Astracloud.ru

Подкаст про людей, технологии, нейросети и новости ИТ. В гостях: облачники, создатели ИИ, коучи, технари, маркетологи и эксперты по ИТ- ИБ-технологиям разных бизнесов.

В этом выпуске:

• Почему ИИ не заменит джунов-разработчиков
• Сможет ли GPT создавать новые знания, а не перерабатывать старые
• Как нейросети помогают в металлургии и почему начали «лениться»
• Рекомендация выпуска: фильм The Great Hack, история о великой манипуляции в интернете (Cambridge Analytics)

Ведущий — Виктор Коноплев, занимается развитием вендорского облака в России
Гость — Константин Михайлов, директор по ИТ РАНХиГС

vk.com/video-233754923_456239021
rutube.ru/video/432f329e3937029b61d41976cf2fe136/

14 ноября в лофте MONTBLANC HALL прошла первая закрытая облачная конференция Cloud Jazz. Мероприятие посвящено развитию промышленных облаков, прикладных корпоративных систем и безопасной инфраструктуре.

Cloud Jazz стал площадкой, где без формальностей обсуждали задачи продуктов в разрезе потребностей реальных клиентов. Команда Astra Cloud поделилась опытом построения вендорского облака и экономикой решения. Участники поднимали вопросы устойчивости SDS под нагрузкой, защиты сервисов, управления сетями через SDN и роли аппаратной платформы YADRO в надёжности облака.

Гости – клиенты и партнёры Astra Cloud (входит в «Группу Астра»). Формат вечера – живая музыка, неформальное общение и прямой диалог с продуктовыми командами. Генеральный партнёр события – YADRO.

Не только теория, но и практика. Помимо докладов и открытого микрофона, была возможность заняться практикой на демо-стендах. Гости своими руками тестировали «живые» продукты: платформа Astra Cloud, SDS TROK, платформа контейнеризации «Боцман».

Cloud Jazz станет ежегодным закрытым облачным мероприятием.
Следующая встреча – осенью 2026 года.

«Группа Астра» запустила программно-аппаратный комплекс XPlatform. Он представляет из себя готовый к эксплуатации комплект софта и «железа» и ориентирован на типовые корпоративные сценарии: создание частного облака, резервного копирование, развертывание ИИ-решений, работа с высоконагруженными БД.

Платформа построена на едином стеке технологий «Группы Астра». Нет скрытых издержек на интеграцию и отладку, ответственность за оборудование и за ПО несет один вендор.

Заказчики сразу получают гарантию совместимости всех компонентов и контролируемые параметры производительности. Компоненты внесены в реестры Минцифры, Минпромторга и имеют необходимые сертификаты регуляторов.

На выставке форума «Цифровые решения», посвященной отечественным ИТ-продуктам, Михаил Мишустин высоко оценил ПАК XPlatform.

«Вы практически гарантируете через облачное решение такую суверенную технологию для всех разработчиков, которая позволит практически избежать мошенничества или каких-то взломов» – отметил Михаил Мишустин.

ХPlatform состоит из нескольких компонентов:

• ПАК XCloud — построен на платформе Astra Cloud. Позволяет развернуть защищенное частное облако, управлять ИТ-ресурсами из единого интерфейса и гибко масштабировать инфраструктуру под растущие нагрузки.
• XTime — хранит резервные копии и данные, применяя прогрессивные алгоритмы дедупликации и сжатия на уровне хранилища, в то время как резервное копирование выполняет специализированное ПО.
• XConnect — обеспечивает доставку приложений, балансирует трафик, распределяет запросы между серверами и гарантирует устойчивость пользовательских сервисов.
• XGenAI – платформа для создания и развертывания классических и генеративных ИИ-моделей, включая обработку естественного языка, предиктивную аналитику и компьютерное зрение в локальных контурах.
• Tantor XData — машина данных обеспечивает доступность и балансировку нагрузки для критически важных корпоративных БД.

Решения XPlatform эффективны при создании инфраструктуры с нуля и при поэтапной модернизации существующих систем с минимальными рисками в ходе миграции.

astra.ru/software-services/hs-complex/xplatform/

Спрос на частные облака в России растет, и в ответ на это в 2024 году «Группа Астра» выпустила платформу Astra Cloud. Несмотря на относительно недавний запуск, ее уже успели оценить клиенты из госсектора и облачные провайдеры. О возможностях продукта и планах на будущее рассказывает генеральный директор Astra Cloud (входит в «Группу Астра») Денис Мухин — специально для TAdviser.

Растущий тренд на частные облака
Российский рынок облачных услуг демонстрирует устойчивый рост, при этом особенно заметно увеличивается спрос на частные облака — по оценкам аналитиков, до 30% в год. Этот тренд обусловлен двумя ключевыми факторами: потребностью бизнеса в цифровой трансформации и ужесточением регуляторных ИБ-требований, включая защиту персональных данных, банковской тайны и объектов КИИ.

Частные облака позволяют организациям не только соответствовать этим требованиям, но и обеспечивать полный контроль над данными за счет изолированной инфраструктуры.

В отличие от публичных облаков, где аттестация ИБ часто сопряжена со сложностями, частные облака позволяют гибко настраивать среду под любые стандарты защиты.

Кроме преимуществ в сфере безопасности, подобные решения помогают оптимизировать множество ИТ-операций: ускоряют развертывание сервисов, исключают дублирование функций и повышают прозрачность затрат на ИТ-инфраструктуру.

Платформа Astra Cloud: передовые возможности для создания частных облаков
Платформа Astra Cloud специально разработана для создания защищенных частных облаков с возможностью предоставления услуг IaaS и PaaS. Решение позволяет централизованно управлять ИТ-инфраструктурой на всех уровнях: от физических ресурсов до облачных сервисов, развертывать защищенную облачную среду и размещать ее либо в корпоративном контуре организации, либо на площадках доверенных партнеров.


Платформа поддерживает работу как с аппаратными хранилищами, так и с конвергентными и гиперконвергентными инфраструктурами, включая программно-определяемые системы хранения данных (SDS). Это позволяет максимально эффективно использовать имеющиеся у заказчика ресурсы и снизить совокупную стоимость владения.

Платформа Astra Cloud создана на основе сертифицированной ОС Astra Linux Special Edition со встроенными замкнутой программной средой и мандатным контролем целостности.

Код компонентов платформы создается в соответствии с требованиями действующего законодательства к разработке безопасного ПО (ГОСТ Р 56939-2024), и в том числе благодаря этому платформа надежно защищает данные, обладает высоким уровнем отказоустойчивости и удобна в управлении.

В платформу заложены возможности для рационального использования вычислительных ресурсов, их гибкого масштабирования и распределения в зависимости от нагрузки.

Также доступно развертывание виртуальных сервисов для высокопроизводительных вычислений на основе vGPU. Поддержка Nvidia vGPU актуальна ввиду того, что многие клиенты используют видеокарты Nvidia для VDI, систем CAD и машинного обучения.

Это очень востребованная сейчас технология, и ее поддержка — одно из частых требований заказчиков.

Кроме того, платформа Astra Cloud обеспечивает повышение эффективности использования физических ресурсов благодаря оптимальному распределению нагрузки и снижает риски отказов инфраструктуры за счет встроенных механизмов отказоустойчивости. Это особенно важно в условиях постоянного роста цен на аппаратное обеспечение и его ограниченной доступности.

Еще одно важное преимущество – встроенный портал самообслуживания, автоматизирующий процессы заказа, предоставления ИТ-услуг, а также контроль и администрирование инфраструктуры. Платформа поддерживает управление не только частными облаками на базе гипервизора KVM, но и инфраструктурами VMware и OpenStack. Платформа поставляется в виде единого лицензированного продукта, что позволяет клиентам сократить время на ее развертывание и снизить операционную нагрузку на ИТ-персонал. С июля 2024 года решение присутствует в реестре Минцифры.


Кому подходит платформа Astra Cloud
Платформа представляет наибольший интерес для организаций с повышенными требованиями к информационной безопасности. В их числе:

• Средний, крупный бизнес и компании, у которых уже есть частное облако. Платформа Astra Cloud позволяет консолидировать вычислительные мощности, организовать предоставление услуг, в том числе в защищенном режиме, а также заменить импортные или Open Source-аналоги.
• Облачные провайдеры. Им платформа дает возможность предлагать своим клиентам защищенные сервисы с повышенным уровнем безопасности и проходить аттестацию, согласно требованиям регулятора. Кроме того, платформа обеспечивает технологически и коммерчески гибкую интеграцию с существующей инфраструктурой.
• ФОИВы, РОИВы и предприятия с госучастием. Платформа помогает выполнить требования регулятора для аттестации. Также с ее помощью можно создавать, эксплуатировать и оказывать услуги на базе ФГИС и ГИС.

Первые пилотные проекты и коммерческие заказчики появились сразу после запуска продукта в 2024 году. На текущий период пользователи есть во всех перечисленных категориях: часть клиентов активно применяет решение, другие находятся на этапе закупки.

Сценарии применения
Платформа Astra Cloud оптимально подходит для развертывания в дата-центре заказчика. Она идеальна для процессов виртуализации и консолидации ИТ-инфраструктуры, обеспечивает гибкость решений, линейную масштабируемость, встроенные механизмы безопасности и экономически эффективное управление ресурсами.


Также платформу можно задействовать для тарификации и биллинга вычислительных ресурсов с возможностью выставлять счета. Это позволит равномерно использовать ИТ-мощности, свести к минимуму риск чрезмерного расхода средств на обслуживание оборудования и поддерживать стабильную работу инфраструктуры частного облака.



Платформа Astra Cloud как основа защищенной облачной инфраструктуры
Построение частного защищенного облака — комплексная задача, которая всегда сопряжена с рядом вызовов. Значительную их часть помогает решить платформа Astra Cloud. Чтобы получить желаемый результат, важно правильно выполнить все шаги: подобрать аппаратное обеспечение, сетевое оборудование и системы хранения данных, на которых будет развернута облачная инфраструктура. При проектировании инфраструктуры важно убедиться в совместимости всех компонентов друг с другом и провести их проверку по программе Ready for Astra. Также поставка платформы осуществляется в формате ПАКов, в котором производитель гарантирует правильную работу оборудования и совместимость ПО.

Чтобы в полной мере обеспечить информационную безопасность и затем успешно пройти аттестацию, необходимо использовать сертифицированные средства защиты информации российского производства, прошедшие тестирование по программе Ready for Astra. Платформа уже интегрирована с решениями ведущих отечественных вендоров, подробности о которых доступны на официальном сайте «Группы Астра». astra.ru/ready-for-astra/compatible-software/

Завершающим этапом является прохождение процедуры аттестации, для чего после приобретения СЗИ и выполнения пусконаладочных работ необходимо привлечь аккредитованную ФСТЭК России стороннюю организацию.

Преимущества платформы Astra Cloud
Самое главное, что дает платформа российскому бизнесу:

• Безопасность: платформа использует уникальные запатентованные и сертифицированные средства защиты информации (СЗИ) на базе решений Astra Linux.
• Модульность: обеспечивает гибкую настройку платформы и seamless-интеграцию с существующей инфраструктурой.
• Простота развертывания: инсталлятор позволяет быстро развернуть все компоненты платформы.
• Отказоустойчивость: автоматическое перераспределение нагрузки при выходе узлов из строя.
• Учет ресурсов: встроенный функционал для точного биллинга и тарификации.
• Мониторинг: комплексные инструменты для контроля состояния и производительности всех компонентов.
• Сертификация: возможность построения облачных решений для КИИ с полным соответствием требованиям регулятора.
• Масштабируемость: динамическое наращивание вычислительных ресурсов по мере необходимости.

Все компоненты платформы разработаны в России. Что касается средств защиты информации (СЗИ), критически важных для большинства заказчиков, они встроены в Astra Linux и обеспечивают защиту не только операционной системы, но и других элементов платформы. Наличие этих механизмов – один из ключевых факторов, обеспечивающих лидирующие позиции «Группы Астра» в своем сегменте рынка.

Отличительные особенности
В отличие от других решений с пересекающимся функционалом, платформа Astra Cloud обладает принципиальным отличием: все компоненты платформы разработаны «Группой Астра» с акцентом на безопасность. Базовые компоненты решения сертифицированы ФСТЭК России по 2-му уровню доверия, что превышает стандартные требования рынка для аналогичного программного обеспечения.

Большая часть конкурентов строит среды для классической виртуализации на базе Open Source-компонентов, однако у нас подход другой: мы изначально делаем именно облачную платформу, а в ней уже поддерживается мультитенантность, то есть ею могут пользоваться разные заказчики, и их данные изолированы на уровне самой платформы.

Лицензирование и варианты поставки
Сейчас продукт поставляется в двух редакциях: «Базовой» (Base) и «Стандартной» (Standart). Первая включает минимально необходимый набор компонентов, позволяющий использовать его основные возможности и в дальнейшем расширить функционал, добавив необходимые инструменты из «Стандартной» редакции или собственные разработки.

Компоненты «Базовой» редакции — это ОС Astra Linux Special Edition и несколько подсистем:

• виртуализация облачных ресурсов;
• служба каталога и контроллер домена;
• средства резервного копирования;
• портал самообслуживания, тарификации и учета;
• сбор событий, журналов и метрик для мониторинга.

«Стандартный» вариант включает все компоненты из «Базовой» редакции и дополнительно средства автоматизации задач управления.

Заказать платформу можно в трех вариантах. Первый — это программный продукт, который инсталлируется на оборудование клиента, а Группа Астра обеспечивает техподдержку. Второй — программно-аппаратный комплекс поставляется как ПАК, и производитель предоставляет, помимо лицензий и услуг поддержки, еще и «железо». Третий вариант — поставка в публичном облаке Astra Cloud. В этом случае платформа приобретается по подписке, и за сопровождение отвечает команда Astra Cloud.



bill.astracloud.ru/billmgr

Основное требование к оборудованию, на котором платформа будет развернута, — чтобы оно было сертифицировано в рамках программы Ready for Astra.
astra.ru/ready-for-astra/compatible-hardware/

Развитие платформы
Наша команда продолжает активно развивать платформу Astra Cloud и основные усилия будут направлены на расширение функциональных возможностей и повышение удобства использования. Ключевыми приоритетами станут развитие сервисной экосистемы, автоматизация процессов и обеспечение масштабируемости решения.

В ближайших планах — интеграция новых PaaS-сервисов, включая СУБД и инструменты контейнеризации, что значительно увеличит круг задач, решаемых на базе платформы Astra Cloud. Параллельно ведется развитие программно-определяемого хранилища данных (SDS) и сетей (SDN) для обеспечения гибкого управления ресурсами частного облака. Особое внимание уделяется внедрению модуля управления API (APIM). Также запланированы существенные улучшения графического инсталлятора, в том числе добавление функций массового развертывания узлов, что позволит ускорить внедрение платформы и снизить операционную нагрузку на ИТ-подразделения заказчиков.

Платформа Astra Cloud — это полноценный инструмент цифровой трансформации, который сочетает в себе безопасность, удобство, гибкость и соответствие требованиям российского законодательства. Благодаря глубокому уровню интеграции компонентов и проработанной архитектуре, она уже сегодня удовлетворяет ключевые потребности организаций из самых разных отраслей: от госструктур до облачных провайдеров.
astracloud.ru/private-cloud

Представьте, что все данные вашей компании были утеряны. Больше нельзя посмотреть информацию о клиентах, проверить историю операций, восстановить доступ к стратегически важным документам. В такой ситуации может оказаться любой бизнес, который хранит данные в едином месте.

Лучший способ предотвратить цифровую катастрофу — регулярно выполнять резервное копирование данных. Рассказываем в деталях, что это такое, как делать бэкапы и какие их виды существуют.

Что такое бэкапы и зачем их делать
Резервное копирование данных, или бэкап — это создание цифровой копии на отдельном носителе в защищенном архиве. Вы можете копировать любую информацию — как отдельный документ, так и целые базы данных.

Восстановить данные из бэкапа можно в любой момент. Технологии помогает сохранить всю важную информацию на случай сбоев или взломов, однако важно регулярно проводить резервное копирование, особенно если данные постоянно обновляются.

Сегодня существуют облачные сервисы, которые создают бэкапы автоматически с небольшим контролем со стороны администратора. Для управления достаточно администратора — он будет отслеживать процесс и создавать экстренные копии вручную, если это потребуется.

Виды бэкапа
Форматы бэкапов бывают двух типов — локальные и облачные. В первом случае вы копируете данные на физический носитель, во втором — храните в облаке. Также существуют разные виды резервного копирования данных, на которых остановимся подробнее.

Полное копирование данных
При создании полного бэкапа вы копируете весь необходимый массив данных. Это довольно простой и понятный способ, однако его минус в том, что вам нужно место для хранения большого количества данных, и чем это количество больше, тем больше времени вам потребуется тратить на всю процедуру создания бэкапа. Полное резервное копирование – это простой и понятный способ, однако есть другие, которые занимают намного меньше времени и требуют меньшего объема памяти.


Дифференциальный бэкап
Дифференциальный бэкап выполняется следующим образом: сначала вы копируете всю базу данных, а затем — те изменения, которые произошли в ней в течение определенного периода времени. Как это может выглядеть на практике:

• Первый день. Создаете полный бэкап.
• Второй день. Добавляете изменения за прошедшие сутки.
• Третий день. Снова добавляете копии новых данных, но уже за первый и второй день.
• Четвертый день. Делаете бэкап данных за первый, второй и третий день.
• Пятый день. Снова создаете полный бэкап данных.

Такой цикл «снежного кома» повторяется регулярно. Варьировать периодичность вы можете сами. В итоге дифференциальный способ позволяет быстрее копировать данные, чем при полном бэкапе. Тем не менее, с каждым новым бэкапом объем необходимой памяти будет расти.


Инкрементальный бэкап
Принцип инкрементального бэкапа похож на дифференциальный: вы создаете полную копию данных, а затем добавляете изменения. Однако если при дифференциальном бэкапе нужно поэтапно копировать информацию за весь период, прошедший с момента полного копирования базы данных, то при инкрементальном процесс строится иначе. Вы копируете только ту информацию, которая была изменена после создания последней копии, например:

• Первый день. Делаете полный бэкап.
• Второй день. Создаете копию изменений за прошедший день.
• Третий день. Копируете измененные данные еще за одни сутки.
• Четвертый день. Снова копируете только ту информацию, которая претерпела изменения за последние сутки.
• Пятый день. Делаете полный бэкап.

Преимущества инкрементального бэкапа в том, что для его выполнения нужны меньшие объемы памяти. Однако минус метода заключается в сложном процессе восстановления данных.


Зеркальный бэкап
Зеркальный метод похож на полное копирование данных. Вы каждый раз создаете бэкап всей информации, однако отличие заключается в принципе хранения: данные будут находиться не в одном архиве, а в разных папках — как на основном носителе — и без сжатия. Зеркальный бэкап требует огромных объемов памяти, но очень прост в восстановлении данных.

Синтетическое резервное копирование
Синтетический способ сочетает в себе методы полного и инкрементального бэкапа. Вам необходимо для начала сделать полную копию, а затем добавлять в нее только обновленные данные — инкременты. Как итог, вы получаете актуальный полный бэкап, который становится отправной точкой для нового цикла резервного копирования. Такой способ хорош тем, что не требует больших резервов для хранения, однако нагрузка на сервер резервного копирования остается высокой.

Стратегии резервного копирования
Раз в день делать копии данных на физический носитель — это лучше, чем не делать бэкапы вообще, однако такой подход ненадежен. Носитель может быть утерян или поврежден, а данные — утрачены безвозвратно.

Поэтому лучше придерживаться одной из стратегий резервного копирования данных, которая поможет вам сохранить информацию даже в случае масштабных форс-мажоров:

• Стратегия 3-2-1. Согласно этой стратегии, информация должна существовать в трех экземплярах: исходные данные и две копии. Хранят ее на двух разных носителях: например, на физическом сервере в компании и в облаке. Важно, чтобы одна из копий всегда находилась вне серверов компании.
• Стратегия 3-2-1-0. То же самое, что и предыдущая стратегия, но с одним изменением — каждую копию проверяют на наличие ошибок и следят за тем, чтобы информация в бэкапах всегда была полной и доступной.
• Стратегия 3-2-1-1-0. Эта стратегия предполагает, что копий должно быть три, причем одну из них обязательно нужно хранить на физическом носителе. Также становится сложнее сам процесс обращения с бэкапами — данные не просто копируют, но и регулярно проводят тестирование восстановления, чтобы в случае возникновения экстренных ситуаций быстро и без ошибок извлечь информацию из копий.

Самая популярная стратегия — 3-2-1. Она проще в применении, требует меньших ресурсов, но при этом обеспечивает надежную защиту. Главное — выбрать для хранения данных надежный и проверенный облачный сервис.

В Astra Cloud можно использовать частное облако по подписке для хранения облачных бэкапов. Это позволит вам создать защищенную среду для ваших данных и при этом пользоваться преимуществами подписочной модели: быстрый запуск, экономия на оборудовании, простое масштабирование. Узнайте больше о частном облаке и оставьте заявку на бесплатную консультацию.
astracloud.ru/private-cloud

Заключение
Резервное копирование данных — процесс, который необходим любой компании: от государственных структур до небольших стартапов. Если не делать бэкапы, даже случайный сбой может привести к утрате критически важной информации и остановке работы.

Важно придерживаться одной из стратегий, при которых вы создаете сразу несколько копий и храните их в разных местах — в облаке и на физическом носителе. Копии ваших данных будут находиться вне контура компании, поэтому они не пострадают в случае взлома или поломки. Вы сможете в любой момент восстановить базы данных и минимизировать риски.

Выбор облачной инфраструктуры для размещения конфиденциальных данных или для объектов критической информационной инфраструктуре (КИИ) — это сложный выбор, который не терпит компромиссов между гибкостью, стоимостью и безопасностью. Публичное облако предлагает мгновенную масштабируемость и, казалось бы, низкую стоимость входа, но насколько оно совместимо с жесткими требованиями регуляторов?


В этой статье Алексей Боровиков, архитектор в Astra Cloud (входит в «Группу Астра») сделал краткий сравнительный разбор публичного облака и облака off-premise с точки зрения безопасности и выполнения требований регуляторов.

Разберемся с терминами, чтобы говорить на одном языке
Для начала давайте расставим все точки над i с терминами, чтобы избежать дальнейшей путаницы.

• Публичное облако — это облачная инфраструктура, предназначенная для свободного использования множеством независимых клиентов. Все ресурсы (серверы, хранилища, сети) принадлежат провайдеру и физически находятся в его дата-центрах (или арендованных им площадках).
• Частное облако — это инфраструктура, предназначенная для эксклюзивного использования одной организацией. Чаще всего, когда говорят о частном облаке, имеют ввиду формат on-premise, однако это не единственный возможный вариант существования изолированного облака. Для того, чтобы отличать частное облако on-premise (то есть облако на собственном оборудовании на собственной территории компании) от частного облака на арендованном оборудовании, размещенном на территории провайдера, мы в Astra Cloud ввели понятие off-premise.
• Облако off-premise — это частное облако, размещенное у провайдера, управляемое им или совместно с клиентом, на полностью арендованном оборудовании. Именно это решение и будет предметом нашего дальнейшего сравнения с публичным облаком.

Требования безопасности: что нужно для размещения защищенных ИС?
Облако – это гибкий инструмент для быстрого размещения проектов и простого масштабирования ресурсов. Однако не стоит забывать, что компаниям, в зависимости от требований регуляторов, необходимо решать ряд задач информационной безопасности. Например, обеспечивать безопасность персональных данных, предвосхищать утечки, осуществлять антиDDoS и другие.

Так, требования ФСТЭК к размещению информационных систем (ИС) с различными классами защищенности на одном гипервизоре включают в себя следующие аспекты:

• Гипервизор должен обеспечивать управление потоками данных между виртуальными машинами (ВМ) и ИС на канальном и сетевых уровнях для изоляции ВМ с разными уровнями защиты.
• Для каждой ВМ должны быть реализованы функции доверенной загрузки, контроля целостности конфигураций, аутентификации и управления доступом на основе ролевой модели.
• Должно быть выполнено сегментирование сетей для обеспечения разделения информационных потоков и данных для пользователей с различными требованиями к защите.
• Для ГИС и КИИ требуется использование сертифицированных ФСТЭК средств виртуализации.

Исходя из этого, под сертификацию попадает практически все: операционная система, гипервизор, СУБД, сетевое оборудование, средства защиты информации, включая средства криптографической защиты, и так далее. Насколько облака справляются со всем этим?

Публичное облако: проблемы и полумеры
Несмотря на то, что многие ведущие провайдеры публичных облаков имеют необходимые аттестаты и сертификаты, размещать в них защищенные ИС проблематично по двум основным причинам:

• Доступ через интернет. Все взаимодействие с инфраструктурой по умолчанию происходит через публичную сеть.
• «Нежелательное соседство». Вы не можете контролировать, кто еще и какие виртуальные машины размещает на том же физическом сервере и хранилище, на котором находится ваша система.

Технически эти проблемы можно частично решить следующими способами:

• Проблему доступа решает организация выделенного канала (Direct Connect) из облака в защищенную сеть компании. Правда, это требует аренды канала связи, а также покупки или аренды сертифицированного сетевого оборудования.
• Проблему «соседства» можно смягчить с помощью заказа выделенных гипервизоров, изоляцию сетей и хранилища данных. Однако это дорогое решение, за которое придется платить постоянно, даже при неполной загрузке мощностей. Кроме того, не все облачные провайдеры могут технически обеспечить такой подход.

В итоге при публичной модели управление облаком по-прежнему остается в руках провайдера; заказчик управляет только собственной виртуальной инфраструктурой и ИС. Что касается решения по изоляции – это всего лишь «заплатки» на мультитенантной модели, которые значительно увеличивают итоговую стоимость аренды облака.

Off-premise облако: готовое безопасное решение
Частное облако off-premise изначально проектируется под конкретного заказчика и его требования к уровню безопасности, что снимает ключевые риски публичного облака. Что в результате получает компания:

• Нет «нежелательных соседей». Все ресурсы физически и логически изолированы для единственного клиента.
• Используется сертифицированный стек. Провайдер сразу предлагает инфраструктуру на необходимом сертифицированном ПО и оборудовании.
• Проводится аттестация. При необходимости можно провести аттестацию инсталляции под класс защиты заказчика.
• Выбор формата управления. Заказчик может полностью взять на себя управление частным облаком или разделить его с провайдером.
• Оборудование не покупается, а арендуется, что существенно снижает CAPEX.
• Гибкая оплата. Заказчик платит за фактически используемые ресурсы в рамках выделенного пула.

Краткий вывод
Выбор между публичным и off-premise облаком для защищенных ИС — это выбор между попыткой адаптировать общую среду под свои строгие требования и получением готовой, изолированной и соответствующей этим требованиям среды.

Off-premise облако — это решение, которое позволяет получить все преимущества облачной модели (масштабируемость, арендная модель оплаты, отсутствие затрат на поддержку «железа») без компромиссов в безопасности. Оно обеспечивает монопольное использование предсказуемой и сертифицированной инфраструктуры, что делает его идеальным выбором для государственных организаций, финансового сектора и объектов КИИ.

Автор: Алексей Боровиков, архитектор в Astra Cloud (входит в «Группу Астра»)

Удаленная работа выгодна и для работодателя, и для сотрудников. Для первого это — оптимизация расходов на офис, для вторых — возможность больше не тратить время на дорогу и простаивание в пробках.

Однако несмотря на комфортные условия, дистанционные сотрудники тоже сталкиваются с серьезной проблемой — выгоранием. Так, в 2020 году почти 70% удаленных специалистов Кремниевой долины жаловались на выгорание. Удаленка может стирать границы между работой и обычной жизнью, вызывать хроническую усталость и стрессы. В этой статье расскажем, как работодателю распознать признаки выгорания сотрудников, как организовать работу на удаленке и что делать, чтобы сохранить продуктивность команды.

Почему выгорают удаленные сотрудники
Может показаться, что удаленка создает идеальные условия для работы: не нужно ездить в офис, можно устроиться в компанию из другого города или страны, легко совмещать с путешествиями. Но подводных камней у дистанционной занятости много:

• Оторванность от коллектива. Особенно остро ее ощущают сотрудники, которые работают в смешанных командах, где кто-то остался в офисе, а кто-то полностью перешел на дистанционную занятость. Со временем на удаленке у таких сотрудников может расти чувство одиночества и социальной изоляции.
• Неподходящие условия дома. Шумные дети, ремонт, маленькое помещение, нестабильный интернет — все это только усиливает стресс и мешает сконцентрироваться на рабочих задачах. Выход — возвращаться в офис или ходить работать в ближайший коворкинг.
• Размытые границы между работой и обычной жизнью. Сотрудник может на одном и том же диване спать, обедать, работать и смотреть сериалы. А еще — часто заниматься задачами вне рабочего времени, поскольку не уложился в дедлайны или его попросили поработать другие сотрудники.
• Удаленные сотрудники также сталкиваются с теми проблемами, которые хорошо знакомы офисным коллективам — сложные отношения с руководством, отсутствие прозрачности, низкая мотивация.

Итог — быстрое выгорание и хроническая усталость.

Признаки цифровой усталости
Выгорание можно спутать с ленью и нежеланием выполнять рабочие обязанности. Но у него есть характерные признаки:

• Снижение продуктивности у работника, который раньше отлично справлялся с задачами;
• потеря интереса к жизни, у сотрудника больше нет хобби;
• проблемы со здоровьем, частые больничные;
• сотрудник регулярно доделывает работу по вечерам, в отпуске, в выходные;
• у работника исчезает мотивация к карьерному росту.

Выгорание сопровождают частые стрессы, постоянное ощущение усталости. Такое состояние вредит как рабочим процессам, так и здоровью сотрудников. Но выгорания можно избежать, если принять профилактические меры.

Методы борьбы с выгоранием
Методы борьбы с выгоранием можно разделить на две категории. Первые — те, которые может предложить работодатель. Вторые — которые сотрудники могут применять самостоятельно в качестве усиления эффекта от первых.

Методы для работодателей
Прозрачные условия труда
Как в удаленных, так и в обычных офисных коллективах сотрудники выгорают быстрее, если в работе нет прозрачности и честности. Задача работодателя — создать условия, в которых у команды не будет ощущения неопределенности. Для этого нужно, чтобы:

• В компании существовала логичная и понятная система мотивации;
• роли в команде были четко распределены, каждый сотрудник понимал, чем он занимается;
• соблюдались все требования ТК РФ, включая доплату за переработки.

Важна и эмоциональная поддержка сотрудников. Если специалист хорошо выполняет работу, необходимо отмечать его успехи. Это помогает сотруднику почувствовать, что он важен компании.

Организация виртуального рабочего пространства
Чтобы команда была продуктивной, нужна грамотная организация удаленных рабочих мест. Важно разделять домашний компьютер и рабочий. Для этого необязательно приобретать отдельную технику — достаточно воспользоваться системой виртуализации рабочих мест, или VDI.

VDI — технология, которая позволяет получать доступ к рабочему столу с любого устройства. Все данные хранятся на сервере в дата-центре, поэтому они защищены от утечек. Это безопасно для компании и удобно для сотрудников — рабочий стол не соединен с личным, не нужно хранить гигабайты рабочих данных на своем компьютере, а подключение занимает пару минут.

Termidesk – это российская система виртуализации рабочих мест от «Группы Астра». Сервис включен в Реестр российского ПО Минцифры, подходит крупному бизнесу и государственным структурам. Решение имеет повышенную защиту, поддерживает более 10 операционных систем, а управлять системой может всего один администратор. astracloud.ru/desktop

Встречи с сотрудниками и сбор обратной связи
Одна из причин выгорания — неуверенность в работе, ощущение, что труд не ценят. Поэтому руководителю важно проводить регулярные встречи тет-а-тет с каждым работником, собирать обратную связь, отмечать достижения и сильные стороны сотрудника. Достаточно проводить созвон по видео 1-2 раза в месяц, чтобы сотрудник чувствовал внимание к себе, а руководитель — своевременно замечал первые симптомы выгорания.

Гибридный график
На полной удалеке у сотрудников исчезает ощущение причастности к коллективу, появляется чувство изоляции, часто — страдает коммуникация между коллегами. Это может снижать продуктивность как отдельного специалиста, так и всей команды.

Решением проблемы может стать гибридный график — например, два дня в офисе, три — из дома. Если же возможности ввести гибрид нет, можно использовать другие методы для сплочения коллектива: регулярные планерки, мозговые штурмы, онлайн-собрания, один-два раза в год — живые встречи в неформальной обстановке. Такие встречи помогут сотрудникам почувствовать, что они – не инструменты для выполнения определенных задач, а живые люди и классные специалисты.

Методы для сотрудников
Эргономика рабочего места
Необходимо организовать не только виртуальное пространство, но и физическое. На удаленке этим придется заняться самому сотруднику.

Идеальный вариант — выделить в доме помещение под кабинет. Если такой возможности нет, достаточно обустроить небольшой уголок: поставить письменный стол, приобрести удобное кресло, обеспечить хорошее освещение. Важно, чтобы во время работы не отвлекали посторонние звуки — например, голоса детей или лай собаки.

Практики digital-детокса
Профилактикой выгорания могут стать регулярные практики digital-детокса. А именно:

• Физическая активность во время рабочих перерывов — например, зарядка или короткая прогулка;
• day off — дополнительные оплачиваемые выходные вне отпуска, которые можно взять, если появились признаки выгорания;
• полный цифровой детокс во время отпуска и в выходные — минимальное взаимодействие с гаджетами, отдых на свежем воздухе;
• использование методов тайм-менеджмента для борьбы с прокрастинацией и грамотного распределения рабочего времени.

Важно как можно меньше времени уделять бессмысленной трате времени в сети. Просмотр видео, листание маркетплейсов, чтение ленты в соцсетях — все это стимулирует мозговую деятельность и не дает отдохнуть после работы.

Гибкий график vs фиксированный рабочий день
У дистанционных сотрудников может быть как стандартный фиксированный рабочий день, так и гибкий график. Когда команда начинает работу в одно время, это удобно для работодателя — проще организовать онлайн-встречи, все находятся на связи одновременно. Но для сотрудников фиксированный рабочий день может стать одной из причин выгорания.

Дистанционные работники часто живут в разных часовых поясах. Когда у руководителя 9 утра, у них может быть раннее утро. Также люди отличаются биологическими ритмами — одни продуктивнее в первой половине суток, другие — во второй. Гибкий график учитывает это и дает возможность начинать рабочий день в удобное время. Разумеется, гибкий график возможен не для всех сотрудников ввиду специфики конкретной работы; однако можно задуматься о его внедрении там, где это возможно – хотя бы в рамках эксперимента.

Вести контроль удаленных сотрудников можно при любом графике с помощью трекеров времени или VDI-систем. Вы всегда будете знать, когда человек приступил к работе и завершил смену. А вашим сотрудникам не придется подстраиваться под неудобный график и бороться с усталостью из-за недосыпания — и это станет хорошей профилактикой выгорания.

VDI-система Termidesk дает возможность управлять пользовательскими сессиями. Через удобное окно управления администратор сможет контролировать удаленную работу сотрудников и быстро реагировать на подозрительные действия. А еще в Termidesk можно настраивать уровни доступа — вы сможете определять, какие данные доступны пользователям, а какие – будут для них закрыты.

astracloud.ru/desktop

Облачный провайдер «Астра Облако» (входит в «Группу Астра») и российский производитель микроэлектроники «Байкал Электроникс» объявляют о запуске сервиса аренды выделенных серверов на базе процессора Baikal-S. Предложение ориентировано на предприятия КИИ, госорганизации и других корпоративных заказчиков, которым важно отладить и адаптировать свой софт под отечественную архитектуру и построить надежную и безопасную инфраструктуру для решения критически важных задач.

Арендная модель позволяет использовать ресурсы, полностью закрепленные за клиентами. Это обеспечивает предсказуемую производительность приложений, высокий уровень защиты данных и свободу в настройке систем под индивидуальные требования. Можно развертывать частные облака, создавать отказоустойчивые кластеры и работать с информацией, требующей особого контроля. При этом капитальные затраты на покупку и обслуживание оборудования не нужны, и в то же время для заказчиков сохраняются все преимущества выделенных серверов.

Использование серверов на базе Baikal-S дает и другие важные преференции. Прежде всего, это технологическая независимость от зарубежных платформ, а еще эти процессоры соответствуют требованиям, предъявляемым к объектам критической информационной инфраструктуры, и позволяют строить стабильные экосистемы для тестирования и эксплуатации локального ПО. Наконец, чипы от «Байкал Электроникс» благодаря своей производительности и надежности подходят для компаний из самых требовательных сегментов рынка.
Серверы размещены в московском дата-центре, соответствующем наивысшему уровню безопасности TIER IV, что гарантирует круглосуточную доступность и максимальную отказоустойчивость инфраструктуры.

Запуск аренды выделенных серверов на процессорах Baikal-S — это важный шаг в развитии отечественной ИТ-сферы. Мы даем бизнесу и государственным структурам доступ к надежной, предсказуемой и безопасной платформе для построения частных облаков и работы с критичными нагрузками

отметил Антон Шмаков, технический директор «Группы Астра

Мы рады, что процессоры Baikal-S становятся основой для коммерческих облачных решений уровня enterprise. Это подтверждает готовность российской микроэлектроники к использованию в самых требовательных сегментах рынка

подчеркнул Артём Огурцов, коммерческий директор «Байкал Электроникс

astracloud.ru/baikal

Корпоративное облако — удобное и доступное место для хранения файлов. Сотрудники могут получать доступ к нужным документам из любой точки мира, а компании не нужны собственные дата-центры и дорогое оборудование.

Но если в организации большое количество данных, поиск необходимого файла может превратиться в блуждание по цифровым лабиринтам. Рассказываем, как избежать хаоса в облачном хранилище, как организовать в нем логичную структуру и как сделать облако удобным для всех в команде.

Логичная структура папок и файлов
Одна из причин цифрового хаоса — отсутствие структуры в облачном хранилище данных. Сотрудники создают папки с понятными только для них самих названиями и добавляют туда файлы из разных категорий. Они привыкают к такой системе и легко ориентируются в хранилище. Но когда прежние работники уходят, новым специалистам приходится тратить много времени, чтобы найти документы.

Задача руководителей — внедрить логичную структуру хранения. Она может отличаться в зависимости от компании, но в ее основе должна быть иерархия из трех-четырех уровней.

Например, вам нужно добавить файл с результатами A/B-теста нового продукта. Вот так может выглядеть структура:

Продуктовое направление → Тестирование новых продуктов → А/B-тесты → 2025 год

Помните, что иерархия не должна быть слишком длинной — если в ней более пяти уровней, может вновь возникнуть путаница.

Единые правила именования файлов
Если в компании следуют единым правилам именования в облаке для хранения файлов, находить нужные документы будет проще. Скорее всего, вы намного быстрее отыщете таблицу с названием «Отчет_по_РК_Директ_ апрель_2024_Иванов», чем «Отчет реклама».

Основные принципы грамотного именования файлов следующие:

• Название отражает суть документа;
• название максимально полное, его легко найти по ключевым словам в поиске облака;
• в названии нет ошибок, опечаток, посторонних символов;
• при необходимости — указаны даты и ответственные лица.

Борьба с дублированием и файловыми свалками
Еще одна причина хаоса в корпоративном облаке — дублирование файлов. Сотрудники несколько раз сохраняют один и тот же документ в разные папки, тем самым создавая копии. Это засоряет облачное пространство и занимает лишнюю память.

Из-за постоянного дублирования и отсутствия организации хранения файлов возникают свалки документов. Их можно сравнить со шкафом, в котором хранится сразу все: от инвентаря для дачи до старых квитанций, детских игрушек и зимних курток. Например, необходимый отчет может находиться среди дизайн-макетов, таблиц отдела продаж и текстовых документов. Найти нужный файл в таком хаосе очень сложно, при этом во время поиска приходится отвлекаться на посторонние документы.

Выход — внедрить правила обращения с облаком, провести инструктаж для сотрудников и назначить ответственного, который будет следить за хранилищем.

Настройка прав доступа для сотрудников и защита данных
Навести порядок в облаке поможет и создание разных уровней доступа. Например, рядовые сотрудники смогут пользоваться только теми папками, которые необходимы им для работы. Дизайнер не сможет просмотреть файлы IT-отдела, маркетолог — открыть документы для топ-менеджмента.

Ограничение прав доступа также необходимо для защиты чувствительных данных, таких как финансовая отчетность или персональная информация о сотрудниках. Настроить уровни доступа легко — так, в Astra Disk можно установить пароль или ограничить срок действия ссылки, по которой открывается файл.

В Astra Disk также можно создать группы пользователей с разными возможностями доступа, настроить автоматическую блокировку аккаунтов бывших сотрудников, ввести аутентификацию через локальные учетные записи. Это помогает максимально защитить данные от утечек и взломов.
astracloud.ru/disk

Чек-лист для проверки порядка в облаке
Проверьте по этому чек-листу, есть ли порядок в вашем корпоративном облаке:

• Файлы размещены в папках со строгой структурой.
• Названия документов понятные, оформлены по единым правилам.
• Найти любой документ в облаке можно за пару минут по ключевым словам.
• Отсутствуют дубли: один документ — один файл.
• Настроены уровни доступа, сотрудники пользуются только теми файлами, которые нужны им в работе.

А если вы пока еще не подключили корпоративное облако, попробуйте Astra Disk для хранения файлов — безопасное российское решение, которое подходит для импортозамещения иностранного ПО и работы с большими объемами данных.

Привет, меня зовут Кирилл и я архитектор облачной платформы Astra Cloud. Это первая статья из цикла, в которой я расскажу о предпосылках появления собственной облачной платформы в продуктовом портфеле «Группы Астра».

Почему мы начали делать своё облако в 2022 году
Весна 2022 года стала переломным моментом для российской ИТ‑отрасли: уход западных вендоров ограничил продажи оборудования и ПО, доступ к публичным облакам, SLA, обновления и техподдержку. Многие российские компании оказались отрезаны от критически важных цифровых сервисов буквально за считанные дни.

Стало очевидно: нельзя полагаться на инфраструктуру, неподконтрольную ни технически, ни юридически. Поддержка через «альтернативные каналы» (третьи страны и оффшорные юрлица) не обеспечивает стабильности, юридической чистоты и соответствия требованиям регуляторов.

Эти условия стали основой для создания Astra Cloud — отечественной, готовой к использованию в критически важных сегментах ИТ‑инфраструктуры облачной платформы.

Облачные услуги в России в 2022: сегментация и ориентиры
Прежде чем начинать что‑то делать — и уж тем более создавать свою облачную платформу — неплохо было понять, что уже есть на рынке, а также какие достоинства и недостатки есть у наиболее популярных решений.

Проведённый нами анализ показал, что отечественный рынок облачных решений в 2022 году можно было условно разделить на две основные группы:

• Облачные сервисы (IaaS) — часто основаны на устаревших технологиях, с трудом масштабируются и не предоставляют должного уровня изоляции и возможности доработки.
• Системы виртуализации — ориентированы на администрирование виртуальных машин, но не решают задачи учёта использования ресурсов, мультитенантности — то есть изоляции ресурсов и настроек между независимыми группами пользователей (арендаторами) в рамках одной инсталляции, автоматизации или самообслуживания.

Нельзя сказать, что отечественный рынок не предлагал и зрелых решений, но, как показали опросы заказчиков, этим решениям не хватало тех или иных функций, которые позволили бы их использовать в защищённых решениях.

Мы видели растущий спрос на комплексную платформу, способную не просто запускать ВМ, но и предоставлять полноценный облачный сервис с API, ролями доступа, учётом потребления и возможностью гибкой с различными сетевыми технологиями и партнёрскими решениями. Мы не стремились конкурировать со стандартными решениями для простого хостинга BM, а сосредоточились на построении облака по тем критериям, которые выдвигали наши заказчики.

Важно отметить, что ожидания заказчиков различались кардинально. Кто‑то требовал максимальной изоляции и соблюдения нормативов, другим нужна была простота, автоматизация, REST API, биллинг. Третьи ставили акцент на удобство администрирования или интеграцию с внешними IDM‑системами.

Были и довольно экзотические запросы, такие как использование ОС реального времени, возможность гео‑тегирования дисков и наличие графического инсталлятора для всех компонентов облака в режиме «далее‑далее‑далее».

Эта разнородность требований (ФТ, НФТ, SLA, мультитенантность, производительность, политики безопасности и так далее) требовала от платформы гибкости архитектуры и возможности интеграции со сторонними решениями. Забегая вперёд, отметим, что абсолютно все запросы заказчиков мы не смогли выполнить по ряду причин. Но об этом чуть позже.

Анализ популярных технологий: OpenStack, oVirt
Перед нами стоял сложный выбор технологического ядра облачной платформы, и мы честно рассмотрели все популярные решения. Мы не были привязаны к какому‑либо вендору или архитектуре, что давало свободу анализа и возможность взвешенного выбора. На первом этапе основное внимание было уделено двум решениям — OpenStack и oVirt, как довольно распространённым в корпоративных средах и ЦОД.

OpenStack: неплохо, но очень дорого.
OpenStack — это мощная и чрезвычайно гибкая экосистема, ориентированная на построение облаков в масштабе дата‑центра. Её основное достоинство — модульность: можно собирать нужный функционал из десятков компонентов (Nova, Neutron, Glance, Keystone, Cinder, Horizon и других). Это позволяет реализовать сложные сценарии, включая федеративную аутентификацию, программно‑определяемые сети, интеграцию с системами распределённого хранения (например, Ceph) и другими подсистемами.

Однако на практике модульность OpenStack — это и её главный недостаток. Развёртывание требует скоординированной настройки десятков сервисов, каждое обновление несёт в себе риски несовместимости. Для поддержки OpenStack необходима отдельная DevOps‑команда с компетенциями по Kubernetes, Ansible, Ceph, и множеству других технологий. Его эксплуатация может оказаться чрезмерно ресурсоёмкой даже для крупных организаций, если нет готовности инвестировать в процессы сопровождения, а ИТ‑команды решают другие, более актуальные задачи. По сути, OpenStack — это не «установил и работает», а долгосрочный инженерный проект, как на этапе разработки облачной платформы, так и на этапах внедрения и сопровождения.

Ещё один важный аспект — совместимость с российским стеком программного обеспечения и требованиями регулятора. OpenStack развивается в парадигме глобального облачного рынка не учитывая ограничений, присущих защищённым или изолированным инфраструктурам в российских реалиях.

В российской практике это оборачивается рядом трудностей: отсутствие официальной поддержки отечественных ОС, несовместимость с сертифицированными модулями криптографической защиты, необходимость доработки интеграций со средствами криптографической защиты информации (СКЗИ), государственными информационными системами (ГИС) и прочими элементами, значимыми для защищённых сред.
В частности, компоненты OpenStack, работающие с аутентификацией и хранилищами (Keystone, Cinder, Swift), требуют значительной адаптации под отечественные требования и могут вести себя нестабильно в условиях ограниченного доступа к внешним репозиториям.

Для большинства частных облаков в России OpenStack слишком сложен и затратен. Его внедрение требует больших ресурсов, увеличивает сроки запуска и зависит от высококвалифицированной команды. И, как следствие, OpenStack оказывается не самым оптимальным выбором для проектов, где на первом плане стоят предсказуемость сопровождения и устойчивость к внешним ограничениям.

oVirt: зрелая, но инертная технология
oVirt (основанная на Red Hat Virtualization) — это решение с относительно простой архитектурой. Оно исторически развивалось как GUI‑ориентированная система управления виртуальными машинами, построенная вокруг QEMU/KVM и VDSM ‑отдельного демона‑агента, который отвечает за управление виртуальными машинами, сетями и хранилищами на каждом гипервизоре. Преимущество oVirt — в быстром развёртывании и достаточно стабильной работе на малых и средних масштабах.

Однако у oVirt есть серьёзные ограничения. Архитектура платформы не рассчитана на построение мультиарендных облаков. Отсутствует полноценная поддержка мультитенантности, нет встроенных механизмов биллинга, а сценарии самообслуживания требуют отдельной доработки. Кроме того, развитие проекта в последние годы замедлилось, и его перспектива остаётся туманной. После прекращения развития Red Hat Virtualization и слияния ряда компонент с oVirt, сообщество стало меньше, а частота релизов — ниже.

В экосистеме oVirt нет нативной поддержки множества популярных российских сертифицированных решений. Это означает, что при использовании oVirt в проектах с требованиями по регуляторному соответствию (ФСТЭК, ФСБ) заказчику придётся самостоятельно адаптировать компоненты, проводить дополнительные проверки, а также решать вопросы совместимости на уровне ядра и пользовательского пространства. В отличие от решений, включённых в реестр ЕРПОС и прошедших процедуру сертификации, oVirt не обеспечивает «из коробки» соответствие требованиям защищённых ИТ‑сред и нормативных актов РФ.

Также отсутствует развитый API и гибкая система шаблонов, что делает платформу мало пригодной для построения облака как сервиса. Несмотря на ряд положительных качеств (простота, зрелость, стабильность), мы сочли oVirt неподходящим для реализации современных требований к изоляции, автоматизации и управляемости.

Итак, в 2022 году перед нами стоял открытый выбор технологического ядра, и мы, рассмотрев популярные решения, пришли к следующему выводу:

• OpenStack — мощная платформа, но чрезвычайно сложная в установке, конфигурации и сопровождении. Её архитектура перегружена микросервисами, а эксплуатация требует команды с высоким уровнем DevOps‑компетенций. Для частного облака с ограниченными ресурсами это часто становится неподъёмной нагрузкой. Кроме того, OpenStack требует особых подходов к совместимости с отечественным ПО и ОС.
• oVirt + QEMU — решение более простое, но явно устаревшее. Развитие идёт медленно, документации немного. Поддержка мультитенантности в современном понимании в системе отсутствует. Кроме того, экосистема oVirt плохо масштабируется и практически не имеет встроенных механизмов биллинга или автоматизации. Сложно интегрировать в CI/CD или управлять через REST API.

OpenNebula и ПК СВ «Брест»


Мы уже были готовы пойти по самому сложному пути — использованию в качестве ядра облачной платформы OpenStack. Проработали сценарии развёртывания, разработали верхнеуровневаую архитектуру и даже провели тесты, но с каждым днём нам становилось всё более очевидно, что использование OpenStack приведёт к значительным накладным расходам, высокой зависимости от DevOps‑команды и другим потенциальным проблемам. Именно в этот момент мы обратили внимание на OpenNebula — платформа, которая с самого начала создавалась как лёгкое облачное решение с минимальным порогом вхождения.

В её основе лежат проверенные временем компоненты: libvirt, KVM, REST API и XML‑RPC. Как показала практика, она довольно легко интегрируется с различными сетевыми решениями и СХД, предоставляет встроенные механизмы оркестрации и имеет простой, но функциональный пользовательский интерфейс. OpenNebula поддерживает мультитенантность, биллинг (увы, зачастую недостаточный, но об этом чуть позже), управление через Web‑интерфейс и API, шаблоны развёртывания и резервное копирование — всё это делает её если и не готовой облачной платформой, то уж точно её возможной основой.

Особым преимуществом стало наличие сертифицированной редакции OpenNebula в сборке ПК СВ «Брест», которая не только основана на оригинальной OpenNebula, но и существенно доработана для интеграции со средствами защиты информации (СЗИ), встроенными в Astra Linux. В частности, в неё включены механизмы взаимодействия с мандатным разграничением доступа (МРД) и контролем целостности (МКЦ), что делает её пригодной для эксплуатации в средах с повышенными требованиями к безопасности.

Это решение уже использовалось как система виртуализации у наших заказчиков. Мы понимали, что на этой базе можно построить полноценное частное облако — быстро, надёжно и с возможностью интеграции всех необходимых компонентов.

Почему ПК СВ «Брест» как есть — недостаточно
Несмотря на свои плюсы, ПК СВ «Брест» — это, по сути, платформа виртуализации «на стероидах». Чтобы стать полноценным облаком, ей не хватало ряда критически важных функций, необходимых не только администраторам, но и обычным пользователям. Среди них:

• Полноценный и удобный портал самообслуживания, позволяющий пользователю без участия ИТ‑службы запускать, останавливать, клонировать и настраивать свои виртуальные машины.
• Встроенный каталог шаблонов и приложений, содержащий типовые решения, востребованные российскими заказчиками (например, СУБД, СЭД, VPN).
• Интеграция со службой каталогов пользователей, обеспечивающая единую точку входа и авторизацию через корпоративные учётные записи.
• Встроенная система резервного копирования, позволяющая защищать пользовательские данные и выполнять восстановление по запросу.
• Централизованная система тарификации, выставления счетов и отчётности, обеспечивающая прозрачный учёт потреблённых ресурсов и справедливое распределение затрат между подразделениями.
• Единый инсталлятор, ускоряющий развёртывание платформы.
• И, что особенно важно по обратной связи от заказчиков, — поддержка всех компонентов облака в режиме «одного окна», включая техническую поддержку, обновления, документацию и сопровождение.

Почему мы выбрали OpenNebula (ПК СВ «Брест»)
Итак, ПК СВ «Брест» стала для нас логичным выбором. Она соответствовала сразу нескольким ключевым критериям:

• Совместимость с Astra Linux и сертифицированное исполнение.
• Использование проверенных технологий (libvirt, KVM).
• Простая и надёжная архитектура.
• Поддержка HA‑кластера через RAFT.
• Возможность интеграции с ALD Pro (служба каталогов), API BILLmanager (единый портал для пользователей и биллинг), а также СРК RuBackup.
• Возможность предоставления «единого окна» технической поддержки.
• Регистрация в ЕРПОС и соответствие требованиям импортозамещения.
• Мультитенантность — изоляции ресурсов и настроек между независимыми группами пользователей (арендаторами) в рамках одной инсталляции.

Мультитенантность заслуживает особого внимания: для защищённых ИТ‑систем и крупных холдингов принципиально важно строгое разграничение ресурсов, учёт потребления по подразделениям и юридическим лицам, ведение журналов действий и возможность выставления счетов. Без этого невозможно построить ни безопасное облако, ни управляемую инфраструктуру для нескольких арендаторов.

Программный и программно‑аппаратный подходы
Чтобы учесть специфику разных заказчиков, мы предусмотрели две модели поставки:

• Программный комплекс (ПК) — единый и неделимый набор компонентов, составляющих облачную платформу, инсталлятор, позволяющий установить все компоненты ОП Astra Cloud в air‑gapped режиме (без доступа в Internet) и документация. Этот вариант идеально подходит для компаний с собственной ИТ инфраструктурой.
• Программно‑аппаратный комплекс (ПАК) — это полностью собранное и преднастроенное решение, включающее стойки, серверы, сетевое оборудование, системы хранения данных и весь набор программного обеспечения, идентичный используемому в программном комплексе. Более того, в состав ПАК входит дополнительный компонент — DCImanager: платформа для централизованного управления физической мультивендорной ИТ‑инфраструктурой. Она особенно полезна в дата‑центрах, серверных комнатах и организациях с распределённой или локальной инфраструктурой, позволяя автоматизировать учёт, мониторинг и управление оборудованием.Заказчик получает готовую к работе платформу, которая разворачивается за считанные часы.

Оба варианта основаны на одном программном стеке и предоставляют одинаковый уровень безопасности и надёжности. Отличия — только в удобстве запуска, автоматизации и инфраструктурных компонентах.

Итоговый набор компонентов. От минимума, до продуктивного решения
После серии пилотных проектов, функционального тестирования и анализа эксплуатационных характеристик различных решений, мы сформировали стабильный и сбалансированный состав компонентов, который лёг в основу архитектуры платформы Astra Cloud. Этот набор был подобран с учётом совместимости, надёжности, соответствия нормативным требованиям и обратной связи от пилотных заказчиков.


Базовые компоненты платформы Astra Cloud:

• Операционная Система Специального Назначения Astra Linux SE — сертифицированная ОС, обеспечивающая соответствие требованиям ФСТЭК и ФСБ, включающая встроенные СЗИ (МРД, МКЦ).
• Программный комплекс средств виртуализации «Брест» — доработанная сборка OpenNebula, адаптированная для работы с Astra Linux и защищёнными инфраструктурами.
• Программный комплекс для централизованного администрирования и службы каталогов ALD Pro — реализация FreeIPA с поддержкой Kerberos, LDAP и RBAC.
• Система резервного копирования RuBackup — решение для централизованного управления резервными копиями виртуальных машин, поддерживающее хранение в распределённых хранилищах, репликацию между ЦОДами и восстановление по расписанию или по запросу. Обеспечивает надёжность и отказоустойчивость как в локальных, так и в мульти‑ЦОД инфраструктурах.
• ПО для мониторинга компонентов платформы Astra Monitoring — сбор метрик, алерты, дашборды и контроль доступности.
• ПО для биллинга и автоматизации предоставления ресурсов BILLmanager — тарификация, учёт, выставление счетов, API для интеграции с «1С Бухгалетрия», а также полноценный портал самообслуживания, через который пользователи получают доступ ко всем функциям платформы из единой консоли.
• ПО «Магазин приложений» — интерфейс и система шаблонов для добавления собственных сервисов и предустановленных решений (VPN, базы данных, VDI).
• ПО «Справочный центр» — интегрированная документация и навигация по архитектуре и операциям в платформе.

Этот состав компонентов может быть дополнен или адаптирован под конкретные требования проекта. При необходимости реализуются интеграции с системами управления доступом (IDM, Identity Management), системами управления событиями информационной безопасности (SIEM, Security Information and Event Management), средствами криптографической защиты информации (СКЗИ).

Также поддерживается взаимодействие с системами управления конфигурациями и активами (CMDB, Configuration Management Database) и другими корпоративными ИТ‑системами.

В этой статье мы рассмотрели историю возникновения и предпосылки создания облачной платформы, подробно остановились на выборе архитектурного ядра, а также рассмотрели альтернативные решения, от которых пришлось отказаться.

В следующих частях мы разберём архитектуру платформы, её внутренние компоненты и принципы взаимодействия, поговорим про безопасность, и масштабируемость платформы.

astracloud.ru