большие возможности



Мы только что запустили 2 новые рекламные кампании, а именно:
Хостинг веб-сайтов
Каждому подписчику мы предоставляем код купона на скидку 10 евро, который они могут использовать при покупке услуг веб-хостинга. После того, как они разблокируют ваучер, они могут поделиться страницей по специальной ссылке. За каждую публикацию в социальных сетях, за каждого приведенного уникального посетителя и за каждую предоставленную регистрацию они получают баллы. Эти баллы помогают им разблокировать другие скидки и бесплатные услуги, такие как расширенный план веб-хостинга всего за 1 евро в год.
coupons.virtono.com/c/MjA4MF4tMQ==

Облачные серверы
Каждому подписчику мы предоставляем код купона на скидку 40%, который они могут использовать при покупке у нас облачных серверов (облачных VPS, Windows VPS и выделенных экземпляров). После того, как они разблокируют ваучер, они могут поделиться страницей по специальной ссылке. За каждую публикацию в социальных сетях, за каждого приведенного уникального посетителя и за каждую предоставленную регистрацию они получают баллы. Эти баллы помогают им разблокировать другие скидки и бесплатные услуги, такие как Cloud VPS M всего за 1 евро в год.
coupons.virtono.com/c/MzkyOV4tMQ==

https://virtono.com

Скидка 21% на все VPS/VDS! Поторопись!



Цифровое безумие!
Два… один… ноль? Нет, не ноль, а целых 21% скидки на все тарифы VPS/VDS!
Почему? А потому что сегодня 21 число 21 год 21 века, и ровно с 21:21 по GMT+2 вы можете заказать идеальный хостинг на 21% дешевле.
Акция будет действовать ровно сутки — так что спешите, волшебные уифры на часиках тикают!
Промокод, конечно же, тематический — 21.01.2021

Акция действует как для заказа новых услуг, так и для продления текущих.

Команда https://pq.hosting

OVHcloud сотрудничает с IBM и Atempo, чтобы предложить европейским организациям безопасное и надежное облачное хранилище.

Это технологическое сотрудничество позволит запустить новое суверенное и конкурентоспособное предложение облачных хранилищ.

Чтобы удовлетворить потребности европейских компаний и учреждений в обеспечении безопасности, суверенитета и отказоустойчивости с точки зрения хранения данных, OVHcloud вместе с IBM и Atempo разрабатывает предложение «Storage-as-a-Service». Это решение будет основано на решении для хранения на магнитной ленте IBM Enterprise Tape в сочетании с программным стеком Atempo, размещенным и управляемым OVHcloud в новых центрах обработки данных во Франции.

Ввиду экспоненциального роста данных, производимых с помощью облака, оптимизация хранения этих данных стала ключевой проблемой из-за понесенных затрат и необходимости соблюдения нормативных требований. По мере того как предприятия ищут способы хранить, управлять и улучшать этот постоянно растущий объем данных, ленточные технологии будут играть стратегическую роль в решении проблем инфраструктуры хранения.

Решения для хранения на магнитной ленте предлагают самую низкую на сегодняшний день стоимость хранения на терабайт. Ленточная технология также обеспечивает безопасность, масштабируемость и надежность, необходимые для безопасного хранения критически важных данных, которые простаивают и остаются холодными в течение длительного времени. При правильном хранении данные, записанные на ленту сегодня, действительно будут доступны для чтения через 30 лет. Наконец, хранилище данных на магнитной ленте не потребляет электроэнергию, когда оно не используется, в отличие от магнитных и флеш-накопителей.

Совместное использование магнитной ленты и гибридного облака для безопасного, масштабируемого и экономичного управления данными

OVHcloud запустит предложение облачного хранилища для европейских государственных и частных организаций, гарантирующее полную безопасность и отказоустойчивость для долгосрочного хранения их конфиденциальных данных. Это решение для долгосрочного хранения данных будет основано на технологии Tape IBM Enterprise 3592 и будет управляться программной платформой Miria, разработанной Atempo. OVHcloud также будет внедрять инновации, добавив технологию Erasure Coding 9 + 3, которая позволит репликацию и интеллектуальное распределение пользовательских данных.


Чтобы решить проблемы европейских организаций в отношении локализации данных, OVHcloud разместит и будет использовать это решение в четырех новых специализированных центрах обработки данных, расположенных во Франции и разделенных несколькими сотнями километров. Безопасность действительно является приоритетом для OVHcloud, которая недавно получила визу безопасности ANSSI (Национальное агентство безопасности информационных систем) для квалификации SecNumCloud своего решения Hosted Private Cloud. Эта виза демонстрирует высочайший уровень ИТ-безопасности для размещения конфиденциальных и стратегических данных в соответствии с рекомендациями ANSSI.

Наконец, предложение OVHcloud позволит пользователям получить уникальное решение, отвечающее нормативным требованиям в отношении хранения данных. Он будет совместим с S3 и будет предлагать сверхконкурентные и предсказуемые цены, предлагая лучшее соотношение цена/качество.

Мы очень рады, что объединение опыта IBM, Atempo и OVHcloud привело к созданию надежного и независимого решения для резервного копирования данных. Государственные и частные организации получат выгоду от унифицированного и высокозащищенного хранилища благодаря нашим мощным решениям, развернутым в надежном облаке
сказал Сильвен Роури, директор по продажам OVHcloud.

Для нас большая честь быть выбранными OVHcloud в качестве основного поставщика ленточных технологий для своего предложения облачного хранилища. Это еще одно доказательство непреходящей ценности, которую технология IBM Enterprise Tape приносит организациям, стремящимся к безопасному и прибыльному хранению постоянно растущих объемов критически важных данных
прокомментировал Майк Доран, директор по продажам IBM по всему миру.

Деловые круги и организации стремятся к облаку доверия. В Atempo мы рады объединить усилия с IBM и OVHcloud, чтобы проложить путь к новой эре, новой цифровой сделке, которая выходит далеко за пределы Европейского Союза.
заключает Люк д'Урсо, генеральный директор Atempo.Wooxo.

Четыре новых «мини-ЦОД», которые строятся во Франции, будут использовать IBM Tape 3592 для хранения данных каждого клиента на 12 кассетах (резервирование 9 + 3). Зашифрованный + распределенный.

Изменения в выставлении счетов AWS Europe

20 января 2021 года мы упростили процесс выставления счетов для аккаунтов, на которые выставлены счета Amazon Web Services EMEA SARL («AWS Europe»). Ваши налоговые счета-фактуры будут содержать информацию, которую вы в настоящее время видите в запросе на оплату (RFP), такую ​​как дополнительные сведения о покупках для вашего резервного экземпляра (RI) и накопительного плана (SP), сводку по услугам, сводку по связанной учетной записи, а также дополнительную информацию о скидках и кредитах. Вы больше не будете получать запросы предложений.
docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/manage-account-payment.html

Что делать, если вы еще этого не сделали
  • Активно сообщите об этом изменении всем функциональным партнерам вашей организации, включая, помимо прочего, бухгалтерский учет, налоги, казначейство и кредиторскую задолженность. Счета-фактуры будут следовать той же буквенно-цифровой последовательности, что и налоговые счета-фактуры в настоящее время. Убедитесь, что в ваших системах нет буквенно-цифровых ограничений.
  • Поскольку счета создаются на основе вашей налоговой информации, убедитесь, что вы указали правильную информацию на странице « Налоговые настройки» консоли AWS Billing. Устаревшая или отсутствующая информация может привести к выставлению большего количества счетов, чем необходимо. Если у вас несколько связанных учетных записей, включение наследования налоговых настроек может помочь в управлении несколькими учетными записями одновременно.

Как это влияет на вас
  • Списание средств с кредитной карты и снятие средств с помощью прямого дебета будет производиться по каждому индивидуальному налоговому счету, а не по запросу предложений. Поскольку вы можете получить более одного налогового счета за один запрос предложения, вы можете увидеть дополнительные расходы по вашей кредитной карте, но общая сумма будет соответствовать вашему ежемесячному использованию.
  • Вы больше не будете получать запрос на оплату (RFP).
  • Налоговая накладная будет включать дополнительные сведения, которые в настоящее время содержит запрос предложений, такие как сводка по услугам, распределение связанных учетных записей и информация об отдельных покупках, например срок аренды и идентификатор аренды.
  • Налоговые счета-фактуры можно отправлять вам по электронной почте, выбрав параметр «Получать счет-фактуру в формате PDF по электронной почте» на странице «Настройки выставления счетов» в Billing Console.
  • На странице счетов в Billing Console ваш счет будет указан в разделе Amazon Web Services EMEA SARL — Service Charges. Нет необходимости искать свои налоговые счета в разделе «Налоговые счета».

SerfStack перезагрузка: новый сайт, скидки на сервера и VPS

Здравствуйте, уважаемые пользователи!

Рады сообщить, что мы произвели достаточно приятное обновление нашего сайта и, конечно же, добавили новые скидки на различные услуги нашего сервиса.
Будем рады, если вы оцените наш новый сайт, а выбор услуг с его помощью станет еще более удобным :)

На протяжение нескольких месяцев мы наблюдали за метриками и действиями посетителей и выявили несколько значительных минусов нашего старого сайта, что позволило выполнить полную его переработку и сделать его серфинг более простым и удобным.



Что было сделано:
  • Новый более удобный дизайн сайта (навигация, выбор тарифов, просмотр контента);
  • Добавлен способ оплата ETH (достаточно часто вы спрашивали нас о приеме криптовалют кроме Биткоин);
  • Добавлены новые конфигурации выделенных серверов в России (по еще более выгодным ценам);
  • Скидка 25% на заказ расширенных тарифных планов VPS SSD для наших постоянных и новых клиентов (Титан 8GB RAM, Оверсан 12Gb RAM, Золото 16Gb RAM, Платина 32Gb RAM).

Новые тарифные планы на аренду выделенных серверов + панель управления ISPmanager 5 Lite в подарок!



SSL-сертификат Sectigo (Comodo CA) Positive SSL в подарок при заказе расширенных тарифов VPS серверов.



Какие скидки мы предлагаем?
С 19.01.2021 по 25.01.2021 воспользуйтесь скидкой 20% на аренду VPS серверов по базовым тарифным планам “Базик 1Gb RAM“, “Сингл 2Gb RAM“, “Спирит 4Gb RAM“, “Мастер 6Gb RAM“ на заказ так и последующее продление VPS.

С 19.01.2021 по 25.01.2021 воспользуйтесь скидкой 25% на аренду VPS серверов по расширенным тарифным планам “Титан 8GB RAM“, “Оверсан 12Gb RAM“, “Золото 16Gb RAM“, “Платина 32Gb RAM“, которая действует как на заказ так и на продление VPS.

С 19.01.2021 по 25.01.2021 воспользуйтесь скидкой 20% на заказ и продление выделенных серверов на первые 3 месяца аренды.

Промо-код для активации скидки:
SERFUPGRADE


Будем рады вашей обратной связи!
С уважением, команда SerfStack.com!

Добавлена статистика по кластерам VPS в реальном времени.

Честность и открытость — залог успеха стабильного и надежного хостинг-провайдера.

Именно поэтому мы добавили статистику по нагрузке на кластеры с VPS в реальном времени на наш главный сайт, ознакомиться с которой теперь может любой желающий.

Указаны как все доступные ресурсы, так и те, которые используются сейчас.

Посмотреть можно тут: msk.host/contacts

Таков путь! Эволюция бэкапов в Timeweb: от rsync до ZFS

Мы постарались кратко описать путь, который прошла команда Timeweb за 10 лет: от rsync, LVM и DRBD до ZFS. Эта статья будет полезна тем, кто занимается серверной масштабируемой инфраструктурой, планирует делать бэкапы и заботится о бесперебойной работе систем.


Расскажем о:
  • rsync (remote synchronization)
  • DRBD (Distributed Replicated Block Device)
  • инкрементальные бэкапы под DRBD с помощью LVM
  • DRBD + ThinLVM
  • ZFS (Zettabyte File System)

rsync и бэкапы до н. э.
rsync (remote synchronization) — вообще не про бэкапы, строго говоря. Это программа, которая позволяет синхронизировать файлы и каталоги в двух местах с минимизированием трафика. Синхронизация может выполняться и для локальных папок, и для удаленных серверов.

Достаточно часто rsync применяется для резервного копирования. Мы использовали эту утилиту, когда сайты были проще, а клиентов было значительно меньше.

Rsync неплохо справлялась с задачей, но самая большая проблема здесь — скорость. Программа очень медленная, она сильно нагружает систему. А с увеличением данных, начинает работать еще дольше.

Rsync можно применять в качестве технологии бэкапирования, но для совсем небольшого объема данных.

LVM (logical volume manager) — менеджер логических томов
Конечно, нам хотелось делать бэкапы быстрее с наименьшей нагрузкой, поэтому мы решили попробовать LVM. LVM позволяет делать снапшоты, даже используя ext 4. Таким образом, мы могли делать бэкапы при помощи снапшота LVM.

Эта технология использовалась нами недолго. Хоть бэкап и выполнялся быстрее, чем в rsync, но он был всегда полный. А хотелось копировать только изменения, поэтому мы перешли к DRBD.

DRBD
DRBD позволяет синхронизировать данные с одного сервера на другой. При чем синхронизируются только изменения, а не все данные. Это значительно ускоряет процесс!

А на стороне стораджа мы могли использовать LVM и делать снапшоты. Такая система существовала очень долго и существует сейчас на части серверов, которые мы еще не успели перевести на новую систему.



Однако и при таком методе все равно существует недостаток. При синхронизации DRBD сильно нагружает дисковую подсистему. Это значит, что сервер будет работать медленнее. В результате бэкап мешал работе основных сервисов, то есть сайтов пользователей. Мы даже старались делать бэкапы в ночное время, но они иногда просто не успевали завершиться за ночь. Приходилось маневрировать, чередовать бэкапы. Например, сегодня выполняется одна часть серверов, потом другая. Разносили бэкапы в шахматном порядке.

DRBD, к тому же, сильно зависит от скорости сети и влияет на производительность сервера, с которого и на который ведется бэкап. Необходимо искать новое решение!

Thin LVM
В этот момент бизнес поставил задачу сделать 30-дневные бэкапы, и мы решили переходить на thinLVM. Основную проблему это так и не решило! Мы даже не ожидали, что потребуется настолько высокая производительность файловой системы для поддержания тонких снапшотов. Этот опыт был совсем неудачный, и мы отказались в пользу обычных толстых LVM снапшотов.

ThinLVM, на самом деле, просто не были предназначены для наших задач. Изначально предназначались для небольших ноутбуков и фотоаппаратов, но не для хостинга.

Продолжаем поиски…

Было решено попробовать ZFS.

ZFS
ZFS — неплохая файловая система, которая имеет множество уже встроенных плюшек. Что при ext 4 достигается путем установки на LVM, подключения DRBD-устройства, то при ZFS это есть по умолчанию. Сама файловая система очень надежная. Отдельно стоит отметить функцию Copy-on-write, эта технология позволяет очень бережно обращаться с данными.

ZFS позволяет делать снапшоты, которые можно копировать на сторадж, а также автоматизировать резервное копирование. Не нужно ничего придумывать!

Переход на ZFS был очень осторожным. Сначала мы создали стенд, где просто тестировали несколько месяцев. В частности пытались воспроизвести неполадки с оборудованием, питанием, сетью, переполнением диска. Благодаря тщательному тестированию, смогли найти узкие места.

Больная тема ZFS — переполнение диска. Эту проблему мы смогли решить путем резервирования пустого пространства. Когда диск переполнен, будут предприняты меры по разгрузке сервера и очистке места.

После тестирования мы постепенно начали вводить новые сервера, переводить старые сервера на ZFS. Проблем с бэкапами больше нет! Можно делать 30- или 60-дневные бэкапы, хоть бэкапы каждый час. В любом случае сервер не будет испытывать избыточных нагрузок.

Собрали все данные в таблицах ниже для сравнения бэкапов при использовании различных технологий.






Что было дальше?
В планах обновить ZFS до 2 версии OpenZFS 2.0.0. в 2021 году. Мы готовим переход с использованием всех фишек, которые были анонсированы с выходом релиза в начале декабря.

The Way this is!
Таков путь мы выбрали для себя! Решаете ли вы похожие проблемы? Будем рады, если поделитесь в комментариях опытом! Надеемся, статья оказалась полезна и, если вдруг перед вами так же стоит задача делать бэкапы с помощью встроенных утилит в Linux, наша история поможет подобрать подходящее решение.

timeweb.com/ru/

Windows VPS — мощные решения на знакомой ОС




Практически каждый пользовался Windows на своём компьютере или ноутбуке. Но, кроме этого, её широко используют на выделенных и виртуальных серверах, предназначенных для хостинга сайтов, удалённого рабочего стола RDP, игровых или почтовых серверов и множества других целей.

Если вы управляете средним по нагруженности интернет-проектом, использующим сценарии ASP.Net и базы данных MSSQL, или используете в работе windows-приложения, которым нужен постоянный доступ в интернет, например Forex советники, то Windows VPS от IHC будет для вас оптимальным решением. Кроме того, при покупке услуги у нас вы получите:
  • лицензионный Windows Server 2016 или 2019;
  • скоростные диски SSD NVMe, топовые процессоры последнего поколения, память DDR4;
  • неограниченный трафик;
  • постоянный IP-адрес, дополнительные IPv4 адреса и IPv6 сети;
  • возможность устанавливать любое ПО для Windows и настраивать сервер под себя;
  • моментальную активацию сразу после покупки;
  • мгновенное увеличение мощности по запросу.
www.ihc.ru/winvps.html

Перерастая reverse proxy — технология удаленной защиты и оптимизации сайтов без изменения А-записей DNS



Вы решили защитить свой растущий проект от DDoS-атак. В основе любой защиты лежит анализ и фильтрация входящего трафика. Но чтобы очистить трафик, его сначала нужно доставить в центр очистки. Далее по тексту под “решением по защите” мы будем иметь в виду совокупность технологий по доставке и очистке трафика.

Скорее всего, первое решение, которое вам попадется, будет основано на технологии reverse proxy со сменой A-записей DNS. Поэтому сначала мы рассмотрим принцип работы технологии, ее возможности (если вы хорошо знакомы с reverse proxy — смело пропускайте эти два подраздела) и ограничения, связанные с доставкой трафика (это пропускать не стоит). Затем мы покажем, как эти ограничения можно обойти на примере реального кейса. В конце мы дадим несколько общих рекомендаций по организации защиты интернет ресурса.

Reverse proxy — принцип работы
Здесь мы рассмотрим reverse proxy, как средство доставки трафика. Схема ее работы всем хорошо знакома, но не упомянуть ее здесь просто нельзя.

  • Изменение А-записей DNS — вместо IP адреса веб-сервера указывается IP адрес прокси сервера. Распространение внесенных изменений по миру (DNS propagation).
  • ОС посетителя запрашивает IP-адрес, соответствующий доменному имени сайта (DNS resolution).
  • DNS сервер отвечает на запрос, сообщая IP-адрес прокси сервера.
  • Браузер посетителя открывает HTTP(s) сессию и отправляет запросы прокси серверу, который, переустанавливает соединение с целевым веб-сервером и передает запросы ему.

Reverse proxy — возможности
Какие возможности предоставляют решения работающие через reverse proxy со сменой А-записей?
  • Мониторинг запросов и защита сайта от атак на уровне приложений. Технология позволяет обработать каждый запрос уровня приложений, поступающий к целевому серверу.
  • Снижение нагрузки на целевой веб-сервер и ускорение сайта. На проксирующих серверах можно сжимать и кэшировать данные — это является основой работы сетей доставки контента CDN (Content Delivery Network).
  • Гибкое распределение нагрузки между несколькими целевыми веб-серверами. Технология позволяет распределить нагрузку по обработке запросов между несколькими машинами. Это повышает отказоустойчивость и производительность системы.
  • Простота подключения. Чтобы подключить защиту достаточно поменять А-записи DNS и дождаться, когда изменения вступят в силу. Переезд, новое оборудование и ПО — не требуются.
  • Сокрытие реального IP-адреса целевого веб-сервера. Посетитель используют IP-адрес проксирующего сервера для обращения, и с него же получают ответы, что обеспечивает анонимность целевого веб-ресурса.

Reverse proxy — ограничения
У данной технологии есть ряд подводных камней, о которых не очень-то принято говорить. К ее ограничениям можно отнести:
  • Отсутствие защиты от прямых DDoS-атак для самого веб-сервера и инфраструктуры. Если известен IP-адрес целевого веб-сервера, злоумышленники могут провести атаку напрямую, не обращаясь к DNS-серверу. Настройка файрвола на защищаемом сервере не спасает от пакетных DDoS-атак и атак на переполнение каналов.
  • Изменение IP-адресов, используемых для доступа к веб сайтам. Если одних интересует анонимность, то для других сохранение собственных IP-адресов является принципиально важным. Например если компания обладает собственными IP-адресами или целой автономной системой и не хочет ассоциировать себя с компанией, которой принадлежат IP адреса проксирующих серверов.
  • Ощутимые задержки при включении/отключении защиты. Задержки связаны со скоростью обновления информации на DNS серверах по всему миру (DNS propagation). При лучшем сценарии это занимает несколько часов, но может затянутся и на несколько суток. Длительность DNS propagation зависит от времени жизни TTL (Time to Live) DNS-записей, которое определяет через какое время сервер обновит кэш записей.
  • Нельзя защитить сайты и веб-приложения, использующие TCP-порты, отличные от стандартных 80 и 443. Если веб-приложение использует, например, UDP-порт, защитить его не получится. Запросы не будут проксироваться и легитимные пользователи просто не смогут воспользоваться приложением.


Недостатки решений по защите от DDoS-атак на базе “классической” Reverse Proxy начинают ощущаться, по мере того как растущий проект упирается во все большее число ограничений технологии. Какие технические решения способны нивелировать или значительно снизить риски недоступности сайта из-за перечисленных недостатков? — читайте ниже.

Перерастая reverse proxy
Давайте рассмотрим проблему на реальном примере из нашей практики. В прошлом году к нам обратился крупный клиент, с конкретным списком требований к услугам по защите. Мы не можем раскрыть название компании по понятным причинам, а вот потребности клиента — пожалуйста:
  • Обеспечить защиту сайтов от атак на уровне приложений.
  • Снять часть нагрузки с целевых веб-серверов и ускорить загрузку сайтов — у клиента много статического контента, и он заинтересован в кэшировании и сжатии данных на узлах CDN.
  • Обеспечить защиту от прямых атак на IP-адрес/сеть (защита от DDoS-атак на уровнях L3-L4 OSI).
  • Сервисы должны подключаться без изменения внешних IP-адресов ресурсов. У клиента своя AS и блоки адресов.
  • Управление сервисами обработки трафика и переключение на резервные каналы должно происходить в режиме реального времени — уровень доступности ресурса критически важен для клиента.

Решения на основе “классической” reverse proxy с изменением А-записей DNS позволяют закрыть первые два пункта из спиcка.

Услуги вроде защищенного хостинга, виртуальных и выделенных серверов позволяют защититься от атак на уровнях L3-L7 OSI, но требуют переезда и означают использование единственного провайдера защиты. Что делать?

Защита от DDoS внутри сети с защищаемыми сервисами
Установка фильтрующего оборудования в своей сети позволяет защитить сервисы на уровнях L3-L7 OSI и свободно управлять правилами фильтрации. Вы несете существенные капитальные (CaPex) и операционные расходы (OpEx), выбирая такое решение. Это расходы на:
  • оборудование для фильтрации трафика + лицензии на ПО (CapEx);
  • продление лицензий на ПО (OpEx);
  • штатные специалисты для настройки оборудования и контроля его работы (OpEx);
  • каналы доступа в сеть Интернет, достаточные для приема атак (CapEx + OpEx);
  • оплата входящего «мусорного» трафика (OpEx).

В результате эффективная цена за мегабит неочищенного трафика становится неоправданно высокой. Возможности по фильтрации трафика у такого решения в любом случае будут ниже, чем у специализированных провайдеров. Более того, чтобы повысить скорость работы сайта, так или иначе придется прибегнуть к услугам CDN провайдеров. Из достоинств решения стоит отметить, что расшифрованный трафик не покидает периметра защищаемой сети. Этот вопрос мы обсудим подробнее чуть позже.

Даже для крупных компаний, такое решение часто является экономически нецелесообразным, не говоря о среднем и малом бизнесе. Нашему клиенту оно также не подошло.

Проксирование без смены А-записей.
Чтобы удовлетворить потребности таких клиентов, мы разработали технологию перехвата веб-трафика и реализовали ее в рамках услуги удаленной защиты без смены А-записей. В основе решения лежит принцип: Все соединения между АС клиента и публичными сетями должны быть защищены. Клиент передает нам анонсы своих IP адресов/сетей по BGP, а мы анонсируем их в Интернет.


Весь трафик, предназначенный защищаемым ресурсам, проходит через нашу сеть. Клиент может оставить несколько резервных подключений и использовать их в случае непредвиденных обстоятельств, сняв анонсы с сети DDoS-GUARD. В штатном режиме мы советуем использовать только наши подключения для выхода в сеть Интренет, чтобы мы могли гарантировать защиту клиентских сервисов.

На схеме ниже показано, как организована обработка трафика в нашей сети на примере веб-трафика.


  • Клиент указывает IP-адреса, подсети и домены, которые он хочет защитить на уровне L7. Это можно сделать для анонсируемых сетей в личном кабинете или при помощи API
  • В сеть провайдера услуги из сети Интернет попадает клиентский трафик. В первую очередь он проходит базовый анализ и очистку от «мусора» на уровнях L3-4 модели OSI.
  • Система перехвата сепарирует и обрабатывает трафик на основании используемых протоколов уровня приложений. В данном случае TCP пакеты на 80 и 443 порты, содержащие HTTP заголовки, направляются на анализ веб-трафика, остальной трафик доставляется в сеть клиента как легитимный.
  • Веб-трафик проверяется на принадлежность защищаемой подсети. Пакеты с адресом назначения отличным от указанных клиентом проходят дополнительную проверку по имени домена.
  • Весь трафик указанных клиентом IP адресов/доменов проходит обработку на уровне L7. На проксирующих серверах осуществляется фильтрация трафика, оптимизация контента и его кеширование.

Правила для сетей и доменов можно создавать независимо друг от друга. При создании правила для домена не нужно указывать IP-адрес его веб-сервера. Такой подход позволяет не вносить изменения в правила фильтрации при миграции доменов между веб-серверами внутри защищаемой сети. По запросу клиента мы можем изменить правила обработки таким образом, чтобы перехватывать трафик на любых других портах.

Заключение
Теперь давайте проверим удовлетворяет ли разработанное DDoS-GUARD решение списку требований из раздела «Перерастая reverse proxy».
  • Клиент получает защиту от атак на уровнях L3-L7 OSI.
  • Контент сжимается и кэшируется на узлах нашей CDN, что уменьшает нагрузку на целевые веб-серверы.
  • Управление защитой происходит в реальном времени. Клиент управляет правилами фильтрации трафика для подсетей, IP-адресов и отдельных доменов через личный кабинет или API. Изменения вступают в силу пределах 1 минуты. В экстренной ситуации клиент может перенаправить весь трафик в обход сети DDoS-GUARD, просто сняв анонсы по BGP.
  • IP-адреса, принадлежащие компании, остались неизменными. Клиенту не нужно закупать новое оборудование, программное обеспечение, нанимать дополнительный персонал и платить за неочищенный трафик.

В добавок появляется возможность защитить сервисы и приложения, работающие на нестандартных портах.

P.S.
Общие рекомендации по организации защиты вашего проекта:
  • Избегайте туннелей, в т.ч. при доставке очищенного трафика через сеть провайдера — это снижает MTU (Maximum Transmission Unit). Чем ниже MTU, тем больше пакетов приходится фрагментировать, т.е. разбивать, понижая тем самым скорость передачи данных) и ставит ваш сервис в зависимость от политик по приоритезации трафика транзитных операторов.
  • Обращайте внимание на связность сети поставщика услуг — нерационально строить маршрут Красная площадь — ВДНХ, через Рязань или Франкфурт.
  • Резервируйте все подключения (каналы), операторов, оборудование, персонал. В случае с защитой от DDoS предусмотрите «стоп-кран», который позволит экстренно отключать влияние на трафик.
  • Вне зависимости от особенностей используемой схемы защиты веб-сайта, сервис должен предоставлять возможность управлять защитой в реальном времени. Учитывая, что 100% точность фильтрации недостижима, система должна быть управляемой для снижения ошибок I и II рода.

https://ddos-guard.net

Серверные скидки 2021. Стартуем



Из хорошего:
1. Обновились конфигурации выделенных серверов по очень привлекательным ценам. Серверы января стартуют от 3 100 рублей. В наличии платформы HP, Dell и Supermicro. В стоимость уже включены все нужные плюшки:
  • Установка и первичная настройка сервера;
  • Порт 100 Мбит/сек + безлимитный трафик;
  • Адрес IPv4, предоставление IPMI на первые 3 дня;
  • Бесперебойное питание.
Готовность сервера — 2 часа. Любую конфигурацию можно улучшить под ваши задачи. Количество серверов по указанным ценам ограничено, поэтому переходите к списку прямо сейчас.
rackstore.ru/arenda-servera.html

2. Акция на бесплатный месяц размещения продлена на январь.
При размещении сервера или нескольких единиц оборудования в дата-центре Tier-3 в январе, первый месяц услуги обнуляется. Вы получаете полноценную услугу, за которую не надо платить в первый месяц. Условия действуют для пользователей, ставших клиентами в январе 2021 г.
В услугу уже включено:
  • Установка сервера в стойку;
  • Порт 100 Мбит/сек с безлимитным трафиком + 1 IP-адрес;
  • Консоль KVM over IP на первые 3 дня;
  • Бесперебойное питание.
rackstore.ru/news/colocation-besplatno.html