Выделенные серверы в защищенном сегменте ЦОД



Вы можете использовать IT-инфраструктуру, предоставляемую Selectel, с соблюдением требований законодательства РФ и корпоративных требований по защите информации. Подробности читайте в нашей статье.

Актуальность защиты данных
Для компаний, работающих с персональными данными, важно надежно оберегать эти сведения от любых попыток кражи, подмены или незаконного разглашения. В число персональных данных входят ФИО, телефонные номера, адрес электронной почты и прочие данные, позволяющие идентифицировать личность. В число особо конфиденциальных данных, защите которых уделяется повышенное внимание, входят сведения о состоянии здоровья, биометрические данные, базы данных с ПДн, являющимися интеллектуальными активами компании и иная информация, составляющая коммерческую тайну.

Для таких типов бизнеса, как пластическая хирургия и донорство, защита персональных данных клиентов становится одним из конкурентных преимуществ.

Помимо технологической реализации системы защиты и экономической выгоды, важно следить за тем, чтобы выбранные средства защиты информации соответствовали нормативным требованиям, предъявляемым со стороны государства, и были совместимы друг с другом.

Правительство Российской Федерации устанавливает перечень мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом от 27.07.2006 N 152-ФЗ «О персональных данных». Перечень организационных и технических мер по обеспечению безопасности персональных данных детализирован регуляторами ФСТЭК, ФСБ, Роскомнадзор в соответствующих зонах ответственности:
  • Роскомнадзор следит за ведением внутренней документации и уведомлениями о подписании документации физическими лицами и контрагентами, а также за хранением базы ПДн на территории РФ
  • ФСТЭК и ФСБ контролируют реализацию технической защиты

Наша услуга Выделенные серверы в защищенном сегменте ЦОД в первую очередь будет интересна тем компаниям, которым необходимо обеспечивать защиту обрабатываемых данных в информационной системе персональных данных (далее ИСПДн) с высоким уровнем защищенности. Размещение выделенных серверов в защищенном сегменте ЦОД — это инфраструктурная услуга. В рамках услуги обеспечивается выполнение требований (организационных и технических) законодательства для ИСПДн до первого уровня защищенности (далее УЗ-1), относящиеся к защите физической инфраструктуры. Обеспечивается возможность сетевой изоляции благодаря использованию сертифицированного сетевого оборудования.

Ответственность за реализацию всех остальных организационных и технических мероприятий, предусмотренных законодательством, остается на операторе персональных данных. Конкретный перечень мероприятий определяется оператором персональных данных и зависит от актуальных угроз безопасности и уровня защищенности информационной системы, в которой обрабатываются персональные данные.

Этапы построения системы защиты информации
  • Провести обследование существующих процессов обработки и защиты ПДн для оценки соответствия ИСПДн требованиям федерального закона о персональных данных
  • Определить угрозы безопасности и сформировать «модель нарушителя» безопасности персональных данных
  • Определить требуемый уровень защищенности ПДн, обрабатываемых в информационной системе

Существует четыре уровня защищенности, которые определяются в зависимости от набора следующих параметров:
  • Категории ПДн, которые обрабатываются в информационной системе (специальные — о национальной и расовой принадлежности или, например, политических взглядах, биометрические — о физиологических особенностях личности, общедоступные — полученные из общедоступных источников с письменного согласия субъекта или иные ПДн)
  • Тип физических лиц, данные которых будут обрабатываться: сотрудники компании или другие физические лица (клиенты, подрядчики и так далее)
  • Количество физических лиц — больше 100 000 или меньше

Согласно Постановлению Правительства РФ№1119 для определения уровня защищенности ИСПДн необходимо установить тип актуальных угроз:
  • Угрозы 1 типа связаны с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении, используемом в информационной системе, например, программные закладки
  • Если вы используете официальные дистрибутивы, а не «скачанные с торрентов», и ПДн, которые вы обрабатываете, не являются целью для иностранных разведок, то угрозы 1 типа скорее всего для вас не актуальны
  • Угрозы 2 типа связаны с наличием недокументированных (недекларированных) возможностей в прикладном программном обеспечении, используемом в информационной системе
  • Вам необходимо убедиться, что разработчик прикладного ПО не имеет цели хищения ПДн, например, проверить исходный код до запуска в эксплуатацию. И если вы убедились безопасности ПО, то угрозы 2 типа для вашей системы неактуальны
  • Угрозы 3 типа не связаны с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе
  • Примечание: недекларированные возможности – это функциональные возможности программного обеспечения, не описанные или не соответствующие описанным в документации. Например, программные закладки, способные при определенных условиях обеспечить несанкционированное программное воздействие на информационную систему. При использовании недокументированных возможностей ПО становится вероятным источником нарушения конфиденциальности, доступности или целостности обрабатываемой информации.

Ниже показано, как используя данные о системе, определить, какой уровень защищенности ИСПДн следует выбрать:


  • Выбрать меры по обеспечению безопасности ПДн
Для этого осуществляется проектирование системы защиты ИСПДн, включающей меры, предусмотренные приказом №21 ФСТЭК к ИСПДн (пункт 8).

После проведения обследования оператором определяется итоговый перечень мер, которые необходимо реализовать. Выбираются и настраиваются средства защиты, затем проводится оценка эффективности созданной системы защиты. Если по ошибке определить более высокий уровень защищенности, то, соответственно, придется строить более сложную (и скорее всего более дорогую) систему защиты персональных данных.

  • Разработать комплект организационно-распорядительной и эксплуатационной документации, регламентирующей процессы обработки и защиты персональных данных
  • Выбрать, приобрести, установить и настроить средства защиты информации
  • Оценить эффективность системы защиты

На финальном этапе разработки ИСПДн компании-заказчику необходимо провести оценку эффективности системы защиты персональных данных. Оценка эффективности может быть произведена в различных видах, в том числе в форме аттестации системы защиты персональных данных или приемочных испытаний системы.

Аттестация информационной системы подразумевает комплекс организационных и технических мероприятий, в результате которых подтверждается соответствие системы защиты информации требованиям безопасности информации. Наличие действующего «Аттестата соответствия» дает право обработки информации с установленными уровнем секретности (конфиденциальности) и периодом времени. Не для всех информационных систем аттестация обязательна.

Размещение ИСПДн в Selectel
В зависимости от определенного уровня защищенности и актуальных угроз безопасности при обработке ПДн, а также с учетом применения дополнительных средств защиты информации, можно размещать ИСПДн в различных IT-инфраструктурных сервисах Selectel, например:
  • Выделенные серверы
  • Виртуальное приватное облако
  • Облако на базе VMware

При размещении ИСПДн высокого уровня защищенности в инфраструктуре облачного провайдера возникают дополнительные задачи:
  • На этапе разработки модели угроз безопасности необходимо учитывать характеристики используемой IT-инфраструктуры, а на этапе выбора средств защиты — учитывать совместимость IT-инфраструктуры со средствами защиты информации
  • Для построения полноценной системы защиты информации экспертам, ответственным за моделирование угроз безопасности и выбор мер защиты, необходимо получать дополнительную информацию об архитектуре сервиса. Учитывать разграничение зон ответственности между заказчиком и и IaaS-провайдером

Наша услуга Выделенные серверы в защищенном сегменте ЦОД служит для оптимизации работы по созданию защищенных информационных систем, работающих с персональными данными:
  • Selectel предоставляет заказчику необходимую IT-инфраструктуру, соответствующую требованиям информационной безопасности (далее ИБ), при использовании которой возможно создать защищенную систему, соответствующую как требованиям законодательства, так и корпоративным требованиям по обеспечению информационной безопасности
  • Серверы размещаются в защищенном сегменте дата-центра
  • Сеть заказчика изолирована от сетей других клиентов дата-центра
  • Физическая безопасность обеспечивается в соответствии с приказом №21 ФСТЭК

Кому подходит
В защите информации заинтересованы компании из разных сфер:
  • Ведущие веб-проекты с высокими требованиями к защите информации
  • Работающие в сфере медицины, видеоаналитики или с системами автоматизированного проектирования
  • Связанные с финансовым и промышленным секторами
  • Подключаемые к государственным информационным системам
  • Создающие защищенные системы с использованием IaaS-инфраструктуры облачного провайдера (ИБ-интеграторы)

Особенности
Обеспечение надежной физической безопасности на аппаратном уровне для каждого класса задач также поддерживается сетевой безопасностью и строгим соответствием требованиям закона РФ о защите персональных данных граждан.

При создании услуги мы ориентировались на перечень основных мер по обеспечению безопасности персональных данных, которые необходимо реализовать в информационной системе в рамках системы защиты персональных данных:
  • К стойкам защищенного сегмента ЦОД имеет доступ ограниченное число сотрудников Selectel, обслуживающих систему. Другие клиенты Selectel не имеют физический доступ к этому оборудованию
  • Сетевая изоляция серверов заказчика при помощи аппаратных межсетевых экранов, в том числе сертифицированных. Выходящий за пределы периметра трафик в защищенном сегменте ЦОД шифруется перед попаданием в сеть облачного провайдера, и далее в интернет. Таким образом обеспечивается сетевая изоляция как от сетей связи общего пользования (интернет), так и от других клиентов IaaS-провайдера, арендующих IT-инфраструктуру в том же дата-центре
  • Скорость разворачивания ИБ-решений выше по сравнению с созданием системы защиты в локальной инфраструктуре, так как основные аппаратные средства защиты уже находятся в дата-центре и не требуют длительного ожидания закупки и доставки
  • Инфраструктура для соблюдения информационной безопасности доступна по OPEX-модели с ежемесячной тарификацией

Схемы реализации защищенного сегмента ЦОД
Инфраструктура в защищенном сегменте ЦОД формируется как IaaS-сервис и передается в управление заказчику. Никто без разрешения заказчика не имеет сетевого доступа к ней. Физический доступ не имеет никто, кроме ограниченного количества сотрудников Selectel.

Есть несколько вариантов построения инфраструктуры. Например, если бизнес использует несколько выделенных серверов и нуждается в высокодоступной инфраструктуре, то мы можем предложить решение, в котором сетевая инфраструктура построена в отказоустойчивом исполнении.


Для тех, кому нужна виртуализация — может быть построено частное облако по нижеприведенной схеме. Программное обеспечение для такого решения также будет предоставляться по IaaS-модели.


Преимущества
Компаниям выгодно подбирать набор сервисов ИБ с таким соотношением «цена/качество», которое соответствовало бы ценности защищаемых корпоративных данных.

Основные преимущества предлагаемого нами решения:
  • Готовая инфраструктура в защищенном периметре от двух дней (быстрое развертывание и настройка необходимых сервисов)
  • Сертифицированные средства защиты информации, уже готовые к эксплуатации (не нужно ждать поставку оборудования и ПО)
  • Гибкое масштабирование — расширение или сокращение IT-инфраструктуры по требованию в процессе эксплуатации (с ростом бизнеса это позволяет плавно мигрировать на продукты ИБ более высокого уровня)
  • Защита периметра сети исключает накладные расходы на шифрование трафика между серверами
  • Соответствие стандарту PCI DSS — можно хранить данные платежных карт, гарантируя их сохранность
  • Возможность планирования расходов на ИБ за счет «прозрачной» модели оплаты (фиксированные тарифы и оплата строго за выбранные услуги и средства защиты информации)
  • Заключение
  • Многие компании уже оценили преимущества использования IaaS в качестве IT-инфраструктуры. Теперь для компаний, обрабатывающих особо конфиденциальные данные, также возможно создание информационных систем с использованием IT-инфраструктуры IaaS-провайдера и применение современных средств защиты информации.

Деятельность по оказанию услуг технической защиты конфиденциальной информации является лицензируемым видом деятельности (N 99-ФЗ). Selectel имеет необходимые лицензии для предоставления услуг, связанных с технической защитой конфиденциальной информации (коммерческой тайны, персональных данных), а также для предоставления услуг с использованием средств криптографической защиты.

Приведение ИСПДн в соответствие требованиями законодательства — это процесс, состоящий из нескольких этапов. Особенно сложным является процесс выбора мер защиты и средств защиты для систем с высоким уровнем защищенности. В случае необходимости, для проектирования системы защиты персональных данных вы можете обратиться к специалистам Selectel, которые помогут разобраться со всеми нюансами в рамках оказания услуг.

В качестве IT-инфраструктуры для обработки персональных данных возможно использовать выделенные серверы Selectel в «защищенном сегменте ЦОД», в котором выполняются требования до первого (максимального) уровня защищенности, относящиеся к защите физической инфраструктуры, а также предоставляется возможность сетевой изоляции серверов и возможность использования дополнительных средств защиты информации.

Изменение цен на CDN Akamai | Price changes for CDN Akamai

Уведомляем вас о том, что 10 января 2019 года будут изменены цены на трафик CDN Akamai (как в Облачном хранилище, так и при подключении к своим источникам). Повышение обусловлено изменением условий Akamai, повышением НДС с 18% до 20%, а также курсовой разницей.

Текущие цены:
  • 0…10 ТБ — 1.2 руб. за ГБ в мес.
  • 10…100 ТБ — 1.1 руб. за ГБ в мес.
  • 100…1000 ТБ — 1 руб. за ГБ в мес.
  • 1000…∞ ТБ — 0.9 руб. за ГБ в мес.

Новые цены:
  • 0…1 ТБ — 3 руб. за ГБ в мес.*
  • 1…3 ТБ — 2.5 руб. за ГБ в мес.
  • 3…8 ТБ — 1.6 руб. за ГБ в мес.
  • 8…20 ТБ — 1.3 руб. за ГБ в мес.
  • 20…70 ТБ — 1.1 руб. за ГБ в мес.
  • 70…∞ ТБ — 1 руб. за ГБ в мес.

*Указана примерная стоимость. Реальный расход зависит от количества дней в месяце и вычисляется на основании стоимости одного мегабайта, равной 0.0029296875 руб.

Изменение цен на оказываемые услуги | Notice of Price Changes

Уважаемые клиенты!

С 1 января 2019 года вступают в силу изменения в налоговом законодательстве — ставка НДС повышается с 18% до 20%. Некоторые поставщики уже предупредили нас о повышении цен с учетом новой ставки налога, инфляции и изменяющихся курсов валют. В связи с этим мы вынуждены скорректировать цены.

С 29 декабря 2018 года по 1 февраля 2019 года для услуг, оказываемых по договору на предоставление услуг связи, произойдёт повышение цен:
  • для облачных услуг — на 2%
  • для услуги “Размещение сервера” — на 2%
  • для дополнительных и сетевых услуг — на 2%
  • для услуг “Выделенный сервер” — на 5%

Новая цена будет применена с первого списания средств после вступления в силу новых тарифов. Например, если в декабре вы оплатили выделенный сервер на три месяца со скидкой, списание по новой цене будет проведено по завершению оплаченного периода в марте.

Для услуг, оказываемых по индивидуальным соглашениям, изменение цен произойдет в соответствии с их условиями.

Включение оплаты за CDN Selectel | CDN Selectel as Paid Service

Сообщаем, что с 12.12.2018 услуга станет платной.

Стоимость услуги составит:
  • Первый 1 ТБ — 1,5 руб. за ГБ в мес
  • Следующие 2 ТБ — 1,3 руб. за ГБ в мес
  • Следующие 5 ТБ — 1,2 руб.
  • Следующие 12 ТБ — 1 руб. за ГБ в мес
  • Следующие 50 ТБ — 0,9 руб. за ГБ в мес
  • Свыше 70 ТБ — 0,8 руб. за ГБ в мес
Цены указаны с учетом НДС.

Списания будут происходить с баланса Хранилища (в ближайшее время мы переименуем его в баланс Хранилища и CDN).

Статистика потребления появится в панели управления 17.12.18г.

Новый дата-центр в Москве, доставка сервера на такси, тестирование решений на платформах Alibaba и AWS

Новый дата-центр в Москве, доставка сервера на такси, тестирование решений на платформах Alibaba и AWS и другие уникальные предложения от Selectel

Это рассылка Selectel — делимся новостями ноября. В сегодняшнем выпуске: новый дата-центр в Москве, бесплатная доставка серверов, тестирование решений на платформах Alibaba и AWS, а также спецпредложения и акции к Новому году.



Новый дата-центр в Москве
  • Мы открыли седьмой дата-центр — «Авиамоторная». Он расположен по адресу ул. Авиамоторная, д. 69 в Москве, на площадке DataPro, оператора центра обработки данных уровня TIER III.
  • Площадь серверных помещений — 16,000 м²
  • Общее число спроектированных серверных стоек — 3,000
  • Подведенная мощность ДЦ — 13,3 МВт с расширением до 25 МВт
  • Дизель-роторные ИБП по схеме 4/3N — 8

В дата-центре «Авиамоторная» уже доступны услуги размещения оборудования, а во второй половине декабря вы сможете заказать «Выделенные серверы» и «Облако на базе VMware».

Награда нашла героя
29 ноября мы впервые стали победителями «Премии Рунета» в номинации «Технологии и инновации». Спасибо всем, кто нас поддерживал!


Новости услуг
Впервые в Selectel 4-процессорные системы
Рады сообщить, что теперь в конфигураторе Selectel можно собрать мощный сервер с 4-мя процессорами Intel Xeon 6140. В таком сервере может быть 72 ядра и 3 ТБ оперативной памяти, поэтому он идеально подойдет для работы с высоконагруженными базами данных, ERP-системами корпоративного уровня, а также любыми приложениями, которым важно быстро обрабатывать большие объемы данных.

Обновление линии Business Line
Двумя новыми конфигурациями обогатилась линия готовых серверов Business Line. Они созданы на базе высокочастотных 6-ти ядерных процессоров Intel Xeon W-2133. Эти серверы справятся с задачами построения корпоративных IT-инфраструктур, в том числе, они подойдут для размещения программных продуктов 1C, баз данных и другого ПО, требовательного к частоте процессора.

Защита от DDoS в Chipcore
Теперь для экономичных и производительных серверов Chipcore доступна базовая защита от DDoS. С ее помощью можно отслеживать и блокировать атаки на уровне приложений (L7). Подключить услугу вы можете в панели управления в разделе «Сети и услуги».

DDoS+WAF ㅡ вместе дешевле
Уникальное предложение от Selectel — покупая защиту от DDoS по технологии Qrator до 15 февраля 2018 года, вы можете подключить WAF по технологии Wallarm за 32,000 руб. Заказывая услуги одновременно, вы значительно усиливаете защиту: повышаете доступность сайта и минимизируете уязвимости, связанные с конфиденциальностью данных. Ждем ваших заявок на sales@selectel.ru

Доставка оборудования в дата-центры Selectel
Мы всегда работаем над качеством оказания услуг. На этот раз изменения коснулись «Размещения сервера»: с декабря у нас появится приятное бесплатное дополнение — доставка сервера на такси. Заберем вас и ваше оборудование из любой точки Москвы или Санкт-Петербурга, в пределах кольцевой дороги. А после отвезем вас без сервера в офис или домой. Чтобы воспользоваться этой услугой, при оформлении заявки на размещение сервера укажите, что нужна доставка.

Новые возможности для пользователей «1С-Битрикс»
Мы постоянно развиваемся: осваиваем новые инструменты и подтверждаем свои компетенции. На этот раз получили сертификат «1С-Битрикс» по администрированию. Оптимизировать скорость работы сайта, проверить его на наличие вирусов, провести нагрузочное тестирование, настроить резервное копирование и помочь с переездом на нашу инфраструктуру — все под силу администраторам Selectel. Если вам важно поддерживать «1С-Битрикс» в максимальной работоспособности — переходите на постоянное обслуживание. Снизьте риски простоя перед новогодними распродажами, доверьте нашим специалистам обслуживание систем на «1С-Битрикс». Для заказа свяжитесь с нами любым удобным способом: позвоните по телефону +7 (800) 555-06-750, напишите на managed@selectel.ru или обратитесь в техподдержку.

Цифровой сертификат безопасности сайта на год за 1 рубль
У нас акция — сертификат Comodo Positive SSL для одного домена на год за 1 рубль при заказе работ по установке сертификата до 31 декабря. Этот сертификат подходит для блога, личного сайта или интернет-магазина. Он подтверждает подлинность ресурса и помогает защитить обмен конфиденциальными данными между сайтом и пользователями. Посетители будут знать, что ваш ресурс надежен. Оформить заказ на подключение SSL-сертификата вы можете через тикет-систему.

Позаботьтесь о резервном копировании заранее
Впереди праздники ㅡ время, когда хочется отдохнуть и расслабиться. Чтобы они прошли спокойно и комфортно, рекомендуем передать на обслуживание задачи по резервному копированию данных ваших серверов, сайтов и приложений нам. Мы настроим политики резервного копирования, поставим на мониторинг создание резервных копий, проверим их на целостность, а в случае непредвиденных ситуаций — восстановим работоспособность систем. Работаем круглосуточно, даже на праздниках. Стоимость первичной настройки резервного копирования — 6,000 руб. Ежемесячное обслуживание резервных копий — 3,000 руб. Место под резервные копии и программное обеспечение оплачивается дополнительно. Оформите заявку через тикет систему.

Резервное копирование для ОС Windows
На этом хорошие новости не заканчиваются — теперь пользователи услуги «Выделенные серверы» могут создавать резервные копии физических машин с операционной системой Windows. Пользователи «Виртуального приватного облака» — резервные копии виртуальных машин с ОС Windows. Кроме того, появилась возможность создания бэкапов инфраструктуры, не находящейся в Selectel. Услуга реализована на базе ПО Veeam Agent for Microsoft Windows. О том, как установить и настроить агент, читайте в базе знаний. Хранить резервные копии можно локально или в облаке Selectel. Правильно настроенные политики резервного копирования позволят минимизировать риски, связанные с ошибками сотрудников или программными сбоями, а также повысят сохранность данных.

Решения AWS: записи вебинаров и бесплатное тестирование
В начале осени совместно с компанией МОНТ нашим партнером по построению решений на платформе AWS, мы провели серию из 3-х бесплатных вебинаров по работе с AWS. Сейчас вы можете посмотреть их в записи.
Тема вызвала интерес среди участников, поэтому мы запустили акцию. До 31 декабря у вас есть возможность бесплатно протестировать решения AWS, воспользоваться консультацией сертифицированных архитекторов и получить рекомендации по дальнейшему развитию и поддержке сервисов. Для этого необходимо заполнить заявку.
selectel.ru/promo/aws-solution/

Протестируйте решения Alibaba Cloud бесплатно
Рассматриваете Alibaba Cloud для решения своей задачи, но еще остались сомнения? Поучаствуйте в бесплатном тестировании решений, построенных на платформе Alibaba Cloud, чтобы их развеять. Оформите заявку, и наши эксперты помогут вам подобрать и настроить IT-решение.
selectel.ru/promo/alibabacloud-solution/

Мероприятия
Столица покорена
29 ноября мы впервые провели SelectelTechDay в Москве — было очень волнительно, но мы справились.

Интересные доклады, демонстрационные стенды — читайте в блоге о том, как прошел этот день.
blog.selectel.ru/selecteltechday-live-translyaciya/


Присоединяйтесь к нашей команде!
www.youtube.com/watch?v=JSctdTWCG50

selectel.ru/careers/all/

Нагрузочное тестирование VBR для VMware



В этой статье мы хотим рассказать о результатах нагрузочного тестирования VBR для двух наиболее популярных режимов работы бэкап-прокси с учетом вариации количества параллельных задач.

Весной 2018 года Selectel запустил услугу резервного копирования для Облака на базе VMware посредством Veeam Backup&Replication (VBR). К реализации проекта мы подошли основательно, спланировали и выполнили следующий перечень работ:
  • Изучение документации и лучших практик по продуктам Veeam
  • Разработку архитектуры VBR уровня сервис-провайдера
  • Развертывание инфраструктуры VBR
  • Тестирование решения, определение оптимальных настроек и режимов работы
  • Запуск решения в промышленную (коммерческую) эксплуатацию
Как оказалось – не зря. Услуга стабильно функционирует, клиенты могут бэкапить свои виртуалки, а у нас появилась определенная экспертиза, которой мы хотим поделиться.

Здесь вы сможете увидеть:
  • Описание production-инфраструктуры Selectel, использованной для тестирования
  • Особенности работы бэкап-прокси (backup proxy) в различных транспортных режимах
  • Описание программы тестирования и настроек компонентов VBR для её реализации
  • Количественные показатели, их сравнение и выводы
  • Конфигурация инфраструктуры для проведения тестов
  • Инфраструктура-источник
В качестве платформы для тестирования производительности VBR выступил один из production-кластеров публичного Облака на базе VMware.

Аппаратная конфигурация хостов данного кластера:
  • Процессоры Intel Xeon Gold 6140
  • NVMe-накопители Intel DC P4600 и P3520
  • 4 порта 10GbE на хост
В основе кластера лежат следующие решения:
  • Физическая сеть – Ethernet-фабрика на коммутаторах Brocade VDX, архитектура Leaf-Spine (10GbE порты – подключение хостов, 40GbE аплинки до Spine)
  • Среда виртуализации – VMware vSphere 6.5
  • Хранение данных ВМ – VMware vSAN 6.6 (All-Flash кластер vSAN)
  • Виртуализация сети – VMware NSX 6.4
Производительность платформы для тестирования более чем достаточна и не вызывает никаких сомнений. Конечно, для высокого быстродействия всё это должно быть правильно настроено, но поскольку это production, с живыми и довольными клиентами, можно быть уверенным, что и в этом плане всё хорошо.

Вместе с Облаком на базе VMware, Selectel запустил услугу для его бэкапа на платформе VBR. Заказчики получают web-портал самообслуживания, в котором могут выполнять бэкап и восстановление vApp и ВМ из своих VDC (виртуальный дата-центр).

Доступ клиентов к данному порталу (Veeam Enterprise Manager Self-service portal) осуществляется с теми же правами, что и к vCloud Director (vCD). Это возможно благодаря интеграции Veeam Backup Enterprise Manager (EM) и vCD, при этом каждый клиент при подключении к ЕМ ограничен ресурсами своих VDC, чужие ВМ он не увидит.

Клиенту не нужно разворачивать собственный VBR и связанную с ним инфраструктуру бэкапа, что предполагает затраты на вычислительные и сетевые ресурсы, хранилище, лицензии Veeam и MS, администрирование. Это долго, дорого и сложно. Selectel предоставляет основные возможности VBR как услугу BaaS (Backup-as-a-Service): мгновенно, просто, удобно, экономично.

Для предоставления данной услуги в Selectel была развернута провайдерская инфраструктура VBR, охватывающая все кластеры vSphere и VDC клиентов облака VMware, в том числе кластер, в котором проводилось данное тестирование. Таким образом, результаты тестов позволят судить о максимальной скорости, с которой клиенты смогут бэкапить свои ВМ.

Тестовые ВМ
Для тестирования производительности бэкапа в кластере vSphere было развернуто 6 идентичных ВМ в следующей конфигурации:
  • ОС Windows Server 2016, 2 vCPU, 4GB RAM
  • 200GB vDisk
Диск занят почти полностью – 193GB. Кроме файлов ОС, на нем создана папка с дистрибутивами различных ОС и СУБД объёмом 60GB (уникальные данные). На том же диске создано 3 копии данной папки – итого 180GB несистемных данных.

Никаких приложений на эти ВМ установлено не было, только «чистая» ОС и «холодные» данные. Никакой нагрузки, вычислительной или сетевой, не запускалось. В рамках данного тестирования этого не требовалось.

В кластере vSphere включен DRS, поэтому тестовые ВМ автоматически оптимально распределяются по хостам VMware ESXi для балансировки нагрузки.

Бэкап-прокси
ВМ с бэкап-прокси развернута непосредственно в описанном выше кластере vSphere (инфраструктура-источник, далее – кластер vSphere), это необходимое условие для тестирования в режиме Virtual Appliance.

Конфигурация ВМ:
  • 8 vCPU
  • 8GB RAM
  • 40GB vDisk
  • 10GbE vNIC vmxnet3
  • ОС Windows Server 2016
Параметр «Max concurrent tasks» для бэкап-прокси на уровне VBR выставлен в значение 6. Это значит, что бэкап-прокси сможет одновременно (параллельно) обрабатывать до 6 задач (task) бэкапа. Один task – это бэкап одного виртуального диска ВМ.

Репозиторий бэкапа
В качестве фронтенда хранилища бэкапов выступает физический сервер, выполняющий роль бэкап-репозитория VBR. Конфигурация сервера:
  • CPU Е5-1650v3
  • 32GB RAM
  • 2 порта 10GbE
  • Бекенд хранилища – кластер CephFS c NVMe-кэшем.

Бэкап-репозиторий и узлы Ceph общаются по сети 10GbE, каждый из них подключен к коммутаторам двумя портами.

Подробное описание конфигурации кластера Ceph выходит за рамки данной статьи. Отметим, что для надежности и отказоустойчивости данные на нем хранятся в трех копиях. Производительность кластера не вызывает нареканий и заложена с запасом, результаты тестов показали, что ни в одном из них хранилище бэкапов не являлось узким местом.

Параметр «Limit maximum concurrent tasks» для бэкап-репозитория на уровне VBR выставлен в значение 6. Это значит, что бэкап-репозиторий сможет одновременно (параллельно) обрабатывать до 6 задач (tasks) бэкапа.

Сеть бэкапа
Физическая сеть описанной выше инфраструктуры ограничена полосой пропускания 10Гбит/с, везде используются коммутаторы и порты 10GbE. Это справедливо не только для сети vSAN, но и для менеджмент-интерфейсов хостов ESXi.

Для размещения бэкап-прокси на уровне VMware NSX создана выделенная подсеть со своим логическим коммутатором. Для её связности с физикой и осуществления маршрутизации развернут NSX-edge, размер X-large.

Забегая вперед, по результатам тестов видно, что сеть выдерживает нагрузку до 8Гбит/с. Это весьма солидная пропускная способность, которой на данном этапе хватает, при необходимости она может быть увеличена.

Схема взаимодействия компонент

Схема взаимодействия компонентов
Бэкап-прокси и тестовые ВМ развернуты внутри одного кластера VMware vSAN. После запуска задания бэкапа (бэкап-джобы) в зависимости от выбранного транспортного режима, особенности которых рассмотрены ниже, бэкап-прокси:
  • Извлекает данные из бэкапируемых ВМ по сети vSAN (HotAdd) или по сети управления (NBD)
  • Передает обработанные данные на бэкап-репозиторий по выделенной для этой цели подсети

Транспортные режимы бэкап-прокси
Бэкап-прокси (Backup proxy) является компонентом инфраструктуры VBR, непосредственно выполняющим обработку задания бэкапа. Он извлекает данные из ВМ, обрабатывает их (сжимает, дедуплицирует, шифрует) и отправляет на репозиторий, где они сохраняются в файлы бэкапа.

Бэкап-прокси позволяет работать в трёх транспортных режимах:
  • Direct storage access
  • Virtual appliance
  • Network
Облако на базе VMware Selectel в качестве хранилища использует vSAN, в такой конфигурации Direct storage access не поддерживается, поэтому данный режим не рассматривается и не был протестирован. Оставшиеся два режима замечательно работают на каждом из наших кластеров vSphere, остановимся на них подробнее.

Режим Virtual appliance (HotAdd)
Virtual appliance – рекомендуемый режим при развертывании бэкап-прокси в виде ВМ. Хосты ESXi, на которых развернуты бэкап-прокси, должны иметь доступ ко всем Datastore кластера vSphere, хранящим бэкапируемые ВМ. Суть режима заключается в том, что прокси монтирует к себе диски бэкапируемых ВМ (VMware SCSI HotAdd) и забирает с них данные как с собственных. Извлечение данных происходит с Datastore по сети хранения.

В нашем случае бэкап-прокси ВМ должна находиться на одном из хостов ESXi кластера vSAN, который мы бэкапим. Извлечение данных происходит по сети vSAN. Таким образом, для работы в режиме Virtual appliance в каждом кластере vSAN должно быть развернуто минимум по одному бэкап-прокси. Развернуть пару бэкап-прокси (например, в менеджмент-кластере) и бэкапить ими все кластеры vSAN не получится.

Подробнее тут
blog.selectel.ru/nagruzochnoe-testirovanie-vbr-dlya-vmware/

Дата-центр «Авиамоторная»



Рады сообщить об открытии седьмого дата-центра «Авиамоторная» в Москве на площадке DataPRO, оператора центра обработки данных уровня TIER III.
selectel.ru/about/data-centers/

//
от редакции, добавлена картинка для наглядности