новое предложение Hosted Private Cloud

OVHcloud предложит новое предложение Hosted Private Cloud, объединяющее технологии Google Anthos, совместим с технологиями opensource из собственной выделенной гипермасштабируемой инфраструктуры, которая будет полностью эксплуатироваться и управляться в Европе командами OVHcloud.


— Это стратегическое партнерство поможет европейским организациям ускорить преобразование в облако и удовлетворить свои строгие потребности с точки зрения безопасности и конфиденциальности данных. — Он будет сосредоточен на предоставлении лучших технологических инноваций в облаке, с гибкостью для решения задач масштаба и скорости.

OVHcloud объявляет о заключении стратегического партнерства с Google Cloud, чтобы повысить способность французских и европейских организаций вести цифровую трансформацию своей деятельности. Это партнерство направлено на предоставление европейским организациям передовых технологий, основанных на надежной инфраструктуре, для удовлетворения их растущих потребностей с точки зрения строгого контроля своих данных, безопасности, прозрачности и конфиденциальности при непосредственном развертывании приложений. создано в облаке. OVHcloud предложит новое предложение Hosted Private Cloud, объединяющее технологию Anthos от Google Cloud, совместимую с технологиями с открытым исходным кодом, и собственную выделенную гипермасштабируемую инфраструктуру, которая будет полностью использоваться и управляться в Европе командами OVHcloud.

Предоставляйте европейские данные с последними инновациями и полным контролем
В последние годы организации и политики подчеркивают необходимость для поставщиков облачных услуг защищать данные своих клиентов более прозрачным образом, подчеркивая необходимость повышения уровней безопасности, конфиденциальность, автономность и живучесть последних. Чтобы удовлетворить эти потребности, OVHcloud и Google Cloud установили партнерство, в основе которого лежат открытый исходный код, прозрачность, функциональная совместимость и обратимость. Обе компании преследуют цель предоставить европейским организациям средства для ускорения их цифровой трансформации и уверенного использования последних достижений в облачных технологиях.

Открытый исходный код: важная опора для расширения европейской экосистемы
В рамках этого партнерства OVHcloud и Google Cloud продемонстрируют свои передовые технологии и навыки. Обе компании планируют разработать совместные решения, которые позволят их клиентам в полной мере воспользоваться преимуществами открытого многооблачного подхода с привлечением большой экосистемы разработчиков.

Это соглашение свидетельствует о твердом намерении предоставлять инновационные решения для обслуживания клиентов, одновременно поддерживая развитие их цифровых навыков и способствуя сотрудничеству с сообществом разработчиков открытого исходного кода.

Мы гордимся тем, что сотрудничаем с Google Cloud, чтобы совместно предоставлять инновационные решения, которые будут отвечать растущим требованиям Европы в отношении независимости данных. Это важный шаг к созданию нового ценностного предложения на европейском рынке. Для OVHcloud очень важно объединить передовые технологии для сообщества разработчиков и одновременно укрепить экосистему участников, объединенных единым ядром ценностей. Это партнерство открывает широкие возможности, поэтому мы рады сделать это возможным вместе
Мишель Полен, управляющий директор OVHcloud

Мы рады подписать наше первое такое партнерство с OVHcloud. Прислушиваясь к мнению наших клиентов, партнеров и политиков в Европе, мы понимаем их потребность в большем контроле и автономии. Мы реагируем на них по-разному и с нетерпением ждем продолжения выполнения наших обязательств перед нашими клиентами значимым образом с партнером, ценности которого мы разделяем: доверие, инновации, сотрудничество, открытость, безопасность, совместимость, прозрачность и экологическая ответственность, чтобы объединить больше пользы и помочь нашим клиентам ускорить цифровую трансформации
Томас Куриан, генеральный директор Google Cloud

OVHcloud разрабатывает OpenStack Cloud, предлагает его на Edge, OnPrem, в наших 30 DC

OVHcloud разрабатывает OpenStack Cloud, предлагает его на Edge, OnPrem, в наших 30 DC в качестве Hosted Private Cloud и Public Cloud, инвестирует 250 миллионов в течение следующих 3 лет, чтобы предлагать дополнительные продукты.

Зарегистрируйтесь для участия в основных сессиях 3-5 ноября и узнайте о нашей продуктовой стратегии: ecosystemexperience.ovhcloud.com


Update of OVH & SYS LT contracts



Здесь вы можете найти ответы на вопросы о поправках, внесенных в контракты с OVH / SYS LT, которые вступят в силу 21 октября 2020 года после перехода на OVHcloud Europe.
Эта документация применима только к клиентам, подключенным к OVH / SYS LT.

Какие основные изменения?
Какие продукты затронуты?
С 21 октября 2020 года будут затронуты все продукты, заказанные на веб-сайте OVH / SYS LT.

Изменится ли процесс заказа этих продуктов?
С 21 октября 2020 года вы больше не сможете заказывать новые продукты на веб-сайте OVH / SYS LT. Новые заказы необходимо будет размещать на веб-сайтах OVHcloud Europe / SYS Europe.

Могу ли я продлить свои продукты?
Вы сможете продлить свои продукты на веб-сайте OVH / SYS LT на максимальный период 3 месяца, до 1 февраля 2021 года на OVH LT. По истечении этого периода вы больше не сможете продлевать свои продукты на OVH / SYS LT. Затем вам нужно будет заказать новые продукты на OVHcloud Europe / SYS Europe.

Продукты с доменными именами являются исключением, так как они могут быть продлены максимум на 12 месяцев.

Я хочу обновить существующие продукты после 1 февраля 2021 года и / или разместить заказ на новый продукт — как мне это сделать?
Для этого перейдите в панель управления OVH, примите новые контракты и выполните для них процесс подтверждения.

После того, как вы подтвердите все эти контракты, вы получите доступ ко всему каталогу OVHcloud на веб-сайте OVHcloud Europe.

Что будет с продуктами, которые у меня уже есть?
После обновления OVHcloud ваши продукты будут оставаться активными до истечения срока их действия. В результате, при миграции вы сохраните все свои активные службы.

Изменится ли панель управления OVHcloud?
Доступ к панели управления OVHcloud / SYS не изменится, и вы по-прежнему сможете входить в систему через тот же дескриптор сетевой карты (учетную запись клиента).

Важно отметить, что панель управления OVHcloud, / SYS полностью перейдет на английский язык с 1 февраля 2021 года.

Я разместил заказ, но еще не оплатил его — что будет?
Любые неоплаченные заказы, за исключением продления, которые еще не выполняются, будут отменены 21 октября 2020 года. Вы можете снова разместить заказ прямо на веб-сайте OVHcloud Europe / SYS Europe после завершения миграции.

Однако, если мы получаем оплату за отмененный заказ, мы возвращаем оплату покупателю.

Подробно о том, как это будет работать
Я хочу подтвердить новые контракты в панели управления OVHcloud, но кнопка серая. Что я должен делать?

Чтобы подтвердить новые контракты, вам необходимо выполнить 3 условия:
  1. Если у вас есть незавершенные платежи на вашем счете, вам нужно будет оплатить их в этом разделе OVH / SYS.
  2. Если в настоящее время у вас есть заказ, который выполняется, но не завершен, вам нужно подождать, пока он не будет завершен, или отменить его. Вы можете отслеживать статусы ваших заказов OVH здесь / SYS.
  3. Если в одном из ваших продуктов постоянно выполняется операция смены контактов, вам нужно будет завершить или отменить эту операцию. Вы можете отслеживать текущие операции OVH здесь / SYS.


В настоящее время у меня есть баллы лояльности и / или кредиты на моем счете OVH, потеряю ли я их?
Нет — баллы лояльности и / или кредиты на вашем счете OVH / SYS будут сохранены.
Нужно ли мне создавать резервную копию моих данных и повторно импортировать их в свои службы?
Нет — ваши данные не будут изменены. Эта операция связана с ранее подтвержденными общими условиями продажи, и никакие изменения не вносятся в конфигурацию вашего продукта.

Будут ли мне предлагаться новые продукты?
OVHcloud Europe предлагает гораздо более широкий ассортимент продуктов.
Это означает, что у вас будет больший выбор продуктов, отвечающих вашим потребностям.
Изменится ли контактный номер службы поддержки?
Номер OVH +420 246 030 899 по-прежнему будет работать.

Способы оплаты
Что будет с моими сохраненными способами оплаты?
После подтверждения новых условий продажи ваши способы оплаты OVH / SYS LT будут автоматически перенесены в OVHcloud Europe.

Какие способы оплаты принимаются в OVHcloud Europe / SYS Europe?
Допустимые способы оплаты включают:
— банковские карты (например, Visa или Mastercard)
— PayPal
— прямой дебет (если счет находится в зоне SEPA, то есть в 33 странах Европы)
Свяжитесь с нашей службой поддержки, которая может помочь вам в этом.

Какая валюта принимается в OVHcloud Europe / SYS Europe?
Валюта, используемая в OVHcloud Europe / SYS Europe, — евро.

Автоматическое продление
Что будет с моими услугами при автоматическом продлении?
Автоматическое продление будет работать до 1 февраля 2021 года на OVH / SYS LT.

Опция автоматического продления будет отключена 1 февраля 2021 года для OVH / SYS LT.

Я подтвердил условия продажи OVHcloud Europe / SYS Europe. Могу ли я использовать автоматическое продление?
Да. Если вы подтвердите общие условия продажи до 1 февраля 2021 года, ваши услуги все равно будут продлеваться автоматически.

Если вы подтвердите общие условия продажи OVHcloud Europe после 1 февраля 2021 года, вам нужно будет повторно включить автоматическое продление для ваших продуктов.

Я хочу включить автоматическое продление для своих продуктов с 21 октября 2020 года по 1 февраля 2021 года в OVH LT. Смогу ли я это сделать?
Вы не сможете включить автоматическое продление на OVH LT с 21 октября 2020 года.

Подтвердите новые общие условия продажи в панели управления OVHcloud, чтобы использовать опцию автоматического продления.

Flash Sale



  • i5-2400 / 16 / 2 ТБ SATA — 1500р/мес
  • E3-1225v2 / 16 / 3x 2 ТБ SATA — 2900р/мес
  • E3-1245v2 / 32 / 2x 480 SSD — 3300р/мес
  • E3-1245v2 / 32 / 3x 2 ТБ SATA — 3300р/мес
  • i7-4790k / 32 / 240 SSD — 3600р/мес
  • E5-1620v2 / 32 / 2x 2 ТБ SATA — 3300р/мес
  • E5-1620v2 / 32 / 2x 800 SSD — 4800р/мес

написать тикет bill.ovh/billmgr
тарифы не добавлял т.к. лишнее время тратится, по тикету все

OVH SYS 10-2020


  • i7-4790k [4c-8t] / 32 / 240 SSD — 3600р/мес
  • E3-1245v2 [4c-8t] / 32 / 2x 480 SSD — 3300р/мес
  • E3-1245v2 [4c-8t] / 32 / 3x 2 ТБ HDD SATA — 3300р/мес
  • E3-1225v2 [4c-4t] / 16 / 3x 2 ТБ HDD SATA — 2900р/мес
  • E5-1660v3 [8c-16t] / 64 GB DDR4 ECC 2133 MHz / 2x 4 TB HDD SATA — 6500р/мес
  • E5-2690v2 [10c-20t] / 128 GB DDR4 ECC 2133 MHz / 2x 4 TB HDD SATA — 9900р/мес
можно установить Виндоус
можно купить 16 IP
можно бесплатно добавиться узлом в VMmanager KVM v5
локация Франция и Канада
для заказа обращаться в тикеты
bill.ovh/billmgr
asuka.onl/billmgr
  • E3-1230v6 [4c/8t] / 32 GB DDR4 ECC 2133 MHz / 2x 2TB SATA — 5500р/мес
  • E3-1230v6 [4c/8t] / 32 GB DDR4 ECC 2133 MHz / 2x 450 NVMe — 6500р/мес
  • E3-1230v6 [4c/8t] / 32 GB DDR4 ECC 2133 MHz / 2x 2 ТБ SATA + 2x 450 NVMe — 8000р/мес
  • E3-1230v6 [4c/8t] / 32 GB DDR4 ECC 2133 MHz / 2x 1920 ГБ NVMe — 9900р/мес
  • E3-1230v6 [4c/8t] / 64 GB DDR4 ECC 2133 MHz / 2x 2TB SATA — 7000р/мес
  • E3-1230v6 [4c/8t] / 64 GB DDR4 ECC 2133 MHz / 2x 450 NVMe — 8000р/мес
  • E3-1230v6 [4c/8t] / 64 GB DDR4 ECC 2133 MHz / 2x 2 ТБ SATA + 2x 450 NVMe — 9300р/мес
  • E3-1230v6 [4c/8t] / 64 GB DDR4 ECC 2133 MHz / 2x 1920 ГБ NVMe — 11300р/мес
Можно так же PL UK DE

К демократизации премиального Bare Metal Cloud

Инновации на всех уровнях — ключевая часть идентичности OVHcloud. Наша сила заключается в том, чтобы постоянно ставить перед собой задачу лучше отвечать на вызовы наших клиентов. Новые функции, которые ждут их в Premium Bare Metal Cloud, являются результатом нашего стремления к изменениям и внимательного отношения к потребностям наших клиентов. Но чтобы бросить вызов этому рынку, нам нужно было разработать прочную стратегию, включающую радикальные внутренние преобразования.



Начало революции
OVHcloud предлагает широкий портфель облачных продуктов и решений для четырех вселенных (веб-облако, Bare Metal Cloud, публичное облако и размещенное частное облако). Облако, которое мы предоставляем, всегда проектируется и разрабатывается с учетом потребностей наших клиентов, и мы всегда стараемся понять их бизнес, чтобы иметь лучшее представление об их проблемах.



Мы начали наши обсуждения рынка Premium Bare Metal Cloud еще в 2016 году. В то время мы получили отзывы от нескольких клиентов относительно нашего ценового позиционирования на этот конкретный диапазон мощных серверов, которые соответствуют очень высоким требованиям к хранению. Наши изделия из чистого металла были слишком дорогими по сравнению с тем, за что они были готовы платить. Затем мы работали, в частности, с двумя клиентами. Поскольку они были готовы разделить с нами свои расходы, мы смогли спроецировать их экономическую модель на нашу бизнес-модель. Эти два клиента размещали свои собственные услуги через колокацию, без круглосуточной поддержки местной команды, и у них была небольшая интернет-сеть. Они инвестировали в свои собственные серверы, рассчитав свои цены за 5-летний период. Проведя этот анализ, мы поняли, что можем предложить им эти мощные серверы по более низкой, гораздо более конкурентоспособной цене. Но для решения этой задачи нам потребуется проделать серьезную работу, которая, вероятно, займет несколько лет.

Новая бизнес-модель
Наш первый проект включал полную реструктуризацию математической основы нашей бизнес-модели, которую мы использовали для расчета наших цен. Мы начали это в 2017 году, и это заняло три года.


В первый год мы реорганизовали компанию и создали Подразделения. Каждое из Подразделений — это своего рода малый бизнес в OVHcloud. Он способствует нашему коллективному успеху, управляя обязанностями, соответствующими его опыту, и вносит свой вклад в наш стратегический план. Его возглавляет руководитель подразделения, и у него есть план действий.

На второй год мы создали отчеты о прибылях и убытках для каждого подразделения, чтобы они могли моделировать проекты в своей дорожной карте с помощью реальных затрат по сравнению с ожидаемыми выгодами. Чтобы предоставить им эту аналитическую основу, нам пришлось реструктурировать наши финансы. Это включало разделение общих прибылей и убытков компании на несколько микро прибылей и убытков. Это означало, что мы могли распределить затраты по нужным единицам и создать внутренний рабочий процесс выставления счетов. Затем мы смогли рассчитать доход каждой единицы, сверяя доход, полученный от выставления счетов клиентам, с доходом, полученным от внутреннего возвратного платежа для других единиц, при интеграции связанных затрат (команды, лицензии и т. Д.). После этого каждое подразделение выпустило маржу.

На третий год мы связали все эти показатели с финансовой отчетностью и сделали их KPI доступными для подразделений в режиме реального времени. Целью развертывания этих финансовых панелей мониторинга было лучшее управление эффективностью компании, но, что более важно, расширение возможностей команд. Согласовав инструменты финансового мониторинга с новой организацией, подразделения смогли составить более надежные прогнозы, лучше прогнозировать риски и лучше прогнозировать свои инвестиции и расходы на заработную плату. Для компании это был также способ обеспечить, чтобы каждый проект создавал ценность для OVHcloud, а также продолжал обеспечивать, чтобы наше развитие оставалось прибыльным, сбалансированным и устойчивым для нашей конкурентоспособности и независимости. С точки зрения потребителя, такая культура сознательного отношения к ценам в основном приведет к еще большему снижению цен.

В цифровом мире экономика также полагается на два сдвига: сокращение постоянных затрат (за счет увеличения объема продаж) и сокращение переменных затрат (за счет автоматизации задач с помощью программного обеспечения, роботизированных систем и искусственного интеллекта). Массовые вложения в автоматизацию — серьезная проблема для такого поставщика облачных услуг, как мы. Благодаря огромным инвестициям мы повысили качество (меньше ошибок, упростили процедуры, ускорили предоставление услуг) и смогли выполнять больше операций в день без увеличения размера Подразделений. Это означало, что Подразделениям больше не приходилось выполнять повторяющиеся задачи, и вместо этого они могли сосредоточиться на добавленной стоимости, которую они должны были принести нашим клиентам. Мы делаем это, следуя принципам BFLNT, которые я описал в предыдущем сообщении блога.

Наконец, это сочетание операционной и финансовой эффективности, а также уровня автоматизации в подразделениях помогает нам разрабатывать все более рентабельные решения и обеспечивать нашим клиентам еще большее соотношение цены и качества.

CAPEX — это ценность
Чтобы поддержать свои амбиции, компании, которые несут высокие капитальные затраты, тратя большие суммы на инвестиции в недвижимость или оборудование, никогда не получают высокой оценки на финансовом рынке. Чтобы обезопасить эти крупные инвестиции, они часто используют сложные — даже непрозрачные — финансовые схемы, которые воспринимаются как слишком большой риск.

Для OVHcloud эти большие суммы являются основой нашей действенной модели — инвестирования в строительство и улучшение наших центров обработки данных, обновление производственного оборудования и приобретение новых производственных помещений. Наша бизнес-модель полностью демистифицирует эти масштабные инвестиции, поскольку она изначально обеспечивает возврат инвестиций. Наша способность инвестировать за счет повышения прибыльности позволила нам привлечь капитал в 2016 году (279 миллионов долларов от KKR и TowerBrook) и даже привлечь долг в конце 2019 года (976 миллионов долларов). CAPEX — это наш основной вектор создания стоимости. Мы должны постоянно инвестировать в будущие инновации и инфраструктуру, чтобы обеспечить нашу устойчивость и конкурентоспособность.

Благодаря всей работе, проделанной за последние три года, мы также смогли внести огромные изменения в нашу бизнес-модель. С помощью сложного анализа, который мы получили, теперь мы можем рассчитать цену сервера на основе нескольких переменных, таких как время выполнения обязательств, объем заказа, тип сервера и инвестиционные затраты на инфраструктуру и сам бизнес. Эта новая финансовая модель внутри компании называется «Джекпот», так как любое сокращение наших капитальных или операционных расходов (операционных расходов), безусловно, снизит цену для наших клиентов. И в случае, если мы не предоставляем ожидаемую цену — а это означает, что наши решения CAPEX или OPEX недостаточно оптимизированы — мы всегда ищем, где мы можем внедрять инновации и на каком уровне нам нужно изменить. Потому что, если мы уменьшим наши затраты, мы снизим наши цены, а не увеличим маржу. Эта постоянная самоанализа через инновации позволяет нам предлагать клиентам более выгодные цены, как мы скоро сделаем это с Premium Bare Metal Cloud.

T3-96-6KW-W
96 серверов на стойку мощностью 6 кВт
при 4 уровнях стоек у нас 384 сервера типа ADV-1/2/3
Все серверы имеют водяное охлаждение.
PUE = 1,07
Это означает лишь 7% потерь энергии!


Новые методы использования ресурсов
Наша цель — стать мировым экспертом в Premium Bare Metal Cloud. Мы хотим встряхнуть рынок с 350 до 2500 долларов в месяц (для серверов премиум-класса высшего класса) и стать эталоном, как мы уже делаем для серверов начального и среднего уровня. Клиенты, которым нужна максимальная мощность и мощность, начнут замечать первые результаты нашей стратегии. Чтобы лучше выполнять свои задачи, к концу 2020 года наши публичные цены упадут. Но мы сохраним такую же высокую производительность. В дополнение к нашей промышленной модели, которая уникальна в плане полного контроля и позволяет нам постоянно адаптироваться, в последние месяцы именно наша новая бизнес-модель «Джекпот» помогла нам пойти еще дальше. И на основе этой новой модели мы рассмотрели все — серверы, сеть, энергоснабжение и водяное охлаждение. Сейчас, более чем когда-либо, мы являемся лидером по цене по своему замыслу.

POC HGv2 / FSv2 T5 2U 2x25G+2x50G


Новая финансовая модель, позволяющая нам более точно отслеживать жизненный цикл продуктов, также позволяет нам пересмотреть наши модели обязательств. До конца года мы предложим более конкурентоспособные цены по долгосрочным обязательствам. В дополнение к уже доступным моделям ежемесячной оплаты, то есть без обязательств или с обязательством на 6, 12 или 24 месяца, мы также предложим планы с обязательствами на 3, 4 или 5 лет. Наши цены будут еще лучше для клиентов, которые могут использовать как объем (3 или 12 стоек с 48 или 96 серверами), так и продолжительность (3, 4 или 5 лет). В будущем наши клиенты также смогут получать почасовые расценки на Bare Metal с посекундной оплатой.

Наконец, для клиентов, которым требуется много серверных стоек и которые не хотят управлять своей инфраструктурой, мы уже можем предоставить частные помещения в наших центрах обработки данных с 12, 24 или 48 стойками *, оборудованными камерами, значками и журналами. Этот вариант использования удовлетворяет потребности не только клиентов Bare Metal Cloud, но также клиентов Public Cloud и Hosted Private Cloud в режиме «частного региона». Начиная со 100 стоек, мы можем поставить настоящие частные центры обработки данных в зданиях третьих сторон (в помещениях клиентов) *, где бы они ни находились. Это значительно снижает их затраты. Для этих центров обработки данных мы применяем наш промышленный и технический опыт, в том числе нашу эксклюзивную технологию водяного охлаждения, и все наши аппаратные инновации, включая самые последние технологии на рынке. Мы также управляем всеми уровнями программного обеспечения и их жизненными циклами.

Глобальное воздействие
Цель этого сообщения в блоге — не детализировать наши будущие предложения, а объяснить долгий путь, который привел к снижению цен на Premium Bare Metal Cloud. Но если вы подписаны на мою учетную запись в Twitter (@olesovhcom), вы, возможно, видели некоторые их превью, потому что я регулярно делюсь информацией о нашей работе.

«We need GPUs. Lot of GPUs.»
New POC: AI Training, Inference, (Software in VDI)aaS.
OVHcloud will offer a large range of the products AI/DL+ML based on GPU/CPU/FPGA/Optical.




Всего OVHcloud скоро предложит около 300 моделей Bare Metal Cloud! Это очень широкий диапазон, и наши маркетинговые команды взяли на себя впечатляющую задачу, предложив упрощенный просмотр, чтобы вы могли найти именно то, что вам нужно. В конце октября 2020 года название меню изменится с «Сервер» на «Bare Metal Cloud». Это будет первым шагом в переходе, который произойдет в ближайшие месяцы, с гораздо более ориентированным на использование подходом, таким как виртуализация, хранение, глубокое обучение, базы данных и т. Д. Цель состоит в том, чтобы упростить ваше путешествие, и поможет вам легко выбрать модели, наиболее соответствующие вашим потребностям.

Как внутренние клиенты, наши три других облачных юниверса (веб-облако, общедоступное облако, размещенное частное облако), которые все полагаются на наши инфраструктуры Bare Metal Cloud, также получат выгоду от этих инноваций и новых цен. Прежде чем оказывать такое глобальное влияние, нам нужно было изучить основы облака. Ожидайте отличных анонсов в 2020-2021 годах!

working on BETA Public Cloud IAaaS Deep Learning for training and inference… deploying 2 clusters (> 5M cores each) in FR and CA… the technology PaaS will allow to reduce the cost by 50% vs hyperscalers and change the mindset: run the jobs, not VMs



Чтобы узнать больше, отправляйтесь на OVHcloud EcosystemExperience, наше новое виртуальное мероприятие, которое состоится 3, 4 и 5 ноября.

Мы докажем вам конкретными словами, что, нестандартно мыслящие через разрушение и создавая прочную экосистему, мы ежедневно помогаем сделать OVHcloud подлинной альтернативой в облачной индустрии.

Бастион OVHcloud SSH - Часть 2: головокружение от делегирования

Это вторая часть серии блогов, вот и первая. Ранее мы обнаружили, что бастион не является вашим обычным SSH-хостом jumphost (на самом деле, мы обнаружили, что это вообще не Jumphost), и обсудили, как делегирование было одной из основных функций, которые нам изначально нужны. Итак, давайте углубимся в эти концепции. На бастионе есть две совместимые модели доступа: персональный и групповой.


Личный доступ — кусок торта
На бастионе каждая учетная запись имеет (как минимум) один набор личных выходных ключей. Эти звери генерируются при первом создании учетной записи. Личный выходной закрытый ключ находится в домашней учетной записи бастиона. У пользователя учетной записи нет возможности увидеть его или экспортировать из бастиона, но он может использовать его с помощью логики кода бастиона. Пользователь может получить соответствующий открытый ключ в любое время и установить его — или получить его — на удаленных серверах, к которым он должен получить доступ. В зависимости от вашего варианта использования и уровня автономии, который вы хотите предоставить командам, есть два способа управления этим личным доступом.

Угощайтесь
Первый способ имитирует управление доступом, если бы вы вообще не использовали бастион SSH. Это совершенно правильный способ обработки доступа на простом уровне без слишком большого количества пользователей и ограниченного числа машин. Это позволяет каждому предоставить себе личный доступ на бастион, не прося об этом кого-то другого. Звучит как дыра в безопасности, но это не так. Если кто-то добавляет себе личный доступ к удаленному серверу, он будет работать только в том случае, если его личный выходной открытый ключ уже установлен на удаленном сервере. Другими словами, либо у него уже был доступ к удаленному серверу для этого — используя средства, отличные от бастиона, — либо кто-то, у кого был доступ к удаленному серверу, принял добавление своего ключа. В любом случае, он не может волшебным образом предоставить себе персональный доступ без разрешения администратора удаленного сервера его ключа.

Спросите ИТ-специалистов
Другой способ справиться с этим может заключаться в предоставлении ограниченному количеству людей, например службам безопасности, право добавлять личные доступы другим лицам. Таким образом, люди становятся менее автономными, но это может быть полезно, если добавление доступа должно осуществляться через нормализованные процессы. Это также дает некоторые приятные эффекты: как системный администратор, вы можете создать 3 отдельные учетные записи на удаленном компьютере и сопоставить их с каждой добавляемой учетной записью бастиона. Это хороший метод для достижения сквозного отслеживания; в том числе на удаленном сервере; где вы, возможно, захотите установить auditd или аналогичные инструменты. Это также можно сделать в режиме помощи самому себе, но это может быть сложнее обеспечить.

Чтобы быть ясным, эта модель доступа не так эффективно масштабируется, когда мы имеем дело с целыми командами или крупными инфраструктурами — здесь нам пригодится групповой доступ.

Групповой доступ — Let's Rock
Группа состоит из трех компонентов:
  • Список участников (аккаунты, представляющие отдельных людей)
  • По крайней мере, один набор групповых выходных ключей
  • Список серверов (фактически IP)


Список серверов
Список серверов на самом деле представляет собой список IP-адресов или IP-блоков. Они сопоставляются с вашими серверами, сетевыми устройствами или чем-либо еще с поддержкой SSH, имеющим IP-адрес (на котором был установлен ключ исходящей группы). Технически этот список состоит из трех элементов: удаленный пользователь, удаленный IP (или блок IP), удаленный порт. То, что относится к личному доступу, также применимо и здесь: добавление сервера в список не дает ему доступа волшебным образом, сначала необходимо установить открытый ключ исходящей группы. Конечно, управление установкой этих ключей вручную быстро становится непрактичным, но вы можете рассмотреть эту часть конфигурации серверов, поэтому ими следует управлять с помощью той централизованной системы конфигурации, которую вы уже используете (Puppet, Chef, Ansible, / bin / cp… подожди, нет, ударил последний).

Список участников
Члены — это люди, которые могут подключаться к любому серверу, указанному в списке серверов группы. Они будут использовать закрытый ключ исходящей группы, к которому у них есть доступ, как члены указанной группы. Конечно, у них нет возможности извлечь этот закрытый ключ для собственного использования за пределами бастиона, они могут использовать его только через логику кода бастиона.

У вас новый член команды? Просто добавьте их в свою группу, и они мгновенно получат доступ ко всем серверам группы. Кто-нибудь уходит из компании? Просто удалите там аккаунт на бастионе, и все доступы мгновенно пропадут. Это так, потому что все ваши серверы должны иметь входящие сеансы SSH, ограниченные вашими бастионами. Таким образом, любой мошеннический ключ SSH, который был бы добавлен, больше не будет использоваться.

И еще немного
Мы рассмотрели основы группового подхода, но, поскольку нам нужна большая гибкость и делегирование полномочий, нужно охватить еще немного. Помните, я сказал, что в группе 3 компонента? Я соврал. В группе есть больше, чем просто участники. Дополнительные групповые роли включают:
  • Гости
  • Привратники
  • Aclkeepers
  • Владельцы

Все это списки учетных записей, играющих определенную роль в группе.

Во-первых, гости. Они немного похожи на участников, но с меньшими привилегиями: они могут подключаться к удаленным машинам с помощью ключа группы, но не ко всем машинам группы, а только к подмножеству. Это полезно, когда кому-то за пределами группы нужен конкретный доступ к определенному серверу, возможно, на ограниченный период времени (поскольку для таких доступов может быть установлен срок действия).

Затем привратники. Эти ребята ведут список участников и гостей группы. Другими словами, они имеют право давать право доступа. Здесь нет ничего сложного. Затем есть помощники по хозяйству. Как вы уже догадались, они управляют списком серверов, входящих в группу. Если у вас есть автоматизация управления предоставлением серверов вашей инфраструктуры, эта роль может быть предоставлена ​​учетной записи робота, единственной целью которой будет обновление списка серверов на бастионе полностью интегрированным способом с вашей подготовкой. Вы даже можете пометить такие учетные записи, чтобы они никогда не смогли использовать SSH через бастион, даже если кто-то предоставит их по ошибке!

И последнее, но не менее важное: владельцы имеют наивысший уровень привилегий в группе, что означает, что они могут управлять привратниками, хранителями учетных записей и списком владельцев. Им разрешено давать право давать право доступа. Более того, пользователи могут накапливать эти роли, что означает, что некоторые учетные записи могут быть, например, участником и привратником одновременно.


Глобальные роли — Приходите получить
Помимо только что описанных ролей, которые относятся к группе, существуют две дополнительные роли, охватывающие весь бастион: «супервладелец» и «администратор бастиона».

Короче говоря, супервладелец — это неявный владелец всех групп, присутствующих на бастионе. Это удобно, если группа становится бесхозной, поскольку супервладельцы могут назначить нового владельца. Видишь, куда я иду? Супервладельцам разрешено давать право давать право давать право доступа.

Головокружение еще не закончилось? Теперь о самой влиятельной роли: админке бастиона. Эта роль должна быть предоставлена ​​только нескольким лицам, поскольку они могут выдавать себя за кого угодно (даже если, конечно, когда они это делают, это регистрируется и заставляет наш SIEM покраснеть), и на практике не следует отдавать никому, кто еще не получил root-права в самой операционной системе бастиона. Помимо прочего, они управляют конфигурацией бастиона, где объявлены супервладельцы. Задержи дыхание. Готов? Им разрешено давать право давать право давать право давать право доступа. Вот почему делегирование лежит в основе системы: у каждого есть свой набор обязанностей и потенциальных действий, без необходимости спрашивать администратора бастиона.

Подведение итогов
Все концепции управления доступом, о которых мы говорили, сопоставлены с реальными командами. Их можно запускать на бастионе после аутентификации пользователя (знаменитое входящее соединение). На бастионном жаргоне их называют командами ош. В этом случае нет исходящих соединений, так как эти команды взаимодействуют с самим бастионом:


Как вы могли заметить на скриншоте выше, версия программного обеспечения Bastion очень близка к 3.00.00! Может быть, приближается интересная веха?

В следующей части этой серии блогов мы рассмотрим некоторые детали реализации одного из этих плагинов osh, а точнее, наш подход к программированию безопасности и защиты.