Еще совсем недавно даже на облачных конференциях шли дебаты на тему — что такое облако? Ситуация напоминала притчу о мудрецах, которые ощупывали слона в темноте. В случае облаков — скорее в очень густом тумане. Одни говорили, что слона вообще не существует, что облака это просто маркетинговый термин, описывающий виртуализацию. И получалось, что любой специалист, развернувший в своей серверной платформу виртуализации, создавал облако. Другие ощупывали хобот и говорили, что облако это просто удаленный доступ к ресурсам через Интернет. И получалось, что под понятие облако попадал любой компьютер с удаленным доступом. Третьи, в основном специалисты по информационной безопасности, собирались у хвоста. Они тревожно принюхивались, оценивали выделяемое вещество и говорили, что это и есть облако. И что это им не нравится.
Отрадно заметить, что на облачной секции прошедшего в Москве 24 ноября саммита RISS’2015 таких дебатов уже не было. Слон появился из тумана и с его идентификацией проблем у специалистов уже не возникает. Облако — это то, что соответствует определению NIST (Национального института стандартов и технологии США). Но вот с определением наиболее важных характеристик слона расхождения еще наблюдались.
«Облако — это прежде всего биллинг» — так можно кратко сформулировать вывод из доклада «Департамент ИТ против частного облака» системного архитектора Антона Жбанкова. Нужно развивать сервисный подход внутри предприятия. Использование биллинга в частном облаке позволит поставить под контроль траты ИТ-отдела, заставить его решать действительно нужные бизнесу задачи и таким образом повысит эффективность работы предприятий.
Облачные платформы
Впрочем, главное внимание на саммите было уделено не описанию слона, а вопросам как его использовать при решении стоящих перед предприятием проблем. Например, как отметил в своем докладе «Автоматизация ИТ-процессов в облачной среде» Алексей Шипов, руководитель проекта ICL Cloud компании ICL Services, возникающих при конфликте между ITSM-процессами (по предоставлению ресурсов и изменениям) и DevOps. Предлагаемое решение — оркестрация DevOps c ITSM-процессами на базе платформы управления облаками. Докладчик отметил, что корпоративная облачная среда ICL Cloud работает с виртуальными инфраструктурами, развернутыми на платформах OpenStack и VMware vCloud, и поддерживает такие средства оркестрации и автоматизации, как ManageIQ и SaltStack.
Свою облачную платформу по управлению корпоративными информационными системами и мобильными приложениями предложил использовать менеджер по работе с ключевыми заказчиками Red Hat Александр Астахов. Причем с демонстрацией конкретного российского кейса внедрения — в правительстве Московской области. По сути — это корпоративный Amazon с предоставлением разделяемого доступа к виртуальной инфраструктуре для всех подразделений заказчика, в данном случае — органов государственной власти.
Все решение построено на технологиях с открытым исходным кодом (Open Source). Области применения этой облачной платформы:
• Государственный сектор — мобильные и традиционные приложения как для обслуживания населения, так и для внутренних нужд.
• Корпоративный сектор — общая платформа для работы мобильных и традиционных приложений внутри предприятия.
• Провайдеры телекоммуникационных услуг — мобильные и традиционные приложения для конечных пользователей, (Mobile) Platform-as-a-Service для корпоративных заказчиков.
Система обеспечивает независимость от мобильных платформ и устройств, компиляцию приложений под любые ОС — iOS/Android/Windows/Tizen, автоматическую перерисовку внешнего вида приложения под платформу и устройство.
Сейчас идет поэтапное подключение органов государственной власти Московской области к этой облачной платформе. Подключено 88 автоматизированных информационных систем, задействовано 1522 vCPU, 3987 Гб ОЗУ, 252 Тб HDD. Сейчас в двух ЦОДах правительства Московской области используется VMware, но в планах переход на OpenStack.
OpenStack — наше все
Слово Openstack часто звучало в выступлениях докладчиков. К сожалению, Россия не «родина слонов», и на уровне облачных платформ мы многого предложить не можем. А задача импортозамещения стоит. И хотя ее по разному понимают, как по разному понимают и понятие «отечественная разработка» (очередную бурную дискуссию в зале вызвал вопрос национальной принадлежности компании Parallels), но это не меняет главного — если дойдет до реального импортозамещения, то скорее всего придется обратиться к решениям Open Source. И, скорей всего, к самой популярной в настоящее время облачной платформе с открытым кодом — OpenStack.
Практическим опытом построения облаков для телекома и NFV на OpenStack поделился Андрей Маркелов, старший менеджер архитектурных решений Ericsson. Он рассказал, что его компания разработала ряд компонентов, которые обеспечивают ключевые требования для функционирования виртуальной сети, такие как VLAN Trunking, «ускоренный» vSwitch, мониторинг вычислительной нагрузки, высокая доступность виртуальных машин и управление ресурсами.
На вопрос, зачем нужна поддержка вендора, если согласно недавно появившейся книге докладчика «OpenStack: практическое знакомство с облачной операционной системой», самостоятельное развертывание системы никаких сложностей не представляет, он ответил, что все дело в масштабах. И то, что не представляет проблем при работе на одном компьютере, становится сложной задачей в больших сетях, таких как телеком-сети.
Еще немного об импортозамещении в облаках
Свой вклад в облачное импортозамещениев внесла компания IQReserve. Правда, уже на уровне сервисов. Ее коммерческий директор Александр Архангельский сделал доклад «Платформа VALO — организация частных и публичных сервисов». По сути — это российский ответ сервису Dropbox.
Предприятие разворачивает свое частное облако и организует в нем обмен документами, изображениями и другими файлами между своими подразделениями. При этом полностью контролируя свою информацию. Все данные хранятся в частном облаке, к ним есть доступ через веб-интерфейс, есть удобные приложения для iOS и Android, проводится резервное копирование и восстановление данных. VALO снабжен функцией непрерывного резервного копирования, причем не просто отдельных папок или файлов, а всех данных, находящихся на всех устройствах пользователя. Сервис обеспечивает синхронизацию и обмен файлами в любом месте, с любых устройств. И обеспечивает универсальный доступ к данным.
Безопасность в облаках. DDoS
Конечно, не обошлось и без рассматривания слона со стороны хвоста. Проблеме безопасности облачных вычислений была посвящена отдельная секция. Причем рассматривались самые обсуждаемые сейчас риски — DDoS-атаки и потеря изоляции среды при использовании общих ресурсов.
Вопросам защиты от DDoS-атак был посвящен доклад Алексея Станкуса, CEO компании IP PIER. Используемые сейчас провайдерами средства защиты, как правило, ориентированы на атаки третьего-четвертого уровня модели OSI и ничего не могут противопоставить атакам седьмого уровня — уровня приложений, когда злоумышленник имитирует поведение человека и то, как он взаимодействует с пользовательским интерфейсом. Часто злоумышленники комбинируют, одновременно проводя атаки разного уровня.
Пропуская свой трафик через совместное облако IP PIER — SkyparkCDN, пользователь получает очищенный трафик, защищенный от DDoS на всех уровнях. Причем для атак седьмого уровня используется активная защита, когда на атакующий компьютер ставится ресурсозатратная задача.
Пользователь зараженного компьютера начинает замечать, что все стало работать медленно. Он понимает, что находится под контролем и чистит свой компьютер, тем самым выводя его из бот-сети и нанося экономический ущерб злоумышленнику, который купил бот-сеть для рассылки спама и DDOS-атак.
Сервис представляется только по подписке как страховка от DDoS. Хотя был бы интересен и вариант «скорой помощи» — только при спасении от уже начавшейся атаки, пусть и за большие деньги.
Защита внутри облака
Другое интересное решение обеспечения защиты облаков предложила компания 5nine Software. Юрий Бражников, ее генеральный директор по России и СНГ, сделал доклад «Развертывание безопасности как услуги (SECaaS) на платформе Microsoft Cloud OS/Azure Pack».
Продукт 5nine Cloud Security обеспечивает защиту виртуальных машин в самом облаке. Не секрет, что многие пользователи халатно относятся к вопросам ИБ и их машины могут быть легко взломаны. Кроме атак guest-hopping есть риски и специального размещения в публичном облаке начиненных средствами взлома машин злоумышленников.
5nine Cloud Security — комплексное решение по обеспечению безопасности и соответствия российскому законодательству, разработанное специально для Hyper-V. Система, реализованная как сервис в Azure Pack, выступает как внутренний брандмауэр, расположенный за гипервизором и обеспечивающий изоляцию виртуальных машин. Кроме того, он позволяет упростить управление безопасностью своих облачных ресурсов самим клиентам.
Решение, безусловно, интересное. Но система привязана к Hyper-V. Была бы интересна ее реализация и для других гипервизоров.
Что есть и что будет
Анализ тенденций и трансформации облачного рынка провел в своем докладе на пленарном заседании Антон Салов, член оргкомитета RCCPA (Russian Cloud Computing Professional Association). Он подвел итоги пяти лет и отметил, что облачный рынок растет колоссальными темпами: среднегодовой его рост составляет
Нынешний кризис подобен шторму для облачной экономики. Есть запас в виде купленного за рубли железа. Есть перебежчики из зарубежных облаков благодаря закону «О персональных данных». Но дальше все зарубежное придется покупать по новому курсу. И железо и лицензии. И это в условиях отсутствия доступа к дешевым заемным средствам. Так что легко не будет. И выживут не все. Но процесс идет. Бизнес привык к облакам. Это уже не экзотика — что-то большое туманное и непонятное. Облака уже обычная составляющая нашей жизни, констатировал Антон Салов.