Подскажите, пожалуйста, проводили ли вы сравнительный анализ гипервизоров перед выбором VMware? Банк ведь наверняка попадает под объекты критической инфраструктуры и к 25 году должен будет начать использовать что-то другое? Типа того же Openstack, голого KVM с libvirt или подобным?
Или VMware был выбран так как он уже использовался в банке и переезд на аналогичное решение с MIQ просто добавил автоматизации в вашу инфраструктуру и уменьшил time-to-market?
Исправляемся, видео с изменением 25000 -> 50000 IOPS, latency на 50000 ~0.6 ms (1.3 ms на 25000 — троттлинг со стороны гипервизора, о чем я говорил выше):
Тест с переключением с 1000 IOPS на 1500 сделали просто потому, что это тест именно на переключение IOPS с помощью API, и было важно показать что это происходит в live-режиме, мгновенно. Если нужен тест на 50k IOPS — дайте некоторое время, и мы запишем его. А если нужно, то и дадим тестовую учётку в Облако, чтобы Вы проверили сами.
17 мс задержки — недоглядели :)
Но и этому есть объяснение — если запускать fio на полную мощность, бенчмарк «упрется» в ограничение со стороны гипервизора (и, соответственно, ограничения которые мы задали в консоли Облака), и задержка будет выше, т.к. ОС «ждёт» пока диск позволит записать еще. Если в тесте fio поставить ограничение на пару IOPS меньше (через --rate_iops, например), чем само ограничение — задержка будет как в SLA.
Я правильно понял, что в таком случае файловая система на виртуальной машине переходит в read-only? И остаётся в таком режиме до восстановления работоспособности вышедших из строя компонентов?
У всех облачных провайдеров для систем, обрабатывающих персональные данные, построены специальные аттестованные сегменты. Такой сегмент есть и у нас, и даже не просто сегмент, а полностью аттестовано одно из трех наших облачных плеч. Поэтому мы полноценно оказываем услуги по размещению подобных систем.
Если углубиться с ответом на ваш вопрос, то:
1) ФСБ сертифицирует СЗИ, использующие шифрование. Для систем обработки ПДн такие не нужны. Несмотря на это у КРОК есть все необходимые сертификаты и специалисты, если подобные СЗИ понадобятся в других проектах;
2) ФСТЭК сертифицирует СЗИ, не использующие шифрование. Именно такие мы и используем в нашем облаке для ПДн;
3) ScaleIO по факту является системой хранения данных. Так же, как и любая другая СХД, она не требует аттестации для использование под хранение ПДн. Поэтому никаких ограничений на использование ScaleIO для ПДн мы не видим.
Среди сборок Linux уже есть целый спектр сертифицированных, которые можно использовать в системах обработки ПДн. Даже если ваша сборка не была аттестована, то процесс аттестации открыт и доступен. При выполнении всех требований можно аттестовать и CentOS, и Debian, и Ubuntu.
Все купленные лицензии на ПО никуда не денутся, будут обновляться и поддерживаться как и ранее. В случае необходимости расширения лицензии при увеличении объема кластера также проблем не будет.
swiing Да, с недавнего времени Dell-EMC прекращают распространение ScaleIO Software отдельно. Для тех заказчиков, кто успел приобрести поддержку только на ПО, сервис остается. Имея аккаунт на support.emc.com до сих пор можно скачать старые версии 2.0.1.4, 2.5 именно ScaleIO Software.
Добрый день!
Спасибо за статью, очень познавательно :)
Подскажите, пожалуйста, проводили ли вы сравнительный анализ гипервизоров перед выбором VMware? Банк ведь наверняка попадает под объекты критической инфраструктуры и к 25 году должен будет начать использовать что-то другое? Типа того же Openstack, голого KVM с libvirt или подобным?
Или VMware был выбран так как он уже использовался в банке и переезд на аналогичное решение с MIQ просто добавил автоматизации в вашу инфраструктуру и уменьшил time-to-market?
Имеете ли планы на будущее на смену гипервизора?
Исправляемся, видео с изменением 25000 -> 50000 IOPS, latency на 50000 ~0.6 ms (1.3 ms на 25000 — троттлинг со стороны гипервизора, о чем я говорил выше):
Коллеги, у всего есть своё объяснение :)
Тест с переключением с 1000 IOPS на 1500 сделали просто потому, что это тест именно на переключение IOPS с помощью API, и было важно показать что это происходит в live-режиме, мгновенно. Если нужен тест на 50k IOPS — дайте некоторое время, и мы запишем его. А если нужно, то и дадим тестовую учётку в Облако, чтобы Вы проверили сами.
17 мс задержки — недоглядели :)
Но и этому есть объяснение — если запускать fio на полную мощность, бенчмарк «упрется» в ограничение со стороны гипервизора (и, соответственно, ограничения которые мы задали в консоли Облака), и задержка будет выше, т.к. ОС «ждёт» пока диск позволит записать еще. Если в тесте fio поставить ограничение на пару IOPS меньше (через --rate_iops, например), чем само ограничение — задержка будет как в SLA.
Я правильно понял, что в таком случае файловая система на виртуальной машине переходит в read-only? И остаётся в таком режиме до восстановления работоспособности вышедших из строя компонентов?
qemu-img convert не рассматривали?
или интересен был только вариант с Windows?
Если углубиться с ответом на ваш вопрос, то:
1) ФСБ сертифицирует СЗИ, использующие шифрование. Для систем обработки ПДн такие не нужны. Несмотря на это у КРОК есть все необходимые сертификаты и специалисты, если подобные СЗИ понадобятся в других проектах;
2) ФСТЭК сертифицирует СЗИ, не использующие шифрование. Именно такие мы и используем в нашем облаке для ПДн;
3) ScaleIO по факту является системой хранения данных. Так же, как и любая другая СХД, она не требует аттестации для использование под хранение ПДн. Поэтому никаких ограничений на использование ScaleIO для ПДн мы не видим.
Среди сборок Linux уже есть целый спектр сертифицированных, которые можно использовать в системах обработки ПДн. Даже если ваша сборка не была аттестована, то процесс аттестации открыт и доступен. При выполнении всех требований можно аттестовать и CentOS, и Debian, и Ubuntu.