Встречайте Managed Kubernetes


Новые возможности с K8s
Мы запустили сервис автоматизированного управления кластерами Kubernetes в Облаке Рег.ру.

Managed Kubernetes (он же Kubernetes-as-a-service (KaaS)) является де-факто стандартом рынка облачных услуг и важной вехой развития нашей облачной платформы. Мы постарались сделать наш сервис максимально простым и удобным, взяв за основу лучшие отраслевые практики.

www.reg.ru/cloud/managed-kubernetes

Несколько причин выбрать KaaS в Рег.ру
  • Быстрый запуск. Собственная разработка от Рег.ру позволяет заказать готовое решение, создание которого занимает не более пяти минут.
  • Поминутная тарификация. Доступные цены на сервис: от 7,7 ₽/час за кластер в минимальной конфигурации. А также постоплатный режим работы биллинга, так как вы платите за используемые ресурсы.
  • Простое масштабирование. Гибкое управление настройками контейнера Kubernetes позволяет ориентироваться на требования проекта. Также доступна возможность создания нескольких групп worker-нод.
  • Высокая производительность кластеров. Благодаря использованию новой платформы на базе процессоров AMD EPYC.
  • Отказоустойчивость и безопасность. Поддержка создания распределенных master-нод. А также сетевая изоляция кластеров от других клиентов.

Кому подойдет
Kubernetes требователен к приложениям, с которыми работает — они должны функционировать строго по принципу микросервисов. Тем не менее, K8s применяется во многих отраслях как дополнение или альтернатива IaaS, потому что обладает встроенными механизмами масштабируемости и отказоустойчивости. Больше всего KaaS подойдет разработчикам ПО и крупным eCommerce-проектам.

Новый Ryzen 9950X - Anti-DDoS - Amsterdam - Резервное копирование - BGP



Узлы основаны на совершенно новом серверном оборудовании, в основном от Supermicro (даже Ryzen), все ECC RAM, U.2 enterprise NVMe, и каждый узел с 2x 10G uplinks.

Optimized Frequency Cloud
OFR-25-1C-2M
  • 1x AMD Ryzen 9950X vCPU (4.3 GHz cores)
  • 25 GB Enterprise U.2 NVMe SSD (PCIe 4.0)
  • 2 GB DDR5 ECC 3600 MT/s
  • 1 Gbit/s Uplink
  • 10 TB Traffic, after that limited 10 Mbit/s unmetered
  • 1x IPv4 Address
  • /64 IPv6 Subnet
  • Best-Effort DDoS Mitigation Included
  • VirtFusion Control Panel (KVM)
portal.hybula.com/store/ofr/ofr-25-1c2m

Optimized Core Cloud
OCG-25-2C-2M
  • 2x AMD EPYC Genoa vCPU (3.1 GHz cores)
  • 25 GB Enterprise U.2 NVMe SSD (PCIe 4.0)
  • 2 GB DDR5 ECC 4800 MT/s
  • 1 Gbit/s Uplink
  • 10 TB Traffic, after that limited 10 Mbit/s unmetered
  • 1x IPv4 Address
  • /64 IPv6 Subnet
  • Best-Effort DDoS Mitigation Included
  • VirtFusion Control Panel (KVM)
portal.hybula.com/store/ocg/ocg-25-2c-2m

Сетевые потоки: Arelion, Cogent, Liberty Global, Lumen, ERA-IX
Информация о сети: bgp.tools/as/35133
Объект: Iron Mountain AMS-1 (Амстердам)
Looking Glass: lg-nl-ams.hybula.net/
Discord: discord.gg/JHaTPSJHNG

Более 10 лет назад мы не предлагали KVM через IPMI/BMC



Более 10 лет назад мы не предлагали KVM через IPMI/BMC на Baremetal по умолчанию, как сегодня. Мы предложили платную опцию «KVM», которая позволяла клиенту иметь временный KVM на своем сервере на срок от 24 до 48 часов. Мы использовали KVM-бокс, который подключали и отключали для каждого клиента, который воспользовался этой опцией и которому требовался KVM… вручную… другая эпоха… короче…

Эти ящики уже несколько лет не использовались ни одним клиентом и с тех пор не подключались ни к одному серверу. Мы отключим их и выбросим в мусор.

Так зачем этот пост? Мы вполне уверены, что эти ящики, датированные до 2010 года, имеют недостатки в безопасности, и думаем, что хакер позабавился на одном из этих 80 ящиков. Если взлом действительно имел место, хакер ничего не сможет с этим поделать, но вполне вероятно, что он сообщит о своем эксплойте. Это было бы нормально! Итак, если вы видите, что кто-то публикует сообщение о «взломе KVM в OVHcloud», вы уже все знаете. Я добавляю подтверждение того, что, если взлом произошел, то, конечно, это не повлияет на клиентов и не предоставит никаких данных о клиентах.

Этот пост ради прозрачности!

СПАСИБО!

Изменения в API выделенных серверов и размещенного оборудования



Напоминаем, с 31.08.2024 работа с API выделенных серверов и размещенного оборудования будет доступна только при авторизации с токеном проекта Keystone. Как получить токен проекта Keystone, рассказали в документации.

Не забудьте до 31.08.2024 внести определенные изменения в ваш код и авторизоваться с токеном проекта Keystone, чтобы сохранить интеграцию в рабочем состоянии.

developers.selectel.ru/docs/control-panel/authorization/?pk_vid=3c4f1de32e3a6c2b1724131023d33ef1#токен-для-проекта

Пополняйте баланс и получайте кешбэк!



До 2 сентября на платежи с рекомендованными суммами и выше будет начисляться кешбэк 10%. Во время акции можно пополнять баланс неограниченное количество раз, максимальной суммы кешбэка нет.

Пополнять баланс можно любым доступным способом, посмотреть рекомендованную сумму можно через форму пополнения баланса на сайте или в Личном кабинете.

https://firstvds.ru

Сервер навсегда



Уникальное предложение до конца лета! Осталось ограниченное количество.
Параметры сервера зафиксированы навсегда и никогда не будут меняться.

Вечный сервер в Амстердаме:
  • 1 core / 1 Gb RAM / 30 Gb NVMe / 32 Tb трафика в месяц — 150$
  • 2 core / 2 Gb RAM / 40 Gb NVMe / 32 Tb трафика в месяц — 300$
  • 4 core / 8 Gb RAM / 80 Gb NVMe / 32 Tb трафика в месяц — 1000$

Скорость подключения сервера к сети интернет 10 Гбит/сек
  • Лучшие каналы связи с СНГ и всем миром
  • Защита от DDoS-атак любой мощности
  • Защита от дегенератов — доступны все сайты — свободный интернет
  • Оплата с рублёвой карты РФ, криптой, иностранной картой через Stripe
  • Готовые шаблоны WireGuard VPN, Outline VPN, 3X-UI VPN, Marzban VPN, IPsec VPN, OpenVPN

Заказать вечный сервер https://www.vdsina.com/ru/pricing/eternal-server
Обсудить в телеге t.me/vdsina

С уважением,
VDSina.ru
https://www.vdsina.com

Авария на М9 в начале июля — я обещал разбор





Возможно, вы ждали, что мы затолкаем этот косяк под ковёр, как и следовало бы сделать обычному хостинг-провайдеру. Но я обещал рассказать подробнее о причинах простоя.

Итак, оператор связи в дата-центре М9 запланировал техработы с 23:00 4 июля до часу ночи 5 июля по Москве. Предварительно — им нужно было обслужить и при необходимости поменять коммутатор уровня ядра плюс провести ещё ряд сопутствующих работ. Обещали до 2 часов без связи. Для нас это считается простоем (несмотря на то, что виртуальные машины работают и некоторые VDS-хостинги не рассматривают ситуацию без отключения сервера как простой) — мы оповестили своих клиентов, чьи ВМ физически были размещены в этом ЦОДе.

Примерно под конец планового времени простоя дата-центр сообщил про продление работ до 06:00 5 июля, то есть ещё на 5 часов. Уведомить об этом продлении в адекватное время мы не успели, потому что в этот момент как раз и закрутилась история.

Что вам надо знать про автономную систему для анонса сети

Фактически оператор связи поменял систему, откуда шёл анонс наших сетей в М9.

За несколько месяцев до этого из-за ужесточения всех регуляторных политик Роскомнадзора и санкционного давления на международного оператора связи (магистрального уровня) они, магистральщики, потребовали от нас заменить систему анонсирования со своей на нашу, чтобы вот эти российские IP-адреса не имели никакого отношения к их оборудованию.

Если что, анонс сетей — это идентификатор, кому принадлежит IP. Что-то вроде ИНН организации, только идентификатор сети. Идентификатор начинается на AS — автономная система, дальше набор цифр. Когда вы вбиваете свой айпишник на сервисе проверки IP и получаете название своего оператора — это как раз по IP устанавливается AS, а из него уже устанавливается, чья это сеть.

До этого времени магистральщики анонсировали сети со своих автономных систем. Если кто-то на что-то жаловался, то абуза просто пересылалась нам, мы реагировали. Физически на администрирование адресов это никак не влияло. После замены автономной системы, условно, был один адрес в реквизитах, стал другой.

Мы зарегистрировали автономную систему, это очень просто, примерно как поцеловать гадюку. Это некая новая сущность, которую надо админить и подавать отчёты в тот же РКН. Но взяли в работу, бесшовно заменили, и никто переключения не заметил — собственно, так и должно быть.

Что важно, в этот момент в RIPE NCC добавляется новая запись, а старая не затирается. Если всё работает хорошо, используется прайм-запись, если прайм не отвечает — используется старая. Далее, когда всё штатно работает, уже убирается старая. В районе марта мы убрали из RIPE старую, и осталась только актуальная (на самом деле не везде: есть 4 сети, где без согласия владельца арендованного IP нельзя удалять AS, только добавлять — но их мы со временем заменим). И всё работало штатно.

Возвращаемся в вечер 4 июля в M9

Итак, меняется железо, откуда физически отправляется анонс сетей. На момент техработ мы уже давно бесшовно сделали смену анонса, и актуальные данные по принадлежности сетей есть в двух базах — государственной РАНР и RIPE, которые совпадают с реальностью. Это важно, потому что для оборудования ТСПУ данные РАНР — основные. Если вдруг анонсы идут не так, как указано в РАНР, налицо подмена сети и трафик в ней блокируется.

Оператор менял коммутационное оборудование и наступил на те же грабли, на которые уже один раз наступали всем Рунетом.

Но детали мы узнали немного позже. Сначала у нас просто всё поднялось и заработало задолго до заявленного конца техработ. Потом, когда техработы закончились, трафик ещё некоторое время лился, чего хватило ровно на то, чтобы отметить, что опасный период пройден. А потом у нас вдруг отвалился трафик с площадки. Точнее, с серверов, расположенных на M9.

На самом деле всё чуть хитрее. Часть трафика отвалилась ещё до конца техработ, ночью. Админы ВМ, то есть наши клиенты, писали про это тикеты, а наши админы поддержки, соответственно, со спокойной душой их закрывали со словами «так техработы у провайдера же». Потом техработы кончились, а проблемы сохранились. Тамошние админы закрыли техработы и пошли спать. К моменту, когда они уснули, мы подняли ещё одну смену и вместе поняли, что работы закрыли как-то криво.

Около 6 утра мы висели на линии с админами ЦОДа и работниками магистральщиков. Но те админы, которые всё сделали, уже спали, следующие нормальные спецы просыпались в 10 утра, а те, что были на месте, имели полномочия только перезагрузить. Причём примерно полчаса ушло на диалоги в духе:
— Алло, пожарная! У нас напротив красный кирпичный дом горит!
— Да? А у нас тоже напротив такой же, и он не горит.

В итоге включили и выключили они несколько раз, это не помогло. В общем, если вам говорят про поддержку 24/7, помните, что иногда тикет начинается с побудки админа, который не 24/7.

Сначала мы грешили на кривой коммутатор. По симптомам это была аппаратная ошибка, и буквально недавно мы с такой же сталкивались. Почему мы так думали — потому что трафик терялся не из всех сетей. 4 подсети работали отлично и как ни в чём не бывало.

Железо включено, всё работает. До серверов можно по iBMC достучаться.

В это же время у нас в телеграм-канале начали появляться комментарии с разными невероятными версиями, которые вывели из себя дежурного админа, и так разогретого беседой со специалистами ЦОДа, и он успел пару раз не очень приятно для нас ответить. Эти комментарии до сих пор под постом, никто ничего не удалял, но объяснить пару вещей пришлось. Если вам хочется ответить резко — лучше разбудить меня или кого-то ещё из бизнеса. Вообще, кстати, меня не будили, считая, что это чисто техническая проблема — и, наверное, зря.

По трассировкам удалось понять, что же именно происходит — оборудование ТСПУ РКН дропало наш трафик. Стали думать, что проблемы там — потому что, повторяю, дропался не весь трафик, 4 сетки ходили без проблем. Но отключить трафик от ТСПУ нельзя, у нас и доступа к нему нет, да и оператор связи не имеет на это права.

Наконец, поняли, что же случилось. В общем, сотрудники оператора сменили старый коммутатор в нашей зоне и накатили не текущие конфиги, а из бекапа примерно полугодовой давности. Почему — это большой вопрос, на который от оператора до сих пор нет ответа. Сказали, человеческий фактор, ошибка админа.

В старом конфиге был старый анонс и старые данные по AS. Дальше оборудование ТСПУ увидело, что трафик автономки не совпадает с их базами, и нам начали резать трафик, потому что явно же какие-то мошенники. По правилам ТСПУ, при таком несоответствии попытка соединения есть, а трафик никуда не идёт, ничего не работает.

Примерно так же было в феврале, только в больших масштабах. До сбоя в Рунете не тот конфиг залили на коммутаторы.

Дальше возник вопрос — что делать быстрее. Можно в RIPE внести старую автономную систему, но растекание до новых анонсов от 2 часов до 2 суток. Либо срочно менять обратно конфиг на новом коммутаторе. В итоге приехал главный инженер этого оператора связи, как только поняли, что случилось, оперативно сделал. От 10 до 30 минут на разных подсетях анонсы разлились на правильную автономку, и всё заработало.

Осталось понять, что же было с теми 4 подсетями, которые работали

Тут сработал другой человеческий фактор.

Как я уже рассказывал, при смене AS при добавлении новой системы она становится прайм, а старая — вторичной. Потом старая удаляется. Так как сети в аренде, какие-то владельцы дают доступ поменять эти данные, какие-то нет и делают это сами. В целом старую можно и оставить, но правило хорошего тона — написать в RIPE и попросить убрать ненужные упоминания автономных систем. На большинстве систем так и было сделано в марте. Так как арендуем мы у разных личностей, где-то изменения идут оперативно, где дают сделать самим, где-то месяцами. На четырех подсетях не убрали старые автономки, то есть ТСПУ видели, что они актуальные, одна из автономок соответствовала. Чтобы вы понимали, почему анонсы не убрали, просто объясню, что конечные владельцы одной из сетей — иностранцы. Они сидят и не хотят менять — работает, не трогайте. У нас они были в плане на замену всех 256 адресов, но заменить не успели.

В итоге вредность владельцев сетей привела к тому, что эта сеть работала и осложнила нам постановку диагноза по другим. В остальных трёх плюс-минус такая же история.

Итого

На ряде машин даунтайм по сети был 7 часов. По тем машинам, где даунтайм вышел за пределы технических работ дата-центра, мы выплатили компенсацию согласно нашему sla.

Интересно, что в ЦОД входит два разных луча только этого провайдера двумя независимыми маршрутами: один из европейской части РФ, второй с восточной части страны. Физически это как будто два разных оператора в одном. Это независимые инфраструктуры в рамках одного глобального оператора. Но ТСПУ у всех операторов связи одинаковые. Через кого пакеты — всё фиолетово. Так что концепция критической инфраструктуры устаревает, я как раз недавно написал статью в Forbes про то, куда смещается сегодня ландшафт рисков.

На всякий случай, если у вас ценная инфраструктура, берите машины в двух геораспределённых ЦОДах или провайдерах, как советует Амазон. Потому что даже у них регулярно подобное происходит. Может ли такой сбой повториться — да, может, и легко.

С провайдера до сих пор компенсацию мы не получили, хотя заявили сумму ущерба эквивалентную тому, что мы заплатили.

Никто, кроме нас, с тех пор про этот сбой ничего не опубликовал.

ruvds.com/ru-rub

Встречайте новый VPN от PQ.Hosting — более 35 стран и до 10 устройств за 6€!



Готовы к настоящему прорыву? Теперь с PQ.Hosting вы сможете открыть для себя мир без границ!

Встречайте новый VPN c расширенным функционалом, который позволяет вам подключаться ко всем доступным странам (более 35!) всего за 6 евро в месяц! Только задумайтесь, это цена нескольких чашек кофе, а взамен вы получаете неограниченную свободу в интернете. С PQ.Hosting вы сможете наслаждаться безопасностью и качеством, которые стоят каждой вложенной копейки.
pq.hosting/buy-tunnel

Но это еще не всё — забудьте о лимитах! Теперь вы можете подключать до 10 устройств одновременно и наслаждаться свободой интернета без компромиссов! Новый VPN работает на базе современного протокола, который гарантирует вам высокую скорость и максимальную безопасность.

Важно для текущих пользователей: старые тарифы продолжают действовать до конца оплаченного периода, поэтому у вас есть время оценить все преимущества нового предложения.

Почему стоит выбрать VPN от PQ.Hosting:
  • большой выбор локаций и 10 активных устройств;
  • кроссплатформенность: поддержка Windows, macOS, Android, iOS, Linux и роутеров;
  • самые современные и надёжные алгоритмы шифрования;
  • безлимитный трафик;
  • высокие скорости;
  • простая настройка и поддержка 24/7.

Представьте: Париж манит ароматом круассанов, а на Times Square вот-вот начнется грандиозное шоу. С новым VPN от PQ.Hosting вы можете оказаться где угодно в один клик! Забудьте о блокировках и ограничениях — ваш онлайн-мир становится безграничным, как и ваши амбиции. Подключайтесь и путешествуйте по всему миру, не выходя из дома!
pq.hosting/buy-tunnel

Снизили цену на LUN СХД на 40%



Снизили цену на LUN СХД на 40% для новых заказов — до 12 ₽ за 1 ГБ. Минимальный объем заказа остается прежним — 1 ТБ, его стоимость — 12 000 ₽/мес.

Также действуют скидки на объем:
  • 5% от 10 ТБ,
  • 10% от 20 ТБ,
  • 15% от 30 ТБ,
  • 20% от 50 ТБ.
Что такое LUN СХД

LUN СХД — изолированная часть высокопроизводительной системы хранения данных Huawei OceanStor Dorado 5000 V6 из линейки All flash. Мы отвечаем за работу LUN СХД и администрируем его.

Вы можете арендовать LUN объемом от 1 ТБ и подключить к вашим серверам. Производительность — 8 000/8000 IOPS на ТБ.

LUN СХД подойдет для:
  • развертывания собственной системы виртуализации,
  • использования как Persistent Volume для Kubernetes,
  • работы с горячими бэкапами,
  • размещения высоконагруженных баз данных.
Заказать LUN СХД my.selectel.ru/servers/lun

Условия подключения LUN СХД
  • LUN СХД подключается к серверам, расположенным в Москве, в пулах МСК-1 и МСК-2. Для подключения в другом регионе оставьте запрос через тикет.
  • У сервера есть дополнительная сетевая карта от 10 Гбит/с к SAN-сети. Например, можете добавить сетевую карту при заказе сервера произвольной конфигурации или через апгрейд уже заказанной машины. Как это сделать: страница сервера Custom -> вкладка Конфигурация -> кнопка Изменить конфигурацию. В разделе Дополнительные сетевые карты выберите 2 × 10 GE + MPIO к SAN сети 10 Гбит/с.

Также можете подключить LUN СХД к собственному оборудованию, размещенному в наших дата-центрах. Подробности уточняйте у специалистов технической поддержки.
Аренда выделенных СХД

Если вам нужна изоляция на аппаратном уровне, используйте выделенные СХД от Huawei, Infinidat, Lenovo, HPE и других производителей. Все ресурсы СХД будут полностью в вашем распоряжении, а вы сможете заменить капитальные затраты на операционные.

Не можете выбрать оптимальное решение для хранения данных? Оставьте запрос. Наши инженеры свяжутся с вами и предложат решение, которое подойдет для вашей задачи.