Рейтинг
0.00

Selectel дата-центры

17 читателей, 531 топик

Расширенная защита от DDoS



Любая DDoS-атака ведет к потере легитимного трафика, иными словами — пользователей, поэтому зачастую используется недобросовестными конкурентами. От DDoS-атак часто страдают в том числе интернет-магазины, онлайн-игры и системы электронных платежей.

В 2015 году Selectel запустил услугу Защита от DDoS, успешно справляющуюся с основными типами атак, в том числе с L2-атаками.

Каждый сервер может принадлежать независимому заказчику. Мы не знаем, какие ip-адреса он себе поставит, какую конфигурацию и профиль трафика выберет. В одной серверной стойке могут находиться до 40 различных проектов, каждый из которых может быть подвержен DDoS, который может прилететь в любой момент. На практике мы отбиваем 12-20 атак в день. Если из строя выходит сервер, то это очень огорчительно и надо поправить моментально, поэтому важно резервирование всех каналов связи (подробнее).



Пример L2
Рассмотрим пример амплификации DNS-атаки.


Алгоритм поражения жертвы заключается в том, что атакующий посылает сигнал ботам на начало цикла запросов к DNS. Все зомби-компьютеры начинают выполнять запросы каждый к своему DNS-серверу с поддельным обратным IP-адресом, который указывает на компьютер жертвы.

В результате пакет с IP-адресом должен быть доставлен клиенту ботнета, но в действительности его «усиленный» вариант будет отправлен на заранее указанный IP-адрес жертвы.

Пример L3
Классический пример L3-атаки— в 2008 году Пакистан из-за собственной ошибки перехватывал префиксы у YouTube посредством BGP Hijacking, то есть значительная часть трафика этого видеохостинга перенаправлялась в Пакистан.

К сожалению, автоматически с подобной напастью бороться невозможно. Предварительно нужно определить, что данная проблема (кража префикса) вообще возникла. Далее нужна продвинутая аналитика сетевой инфраструктуры, потому что признаком Hijacking служит, в общем случае, только то, что, начиная с какого-то момента, анонсы данной сети в интернете пошли «нетипичные». То есть для своевременного обнаружения необходимо иметь, как минимум, историю анонсов.

Если у вас своей автономной системы (AS) нет, то можно считать, что борьба с атаками на этом уровне более-менее является долгом вашего дата-центра или провайдера.

Немного истории
Самые известные DDoS-атаки в истории.

Технический прогресс идет семимильными шагами и популярность набирают сложно-организованные атаки (уровня приложений, HTTPS) атаки, как и было спрогнозировано в Лаборатории Касперского еще в конце 2016 года.

В качестве примера можно привести смешанную (SYN + TCP Connect + HTTP-flood + UDP flood) атаку на «Национальную электронную площадку». Для отражения подобной атаки необходимо применять современные и сложные механизмы защиты.

Отчеты за 2 квартал 2017 года с подробными графиками можно посмотреть тут.

Услуги по защите от DDoS
С развитием IT-технологий и на фоне снижения стоимости вычислительных ресурсов базовой защиты уже недостаточно, так как фокус DDoS-атак смещается от простых к сложноорганизованным.


Мы также расширили наши услуги по профессиональной защите серверов и приложений от DDoS‑атак любой мощности:
  • Базовая защита — для очистки трафика предоставляются защищенные IP-адреса (один входит в базовый тариф, а дополнительные адреса можно заказать в панели управления) и выделяем специальный канал, в котором весь нелегитимный трафик отбрасывается. Подробнее об очистке трафика можно прочитать в нашей базе знаний.
  • Расширенная защита — защита от L7-атак осуществляется путём проксирования запросов к клиентским приложениям через комплекс фильтрации, на базе которого осуществляется анализ и очистка трафика на уровне протоколов приложений: HTTP, DNS, SIP, игровые протоколов и так далее. Подробнее о расширенной защите вы можете прочитать в нашей базе знаний.
  • Балансировщик нагрузки — в состав комплекса фильтрации входят инструменты не только для защиты от атак, но также для балансировки нагрузки и обеспечения отказоустойчивости. Подробнее о работе можете прочитать в нашей базе знаний.

Преимущества защиты, предоставляемой Selectel:
  • Оплачивается только очищенный входящий трафик.
  • Предоставляется по запросу доступ в систему отчетов об очистке, включая величину и длительность атак.
  • Подбираются параметры очистки специально под требования проекта.
  • Услуга “Защита от DDoS” от Selectel позволяет защитить бизнес от финансовых и репутационных потерь.

При выборе расширенной защиты от DDoS вы платите только за подключение фильтра.

Ознакомиться с ценами можно на странице услуги.

Библиотека python-selvpcclient



Наш сервис Виртуальное приватное облако построен на базе платформы OpenStack. Первоначальное конфигурирование облака и управление некоторыми типами объектов осуществляется через наш собственный API.

Для удобного взаимодействия с нашим сервисом мы разработали библиотеку selvpcclient. Она написана на языке Python и покрывает весь API, благодаря чему вы можете управлять проектами, квотами, ресурсами из своего программного кода или консоли.
blog.selectel.ru/python-selvpcclient/

Intel Optane SSD: возможности и преимущества



В начале июля мы начали бесплатное тестирование SSD-дисков Intel Optane. Акция все ещё продолжается, и любой из вас может принять участие (подробности по ссылке выше).
Появление на рынке дисков Optane можно без преувеличений назвать революцией в области хранения информации. В этой статье расскажем о том, какие технологии лежат в основе новых дисков и какие преимущества они дают.

3D X-point: новая энергонезависимая память

3D X-Point (читается 3D crosspoint) — это новая технология энергонезависимой памяти на основе фазового перехода (Phase-Change Memory, сокращённо PCM).

Слова о революционности Intel Optane, сказанные в самом начале — это гораздо больше, чем просто маркетинговый ход: по сути, мы имеем дело с первым случаем запуска памяти этого типа в массовое производство.

По вполне понятным причинам Intel не разглашает всех тонкостей 3D X-Point. Более того, в публичных заявлениях компания отрицает, что эта память основана именно на фазовом переходе. Впрочем, имеются косвенные свидетельства (см., например, неплохую статью на эту тему), подтверждающие обратное. Вполне возможно, что в основе 3D X-Point лежит какая-то гибридная технология.

Поэтому мы в дальнейшем изложении будем опираться на информацию, опубликованную в открытых источниках.
blog.selectel.ru/intel-optane-ssd/

Мы предлагаем всем нашим пользователям провести тест-драйв новых накопителей совершенно бесплатно.

Условия акции просты: вы записываетесь на тестирование, мы выделяем вам сервер с Intel Optane P4800x на борту.
selectel.ru/promo/intel-optane/

По результатам тестирования вы публикуете статью-отчёт на своём сайте, в блоге или на любом тематическом ресурсе.

А если вы напишете действительно интересный отчёт, мы рассмотрим возможность его публикации в качестве гостевого поста у нас.

Выделенные серверы на базе процессоров Intel Xeon Skylake SP



12 июля компания Intel представила новую линейку серверных процессоров под кодовым названием Skylake SP. Буквы SP в названии линейки — это сокращение от Scalable Processors («масштабируемые процессоры» в переводе на русский). Такое название не случайно: Intel реализовали много интересных нововведений и, как было отмечено в одном обзоре, «попытались угодить чуть ли не всем».

Процессоры линейки SP являются частью серверной платформы Purley, которую называют «платформой десятилетия».

Серверы на базе новых процессоров уже доступны для заказа в наших дата-центрах.

Какие нововведения реализованы в Intel Skylake SP? Каковы технические характеристики этих процессоров? В чём заключаются их преимущества по сравнению с предыдущими моделями? Обо всём этом мы подробно расскажем ниже.

Новые процессоры — новые имена
Предыдущие линейки процессоров Xeon получали имена вида Exvx: E3v3, E3v5 и т.п. В линейке SP используется другая схема именования: все процессоры делятся на четыре серии под кодовыми названиями Bronze, Silver, Gold и Platinum. Все эти серии отличаются между собой числом ядер и набором технологий.

Bronze — это самые простые процессоры: они могут иметь до 8 ядер и не поддерживают hyper-threading. Platinum, как и следует из названия, рассчитаны на работу под высокими нагрузками и обладают наибольшим (до 28) числом ядер.

В именах некоторых моделей появились новые индексы. Так, литера F указывает на наличие встроенного контроллера Omni-Path, M — на поддержку большего объёма памяти (до 1,5 ТБ на сокет), а T — на поддержку стандарта NEBS (Network Equipment Building System). Процессоры с индексом T в имени выдерживают большие температурные нагрузки, и срок службы по сравнению с другими моделями у них гораздо больше.

Более подробно обо всех этих новшествах мы расскажем ниже.
blog.selectel.ru/vydelennye-servery-na-baze-processorov-intel-xeon-skylake-sp/

Новые файрволы Fortinet FG-100D



О компании

С недавних пор мы начали предлагать клиентам новую модель фаерволов для аренды. Вместо обычных для нас Cisco ASA 5512 и Cisco ASA 5508-X мы предлагаем Fortinet FortiGate FG-100D.

Первая реакция большинства клиентов на это предложение: «Зачем вместо Cisco вы предлагаете нам китайский Noname?!». Честно говоря, первоначально продукт был очень неоднозначно воспринят и внутри компании. Но опыт эксплуатации таких фаерволов показал, что это решение действительно стоит как минимум того, чтобы его попробовать использовать. Из последних отзывов клиентов: «We’d like to replace our existing firewalls with new Fortigate appliances from Fortinet. Our experience has shown that Fortigate appliances are much more stable and predictable under high loads.»

Компания Fortinet была основана в 2000 году в Калифорнии. Основатель компании Fortinet так же основал в 2004 году компанию Netscreen, которая была позже куплена компанией Juniper, после чего в линейке продуктов Juniper появились фаерволы Juniper SRX. Сейчас компания Fortinet насчитывает более 4500 сотрудников по всему миру, годовая выручка компании (на 2016 год) составляла более 1.2 млрд долларов.

Основной продукт компании — это фаерволы FortiGate. Чем выше номер модели FG — тем производительнее фаервол. Ключевая особенность этих фаерволов, по уверениям изготовителя — аппаратная часть платформы во всех решениях. На МСЭ (межсетевой экран) обработкой трафика занимается data-plane, где установлен аппаратный ASIC, а control plane — CPU — занимается только конфигурированием этого ASIC.

В 2017 году Gartner в своем регулярном обзоре поставил Fortinet среди лидеров в «магическом квадранте» для Enterprise Firewalls.



В 2017 году продукт FortiGate получил сертификат ФСТЭК, который доказывает правомочность использования фаерволов FortiGate в системах, деятельность которых связана как с персональными данными (ПДн) по ФЗ-152, так и с хранением и обработкой гостайны.


Предлагаемая модель
Предлагаемый нами МСЭ FG-100D по своим характеристикам примерно соответствует Cisco ASA 5508-X, а в чём-то и превосходит.


Изготовитель заявляет производительность фаервола в 2.5 Гбит/сек и до 2 миллионов одновременных сессий. Как и Cisco ASA 5508-X, в FG-100D только один блок питания. Для создания надежной сетевой инфраструктуры рекомендуется использовать два фаервола в так называемой HA-конфигурации (high availability).

Рекомендуется отдельно обратить внимание инженеров на то, чтобы они подключили фаерволы не в один блок розеток (PDU), а в разные от разных вводов электричества.

FG-100D предлагает большое количество разнообразных портов. Есть выделенные порты WAN для подключения к интернету, есть отдельные порты LAN для подключения локальной сети, есть отдельный порт DMZ (часто используется для подключения коммутатора с серверами в корпоративных инсталляциях). Для создания HA-конфигурации есть выделенные два порта 1000Base-T.


Настройка и работа
В отличие от Cisco ASA, где большинство работ по настройке, диагностике и обслуживанию МСЭ производится с использованием специального программного обеспечения ADSM, МСЭ Fortinet предлагают развитый web-интерфейс. Для пользователей МСЭ есть замечательный ресурс. Наверное, единственный недостаток данного ресурса для русскоязычных пользователей в том, что практически вся документация приведена на английском языке.
cookbook.fortinet.com

Если вы только начинаете знакомство с МСЭ Fortinet, то есть отдельный раздел Getting started. Большинство статей по настройке, диагностике и обслуживанию МСЭ написаны доступным языком с понятными иллюстрациями.

Есть отдельная ресурс, посвященная работе МСЭ в режиме HA. В ней описывается первоначальная настройка кластера фаерволов.
cookbook.fortinet.com/high-availability-two-fortigates/

Дальнейшая настройка кластера описана в отдельной статье в документации.
docs.fortinet.com/fortigate/admin-guides#

Операционная система
В отличие от многих конкурентов, Fortinet пока что сохраняет простоту в нумерации и выборе версии операционной системы для своих фаерволов. Есть даже специальный документ, который описывает нюансы перехода от одной ОС к другой.

Последняя версия FortiOS 5.6 вышла в мае 2017 года. Кроме исправления недочётов, пользователи получили громадное количество новых возможностей МСЭ. Отдельно производителем упоминаются улучшения в прозрачности отслеживания сессий внутри фаервола.

Это действительно удобный инструмент, значительно улучшающий возможности диагностики сложных проблем, затрагивающих как сетевую часть, так и части, связанные со сложной логикой приложений на пользовательских серверах.


Заключение
Фаерволы Fortinet значительно повышают уровень диагностирования проблем как в сетевой части, так и в части, связанной со взаимодействием приложений на серверах.

Мы предлагаем опробовать новую модель фаерволов Fortinet FortiGate FG-100D, являющихся более стабильными и предсказуемыми при высоких нагрузках.

Полезные ссылки:
Знакомство с МСЭ Fortinet
Работа МСЭ в режиме HA
Настройка кластера
Нюансы перехода от одной ОС к другой при выборе фаерволов

Мониторинг доступности и работа сайта во время выходных


После покупки виртуального и/или выделенного сервера важно вовремя получать информацию о недоступности сервиса, то есть проводить мониторинг основных подсистем веб-сайта.

Надежный веб-сайт должен быть легкодоступен для пользователей 7 дней в неделю, поэтому его надо постоянно проверять как на предмет доступности, так и на предмет работоспособности:
  • регулярная самостоятельная проверка работоспособности веб-сайта с помощью бесплатных инструментов;
  • постоянный мониторинг доступности сайта, оптимальным для которого является часовой интервал: большинство пользователей попытаются вернуться на сайт в течение 1-2 часов, более частые проверки не гарантируют более оперативного исправления проблем быстрее, чем в течение часа;
  • мониторинг компонентов проекта и анализ метрик приложений: скорости ответа, ошибок компонентов, сервисов, скорость ответов базы данных, мониторинг запросов без индексов или медленных запросов;
  • мониторинг производительности веб-сайта: медленная загрузка страниц может стоить потери клиентов, в то время как в результате мониторинга приходит своевременное уведомление о проблемах, позволяющее оперативно их устранять и минимизировать последствия;
  • мониторинг проблем заключается в отслеживании нескольких параметров сайта с частотой не менее раза в минуту из нескольких географических точек, для чтобы максимально покрыть минутный интервал проверками и установить возможные проблемы, связанные с географией пользователей.

Среди возможных критериев проверки можно выделить следующие проблемы:
  • с DNS-сервером (когда в определенные интервалы времени адрес сайта не может быть определен, хотя сам сайт физически доступен);
  • с большим временем ответа (при обновлении кэша, например, или при выполнении «тяжелых» задач на стороне сервера);
  • с плановым выполнением задач (в результате которых сайт будет не доступен только в определенные моменты времени);
  • с большим времени ожидания статических файлов (например, из-за сетевой инфраструктуры или проблем с физическим носителем);
  • с подключением к базе данных.

blog.selectel.ru/monitoring-availability-site/

1Gb канал для выделенных серверов


Для работы любого веб-сервиса необходимы два условия. Первое условие – наличие работоспособного сервера, который будет обслуживать запросы на сайт. Второе – интернет-канал, который связывает клиентов и сервер. Пропускная способность имеет решающее значение – чем выше резерв, тем стабильнее работает сайт. Сервер с полосой пропускания 1 Гбит/с может справиться с внезапными скачками трафика, которые могут возникнуть, к примеру, во время успешной рекламной кампании.

Ранее для клиентов Selectel, которым важна скорость, мы предоставляли дополнительные услуги по увеличению пропускной способности. При заказе выделенного сервера были доступны два основных варианта: установленная по умолчанию схема учета по скорости с неограниченным объемом трафика и скоростью 100 Мбит/с и дополнительная услуга – дорогой гарантированный канал 1 Гбит/с без ограничений.

Мы рады предложить нашим клиентам третий вариант, сочетающий в себе оба преимущества – цена первого и скорость второго.

Теперь пользователь имеет возможность самостоятельно выбирать удобную схему тарификации для своих физических серверов (colocation, Fсерверы фиксированной и произвольной конфигурации), не приобретая дополнительных услуг:
  • Учет по скорости – полоса 100 Мбит/с, без ограничений по входящему и исходящему объему.
  • Учет по объему трафика – неограниченная скорость порта (1 Гбит/с или 10 Гбит/с) при ограничении по трафику в 30 ТБ в месяц.


Подробнее о моделях потребления трафика
Тарифные планы с неограниченной полосой пропускания становятся значимыми, например, в случаях вирусной популярности сайтов или во время выхода новых версий (обновление ПО, релизы игр, выход музыкального альбома и так далее).

Если ваш проект будет использовать приложения, которые потребляют значительные объемы трафика, то стоит рассмотреть тарифные планы с фиксированными значениями полосы пропускания.


Допустим, клиенту необходима пропускная способность больше 100 Мбит/с. В этом случае клиент может самостоятельно переключить схему учета трафика на ту, которая отвечают всем нуждам именно его бизнеса.

Обратите внимание! Изменение схемы учета возможно не чаще чем раз в месяц.

В первую очередь, это интересно для проектов с неравномерной нагрузкой, когда посетители активно заходят на сайт только по утрам и вечерам, а всё остальное время трафик минимальный. Во-вторых, это может быть интересно проектам, для которых ограничение в 100 Мбит/с вызывает проблемы с доступностью сайта во время пиковых нагрузок, но при этом не требуется постоянное подключение в 1 Гбит/с. Такими проектами могут быть интернет-магазины во время сезонных распродаж, “Киберпонедельника” либо “Черной пятницы”.

Подробнее о просмотре и смене модели потребления трафика при заказе выделенного сервера можно прочитать в нашей базе знаний.

Услуги локальных портов
Клиент Selectel может объединить физические или виртуальные серверы в одну или несколько защищенных локальных сетей.

Основным параметром локальной сети является скорость передачи данных между рабочими станциями, а внутри локальной сети скорость и трафик не ограничены.

Подключение выделенных серверов и размещаемого оборудования возможно через 1Гб и 10Гб порты.

Стоимость оборудования с поддержкой 10 Гб подключений значительно снизилась с момента запуска соответствующих услуг. Мы рады сообщить вам о снижении цен на 10 Гб порты для всех основных услуг (выделенные и размещаемые серверы, аренда серверных шкафов):
  • 10GB локальный порт – 1000 р/мес.
  • 10GB MC-LAG локальный порт – 2000 р/мес.

Приглашаем на ТехноДень 1С-Битрикс и Selectel

Приглашаем вас на ТехноДень, 1С-Битрикс и Selectel



7 июня в конференц-холле Selectel пройдет «ТехноДень 1С-Битрикс и Selectel» — первая техническая конференция для партнеров «1С-Битрикс» в Санкт-Петербурге.
На мероприятие приедут ведущие разработчики «1С-Битрикс» из Москвы и Калининграда — они смогут лично ответить на технические вопросы или дать советы, которые помогут вам быстрее разрабатывать проекты.
О чем будут говорить:
  • Чем поможет сертификация разработчиков, и как к ней готовиться.
  • Как обеспечить качество веб-проекта при Agile/Scrum/XP.
  • Встроенные инструменты оптимизации производительности в «1С-Битрикс».
  • Как и зачем делать модули для маркетплейсов «1С-Битрикс» и «Битрикс24».
  • Кейс лидера по количеству решений в МП — компании Эм Си Арт.
Подробности — в программе мероприятия.

Конференция будет особенно интересна IT- и техническим директорам веб-студий или системных интеграторов, разработчикам, программистам, системным администраторам и руководителям проектных команд.

Приятное дополнение к основной части — экскурсия по дата-центру Selectel.

Участие в конференции бесплатное, но количество мест ограничено — регистрируйтесь сейчас.
www.1c-bitrix.ru/events/5637365/

Intel, Seagate, Micron, Juniper и Adaptec на SelectelTechDay



26 апреля в 10:00 приглашаем вас на SelectelTechDay — будем говорить о направлениях развития мировых производителей и новых технологиях.
На встрече будут представители Intel, Seagate, Micron, Juniper и Adaptec — они смогут лично рассказать, как что устроено и ответят на вопросы.
Некоторые темы докладов:
  • Новая серверная платформа Purley, Intel Xeon Phi FPGA в датацентрах: Настоящее и Будущее (Intel)
  • Перспективы и реальности DRAM&FLASH (Micron)
  • Обзор коммутаторов Juniper для ЦОД
  • vSRX — виртуальный межсетевой экран
  • Варианты интеграции решений Juniper и vmWare (Juniper)
  • Технология SAS и современные системы хранения информации (Adaptec)
  • Полная программа мероприятия

Встреча будет интересна IT-директорам, директорам продуктов, техническим директорам и специалистам.

Участие бесплатное.
selectel.timepad.ru/event/472383/

The uWSGI Spooler


Когда проектируешь масштабируемые системы, где приходится обращаться ко множеству внешних компонентов, например, использование стороннего API, отправка почты или конвертация видео, лучшим способом реализации является асинхронная модель с системой очередей, которая является связующим звеном для взаимодействия всех компонентов системы.
blog.selectel.ru/the-uwsgi-spooler/