Cистемы охлаждения в дата-центрах Selectel



Конкурентные цены на услуги всегда были «королем аргументов» для клиентов при выборе дата-центра. А из чего складываются эти цены? Первыми на ум приходят расходы на IT-оборудование и электричество, но значительную долю в структуре цен составляют расходы на охлаждение серверов, систем хранения (СХД) и сетевых устройств. К примеру, сервер с несколькими процессорами выделяет до 600 Вт и более тепловой энергии, которую надо эффективно удалить, а на вход вентиляционных отверстий сервера подать холодный воздух.

Сейчас мы познакомим вас с технологиями климатических систем в дата-центрах Selectel и расскажем, каким образом новинки в этой сфере снижают операционные расходы дата-центров, а косвенно — и суммы в счетах наших клиентов.

3 рынка услуг — 3 требования к охлаждению
На рынке услуг ЦОД, — если оценивать грубо, — присутствуют три основных сегмента. Это во-первых, колокейшн, далее инфраструктура IaaS — выделенные серверы плюс облачное хранилище, и третий сегмент — облачные серверы (VPC, VPS, VMware Cloud), включая публичные, приватные и гибридные облака.


Каким бы удивительным это ни казалось, но клиенты каждого из сегментов предъявляют разные требования к климатическим системам. Наиболее требовательны клиенты, размещающие в дата-центре свое собственное оборудование (колокейшн). Среди них много IT-руководителей с многолетней практикой и консервативным представлением о том, какая температура должна быть в серверных залах. Еще 10-15 лет назад требование обеспечить +18°C в холодном коридоре было действительно критически важным. Но современные серверы и СХД стабильно работают до температуры +27°C.

К слову, конкретный диапазон температуры воздуха для серверных помещений ЦОД довольно строго регламентирован рекомендациями ASHRAE (Американское общество инженеров по отоплению, охлаждению и кондиционированию воздуха), которыми руководствуются во всем мире, включая Россию. Рекомендованный диапазон температур со временем меняется, где-то в начале 2000-х годов это, действительно, было 16-20°C, затем 18-22°C, а сегодня рекомендованная температура воздуха для охлаждения серверов уже 20-27°C.
Selectel в своих дата-центрах стремится поддерживать температуру воздуха у нижней границы рекомендованного диапазона по ASHRAE, в среднем порядка 23°C
отметил для статьи Кирилл Малеванов, технический директор Selectel

Какой из этого можно сделать вывод для бизнеса дата-центра? Использовать дорогостоящее охлаждение с помощью кондиционеров следует преимущественно для серверных залов, выделенных под услугу колокейшн. Соответственно, для серверных залов под услуги IaaS и тем более для облачных серверов можно применять оборудование, которое максимально эффективно использует охлаждение за счет окружающей среды — вплоть до простого обдува серверов забортным воздухом.

При этом, поскольку Selectel владеет несколькими дата-центрами, причем в разных регионах, появляется свобода маневра. Иными словами, можно еще на стадии проектирования, строительства ЦОД и выбора климатического оборудования учитывать требования к охлаждению в выбранном сегменте услуг. И позже в процессе эксплуатации проводить модернизацию климатических систем с учетом снижения ТСО при предоставлении именно этих услуг.

Что такое PUE
Основным показателем эффективности ЦОД является коэффициент эффективности использования энергии (Power usage effectiveness, PUE), используемый в индустрии ЦОД с 2007 года. Что же из себя представляет этот коэффициент:

Иными словами, чем ближе PUE к 1, тем более совершенным является дата-центр. Однако, значения 1.0 достичь в принципе невозможно, поскольку это соответствует уровню энергоэффективности вечного двигателя. К слову, с полным определением термина PUE можно ознакомиться в документе PUE, A Comprehensive Examination of the Metric (PDF).

На практике превосходными считаются значения PUE, лежащие на уровне 1.10 – 1.15. К примеру, согласно публикациям, для дата-центров Google значение PUE, усредненное по всем ЦОД в разных регионах и в разное время года, составляет 1.12.

Далее, познакомимся подробнее с системами охлаждения в отдельных дата-центрах Selectel.

«Цветочная 1» — фреон
Первый дата-центр «Цветочная 1» был запущен в эксплуатацию в 2008 году, когда услуга колокейшн была доминирующей на рынке. Кроме того, это центр Петербурга — со свободными площадями ситуация тогда была несколько стесненная. Соответственно, в дата-центре «Цветочная 1» были установлены классические промышленные кондиционеры для ЦОД на фреоне, которые работают до настоящего времени.

Принцип работы такого кондиционера основан на переходе фреона в различные агрегатные состояния. Холодный воздух под фальшполом подается в так называемые «холодные коридоры» с вычислительным оборудованием, а нагретый воздух уходит в серверный зал (в «горячие коридоры»), откуда опять засасывается в теплообменник кондиционера, охлаждается и вновь подается к серверам и СХД.


КПД классического кондиционера оставляет желать лучшего, и поэтому коэффициент эффективности использования энергии для дата-центра «Цветочная 1» по современным меркам довольно высок, PUE=1.7. Но учитывая, что здесь предоставляются услуги колокейшн, с таким положением вполне можно смириться до момента кардинальной модернизации всего ЦОД.


«Дубровка 1», «Берзарина 1», «Цветочная 2» — чиллеры
Следующую технологию охлаждения в Selectel опробовали в 2010 году, когда построили ЦОД «Дубровка 1» в поселке Дубровка Ленинградской области. В нем впервые в практике компании была применена чиллерная система охлаждения.

Отличие чиллерной системы от фреоновых кондиционеров состоит в том, что в трубопроводах между внутренними и внешними блоками циркулирует незамерзающий гликолевый раствор, который остается все время жидким и в газообразное состояние не переходит. Раствор прогоняется насосом через кондиционер в серверном зале, где нагревается от горячего радиатора кондиционера и откуда выкачивается в выносной наружный теплообменник, называемый чиллером.

В чиллере гликолевый раствор охлаждается с помощью наружного воздуха и дополнительного компрессорно-конденсаторного блока. Затем уже охлажденный гликолевый раствор вновь подается в кондиционер внутри серверного помещения дата-центра. При этом охлаждение вычислительного оборудования происходит по традиционной схеме — холодный воздух подается снизу через фальшпол в «холодные коридоры», а горячий — уходит в общий зал и далее в теплообменник.


Схема с холодными и горячими коридорами дает до 5% экономии электроэнергии, поэтому так важно провести изоляцию холодного и горячего воздушных бассейнов (коридоров и накопителей воздуха).

Энергоэффективность чиллерной схемы выше в сравнении с кондиционерами, и это объясняется тем, что внешний компрессорно-конденсаторный блок чиллера включается в работу лишь при температурах окружающей среды выше +12°C, причем вентиляторы внешнего блока включаются постепенно, по мере роста температуры гликолевого теплоносителя. Это очень похоже на то, как работает система охлаждения двигателя обычного автомобиля.

По чиллерной схеме в Selectel построено охлаждение трех дата-центров — «Дубровка 1» (2010 год), «Берзарина 1» (2011 год) и «Цветочная 2» (2015 год). В случае с ЦОД «Цветочная 2» был учтен опыт эксплуатации, накопленный за 5 лет работы ЦОД «Дубровка 1» в части многочисленных нюансов обслуживания. Как оказалось, несмотря на внешнюю простоту принципа действия, численная система довольно капризна в работе и требует внимательного обслуживания и соблюдения регламентов. Более подробно о работе чиллерной системы в дата-центре «Берзарина 1» читайте в нашей предыдущей статье.


«Дубровка 3», «Берзарина 2» — фрикулинг
Следующий шаг в повышении энергоэффективности систем охлаждения был сделан в Selectel при переходе к схеме прямого фрикулинга. Принцип действия классического прямого фрикулинга заключается в отказе от теплообменников, и охлаждение вычислительного оборудования происходит за счет обдува с помощью забортного воздуха.

Забортный воздух проходит через фильтры, где очищается от пыли, и далее поступает в машинный зал. В зимнее время по мере необходимости холодный воздух предварительно «разбавляется» теплым воздухом от серверов в камере смешения для поддержания постоянной температуры обдува оборудования.


Как уже говорилось выше, современные серверы и СХД надежно работают при температурах в холодных коридорах до +27°C. Учитывая климат Ленинградской области, где многолетняя среднесуточная температура даже в июле находится у отметки +20°C, такое решение казалось вполне работоспособным. Однако, учитывая температурный рекорд +37.8°C, зафиксированный в Ленинградской области в 2010 году, полагаться только на милость природы было нельзя. Кстати, «горячее лето 2018 года» подтвердило правоту этих расчетов.

Соответственно, в дата-центре «Дубровка 3», введенном в эксплуатацию в 2013 году, используется прямой фрикулинг с блоком дополнительного охлаждения (АБХМ, абсорбционная холодильная машина) на случай летней жары. Забортный воздух проходит через фильтры и далее проходит через теплообменник АБХМ. В холодные коридоры серверного зала воздух подается под фальшполом.



Как показал опыт эксплуатации, такое решение работает без включения АБХМ до температуры окружающей среды +21°C, что практически означает, что АБХМ функционирует только в летние месяцы. Таким образом, это достаточно энергоэффективное решение с PUE ~1.25.

Важным преимуществом АБХМ является экологическая безопасность, так как она работает на обычной воде без использования фреона. Среди недостатков АБХМ — гигантские внешние теплообменники, но учитывая размещение дата-центра «Дубровка 3» практически в чистом поле, это не играет особой роли с точки зрения размера площадей под оборудование АБХМ.

С 2013 года схема прямого фрикулинга с доохлаждением показала свою высокую эффективность и будет вновь реализована в строящемся дата-центре «Берзарина 2» в Москве. Однако ввиду ограниченного пространства, блок доохлаждения будет реализован с помощью адиабатической системы.

Пара слов о резервировании
Традиционно, системы охлаждения в дата-центрах уровня Tier III резервируются по схеме не ниже N+1. Это значит, что в запасе всегда должна быть как минимум одна установка охлаждения, которая вводится в действие при аварии или ремонте (плановом обслуживании) одной из задействованных систем. Так, в дата-центре «Дубровка 1» используется 4 вентиляционных машины для фрикулинга при потребности в 3-х, а в ЦОД «Дубровка 3» — три машины АБХМ, из которых одна машина выключена и находится в резерве, подготовленная к запуску.

К слову, Selectel в своих дата-центрах стремится по возможности ужесточить требование резервирования N+1, и иметь в запасе не одну, а две резервных системы охлаждения. К примеру, в ЦОД «Цветочная 1» и «Цветочная 2» имеется по 2 резервных кондиционера и чиллера, соответственно.


«Берзарина 2» — вскоре в строю
В ноябре 2018 года в эксплуатацию вводится новый дата-центр «Берзарина 2» в Москве, где впервые в практике компании будет применена схема фрикулинга с доохлаждением с помощью адиабатической системы. Если забортный воздух слишком теплый, — а температура в Москве в летнее время часто превышает 23°C, — то включается система адиабатического охлаждения.


Технология адиабатического охлаждения построена на распылении воды в виде мельчайших капель на пути воздушного потока, что позволяет охлаждать воздух за счет испарения воды. При использовании увлажнителей воздуха распылительного типа затраты электроэнергии на сам процесс охлаждения невелики, сравнительно с другими системами охлаждения. Сложная ячеистая структура смачиваемой преграды на пути подаваемого воздуха не позволяет микрокаплям воды попадать дальше в воздуховоды ЦОД. При этом уровень влажности остается в пределах допустимых значений для IT-оборудования.


В мире много интересных решений по системам охлаждения, которые позволяют экономить электроэнергию. Однако все новинки попробовать невозможно — требуется получить финансирование, провести проектирование, затем выполнить закупку оборудования, подготовку и ввод техники в эксплуатацию. Стадии поставки, монтажа, настройки и обкатки — это все очень продолжительные процедуры. Поэтому климатические системы после запуска работают минимум десятилетие и редко кардинально модернизируются в процессе эксплуатации уже построенного ЦОД. А интересные новинки приходят уже в новый ЦОД, в котором они прослужат свои 10-15 лет
подвел итог Кирилл Малеванов, технический директор Selectel.

На MONT Security Day Selectel получил награду



Selectel получил награду «Лучший партнер по внедрению решений облачной безопасности Microsoft». Узнайте и вы про комплекс услуг и решений для обеспечения информационной безопасности корпоративных систем: selectel.ru/services/is/

Делимся историей успеха нашего клиента getblogger



Директор по маркетингу Михаил Карпушин рассказал, какие нестандартные запросы поступают от рекламодателей, и какие задачи решают наши серверы.



Еще один интересный проект на серверах Selectel — онлайн-платформа по размещению рекламы у блогеров GetBlogger. Мы поговорили с директором по маркетингу Михаилом Карпушиным: узнали, чем платформа отличается от агентства, какие нестандартные запросы поступают от рекламодателей, и какие задачи решают наши серверы.

Михаил, расскажите о проекте
GetBlogger — площадка, которая соединяет рекламодателей и блогеров для продвижения продуктов и услуг в Instagram и Youtube. Платформу запустили основатели сервиса по доставке еды Delivery Club Анна Шкирина и Левон Оганесян. Так как опыт создания маркетплейсов у них уже был, команда знала, куда двигаться. Хотелось сделать рынок структурированным и занять его значительную часть.

Он не был таким?
Когда мы запускались, рынок только формировался. Не было четких правил игры, как в контекстной или таргетированной рекламе, где пользователь знает, за что и сколько он платит. Полтора-два года назад реклама у блогера была черным ящиком. Стоимость поста складывалась так: сегодня он стоит 10 тысяч рублей, завтра 20 тысяч, а для Coca-Cola 50 тысяч рублей.

А зачем развивать направление, где результат сложно прогнозировать?
Так было только в России. За рубежом маркетологи давно научились считать выгоду от рекламы блогеров. Мы подумали, что тоже сможем. Если где-то есть трафик, значит его можно монетизировать. Рано или поздно туда придут рекламодатели.

Смогли?
Да, мы не просто монетизировали, но и привели рекламу у блогеров к формату с оплатой за охват. Рекламодатель платит только за качественную аудиторию блогера.

Но ведь есть агентства, которые работают с блогерами? Почему рекламодатели не идут к ним?
Выбирают нас, потому что за короткий промежуток времени рекламодатель может провести масштабную рекламную кампанию. Например, кампания «Агуши» насчитывала 1 000 блогеров. Если бы агентство работало руками, у них это заняло бы месяцы. За счет автоматизации внутри команды и внутри платформы, экономим не только мы, но и рекламодатель. Бывает так, что крупные компании взаимодействуют и с нами, и с агентствами. GetBlogger — это умный софт. Блогер при регистрации подвязывает свои профили Instagram и/или Youtube к нашей платформе. Мы получаем данные из его аккаунтов напрямую от соцсетей, анализируем их и в удобном виде выводим эту статистику рекламодателю. В агентствах и биржах в принципе нет такого функционала.

На что именно смотрите в аккаунтах у блогера?
Платформа автоматически анализирует вовлеченность, качество аудитории, объем накруток, охват, половозрастной срез, географию аудитории и множество других параметров. Число блогеров постоянно растет, данных для анализа становится больше. Для того, чтобы их обработать, нам нужны серьезные вычислительные мощности, которые и предоставляет Selectel. На основе проанализированных данных выставляем блогерам цену за размещение у них рекламы. Рекламодатель платит не за 10 тысяч подписчиков, а за 5 тысяч тех, кто увидит рекламу, живет в России и не является ботом.

А в чем польза блогеру?
Мы не берем комиссию, как это делают агентства, и предоставляем заказы от качественных рекламодателей в очень большом объеме. При этом, мы гарантируем что условия сделки будут соблюдены обеими сторонами.

Как GetBlogger справляется с нестандартными запросами? Например, мне среди блогеров нужны ИТ-специалисты. Я смогу найти, то что хочу?
GetBlogger — агрегатор с человеческим лицом. У нас есть отдел, который работает с рекламодателями. За счет того, что налажена тесная коммуникация с блогерами, с помощью менеджера им можно отправлять нестандартные запросы.

А бывает так, что не вы ищете блогеров, а к вам уже приходят со списком?
Чаще всего крупные бренды и средний бизнес приходят со списком блогеров, с которыми они работают. Нередко случалось так, из этого списка до 50% накручивали подписчиков, просмотры, лайки и комментарии, и тогда рекламодатель от них отказывался.

А почему они сами не смогли оценить качество аудитории?
Руками проверить, использует блогер накрутку или нет, невозможно. Совсем явную накрутку видно глазами, но большая часть блогеров равномерно накручивает лайки с накруткой подписчиков, запускает таргетированную рекламу, чтобы собирать лайки от живых людей с дешевых гео, например из Пакистана, Индии, Малайзии.

Михаил, большое спасибо за интересные подробности работы вашей площадки, у меня остались вопросы по технической части. Почему выбрали Selectel?
Мы запустили платформу в 2017 году, с вами с самого начала. Выбрали Selectel, потому что знали, что вы надежный провайдер, ваше имя было на слуху.

Какую услугу используете?
Выделенный сервер произвольной конфигурации. Если есть возможность взять конфигурацию под проект, странно ею не воспользоваться. Произвольная конфигурация позволяет нам не брать сервер впритык и при этом не переплачивать за излишний запас вычислительных мощностей.

Для каких задач выбирали?
Задач было несколько, но результат важен был один: хорошо работающая платформа.
  • Первая задача была связана с разработкой платформы, она у нас 24/7. Каждую неделю мы выпускаем новые и новые обновления. Например, вносим изменения в личный кабинет или меняем фильтры для поиска блогеров. Важно было, чтобы сервер работал без зависаний.
  • Вторая задача: нам требовались серьезные мощности, чтобы обрабатывать большое количество статистики онлайн. Каждый день на платформе регистрируются сотни блогеров, мы анализируем информацию по каждому из них. Сейчас блогеров около 60 тысяч, отображается чуть больше 16 тысяч. У нас очень жесткий порог отсева. Блогер, даже пройдя модерацию, далеко не факт, что получит предложение от рекламодателя. Мы, в первую очередь, оцениваем качество аудитории с помощью целого ряда алгоритмов, а для их работы требуются соответствующие мощности.
  • Третья: сервер должен был выдерживать нагрузку на сам фронт. Например, нужен быстрый рост числа рекламодателей из Санкт-Петербурга. Мы запускаем таргет или рекламу в СМИ, и на сайт начинает идти трафик рекламодателей. Помимо главной страницы, нам нужно им быстро показывать страницы с самим фильтром/поиском блогеров. Все должно грузиться быстро. Умная платформа, которая грузится 5 секунд, такого мы себе позволить не можем. С «Выделенными серверами» Selectel сайт загружается за 0,9 секунды.

Решили задачи?
Да, на сервере лежит продакшн версия проекта (сайт и все сервисы по сбору и обработке статистических данных).

А почему выбрали не облако?
Исторически сложилось, что еще в Delivery Club всегда использовали железо.

Что нравится у нас?
Мне как маркетологу понравился спецпроект с VC, где вы простым языком рассказываете о том, какие услуги предоставляете. Еще у вас очень понятный сайт. Знаю точно, что нашему техническому директору нравится оперативная и квалифицированная техническая поддержка, удобный личный кабинет. Вопрос стабильности не хочет затрагивать из суеверности.

19 октября говорим о DevOps - ждем вас на SelectelMeetUp



19 октября в Санкт-Петербурге в конференц-холле Selectel пройдет первая встреча серии SelectelMeetUp — мероприятий с короткими докладами на IT-темы без рекламы и спонсоров.

В этот раз будем говорить о DevOps и приглашаем вас пообщаться с «соседями по дата-центру», обменяться опытом и найти интересные решения ваших задач.

На SelectelMeetUp выступят:

selectel.timepad.ru/event/827687/

Аренда IT-инфраструктуры: как партнеры приумножают прибыль



Учитывая запросы клиентов, у Selectel появился целый ряд проектов, связанных с облачной инфраструктурой. Компании, которые уже оценили преимущества облаков, рекомендуют подобные решения своим клиентам. О том, как Selectel выстраивает работу с партнерами, какие услуги могут повысить прибыль, расскажем в этой статье.

Почему компаниям выгодно арендовать облачные ресурсы?
Многие из наших клиентов и партнеров обращаются с вопросом, можно ли разместить свои проекты в Selectel. Почему вопрос аренды ресурсов в дата-центрах становится все актуальнее? Перечислим несколько преимуществ.

Рынок движется в сторону сокращения непрофильных затрат, к которым, относится поддержание работы сервисных и обеспечивающих подразделений. Компаниям хотелось бы превратить СAPEX в OPEX, в этом помогает аренда ресурсов дата-центра. Какие именно затраты сокращаются?

Во-первых, отпадает необходимость закупки серверов. Во-вторых, не нужно ждать поставки новых серверов и тратить время на настройку — ресурсы увеличиваются в несколько кликов. Сокращается время разработки и запуска новых проектов. В-третьих, не нужно заботиться о «железной» составляющей проекта — достаточно выбрать в панели управления нужные ресурсы, работоспособность которых обеспечит провайдер.

Облачные сервисы снижают издержки бизнеса, решают проблему поддержания работы ресурсов, экономят время разработки и запуска новых продуктов компаний, но это далеко не все преимущества.

Соблюдение российского законодательства
Согласно требованиям 152-ФЗ, все компании, включая иностранные, обязаны хранить персональные данные россиян на территории Российской Федерации. В иных случаях, когда категории данных подпадают под более строгий регламент, компании нуждаются в установке программных средств на используемое оборудование или в получении комплексного решения для IT-проекта. Selectel готов предложить своим заказчикам услугу «Выделенные серверы в защищенном сегменте ЦОД».

Лицензии и сертификаты
Selectel имеет сертификаты PCI DSS — стандарт безопасности данных индустрии платежных карт, ISO/IES 27001 — международный стандарт по информационной безопасности. Список лицензий и сертификатов Selectel можно увидеть в разделе «Реквизиты и лицензии».

Единое информационное поле для сети филиалов
Розничные компании получают возможность легко добавлять новые филиалы, а сотрудники могут работать в одной и той же базе данных. В результате компания экономит на стоимости клиентских терминалов.

Резервное копирование
Актуально для компаний, политика безопасности которых предусматривает хранение копий данных на стороне других провайдеров. Компания может самостоятельно настроить резервное копирование данных в облачное хранилище.

Комплексные решения
Аренда облачных сервисов подходит для компаний со сложными проектами. Клиент размещает одну часть ресурсов в собственном дата-центре, а другую часть — на сторонней площадке. Варианты комбинации ресурсов могут быть различными, например:

1С-проекты в облаке
В мае 2018 года список наших партнеров пополнила компания «Первый Бит». Теперь компания предоставляет ресурсы Selectel в аренду, например, «Виртуальное приватное облако» с лицензиями 1С. Мы выделили конфигурации, наиболее подходящие для 1С-проектов.

«Виртуальное приватное облако» или VPC
Услуга подходит для компаний с сезонностью продаж и предусматривает увеличение ресурсов для 1С-проекта, когда:
  • возрастает количество документов перед сдачей отчетности, можно увеличить доступный объем ресурсов, CPU-ресурс, через панель управления. Это ускорит работу системы и позволит заинтересованным лицам с легкостью получить доступ к данным;
  • увеличивается нагрузка на сотрудников компании, но их общее количество не меняется. Для ускорения процессов добавляем в 1С-проект услуги CPU и быстрый диск. Эти функции позволят менеджерам быстрее делать расчеты, проверять остатки товаров на складе;
  • возрастает количество менеджеров в высокий сезон продаж, добавляем CPU-ресурс, быстрый диск и RAM. Каждый менеджер сможет иметь доступ к 1С без ограничений.


«Выделенный сервер»
В зависимости от характеристик проекта партнер может выбрать «Виртуальное приватное облако» или «Выделенный сервер», иногда — и то, и другое. «Виртуальное приватное облако» удобно использовать, если нужно быстро настроить IT-инфраструктуру, требуется масштабирование ресурсов и необходимо предоставить клиентский доступ к проекту.

«Выделенный сервер» является подходящим решением, когда компания планирует хранить большие объемы данных, размещать ресурсоемкие проекты или необходимо работать с приложениями, несовместимыми с системами виртуализации.


В цену услуги «Выделенный сервер» входит:
  • аренда оборудования в выбранной локации: Москва, Санкт-Петербург, Ленинградская область;
  • модель потребления трафика: гарантированная скорость подключения к сети 100 Мбит/с или 1 Гбит/с с потреблением до 30 ТБ в месяц;
  • 5 ip-адресов из одной подсети класса С на аккаунт;
  • встроенный IPMI 2.0 с возможностью удаленного подключения IP-KVM;
  • автоматическая установка свободно распространяемой операционной системы;
  • «холодный коридор» с оптимальной температурой для работы серверов;
  • резервирование электропитания стойки с сервером;
  • контроль и поддержание работоспособности инфраструктуры.

Модели партнерства Selectel
Стать партнером Selectel — совместить обслуживание и развитие IT-инфраструктуры своего клиента с заработком и приятными бонусами от надежного провайдера. В зависимости от готовности партнера официально оформить финансовые взаимоотношения, мы предлагаем два типа программ.

Перепродажа услуг или white label
Партнер берет на себя всю работу с клиентами, включая консультирование перед продажей, формирование торгового предложения, решает, как продавать решение своему клиенту. А также партнер может самостоятельно формировать конечные цены услуг и определять маржинальность. Модель перепродажи предусматривает скидку для партнеров до 30% на все услуги Selectel.

Срочная и бессрочная реферальная модель
Партнер рекомендует Selectel своим клиентам, передает их нам и получает денежные бонусы, размер которых зависит от суммарного оборота покупок рефералов — приведенных клиентов.

Бонусы на услуги Selectel для партнеров по реферальной программе составляют до 12%. Преимущество модели в том, что партнеру не нужно вникать в финансовые, технические детали услуг и инфраструктуры. За все коммуникации и сопровождение клиентов отвечает Selectel. Ознакомиться с детальным описанием программ можно на сайте.
selectel.ru/about/partners/

Мы хотим, чтобы партнеры оценили преимущества сотрудничества с Selectel, поэтому на первом этапе предоставляем бесплатные ресурсы для тестирования. Свяжитесь с нами, запланируйте пилотный проект и получите бонусы на ваш аккаунт.

Запуск новой услуги «Выделенные серверы в защищенном сегменте ЦОД»

Запуск новой услуги «Выделенные серверы в защищенном сегменте ЦОД», открытое тестирование CDN Selectel, итоги SelectelTechDay и приглашение на Слёрм-2

Это рассылка Selectel — рассказываем о важных событиях сентября. Сегодня в выпуске: новая услуга «Выделенные серверы в защищенном сегменте ЦОД», CDN Selectel, итоги SelectelTechDay и, по традиции, новые статьи в нашем блоге, истории успеха клиентов и подборка актуальных вакансий.


Новости Selectel
Вместе сделаем Базу знаний лучше
Мы хотим сделать Базу знаний еще удобнее и полезнее, поэтому ваше мнение для нас очень важно. Мы подготовили небольшую анкету. В ней нет обязательных вопросов, вы можете закончить ее заполнение в любой момент. Будем рады вашим ответам.

Новости услуг
Надежная защита систем с повышенными требованиями к безопасности
Каждый день мы работаем над тем, чтобы сделать инфраструктуру надежнее и безопаснее. Рады сообщить о запуске новой услуги «Выделенные серверы в защищенном сегменте ЦОД». Она актуальна компаниям, которым нужно хранить и обрабатывать персональные данные, выполняя требования 152-ФЗ, защищать коммерческую тайну и другую конфиденциальную информацию. В рамках услуги вам будут доступны:
  • Аренда выделенного сервера произвольной конфигурации
  • Размещение оборудования в защищенном сегменте дата-центра
  • Изолированная сеть для каждого заказчика
  • Дополнительные средства защиты для нейтрализации актуальных угроз безопасности
Напишите на sales@selectel.ru — мы проконсультируем и поможем создать защищенный периметр в дата-центре Selectel.

Новые тарифы и конфигурации Chipcore
В дополнение к ежедневным тарифам на серверы Chipcore мы добавили традиционную ежемесячную оплату. Вы можете выбрать подходящий тариф, отталкиваясь от задачи и срока проекта:
  • Ежедневная оплата от 200 руб./день подойдет под задачи, которые не предполагают долгого использования серверов
  • Ежемесячная от 990 руб./месяц — для обеспечения постоянного доступа к вычислительным мощностям
Помимо внедрения новых тарифов мы расширили линейку серверов Chipcore. Теперь в ней 7 конфигураций, различающихся производительностью и объемом памяти. В зависимости от характеристик цена варьируется от 990 до 4,990 руб./месяц. Серверы готовы к использованию уже через 5 минут после заказа. Посмотреть все конфигурации вы можете на нашем сайте.
selectel.ru/services/dedicated/chipcore/

Переход на новую схему лицензирования по программе Microsoft SPLA
С 1 октября в связи с окончанием срока действия текущего соглашения с Microsoft и вступлением в силу нового лицензионного соглашения, изменилась модель лицензирования услуг Microsoft по программе SPLA (Service Provider License Agreement). Новые правила касаются аренды серверных лицензий.
  • Все физические ядра на физических серверах и виртуальных машинах должны быть лицензированы
  • На каждом процессоре нужно лицензирование минимум 8 ядер (для Windows Server) и 4 ядра (для SQL Server)
  • Лицензии предоставляются пакетами
  • Один пакет включает в себя лицензии на два ядра
Таким образом, при установке Windows Server должно быть арендовано минимум 4 пакета на процессор. При установке SQL Server — 2 пакета на процессор. Подробнее об условиях лицензирования вы можете спросить нас в тикете.

Открытое тестирование CDN Selectel
С конца июля услуга CDN Akamai стала доступна всем клиентам — в качестве источника можно задать любой адрес, с которого CDN будет забирать контент для раздачи (CDN origin). А теперь мы рады сообщить, что, помимо CDN Akamai, в панели управления появилась новая сеть доставки контента — CDN Selectel.
  • CDN Selectel подойдет компаниям, которые хотят ускорить доставку контента с наименьшими затратами на территории России, СНГ и Европы
  • CDN Akamai — для тех, кто работает по всему миру. Это одна из ведущих сетей доставки контента, насчитывающая более 1,800 кэширующих серверов в РФ и более 240,000 по всему миру. Настроить ее через панель управления пока нельзя, зато мы можем сделать это за вас. Оставьте заявку на подключение Akamai в тикете
Оценить доступные возможности услуги CDN вы можете уже сейчас, заходите в панель управления, тестируйте функциональность и передавайте нам обратную связь через тикет-систему.
my.selectel.ru/network/cdn/create

Мероприятия

27 сентября в Санкт-Петербурге мы по традиции открыли двери конференц-зала для клиентов и партнеров в рамках SelectelTechDay. Более 200 гостей, актуальные доклады, демонстрационные стенды и экскурсии. Темы мультиоблачной среды и информационной безопасности получили отклик среди аудитории: было много интересных вопросов и нетривиальных дискуссий. О том, как прошел день, читайте в блоге.
В ноябре мы проведем SelectelTechDay в Москве, следите за новостями и ждите приглашений.


Southbridge проводит 3-дневный интенсив по Kubernetes, где каждый участник создаст кластер и развернет в нем приложение. Selectel предоставляет облако для практики. Ждем вас 25–27 октября в отеле «Царьград» или на онлайн-занятиях. Регистрируйтесь slurm.io/slurm2/

SelectelTechDay: инфраструктура начинается здесь



В этот четверг, 27 сентября 2018 года, мы пригласили клиентов и партнеров к нам в гости на уже ставшее традиционным мероприятие — SelectelTechDay. Более 200 гостей, интересные доклады, демонстрационные стенды и экскурсии, а также обмен опытом за чашкой кофе — расскажем обо всем по порядку.


В этот раз темами мероприятия были выбраны:
  • информационная безопасность;
  • мультиоблачная среда — стратегия и реализация;
  • развитие облачных сервисов Selectel.
Появляющиеся угрозы вынуждают бизнес постоянно отслеживать возможные риски и оперативно реагировать. Однако, если для обеспечения безопасности в локальной IT-инфраструктуре на рынке есть уже большое количество решений, то в облачной среде она представляет определенную сложность.

Мультиоблачная среда
Активная потребность бизнеса в сокращении капитальных расходов на текущий момент привела к тому, что как минимум 80% компаний используют облачные решения (по данным совместного исследования Selectel и IKS Consulting). Существенная доля бизнес-заказчиков использует два и более облачных провайдера для реализации своих проектов. Насколько обоснован такой подход и какие есть сложности в его реализации — об этом присутствующим рассказал Дмитрий Рыжов, директор департамента облачных решений Selectel.


Выбор стратегии использования нескольких облачных провайдеров несет в себе как очевидные преимущества, так и создает определенные сложности. Для эффективного управления мультиоблачной средой заказчику необходимо провести ряд дополнительных исследований и заранее подготовить единый стандарт контроля для используемых сервисов. Успешная реализация перехода в мультиоблачную среду позволит осуществлять непрерывную интеграцию и развертывание приложений.

Резервное копирование в облаке

Константин Ансимов, менеджер продуктов Selectel, начал свой доклад с опроса гостей о потере критичных данных. Большая часть аудитории сообщила, что в их компаниях такие случаи были.

Буквально год назад эпидемия вирусов-шифровальщиков, эксплуатирующих уязвимость в старом протоколе SMB, нанесла очень серьезный ущерб сотням тысяч серверов и рабочих станций. Предотвратить такую ситуацию невозможно, но вот нивелировать риск потери данных — задача вполне выполнимая.

Построение и обслуживание собственной отказоустойчивой системы хранения резервных копий весьма затратно, поэтому целесообразно использование модели DRaaS (Disaster Recovery as a Service). Именно эту модель Selectel реализовал для новой услуги Облачный репозиторий Veeam Cloud Connect.

Воспользоваться услугой могут те заказчики, кто уже пользуется программными решениями Veeam® для создания резервных копий внутри собственной инфраструктуры. Она позволяет не только хранить резервные копии, но и создавать катастрофоустойчивую экосистему без дополнительных затрат на оборудование.

Демонстрация решения
В очередной раз Selectel не только рассказал о том, каким образом должна работать услуга резервного копирования, но и провел демонстрацию выполнения репликации в наше облако на базе VMware при помощи программного решения Veeam Backup & Replication™.

Непосредственно на сцене был размещен сервер с развернутым гипервизором и парой виртуальных машин. После того, как в каждой из них были внесены изменения, предложенные гостями, средствами Veeam® было создано и выполнено задание репликации в Облачный репозиторий Veeam Cloud Connect. После успешного выполнения задания один из гостей вызвался добровольцем и помог устроить рукотворную катастрофу. Легко и непринужденно из сервера был выдернут кабель питания, после чего связь с тестовым виртуальным окружением пропала.


В случае наступления подобной ситуации системный администратор может поступить двумя способами:
  • обратиться к нам в техподдержку с просьбой запустить его ранее разработанное задание Failover;
  • самостоятельно зайти в консоль Veeam Availability и вручную запустить необходимое задание.
После выполнения любого из описанных сценариев реплики запускаются в нашей инфраструктуре и полностью становятся доступными, давая возможность системному администратору приступить к восстановлению работоспособности упавшего сервера. В то же время вся виртуальная инфраструктура продолжает корректно функционировать непосредственно в нашей экосистеме VMware.

Microsoft Azure

Об экономии ресурсов благодаря облачным технологиям рассказал Антон Коваленченко, архитектор облачных решений компании МОНТ.

В начале доклада он подробно остановился на сравнении стоимости содержания собственной IT-инфраструктуры и ее переноса в облака. Сейчас компании, по словам Антона, предпочитают видеть в лице своих сотрудников IT-отделов не столько администраторов, поддерживающих работу серверов, сколько советников, помогающих бизнесу оптимизировать рабочие процессы при помощи новых сервисов.

Свои тезисы Антон подкрепил примером оптимизации работы сети автомоек из Тюмени. Казалось бы, как можно ставить в один ряд облачные технологии и помывку машин? Но именно благодаря тщательному анализу полученных данных (расход воды, пиковое время посещений и так далее) и последующей оптимизации ресурсов, руководителю удалось увеличить собственную прибыль.

Безопасность гибридных и мультиоблачных систем
Николай Носов, независимый эксперт RCCPA и эксперт-обозреватель «ИКС-МЕДИА», рассказал гостям об особенностях построения модели угроз при использовании облачных сред, а также об эффективных методах защиты.

Одним из наиболее действенных «рецептов», представленных Николаем, является метод сегментирования облачной инфраструктуры и анализ активности на уровне отдельно взятого сегмента. Несмотря на то, что бизнес только начал смотреть в сторону гибридных и мультиоблачных систем — они уже широко используются отдельными категориями организаций. В качестве примера можно привести банковскую сферу, которая несколько лет назад начала активно использовать мультиоблачную среду для своих сервисов, обеспечивая тем самым глобальное присутствие в разных странах мира.

Защита информации в облаке
Если для локальной IT-инфраструктуры достаточно рассчитать модель угроз и предпринять необходимые меры, соблюдая требования регуляторов, то сделать то же самое для облачной инфраструктуры до сих пор представляется нетривиальной задачей. Чтобы наглядно показать, как Selectel защищает корпоративные данные в облаке, Андрей Давид, руководитель направления клиентской безопасности Selectel, представил исчерпывающий доклад.

Очевидно, что подход к задаче обеспечения безопасности в облаке может быть только комплексным. Требования к защите информации зависят от того, какие данные обрабатываются (технологические, персональные данные, коммерческая тайна). Каждая третья утечка данных приводит к увольнению ответственных сотрудников. При этом требования определяются не только законом, но и заказчиками.

Например, в тендерах B2B-компаний и государственных организаций еще до оказания услуг требуется соответствие критериям безопасности. Из-за скрытой от пользователя архитектуры IaaS-сервиса компании бывает сложно смоделировать угрозы безопасности, и только четкое разграничение зон ответственности поможет определить, что именно требуется для защиты обрабатываемой в облаке информации и какие дополнительные меры защиты требуется подключить.

Не так давно Selectel запустил новую услугу Выделенные серверы в защищенном сегменте ЦОД, направленную на то, чтобы дать возможность заказчикам использовать защищенную инфраструктуру для реализации проектов с высокими требованиями по защите информации. Использование сертифицированных средств защиты информации позволяет выполнять требования регуляторов и надежно защищать даже особо-конфиденциальные данные заказчика.

Аппаратные технологии
Увеличение количества разновидностей хакерских атак, рост количества устройств, подключенных к сети, а также широкое использование облачных услуг приводят к тому, что традиционные методы и средства защиты оказываются уже не столь эффективными. Все это привело к адекватному ответу — развитию низкоуровневых аппаратных технологий защиты, встроенных непосредственно в платформу.

Технологии безопасности платформы Intel Purley
Внедрение механизмов доверенной загрузки, а также интегрированных аппаратных модулей защиты — важный этап на пути к достижению высокого уровня безопасности. Платформы Intel® Purley используют для этого такие технологии, как:
  • Intel Cloud Integrity (Intel CIT);
  • Intel Trusted Execution (Intel TXT);
  • Intel Platform Trust (Intel PTT).
Все они являются частью комплекса Trusted Infrastructure, работающего на самом низком уровне. Задачей комплекса является обеспечение информационной безопасности непосредственно аппаратной платформы. Это и многое другое прозвучало в докладе Александра Мельникова, инженера по внедрению продукции компании Intel.


Особенности применения Intel Optane DC
Масштабирование серверных мощностей — процесс естественный, однако требующий серьезных вложений в инфраструктуру. Приложения сталкиваются с эффектом «бутылочного горлышка» (снижение скорости дисковых операций) при максимальной нагрузке на дисковую подсистему. Вызвано это прежде всего несколькими факторами:
  • оперативная память работает очень быстро, но в ней невозможно хранить данные без наличия электропитания;
  • традиционные накопители работают в разы медленнее, однако могут постоянно хранить большие массивы данных вне зависимости от наличия электропитания;
  • стоимость модулей оперативной памяти очень высока.
Для высоконагруженных проектов это создает очень неприятную проблему — запрашивать данные только с дисковых накопителей долго, а использование для этих целей оперативной памяти слишком дорого. Появление накопителей серии Intel Optane стало стирать различия между традиционными накопителями и оперативной памятью. В докладе было рассмотрено несколько эффективных сценариев использования, которые экономят средства заказчикам и ускоряют работу сервисов.

Обновление услуг Selectel
2018 год принес ряд существенных изменений в спектре наших услуг. Александр Тугов, директор по развитию услуг Selectel представил гостям мероприятия актуальные факты о развитии компании за 2018 год. В связи с ростом потребностей заказчиков мы расширяем линейку выделенных серверов, включив туда 4-х процессорные конфигурации. Для выполнения разовых запросов была введена возможность оплаты выделенных серверов по потреблению.


Виртуальное приватное облако также претерпело значительные изменения. В качестве бета-версии появилась возможность создавать кластеры Kubernetes посредством API. Для услуги Облако на базе VMware появилась возможность создания частного облака, а также интегрировано решение для резервного копирования.

Услуга Защита от DDoS‑атак продолжает активно развиваться. На текущий момент у нас работают три точки фильтрации в Москва, Амстердаме и Гонконге. В скором времени (октябрь 2018 года) будет запущена новая точка фильтрации трафика в Санкт-Петербурге. Это оптимизирует маршруты прохождения трафика и позволит уменьшить задержки, эффективнее используя ресурсы сети.

Еще одним обновлением стало дальнейшее развитие услуги Сеть доставки контента. Ранее мы предоставляли сервис только с помощью сети партнера, компании Akamai. Однако теперь были развернуты 46 собственных точек присутствия в 15 городах России и СНГ, сформировав CDN Selectel. На этой положительной ноте мы предлагаем передать слово нашим гостям.


Заключение
Уже традиционно в конце мероприятия разыгрывались призы среди гостей. Среди призов были и наши замечательные Тирексы. После окончания основной программы гостей пригласили пообщаться в неформальной обстановке.


Мы выражаем свою искреннюю признательность нашим гостям, которые посетили наше мероприятие и уделили пристальное внимание к вопросам защиты данных. Также мы благодарим наших партнеров за помощь в организации конференции:
  • Intel;
  • DDoS-Guard;
  • Fast Lane;
  • MONT.

Активную поддержку в подготовке мероприятия нам оказывали наши информационные партнеры:
  • Telecom Daily;
  • ICT2Go;
  • ICT-Online;
  • ИКС Медиа;
  • 5gfuture;
  • ITNews;
  • mskit.ru;
  • nnit.ru;
  • itsz.ru.
Посмотреть видеозапись мероприятия можно по ссылке. youtu.be/TYgtXc52mdE
Архив презентаций можно скачать с нашего сервера.
static.selectel.ru/selecteltechday_27_09_18/presentations_SelectelTechDay_27_09_18.zip

Будем рады видеть всех гостей вновь на следующем SelectelTechDay. Если у вас появились вопросы или интересные предложения, добро пожаловать в комментарии.

Новая услуга Selectel для информационных систем с высокими требованиями к защите данных



Если вашей организации нужно хранить и обрабатывать персональные данные с выполнением требований 152-ФЗ, защищать коммерческую тайну и другую конфиденциальную информацию — вам поможет новая услуга Selectel «Выделенные серверы в защищенном сегменте ЦОД» для информационных систем с высокими требованиями к защите.
Что вы получите в рамках услуги
  • Защищенный сегмент дата-центра, который соответствует требованиям приказа № 21 ФСТЭК в части физической безопасности.
  • Изолированную от других клиентов дата-центра сеть.
  • Возможность подключить дополнительные средства защиты для нейтрализации актуальных угроз безопасности.
  • Возможность заказать аттестацию системы по требованиям безопасности информации.
Наши преимущества
  • У нас есть лицензии ФСТЭК и ФСБ для оказания услуг в области защиты информации.
  • Можем размещать информационные системы персональных данных (ИСПДн) с 4 по 1 (максимальный) уровень защищенности.
  • Основные средства защиты находятся в наших дата-центрах и предоставляются как сервис — вам не нужно ждать поставку оборудования.
Подробнее об услуге вы можете узнать на нашем сайте.
selectel.ru/services/is/dswes/

Сборка сервера: от заказа комплектующих до тестирования



Что происходит, когда наш клиент заказывает сервер произвольной конфигурации? Насколько надежны серверы, собранные по индивидуальному заказу? Эти и другие вопросы мы сегодня подробно обсудим в новой статье.

Заказ сервера
Несмотря на то, что в разделе доступных для заказа серверов присутствует несколько десятков различных конфигураций, некоторым клиентам требуются серверы специальной конфигурации. Чаще всего такое необходимо для создания сервера с очень высокой производительностью либо с большим количеством дисковых накопителей.

Чтобы удовлетворить такую потребность, была предусмотрена услуга «Выделенный сервер произвольной конфигурации». Конфигуратор на сайте позволяет за пару минут самостоятельно создать сервер любой сложности и арендовать его. Однако мало кто задумывается, как именно собираются эти серверы.

После того как клиент определился с нужной конфигурацией, сделал заказ и оплатил его, система автоматически создает тикет в панели управления. Такой тикет поступает в отдел сборки, и специалисты приступают к проверке заказа и, собственно, самой сборке сервера.

Процесс сборки
Проверка заказа
Конфигуратор на сайте чаще всего выбирает «правильный» вариант комплектующих, но в некоторых случаях клиенты могут выбрать не самый оптимальный вариант сочетания аппаратных компонентов. Например, RAID-контроллер, который не сможет выдать максимальную производительность в такой конфигурации, или нечетное количество планок оперативной памяти в многопроцессорных системах. Поэтому инженеры вначале проверяют заказ и в случае выявления потенциальных проблем обязательно предупреждают клиента в тикете.

В случае, если клиент согласен, что конфигурация не оптимальна, можно без проблем аннулировать заказ и создать новый. Денежные средства при аннулировании возвращаются на баланс панели управления в полном объеме. После того, как заказ проверен, мы приступаем к подготовке комплектующих и сборке сервера.

Комплектующие
Каждый сервер состоит из следующих комплектующих:
  • корпус (идет сразу с блоком питания);
  • материнская плата;
  • оперативная память;
  • процессоры;
  • накопители;
  • дисковые контроллеры (если есть в заказе);
  • видеокарты (если есть в заказе).
Ответственный за сборку инженер готовит все комплектующие и фиксирует их в системе учета, используя серийные номера в качестве идентификаторов. Теперь расскажем обо всех этапах, которые проходит каждый сервер произвольной конфигурации.

Подготовка корпуса
Мы обычно используем корпусы Supermicrо, которые следует подготовить к установке материнской платы с помощью идущих в комплекте метизов. В разных моделях материнских плат разные точки крепления, поэтому следует определить количество метизов и болтов для каждой конкретной сборки.

Пока количество заказов было небольшим, мы просто брали предназначенный для корпуса комплект крепежа, а неиспользованный крепеж откладывали. В определенный момент стало ясно, что тратится очень большое время на поиск нужного болта и мы решили расфасовать весь крепеж, имеющийся на складе.


После того как последний пакет с крепежом был расфасован, стало ясно, что мы не зря проделали эту работу. Теперь каждый болт и каждый метиз лежит в строго отведенном для этого месте и это экономит огромное количество времени.

Для того, чтобы контакты материнской платы не соприкасались с металлическим корпусом и не произошло короткого замыкания, используется специальная пластиковая прослойка. Без нее сборка запрещена. Помимо этого, необходимо аккуратно выломать (да-да, это предусмотрено производителем) отверстия для портов в заглушке с задней части сервера. Выполняется элементарно с помощью плоской отвертки.

После этого на корпус наносятся наклейки с идентификатором заказа, а также серийный номер будущего сервера. Для удобства работы помимо буквенно-числового идентификатора на наклейках содержатся штрих-коды, позволяющие оперативно считать информацию с помощью сканера.

Установка материнской платы
Непосредственно перед установкой материнской платы инженеры выполняют некоторые подготовительные действия:
  • надевают тонкие перчатки;
  • надевают заземляющий браслет.
Прежде всего это нужно, чтобы не повредить руки. Наиболее частая травма при этом — порезы. Заземляющий браслет не позволит произойти случайному повреждению электронных компонентов платы из-за статического электричества.

После того как материнскую плату поставили на место, закручиваются крепежные болты. При этом следует помнить, что текстолит достаточно хрупок, и не прилагать излишних усилий. Для экономии времени инженеры используют аккумуляторные отвертки.

Теперь к материнской плате подключаются кабели питания, а также вентиляторы системы охлаждения. Здесь важно то, что порой длина кабелей больше, чем необходимо, поэтому их аккуратно стягивают при помощи тонких нейлоновых стяжек. При отсутствии возможности закрепить стяжки к корпусу, производитель поставляет удобные крепежные площадки на двустороннем скотче. Концы аккуратно откусывают бокорезами.

Затем выполняется подключение лицевой панели и бэкплейна с помощью соответствующих кабелей. Теперь можно приступать к установке процессоров и прочих элементов.

Установка процессоров
Эта операция, пожалуй, самая тонкая и требующая внимательности. Еще 10 лет назад процессоры имели удобные «ножки», а сокеты представляли собой пластиковую матрицу с отверстиями. Благодаря этому достаточно было всего лишь аккуратно вставить процессор в сокет и закрыть защелку. Начиная с сокета LGA 775 процессоры лишились «ножек», остались только ровные контактные площадки. Сокеты, наоборот, теперь имеют контакты, однако они настолько маленькие и хрупкие, что любая операция с установкой процессора должна быть максимально точной.
Современный сокет FCLGA3647

Процессор линейки Intel Xeon Scalable


После того, как процессоры установлены на свои места приходит черед установки радиаторов охлаждения. Как правило, используются пассивные радиаторы, однако перед этим наносится термопаста — слой теплопроводящего материала, разделяющий процессор и радиатор. Чаще всего для этого используют кремнийорганическую пасту, такую как КПТ-8.

Здесь следует помнить, что основная задача термопасты — закрыть микроскопические дефекты как на поверхности процессора, так и на поверхности радиатора, обеспечивая максимально большую площадь соприкосновения. Поэтому ее наносят очень тонким и ровным слоем. Для этого используют либо специальную лопаточку, либо по старинке ненужную пластиковую карточку. Излишки убираются с помощью ватных палочек.

Установка оперативной памяти
Каждый производитель материнских плат самостоятельно определяет верный порядок установки модулей оперативной памяти, в зависимости от ее типа и скорости. Для Supermicro этот порядок установки прописан в инструкциях к каждой модели материнской платы. Тем не менее есть несколько достаточно универсальных правил, которые работают в большинстве случаев:
  • нежелательно использовать нечетное количество планок (актуально для процессоров Intel® Xeon® линейки E5);
  • следует поканально распределять память, чтобы система могла задействовать все возможные режимы механизмов управления;
  • в одном сервере желательно использовать память с одинаковым значением задержки (latency), напряжения и частоты, в диапазоне, который поддерживает материнская плата.
Перед установкой инженеры проверяют, чтобы в слотах не было никаких посторонних частиц пыли или бумаги. При необходимости используется сжатый воздух для очистки.

Установка накопителей
Тут все просто. Дисковые накопители закрепляются в штатных салазках, после чего вставляются в сервер. Если были заказаны дисковые контроллеры или дополнительные сетевые карты, то они устанавливаются в соответствующие PCI-E слоты и закрепляются винтами. После того, как все установлено на свои места, инженер отдела сборки еще раз проверяет соответствие всех комплектующих заказу и отправляет сервер на стенд для прошивки и тестирования.

Укладка кабелей
Коснемся такой темы, как укладка кабелей внутри сервера. Тут тоже есть свои нюансы, главным из которых является ограниченность пространства. Большинство серверов спроектированы таким образом, чтобы занимать минимум места в стойке. Высота одного монтажного юнита составляет 43,7 мм. Из-за этого места для кабелей после установки материнской платы и прочей периферии остается достаточно мало.

Забавный факт: один монтажный юнит по высоте в точности равен одному вершку (древнерусская единица длины).

Всегда следует учитывать, что сквозь сервер воздух должен проходить беспрепятственно для эффективного охлаждения компонентов. Любые препятствия на его пути будут ухудшать отвод тепла, а следовательно, увеличивать расход электроэнергии из-за увеличенной нагрузки на систему охлаждения. Это особенно важно для серверов с несколькими GPU, температура которых под нагрузкой доходит до 80 градусов.

Воздушный поток разделяется поровну между всеми GPU


Поэтому все кабели укладываются таким образом, чтобы не перекрывать путь прохождения воздуха. Излишки при помощи стяжек закрепляются к штатным проушинам, а в случае их отсутствия к пластиковым площадкам с двусторонним скотчем.

Так выглядит сервер с аккуратно уложенными кабелями, которые не мешают прохождению воздушного потока


Прошивка комплектующих
Для начала ответим на достаточно часто задаваемый вопрос — зачем же это нужно? Ответ прост — эта процедура необходима для того, чтобы все компоненты сервера работали без ошибок, а также, чтобы повысить уровень безопасности.

Большинство компонентов сервера построены с расчетом на то, чтобы их можно было перепрограммировать. После выхода с конвеера в процессе тестирования и эксплуатации в большинстве случаев обнаруживаются ошибки и уязвимости программного обеспечения. Если бы возможности перепрограммирования компонентов не было предусмотрено, то для ликвидации этих программных проблем пришлось бы отзывать всю продукцию. Гораздо дешевле было создать возможность замены микропрограммы.

Перепрошивка IPMI
Модуль удаленного управления (IPMI / iLO / iDrac) — один из важнейших элементов сервера. Он представляет из себя независимый микрокомпьютер, работающий всегда, когда на материнской плате присутствует рабочее напряжение.

Даже когда в сервере нет комплектующих, этот микрокомпьютер работает, выполняя задачу интерпретации и корректировки данных с датчиков сервера. Модуль тесно связан со всеми подсистемами управления питанием и позволяет выполнять практически любые операции удаленно. Поэтому вопрос безопасности при доступе к такому устройству стоит очень остро. Своевременное обновление прошивки позволяет уберечь модуль от взлома.

Установка прошивки обычно производится непосредственно из веб-интерфейса, однако в некоторых случаях ее можно произвести по сети, отправив на модуль прошивку с соответствующим программным обеспечением.

Перепрошивка BIOS
Базовая система ввода-вывода помимо уже перечисленной причины безопасности требует обновления еще для одного важного момента. В прошивке BIOS имеются микрокоды процессоров, поддерживаемых материнской платой, а также микрокоды сетевых интерфейсов и чипсетов. Когда выходит новая версия процессора, производители материнских плат выпускают новые версии прошивок, которые содержат требуемый микрокод. Без этого новый процессор просто не сможет запуститься. Вместе с прошивкой BIOS зачастую обновляются и связанные модули, например, Intel® ME (Management Engine).

Помимо этого, выпуск новых прошивок предотвращает конфликты, возникающие при взаимодействии различных комплектующих (как встроенных в материнскую плату, так и сторонних устройств).

Дабы не быть голословными, приведем пример. Возьмем материнские платы Supermicro X10SRi/X10DRi/X10DRW, которые поддерживают процессоры Intel® Xeon® E5-XXXXv3. Если поставить туда процессор следующей версии E5-XXXXv4 плата стартует, однако будет выдавать странные ошибки сбоя оперативной памяти «Failing DIMM» в разных слотах. И проблема тут вовсе не в памяти, а в том, что контроллер памяти находится в процессоре. Следовательно, неверное опознавание процессора материнской платой ведет к тому, что возникают подобные проблемы. Перепрошивка с помощью поддерживаемого процессора полностью решает эту ситуацию.

В некоторых случаях производители оборудования искусственно прекращают поддержку новыми моделями материнских плат более старого оборудования. Ярким примером может служить материнская плата Supermicro X11DPi, которая с любой версией прошивки BIOS не будет работать с HBA-контроллерами Adaptec 7-ой серии. Дисковый контроллер просто не инициализируется, вызывая полное зависание сервера. И на данный момент эта проблема не имеет решения.

Перепрошивка дисковых контроллеров
Ошибки в программном обеспечении таких важных устройств, как дисковые контроллеры могут не просто доставить неприятности, но и стать источником очень крупных проблем. В большинстве случаев процесс очень простой, перепрошивка происходит с помощью родной утилиты, встроенной непосредственно в сам контроллер.

Следует помнить, что старая прошивка дискового контроллера может не только исправлять ошибки, но и кардинально менять способ хранения метаданных. Чтобы избежать неприятных ситуаций и сохранить данные в целости, перед выполнением перепрошивки следует обязательно прочитать список внесенных изменений в функционал. Эта информация всегда присутствует на сайте производителя оборудования и чаще всего дублируется в архиве с самой прошивкой.

Перепрошивка сетевых карт
Не менее серьезные проблемы, крайне сложные в диагностике, могут доставить сетевые карты с ошибками на уровне встроенного программного обеспечения. Помимо устранения ошибок, программное обеспечение сетевых карт напрямую может влиять на производительность. Так что это еще один обязательный пункт для инженеров, выполняющих сборку серверов.

Важно
Хотелось бы отдельно отметить, что все операции по перепрошивке компонентов потенциально опасны для оборудования, поэтому их допустимо производить только квалифицированным специалистам. Если вы уже являетесь нашим клиентом и обнаружили необходимость перепрошить какой-либо компонент сервера, то ни в коем случае не пытайтесь это делать самостоятельно. Просто напишите нам в тикете, какой компонент следует перепрошить, и это будет выполнено со всеми мерами предосторожности.

Тестирование
Покончив с обновлением программного обеспечения, инженер сборки приступает к нагрузочному тестированию собранного сервера. Такое тестирование позволяет выявить большинство проблем еще до того, как сервер будет сдан клиенту.

Тест оперативной памяти
Для того, чтобы проверить работоспособность всех установленных в сервер модулей оперативной памяти, запускается весьма популярный инструмент под названием memtester. Непосредственно перед выполнением тестирования, инженер сборки проверяет, чтобы все установленные в сервер модули памяти корректно отображались в BIOS.

При запуске тестирования происходит процесс чтения и записи данных в оперативную память, используя разную последовательность данных и порядок заполнения ячеек. Скорость выполнения всех тестов напрямую зависит от объема. Наши минимальные требования — это один полный цикл проверки.

Если в процессе тестирования выявлены ошибки, то мы ищем сбойный модуль оперативной памяти и исключаем его из конфигурации, заменяя на аналогичный. Затем процесс тестирования повторяется целиком. Только когда все итерации тестов будут пройдены без ошибок, сервер отправляется на стресс-тестирование.

Тест процессора и дисков
Нагрузочный тест имитирует максимальную нагрузку на сервер в течение минимум 6 часов для сервера с магнитными накопителями. В случае с твердотельными накопителями столь длительное тестирование может резко увеличить износ накопителя, поэтому для них проводится аналогичное тестирование с меньшим временем исполнения.

Нагрузочное тестирование для процессоров Intel проводится с помощью оригинальной утилиты Intel IPDT (Processor Diagnostic Tool). Этот процесс вызывает повышение температуры процессора до максимально допустимой эксплуатационной температуры, и система охлаждения должна эффективно отводить все это тепло. Инженеры сборочной постоянно следят за тем, чтобы сервер прошел это испытание, и температура всех компонентов не превышала заявленных эксплуатационных пределов.

После завершения тестирования проверяются параметры S.M.A.R.T. всех установленных дисков. Если хотя бы один параметр, заявленный производителем как повод для замены накопителя, имеет ненулевое значение, диск заменяется на другой и также тестируется для исключения вероятности возникновения проблем в «боевом режиме».

Заключение
Каждый сервер произвольной конфигурации, сдаваемый нами в аренду, множество раз проверяется и тестируется, поэтому их можно смело использовать для любых проектов сразу, не тратя время на повторные тестирования и проверки. На каждом заказанном сервере будет самая актуальная версия микропрограммного обеспечения каждого компонента, что дает хорошую защиту от существующих уязвимостей и ошибок.

Foreshadow: предвестник неприятностей?



Текущий 2018 год интересен тем, что чуть ли не каждый месяц появляется информация о новых аппаратных уязвимостях: Spectre и Meltdown. Совсем недавно — 2 недели назад! — были опубликованы громкие новости об уязвимостях Foreshadow и L1Terminal Fault, которые, как сообщается, могут обойти даже механизм SGX (Sofware Guard Extensions), которые ранее считался практически невзламываемым. Насколько опасны эти уязвимости? Можно ли от них защититься и если можно, то как? Обо всём этом мы поговорим ниже.

Краткая справка
Foreshadow, или L1TF — это целая группа уязвимостей, в которую входят:
  • CVE-2018-3615 — для обхода SGX;
  • CVE-2018-3620 — для атаки на ядро операционной системы, а также на режим SMM (System Management Mode);
  • CVE-2018-3646 — для атаки на виртуальные машины.
Авторы многих публикаций высказывают особую тревогу в связи с возможностью обхода защиты SGX: этого не умели Spectre и Metldown, и это делает беззащитными любые конфиденциальные данные. Чтобы понять, насколько эта тревога обоснована, разберём принципы работы механизма SGX.

Что такое SGX и как его можно обойти
Аббревиатура SGX означает Software Guard Extensions. Так называется набор инструкций процессоров Intel, используемых для выделения приватных областей кода и данных. В 2015 году один из создателей SGX Мэттью Хойкстра (Matthew Hoeskstra) опубликовал статью (см. также русский перевод), в которой выделил следующие цели создания этой технологии:
  • дать разработчикам приложений возможность защитить критически важные данные от несанкционированного доступа или изменения со стороны зловредного ПО, запущенного с более высокими привилегиями;
  • позволить приложениям обеспечивать целостность и конфиденциальность чувствительных данных и кода, не вмешиваясь в работу системы привилегий и не мешая ей планировать и контролировать ресурсы платформы;
  • сделать так, чтобы платформа измеряла доверенный код и производила с помощью приложения подписанный аттестат и прочие сертификаты, удостоверяющие, что код был корректно инициализирован в доверенной среде;
  • дать пользователям возможность держать над приложениями контроль, не ограничивая в то же время свободы устанавливать и удалять приложения и сервисы;
  • позволить разработчикам создавать доверенные приложения с использованием известных им средств и процессов;
  • обеспечить рост производительности доверенных приложений;
  • позволить приложениям определять доверенные области кода и данных даже в случае, когда злоумышленник физически контролирует платформу и может осуществлять прямые атаки на память (см. один пример здесь).

В процитированной статье маркетинга гораздо больше, чем технических подробностей. В ней рассказано в общих чертах о том, ЧТО позволяет делать технология SGX, но нет ни слова о том, КАК это делается. Об этом мы подробно расскажем ниже. В своём изложении мы будем в первую очередь опираться на подробную статью, опубликованную Международной организацией исследований в области криптологии (IACR, International Association for Cryptologic Research).

SGX создаёт в памяти защищённый регион — PRM (Processor Reserved Memory), который также называют анклавом. Процессор защищает анклав от любых попыток доступа, в том числе и со стороны ядра, гипервизора и SMM (System Management Mode), а также от попыток доступа со стороны периферийных устройств.

У PRM есть специальный кэш, так называемый EPC (Enclave Page Cache), который состоит из четырёхкилобайтных страниц, хранящих код анклава и данные. При вызове доверенной функции приложение «видит» только данные анклава; любой внешний доступ, в том числе и со стороны ОС, запрещён.

При любой попытке доступа к анклаву происходит процедура так называемой аттестации. Анклав запрашивает аппаратно подписанный отчёт, содержащий в том числе и сведения о его ценности. Этот отчёт отправляется на сервер аттестации. Анклаву высылается открытая часть ключа приложения; далее генерируется приватный ключ, зависящий от анклава и платформы. Ключ шифруется подписывающим ключом и сохраняется для дальнейшего использования.

Как отмечено в официальных публикациях Intel, SGX может защищать от разного рода атак на данные и код: как со стороны системного и пользовательского ПО, так и со стороны загрузчика. А вот от так называемых side-channel-атак SGX защитить не может. Обойти SGX не могут и пресловутые Spectre и Meltdown.

Однако в последнее время появились атаки (собственно, ещё до Foreshadow — см., например, здесь), которые позволяют обходить защиту SGX. Причём Foreshadow — это всего лишь самая громкая и нашумевшая из них.

В документации к SGX отмечено, что «из анклавов невозможно читать и в них невозможно ничего записывать вне зависимости от наличия привилегий любого уровня». Однако на самом деле всё обстоит далеко не так.

Ещё весной этого года появилась информация об атаке под названием SGX Spectre, с помощью которой можно извлекать данные из анклавов. Как показали исследователи из университета штата Огайо (см., например, здесь), это возможно благодаря «дырам» в SDK, с помощью которых разработчики могут интегрировать поддержку SGX в свои приложения. В числе затронутых SDK оказались Intel SGX SDK, Rust-SGX и Graphene-SGX. С детальным разбором этой атаки можно ознакомиться в этой статье; на Youtube также было опубликовано видео с наглядной демонстрацией примера.

Видео, конечно, неубедительное: сам факт проникновения в анклав не означает, что важные данные могут быть украдены. Тем не менее, нужно констатировать: целостность и конфиденциальность механизма SGX нарушены.

Foreshadow нарушает изоляцию, используя так называемую атаку по стороннему каналу (side-channel attack).

Как и в пресловутых Spectre и Meltdown, уязвимость использует механизм спекулятивного исполнения команд. В её основе лежит следующий момент: при доступе к памяти по виртуальному адресу, приводящему к исключению (terminal page fault) из-за отсутствия флага Present в таблице PTE (Page Table Entries), процессоры Intel® спекулятивно рассчитывают физический адрес и загружают данные, если они имеются в L1-кэше. Спекулятивные расчёты осуществляются до проверки наличия данных в физической памяти и до проверки доступности этих данных для чтения. Если флага Present в PTE нет, то операция отбрасывается; но данные при этом «оседают» в кэше и могут быть из него извлечены. Данные могут быть извлечены абсолютно по любому физическому адресу; это открывает обширные возможности для злоумышленников и позволяет, например, извлечь данные на хосте из гостевой машины. Видео с демонстрациями уже появились:

Впрочем, видео выглядит, прямо скажем, не очень убедительно и напоминает многочисленные демонстрации работы уязвимостей Spectre и Meltdown, что гуляли по Интернету в начале этого года: вроде бы и удалось преодолеть защиту — но что дальше? Конечно, обход SGX — прецедент явно не очень хороший

Чего бояться?
В отличие от нашумевших Spectre и Meltdown, Foreshadow угрожает только процессорам Intel. В описаниях отмечается, что с помощью этой атаки можно извлечь из анклава не просто конфиденциальные данные, но и приватный ключ аттестации, что подрывает доверие ко всей SGX-экосистеме.

Различные вариации Foreshadow угрожают так называемому System Management Mode (SMM), ядру операционной системы гипервизоров. Некоторые эксперты отмечают, что с помощью Foreshadow можно воровать данные из виртуальных машин в стороннем облаке. Есть публикации, где отмечается, что новая атака даже позволяет обойти патчи, вычисленные ранее для защиты от атак Spectre и Meltdown.

Однако — как и в случае со Spectre и Meltdown — ко всем громким заявлениям следует относиться крайне осторожно. Ни одного случая кражи значимых и конфиденциальных данных с помощью нашумевших атак пока что зафиксировано не было. Опубликованные прототипы эксплойтов (как и предупреждают сами их авторы) представляют собой не более чем экспериментальные образцы, оторванные от реальной практики, и будут работать далеко не всегда и не у всех, особенно если речь идёт о виртуальных машинах. Поэтому паниковать пока что рано: чтобы не просто проникнуть в пределы анклава, а извлечь из него действительно важную информацию, нужно очень и очень постараться.

На текущий момент действительно серьёзных атак зафиксировано не было.

Патчи и производительность
Тема патчей, защищающих от аппаратных уязвимостей (а если не защищающих, то нивелирующих их последствия), тоже очень актуальна. Вспомним недавнюю историю со Spectre и Meltdown: многие меры были приняты в пожарном порядке, что привело к не самым лучшим последствиям: внезапные перезагрузки системы, резкое падение производительности и т.п. Компании Microsoft пришлось даже выпустить обновления, отключающие патчи Intel. За первые три месяца текущего года только против Intel было подано 32 судебных иска.

На публикацию информации об уязвимости Foreshadow крупные компании отреагировали оперативно: с соответствующими заявлениями выступили Intel, Red Hat, SUSE, VMware, Oracle. Не менее оперативно были выпущены обновления для продукции Cisco и для ядра Linux.

Не обошлось и без казусов: компания Intel быстро выпустила обновления микрокода, но при этом без странных казусов: неожиданно был провозглашен запрет на публикацию результатов тестирования производительности до и после обновления (потом, правда, запрет был отменён). Что это было — сказать сложно. А тема влияния патчей на производительность несомненно заслуживает отдельного исследования и отдельной статьи. И не исключено, что такую статью мы в ближайшем будущем опубликуем.

Заключение
В этой статье мы привели краткий обзор уязвимостей класса Foreshadow. Естественно, в рамках одной статьи рассказать обо всех аспектах уязвимостей группы Foreshadow невозможно. Поэтому приводим подборку полезных ссылок для желающих узнать больше: