Обычно компании мигрируют из публичного облака в частное, когда им требуется больше опций управления инфраструктурой. Часто это компромиссное решение, поскольку компаниям не всегда хочется заниматься заменой комплектующих или аттестацией ФСТЭК самостоятельно. Получается, таким организациям все равно нужно разворачивать частное облако? На самом деле, нет. В этом материале мы расскажем про несколько видов облаков ^[1] и попробуем «‎смэтчить»‎ их cо сферами бизнеса, которым они должны составить хорошую партию.

Как устроено публичное облако

Облачные технологии начинались с инструментов виртуализации для частных облаков и постепенно развились до публичных. Публичное облако такого вида провайдер всегда разворачивает на своей инфраструктуре и сдает его разным компаниям, как комнаты в огромном отеле. Получается, что ресурсы провайдера одновременно используют все компании-постояльцы.

Виртуализация использует ресурсы нескольких физических серверов одновременно, поэтому клиенты получают их как динамический пул. Этот принцип актуален для любого типа облака.

Каждый клиент паблик-клауда может создавать виртуальные машины без ограничений, но физического доступа к оборудованию у него нет. Конфигурацию можно изменить в любой момент: добавить или убрать RAM или диски, если нагрузка изменилась. При этом провайдер подготавливает инфраструктуру вплоть до гостевых операционных систем. Обычно этого списка хватает:

Пользователи управляют ресурсами через интерфейс панели ^[2], API или Terraform. Задача провайдера — поддерживать виртуализацию, заниматься обновлением стандартных образов ОС и других инструментов, а также заботиться о доступности продуктов. Провайдер обычно предлагает готовые и кастомные конфигурации серверов, добавляет необходимые комплектующие — например, GPU для ускоренного обучения ML-моделей и рендеринга видео.

Возвращаясь к сравнению с отелем, ключевой момент в реализации публичного облака — изоляция клиентов друг от друга. В публичном облаке изоляция основывается в первую очередь на identity слое — разделении разных клиентов на учетные записи и проекты внутри них. В результате такого подхода пользователи не сталкиваются друг с другом, когда работают через API или панель управления, или работают с данными биллинговой аналитики.

Вторым уровнем идет изоляция на уровне сетей. Возможность создавать неограниченное количество полностью изолированных виртуальных сетей позволяет делать так, чтобы машины не видели друг друга.

Третьим — изоляция на уровне использования общих ресурсов хостов виртуализации, систем хранения данных. Ресурсы принципиально общие, но система виртуализации облака надежно делает их «виртуально-приватными».

Особенности публичного облака

Плюсы:

• Оптимизация затрат. Публичное облако позволяет экономить сразу по нескольким статьям. Клиент не тратит средства на покупку железа и обслуживание. Это зоны ответственности провайдера, как и создание условий для круглосуточной работы серверов в дата-центре.
• Гибкая оплата ресурсов. Легко масштабировать вычислительные мощности перед и после пиковых нагрузок. Оплата производится по модели pay-as-you-go.
• Удобная тестовая среда. В паблик-клауде можно быстро развернуть тестовую среду для проверки гипотез.
• Готовность за минуту. Облачные серверы автоматически настраиваются и готовятся к использованию.

Минусы:

• Низкий уровень кастомизации. Решение в меньшей степени подходит компаниям, которые стремятся управлять IT-инфраструктурой самостоятельно. В публичном облаке у клиента нет физического доступа к оборудованию, поэтому поменять диски или настройки BIOS/UEFI нельзя.
• Меньше возможностей влиять на процессы. Если облако провайдера не соответствует, например, 21 приказу ФСТЭК, то клиент не может это изменить. Обычно такие моменты узнают до развертывания инфраструктуры, поэтому здесь должно быть без сюрпризов.

Кому подойдет публичное облако

• Интернет-магазины и маркетплейсы. В публичном облаке можно быстро выделить ресурсы и подготовить инфраструктуру к повышенным нагрузкам перед акциями или сезоном активных продаж.
• Информационные системы. Сервисы по подбору недвижимости или EdTech-проекты могут размещаться в публичном облаке, поскольку им не требуется высокий уровень защищенности данных.
• Ритейл. Публичное облако может соответствовать 152-ФЗ ^[3], приказам ФСТЭК и обладать сертификацией PCI DSS. Его могут использовать любые операторы данных.
• Стартапы. Небольшим компаниям публичное облако помогает сэкономить на покупке собственного железа и ускорить time-to-market.

Как работают приватные решения на базе публичного облака: хост, сегмент, пул

Между публичными и частными облаками есть промежуточное решение ^[4] для тех, кому нужно свое пространство. В такой модели ресурсы выделяются через тикет заранее, и далее они не будут распределяться между клиентами облака. Решение можно рассматривать как способ выделить ресурсы под конкретную задачу.

В дата-центрах (и зонах доступности) есть несколько пулов (частей инфраструктуры). В панели управления Selectel это, например, ru-2a или ru-7a. Каждый пул изолирован от аппаратных и программных сбоев других пулов.

Если раньше мы говорили про отель, то такой формат владения больше похож на аренду апартаментов (с шумоизоляцией). Пулы делятся на сегменты и хосты. Так пользователи выбирают уровень вовлечения и насколько им хочется заниматься вопросами инфраструктуры: чинить сантехнику, менять диски и добавлять RAM в сезон активных продаж.

Приватный пул или его сегменты можно использовать для резервирования одного или нескольких хостов виртуализации и запускать там облачные серверы с изоляцией на физическом уровне. Размещение данных в такой инфраструктуре также помогает консолидировать ресурсы для своих проектов.

Для всех трех вариантов построения приватных инсталляций предоставлен общий маршрутизатор и control plane. Провайдер гарантирует, что сетевые прошивки будут корректно работать вне зависимости от обновлений. В приватном решении все сервисы поднимаются заново, а квоты по умолчанию отсутствуют, как будто это частное облако в формате managed.

Приватный пул и сегмент пула подходят для комфортного развертывания своих приложений. То есть переставить мебель можно, но глобально поменять планировку нельзя. Чтобы установить какое-то специфичное сетевое оборудование или, например, развернуть серверы на ARM, нужно идти в частное облако.

В приватном сегменте пула:

• Доступны все типы сетевых дисков ^[5] облачной платформы. Для реализации нестандартных требований к емкости или производительности сетевых дисков можно организовать выделенное сетевое хранилище.
• Можно настроить резервное копирование сетевых дисков с помощью бэкапов по расписанию ^[6].
• Облачные серверы могут использовать те же сетевые ресурсы, что и в публичных сегментах.
• Облачные серверы можно объединить с серверами в других пулах через глобальный роутер.

Особенности работы приватных решений

Плюсы:

• Доступ к метрикам. Провайдер отдает ряд метрик, которые позволяют оценивать и анализировать эффективность работы инфраструктуры. Например, показывает дропы на сетевых интерфейсах, статусы дисков или время работы CPU в разных режимах — все, что важно контролировать клиентам.
• Гибкость конфигураций. Возможность выбирать аппаратное обеспечение инфраструктуры (процессоры, более производительные сетевые диски, локальные диски).
• Универсальность. Совместимо с S3-хранилищем, в том числе с Private Storage ^[7].

Минусы:

• Ограничения стандартных образов. В частном сегменте публичного облака поддерживается только набор образов для распространенных дистрибутивов Linux (Ubuntu, Debian, CentOS). Есть опция загрузить свои образы виртуальных машин.
• Без кастомных конфигураций. В приватном сегменте доступны только готовые конфигурации серверов.

Кому подходят приватные решения на базе публичного облака

• FinTech. Приватные решения помогают компаниям из этой отрасли не тратиться на покупку оборудования, но предлагают должный уровень контроля и безопасности данных. Например, можно зафаерволить доступ к IP и организовать изолированное подключение.
• EdTech. Образовательные платформы хранят большое количество учебных материалов в облаке. Для них важна быстрая связь веб-сервера и хранилища, чтобы предоставлять качественные услуги и корректно работать под нагрузками. Решение помогает реализовать необходимую отказоустойчивость и скорость работы платформ.
• Игровые сервисы. В облаке можно выделить область для виртуализации видеокарт, кастомизировать и дорабатывать флейворы, чтобы улучшить игровой опыт пользователей. За счет подключения быстрых сетевых дисков решение подходит для развертывания собственных игровых серверов с минимальными задержками.

Как устроено частное облако

В отличие от публичного, частное облако создается под задачи конкретной компании. Все ресурсы принадлежат одному заказчику. Клиент получает возможность управлять инфраструктурой и самостоятельно настраивать политики безопасности.

Устанавливать специальное оборудование, которое запрашивает регулятор или команда. Иногда это единственная возможность организовать с ним работу, поскольку ждать релиза, как публичного предложения можно долго.

Частное облако можно развернуть на инфраструктуре провайдера или на серверах заказчика, то есть on-premise. В первом случае провайдер берет на себя обслуживание клиентской инсталляции и большинство рисков — например, замену RAM или дисков, а также задачи по обеспечению пожарной безопасности, доступности сетей и охлаждению оборудования.

Особенности частного облака

Плюсы:

• Изоляция инфраструктуры. Инфраструктура изолируется от других клиентов на всех уровнях: физическом (хост, СХД), сетевом (L2), вплоть до клетки или выделенной стойки.
  Больше возможностей кастомизации. Контроль при администрировании до уровня операционной системы сервера.
• Безопасность. Возможность реализации высоких стандартов по информационной безопасности совместно с сервис-провайдером или интегратором.

Минусы:

• Более высокая стоимость. Если у компании нет специфических требований к инфраструктуре, скорее всего, начать разработку будет выгоднее в публичном облаке.
  Время запуска. По сравнению с публичным облаком на частную инсталляцию потребуется больше времени. Нужно будет заложить ресурсы на развертывание и настройку под задачи конкретной компании.
• Меньше гибкости. Потребление вычислительных ресурсов необходимо планировать заранее. В случае с on-premise реализацией — больший CAPEX.
  Выше порог входа для команды. Квалификация администраторов должна быть достаточно высокой.

Кому подойдет частное облако

Частное облако обычно выбирают крупные компании, которым нужен высокий уровень кастомизации: установка уникального оборудования, PaaS-решений. Вместе с провайдером инфраструктуру можно подготовить к аттестации по 152-ФЗ или для соответствия требованиям ФСТЭК.

На стороне провайдера

Развертывание частного облака на площадке провайдера выбирают компании, для которых IT-направление не является основной деятельностью. Так они могут оптимизировать расходы на команду, разделить риски и лучше планировать потребление вычислительных ресурсов.

Сюда также можно отнести компании, которые не хотят инвестировать в собственные дата-центры и обслуживание машин. Удобнее передать эту ответственность провайдеру.

On-premise

Решения такого порядка выбирают компании с сильными IT-сектором, который хочет самостоятельно тестировать и настраивать работу инфраструктуры. Это также могут быть компании, которые работают с госсектором и не готовы делегировать свои задачи провайдеру, если не понимают, как разграничены зоны ответственности.

• Строительные, промышленные и логистические компании. В таких организациях частное облако помогает поддерживать отделы, требующие большого количества вычислительных ресурсов. Например, это может быть система виртуальных рабочих столов, которые позволяют создавать тяжелые 3D-модели.
• Банки и финансовые организации, медицинские службы. С помощью частного облака легче выполнить требования по информационной безопасности и провести консолидацию ресурсов.
• Телеком-провайдеры. Компании выбирают частное облако как более гибкую платформу с пулом уникальных настроек под свои проекты, чего не может предложить публичное облако.

Как устроено гибридное облако

Гибридное облако позволяет объединить в одну инфраструктуру, например, хранилище частного облака (on-premises) и публичное облако. В такой схеме клиент использует преимущества каждого решения.

Понятие гибридного облака тесно связано с мультиоблачностью. Разница лишь в том, что во втором случае компания пользуется облачными решениями нескольких провайдеров.

Гибридное облако позволяет выстраивать отказоустойчивую и даже катастрофоустойчивую инфраструктуру — за счет размещения резервных копий на разных площадках. Например, в Selectel для этого используют дата-центры в Москве и Петербурге. Также гибридное облако дает возможность оптимизировать расположение элементов инфраструктуры: критичные сервисы размещать в частном облаке, а тестовые среды — в публичном.

Особенности гибридного облака

Плюсы:

• Высокая отказоустойчивость. Если инфраструктура будет разнесена по дата-центрам в разных городах, а в одном откажет стойка или даже весь дата-центр, инфраструктура продолжит работать за счет другого региона.
• Большой выбор решений. Возможность построить гибкую систему из выгодных решений.

Минусы:

• Управление ресурсами. Сложнее наладить средства мониторинга и управления ресурсами из-за разветвленной архитектуры.
• Выше требования к качественным каналам связи. Передача данных между сегментами гибридного облака происходит через публичные каналы связи, не позволяющие управлять уровнем резервирования. Требуется более сложная настройка site-to-site VPN или решения типа Selectel Connect ^[8] для поддержки сетевой связности.

Кому подойдет гибридное облако

• Игровые сервисы. Чтобы организовать качественное соединение и решить проблему пинга, серверы должны находиться в регионе клиентов. Для онлайн-игр и облачного гейминга это критически важный параметр, поэтому для таких проектов геораспределенное облако подходит лучше всего.
• Стриминг и видеохостинги. Геораспределенность также помогает международным проектам предоставлять в каждом регионе тот уровень сервиса, который соответствует ценностям местных компаний. Сервисы, для которых отказоустойчивость — ключевой параметр.

Гибридное облако — универсальный вариант, поскольку может объединять самые разные инсталляции. Клиенту остается решить экономический вопрос, может ли провайдер обеспечить должную сетевую связность и предоставить необходимые ресурсы, будет ли это выгодно.

Как устроено аттестованное облако для работы с ГИС

Государственные компании и бизнес, который работает с ГИС, обязаны соответствовать 17 и 21 приказам ФСТЭК и СТР-К, а также 152-ФЗ, в отдельных случаях — приказу Гостехкомиссии № 282 ^[9]. Через такой набор требований непросто прорваться. В аттестованном облаке ^[10] провайдер уже прошел за клиентов несколько этапов проверок инфраструктуры.

Клиент получает выписку из модели угроз, аттестацию инфраструктуры в соответствии с требованиями регуляторов и возможность обрабатывать данные УЗ 1-4, К 1-3 и 1Г. Подробнее о том, как аттестованное облако помогает работать с ГИС, читайте здесь ^[11].

Особенности аттестованного облака

Плюсы:

• Надежное решение. В аттестованном облаке можно разместить данные любого уровня и класса защиты согласно закону.
• Легкий путь к работе с ГИС. Провайдер берет на себя работы по аттестации, поэтому не нужно тратить на это время. Можно использовать решение для подготовки к тендерам.
• Удобное масштабирование. Инфраструктуру не нужно переаттестовывать, если изменился объем вычислительных ресурсов.
• Возможность on-premise. В частных случаях возможна реализация аттестованного облака на стороне заказчика.

Минусы:

• Стоимость. Цена размещения в аттестованном облаке выше, чем в публичном или частном за счет использования компетенций провайдера и дополнительного оборудования для защиты виртуализации и других элементов инфраструктуры.

Кому подойдет аттестованное облако

Решение помогает компаниям не тратить ресурсы на самостоятельную аттестацию и получение необходимых документов. Государственные компании получают возможность использовать преимущества облака на законных основаниях.

• Государственные заказчики. Облако подходит и для создания почтовых серверов администрации, и для хранения персональных данных информационных систем федерального масштаба.
• Разработчики государственных информационных систем. Как правило, это компании, которые участвуют в тендерах и планируют работать с ГИС.
• Коммерческие заказчики с требованиями по аттестации. Инфраструктура полностью соответствует и отвечает требованиям ФСТЭК и Гостехкомиссии.
• Владельцы любых конфиденциальных данных с требованиями по аттестации. В облаке заказчик получает выписку из модели угроз и документацию для регуляторов. Так клиент может хранить данные федерального значения и самого высокого уровня защищенности.

Резюме

Сегодня облака могут решать любые вопросы, связанные с защитой и аттестацией инфраструктуры в соответствии с законом. Каждый тип бизнеса может использовать преимущества облаков вне зависимости от того, какие данные они обрабатывают.

Облако можно быстро развернуть и масштабировать под актуальные нагрузки, поэтому развивать приложения в такой среде удобно и большим компаниям, и стартапам.

Автор: Михаил Фомин

Источник ^[12]