Сегодня мы выпустили в публичное превью сервис по аренде выделенных серверов Yandex BareMetal — теперь пользователи облака могут арендовать у нас серверы и интегрировать их с облачной средой. С сервисом можно работать по API, а также гранулярно настраивать права доступа к серверам за счёт интеграции с Yandex Identity and Access Management.
В этой статье покажем, какие наиболее популярные сценарии можно реализовать с помощью обновлённого сервиса. Что важно для компаний, которые арендуют физические серверы
По данным исследования Yandex Cloud, 59% российских компаний начали использовать услуги аренды физических серверов относительно недавно, в последние 1,5 года.
Какие облачные сервисы наиболее актуальны при интеграции с bare metal:
сервисы защиты от DDoS‑атак (59% респондентов);
сервисы резервного копирования (48% респондентов);
облачный роутер — единая сеть между выделенными серверами и облачной инфраструктурой (46%).
Для чего чаще всего применяют технологии bare metal:
для хранения и обработки данных — 70% респондентов;
для собственных виртуализаций, например, Openstack или VMware — 66%;
для хостинга бизнес‑приложений — 47%;
для задач бэкофиса — 44%.
На примере сервисов Yandex Cloud далее мы увидим, как могут решаться разные задачи благодаря интеграции облачных сервисов c выделенными физическими серверами.Сценарии интеграции с сервисами резервного копирования
Традиционно в составе облачной платформы задача по безопасному и надёжному хранению данных решается при помощи двух технологий:
Встроенные в платформу облака технологии защиты дисков виртуальных машин. В случае Yandex Cloud стоит вспомнить про снимки дисков виртуальных машин.
Технология объектного хранилища, которая подходит не только для задач по хранению данных приложений, адаптированных к облачной инфраструктуре, но и для хранения резервных копий.
В большинстве случаев эти технологии закрывают значительную часть сценариев по защите данных. Тем не менее, в некоторых случаях этого недостаточно.
Для наглядности возьмём сценарий, связанный с защитой данных на файловом уровне, для приложения, которое не может работать с S3. Представим случай, когда специфика работы приложения требует контроля целостности при выполнении операций по резервному копированию. Какую технологию использовать?
Ответ на вопрос кроется в использовании дополнительных, или наложенных решений для защиты информации. Примером такого облачного сервиса может быть Yandex Cloud Backup, который решает задачи по резервному копированию данных не только для защиты виртуальных машин, но и физических серверов в сервисе Yandex BareMetal. Поскольку физический сервер остаётся неизменным атрибутом традиционной ИТ‑инфраструктуры, то для него важно предусмотреть защиту на всех уровнях. Raid‑массивы призваны защитить от потери данных при выходе из строя одного или нескольких накопителей/блочных устройств. Если же из строя выходит целый сервер, то понадобятся как раз такие специализированные решения.
Как работает интеграция. Cloud Backup использует специализированный агент, который устанавливается в ОС физического сервера, за счёт чего появляется возможность выполнять операции резервного копирования:
для всех блочных устройств в составе сервера;
для определённых блочных устройств в составе сервера;
для определённых файлов и папок (директорий);
для данных приложений, требующих контроля целостности (базы данных);
также следует отметить, что грамотная настройка стратегии защиты (стратегии резервного копирования) положительно влияет на показатели RPO и RTO.
Для начала работы с этим провайдером резервного копирования пользователь проходит несколько подготовительных шагов, которые обеспечивают безопасное и надёжное создание и хранение бэкапов:
Настройку сервисных аккаунтов.
Настройку тестового сервера и необходимых сетевых разрешений.
Создание политик резервного копирования.
Подробнее о тонкостях конфигурирования можно узнать в документации. При настройке важно помнить о базовых практиках безопасности: не создавать долгоживущих ключей, использовать надёжное хранилище секретов, внимательно назначать сетевые доступы.
Такая правильно настроенная интеграция с Cloud Backup решает задачу защиты данных от потери на физическом серверном оборудовании в рамках «одного окна», не покидая консоль Yandex Cloud.Сценарии интеграции с объектным хранилищем
В контексте физических серверов S3-совместимое хранилище может решать несколько задач.
Опция 1. Клиент решил перенести нагрузку из виртуальной машины на физический сервер, при этом приложение использовало технологии облака, и часть данных приложения размещались в S3-хранилище.
Опция 2. Клиент разворачивает на bare‑metal‑серверах кластер баз данных, например, кластер PostgreSQL высокой доступности. Технологии кластеризации, обеспечивающие репликацию данных между всеми вычислительными единицами в кластера позволяют решить задачу доступности базы для конечных потребителей, однако эта технология не помогает защитить данные от порчи или утраты, в случае повреждения базы данных.
Для решения задачи по защите данных следует применять стратегию защиты с использованием технологии Point‑in‑Time Recovery (PITR), которая позволяет восстановить состояние кластера на любой момент времени в интервале от создания самой старой полной резервной копии до архивации самого свежего журнала опережающей записи (Write Ahead Log, WAL). Это позволит приблизить показатели RTO и RPO к минимальным значениям, а хранение резервных копий и WAL транзакций в объектном хранилище (S3) обеспечит сохранность резервных копий.
Основное отличие второго сценария в том, что схема защиты выстраивается на уровне базы данных, защита может быть выполнена без использования дополнительного ПО.
Как работает интеграция с S3-хранилищем в случае с PostgreSQL?
Для реализации потребуется решить две задачи:
Подключить кластер к объектному хранилищу с использованием FUSE‑драйвера, которым, например может выступить GeeseFS, оптимизированный для работы с Yandex Object Storage.
Интегрировать приватные подсети BareMetal с объектным хранилищем (S3) через сервисное подключение. В решении данной задачи поможет технология Cloud Interconnect, при помощи которой серверы BareMetal смогут взаимодействовать с приватными подсетями в Virtual Private Cloud.
Из каких кубиков складывается головоломка, или как решить задачу?
Создать VRF и приватную подсеть в BareMetal.
Арендовать физический сервер.
Создать сервисное подключение к S3 (Private Endpoint) в одной из имеющихся подсетей в VPC. Смотрим на документацию.
Настроить интеграцию с подсетями VPC (из BareMetal в VPC) через Cloud Interconnect. Смотрим на документацию.
Если используется собственный DNS‑сервер, создать необходимые ресурсные записи для направления трафика к S3-хранилищу на IP‑адрес сервисного подключения.
Если приватный DNS не используется в BareMetal‑контуре, настроить сопоставление через файл /etc/hosts (storage.yandexcloud.net <--> в IP‑адрес сервисного подключения).
Итоговая диаграмма сетевой связности для доступа к S3 будет выглядеть следующим образом:
Безусловно, доступные сценарии не исчерпываются этими примерами: так, в прошлый раз мы рассказывали о возможностях собственной виртуализации. Однако благодаря появившейся в обновлении интеграции с Cloud Interconnect, а также с расширением функциональности работы через API — можно выстроить и более сложные архитектурные сценарии.
Источник новости: habr.com
