Облака как многофакторный проект

13.12.2013

ИКС № 12 2013

Автор: Евгения ВОЛЫНКИНА, обозреватель журнала "ИКС"

 

Темы облачных сервисов и дата-центров связаны очень тесно: первых не бывает без вторых, а вторые все реже обходятся без первых. Это в полной мере продемонстрировала 8-я международная конференция «ЦОД-2013», организованная журналом «ИКС».

Но создателям облаков нужно понимать, что «железо» – это лишь необходимый и явно не достаточный элемент всего проекта. Даже если непосредственный владелец ЦОДа заявляет о предоставлении исключительно сервиса colocation, это, как правило, означает, что инфраструктуру для частных или публичных облаков строят на арендованных площадях его клиенты, пусть таких пока и меньшинство. Однако ситуация на рынке услуг colocation  такова, что повышать расценки вслед за растущими тарифами на электричество, стоимостью аренды помещений и затратами на эксплуатацию оборудования операторы ЦОДов не могут, поскольку конкуренция на этом рынке все острее в силу появления новых игроков и строительства новых, более крупных площадок. Правда, однозначного определения услуги colocation пока нет, и потому цифры ее доли рынка очень сильно разнятся в зависимости от источника, но в любом случае сами операторы коммерческих ЦОДов говорят о ее сокращении. Например, у компании Dataline доля colocation в доходах ее дата-центров в 2012 г. составляла порядка 70%, а в 2014 г. ожидается ее снижение до 55%. Компания КРОК уже в этом году заявляла о том, что доля colocation составляет лишь половину доходов от ее ЦОДов.

От colocation к VAS

В любом случае маржинальность бизнеса colocation снижается, что неизбежно заставляет дата-центры заниматься дополнительными сервисами, в том числе облачными, и если не кардинально менять стратегические планы своего развития, то как минимум корректировать их. Например, «ВымпелКом», как отметил его директор по маркетингу бизнес-сегмента Алексей Назаров, прекратил активные инвестиции в это направление, так как экстенсивное расширение площадей серверных залов уже нельзя считать экономически эффективным, а перспективным подходом к развитию ЦОДа становится продвижение более маржинальных облачных сервисов, в частности SaaS и IaaS, основой которых является инфраструктура дата-центров. По оценкам «ВымпелКома», абсолютный объем рынков SaaS и IaaS в России пока невелик: в 2012 г. он составил соответственно $42,5 млн и $9,0 млн. Однако среди всех облачных сервисов именно они имеют наибольший потенциал и в ближайшие три года скорость роста этих сегментов составит соответственно около 73 и 54% в год, а объемы в 2015 г. достигнут $153,9 млн и $54,9 млн.

Цифры роста впечатляют, но они могли бы быть и выше, если бы не разочарования пользователей, уже опробовавших облачные сервисы. Причем эти разочарования не всегда обоснованы. Понятно, что, обращаясь к облачным сервисам, компании хотят сэкономить на начальных инвестициях, т. е. на САРЕХ, сократить расходы на эксплуатацию и поддержку соответствующей инфраструктуры внутри организации, а также снизить совокупную стоимость владения (ТСО) своими приложениями. В числе ожидаемых бонусов от облаков стоит упомянуть и повышение гибкости ИТ-инфраструктуры, ее управляемости и прогнозируемости затрат на нее. Однако некоторые компании, внедрившие у себя облачные сервисы, заявляют, что не получили ожидавшегося выигрыша в затратах. По мнению А. Назарова, объясняется это слабой зрелостью облачной бизнес-модели у конкретных провайдеров и тем, что клиенты зачастую рассчитывают ТСО облачных сервисов за слишком короткий срок, а в более долгосрочной перспективе победителем все равно будет SaaS.

Кстати, для самих провайдеров дата-центров облачные сервисы выгодны не только тем, что существенно повышают финансовую отдачу от одной стойки, но и тем, что позволяют располагать сами ЦОДы в более «экономичных» регионах. Если многие клиенты colocation хотят регулярно навещать свое установленное в дата-центре оборудование и поэтому предпочитают размещать его в Москве (расстояние до Кремля в той или иной форме фигурирует в рекламе всех дата-центров, которые могут себе позволить с гордостью упомянуть эту характеристику), то большинству клиентов облачных сервисов в общем-то все равно, где находится ЦОД, лишь бы каналы связи обеспечивали бесперебойную работу и приемлемое время задержки. Правда, для многих крупных заказчиков, особенно государственных или из финансового сектора, обычно важно, чтобы дата-центр находился на территории России, но она весьма обширна. Поэтому облака могут наконец-то стать хорошим стимулом для строительства дата-центров в регионах, где дешевле электричество, недвижимость и кадры. Во всяком случае, сам «ВымпелКом» намерен в перспективе развивать облачные сервисы на базе своего ЦОДа в Ярославле.

Облака из коробки

Ну а пока облачные провайдеры базируются в Москве и Петербурге, и именно там расположены дата-центры компании ИТ-ГРАД, предлагающей сервисы своего публичного облака и услуги построения частных корпоративных облаков. Как отметил руководитель проектов ИТ-ГРАД Максим Едрец, бизнес обычно не думает о серверах, СХД и прочем железе, он мыслит категориями сервисов и приложений, а уж провайдер должен в ответ на задачу, поставленную бизнесом заказчика, правильно построить и масштабировать ИТ-инфраструктуру. Зачастую решение бывает очень нетривиальным, потому что, как правило, оно требует сложного компромисса между имеющимся бюджетом, производительностью приложений и нужным бизнесу уровнем сервиса и при этом должно обеспечить предсказуемость финансовых затрат в случае дальнейшего масштабирования построенной системы. Поэтому у облачного провайдера должна быть возможность управлять своей ИТ-инфраструктурой не просто на уровне отдельного сервера, серверной стойки или СХД, а на уровне всего аппаратного комплекса и программной инфраструктуры, в том числе платформы виртуализации.

Весь этот программно-аппаратный комплекс проще всего собрать не из разрозненных компонентов, пусть даже именитых производителей, а используя готовые решения, протестированные производителями и снабженные документацией с подробными руководствами по построению типовых ИТ-систем и развертыванию бизнес-приложений. Одно из таких решений – платформа FlexPod, которая протестирована не только поставщиками входящего в ее состав оборудования и ПО (СХД NetApp FAS, блейд-серверы Cisco UCS B-Series, коммутаторы Cisco Nexus и ПО управления Cisco UCS Manager), но и самим провайдером ИТ-ГРАД в его собственной инфраструктуре публичного облака. Внедрение этой хорошо масштабируемой платформы можно начинать с весьма скромных конфигураций (два сервера, шасси и управляющий модуль), а потом по мере роста потребностей наращивать емкости СХД и серверные мощности (управляющий модуль может обслуживать до 20 шасси и до 160 серверов). Причем, как подчеркивает М. Едрец, это открытая архитектура, позволяющая подключать к ней стороннее оборудование и интегрировать ее с инфраструктурой заказчиков.

Ну а если дата-центр крупный, и тем более если у оператора есть целая сеть ЦОДов, распределенная по стране, то имеет смысл в том же решении FlexPod или в другом известном «облаке из коробки» Vblock использовать систему управления Cisco UCS Director (ранее известную под названием Cisco Cloupia). Как подчеркнул системный инженер-консультант Cisco Евгений Лагунцов, эта система дает возможность управлять вышеупомянутым конвергентным решением, состоящим из серверов, СХД, сети и системы виртуализации, и даже несколькими такими решениями как единым целым на уровне политик использования и аппаратных, и программных ресурсов в облаке. Такой подход позволяет быстро предоставлять сервис IaaS, т.е. строить инфраструктуру по запросам пользователя или администратора на тот или иной сервис: в соответствии с заданными политиками и правилами физически создаются необходимые объекты и виртуальные машины, что существенно упрощает и ускоряет процессы внедрения и развертывания приложений, предоставления этим приложениям тех или иных ресурсов и их конфигурирования за счет автоматизации процессов с возможностью реализации сложных сценариев (таких, как создание логических томов на дисковых массивах, установка гипервизоров, настройка виртуальной среды и запуск приложений). Причем эти сценарии может запускать не только администратор, но и сам пользователь, выбирающий нужный ему сервис через портал самообслуживания (но политики предоставления сервиса определяет все же администратор). По заявлению Е. Лагунцова, при наличии готовой виртуальной инфраструктуры с серверами, СХД и гипервизором система UCS Director позволяет неподготовленному человеку, даже не читавшему документацию, создать, настроить и запустить полнофункциональное IaaS-облако буквально за час, причем со второго раза у него получится сделать это за 10–15 минут. Ну а если оборудование только что извлечено из коробок, то готовое облако с настройкой политик IaaS создается с помощью UCS Director часа за два, причем количество серверов не имеет значения. Правда, есть и оборотная сторона такой скорости и простоты внедрения: система UCS Director заточена под типовые решения с базовыми функциями IaaS и не предназначена для сложных сред, требующих серьезной кастомизации.

Безопасность и облака

Конечно, прежде чем «изготовить» облако (пусть даже это было легко и просто), создателю надо подумать о том, какие услуги это облако будет оказывать, причем лучше не ограничиваться классическими IaaS, SaaS и PaaS, но выбрать такие, которые либо позволят выделиться на рынке (в случае публичного коммерческого облака), либо обеспечат его дополнительные «усиленные» характеристики. В первую очередь речь идет о безопасности и защите от разного рода атак – ведь недостаточно высокий, по мнению потенциальных заказчиков, уровень безопасности данных и приложений является одним из основных сдерживающих факторов при переходе к облачным сервисам (причем это касается не только публичных и гибридных облаков, но и частных, где защиту организует хозяин облака).

Далее в рейтинге «облачных» опасений клиентов стоит гарантированность доступности приложений и реальная их производительность в облачных средах. Если рассматривать только публичные облака, то заказчиков также смущают привязка к провайдеру, сложности с управлением собственными приложениями, невозможность самому управлять уровнем безопасности, неочевидная экономия (или вовсе ее отсутствие) при сохранении той же производительности приложений, что и в собственном дата-центре, а также не всегда рациональные и даже просто панические страхи, связанные с сообщениями о разоблачениях Сноудена, работе системы PRISM и прочими действиями ЦРУ, ФБР, АНБ и остальной «мировой закулисы» (хотя российским пользователям стоило бы больше опасаться наших отечественных силовых трехбуквенных организаций).

Однако производители железа и ПО уже давно работают над проблемами уравнивания облачных и необлачных сред по таким параметрам как безопасность, производительность и управляемость приложений. И именно использование подобных решений, по мнению регионального менеджера Radware по России и СНГ Михаила Суконника, позволит крупным корпоративным клиентам строить в своих ЦОДах устраивающие их облака, а провайдерам публичных облачных сервисов – получать дополнительные доходы, предложив клиентам соответствующие услуги. Например, для борьбы с российским национальным видом спорта по организации DDoS-атак, а также атак на уязвимости и веб-приложения можно использовать системы Radware DefencePro, AppWall, Inflight и Vision. По заявлению компании, такое решение через 18 секунд после начала атаки вырабатывает динамическую сигнатуру с признаками данной атаки и начинает с ней бороться. Уже есть и российские инсталляции этих систем в корпоративных и коммерческих дата-центрах. В последнем случае провайдеры не только защищают свой ЦОД, но и предоставляют соответствующие услуги клиентам. На базе подобных систем можно построить и гибридное решение: крупная организация, имеющая свою собственную систему защиты «на каждый день», в случае очень мощных атак использует в качестве дополнения защитный сервис облачного провайдера. Аналогичная ситуация сложилась со средствами ускорения работы приложений облачного базирования с соблюдением SLA. Его может обеспечить система Radware Alteon, которая выполняет анализ состояния серверов и приложений, проводит балансировку трафика для оптимизации работы приложений (в том числе балансировку между разными дата-центрами) и ускоряет работу приложений за счет ТСР-мультиплексирования, кэширования, сжатия данных и других технологий.

Катастрофоустойчивость как сервис

Проблему безопасности данных и обеспечения доступа к приложениям в облаке можно решить и другим способом – путем создания катастрофоустойчивой облачной инфраструктуры. Такой сервис, в частности, предлагает компания DataLine, запустившая не так давно в эксплуатацию катастрофоустойчивое облачное решение СloudLine Metrocluster. Оно работает на базе двух московских дата-центров компании, соединенных оптоволоконным кабелем общей протяженностью 33 км. Как рассказал руководитель отдела виртуализации DataLine Эдуард Бавижев, в этих ЦОДах установлен единый отказоустойчивый кластер на базе блейд-серверов НР, СХД NetApp и ПО VMware vSphere, который способен восстанавливать работу при самых разных отказах своих узлов и элементов: в частности, при отказах сетевых каналов между дата-центрами, сети SAN и контроллера СХД, при частичном отказе физических серверов и полном отказе одного из двух дата-центров. Причем при отказах сетевых каналов, сети SAN и контроллера СХД время восстановления работоспособности приложений клиента фактически нулевое, поскольку для этого не требуется перезапуска виртуальных машин, а их переезд на другую площадку проходит незаметно для клиента. Отказ части физических серверов на одной из площадок потребует для преодоления последствий как минимум две минуты, необходимые для запуска операционной системы во втором ЦОДе. При полном отказе одного из дата-центров время восстановления сервиса составит около 15 мин, но, как пояснил Э. Бавижев, это вполне приемлемо, поскольку у реальных заказчиков катастрофоустойчивого сервиса СloudLine Metrocluster требования к восстановлению бизнес-критичных приложений после аварии обычно менее жесткие – 20–25 мин.

Облачный комплект

Спрос на катастрофоустойчивые решения пока характерен для продвинутых заказчиков, но облачный провайдер должен уметь работать и с теми клиентами, которые не могут или не хотят вникать в особенности ИТ-обеспечения их бизнеса. А значит, облачный провайдер должен иметь в портфеле не только IaaS- или SaaS-сервисы, но и услуги комплексного аутсорсинга ИТ-инфраструктуры заказчика вплоть до построения ее с нуля. У такого подхода немало преимуществ: клиент получает ИТ-инфраструктуру с унифицированным оборудованием и рабочими местами, причем для обслуживания этой инфраструктуры ему не требуются многочисленные квалифицированные специалисты – основной объем работ по обслуживанию берет на себя провайдер, обеспечивающий к тому же гарантированный уровень доступности сервисов в соответствии с заданным SLA.

Например, корпоративный облачный провайдер Cloud4Y даже ТЗ на проект пишет сам. По словам руководителя отдела маркетинга Cloud4Y Евгения Бессонова, от клиента требуются только общие контуры поставленной задачи и согласование написанного «по мотивам» этих контуров ТЗ. Такой алгоритм применялся при работе с заказчиком, который строил сеть частных клиник и желал сделать это в сжатые сроки, с минимальными рисками и с возможностью последующего масштабирования решения. При этом заказчик не хотел заниматься информатизацией клиник и не готов был тратить деньги и время на строительство помещений для серверных с ИБП, системами охлаждения, пожаротушения и т.п., на их оснащение ИТ-оборудованием, на организацию каналов связи и наем квалифицированного персонала для обслуживания всего этого хозяйства. Все эти функции вместе с предварительной разработкой ТЗ взял на себя провайдер: в каждую клинику был поставлен типовой набор серверного оборудования и ПО, по отказоустойчивой схеме были организованы резервированные VPN-соединения между клиниками и головным офисом, проведена настройка активного сетевого оборудования, сетей Wi-Fi, порядка 400 рабочих мест, оргтехники, IP-телефонии и облачной АТС. Вся эта инфраструктура была интегрирована с облаком провайдера, распределенным по двум дата-центрам и обеспечивающим гарантированный уровень доступности сервисов 99,9%, и подготовлена для аттестации на соответствие ФЗ-152 «О персональных данных». И при этом на запуск ИТ-инфраструктуры одной клиники уходило всего три недели.

Еще более крупный по количеству рабочих мест проект реализовала компания «Телеком-Защита»: в ФСК ЕЭС была создана система удаленного защищенного терминального доступа, обеспечивающая одновременную работу с централизованными корпоративными информационными ресурсами более чем 1000 сотрудников без тиражирования и установки клиентских приложений на их рабочие места. Любопытно, что задачи, поставленные перед разработчиками, напрямую конфликтовали друг с другом. Например, нужно было обеспечить одновременно и безопасность доступа, и удобство работы для пользователей через публичные сети, в том числе для филиалов компании с плохими каналами связи. Требовалось обеспечить высокую надежность построенной системы и при этом снизить операционные затраты; унифицировать доступ и централизовать управление конфигурациями клиентского ПО – и при этом реализовать поддержку различных устройств, в том числе мобильных, работающих под управлением разных операционных систем. Все это лишний раз подтверждает, что создание практически любой корпоративной ИС, в том числе облачной, требует целого ряда компромиссов.

Конечно, централизованный доступ ко всем корпоративным приложениям предполагает высокую надежность и отказоустойчивость всей системы, а это означает резервирование серверов, коммутаторов и дисков в СХД, наличие ЗИП и регламентов восстановления доступа при любых сбоях с автоматическим перемещением виртуальных машин, обеспечивающих работу пользовательских приложений. При этом заказчик, как и следовало ожидать, очень серьезно относился к информационной безопасности, и поэтому для согласования проекта системы со службой безопасности компании нужно было по всем правилам разработать концепцию ИБ, сформировать модели угроз, провести оценку рисков, в частности детальный анализ рисков доступа к корпоративной ИС с мобильных устройств, определить политики ИБ для разных категорий сотрудников с использованием межсетевых экранов, шлюзов и защищенных VPN с аутентификацией пользователей по логинам и паролям, личным сертификатам, ключам e-token и PIN-кодам. Как отметила директор по консалтингу «Телеком-Защиты» Мария Бартенева, проблемы защищенного удаленного доступа к корпоративным ИС должны решаться не локально на уровне отдельных подсистем, а глобально для всей системы в целом. Это экономит немало времени и при начальной разработке, и при внедрении новых ИС, для доступа к которым можно сразу применить готовое унифицированное решение. А кроме того, необходимо помнить, что система безопасности доступа не должна препятствовать удобному использованию сервисов.

К облаку для себя

Есть заказчики, которые нисколько не возражают против того, чтобы облачный провайдер написал за них ТЗ на проект переезда в облако, но есть и такие продвинутые клиенты, которые уже построили на своих корпоративных ИТ-ресурсах виртуальные среды и теперь стараются не только разобраться во всех тонкостях процесса переноса виртуальной инфраструктуры в частное облако, но и понять, что в результате реализации облачного проекта получит их бизнес в целом и его ИТ-подразделение в частности, какие технологические решения будут наиболее эффективными в конкретной ситуации, какая при этом произойдет трансформация ИТ-ресурсов и каких проблем можно ожидать при внедрении.

К таким въедливым заказчикам относится и небезызвестная компания ВГТРК. Как рассказал начальник управления сетевых и серверных технологий департамента ИТ Евгений Кукушкин, лет пять назад ИТ-подразделение ВГТРК начало создание нескольких виртуальных сред, чтобы сэкономить на обслуживании ИТ-инфраструктуры и повысить оперативность разворачивания ресурсов. В результате сейчас в ИТ-инфраструктуре работает порядка 300 виртуальных машин, которыми управляет всего один человек. Кроме того, за последние годы произошла консолидация ИТ-активов всех входящих в компанию телеканалов, радиостанций и интернет-проектов, после чего у бизнеса начали формироваться более серьезные требования к ИТ-ресурсам и качеству оказания услуг, а именно требования к доступности и оперативности развертывания приложений, к эластичности вычислительных сред. Затем по мере развития инфраструктуры и расширения присутствия в Москве и регионах возникла потребность в оказании ИТ-услуг в этой географически распределенной системе и приближения вычислительных мощностей непосредственно к точкам потребления ИТ-ресурсов, а некоторые бизнес-подразделения захотели сами управлять выделением и свертыванием тех или иных ИТ-ресурсов, не обращаясь с соответствующими заявками в ИТ-подразделение, – т. е. возникли предпосылки для создания полноценного частного облака.

Правда, сам бизнес, похоже, не очень беспокоится по поводу правильного названия для того, что он хочет получить, поскольку обычные подразделения компании уже привыкли к тому, что ИТ-отдел предоставляет им ИТ-сервисы чуть ли не «из розетки», но при этом заинтересованы в большей самостоятельности и свободе действий при заказе понятных им услуг и их получении из одного окна. Но сколько стоит та или иная ИТ-услуга, бизнес пока не понимает. По мнению Е. Кукушкина, облака не могут решить все проблемы взаимоотношений ИТ-отдела и основного бизнеса, но они могут помочь выстроить и сделать более прозрачными сервисные отношения между ИТ и бизнесом. Стоит отметить, что ИТ-отдел ВГТРК в деле оказания ИТ-услуг телевизионным и бизнес-подразделениям проявляет здоровый консерватизм, внедряя только те решения, которые позволяют как минимум не снизить уровень предоставляемых сервисов. Аналогичная ситуация с рассмотрением облачных перспектив: ИТ-подразделение сначала провело ревизию всех корпоративных информационных и вычислительных ресурсов и выделило те системы, которые не стоит рассматривать в качестве кандидатов на перенос в облако. В первую очередь это старые унаследованные системы, которые работают уже в архивно-справочном режиме. Переносить их программное обеспечение в облако очень сложно, если вообще возможно, тем более что их разработчики давно растворились во времени и пространстве. Кроме того, есть относительно новые ИС, которые теоретически можно перенести в облако, но финансовые и временные затраты на этот процесс намного превышают будущие выгоды и преимущества. Есть также специфические для телерадиоинтернетвещательной компании системы, которые лучше оставить в покое.

В общем, подход к новому способу предоставления ИТ-сервисов должен быть очень прагматичным. Если компания выносит в свое частное облако бизнес-критичные сервисы, то ее ИТ-инфраструктура должна соответствовать более высоким требованиям по отказоустойчивости и доступности. А это означает неизбежный рост капитальных затрат и ОРЕХ, так как усложнившееся хозяйство нужно будет обслуживать (правда, трудозатраты в расчете на одну виртуальную машину при этом уменьшатся). Обращение за сервисами к облачному провайдеру позволяет обойтись без крупных вложений в собственную ИТ-инфраструктуру, но накладывает определенные требования на формализацию бизнес-процессов, организацию системы защиты данных и приложений.

Облачному заказчику нужно также быть готовым к тому, что облако не столько изменит стиль работы его бизнес-подразделений (их сотрудники, кстати, могут вообще ничего не заметить), сколько трансформирует функции ИТ-отдела. Нынешние сисадмины должны будут думать не только о железе, сети и работе приложений, но и о том, как те или иные бизнес-сервисы перевести в облако и как настроить облачную среду под требования бизнеса.

В общем, облака требуют трезвого расчета, денег и грамотных специалистов, только тогда они могут стать экономически эффективными.