Beget network 2016

Год назад мы публиковали новость об улучшение связанности нашей сети. Сегодня мы расскажем, что мы сделали за этот год.
Суммарный объем внешних каналов нашей сети вырос с 90 Гб/c до 175 Гб/с. Все резервное оборудование заменено с Cisco на Juniper. В данный момент нашу сеть обслуживают два маршрутизатора Juniper MX480 и Juniper MX960. Сервера для хранения резервных копий перенесены в отдельный дата-центр Miran, между которыми организован оптический канал связи. Суммарно мы подключили 11 новых провайдеров.

Читать дальше →

.masterhost примет участие в главном весеннем мероприятии Рунета – юбилейном 20-м форуме «РИФ+КИБ 2016»

С 13 по 15 апреля 2016 года в подмосковном пансионате «Лесные Дали» пройдет 20-ый по счету Форум «РИФ+КИБ 2016», который по праву считается одним из важнейших мероприятий интернет-отрасли в России. .masterhost как один из крупнейших российских хостинг-провайдеров примет участие в Выставке продукции и достижений ключевых ИТ-компаний, которая пройдет в рамках Форума.

.masterhost примет участие в юбилейном 20-м форуме «РИФ+КИБ 2016» и разыграет ценные призы

Профессиональный хостинг-провайдер .masterhost с 13 по 15 апреля приглашает всех желающих посетить стенд компании № С28 в главном корпусе пансионата «Лесные Дали», где в рамках Форума «РИФ+КИБ 2016» пройдет Выставка ведущих ИТ-компаний.

Посетители стенда № С28, посвященного .masterhost, смогут получить информацию о ключевых новинках рынка хостинга и регистрации доменных имен, подробнее узнать об услугах и предложениях .masterhost. Представители компании будут рады ответить на интересующие аудиторию вопросы.
Каждый посетитель стенда .masterhost получит материалы с подробным описанием сервисов компании, а также возможность принять участие в розыгрыше ценных призов.

Для того, чтобы посетить «РИФ+КИБ 2016» и Выставку, необходимо предварительно зарегистрироваться на сайте Форума.

Добраться до пансионата «Лесные дали», в котором пройдем мероприятие, можно следующими способами:

Собственным транспортом: по Рублево-Успенскому шоссе проехать «Горки — 10», далее направо по указателю «Пансионат «Лесные дали»».

Общественным транспортом: от ст. метро Молодежная на маршрутном такси №121 до пансионата или с Белорусского вокзала до платформы «Жаворонки», далее автобусом №32 (Жаворонки-Лесные дали) до конечной остановки.

Наша цель - сделать качественную защиту для всех наших клиентов!



Теперь, немого о текущей ситуации и о том, что нами было проделано в последнее время.
По моему ощущению 2016 год пройдет под знаком DDoS. Думаю, что в этом году мы все станем свидетелями огромного количества атак на всё подряд и на всех подряд. Об этом свидетельствуют целый ряд факторов:
  1. Мощность средней атаки выросла в 3-6 раз по сравнению с предыдущим годом. По нашей собственной статистике, в 2015 году редкая атака на наши ресурсы превышала 10 Гбит/с. Но буквально с декабря прошлого года средняя сила атак стала 25-30G, а самая крупная атака на нас была почти в 60G.
  2. Стоимость подобных атак стала стоить копейки. Буквально за 5$ в месяц, можно купить аккаунт и поливать налево и направо.
  3. В этом году уже пошли массовые атаки на различных хостеров, положили не только нас и нескольких коллег по цеху обитающих здесь на серчах, но даже и нынешнего лидера российского хостинга: roem.ru/21-03-2016/221280/regru-fall/ Также, прошли успешные атаки и на другие очень крупные интернет-ресурсы.

Но больше всего в текущем положении дел удручает то, что большинство IT-компаний просто не готовы своими инфраструктурами выдерживать возросшую силу ддос-атак.
Собственно говоря, отсутствие здесь моих комментов на этой неделе было связано как раз с тем, что мною и моей командой были проведены целый ряд ключевых встреч и переговоров по организации защиты нашего ДЦ от DDoS-атак. И самое печальное во всем этом, что вопрос упирается не деньги, а в отсутствие технических возможностей для быстрого развертывания хорошей защиты на необходимом уровне практически у всех, с кем мы общались. Вот несколько примеров:
  1. Один из ведущих экспертов по развитию услуг информационной безопасности одного из операторов большой тройки был сильно удивлен, когда мы сказали, что ддосы в 30G на нас это норма, а в пике было и 60. В своей практике он не сталкивался с ддосами больше 25G (везет ему, если бы у нас это было пиковым значением, наверное вообще почти никто не заметил бы из наших клиентов), при этом они активно продвигают свою услугу защиты от ддос, с центром очистки с максимальной пропускной способностью до 80G. Хватит на 1,5 таких клиента как мы .
  2. На наше предложение оператору связи №1 в России, расширить с ними стык на М9 с 10 до 80G, сначала долго совещались между собой, потом сказали, что оперативно смогут поднять только до 20G, а к концу апреля только до 40G. Как-то так...
  3. Ну о том, как прилег ТТК, когда мы встали под ддос-гвард, я уже писал… Поступало и много других предложений для защиты нас от атак аж до 20G!.. Здорово конечно, но это мы как-нибудь и сами отфильтруем.
В общем кажется мне, что в этом году у многих будут откровения и много SLA полетят в топку ддосов.

В общем то, это было понятно, что надо наращивать инфраструктуру еще в прошлом году. Но, к сожалению, не всегда получается делать все настолько быстро как мне того хочется, мир — достаточно инертная штука ).
Тем не менее, подвижки есть.
Попытка прикрыться ДДоС-Гуардом, оказалась не совсем удачной. Хотя со многими атаками они успешно справились, было несколько, достаточно мощных атак, от которых шатало самих гвардов и их апстримов. С добавлением нас в качестве клиентов, возникло ощущение, что возможности их системы фильтрации были на пределе своих ресурсов (честно говоря, думалось, что мы не очень большой генератор трафика, но видимо, получается, что не маленький).

Также, идея пропускать весь трафик через фильтры оказалась не очень удачной. Хотя это и дает возможность моментальной реакции при начале атаки, возникает очень много ложных срабатываний (из-за этого и происходили спонтанные обрывы сессий).
Тем не менее, мы продолжаем переговоры с гвардами и на понедельник запланирована встреча с ними у нас в офисе на предмет обсуждения альтернативных схем эффективной защиты от атак.
В настоящий момент, мы переключились под защиту от Ростелекома, которая построена на железках одного из лидеров в этой области Arbor Networks. Плюсы — фильтрация трафика происходит только в случае атаки. Минусы — время срабатывания детектора атаки и перевод трафика на очистку может достигать до 5 минут из-за этого и наблюдаются периодические провалы в доступности ресурсов. В течение этой недели нам удалось настроить фильтры на ключевые ресурсы совместно со специалистами из РТ. Некоторые ресурсы были переведены под постоянную защиту.

По этому, если Ваш сайт или сервер атакуют мелкими но частыми атаками, пишите в поддержку, будем вешать их на постоянную защиту.
Закончено тестирование антиддос-железки Radware DefensePro. В целом, наши админы остались довольны тестовым образцом. По этому поставили на заметку к возможному приобретению старшей модели. Однако, ждем железку от Huawei которая должна приехать к нам до 15 апреля на тест. Поскольку ее производительности хватит на закрытие от атак всего ДЦ, финальные тесты попробуем провести на живом трафике, о чем оповестим заранее. По окончании тестов будем определятся с покупкой.
Сегодня (в пятницу), привезли на тест анализатор атак от Инновентики, поставили на стенд, будем проводить испытания.
Анализатор атак понадобится в дальнейшем для выстраивания правильного контура очистки, наподобие того, как это сделано в OVH.

По факту, мы сейчас гоняем трафик только через Ростелеком, в силу того, что другие апстримы не смогли оперативно организовать защиту от атак в своих сетях. К сожалению, это несколько ухудшило нашу прекрасную связанность с другими сетями (отсюда и увеличение пингов по некоторым направлениям). Но к сожалению, без защиты сейчас вообще никак.
Тем не менее, мы уже ведем работы по модернизации нашей сети с целью подготовки контура очистки трафика, пока мы определяемся с покупкой железа для контура, постараемся отдать очистку трафика на аутсорс (например, к тем же гвардам и/или РТ), при этом используя собственные внешние каналы для приема и передачи трафика. Как только закончим работы, связанность будет полностью восстановлена и даже улучшена, за счет подключения новых апстримов.
Параллельно, продолжаем прочесывать рынок на предмет поиска интересных решений в области защиты от атак при большом объеме разнородного трафика.

В России зафиксирована ddos-атака беспрецедентной мощности



13 и 16 марта система защиты DDoS-GUARD подверглась серии беспрецедентно мощных ddos-атак.
Зафиксированная пиковая мощность достигла показателя 259 млн пакетов в секунду, что в 5,5 раз превышает мощность самой мощной атаки, зафиксированной в 2015 году компанией DDoS-GUARD, и на 38 млн пакетов в секунду больше, чем самая мощная атака, зафиксированная компанией Akamai. На данный момент эту атаку можно считать одну из самых мощных в мире. Для сравнения, среднее значение — чуть более 100 тыс. пакетов в секунду.

В общей сложности хакеры пытались преодолеть систему защиту в течение более 7 часов. Для этого атакующие использовали крайне нетипичные паттерны трафика. Дежурная команда инженеров смогла оперативно перенастроить алгоритмы системы защиты, чтобы атакуемые ресурсы клиентов не пострадали.

По оценке наших аналитиков, для организации такой атаки потребовались несколько выделенных серверов и разветвленная сеть компьютеров-ботнетов для генерации трафика, — прокомментировали в DDoS-GUARD.

Таким образом были атакованы сети сразу нескольких клиентов. Технические специалисты оперативно провели анализ и уже интегрировали алгоритмы превентивной защиты на случай подобных атак в будущем.

Happy New Year with Online.net


Happy new year 2016!

Me and my teams wish you an excellent new year 2016 with many new projects and success on the Internet!

2015 was an exceptional year with the introduction of your favorite hosting company at the 5th position of the Largest Internet infrastructures TOP10, and still growing. (*)
Our web cloud hosting offers, Scaleway and our WOPR high-end servers had considerable success, thank you for trusting us!

We are investing significantly to open three new datacenters:
  • The extension of DC3 (12MW)
  • The opening of DC4 (8 MW)
  • And finally the mega datacenter DC5 (32MW), a former postal sorting office that we have just bought.
The three new datacenters will meet our growing needs until 2025 and will be certified, this year, with:
  • ISO-27001
  • PCI-DSS
  • Health data host (HDS)
  • Secret Defense (SD)

In the upcoming weeks we will completely renew our PERSO and START ranges. Including our Dedibox SC, after six years of loyal services.

See you soon at Online and have a Happy New Year!
Arnaud de Bermingham
Chief Executive Officer

2016 Product Roadmap

The 2016 Product Roadmap at a Glance
What’s new for 2016? Dedicated Cloud, Public Cloud, web hosting, domain names, dedicated servers, Exchange, and Office 365, our product managers provide you with an overview of the key developments which OVH is planning for the upcoming months.



Focus on Dedicated Cloud with Mehdi Bekai
In 2015, market requirements in terms of infrastructure exploded and the definition of QoS evolved greatly. We no longer speak about occasional flexibility but rather dynamic scalability, nor about high availability but instead 100% availability. All of this is to meet the constant and ever increasing hardware and network requirements resulting from exponential growth in content, in requests and in IOPs on a global and multi-datacentre level. For Dedicated Cloud, we are maintaining our original vision: take the best of virtualisation and cloud to offer you a 100% dedicated infrastructure. Therefore, our challenge is to continuously offer the features you need today, but also to anticipate the future and work on integrating innovative services that will change your vision of hosting.
To continue to offer you the services and features that you require and expect, our teams are working on many projects simultaneously.

Network
At the infrastructure level, the equipment upgrade will be finalised in order to meet your anticipated bandwidth requirements, especially for vRack. We will offer you even more bandwidth, among existing datacentres and those to come, total IPv6 compatibility and the possibility to interconnect OVH services with your Dedicated Cloud VMs more easily.
We also want to simplify deployment and daily management. Though the preconfigured vLAN responds to 95% of today’s needs, we want to go even further by offering you total network virtualisation. After a long test phase, we are going to offer VMware’s NSX solution which makes it possible, in a few minutes, to perform your entire network configuration with access to a library of preconfigured VMs to deploy load balancing, firewalls, or even VPN.

Services
The “As a Service” concept has become a must have and as such is a reoccurring theme on Dedicated Cloud. Internally, the Lean approach allows us to focus on the essential, simplifying in 1 click dozens of often complicated operations. Veeam Backup is a concrete example as only one click in vShpere is enough to backup your data.
We are going to extend the integration of new Veeam features, notably calendar management of your backups, customised reports and access to the Enterprise license, unlocking all of the features available in the solution’s control panel.
The step following your backup strategy is the Disaster Recovery Plan (DRP). What is your recovery plan if your main infrastructure has an incident? To meet this need, the solution Zerto will be offered to easily configure your disaster recovery plan remotely.
Does your business host banking data?
As the foundation of Dedicated Cloud is PCI DSS certified, we offer a simplified compliance option of your virtual infrastructure. With direct access to your administrative and technical documents, we can assist you step by step so that your Dedicated Cloud meets the requirements of the PCI DSS standard.
To follow the health of your infrastructure and anticipate resource needs, we have developed vScope. This tool, first used internally, sends basic indicators which are vital for managing your Dedicated Cloud. To go even further, and particularly to respond to the need to automatically scale or perform advanced diagnostics, we propose the vROPS solution by VMWare which has already been deployed on some test infrastructures and delivers a comprehensive view of the infrastructure.

The 2016 Range
Following user feedback, we have decided to simplify our Dedicated Cloud offer. We will concentrate on a unique range composed of Intel processor, keeping the choice in power of hosts while adding new datastore capacities. For those needing even more power, we are currently testing vSAN technology and its stability under real conditions. If all the indicators are positive, we will see if this service can be integrated into Dedicated Cloud.

Public Cloud and VPS by Jean-Guillaume Burlet
The year 2016 looks to be very exciting for the OVH Public Cloud teams. We are going to start by offering you some of the services that you expect: Openstack private networks through vRackbootables instances from a disk volume and even migration and inter-datacentre load balancingAs the IaaS range already gives you the choice of instances with optimised CPU or RAM, we will now offer a third, optimised disk option. Disks with boosted performance will respond to any of your projects requiring the most demanding uses in terms I/O.
PaaS will arrive as we will gradually introduce the following offers, all as a service: Database, Queue, Logs and Deploy.
VPS has not been excluded, since it already takes advantage of the Public Cloud infrastructure, it will therefore be compatible with our IP failover and vRack services. An option for additional disks will soon emerge to respond to the growing demand to modify storage size. Of course, we will continue to study the possibility of new distributions. Migration from VPS to Public cloud will also become a reality. Lastly, so that you are always best informed about all of the possibilities that we offer, you can expect more communication, documentation and transparency on our quality of service.

The world of web and domain names with Sébastien Almiron
Concerning domain names, we are going to keep offering you more extensions and cover more countries; you will see a new, simpler and faster (3 clicks to order) ordering process and control panel appear along with a manager optimised for large portfolios and performing bulk actions.You can finally reserve your domain names for several years and have the possibility to put in place a registry lock for even more security for your important domains! You will also have the be able to create your own packs and manage your own DNS zones in a more ergonomic manner.
Concerning web hosting, you have already seen that we have announced a partnership with Let’s Encrypt, which will allow us to offer free SSL certificates. Among the other new additions, you will be able to choose the datacentre in which your hosting will be installed (among current and future); we will offer PaaS and DBaaS.
Reseller partners will also benefit from new management of their email accounts as well as from modular hosting, and much more.

Focus on Dedicated Servers, with Maël Dréano
Increased performance has been a key element of our dedicated servers for a number of years and will become our top priority. In 2016, OVH dedicated servers will see the arrival of new CPU architectures, new GPU cards, and even faster storage devices
Bringing you new storage solutions is our second goal for 2016, with new offers permitting to increase flexibility and scalability of storage, for centralised or distributed infrastructures.
Being able to measure more efficiently the performance of our infrastructures through new testing/benchmarking solutions will also become a main focus of our work. We will then be able to finely adapt our configurations for issues that you may encounter and to meet the needs of your real use cases.
To allow you to quickly integrate new resources to your projects, we are also working on a complete revamp of the ordering process: on the web site, directly from the API or from your customer control panel.
Finally, regarding the delivery of servers, there are also new opportunities emerging. In addition to choosing the datacenter, it is going to be possible to choose the rack and date of which your server will be delivered. This is one more step in “rack awareness”.

Focus on Exchange and Office 365 by Rémi Bacha
Exchange 2016 will be available on partners.ovh.com during the first quarter. As an OVH partner, you will be able to access the latest version of Exchange with advantageous pricing conditions.
Within the logic of continuous improvement of our migration to Exchange accounts, we are always listening to your expectations. Following several requests from our customers, we are going to make available to you the API version of the OVH Mail Migrator in the first quarter of 2016. This will permit you to develop your own migration applications or even to execute bulk migrations.
To meet the growing need for unified communications, Sharepoint/One Drive and Skype for Business will be added to our Web range.
The Discovery Foundation version of SharePoint will be included with each Hosted Exchange service. On its side, the Standard SharePoint offer with OneDrive will be proposed in addition to Hosted Exchange. It will include advanced search features, the possibility to create workflows to manage processes, and a 100GB OneDrive account. Regarding the Skype for Business offer, as a first step, it will also be available in addition to the Hosted Exchange offers.
Lastly, to offer you a complete service, we are currently working on the creation of packs based on our Office365 offer.

Developments concerning Partners by Marine Watterlot
The year 2015 marked the launch of the new Partners.ovh.com website.
More than 3,600 partners are taking advantage of the visibility provided by our new directory, designed to better inform end customers looking for a local expert to assist them with their IT projects.
2016 will see the arrival of a commercial Infra Pack. Benefits will include, dedicated support and marketing tools as they are already offered in Web and Telecom Commercial Packs. We will also give you the opportunity to have your teams certified in our three families of products (Telecom, Web and Infrastructure) and to use the official “Certified Partner” logo.

The Web and Telecom Commercial Packs will not be left out. New offers will enrich these packs, starting with the Exchange 2016 reseller offer for Web.
This is not an exhaustive list! We have many other projects planned and as you know, it is innovation that motivates us, but it is your needs which are at the heart of our development. As you are our most important contributor, our roadmap is susceptible to modification thanks to your feedback.