Хостинг для бизнеса. История одного переезда

    Несколько лет назад, подыскивая для себя подработку, я наткнулся на объявление одной фирмы, которой нужен был именно Linux специалист и именно на условиях внештатного сотрудника, т.е. не на полный рабочий день, а этакий аутсорс. Немало удивленный(проживаю не в центральной части нашей необъятной Родины, такие объявления крайняя редкость) я набрал номер телефона и договорился о встрече вечером того же дня. Надо заметить, что удивиться мне предстояло еще не раз.

    Прибыв на место в уроченный час, познакомился с директором и, после небольшого интервью, мы начали беседу.
    Непринужденный разговор пошел о различных Linux дистрибутивах, облачном хранении данных и документообороте, выборе серверных комплектующих, виртуализации, iOS vs Android, впрочем обо всем том, чего никак не ожидаешь услышать от директора строительной фирмы.
    Мало-помалу(напомню, разговор был непринужденным, неспешным) начали вырисовываться задачи, которые будут стоять передо мной…

    Часть первая. Вводная.

    Давеча фирма столкнулась с полномасштабной проверкой, в ходе которой изъяли все компьютеры, серверы, и ведение бизнеса стало весьма затруднительным. Спустя некоторое время компьютеры вернулись, но повторения подобного очень не хотелось. Поэтому прежде всего нужно было обеспечить безопасность данных компании, при чем безопасность, в первую очередь, подразумевалась физическая — ни у кого не должно быть физического доступа к серверу, его нельзя просто взять и унести.
    Вторым шагом по плану стала легализация используемого ПО.

    План у руководителя уже был и состоял из следующих пунктов:
    • Перевод всех компьютеров фирмы на Open Source
    • Вынесение всех данных(БД 1С, другие программы бух.учета, документы) за пределы офисов фирмы
    • Организация работы сотрудников в новых реалиях ИТ инфраструктуры


    Часть вторая. Реализация.

    Переход на Open Source.
    После недолгих споров мне удалось отстоять, что Ubuntu, на компьютерах пользователей, будет смотреться куда лучше чем OpenSUSE(не разжигаю, имхо конечно). Взяв подменный компьютер, за неделю-другую, мне удалось перевести всех на Linux(кроме глав.буха, но это другая история). В качестве офисного пакета взял Libre Office, дистрибутив Ubuntu тогда начитывал цифры 10.04, для удаленного управления и помощи пользователям я пользовал x11vnc, а коннект до терминального сервера(подробнее о нем чуть ниже) 1С осуществлялся силами remmina.
    Предупреждая вопросы, да, танцы с бубном были. В особенности со сканером Samsung(модель уже не вспомню) и немного с принтерами.
    Но больше всего мне запомнилась инсталяция ОС на древнючий IBM Thinkpad 390х с убитым CD приводом. Этот ноут использовался кладовщиком для доступа в 1С и распечатывания документов. На него я установил Lubuntu, т.к. DE там полегче.
    С того времени даже сохранились несколько фото этого красавца(соррь за качество, снимал на тапок).
    IBM Thinkpad 390x




    Говоря о вынесении сервера за пределы физической досягаемости мы обсудили множество вариантов, начиная от выпиливания секретных комнат, дыр в полу и подвешивания сервера на воздушном шаре, до установки мин и растяжек в серверной совсем уже невероятных вариантов. Но в итоге пришли к более грамотному решению — аренде выделенного сервера.
    На момент описываемых событий нашим хостером стал известный немецкий провайдер.

    На сервер встала Windows 2008 R2, был настроен VPN для головного офиса и филиала компании, расшаренные папки и прочие радости жизни для сотрудников. Далее мы договорились о абонентстком обслуживании и переодически я приезжал за деньгами или при невозможности решить проблему уделенно.
    Таким образом поставленные задачи были решены, сотрудники обучены работе в новой ОС(многим понравилось сразу, остальные поняли это позже), а сервер стал далек от досягаемости нежелательных лиц.
    Казалось бы счастливый конец истории, но нет — дальше еще интереснее.

    Часть третья. Фирма растет, задачи расширяются.

    Шло время, заботу о этой фирме я перепоручил своему товарищу, т.к. сам поменял работу и свободного времени стало куда-как меньше, да и в подработке отпала необходимость. С директором мы поддерживаем связь и он переодически советуется по разным ИТ-впоросам. В ходе одного из разговоров зашла речь о необходимости серьезно расширить список задач возложенных на тот дедик(выделенный сервер).

    Помимо терминального сервера нужны были:
    • Web сервер для сайта компании
    • Отдельный сервер под БД 1С(переход на SQL)
    • Сервер IP телефонии (о тестировании такого решения я уже писал)

    Задачи едва ли проще поставленных ранее, еще на заре нашего сотрудничества. Как их решать предствление я имел, но вот поддерживать это все времени нет. Так вышло, что к этому моменту я уже работал в ServerClub и в нашей команде тех. поддержки любой из админов в состоянии как настроить данное решение, так и поддерживать его, решая возникающие проблемы в режиме 24/7/365.
    Организовать все сервисы решили на одном сервере, используя виртуализацию. Выбор пал на Dell R210 с 2х1Тб HDD и 16Гб ОЗУ.
    Посовещавшись с коллегами, предложили такую схему:

    Как видно на схеме, Frontend обеспечивает доступ к виртуалкам из Интернет(он смотрит во внутреннюю сеть и в мир), на нем выполняются различные сетевые сервисы — VPN, маршрутизация, firewall. Остальные виртуалки смотрят только во внутреннюю сеть, таким образом клиенту понадоблись всего два «белых» IP адреса и все его ВМ надежно защищены.
    Согласовав это предложение мы установили новые виртуальные серверы, а терминальный W2K8R2, со старого хостинга, перевезли при помощи VMware Standalone Converter.
    Этот инструмент, от одного из лидеров отрасли, позволяет перенести установленную и настроенную систему с «железа» в виртуалку. Процесс подготовки и настройки достаточно тривиален, но есть один полезный финт. Дело в том, что по умолчанию программа использует SSL шифрование трафика, это существенно замедляет процесс передачи и при первых попытках переезда счетчик времени показывал черезчур высокие значения. Так же, при передачи данных, может возникнуть ошибка converter.fault.FileIOFault и процесс прервется. Для решения этих проблем необходимо отключить шифрование, делается это
    просто
    Перейдем в папку, где содержится конфигурационный файл converter-worker.xml.
    Для Windows 2008 R2 он находится в "%ALLUSERSPROFILE%\VMware\VMware vCenter Converter Standalone".
    Найдем там секцию
    <ssl>
    <!– Private key file –>
    <privateKey>ssl/rui.key</privateKey>
    <!– Certificate file –>
    <certificate>ssl/rui.crt</certificate>
    </ssl>
    

    удалим её, а так же изменим параметр useSsl в секции nfc на false
    <nfc>
    <readTimeoutMs>120000</readTimeoutMs>
    <useSsl>false</useSsl>
    

    Для применения внесенных изменений необходимо перезапустить службу
    VMware vCenter Converter Standalone Worker

    По завершении переноса терминального сервера мы настроили регулярное резервное копирование данных всех ВМ и мониторинг, после чего клиент окончательно переехал к нам.

    Часть четвертая. Заключительная.
    Данным примером я хотел показать пользу от использования хостинга выделенных серверов в решении различных бизнес-задач в разрезе ИТ. Ведь покупка такого сервера обошлась бы компании в немалые деньги, а еще нужно его где-то разместить, охлаждать, подвести бесперебойное питание, администрировать и производить замену комплектующих.
    Арендуя сервер вы отдаете все эти задачи на откуп хостера, а арендуя сервер у нас еще и получаете брендовое железо и техническую поддержку в любое время и по абсолютно любым задачам — от установки ОС до полного конфигурирования и поддержки вашего проекта.

    Спасибо за внимание,
    приходите к нам хоститься!
    ServerClub
    Компания
    Реклама
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее

    Комментарии 33

      +5
      Т.о. если этот самый единый сервер с виртуализацией навернется или потребует обслуживания, то клиент окажется без сайта, телефонии и бухгалтерии разом? Не великоваты-ли риски?
        0
        На сервере RAID-1 из двух дисков, настроено резервное копирование и сервер подключен к мониторингу.
        О большинстве проблем мы узнАем заранее и сможем перенести виртуалки на другое железо.
        Работы проводятся по согласованию с клиентом, в нерабочее время.
        Даже если он навернется, как вы говорите, «внезапно», то мы к этому готовы и сумеем восстановить работоспособность сервисов клиента в сжатые сроки.
          +2
          Ок, понял, отстал =)
            +1
            А при сбое у вас виртуалки надо руками переносить? Нет автоматики? «сжатые сроки» в SLA прописываются? Что делать в случае, когда RAID не спасает — например, файловая система и/или таблица разделов полетела?

            Я правильно понимаю, что на RAID располагаются образы виртуалок? В случае, если диски взрываются (оба-два разом), как вы перенесёте виртуалки на новое железо?
              +1
              Нет, к контексте данного клиента автоматики нет.
              В случае выхода из строя диска — в ночное время меняем на новый.
              В случае выхода из стоя, например, контроллера — инженеры ДЦ переставят диски в другой сервер аналогичной конфигурации.
              Время замены в пределах SLA.

              Что делать в случае, когда RAID не спасает — например, файловая система и/или таблица разделов полетела?

              Иметь под рукой бэкап.
              Я правильно понимаю, что на RAID располагаются образы виртуалок? В случае, если диски взрываются (оба-два разом), как вы перенесёте виртуалки на новое железо?

              Правильно.
              Здесь, опять таки, бэкап всему голова.
              У нас предусмотрен сервис резервного копирования для клиентов. Если клиент пожелает бекапить все виртуалки, то мы, соответственно, сможем их восстановить.
              К слову, на моей практике диски в сервере не взрывались.
                0
                Переформулирую: как клиент защищён от потери данных по вине вашей инфраструктуры?
                  0
                  Удалите…
                    +1
                    Первый вопрос был понятен, «переформулированный» нет.
                    Что значит по вине «нашей инфраструктуры»?
                    Под нашей инфраструктурой я понимаю наши стойки в ДЦ Нидерландов и США, серверы в стойках, коммутаторы, APC, KVM и т.д.
                    Если вы о схеме, предложенной нами клиенту, то что там наше? ESXi? Linux?
                    Что вы хотите вменить нам в вину?
                      0
                      Когда клиент заказывает у вас услугу хостинга, кто ответственен за риск потери данных от физического выхода из строя сервера?
                        +1
                        Ответственность за риск потери данных.
                        Интересная формулировка.
                        Представьте что вы арендовали спортивный автомобиль.
                        Так вот, кто ответственнен за риск того, что вы влетите на нем в столб на скорости 200 км/ч?

                        Мы предоставляем качественное брендовое железо, сервисы резервного копирования и мониторинга.
                        Не мониторить сервер это еще куда не шло, но вот если клиент не озаботился бэкапами(в примере выше — не пристигнулся и не соблюдает скоростной режим), то ССЗБ.

                          +1
                          Хорошо, сценарий. Сразу условимся, что сценарий маловероятен, но возможен (из практики).

                          Стоит сервер у вас в ЦОДе о двух дисках, работает. Был сделан бэкап в GCE, S3, dropbox и на ленточки, которые гендир хранит у себя под подушкой. Через полчаса на берегу Нидерландов поднялся ветер, раскрутивший пропеллер ветряка так, что тот с оси слетел. В это же время в США на АЭС Гомер Симпсон спит и не видит, что реакция разогналась. В обоих случаях в сети происходит скачок напряжения, пробивающий UPS в ЦОДе и выжигающий блок питания. Блок питания уносит за собой мать и оба диска. Данные за полчаса потеряны.

                          Понятно, что, скорее всего, сгорел только контроллер и можно, заменив контроллер диска, с большой вероятностью данные спасти. Но в любом случае — кто несёт ответсвенность за потенциальную потерю данных в этот получасовой промежуток? Тут явно не бэкапы виноваты (или на неправильный RTO/RPO спишете?), тут аппаратный сбой, повлёкший потерю данных клиента. То, что виртуалки не умигрируют на новый сервер сами, уже понятно (хотя в случае локального хранения образов при сетевой недоступности сервера вообще сложно их куда-то умигрировать). Может, у вас репликация имеется, позволяющая уменьшить боль и время до восстановления сервиса (не как дополнительная услуга, а по умолчанию)?

                          Да даже ещё банальнее — 5 американских/голландских экскаваторщиков резанули одновременно всё стекло, отходящее от ЦОДа (опять же, случай из практики). Кто покроет клиенту убыток от недоступности ЦОДа?
                            +3
                            Понятие «ответственность за потерю данных» очень абстрактное и может быть применимо к SaaS хостинговым компаниям скорее, но даже у них боюсь не получить какую либо компенсацию за это.

                            Мы сдаем оборудование в аренду, как здесь ранее называли: аналогично с прокатным автомобилем.
                            В случае же недоступности оборудования за рамками SLA — мы компенсируем все согласно условиям. Но если же бизнес клиента требует повышенного уровня доступности (пять девяток) — то нужно изначально продумывать этот момент, и обычно мы организовываем High Availability кластеры с разнесенными узлами по разным ДЦ (или даже контенентам).

                            Вот в примере про 5 экскаваторов вы указали как раз нашу ответственность за недоступность инфраструктуры. Именно для этого мы постоянно совершенствуем нашу инфраструктуру: увеличиваем коэффициенты резервируемости всего оборудования, каналов, внедряем новые технологии и т.д.

                            Я понимаю, что вы имеете ввиду какие либо универсальные средства, которые производили бы автоматическую репликацию, но в случае с dedicated хостингом это невозможно, т.к. инфраструктура гетерогенна, проекты клиентов настолько разнообразны в своей архитектуре, что процедуры по повышению надежности всегда разрабатываются индивидуально. Нет абсолютной 100% доступной инфраструктуры, как раз по тем причинам, что Вы и назвали, но всегда есть возможность максимально повысить устойчивость и надежность различными методами. Эти методы для каждого клиента и прорабатывают наши инженеры абсолютно бесплатно по запросу.

                              +1
                              Спасибо за развёрнутый ответ
            +1
            Хм, а если serverclub придет предписание?
              0
              От кого например и на какую тему?
                0
                От органов, предоставить сервер клиента ФИО.
                А еще могут зайти и забрать. Или у вас 9.5 правил выполнено?
                  +1
                  Мы располагаемся в ДЦ в Европе и Штатах. Если Вы про органы РФ, то в целом, мы — не в их компетенции. Если про местные органы — то здесь всегда все адекватно и какие либо меры предпринимаются к тем лицам, которых мы бы и сами не хотели бы брать себе на борт.
                    0
                    Что значит «не в их компетенции»? Я не холивара для, а интереса из.
                    Ведь если вы продаете услуги отечественным юрлицам — у вас либо есть ооо/ип/проч., зарегистрированный в РФ (и как тогда быть с предписанием?), либо бухгалтерия клиента должна уметь и смело платить иностранным контрагентам (что тоже не всегда и везде просто).
                    Или платит лично директор с карточки?
                      0
                      удалите плз.
                        +1
                        Российское ООО является финансовым агентом, его единственная функция — получить денег и передать их дальше. Соответственно если предписание придет на это ООО, то ничего кроме денег с него взять нельзя, так как гендиректора этой ООО в датацентр просто не пустят. Чтобы заполучить сервера в Голландии должно быть решение голландского суда. С политически-мотивированным решением голландского суда не встречались ни разу.
                        0
                        Ну так роскомнадзор заблокирует доступ и хана бухгалтерии.
                          0
                          Роскомнадзор заблокирует доступ к бекенду? По какой причине?
                            0
                            Судебное предписание.

                            Допустим их офис арестовывают, находят бекенд ип адрес, соответственно через судебное предписание выдадут арест на оборудование. После этого запрос на выдачу данных придет к Вам, если Вы не согласитесь ип будет заблокирован, скорее всего все подсети могут заблокировать.
                              0
                              Разве есть преценденты блокирования подсетей зарубежных провайдеров? Да еще и из-за бекенда какого-то офиса?
                              Будут прецендеты — будем решать. Мы боремся за права клиента до конца в рамках законодательства стран в которых мы работаем.
                      0
                      Ну даже роскоммунистнадзора?

                      Или же, не дай бог, через международное сотрудничество, участником которой РФ является.
                    0
                    А можете поделиться, что у клиента «не в центральной России» с каналом доступа (скорость/стоимость)? Потому как, скажем, в наших калининградских реалиях либо канала будет хватать только на RDP для десятка-двух пользователей, либо (в варианте VPN+БД+ файлопомойка) по тарифам для юрлиц можно разориться на доступе. Это мы такие бедные и несчастные, или существуют варианты?
                      0
                      К сожалению, с интернет каналами в калининграде сталкивались на собственном опыте. Но из нашего общения с операторами 2 года назад — ситуация должна была разрешиться в положительную сторону. Как сейчас — не знаем. Можем только предложить потестировать сервер и, соответсвенно, доступность из Вашего региона. Пишите с вопросом на sales@serverclub.com. Предоставим оборудование в тест, и все понять можно будет из практики.
                        0
                        Можно снижать качество картинки\разрешение экрана если цены совсем запредельные, но все-таки в современных реалиях цены на интернет-доступ в РФ вполне приемлимые.
                        0
                        Вопрос не только к автору. Слышать про выемку не только документов, но и компьютеров, слышал, но считал это страшилкой. Про выемку серверов не слышал. Кто и за что может произвести выемку серверов? Теперь вопрос к автору: как насчет 1 сентября 2015 года и вступающих изменений в закон о ПДн. Кроме того, общаясь с руководителями предприятий, сталкиваюсь с обратной ситуацией — у всех желание держать базы бухучета и прочие локально (в детали не вдавался, но думаю, причина — коммерческая тайна), то есть вероятность утечки коммерческих данных перевешивает риск в том числе выемки серверов.
                          +1
                          Кто и за что может произвести выемку серверов?

                          На территории России ОБЭП может, например.
                          За что? Здесь спектр широк, от доноса(недобросоветсной конкурентной борьбы) до действительно серьезных преступлений.
                          Теперь вопрос к автору: как насчет 1 сентября 2015 года и вступающих изменений в закон о ПДн...

                          На счет поправок к закону сложно высказать однозначное мнение.
                          Как пишут различные интернет издания, закон далеко не идеален.
                          Кроме того, общаясь с руководителями предприятий, сталкиваюсь с обратной ситуацией...

                          Сколько людей столько и мнений.
                          Я думаю от части это консерватизм мышления, как деньги в чулках или в баночке в темнушке.
                          При хранении данных локально, рисков их утечки едва ли не больше: пресловутый человеческий фактор, физическая доступность оборудования и т.д.
                            0
                            Прошу прощения за навязчивость, но я всё о том же: как часто происходят случаи выемки сервера? И насчет закон: он как известно дура лекс..., но размещение ПДн вне территории РФ противозаконно, или я чего-то не понимаю?
                              0
                              Кажется промахнулся с ответом, читайте мой ответ ниже.
                          0
                          Прошу прощения за навязчивость, но я всё о том же: как часто происходят случаи выемки сервера?

                          Я работаю в хостинг провайдере ServerClub полтора года, у нас ни разу такого не было, чтобы сервер «вынимали».
                          Были жалобы, в том числе из международных инстанций, но даже тогда речь о изъятии сервера не шла.
                          Говоря о своем опыте в принципе, случай описанный в статье единственный, с которым я столкнулся практически непосредственно.
                          И насчет закон: он как известно дура лекс..., но размещение ПДн вне территории РФ противозаконно, или я чего-то не понимаю?

                          Попадет ли под закон аренда серверов за рубежом не ясно.
                          Четкий список того, что можно размещать/хранить, а что нет отсутствует.
                          Подзаконные регламентирующие акты еще не приняты, на сколько я знаю.
                          Еще хочется заметить — Corruptissima in republica plurimae leges.

                          Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                          Самое читаемое