Scaleway Хостинг

В дополнение к анонсам Scaleday мы с гордостью представляем новые серверы Bare Metal Dedibox в нашей общедоступной облачной экосистеме Scaleway Elements. Они созданы для того, чтобы преобразовать ваши ИТ-архитектуры.

Начиная с сегодняшнего дня, вы можете воспользоваться высококлассным выделенным сервером от € 0,400 € без НДС / час (минимум один час). Как и в случае с нашими виртуальными экземплярами, месячный лимит применяется при 500 часах непрерывного использования.


Новое поколение Bare Metal Dedibox, отличающееся от наших первых экземпляров Care (ARM) и C2 (x86) Bare Metal. BMaaS унаследован от опыта и знаний команды Dedibox, а также от нашей общедоступной облачной экосистемы Scaleway Elements.

Аппаратное обеспечение — высокопроизводительные процессоры
На уровне аппаратного обеспечения нет никакого сравнения, потому что мы предлагаем высококлассное оборудование на базе процессоров AMD EPYC или Intel Xeon. Аппарат HP-BM1-XL оснащен двумя процессорами Gold 6140, обеспечивающими 36 ядер (72 потока) с частотой 2,30 ГГц.

www.geekbench.com/

Это означает больше вариантов для ваших точечных потребностей (например: тестирование, демонстрация или среда расчета модели данных) или для временного переполнения нагрузки на часть вашей инфраструктуры.

Аппаратное обеспечение — высокопроизводительные SSD-диски
Серверы Bare Metal Dedibox оснащены высокопроизводительными SSD-дисками и программным RAID в зависимости от модели сервера.


github.com/cxcv/iops

Сеть
Что касается уровня сети, серверы поставляются с публичным IP-адресом и пропускной способностью от 500 Мбит/с до 1 Гбит/с. Экосистема Scaleway Elements позволяет добавить балансировщик нагрузки для повышения безопасности и доступности.

Облачная экосистема
На уровне приложений и в нашей облачной экосистеме серверами Bare Metal Dedibox легко управлять через консоль Scaleway (быстро и удобно) или через API и CLI. Вскоре вы сможете управлять своими серверами, используя такие инструменты «инфраструктура как код», как Terraform или Ansible.

На сегодняшний день доступны дистрибутивы Linux Ubuntu, Debian и CentOS. Доступ к KVM через IP (удаленный доступ в IPMI) позволяет вам установить операционную систему или гипервизор по вашему выбору. Этот доступ KVM также позволяет вам контролировать компьютер в случае инцидента.

Начать сейчас
Чтобы создать сервер Bare Metal Dedibox всего за несколько минут, перейдите по ссылке;) console.scaleway.com/bmaas/baremetals/create

Если у вас есть какие-либо вопросы о ценах или технические вопросы, вы можете связаться с нами на платформе сообщества Slack slack.scaleway.com в Твиттере @scaleway или открыв заявку в службу поддержки, мы всегда рады вам помочь.

Мы отправили вам по электронной почте о правилах НДС в отношении налоговой политики России на электронных услугах.
У нас было недопонимание с финансовыми органами. НДС объявлен 16,67%, наконец, будет 20%.

Вы можете ознакомиться с этой информацией на официальном сайте Федеральной налоговой службы России.
lkioreg.nalog.ru/en/registry
Эта ставка НДС будет изменена, и применительно к своим счетам-фактурам с 1 октября 2019 года.

Приносим свои извинения за причиненные неудобства и остаются доступными, чтобы ответить на ваши вопросы.
Спасибо за доверие.
Scaleway Team

Мы рады сообщить наше лето продажи: Летние предложения доступны с сегодняшнего дня! 7 различных конфигураций серверов доступны от € 15,99 в месяц и до -60% на срок до 6 месяцев. Обратите внимание, что количество ограничено, поэтому первым пришел, первым обслужен!
www.online.net/en/dedicated-server


Попробуйте Scaleway бесплатно
Начиная с июля 1 — го, Scaleway новички получат € 500 кредит на знак до тестирования наших услуг. Этот кредит не действует на все виды продукции до августа 1 — го, 00:00 UTC. Не стесняйтесь, чтобы пригласить друзей, чтобы попробовать наши продукты!
console.scaleway.com/

ScaleDay: Спасибо Вам все

Мы были рады видеть, что многие из присутствующих на нашем первом Scaleday издании, и мы хотим поблагодарить Вас за участие. Мы надеемся, что различные меры вмешательства, лейтмотивы, конференция, семинары и многими другими, превысили ваши ожидания, и мы сдержали обещание «Время, чтобы изменить коды».
Мы были очень рады, чтобы иметь возможность отпраздновать 20-летие Интернет, демонстрируя 20 лет работы, сотрудничества, достижений и преобразований. Мы в настоящее время создает лучшие моменты веб-страницу, собирая ScaleDay, а также предварительный просмотр предстоящих событий. Мы свяжемся с Вами, как только это и работает.

Читать дальше →

Через несколько дней после наших экземпляров GPU мы выпускаем новую линейку для крупномасштабных рабочих нагрузок: экземпляры общего назначения. Оснащенные до 48 ядрами AMD EPYC, 256 ГБ памяти и реплицированным локальным хранилищем NVMe SSD, они доступны по цене от € 0,078 / час или 39 € / месяц.

Эта новая линейка оснащена высокопроизводительными процессорами AMD EPYC с большим количеством ядер. Это позволяет нам предлагать вам первоклассные экземпляры, разработанные для ваших самых высоких рабочих нагрузок и самых требовательных приложений.

Среди этих экземпляров общего назначения GP1-XL предлагает отличные спецификации: с 48 ядрами AMD EPYC, 256 ГБ памяти, 600 ГБ памяти NVMe и 2 Гбит / с пропускной способности, это самое мощное и современное предложение Scaleway.

Экземпляры общего назначения доступны в Париже (PAR1) и могут быть запущены в несколько кликов с новой консоли Scaleway. Они также будут развернуты в Амстердаме (AMS1) к апрелю.

Простое и прозрачное ценообразование
Цены на экземпляры общего назначения просты и прозрачны. Он включает в себя машину, место для хранения и IPv4:

console.scaleway.com/compute/servers/create

Создать экземпляр общего назначения
Как всегда в Scaleway, месячная ставка основана на почасовой ставке, ограниченной 500 часами. Это означает, что после 500 часов бесперебойного использования цена ресурса замораживается до фиксированной цены до конца месяца. После запуска вашего экземпляра 1 апреля в полночь UTC его цена больше не будет расти с 21 апреля в 21:00.

Предлагаемые функции
Все функции виртуальных облачных экземпляров Scaleway доступны с экземплярами общего назначения непосредственно из консоли:

• Самые распространенные дистрибутивы и приложения могут быть установлены в несколько кликов, и вы можете настроить первую загрузку с помощью cloud-init.
• Сетевые настройки ваших экземпляров можно легко изменить с помощью групп безопасности; Вы можете управлять фильтрами и применять их к одному или нескольким серверам.
• Экземпляры могут быть зарезервированы как образы для создания клонов или для восстановления предыдущей версии, если это необходимо.
• Кроме того, вы можете автоматизировать эти действия с помощью Scaleway API или инструмента командной строки scw.

Будущее x64 предложения
С запуском экземпляров общего назначения экземпляры x64 больше не могут быть созданы из консоли и скоро исчезнут из нашего API. Однако существующие серверы остаются и останутся полностью работоспособными. При следующей полной загрузке (после выключения на консоли) они будут свободно перенесены на новые гипервизоры, оснащенные AMD EPYC, без каких-либо изменений имени или функций.

Посетите новую консоль Scaleway, чтобы протестировать инстансы общего назначения, и если у вас есть какие-либо вопросы, обращайтесь к нам за помощью. Мы ответим вам как можно скорее.
console.scaleway.com/compute
console.scaleway.com/support

Wouaah that was a huge day! Thank you to all for coming to our booth DotScale!
Come scale with us careers.scaleway.com

www.scaleway.com/kubernetes/

Сегодня мы рады объявить CloudGen NVMe SSD Cloud Servers и выпуск долгожданной функции: Горячие снимки.

Эти новые серверы предлагают до 50% на увеличение производительности на основе ядра и поддерживаются быстрыми SSD-дисками NVMe.

Это новое поколение снова разработано нашими собственными электронными лабораториями, обеспечивая безумную производительность всего за 1,99 евро в месяц. SSD NVMe обеспечивают невероятные задержки с удивительным количеством IOPS.
В настоящее время новые облачные серверы запуска доступны в регионе PAR1 и будут размещены в AMS1 в ближайшие дни.



cloud.scaleway.com/#/zones/par1/servers/new
blog.online.net/2018/05/03/introducing-scaleway-nextgen-nvme-cloud-servers-with-hot-snapshots/

Уведомление о безопасности: Новая уязвимость ядра «Dirty Frag» (CVE-2026-43284)

После нашего недавнего предупреждения о «сбое копирования» была обнаружена новая, связанная с этим уязвимость ядра Linux: CVE-2026-43284, известная как «грязный фрагмент». Как и её предшественница, она позволяет осуществлять локальное повышение привилегий (LPE) и обходить контейнеры.

Что сделала компания Scaleway: Мы обновили наши образы распределенных ОС для защиты ваших новых экземпляров. Официальные патчи уже объединены для Debian и AlmaLinux, и мы развернули образы с исправлениями для Ubuntu (Focal, Jammy, Noble и Resolute).

Почему ваши действия по-прежнему необходимы для работающих экземпляров: Мы не можем автоматически развернуть меры по устранению проблем на вашей существующей рабочей инфраструктуре. Единственное доступное обходное решение отключает определенные модули ядра, что мгновенно нарушит работу IPsec VPN и AFS для клиентов, которые от них зависят.

Поэтому вам необходимо оценить собственные риски и вручную применить обновления или временные меры по устранению проблем на работающих серверах (обратите внимание, что Red Hat по-прежнему требует ручного устранения проблем, поскольку официальные патчи или обновления образов пока недоступны).

Пожалуйста, ознакомьтесь с полным текстом нашего уведомления в Центре безопасности Scaleway, где представлена ​​подробная оценка рисков, информация о состоянии обновлений и точные команды для защиты ваших серверов:

Ознакомьтесь с полным набором рекомендаций и мер по устранению угроз на сайте security.scaleway.com

Мы остаемся в вашем полном распоряжении для предоставления любой дополнительной информации или технической помощи через консоль.

Команда Scaleway

В 2013 году Scaleway стала одним из первых облачных провайдеров, предложивших экземпляры ARM на физическом оборудовании — физические серверы, доступные напрямую без виртуализации. Одиннадцать лет спустя мы повторили свой успех, запустив первое в мире выделенное серверное решение на базе архитектуры RISC-V.

Но как превратить архитектуру ISA в полностью функциональный облачный сервер? Давайте заглянем за кулисы этого новаторского проекта: от самого набора инструкций до решений в области аппаратного проектирования, которые сделали это возможным.

Возникновение архитектуры RISC-V
На протяжении десятилетий в мире процессоров доминировали архитектуры CISC (Complex Instruction Set Computing), а такие гиганты, как Intel и AMD, формировали современную вычислительную технику.

Эти архитектуры, разработанные для выполнения сложных инструкций с минимальным количеством строк кода, стали движущей силой развития ноутбуков и серверов. Однако с появлением мобильных телефонов в 2000-х годах они оказались менее подходящими, поскольку потребляли больше энергии и предлагали меньшую гибкость для новых сценариев использования.

В ответ на эти ограничения архитектуры RISC (Reduced Instruction Set Computing), впервые появившиеся в 1980-х годах, пережили мощное возрождение. Благодаря более простым инструкциям, которые процессоры могут выполнять быстрее, они позволяют разработчикам оптимизировать как энергопотребление, так и производительность.

В частности, компания ARM помогла вернуть архитектуру RISC в мейнстрим для потребительских приложений, создав более легкие и энергоэффективные процессоры, подходящие для смартфонов и подключенных устройств.

Сегодня RISC-V делает еще один шаг вперед, предлагая набор инструкций с открытым исходным кодом — машинный язык, понятный процессору. В отличие от проприетарных архитектур, таких как x86 или ARM, эта архитектура набора инструкций (ISA) является свободной и открытой для всех, не требует лицензирования и может свободно расширяться или модифицироваться.



Революция RISC-V и её влияние
Архитектура RISC-V, разработанная в 2010 году в Калифорнийском университете в Беркли, продолжает традиции более ранних RISC-архитектур.

Основной принцип — модульность набора инструкций. В то время как предыдущие поколения (RISC I–IV) были ориентированы в первую очередь на производительность, RISC-V делает акцент на гибкости. Разработчики могут добавлять расширения, чтобы адаптировать свои процессоры к конкретным задачам: векторным вычислениям, обработке данных в рамках искусственного интеллекта, шифрованию и многому другому.

Хотя такой подход позволяет разрабатывать более специализированное оборудование, он также имеет свои недостатки: каждая комбинация расширений создает новый вариант машинного языка. Другими словами, программа, скомпилированная для одной конфигурации, может не работать на другой. Эта фрагментация сейчас вызывает беспокойство у части сообщества: Линус Торвальдс, например, критикует растущее число вариантов RISC-V.

Для решения этой проблемы Фонд RISC-V представил стандартизированные профили, такие как RVA23, которые определяют общий базовый набор обязательных инструкций и расширений, которые производители должны внедрить. Эти профили обеспечивают разработчикам стабильную основу и гарантируют, что одно и то же программное обеспечение может работать на разных процессорах без перекомпиляции.

Когда мы говорим, что RISC-V — это открытый исходный код, важно различать саму архитектуру набора команд (ISA) — стандарт, который является открытым, — и её физическую реализацию, которая не всегда таковой является. В большинстве случаев внутренняя архитектура процессора и его код разработки (HDL) остаются собственностью компании. Таким образом, производители сохраняют свои коммерческие секреты и бизнес-модели, при этом соблюдая общедоступные «правила», установленные профилем.

Без этой общей базовой конфигурации системе пришлось бы либо эмулировать отсутствующие инструкции — ценой крайне низкой производительности — либо просто не иметь возможности выполнять определенные задачи, требующие специальной аппаратной поддержки, такие как виртуализация.

Таким образом, RISC-V находится на переломном этапе: необходимо найти баланс между перспективой открытой, настраиваемой архитектуры набора команд и задачей поддержания целостной и совместимой экосистемы.



Приведенная выше диаграмма дает представление о «рецепте», используемом для составления архитектуры набора команд RISC-V: каждая буква соответствует стандарту или специализированному расширению, которое делает данную архитектуру уникальной. Возьмем, к примеру, SiFive U74, используемый в отладочной плате HiFive Unmatched.

За этой архитектурой ISA скрывается «RV64GC (RV64IMAFDC)», что указывает на 64-битную архитектуру (RV64) с расширениями для умножения (M), атомарных инструкций (A), операций с плавающей запятой (F и D) и сжатых инструкций ©. Кто бы мог подумать, что выбор процессора может быть настолько сложным?

Какие трудности пришлось преодолеть компании Scaleway для запуска первого продукта на базе архитектуры RISC-V Bare Metal?
За последние несколько лет экосистема RISC-V продолжала расти и все чаще используется промышленными компаниями. RISC-V теперь поддерживается такими крупными проектами, как Android и ядро ​​Linux, и даже ожидается, что она будет использоваться в будущих миссиях NASA. RISC-V Summit, флагманское мероприятие экосистемы, теперь объединяет не только исторических основателей и сообщество открытого исходного кода, но и гигантов облачных технологий и полупроводниковой промышленности. Это сильно отличается от ранних, малоизвестных конференций.

В отделе исследований и разработок Scaleway мы предвидели этот импульс и приступили к разработке первого облачного решения на базе экземпляров RISC-V. Однако адаптация доступного на тот момент оборудования RISC-V к ограничениям облачных вычислений оказалась настоящей проблемой.

Зарождение проекта
Наша цель была ясна: запустить первое в мире решение на базе RISC-V Bare Metal. Задача? Использовать платы, не предназначенные для центров обработки данных, и превратить их в серверы, способные обеспечить работу первого облачного решения на базе RISC-V.

К счастью, у Scaleway уже была полностью налажена инфраструктура для развертывания серверов без операционной системы. Оставалось лишь интегрировать эту новую архитектуру в нашу существующую программную среду.

Вот как началось это путешествие и как компания Scaleway вносит свой вклад в революцию RISC-V.

Выбор подходящих SoC и производителей
Первым шагом была оценка того, какое оборудование действительно можно использовать. Мы начали с определения ключевых игроков, поставщиков и производителей. На тот момент выбор был ограничен, но две системы на кристалле (SoC) выделялись среди остальных:

• TH1520, разработанный компанией T-Head (полупроводниковое подразделение Alibaba Group), работает на процессоре Xuantie C910.
• JH7110, разработанный компанией StarFive Technology, работает на процессоре SiFive U74.

В целях повышения производительности мы выбрали TH1520. Наши тесты на плате VisionFive 2 показали, что TH1520 обеспечивает большую вычислительную мощность, чем SoC JH7110, что крайне важно для сценариев использования в производственных условиях.

Первая задача: запустить платы.
На момент нашего исследования не существовало материнских плат серверного типа, совместимых с загрузкой UEFI для плат RISC-V, в отличие от мира x86. Нам пришлось работать с процессом загрузки, унаследованным от встроенных систем, — что было крайне нетрадиционно для центра обработки данных.

Задача оказалась далеко не тривиальной: нам нужно было добиться полной загрузки плат в пользовательское пространство Linux. Приведенная ниже диаграмма иллюстрирует различия и сходства между процессом загрузки стандартных серверов центров обработки данных и наших машин на базе RISC-V.



Тем не менее, по мере развития экосистемы RISC-V, предложение становится все богаче. Например, Milk-V Titan поддерживает как UEFI, так и виртуализацию, но пока не доступен для коммерческой продажи. Аналогичная ситуация наблюдается и с ARM, которая поддерживает как серверные процессы загрузки (UEFI, GPT), так и более легкие процессы загрузки (ROM + U-Boot) для встраиваемых систем.

Загрузка операционной системы с образов, предоставленных производителем, относительно проста, но этого недостаточно для интеграции с облаком: в облачной среде машины также должны уметь загружаться по сети. Нам было доступно несколько вариантов — PXE, iPXE и ​​UEFI HTTP Boot — но мы быстро обнаружили, что фактически работал только PXE. На тот момент ни iPXE, ни UEFI не были портированы на эту архитектуру.

Таким образом, нам удалось загрузить минимальную систему Linux (BusyBox), а затем запустить дистрибутив Debian. Это подтвердило, что платы достаточно зрелые для использования в реальном продукте.

Мы используем два связанных между собой этапа U-Boot: первый, минимальный, зафиксированный в eMMC, который обеспечивает стабильную и неизменяемую загрузку, за которым следует заключительный этап загрузки U-Boot, который мы можем обновлять со временем. Такое разделение предотвращает любые непреднамеренные изменения на стороне клиента, при этом позволяя нам обновлять загрузчик.

В итоге, полный процесс загрузки (который клиент не может изменить) выглядит следующим образом:

• Запуск сервера
• Выполнение минимального проприетарного кода, загружающего загрузчик первого этапа.
• Выполнение загрузчика первого этапа (U-Boot SPL), отвечающего, в частности, за загрузку загрузчика второго этапа.
• Выполнение загрузчика второго этапа (U-Boot Proper) и загрузка окончательного загрузчика.
• До этого момента процесс является стандартным для встроенных систем. Однако следующая часть может быть изменена заказчиком:
• Запуск финального загрузчика (снова U-Boot Proper, но с другой конфигурацией), который загружает OpenSBI и ядро ​​Linux.
• Инициализация OpenSBI, эталонной реализации спецификации SBI для архитектуры RISC-V, выступающей в качестве уровня абстракции встроенного ПО между оборудованием и операционной системой. Она позволяет ядру взаимодействовать с оборудованием через стандартизированный интерфейс для выполнения привилегированных операций.
• запуск ядра Linux

На этом этапе мы смогли загрузить серверы RISC-V. Следующим шагом стала их интеграция в наши центры обработки данных.

Разработка аппаратного обеспечения: от прототипа до шасси для монтажа в стойку.
Чтобы понять сложность нашей интеграции, полезно вспомнить, как физически устроен центр обработки данных:

• Стойка: стандартизированный металлический шкаф, разделенный на стандартные по размеру блоки (часто высотой 52U, где 1U = 1,75 дюйма, или около 4,45 см), позволяющий размещать серверы, коммутаторы и силовое оборудование в оптимизированном пространстве с централизованным воздушным потоком и электропитанием.
• Шасси: металлический корпус, устанавливаемый в стойку, в котором непосредственно размещается оборудование (процессор, оперативная память, диски) или который позволяет вставлять съемные компоненты (накопители или даже серверы в формате блейд-серверов).
• Блейд-серверы: съемные лотки, вставляемые в корпус, позволяющие заменить сервер без остановки всего оборудования.

Мы выбрали блейд-серверы, каждый из которых содержал кластерную плату — материнскую плату, объединяющую мини-серверы в виде съемных модулей, — с 7 выделенными серверами RISC-V.



Такой подход обеспечивает высокую плотность размещения серверов. В шасси высотой 5U можно разместить 12 блейд-серверов по 7 серверов в каждом, плюс 1U для блока питания.



Проектирование лопастей и 3D-моделирование
В кластерных платах используется формат mini-ITX. Несмотря на компактность и практичность для разработки, этот формат не подходит для прямой интеграции в центры обработки данных, поскольку его нельзя установить в стандартную стойку. Для подготовки этих кластерных плат к серийному производству нам пришлось провести полную разработку механического решения. Цель заключалась в объединении следующих элементов:

• большое количество серверов на единицу высоты,
• контролируемое управление питанием,
• и эффективное воздушное охлаждение.

Для достижения этой цели мы разработали и напечатали на 3D-принтере специальные блейд-серверы, способные вмещать наши кластерные платы. Мы создали шасси высотой 5U, которое может одновременно вмещать двенадцать блейд-серверов — шесть спереди и шесть сзади. Такой подход позволяет нам интегрировать наши серверы RISC-V в стандартные стойки центров обработки данных, максимально увеличивая плотность размещения — до 84 выделенных серверов на шасси.

Энергоэффективность
Что касается энергопотребления, то кластерная плата потребляет в среднем около 55 Вт, или примерно 660 Вт на весь корпус. Для сравнения, типичный сервер Dell x86 (Dell R660) потребляет около 350 Вт на 1U, что составит 1750 Вт для 5U серверов Dell — при гораздо меньшем количестве серверов, чем мы размещаем в наших корпусах RISC-V. Конечно, вычислительная мощность процессоров x86 последнего поколения сегодня значительно выше.

Но дело не в этом. Здесь важна эффективность — соотношение между производительностью и энергопотреблением.

Эта конструкция на базе RISC-V в сочетании с компактной механической структурой и низким энергопотреблением обеспечивает превосходную плотность размещения серверов в стойке.

Все блейд-серверы на базе RISC-V были полностью напечатаны на 3D-принтере в нашем офисе в Париже, а шасси были вырезаны лазером из металлических листов. Каждый этап производства осуществлялся собственными силами, что позволило нам совершенствовать и улучшать конструкцию на каждой итерации. Выбор материалов также имел важное значение, поскольку они должны были соответствовать требованиям центров обработки данных.






Интеграция в облачную инфраструктуру
Проблемы программного обеспечения: сети, BMC и U-Boot.
После того, как аппаратная часть была настроена, интеграция этих серверов RISC-V в наше решение Elastic Metal вызвала программные проблемы, особенно на сетевом уровне. Каждый модуль необходимо было изолировать, чтобы исключить любую связь между модулями на одной и той же плате кластера.

Нам также пришлось интегрировать BMC (Board Management Controller) — систему, позволяющую удаленно управлять сервером — включать его, осуществлять мониторинг, перезагружать — независимо от операционной системы. Обычно это отдельный компонент, расположенный рядом с контролируемым оборудованием. Для наших нужд нам пришлось адаптировать OpenBMC, проект прошивки с открытым исходным кодом, первоначально продвигаемый компанией Meta, и интегрировать контроллер IPMI, адаптированный к оборудованию.

Этот протокол служит интерфейсом аварийного управления, позволяя нам контролировать электропитание сервера.

Система обеспечения ресурсами и развертывание в производственной среде
Последней проблемой стало масштабирование всех этих этапов развертывания. В дополнение к серийному производству шасси и модулей, мы создали систему обеспечения, способную обрабатывать прошивку микропрограммы, контроль качества каждого устройства, регистрацию и декларирование в производственной системе Scaleway.

Как только этот процесс был полностью налажен, серверы могли покинуть мастерскую и быть установлены в наших центрах обработки данных, превратив научно-исследовательский эксперимент в реальное облачное решение.



Выпуск предложения EM-RV1 Bare Metal
Технические характеристики EM-RV1
После интеграции первых серверов RISC-V в нашу производственную инфраструктуру, то, что начиналось как проверка концепции в научно-исследовательской лаборатории, превратилось в реальный продукт для наших клиентов. 29 февраля 2024 года мы официально запустили наше предложение RISC-V Bare Metal с моделью EM-RV1, обладающей следующими характеристиками:

Система на базе SoC T-Head 1520, включающая в себя:

• 4-ядерный процессор RISC-V с частотой 1,85 ГГц (C910)
• графический процессор, совместимый с OpenCL/Vulkan
• 4-точечный нейронный процессор для искусственного интеллекта
• 16 ГБ оперативной памяти LPDDR4
• 128 ГБ памяти eMMC
• Сетевое соединение со скоростью 100 Мбит/с
• Стандартные образы ОС для облачных сред: Debian, Ubuntu и Alpine.

Доступно на консоли Scaleway:

• Изделие: Эластичный металл
• Зона: Париж 2
• Вкладка: Лаборатории

Оглядываясь назад: успехи и улучшения
Успех был мгновенным, и серверы быстро распродались, что вынудило нас запустить в производство большее количество.

Но на этом мы не остановились. Мы продолжили расширять предложение, добавив Fedora, Kosmos и даже Android 12 благодаря команде Damo Academy — подразделению Alibaba, специализирующемуся на процессорах RISC-V, которое внесло значительный вклад в разработку SoC на базе RISC-V. Для самых смелых мы даже сделали доступной последовательную консоль серверов — и вместе с ней доступ к загрузчику — что позволило устанавливать самые экзотические операционные системы.

Ищете вызов? Почему бы не попробовать установить Arch Linux прямо из последовательной консоли?

А поскольку мы любим делать все как следует, мы также добавили такие функции, как гибкие IP-адреса и частные сети, предоставляя клиентам еще больше возможностей для настройки конфигурации с полным контролем над своей сетью и IP-адресами.

Уязвимость «GhostWrite» в микросхемах C910 RISC-V
Но инновации редко обходятся без препятствий. Исследователи из Центра информационной безопасности им. Гельмгольца при CISPA обратили наше внимание на уязвимость под названием « GhostWrite » в микросхемах C910 RISC-V, развернутых в нашем облаке.

Эта уязвимость позволяла злоумышленникам без привилегий выполнять произвольные операции записи в память с помощью инструкции, vse1024.vявляющейся частью векторного расширения (V), что потенциально могло привести к повышению привилегий до уровня Ring 0.

Однако важно отметить, что данная инструкция не является частью официальной версии проекта расширения векторной графики RVV 0.7.1, используемой в настоящее время на наших серверах. Эта версия представляет собой промежуточный стандарт, несовместимый с финальной версией RVV 1.0. Поскольку RVV 0.7.1 практически не используется в производственной среде, отключение этого расширения векторной графики не оказывает существенного влияния на производительность сервера.

В ответ на это мы отключили расширение V vector по умолчанию на наших серверах посредством обновления ядра, еще до того, как информация об уязвимости стала достоянием общественности. Инструкции по повторному включению расширения доступны в нашей документации.

Что можно делать на практике с сервером на базе RISC-V?
Всё то, что вы делали бы на традиционной архитектуре. На момент запуска нашего продукта чуть более 96% пакетов Linux (Debian, Fedora, Ubuntu) были совместимы с RISC-V; сегодня этот показатель составляет около 98%. Поэтому веб-серверы, базы данных, кластеры Kubernetes — всё работает.

Компиляторы, такие как GCC и LLVM, продолжают развиваться и совершенствоваться для RISC-V, и хотя поддержка образов Docker всё ещё находится в стадии разработки, уже сейчас возможно создавать и тестировать программное обеспечение на разных архитектурах с помощью многоархитектурных конвейеров CI/CD. Вкратце, RISC-V предоставляет вам возможность развертывать, тестировать и внедрять инновации в рамках быстро развивающейся открытой экосистемы.

Почему, несмотря на свои преимущества, архитектура RISC-V до сих пор не получила широкого распространения?
Несмотря на свои преимущества, RISC-V остается молодой технологией по сравнению с x86 и ARM, которые прочно утвердились на рынке на протяжении десятилетий. Ее внедрение по-прежнему сталкивается с двумя основными препятствиями:

• Риск фрагментации: как объяснено выше, это главная проблема. Если стандарт слишком гибкий, программное обеспечение может стать несовместимым с различными процессорами.
• Зрелость экосистемы: оборудование существует, но программное обеспечение еще должно соответствовать современным требованиям. Миграция критически важных приложений занимает время и требует значительных инвестиций для устранения пробелов в оптимизации. Чтобы помочь разделить эти затраты на разработку, крупные игроки, включая Google, Samsung и Nvidia, объединили усилия в проекте RISE (RISC-V Software Ecosystem).

Будущее RISC-V в Scaleway
Выпуск первого решения на базе RISC-V Bare Metal был лишь началом.
Экосистема стремительно развивается, появляются высокопроизводительные серверы, такие как Sophgo SRA3-40, Ubuntu обеспечивает встроенную поддержку стандарта RVA23, а также создаются рабочие группы, например, Data Center SIG в рамках RISC-V International.

В мае 2024 года компания Scaleway присоединилась к фонду RISC-V, подтвердив свою приверженность этой архитектуре и намерение продолжать разработку и предоставление инновационных услуг на основе RISC-V. Мы также регулярно выступаем на крупных мероприятиях, таких как RISC-V Summit.

Началась эра RISC-V в центрах обработки данных, и мы гордимся тем, что принимаем в ней полноценное участие.

Это информационное уведомление относительно уязвимости CVE-2026-31431, известной как «Copy Fail». Она представляет собой одну из наиболее распространенных уязвимостей ядра Linux за последние годы, потенциально влияющую на глобальную экосистему Linux. Об этой уязвимости было сообщено 29 апреля 2026 года.

Наша команда безопасности подтвердила это в день публикации и немедленно начала необходимые расследования.

Эта уязвимость, расположенная в криптографической подсистеме ядра (через интерфейс AF_ALG), позволяет осуществить локальное повышение привилегий (LPE). На стандартном сервере она позволяет стандартному пользователю стать root (администратором). В контейнеризированной среде (например, Docker или Kubernetes) она позволяет контейнеру получить контроль над хост-узлом.

Поскольку безопасность вашей инфраструктуры является нашим приоритетом, ниже приведена подробная информация о влиянии этой уязвимости на ваши сервисы Scaleway и рекомендации по ее устранению.

Действия, предпринятые Scaleway
После обнаружения этой уязвимости наши команды приняли необходимые меры для обеспечения безопасности среды и предоставления чистых образов:

В Kubernetes Kapsule: Развернуты новые образы ОС, отключающие модуль algif_aead: Любой новый узел, созданный после 30 апреля 2026 г., 14:20 CEST, будет автоматически использовать версию с исправлением. (Вы можете проверить дату выпуска используемой версии в поле OS-IMAGE, возвращаемом командой kubectl get node -o wide).

Оценка риска: Многопользовательская среда против изолированной среды
Срочность применения исправлений сильно зависит от ваших моделей использования и архитектуры ваших сервисов:

Многопользовательская / Общая среда (высокая степень серьезности): Если ваши машины или кластеры Kapsule размещают приложения от разных клиентов, предоставляют доступ к командной оболочке нескольким пользователям или выполняют непроверенный сторонний код, эта уязвимость является критической. Злоумышленник с ограниченным доступом (стандартный пользователь или доступ к поду) может использовать эту уязвимость для получения полного контроля над сервером (доступ root) и компрометации данных других арендаторов в системе.

Однопользовательская/изолированная среда (умеренная степень опасности): Если ваши серверы или кластеры предназначены исключительно для вашего собственного использования и запускают только доверенные приложения, код которых вы контролируете (без возможности локального доступа или произвольного выполнения третьими лицами), риск значительно ниже. Для использования уязвимости действительно требуется предварительное локальное выполнение кода.

Необходимые действия и временные меры
Постоянное решение — обновить ядро ​​вашей системы, как только станет доступна версия, включающая патч. Мы рекомендуем регулярно проверять наличие патча для вашей конкретной ОС.

Меры по смягчению последствий (временное решение):
Если немедленная перезагрузка или обновление невозможны, вы можете применить временные меры по смягчению последствий непосредственно на затронутых узлах и серверах, чтобы заблокировать уязвимый интерфейс. Выполните следующие команды с правами администратора (root или sudo):

# Create a rule to prevent their automatic reloading

echo "install algif_aead /bin/false" > /etc/modprobe.d/disable-algif.conf



# Unload the vulnerable module from memory

rmmod algif_aead 2>/dev/null || true

For servers based on RedHat / CentOS / AlmaLinux / RockyLinux:

# Create a rule to prevent the module from loading automatically on boot

grubby --update-kernel=ALL --args=initcall_blacklist=algif_aead_init



# Completely reboot the system to apply the modification

For Kubernetes Kapsule, this operation must be performed on the worker nodes, for example via SSH access or by deploying a privileged DaemonSet:

apiVersion: apps/v1

kind: DaemonSet

metadata:

  name: disable-algif-aead

  namespace: kube-system

  labels:

    app: disable-algif-aead

spec:

  selector:

    matchLabels:

      app: disable-algif-aead

  template:

    metadata:

      labels:

        app: disable-algif-aead

    spec:

      hostPID: true

      tolerations:

        - operator: Exists

          effect: NoSchedule

        - operator: Exists

          effect: NoExecute

      initContainers:

        - name: disable-algif-aead

          image: alpine:3.23

          securityContext:

            privileged: true

          command:

            - /bin/sh

            - -c

            - |

              echo "install algif_aead /bin/false" > /etc/modprobe.d/disable-algif-aead.conf

              rmmod algif_aead 2>/dev/null || true

          volumeMounts:

            - name: modprobe-d

              mountPath: /etc/modprobe.d

      containers:

        - name: pause

          image: registry.k8s.io/pause:3.10

          resources:

            limits:

              cpu: 1m

              memory: 8Mi

      volumes:

        - name: modprobe-d

          hostPath:

            path: /etc/modprobe.d

Откат: Команды повторной активации
Отключение af_alg не влияет на подавляющее большинство стандартных приложений. Однако, если некоторым вашим сервисам требуется криптографическое ускорение, предоставляемое этой подсистемой (и вы наблюдаете сбои), вы можете отменить это решение в любое время с помощью следующих команд:
# Удаление блокирующего файла

sudo rm /etc/modprobe.d/disable-algif.conf

# Ручная перезагрузка модуля в ядро

sudo modprobe algif_aead

Мы остаемся в полном распоряжении для предоставления любой дополнительной информации или технической помощи через консоль.

Команда Scaleway.