Вы решили защитить свой растущий проект от DDoS-атак. В основе любой защиты лежит анализ и фильтрация входящего трафика. Но чтобы очистить трафик, его сначала нужно доставить в центр очистки. Далее по тексту под “решением по защите” мы будем иметь в виду совокупность технологий по доставке и очистке трафика.

Скорее всего, первое решение, которое вам попадется, будет основано на технологии reverse proxy со сменой A-записей DNS. Поэтому сначала мы рассмотрим принцип работы технологии, ее возможности (если вы хорошо знакомы с reverse proxy — смело пропускайте эти два подраздела) и ограничения, связанные с доставкой трафика (это пропускать не стоит). Затем мы покажем, как эти ограничения можно обойти на примере реального кейса. В конце мы дадим несколько общих рекомендаций по организации защиты интернет ресурса.

Reverse proxy — принцип работы
Здесь мы рассмотрим reverse proxy, как средство доставки трафика. Схема ее работы всем хорошо знакома, но не упомянуть ее здесь просто нельзя.

• Изменение А-записей DNS — вместо IP адреса веб-сервера указывается IP адрес прокси сервера. Распространение внесенных изменений по миру (DNS propagation).
• ОС посетителя запрашивает IP-адрес, соответствующий доменному имени сайта (DNS resolution).
• DNS сервер отвечает на запрос, сообщая IP-адрес прокси сервера.
• Браузер посетителя открывает HTTP(s) сессию и отправляет запросы прокси серверу, который, переустанавливает соединение с целевым веб-сервером и передает запросы ему.

Reverse proxy — возможности
Какие возможности предоставляют решения работающие через reverse proxy со сменой А-записей?

• Мониторинг запросов и защита сайта от атак на уровне приложений. Технология позволяет обработать каждый запрос уровня приложений, поступающий к целевому серверу.
• Снижение нагрузки на целевой веб-сервер и ускорение сайта. На проксирующих серверах можно сжимать и кэшировать данные — это является основой работы сетей доставки контента CDN (Content Delivery Network).
• Гибкое распределение нагрузки между несколькими целевыми веб-серверами. Технология позволяет распределить нагрузку по обработке запросов между несколькими машинами. Это повышает отказоустойчивость и производительность системы.
• Простота подключения. Чтобы подключить защиту достаточно поменять А-записи DNS и дождаться, когда изменения вступят в силу. Переезд, новое оборудование и ПО — не требуются.
• Сокрытие реального IP-адреса целевого веб-сервера. Посетитель используют IP-адрес проксирующего сервера для обращения, и с него же получают ответы, что обеспечивает анонимность целевого веб-ресурса.

Reverse proxy — ограничения
У данной технологии есть ряд подводных камней, о которых не очень-то принято говорить. К ее ограничениям можно отнести:

• Отсутствие защиты от прямых DDoS-атак для самого веб-сервера и инфраструктуры. Если известен IP-адрес целевого веб-сервера, злоумышленники могут провести атаку напрямую, не обращаясь к DNS-серверу. Настройка файрвола на защищаемом сервере не спасает от пакетных DDoS-атак и атак на переполнение каналов.
• Изменение IP-адресов, используемых для доступа к веб сайтам. Если одних интересует анонимность, то для других сохранение собственных IP-адресов является принципиально важным. Например если компания обладает собственными IP-адресами или целой автономной системой и не хочет ассоциировать себя с компанией, которой принадлежат IP адреса проксирующих серверов.
• Ощутимые задержки при включении/отключении защиты. Задержки связаны со скоростью обновления информации на DNS серверах по всему миру (DNS propagation). При лучшем сценарии это занимает несколько часов, но может затянутся и на несколько суток. Длительность DNS propagation зависит от времени жизни TTL (Time to Live) DNS-записей, которое определяет через какое время сервер обновит кэш записей.
• Нельзя защитить сайты и веб-приложения, использующие TCP-порты, отличные от стандартных 80 и 443. Если веб-приложение использует, например, UDP-порт, защитить его не получится. Запросы не будут проксироваться и легитимные пользователи просто не смогут воспользоваться приложением.

Недостатки решений по защите от DDoS-атак на базе “классической” Reverse Proxy начинают ощущаться, по мере того как растущий проект упирается во все большее число ограничений технологии. Какие технические решения способны нивелировать или значительно снизить риски недоступности сайта из-за перечисленных недостатков? — читайте ниже.

Перерастая reverse proxy
Давайте рассмотрим проблему на реальном примере из нашей практики. В прошлом году к нам обратился крупный клиент, с конкретным списком требований к услугам по защите. Мы не можем раскрыть название компании по понятным причинам, а вот потребности клиента — пожалуйста:

• Обеспечить защиту сайтов от атак на уровне приложений.
• Снять часть нагрузки с целевых веб-серверов и ускорить загрузку сайтов — у клиента много статического контента, и он заинтересован в кэшировании и сжатии данных на узлах CDN.
• Обеспечить защиту от прямых атак на IP-адрес/сеть (защита от DDoS-атак на уровнях L3-L4 OSI).
• Сервисы должны подключаться без изменения внешних IP-адресов ресурсов. У клиента своя AS и блоки адресов.
• Управление сервисами обработки трафика и переключение на резервные каналы должно происходить в режиме реального времени — уровень доступности ресурса критически важен для клиента.

Решения на основе “классической” reverse proxy с изменением А-записей DNS позволяют закрыть первые два пункта из спиcка.

Услуги вроде защищенного хостинга, виртуальных и выделенных серверов позволяют защититься от атак на уровнях L3-L7 OSI, но требуют переезда и означают использование единственного провайдера защиты. Что делать?

Защита от DDoS внутри сети с защищаемыми сервисами
Установка фильтрующего оборудования в своей сети позволяет защитить сервисы на уровнях L3-L7 OSI и свободно управлять правилами фильтрации. Вы несете существенные капитальные (CaPex) и операционные расходы (OpEx), выбирая такое решение. Это расходы на:

• оборудование для фильтрации трафика + лицензии на ПО (CapEx);
• продление лицензий на ПО (OpEx);
• штатные специалисты для настройки оборудования и контроля его работы (OpEx);
• каналы доступа в сеть Интернет, достаточные для приема атак (CapEx + OpEx);
• оплата входящего «мусорного» трафика (OpEx).

В результате эффективная цена за мегабит неочищенного трафика становится неоправданно высокой. Возможности по фильтрации трафика у такого решения в любом случае будут ниже, чем у специализированных провайдеров. Более того, чтобы повысить скорость работы сайта, так или иначе придется прибегнуть к услугам CDN провайдеров. Из достоинств решения стоит отметить, что расшифрованный трафик не покидает периметра защищаемой сети. Этот вопрос мы обсудим подробнее чуть позже.

Даже для крупных компаний, такое решение часто является экономически нецелесообразным, не говоря о среднем и малом бизнесе. Нашему клиенту оно также не подошло.

Проксирование без смены А-записей.
Чтобы удовлетворить потребности таких клиентов, мы разработали технологию перехвата веб-трафика и реализовали ее в рамках услуги удаленной защиты без смены А-записей. В основе решения лежит принцип: Все соединения между АС клиента и публичными сетями должны быть защищены. Клиент передает нам анонсы своих IP адресов/сетей по BGP, а мы анонсируем их в Интернет.


Весь трафик, предназначенный защищаемым ресурсам, проходит через нашу сеть. Клиент может оставить несколько резервных подключений и использовать их в случае непредвиденных обстоятельств, сняв анонсы с сети DDoS-GUARD. В штатном режиме мы советуем использовать только наши подключения для выхода в сеть Интренет, чтобы мы могли гарантировать защиту клиентских сервисов.

На схеме ниже показано, как организована обработка трафика в нашей сети на примере веб-трафика.

• Клиент указывает IP-адреса, подсети и домены, которые он хочет защитить на уровне L7. Это можно сделать для анонсируемых сетей в личном кабинете или при помощи API
• В сеть провайдера услуги из сети Интернет попадает клиентский трафик. В первую очередь он проходит базовый анализ и очистку от «мусора» на уровнях L3-4 модели OSI.
• Система перехвата сепарирует и обрабатывает трафик на основании используемых протоколов уровня приложений. В данном случае TCP пакеты на 80 и 443 порты, содержащие HTTP заголовки, направляются на анализ веб-трафика, остальной трафик доставляется в сеть клиента как легитимный.
• Веб-трафик проверяется на принадлежность защищаемой подсети. Пакеты с адресом назначения отличным от указанных клиентом проходят дополнительную проверку по имени домена.
• Весь трафик указанных клиентом IP адресов/доменов проходит обработку на уровне L7. На проксирующих серверах осуществляется фильтрация трафика, оптимизация контента и его кеширование.

Правила для сетей и доменов можно создавать независимо друг от друга. При создании правила для домена не нужно указывать IP-адрес его веб-сервера. Такой подход позволяет не вносить изменения в правила фильтрации при миграции доменов между веб-серверами внутри защищаемой сети. По запросу клиента мы можем изменить правила обработки таким образом, чтобы перехватывать трафик на любых других портах.

Заключение
Теперь давайте проверим удовлетворяет ли разработанное DDoS-GUARD решение списку требований из раздела «Перерастая reverse proxy».

• Клиент получает защиту от атак на уровнях L3-L7 OSI.
• Контент сжимается и кэшируется на узлах нашей CDN, что уменьшает нагрузку на целевые веб-серверы.
• Управление защитой происходит в реальном времени. Клиент управляет правилами фильтрации трафика для подсетей, IP-адресов и отдельных доменов через личный кабинет или API. Изменения вступают в силу пределах 1 минуты. В экстренной ситуации клиент может перенаправить весь трафик в обход сети DDoS-GUARD, просто сняв анонсы по BGP.
• IP-адреса, принадлежащие компании, остались неизменными. Клиенту не нужно закупать новое оборудование, программное обеспечение, нанимать дополнительный персонал и платить за неочищенный трафик.

В добавок появляется возможность защитить сервисы и приложения, работающие на нестандартных портах.

P.S.
Общие рекомендации по организации защиты вашего проекта:

• Избегайте туннелей, в т.ч. при доставке очищенного трафика через сеть провайдера — это снижает MTU (Maximum Transmission Unit). Чем ниже MTU, тем больше пакетов приходится фрагментировать, т.е. разбивать, понижая тем самым скорость передачи данных) и ставит ваш сервис в зависимость от политик по приоритезации трафика транзитных операторов.
• Обращайте внимание на связность сети поставщика услуг — нерационально строить маршрут Красная площадь — ВДНХ, через Рязань или Франкфурт.
• Резервируйте все подключения (каналы), операторов, оборудование, персонал. В случае с защитой от DDoS предусмотрите «стоп-кран», который позволит экстренно отключать влияние на трафик.
• Вне зависимости от особенностей используемой схемы защиты веб-сайта, сервис должен предоставлять возможность управлять защитой в реальном времени. Учитывая, что 100% точность фильтрации недостижима, система должна быть управляемой для снижения ошибок I и II рода.

https://ddos-guard.net

26 декабря ApisCP исполняется 18 лет, что является важной вехой, поскольку кодовая база теперь может покупать фейерверки, покупать аэрозольную краску и делать татуировки без согласия родителей.

Чтобы начать празднование и помочь всем пережить 2020 год, я возвращаю популярную скидку 50% (код купона: ANNIVERSARY), действующую для всех бессрочных лицензий. Эта скидка действительна до 1 января или до официального запуска поддержки реселлеров, в зависимости от того, что произойдет позже.

Лицензии Pro (без ограничений по доменам) стоят 249 долларов, Startup (ограничение на 30 доменов) — 79 долларов, а Mini (ограничение на 10 доменов) — 49 долларов. Все это разовые затраты. При необходимости лицензии могут быть отозваны и перевыпущены через портал лицензирования my.apiscp.com.

Переходим к интересным событиям. Как мы знаем, сейчас CentOS переключается на RHEL, а не вниз по течению. Я поделился своими мыслями по этому поводу и зарегистрировал несколько дней сборки на тестах E2E. Если к Лету не случится чего-то катастрофического, ApisCP продолжит фокусироваться на экосистеме Red Hat / CentOS, чтобы обеспечить максимальную интеграцию, обеспечиваемую этим дистрибутивом. Более короткие циклы выпуска критически важного программного обеспечения, такого как systemd, позволяют мне создавать более связанные платформы с меньшими накладными расходами. Это победа.

Технологии помогают выполнять задачи с большей точностью. Система реселлеров, которая будет запущена следующей после того, как прокси панели завершена, использует квоты проекта и поддеревья cgroup, чтобы обеспечить превышение продаж с принудительным применением ресурсов онлайн. Торговые посредники могут выделять сайтам сверх своих пакетов, но сумма всех потребляемых ресурсов никогда не может превышать общую сумму на торговом посреднике; В отличие от распространенных систем торговых посредников, это обеспечивается операционной системой в реальном времени.

Учитывая амбициозный подход к поддержке реселлеров, ApisCP будет поддерживать реселлеров только на CentOS 8 или Stream с файловыми системами xfs. ext4 поддерживает квоты проектов для ядер 4.x; однако я не исследовал его в той же степени, что и квоты проекта / группы / пользователя xfs.

Наконец, прокси-сервер панели, о котором говорилось ранее, позволяет запускать несколько узлов ApisCP с одного портала входа в систему. Это было частью волшебства Hostineer в течение последних 5 лет, и теперь оно стало доступным для более широкой аудитории. В этом помогли несколько великих умов ApisCP Discord. Это так же просто, как пара параметров конфигурации на каждом узле. Прокси-сервер Panel разбит на 3 отдельных компонента для повышения безопасности. Каждый компонент может работать с бесплатной лицензией только для DNS, выданной через my.apiscp.com. После того, как реселлер будет реализован, я расширю это, чтобы позволить администратору переходить из одного места в другое.

my.apiscp.com

С 27 по 29 ноября вас ждут три дня скидок в ISPsystem. Мы подготовили промо специально для тех, кто долго присматривался, но все не решался купить. Предлагаем годовую лицензию ISPmanager Lite и 3 самых популярных SSL-сертификата с выгодой 30% и более.

Годовая лицензия ISPmanager 5 Lite с выгодой 30%
Новый удобный интерфейс, поддержка самых актуальных ОС и огромный набор возможностей. Все это ISPmanager Lite. Платите 2.8 евро/месяц вместо 4 евро/месяц. Экономьте 14.4 евро в год. Кладите лицензию в корзину прямо сейчас, чтобы использовать промокод с 27 по 29 ноября!
Промокод на скидку blacklite2020
www.ispsystem.ru/software/ispmanager/order


Три самых популярных SSL-сертификата с выгодой до 33%
В 2020 году отсутствие SSL-сертификата на сайте — это провал. Вы теряете трафик за счет низкого ранжирования в поиске Google и Яндекс. Теряете продажи за счет низкого доверия посетителей. Рискуете утечкой персональных данных, что может повлечь проблемы хуже.

Предлагаем на выбор 3 SSL-сертификата: Comodo PositiveSSL, PositiveSSL Wildcard и Thawte EV с выгодой до 33%. Эти сертификаты обеспечат сайт зашитой от базового до бизнес уровня, которым пользуются банки! Кладите в корзину сейчас и используйте код с 27 по 29 ноября!
Промокод на скидку blackssl2020
www.ispsystem.ru/ssl

Worldstream, голландский поставщик решений Infrastructure-as-a-Service (IaaS) для международных и региональных ИТ-инфраструктур, завершил создание своего нового веб-сайта. Новый веб-сайт, включающий фирменный стиль, логотип и интернет-магазин, был разработан Dept Agency — международным цифровым агентством с 1500 сотрудниками из Нидерландов. Включая разработку собственного инженерного отдела Worldstream, Worldstream инвестировал в общей сложности более 500 000 евро в свой новый веб-сайт, фирменный стиль, логотип и интернет-магазин.



Провайдер IaaS Worldstream инвестирует более 500 000 евро в новый интернет-магазин
Значительная часть этих инвестиций ушла на внутреннюю разработку, на инвестиции в разработку интернет-магазинов собственными инженерами Worldstream. Dept позаботился о фронтенд-разработке, включая UX-дизайн и пользовательские потоки. Также включает стратегию конверсии и визуальный дизайн. По словам Кристана ван Прен, менеджера по маркетингу Worldstream, ранее работавшего на Bol.com, в результате получился доступный интернет-магазин, в котором принципы B2C были перенесены в среду B2B Worldstream.

«Хотя Worldstream обычно поставляет сложные технологии компаниям с глубокими техническими знаниями, функциональность интернет-магазина направлена ​​на предоставление простых и очень гибких решений IaaS», — говорит Кристан ван Прен. «В сотрудничестве с Dept нам удалось упростить этот новый интернет-магазин. Интернет-магазин выделяется своим внешним видом и простотой использования. В этой отрасли и в международном масштабе мы все еще часто видим списки технологических компонентов и услуг Excel, которые практически буквально переводятся в веб-среду. Этот интернет-магазин B2B стал очень доступным благодаря принципам розничной торговли. Предлагаемые технологии позволяют создавать законченные решения, но они больше не кажутся сложными».

«Заказчиками Worldstream являются инженеры-профессионалы, которые обычно достаточно хорошо знают, чего хотят, и хотят создать решение как можно более автономно, — говорит Марисья Эндстра, менеджер проекта в Dept. «Вместе с Worldstream мы создали интернет-магазин, который позволяет это сделать. гибкость, предлагая клиентам варианты B2B, которые обычно чаще встречаются в магазинах B2C».

Выделенные серверы, размещение центров обработки данных, защита от DDoS-атак
Основанная в 2006 году как поставщик IaaS, Worldstream предоставляет базовую инфраструктуру, на которой клиенты по всему миру могут создавать и настраивать свои ИТ-инфраструктуры. Worldstream предоставляет, помимо прочего, выделенные серверы, размещение центров обработки данных и защиту от DDoS-атак через центр очистки от DDoS-атак. Worldstream также предоставляет обширную глобальную сеть с пропускной способностью более 10 Тбит / с и 45-процентным использованием, позволяя организациям удовлетворять свои потребности в емкости региональных и международных сетей и масштабироваться на разовой основе.

«Благодаря старому веб-сайту, фирменному стилю и интернет-магазину мы смогли уверенно расширить бизнес Worldstream по международным услугам IaaS за последние несколько лет и достичь CAGR 80%», — говорит Робин Лим, директор по продажам и маркетингу Worldstream. «Результат, безусловно, впечатляет. Сейчас для наших клиентов работает более 15 000 выделенных серверов. У нас есть сильная команда менеджеров из 10 человек, и мы являемся главным спонсором голландской команды по фигурному катанию NXTGEN. Ютты Леердам и Коэн Вервей. Кроме того, у нас есть два собственных центра обработки данных, расположенных в Налдвейке, Нидерланды. Клиенты всех типов разместили свои ИТ-инфраструктуры на этих выделенных серверах с доступом к сети по всему миру. Однако наступает время, когда внешний вид веб-сайта и фирменный стиль могут мешать ведению бизнеса».

Агентство отдела
Worldstream наняла Dept Agency из-за их международного опыта работы с крупными и известными клиентами. Это международное агентство, в котором работает более 1500 сотрудников. Как агентство цифрового маркетинга и веб-разработки, Dept имеет офисы в Англии, Ирландии, Германии, Швейцарии и США. Агентство работает с известными клиентами с международными операциями, включая Microsoft, Panasonic, TomTom, Unilever, KLM, Nationale Nederlanden, Adidas, Zalando, Thomas Cook, Otto, Mojo, Eneco и ABN AMRO.

«Помимо малых и средних предприятий, мы теперь обслуживаем множество крупных клиентов — от вещательных компаний до крупных поставщиков облачных услуг, поставщиков хранилищ и предприятий. Это в международном масштабе», — говорит Лим. «Именно здесь сочетается новый стиль и уникальный опыт интернет-магазина, который мы разработали вместе с Dept Agency. Мы хотели, чтобы наши клиенты во всем мире могли гибко объединять свои решения IaaS со всеми видами компонентов и услуг без дополнительных звонков».

500 000 евро инвестиций?
Сумма, вложенная Worldstream в новый веб-сайт, включая фирменный стиль, логотип и интернет-магазин, может показаться астрономической. По словам Леннерта Воллебрегта, соучредителя Worldstream, вы можете объяснить это вложение по-разному.

«500 000 евро не являются чрезмерным вложением, если иметь в виду, что мы говорим о нашем магазине с международным охватом», — говорит Леннерт Воллебрегт. «Если вы сравните это с автомобильным дилером, которому нужно построить свой выставочный зал, или с большим продуктовым магазином, которому необходимо реализовать свою концепцию магазина, то на самом деле такая сумма не так уж и велика. Кроме того, условно говоря, это не очень большие вложения, если сравнивать их с инвестициями в центр обработки данных и инфраструктуру IaaS для наших клиентов. Пользователи покупают наши высококачественные технологические услуги в разных странах мира. Следовательно, пользовательский опыт в нашем интернет-магазине и их опыт покупок должны быть исключительно хорошими. Это принесет пользу конверсии и удовлетворенности клиентов».

Здравствуйте, уважаемый клиент!

Недавно Вы регистрировались на нашем сайте hypervds.ru но пока не воспользовались услугами компании.

Готова предложить Вам помощь в выборе, а также предоставить индивидуальную скидку в размере 25% на все выбранные услуги за первый месяц обслуживания. Используйте промокод START25.

Укажите в ответном письме какие услуги требуются для Вашей сферы деятельности, либо самостоятельно выберите на сайте: hypervds.ru

С уважением,
Елена Жежелевская
директор по развитию
«Гиперметрика»

Уважаемые клиенты!

Рады сообщить, что в продажу поступили выделенные серверы i9-10900k с жидкостным охлаждением! Доступны конфигурации на 64GB RAM / 500GB NVMe и 128GB RAM / 1TB NVMe.

Установка занимает до 24 часов, AntiDDoS Game уже включен в стоимость. Месторасположение: Москва, Россия.
Для активных клиентов с серверами также есть возможность перехода с i9-9900k за 2000р с сохранением дисков.

Подробнее о тарифах: msk.host/products/dedicated-servers

Многие годы на рынке серверных процессоров и чипсетов безоговорочно правил Intel с его ксеонами, но в 2017 году AMD наконец составили им конкуренцию, выпустив первую линейку своих новых серверных процессоров EPYC. С тех пор позиция их только укрепилась, а модельный ряд пополнился новой версией «эпиков». AMD поставляет свои современные процессоры многим известным компаниям, среди них Dropbox, Hetzner, Linode, ЦЕРН, OVHcloud, Scaleway, несколько университетов и организаций поменьше, включая дата-центры. Все хвалят платформы на EPYC и рекомендуют их для организации и масштабирования кластера высокопроизводительных серверов.

Когда начали поступать новости, о том что AMD начал делать процессоры, которые обходят по
производительности и по соотношению цена/качество процессоры Intel, мы начали задумываться об отдельной услуге на этой платформе. Выбор пал на Supermicro A+ Server 2124BT-HNTR. Сервер состоит из 4-х нод, каждая нода имеет следующую спецификацию:

• Процессоры: 2x AMD EPYC 7742 64-Core Processor 2.25GHz;
• Память: 16x64GB RAM 3200 MT/s;
• NVMe-диски для кластера: 4x INTEL SSDPE2KE076T8;
• Системный диск: 1x INTEL SSDSC2KB240G8;
• Сетевой контроллер: AOC-MH25G-m2S2T.

Подобного сервера в Москве и России не нашлось, нам пришлось заказывать его напрямую у
производителя. После ожидания, которое дополнилось некоторыми логистическими проблемами, связанными с COVID-19, сервер оказался у нас в начале июня.

Сборка
На первый взгляд нам показалось, что ничего особенно эпичного в сервере нет, поскольку мы имеем опыт работы с платформами по 12 нод для услуги Hi-CPU серверов. Эта же платформа представляет всего четыре независимых ноды, но мы ещё не понимали, какую мощь они дают в совокупности.


Тесты
После сборки нам, разумеется, захотелось нагрузить сервер, мы ведь имеем дело с монстром, в
сумме, у которого на 4-х нодах: 1024 ядра, 4TB ОЗУ:


Результаты тестов производительности произвели на нас впечатление. Качество сборки от инженеров Supermicro тоже порадовало.


Монтаж
Смонтировали в стойку и начали собирать кластер:


Кластер собран на этих 4-х нодах. В дальнейшем кластер может масштабироваться на подобном
оборудовании или на аналогичном от других вендоров. Публичная сеть кластера находится на
интерфейсах 25Gbps (SFP28), приватная сеть также 25Gbps (SFP28).

Доработка ПО
Основы и принципы, заложенные в программное обеспечение по управлению клиентскими услугами, позволили в короткие сроки доработать код для новой архитектуры, в середине июня услуга Эпичные серверы была запущена.

Преимущества для нас и клиентов
AMD EPYC позволяет создавать тарифы вплоть до ЭПИЧНЫХ 128 x 3.4 GHz CPU / 512 GB RAM / 4000 GB NVMe, чего никто не может предложить на платформе с процессорами от Intel. Кроме того мы используем Only NVMe сетевое хранилище с тройной репликацией данных.

За 2 месяца работы с данной платформой мы прочувствовали все её прелести — клиентам можно предоставлять те же ресурсы, что и в случае с Intel, но за меньшие деньги. Одна нода с 2-мя CPU от AMD заменяет 10 нод с 2-мя CPU Intel Scalable Silver.

Ложка дегтя
Такой сервер очень дорогой — стоимость около $ 150 000 и, естественно, покупался по полной предоплате, по сути мы покупали кота в мешке так как ранее не работали с серверами на AMD.

Второй момент, QEMU-KVM не позволяет налету мигрировать виртуальные машины с AMD на Intel и обратно, но используя наш функционал резервных копий можно без потерь данных перейти из одного типа серверов на другой в любой момент.

Кластер показал для нас неведомые до этого показатели производительности, что естественно
стало влиять на температуру процессоров. Даже при нагрузке процессоров 30% на ноде, температура подбиралась к отметке 95 градусов. Мы несколько оптимизировали охлаждение в
стойке, но какого-то либо значительного результата это не дало. Тогда в виде теста сняли крышку на корпусе сервера:


Скачок температуры вниз составил более 10 градусов и не превышает 80 градусов, даже при
нагрузке более 70%, что более чем нас удовлетворяет. Также в планах поставить дополнительное охлаждение в стойку.

Итог
В результате, сервер более чем оправдал наши ожидания, процессор AMD EPYC 7742 кажется нам неубиваемым в нагрузке. Схема, построенная на подобных решениях, будет дальше
масштабироваться, со временем планируем запустить эту услугу в Нидерландах. Нам понравилось работать с EPYC и надеемся, что и вам тоже понравится!

https://vdsina.ru

Уважаемые клиенты!

Сообщаем о старте продаж выделенных серверов в Москве!
Все серверы подключены к 1 ГБит/с порту и обладают AntiDDoS Game
защитой.

Стоимость начинается всего от 4 800р/месяц, кроме того, есть возможность оплачивать посуточно, в таком случае цена начинается от 450р/день.

В наличие есть самые современные конфигурации, в том числе Intel Core i9-9900k. Установка до 24 часов.

Подробнее: https://msk.host/dedicated-servers/

Доступны все локации
Франция, Канада, США, Польша, Великобритания, Германия, Сингапур, Австралия
Заказывать такое можно в биллингах
bill.ovh/billmgr
asuka.onl/billmgr

Совсем недавно начался новый 2020 год, а вместе с ним и несколько важных событий в работе хостинга, например открытие игрового хостинга, введение быстрого заказа на сайте и много других обновлений. Это количество обновлений далеко не предел, поэтому мы хотим и будем продолжать радовать наших клиентов, в честь этого запускаем конкурс на 1000 рублей на баланс и еще 2 крутых приза.

Список призов:
1) 1000 рублей на баланс биллинга
2) VDS сервер *Intel Core i7-6700 (4.2GHz) 1 vCore / 4 GB DDR4 / 50 GB NVMe* — 1 месяц
3) Веб хостинг

Условия конкурса:
— Репост данной записи
— Подписка на группу

Результаты — 15 февраля в 00 по МСК.
Всем желаем успехов и удачи!

Пост в вк: vk.com/spacecore_pro?w=wall-171073991_182