сервер для развертывания баз данных вместо managed-решения в облаке, где control plane контролирует провайдер.

  • Изучение договора SLA — важно для построения отказоустойчивой инфраструктуры. Он поможет лучше понять, где стоит «подстелить соломку». Например, контроль объема дисков в кластере облачных баз данных — в юрисдикции клиента. Важно следить за этим показателем, чтобы не допустить проблем в работе базы данных.

Использовать только выделенные или только облачные серверы не всегда выгодно. Хорошим решением будет распределение сервисов по платформам в зависимости от потребностей. Например, высоконагруженные системы запускать на физических серверах, а те, что требуют больше гибкости или нетребовательны к ресурсам, — в облаке.

Трафик между услугами бесплатный, что не делает гибридную инфраструктуру более дорогой. Наоборот, есть возможность получить преимущества за счет гибрида.

Гибридная инфраструктура стоимость

Экономьте на неиспользуемых ресурсах

  1. Объектного хранилища и облачных серверов Объектное хранилище и облачные серверы оплачиваются по модели pay-as-you-go: стоимость начисляется только за используемые ресурсы. Если работа ваших виртуальных машин приостановлена, учитывается только стоимость дисков. Это полезно, если нагрузка на ваши сервисы непостоянная и нет полной загрузки vCPU.

Если часть вашего приложения загружает vCPU не полностью, используйте серверы линейки Shared Line — это серверы с гарантированной долей ядра. В остальном функционируют и масштабируются как обычный облачный сервер — в любой момент можно нарастить или уменьшить ресурсы.

  1. Выделенных серверов Также можно сэкономить, разместив нетребовательные сервисы на недорогих серверах линейки Chipcore. Они подходят для хранения данных, работы с 1С, гейминга и создания тестовых окружений.

Сохраните бюджет за счет резервного копирования

Клиентам выделенных и облачных серверов доступны несколько решений для бэкапов — резервное копирование в облаке и резервное копирование агентами. Используя их, можно обезопасить клиентские и корпоративные данные от потери, а также сэкономить на аренде инфраструктуры под бэкапы.

Удержите клиентов через ускорение контента

  1. С помощью системы доставки контента (CDN) CDN — сеть кэширующих серверов. Технология ускоряет загрузку статического контента, будь то фото, видео, игровой контент и даже стриминг. Это позволяет повысить позицию сайта в поисковой выдаче, уменьшить нагрузку на основную инфраструктуру и обеспечить постоянную доступность сервисов. Все это поможет увеличить лояльность клиентов.

  2. И баз данных Redis В облачных базах данных можно использовать Redisнереляционную СУБД, которая хранит данные в оперативной памяти. Это полезно, если нужно построить систему с большим количеством динамического контента. Например, мобильное приложение для бронирования авиабилетов. Используя Redis, можно снизить отток платежеспособных клиентов, для которых важна скорость загрузки данных и отклика.

Масштабируйтесь с помощью managed-сервисов

Готовые кластеры Kubernetes позволяют запускать проекты при непредсказуемой нагрузке: услуга может автоматически регулировать число рабочих нод в зависимости от нагрузок. Это полезно, если нужно построить отказоустойчивый сервис и регулировать его стоимость.

Автомасштабирования в облачных базах данных нет. Однако сервис позволяет изменить конфигурацию нод кластера за несколько минут из панели управления.

Другие способы экономии

  1. На администрировании инфраструктуры Добавляет прозрачности при построении инфраструктуры: клиент понимает, где есть точки контроля на его стороне, а где начинается «вотчина» провайдера.

  2. На информационной безопасности Обеспечим защиту персональных данных по 152-ФЗ и хранение по 242-ФЗ. А также — бесплатную фильтрацию трафика от DDoS-атак на уровнях L3 и L4.

  3. На миграции от других провайдеров Провайдеры иногда бесплатно перевезят ваши информационные системы на свою инфраструктуру. Администраторы оценят проект, подберут решение, все настроят и перенесут. А ваши сервисы продолжат работать на серверах российского провайдера.

  4. На аренде выделенных серверов Регулярное обновление списка конфигураций. Есть готовые сборки для высоконагруженных задач — например, для работы с ML и искусственным интеллектом.

Пройдите небольшой тест для закрепления темы.

Источник