PS Cloud Services [PS.kz]

Привет, у нас обновился сайт.

Мы сохранили привычный функционал и добавили несколько нововведений в UX/UI-дизайне:

😅 Теперь вход в аккаунт пользователя находится в меню слева.
😅 Все настройки аккаунта пользователя перемещены в Консоль управления.
😅 Корзина и оформление заказов доступны и на сайте, и в Консоли управления. Путь от покупки до использования услуги стал короче и удобнее.
😅 Авторизация в системе и переключение между аккаунтами теперь происходят одновременно и на сайте, и в Консоли управления. Так стало проще и безопаснее.

В Консоли управления:

🥲 Появилась настройка уведомлений для владельца аккаунта и других доверенных пользователей.
🥲 Усиленная парольная политика — добавили возможность повышения безопасности аккаунта.

На сайте появилось несколько новых услуг: «Аренда стоек» в дата-центрах, «Облачные базы данных» и услуга пропуска трафика через «Единый шлюз доступа в интернет (ЕШДИ)». Услуга «VPS-хостинг» теперь доступна в Астане.

Ну, что, друзья, время хвастаться итогами года!

Вкратце:

1. Вышли на рынок Узбекистана.
2. Получили сертификацию PCI DSS.
3. Получили сертификацию KCSP.
4. Организовали конференцию по кибербезопасности.
5. Команда выросла до 170 человек.

Не вкратце — ниже.

Дата-центры – это база

– Мы вышли на рынок Узбекистана и подключили ЦОД к пиринговому центру TAS-IX для улучшения качества связи.
– Начали оказывать услуги в пятом дата-центре в Алматы.
– Значительно повысили отказоустойчивость ЦОДов благодаря модернизации аккумуляторов и дизель-генераторов.
– Установили новую систему хранения данных на десятки петабайт, подключили сотни собственных и клиентских серверов.
– Завершили очередной этап строительства собственного оптического кольца, объединяющего алматинские ЦОДы. Суммарная длина трассы — 34 км!
– Организовали стыки с оборудованием ЕШДИ и L2VPN-канал между Алматы и Астаной. Коллеги из госсектора, обращайтесь по вопросам безопасного соединения.

Безопасность превыше всего

– Сертифицировали 6 дата-центров и всё облако по стандарту ИБ PCI DSS 3.2.1 для хранения данных платежных карт.
– Прошли надзорный аудит по ISO/IEC 27001:2013 и СТ РК ISO/IEC 27001-2015. Двое сотрудников PS SOC получили сертификацию по ISO 27001.
– CISO Александр Пушкин — хэдлайнер этого года по ИБ — и его команда впервые организовали конференцию «Безопасность? Как вам удобно», где опубликовали первый в стране анализ рынка ОЦИБ.

Прогноз погоды: облачно

В алматинском регионе облака мы реализовали четыре новые конфигурации «Облачных серверов»:
– на базе высокочастотных процессоров Intel Xeon E-2388G,
– на базе AMD Ryzen 9 7950X,
– на базе графических ускорителей (список публиковали тут),
– а также «Bare Metal as a Service».

В Астане и Ташкенте появились сервисы «Объектное хранилище» и «Облачные базы данных» (там мы добавили Redis и PostgreSQL).

Красные шляпы, синие штурвалы

Мы не раз говорили о том, что наши инженеры регулярно проходят международную сертификацию, но сейчас сами удивились масштабам достижений.

Итого, Qazaq eline + 16 красных шляп:

+ 7 Red Hat Certified System Administrator;
+ 5 Red Hat Certified Specialist in Containers;
+ 2 Red Hat Certified Engineer;
+ 1 Red Hat Certified Specialist in Security: Linux;
+ 1 Red Hat Certified Specialist in Ceph Cloud Storage.

Команда синих штурвалов — специалистов по Kubernetes — получила +6 корочек Certified Kubernetes Administrator. Среди них есть триумфатор — Иван Суханов, ставший третьим в Казахстане обладателем звания Kubestronaut. А наша компания получила статус сертифицированного провайдера услуг Kubernetes (KCSP).

Партнёрство и нетворкинг

– Получили статус серебряного партнёра Linux Foundation.
– Стали официальными партнёрами Plesk.
– Обновили статус «Партнёр Битрикс24».

Подумали и завели собственную Партнёрскую программу. Мы хотим, чтобы вы зарабатывали с нами.

– Участвовали в 7 конференциях.
– 7 наших экспертов выступили на отраслевых конференциях.
– Стали техническими спонсорами 3 соревнований по кибербезопасности и системному администрированию.

Продукты широкого потребления

– Запустили в Узбекистане продажу лицензий Plesk и ispmanager, «Конструктор сайтов» и SSL-сертификаты.
– В Казахстане внедрили линейку доступных SSL-сертификатов от нового бренда GoGetSSL.
– Благодаря аккредитации ICANN мы начали регистрировать домены .COM, .NET, .ORG напрямую через глобальные реестры. Продолжаем удерживать лидерство по количеству зарегистрированных доменов в зоне .KZ.
– Запустили новый сервис кибербезопасности «Защита от DDoS-атак» по демократичным ценам.

1C: доступно всем

Отдельно отметим Алексея Гребенщикова, руководителя отдела услуг на базе 1С. Он запустил услугу «Готовые облачные серверы для 1С», которая избавляет бухгалтеров от множества проблем.

А ещё

А ещё мы переписали понятным языком SLA по продуктам и публичную оферту, оптимизировали алгоритмы обработки ваших обращений, обработали 50 000 тикетов и внедрили систему оценки наших услуг и технической поддержки.

Подавляющее большинство поставило 5/5.

Ура! С Новым годом, друзья. Спасибо, что вы есть.

А помните DevOpsDays в этом году? В 2025 году наша команда в Узбекистане договорилась с Proxima и CORE 24/7 провести DevOpsDays в Ташкенте!

С центральным оргкомитетом в devopsdays.org уже согласовали. Даты и детали уточним позже. Встретимся в Узбекистане, друзья.

*на фото Алексей Антошевский, наш суперадмин, выступавший на DevOpsDays Almaty 2024.

Третий в стране Kubestronaut — наш инженер

Иван Суханов, наш облачный инженер, добился незаурядных результатов в изучении Kubernetes. Он в течение полугода успешно сдал пять экзаменов разного профиля и заслужил международный статус «Kubestronaut». До Ивана в Казахстане было только двое специалистов такого уровня, а всего их в мире — 895.

Ивану 23 года, он пришел к нам еще во время обучения в университете. Первые шаги он сделал в службе технической поддержки, вскоре перешел в отдел развития облачной платформы, где полностью раскрыл свой потенциал инженера. В течение полугода он устроил «скоростное прохождение» Kubernetes, получив сертификации:

KCNA — основы работы с Kubernetes и облачной разработкой;
CKA — настройка и администрирование кластеров;
CKAD — разработка, деплой и настройка приложений в Kubernetes;
CKS — обеспечение кибербезопасности кластеров, сетей и контейнеров;
KCSA — управление сервисами и инструментами экосистемы Kubernetes.

Поздравляем коллегу и гордимся мощью его интеллекта!

Достижение Ивана еще раз подчеркнуло наше стремление к повышению экспертизы в Kubernetes — недавно мы стали сертифицированным провайдером K8s (KCSP). Если вы разрабатываете cloud native приложения, то знаете, куда можете обратиться за помощью.

Можно ли заправить летающую тарелку на АЗС Лукойл?

Нефтегазовый гигант Лукойл активно развивается на рынке Центральной Азии. Кроме Казахстана Лукойл планирует в ближайшие годы открыть в Узбекистане 100 АЗС в партнерстве с локальными франчайзи.

Лукойл пришел к нам с задачей: нужен региональный портал для франчайзи, в котором головной офис может контролировать ассортимент товаров и качество сервиса на каждой заправке.

Мы развернули в KZ и UZ единое приватное облако. Задачка со звездочкой, и наша команда справилась с ней за месяц. Особенно Лукойл отметил высокую скорость подключения франчайзи к порталу.

О том, как мы это сделали, рассказал наш коммерческий директор Александр Фролкин на конференции для ретейлеров в Узбекистане. Смотрите полное выступление по ссылке.

Короткий обзор на PS Cloud LBaaS

Сервис балансировщиков нагрузки нужен для построения отказоустойчивых приложений и распределения трафика по облачным или другим вычислительным ресурсам. В сервисе тарифицируются только ресурсы балансировщика и плавающий IP по фиксированной цене.

К балансировщику можно подключать как виртуальные машины (ВМ) «Облачных серверов» и «Кластеров Kubernetes», так и ресурсы, находящиеся за пределами платформы PS Cloud. В структуре сервиса есть следующие компоненты и методы:

Обработчик трафика

Принимает трафик и перераспределяет его по ресурсам. Для одного балансировщика можно создать несколько обработчиков с разными правилами балансировки.

Целевые группы и ресурсы

Это ВМ внутри сервисов PS Cloud и внешние ресурсы, по которым обработчик распределяет трафик. Для одного балансировщика можно создать несколько целевых групп с разными обработчиками, протоколами и методами балансировки.

Модуль проверки состояния

Компонент для получения сведений о состоянии ВМ и внешних ресурсов. Для одного балансировщика можно создать несколько типов проверок для разных целевых групп и ресурсов. При недоступности одного из узлов ресурса модуль перераспределяет трафик на другие узлы этого ресурса.

Типы проверки доступности

HTTP / HTTPS — проверяет доступность веб-приложений, анализируя ответ от сервера;
PING — проверяет узлы ресурса с помощью регулярных ICMP-запросов;
TCP — проверяет, устанавливается ли соединение по заданному TCP-порту;
TLS_HELLO — проверяет работоспособность SSL-сертификатов на узлах ресурса.

Протоколы балансировки

HTTP / HTTPS — для передачи веб-трафика;
TERMINATED_HTTPS — обеспечивает шифрование трафика на уровне балансировщика, предварительно нужно загрузить SSL-сертификаты и ключи шифрования;
TCP / SCTP / UDP — для передачи данных на транспортном уровне.

Методы балансировки

LEAST_CONNECTION — новые запросы поступают на узел ресурса с наименьшим количеством соединений;
ROUND_ROBIN — распределяет запросы по порядку;
SOURCE_IP — запросы от одного клиента попадают на один и тот же узел ресурса.

Описание балансировщиков в виде кода

Все указанные выше компоненты и методы можно описать в виде кода для удобства развертывания в облаке.

Пример применения балансировщика для онлайн-магазина

1. Разделите ВМ на целевые группы по функциям (например, витрина, корзина, оплата) и подключите их по внутренней сети к балансировщику.

2. Настройте обработчики трафика: TERMINATED_HTTPS для клиентов и HTTP для внутренних соединений. Загрузите ключ и сертификат для TERMINATED_HTTPS.

3. Выберите метод ROUND_ROBIN для равномерного распределения запросов.

4. Используйте проверки HTTP для состояния серверов и TLS_HELLO для контроля SSL.

Добавление репозиториев на mirror.ps.kz

В продолжение темы локальных зеркал: нас спросили, можем ли мы расширить стандартные репозитории Linux-дистрибутивов, в частности — Ubuntu для ARM.

Конечно, можем. Напишите нам в поддержку, какие именно дистрибутивы вам нужны. Мы свяжемся с мейнтейнерами репозитория и в течение 1-2 недель сделаем локальное зеркало.

Обратите внимание, что мы не реплицируем частные репозитории. Объемные дистрибутивы порядка нескольких терабайт публикуем только в том случае, если накопится достаточное количество заявок.

Пишите письма на [email protected]

P.S. Кстати, про ARM накопились вопросы, скоро зададим.

Вы установили SSL-сертификат?

Согласно закону РК «Об информатизации» каждый сайт должен быть защищен с помощью SSL-сертификата. Кроме того, защищенные сайты лучше индексируются в поисковиках и не отпугивают посетителей надписью: «Злоумышленники могут пытаться похитить ваши данные».

Просто напоминаем, что есть бесплатные сертификаты Let's Encrypt. Это проект Linux Foundation, его главная идея в том, чтобы сделать шифрование доступным для всех.

У нас SSL-сертификат Let's Encrypt включен в услуги:

✓ «Конструктор сайтов» — сертификат устанавливается автоматически;
✓ «Хостинг сайтов» и «Хостинг для CMS 1С-Битрикс» — установите по инструкции;
✓ «VPS-хостинг» — читайте инструкцию;
✓ «Virtuozzo Application Platform» — описано здесь.

Сертификат выдается на 3 месяца и продлевается автоматически в течение всего периода использования услуги.

Если вас интересуют SSL-сертификаты с расширенным функционалом, загляните сюда. Мы недавно запустили новую линейку от бренда GoGetSSL по демократичным ценам.

При создании облачного сервера (на Ubuntu 20/22, Debian 10/11, AlmaLinux 8) мы предлагаем предустановку приложений. Это позволяет быстро развернуть рабочие среды и сэкономить время на их настройке. Наиболее широкий выбор приложений представлен на Ubuntu 20.04 LTS:

— LAMP (Apache, PHP, MySQL/MariaDB, PhpMyAdmin, SFTP, Fail2Ban, Let's Encrypt);
— LAMP + Nginx;
— LEMP (Nginx, PHP, PHP FPM, MySQL, PhpMyAdmin, SFTP, Fail2Ban);
— Node.js (Nginx, Node.js, MongoDB, Express, Angular);
— Django (Nginx, Python, uWSGI);
— Docker Compose;
— Plesk или ispmanager (лицензии на панели приобретаются отдельно).

На CentOS 7.9 есть возможность предустановки 1C-Битрикс (веб-окружение, SFTP).

Если у вас есть пожелания, как расширить этот список, проголосуйте в опросе ниже или напишите сюда свой вариант.

Возможные конфигурации облачных серверов

Мы собрали в одном месте все доступные конфигурации (флейворы) облачных серверов. Выбор флейвора обусловлен типом задачи и вопросом: что вам важнее — быстрая масштабируемость или использование выделенных ресурсов.

1. Высокочастотные (флейвор f1)

На базе Intel Xeon E-2288G 3.7 GHz, 100% использование ресурсов. Конфигурация подходит для выполнения однопоточных задач с минимальным временем отклика: 1С, Битрикс24, базы данных, OLTP-приложения.

2. Высокочастотные + (флейвор f2)

Intel Xeon E-2388G 3.20 GHz с гарантированным использованием всех ресурсов. Подходит для CRM-систем, баз данных и веб-приложений с активным пользовательским взаимодействием.

3. AMD (флейвор a1)

AMD Ryzen 9 7950X 4.5 GHz, также с полным использованием ресурсов. Конфигурация отличается высокой производительностью и предназначена для многозадачных приложений (виртуализации, рендеринга, стриминга и прочих).

4. Bare metal (флейвор i1)

Физические серверы без виртуализации (на базе Intel Xeon E5-2699 v4 2.20 GHz, E5-2680 v4 2.30 GHz, E5-2620 v3 2.40 GHz). Конфигурация обеспечивает высокую производительность и безопасность, оптимальна для крупных корпоративных баз данных и финансовых приложений.

5. Общего назначения (флейвор d1)

Отличительное преимущество конфигурации: гибкое и быстрое масштабирование ресурсов для обработки пиковых нагрузок на веб-приложения. При этом мы гарантируем 25% от виртуального ядра.

А еще мы тестируем линейку конфигураций с GPU (NVIDIA RTX A2000, Tesla T4, RTX 2080 Super, RTX A4000 и др.) для интенсивных вычислений. Если вы занимаетесь машинным обучением или обработкой графики, обращайтесь: [email protected]

Локальные зеркала Linux-дистрибутивов в Казнете от PS.KZ

Друзья, сегодня делимся полезной информацией для тех, кому важна скорость. Уже много лет мы поддерживаем локальные зеркала для большинства Linux-дистрибутивов: Ubuntu, Debian, CentOS, AlmaLinux, Rocky Linux, Alpine, Fedora и многих других. Мы находимся в списках рекомендованных зеркал нашего региона на официальных сайтах различных дистрибутивов.

Настройка локальных зеркал позволит ускорить обновление систем в несколько раз. Наше публичное зеркало находится по адресу ➡️https://mirror.ps.kz/

🛸PS: Локальные зеркала серверов — это копии репозиториев, созданные для повышения скорости доступа к основным серверам обновлений. Локальные зеркала повышают отказоустойчивость, предоставляя доступ к данным в случае недоступности основных зеркал.

Помогаем мигрировать в Kubernetes

Вышел пресс-релиз CNCF с упоминанием PS Cloud Services в перечне новых партнеров. Напоминаем, что в этом году мы получили статус «Kubernetes Certified Service Provider» и Silver Member в организации CNCF, развивающей Kubernetes и другие Open Source-проекты. Несколько инженеров нашей компании, оказывающих платную техподдержку в рамках услуги «Администрирование серверов», являются обладателями сертификатов «Certified Kubernetes Administrator».

Что означает наш новый статус на практике — рассказываем на примере свежего кейса.

Один наш клиент «вырос» из традиционной серверной архитектуры и искал решение, которое позволило бы динамически масштабировать приложения и минимизировать простой при обновлениях и сбоях. Мы предложили мигрировать в Kubernetes, что позволило бы клиенту добиться необходимых целей по масштабируемости, отказоустойчивости и автоматизации процессов. Процесс работы включал в себя:

1. Аудит и документирование текущей инфраструктуры
Мы провели полный анализ всех сервисов и их взаимодействий. Это дало нам чёткую картину того, какие приложения требуют доработки перед переносом в Kubernetes.

2. Определение требований к масштабируемости и отказоустойчивости
Мы вместе с клиентом определили, какие приложения должны масштабироваться в зависимости от нагрузки и какие из них необходимо защищать с помощью резервных копий.

3. Подготовка приложений
Мы убедились, что все приложения можно разделить на stateless и stateful. Для stateless приложений процесс перехода был проще, а для stateful мы проработали решение по сохранению их состояния.

4. Контейнеризация приложения
Мы распределили приложения по контейнерам для легкого управления его развёртыванием и обновлениями.

5. Проектирование системы логирования и мониторинга
Мы внедрили централизованную систему сбора логов и мониторинга Grafana + Loki + Promtail, что позволило клиенту отслеживать все процессы в реальном времени и быстро реагировать на возможные сбои.

6. Автоматизация CI/CD
Настроили автоматизированные процессы развертывания и тестирования приложений с помощью ArgoCD, что значительно ускорило цикл релизов.

7. Создание манифестов Kubernetes
Для каждого сервиса были разработаны манифесты для деплоя в кластер. Мы провели тестирование развертываний, убедившись в их стабильности.

8. Тестирование под нагрузкой
Мы провели нагрузочные тесты и смоделировали сбои нод кластера, чтобы убедиться, что приложение сможет продолжать работу даже при отказах отдельных компонентов системы.

9. Постепенная миграция приложений
Мы начали с переноса dev-среды в Kubernetes, что позволило клиенту тестировать новые функции и обновления в безопасной среде. Затем поэтапно были мигрированы рабочие приложения с возможностью отката к предыдущей инфраструктуре на случай непредвиденных проблем.

Результат

После успешного завершения миграции клиент получил систему, которая полностью отвечает его требованиям по отказоустойчивости и масштабируемости. Теперь его разработчики могут:

1. Автоматически разворачивать новые версии приложений с помощью ArgoCD.
2. Откатываться к предыдущим версиям без длительных простоев.
3. Динамически масштабировать приложения в зависимости от нагрузки с помощью Horizontal Pod Autoscaling.
4. Автоматически поддерживать необходимое количество копий приложений и перезапускать их в случае сбоя.

На период миграции клиенту не пришлось останавливать бизнес, и для конечных пользователей переход произошел незаметно. Кроме того, мы не берем оплату за ресурсы новой инфраструктуры до полного завершения проекта.

Если вам нужна консультация по миграции в Kubernetes или любым другим вопросам, связанным с администрированием инфраструктуры, обращайтесь к нашим экспертам.

Друзья, на этом турне Антошевского не заканчивается. Уже в субботу он выступит на Open SysConf 2024 с докладом «Три системы, которые ты захочешь развернуть и настроить».

Конференция Open SysConf — это местный IT-андеграунд (по меткому выражению коллег из Profit) и наш давний партнер. Регистрация открыта, присоединяйтесь.

Когда: 12 октября, с 10:00 до 20:00.
Где: ул. Байзакова, 280 (SmArt.Point, зал: Amphitheatre).

Продолжение цикла лекций Алексея Антошевского «Облака для самых маленьких‎»‎

Алексей Антошевский — Senior System Administrator, RHCA, обладатель черного пояса по Linux-администрированию — задает правильный вектор в обучении и эксплуатации облачных инфраструктур.

Часть 2.1 Золотой образ

С чего начинается работа любого сервера? Правильно, с установки операционной системы. Но поскольку мы находимся в облаке, традиционной установки ОС не будет. В облачной среде инстансы разворачиваются на основе готовых или кастомных образов операционных систем. Из этих образов создаются тома (volume), на которых поднимаются инстансы — процесс, известный как image-based provisioning.

Хотя образы одинаковы, у каждого инстанса могут быть свои особенности, и их нужно настроить. Эта задача выполняется с помощью системы cloud-init.

Предварительная настройка инстансов

Cloud-init — это система инициализации облачных инстансов, встроенная во все образы для работы в облаке. На входе она получает конфигурационные данные, метаданные от вендора и пользователя, после чего настраивает инстанс в соответствии с ними. Процесс настройки включает пять этапов.

1. Cloud-init определяет, нужно ли запускаться при загрузке.
2. Система настраивает источники метаданных и применяет сетевые настройки.
3. Начинается использование пользовательских данных, происходит настройка дисков и монтирование файловых систем.
4. Выполняются модули cloud-init, которые не влияют на другие этапы загрузки.
5. Устанавливаются пакеты, запускаются SCM-инструменты и пользовательские скрипты.

Способы конфигурирования инстансов

Весь этот процесс нужно контролировать, чтобы инстанс соответствовал нашим требованиям.

Для конфигурации инстансов есть несколько вариантов. Один из них — использование модулей cloud-init. Они позволяют хранить конфигурации в YAML-файлах и охватывают большинство задач по локальной настройке системы. Однако есть и недостатки: сложность отладки и обработки исключений — если важно получить рабочий сервер с первого раза.

Другой вариант — использование кастомных скриптов. Они работают аналогично модулям cloud-init, но также могут быть сложными в поддержке. Третий вариант — внешние инструменты управления, такие как AWX (Ansible Tower), Puppet, Chef и т.д. Они предоставляют большие возможности для обработки исключений и выполнения операций второго дня, но добавляют дополнительную точку отказа.

Создание золотого образа

Вернемся к образам. На прошлой лекции мы уже говорили о дилемме baking vs frying. Мы выберем золотую середину: подготовим образ заранее, но так, чтобы его можно было быстро настроить при развертывании. Для этого можно использовать GitLab CI и автоматизировать сборку «золотого образа».

В медиаиндустрии «золотой образ» — это финальная версия альбома или фильма, завершённая после всех правок и монтажа. В администрировании — это эталонный снимок системы, который позволяет быстро и с минимальными усилиями разворачивать инстансы. Он ускоряет процесс развертывания, снижает риск ошибок и упрощает управление обновлениями и безопасностью. Такой образ помогает поддерживать согласованность конфигураций в облаке, обеспечивая стабильность и контроль над системой на протяжении ее жизненного цикла.

Процесс сборки образа выглядит так: берем базовый образ, запускаем кастомизацию — это базовые настройки системы, безопасность, установка репозиториев и необходимых пакетов. Затем образ сжимается, преобразуется в нужный формат и загружается в OpenStack. Все версии программ, которые могут понадобиться, будут установлены в образ заранее, а конечная настройка будет производиться при развертывании инстанса на основе метаданных и внешних инструментов, таких как AWX.

Об Ansible-плейбуках, резервном копировании и провиженинге managed-сервиса 1С Алексей рассказал на DevOpsDays — вот полная запись доклада.

Продолжение цикла лекций Алексея Антошевского
«Облака для самых маленьких‎»‎

Алексей Антошевский — Senior System Administrator, RHCA, обладатель черного пояса по Linux-администрированию — задает правильный вектор в обучении и эксплуатации облачных инфраструктур.

Часть 1.2. Cloud native: краткое пособие по скотоводству

Не каждый сервер или приложение может считаться cloud native. Это сильно зависит от подхода к настройке сервера и построению приложения. До венца эволюции под названием «cloud native» есть несколько подходов — вручную, с помощью системы управления конфигурациями, описание инфраструктуры в виде кода. Каждый подход имеет право на существование, но чем больше соответствие cloud native, тем эффективнее использование облака.

Ручная настройка

Настройка сервера вручную — это самый быстрый и простой способ, но он приводит к проблеме «сервера-снежинки». Уникальная и хрупкая настройка такого сервера известна обычно только тому, кто ее выполнял, и повторить ее сложно. Часть этой проблемы можно решить настройкой сервера скриптами, но этот метод не гибкий.

Управление конфигурациями (SCM)

Системы управления конфигурациями, например, Ansible, лучше справляются с серверами-снежинками, но и здесь возникают сложности. Одна из них — конфигурационный дрифт. Это ситуация, когда тестовые изменения вносятся в обход системы автоматизации, из-за чего система становится не консистентной. Впоследствии запуск автоматизации вызывает страх, что она что-то сломает.

Инфраструктура как код (IaC)

Использование подхода «инфраструктура как код» отчасти решает эту проблему. Мы декларативно описываем состояние инфраструктуры, а инструменты вроде Terraform или OpenStack Heat приводят систему в это состояние. Но и тут есть свои нюансы. При работе с облаком нет понятия установки операционной системы: инстансы запускаются из образов. Возникает дилемма. Образ, из которого мы запускаем инстанс, можно подготовить заранее — этот процесс называется «выпекание». Альтернатива ему — «прожарка»: взять образ чистой ОС, запустить его и настроить.

«Выпекание» подготовить порой затруднительно, примерно так же, как «выпечь» свой докер-образ: выполнить все инструкции, собрать в образ и запустить — любое изменение будет очень сложно внести. В случае с «прожаркой» мы можем легко вносить изменения в процесс, но поднятие готового инстанса будет занимать дольше времени. Нужен консенсус, чтобы было все быстро и гибко.

Иммутабельная инфраструктура: от питомца к стаду

К тому моменту, когда мы научимся описывать инфраструктуру кодом, у нас поменяется подход к серверам. Когда мы знаем, как настроен каждый сервер, когда они ломаются, а мы на них заходим и чиним — мы относимся к ним, как к своим «питомцам». В облаках мы относимся к серверу, как к голове в «стаде скота». И глобально нас волнует только то, каким образом это «стадо» выполняет свою работу, сколько ресурсов оно потребляет. Мы всегда подстраиваем его под состояние, которое нам нужно.

В этом и заключается «cloud native». Начать практику вы можете прямо сейчас, у нас в PS Cloud.

Кроме того, в пятницу Алексей раскроет тему подробнее в докладе «50 оттенков жёлтого: пилим кастомный SaaS на базе OpenStack» на конференции DevOpsDays'24. Все билеты уже распроданы, но вы сможете подключиться онлайн.

⭐️ Спикер #5 на DevOpsDays Almaty'24 — Алексей Антошевский, Senior Linux Engineer, RHCA.

Алексей занимается автоматизацией и участвует в создании облачных услуг в PS Cloud Services.

В своем докладе Алексей расскажет, как устроены сервисы в облаке на примере сервиса для 1С: какой процесс видит пользователь и что происходит со стороны провайдера.

Также Алексей затронет тему синтетических тестов производительности 1С, поговорит о дилемме baked vs fried, о подготовке образа и cloud init, а также о роли AWX (Ansible Tower) в создании сервиса. ✨

👉🏻 Регистрируйтесь на DevOpsDays Almaty’24 и не пропускайте ни одного докладчика — интересного будет много.

#devops #devopsdays #speakers

@devopsdayskz

🥇 Золотой спонсор DevOpsDays Almaty 24 — PS Cloud Services

PS Cloud Services — независимый казахстанский облачный провайдер, размещает оборудование в 7-ми дата-центрах в Алматы, Астане и Ташкенте. За 20 лет работы на рынке стал партнером значительной части Казнета.

Предоставляет сервисы на базе собственной облачной платформы PS Cloud, услуги SOC/ОЦИБ, все виды веб-хостинга, лицензии на ПО.

🤝 Такое партнерство поможет объединить опыт и знания, а также обменяться передовыми практиками и идеями — всё это послужит на благо казахстанскому DevOps-сообществу.

👉🏻 Регистрируйтесь на DevOpsDays Almaty’24 и будьте готовы к мощному контенту, полезным знакомствам и крутому нетворкингу — интересного будет много.

#devops #devopsdays #partners

@devopsdayskz

Друзья, нам исполнился 21 год! И пролетевший год был очень продуктивным.

Мы начали оказывать услуги классического и облачного хостинга в Узбекистане, стали официальным регистратором доменов в зоне .UZ и продолжаем расширять список сервисов. Вместе с нами на рынок вышли наши давние клиенты и оценили привычно высокое качество нашей работы.

В шести дата-центрах Казахстана и Узбекистана, а также в облачной платформе PS Cloud, мы создали условия для соответствия требованиям международного стандарта безопасности индустрии платежных карт PCI DSS 3.2.1. и получили соответствующие сертификаты. Несколько крупных финансовых организаций, разместив у нас инфраструктуру, выполнили до половины требований стандарта, значительно сэкономили на сертификации и снизили риск утечки данных своих клиентов.

Мы стали серебряным партнером Linux Foundation, Cloud Native Computing Foundation и сертифицированным провайдером услуг Kubernetes (KCSP). Таким образом, наши специалисты в очередной раз подтвердили свою экспертизу в администрировании Kubernetes и сопровождении клиентских проектов.

Еще мы запустили услуги в пятом дата-центре в Алматы и соединили все дата-центры в городе собственным оптоволокном, запустили сервис защиты от DDoS-атак, тестируем новую услугу аренды облачных серверов для 1С. И это — только крупные вехи минувшего года.

Спасибо вам за то, что нам есть, ради кого развиваться такими темпами. Спасибо, что вы с нами!

PS Cloud Services — сертифицированный провайдер услуг Kubernetes

Что общего между Боинг, Нетфликс, университетом Принстон, ИКЕА, Эфириум, БиБиСи и правительством Его Величества Карла III? Эти и сотни других организаций состоят в Linux Foundation (LF), консорциуме, который поддерживает разработку и распространение открытого ПО.

Членство в консорциуме можно получить, обладая большими деньгами или глубокой экспертизой. Фонд Cloud Native Computing Foundation (CNCF), одно из направлений деятельности LF, занимается поддержкой облачных технологий, включая Kubernetes, и сертифицирует лучших облачных провайдеров по всему миру.

Теперь мы в их числе. PS Cloud Services — серебряный партнер Linux Foundation и CNCF, сертифицированный провайдер услуг Kubernetes (KCSP). Мы гордимся новой победой и рады поделиться ею с вами.

Если вы разрабатываете cloud native приложения, обращайтесь за консультацией к нашим экспертам. Команда Certified Kubernetes Administrator поможет минимизировать операционные риски, повысить производительность вашей инфраструктуры и оптимизировать процессы DevOps.

Облачный вебинар в Узбекистане

Друзья, напоминаем, что в прошлом году мы начали оказывать услуги в Узбекистане. Наши соседи активно развивают цифровую инфраструктуру и выражают живой интерес к облачным технологиям. В связи с этим мы подготовили вебинар, на котором поделимся опытом, полученным за годы развития облака в Казахстане.

Завтра, 27 июня в 15:00, мы расскажем:

— что такое облака, и как они помогают бизнесу расти;
— почему облака — это следующее поколение хостинга;
— для какого бизнеса подходят облака;
— как сократить капитальные расходы на хостинг IT-инфраструктуры.

Если вы планируете развивать бизнес в Узбекистане, приглашаем вас послушать выступления наших специалистов. Подарок каждому участнику вебинара — 1 000 000 сумов в виде бонусов на новый облачный проект.

Регистрация на вебинар по ссылке.

Мы сертифицировали все ЦОДы и облако по PCI DSS

С гордостью сообщаем, что мы завершили процесс сертификации всех дата-центров Казахстана и Узбекистана по стандарту PCI DSS 3.2.1. Теперь этому стандарту соответствует большинство наших услуг: размещение и аренда серверов, вся облачная платформа PS Cloud — IaaS, K8saaS, DBaaS, LBaaS — облачные VPS, объектное хранилище и Virtuozzo Application Platform.

Для справки: PCI DSS, «Payment Card Industry Data Security Standard», учрежден международными платежными системами (VISA, MasterCard и прочими) для защиты данных платежных карт. Его соблюдение обязательно для компаний, которые обрабатывают, хранят или передают данные карт, по условиям международных платежных систем (Visa, MasterCard и другие). Клиенты компаний, соответствующих PCI DSS, могут безопасно проводить транзакции и значительно снизить риск утечки платежных данных.

Получение сертификации включает детальный аудит более 600 контрольных пунктов по всем аспектам безопасности данных: защищенности сетей, управления уязвимостями, контроля физического и сетевого доступа, шифрования данных, поддержки политики ИБ, мониторинга и тестирования. Размещая IT-инфраструктуру у нас, в зависимости от выбранного типа хостинга, вы автоматически выполняете до половины требований PCI DSS. Ниже вкратце описаны наши зоны ответственности.

Ограничение физического доступа к данным

Физический доступ к помещениям дата-центра ограничен устройствами считывания электронных бейджей и механическими замками. Все сотрудники и посетители идентифицируются, доступ к системе идентификации имеют только сотрудники дата-центров. Камеры видеонаблюдения контролируют помещения дата-центров и защищены от взлома и отключения. Доступ к сетевому и коммуникационному оборудованию строго ограничен.

Установка и поддержка межсетевого экрана

Все системы защищены от неавторизованного доступа из недоверенных сетей. Межсетевой экран анализирует весь сетевой трафик и блокирует соединения, не соответствующие критериям безопасности. Входящий и исходящий трафик ограничен только необходимыми соединениями для среды держателей карт. Прямой публичный доступ между интернетом и системными компонентами запрещен. Внедрены меры против подмены IP-адресов (антиспуфинг).

Изменение параметров по умолчанию

Учетные записи, системные пароли и прочие параметры ПО, заданные производителем по умолчанию, легко доступны для злоумышленников. Поэтому мы меняем все дефолтные параметры и устраняем известные уязвимости до установки подсистем в дата-центры.

Антивирусная защита

На всех системах установлено антивирусное ПО, которое обнаруживает и удаляет известные виды вредоносов. Антивирусные механизмы регулярно актуализируются, периодически сканируют системы и сохраняют журналы событий.

Контроль доступа к сетевым ресурсам и данным

Система автоматически генерирует журналы событий и позволяет отслеживать подозрительную активность пользователей. Регистрируются все действия пользователя с неограниченными правами (root) и административными привилегиями, а также создание и удаление объектов системного уровня. Журналы событий безопасности проверяются ежедневно.

Тестирование систем безопасности

Системные компоненты, процессы и стороннее ПО регулярно тестируются на соответствие свежим требованиям к безопасности. Выполняется внешнее и внутреннее сканирование сети на наличие уязвимостей раз в квартал и после значительных изменений в сети (например, установки новых компонентов, изменения сетевой топологии или обновления продуктов).

Кроме того мы разделяем с клиентом еще несколько зон ответственности: безопасное хранение данных, шифрование данных при передаче через общедоступные сети, аспекты разработки безопасных приложений, идентификацию пользователей и соблюдение политик ИБ. Подробности вы сможете узнать при обращении в отдел продаж: [email protected].

Как устроена тарификация PAYG в PS Cloud?

PAYG — («Pay-As-You-Go», оплата по мере потребления) — общепринятая для облачных сервисов модель тарификации. PAYG аналогична оплате электроэнергии по счетчику. Клиент оплачивает только те ресурсы, которые он использовал, без расходов на резервирование оборудования. В итоге клиент получает выгодное персонифицированное предложение, а провайдер — оптимизацию мощностей.

Облачная платформа PS Cloud — это совокупность сервисов «Облачные серверы», «Облачные базы данных», «Балансировщики нагрузки» и «Кластеры Kubernetes». Для клиента все эти сервисы — набор базовых ресурсов: ядра процессора, оперативная память, диски и IP-адреса. Характеристики и сочетания ресурсов могут отличаться, но суть всегда одна и та же:

PS Cloud = CPU + RAM + DISK + IP

Из этого набора ресурсов клиент может конструировать IT-инфраструктуру любой конфигурации:

1 CPU + 1 RAM + 1 DISK + 1 IP

Добавлять ресурсы, когда появляется необходимость:

2 CPU + 2 RAM + 2 DISK + 2 IP

Отключать лишние ресурсы, когда потребность в них исчезает:

1 CPU + 2 RAM + 1 DISK + 2 IP

В ряде случаев используется пятый ресурс — виртуальная машина или экземпляр (INSTANCE). По сути, это все те же 4 ресурса, объединенные в неразборную конструкцию.

INSTANCE = (CPU + RAM + DISK + IP)

Масштабирование экземпляров возможно только целиком. До масштабирования:

1 INSTANCE = 1 (CPU + RAM + DISK + IP)

После масштабирования:

2 INSTANCE = 2 (CPU + RAM + DISK + IP)

На странице сервиса «Облачные серверы» есть калькулятор цен, в котором можно прогнозировать потребление ресурсов. Точная сумма формируется ежечасно по факту потребления и отражается в разделе «Расходы» консоли управления облачным проектом.

Оплата потребленных ресурсов автоматически списывается с баланса облачного проекта каждый час. Если баланса недостаточно на момент списания, то услуга приостанавливается. Для того, чтобы этого не происходило, мы настроили систему уведомлений. Система прогнозирует исчерпание баланса и отправляет оповещения за две недели, неделю, три дня и сутки.

(продолжение)

3. Распределенные сетевые атаки.

‣ Fan-in (many IPs to one IP). Множество источников атакует и перегружает одну цель.
‣ Fan-out (one IP to many IPs). Один источник направляет трафик на множество целей для разведки уязвимостей или создания отвлекающего маневра
‣ Swarms (many IPs to many IPs). Скоординированная атака множества источников по множеству целей для создания массового хаоса.
‣ Multiple targets attacks. Как скоординированные, так и непоследовательные атаки по различным целям, направленные на манипуляцию защитными ресурсами.

4. Атаки разной продолжительности и интенсивности.

‣ Long persistent attacks. Продолжительные атаки, создающие постоянную нагрузку на цель.
‣ Pulsed attack. Чередование активной фазы атаки с периодами покоя.
‣ Slow evolving attacks. Атаки с постепенным нарастанием интенсивности, что делает их менее заметными для систем мониторинга на ранней стадии.
‣ Low-rate attacks (from 1000 pps/10 Gbps). Атаки с низкой скоростью отправки пакетов, маскирующиеся под легитимный трафик.

Сервис «DDoS Secure» блокирует все эти атаки, автоматически адаптируясь к их методам в течение 25 секунд после обнаружения.

Новая услуга «DDoS Secure» против разных типов DDoS-атак

Разновидностей DDoS-атак много, и злоумышленники комбинируют их для нанесения наибольшего урона цели. Вот четыре распространенные тактики.

1. Прямые объемные атаки.

‣ High packet rate. Генерация большого количества пакетов за короткий промежуток времени.
‣ Small packet size or large packet size. Использование очень маленьких или очень больших пакетов для нарушения обработки трафика сетевыми устройствами или переполнения канала связи.
‣ L3/L4 UDP attacks. Отправка большого количества UDP-пакетов для перегрузки целевого сервера, так как UDP не требует установления соединения.
‣ ICMP (including echo request, echo reply, unreachable). Запросы ICMP, например, ping, вынуждают цель отвечать на массовые запросы.
‣ L2/L3 floods (IGMP, SSDP, CHARGEN, QOTD, BT, Kad). Перегрузка сети путем генерации множественных пакетов с использованием различных протоколов сетевого уровня.

2. Сложные атаки на протоколы и манипуляции с пакетами.

‣ L3/L4 TCP attacks (SYN, FIN, ACK, RST, invalid flag combinations). Эксплуатация TCP-протокола, например, создание фиктивных сессий (SYN flood) или неправильное использование флагов для сбоя обработки пакетов.
‣ Attacks involving fragmented packets, truncated or malformed packets. Отправка не полностью сформированных или некорректных пакетов для вызова ошибок и перегрузки в системе обработки данных.
‣ Fragmented packet floods (Frag. UDP Flood, Frag. TCP ACK flood, Frag. ICMP Flood). Перегрузка сети путем генерации фрагментированных пакетов, что заставляет цель тратить ресурсы на их пересборку и обработку.
‣ IP spoofing attacks. Подделка IP-адресов отправителя для обмана целевой системы или скрытия истинного источника атаки.
‣ Amplification attacks (DNS NTP, SNMP, LDAP). Использование уязвимостей в протоколах для многократного усиления объема атакующих данных.

(продолжение следует)

📢 Новые видео на нашем YouTube канале! 🎥

Друзья, мы рады представить вам два новых полезных ролика по услуге «Хостинг сайтов». Темы видео подсказали наши коллеги из контакт-центра. Они в курсе, с какими вопросами чаще всего обращаются наши клиенты.

🎬 В первом видео вы узнаете, как эффективно управлять доступами к вашим доменам и сайтам в панели управления Plesk. Мы подробно описали все этапы настройки, чтобы вы могли легко освоить этот процесс.

🔗 Ссылка на видео: Как настроить доступы на хостинге сайтов

🎥 Во втором видео мы рассказали, как создавать резервные копии своего сайта. Это важный шаг для обеспечения безопасности и сохранности вашего онлайн-присутствия.

🔗 Ссылка на видео: Как настроить резервное копирование на хостинге сайтов

Повышайте надежность вашего веб-пространства с нашими видеоуроками! Подписывайтесь на наш YouTube канал. 🚀👨‍💻

O'zbekistonga xush kelibsiz!

Добро пожаловать в Узбекистан!

Мы рады сообщить, что наша компания начала оказывать услуги в Узбекистане. В новом регионе мы обеспечиваем привычный для казахстанских клиентов высокий уровень сервиса. Предлагаем удобный интерфейс управления услугами.

Наши услуги:

— Облачные серверы;
— Облачные VPS;
— Хостинг сайтов;
— Конструктор сайтов;
— Регистрация доменов в зоне .UZ (официальный регистратор).

По услугам Colocation и Dedicated мы предлагаем индивидуальные решения для каждого клиента.

С ценами можно ознакомиться на нашем сайте pscloud.uz. Мы активно расширяем ассортимент наших услуг, чтобы предложить клиентам в новом регионе полный набор сервисов нашей компании.

Оплата принимается в узбекских сумах, платежными картами или банковским переводом.

Техническую поддержку клиентов оказывают наши специалисты, готовые помочь в любое время 24/7.

Контакты:

Узбекистан: +998-55-520-20-30
Казахстан: +7-727-388-82-31.
Почта: [email protected]

В прошлом году наша компания отметила двадцатилетие на рынке Казахстана. Юбилей совпал с нашим решением расширить присутствие на рынок Республики Узбекистан. При учете динамичного развития цифровой инфраструктуры соседней страны мы создали необходимую инфраструктуру в Ташкенте летом 2023 г. Осенью начали предоставлять услуги: пользуется спросом облако, растут регистрации доменов в зоне .UZ

Будьте в курсе новостей и делитесь этой информацией.

Profit Cloud Day пройден

На конференции Profit Cloud day мы показали панель управления, раздали подарки, послушали саксофон и выяснили, что у людей по-прежнему много вопросов об устройстве облаков. И это хорошо, будем рассказывать дальше.

Тех из вас, кто не смог присоединиться к нам в пятницу, приглашаем пересмотреть конференцию на YouTube:

— панельная дискуссия с участием нашего CEO, Никиты Красулина;
— презентация панели управления облачными услугами от Василия Кечина;
— полная запись конференции от организаторов.

Всем спасибо, друзья! До следующих встреч.

Друзья, напоминаем, что конференция Profit Cloud Day пройдет уже в эту пятницу. Приходите, пообщаемся, расскажем про удобства нашей панели управления облачными услугами.

Дата: 15 марта, 9:20 (GMT +05:00)

Офлайн: Алматы, InterContinental, ул. Желтоксан, 181

Онлайн: на YouTube канале Profit Kazakhstan

Для офлайн-участия в конференции регистрируйтесь по ссылке https://profitday.kz/cloud

#обновления в Консоли PS Cloud Services

Полезные новости для тех наших клиентов, кто пользуется админ-панелью console.ps.kz. Ниже список обновлений с начала года.

1. Управление аккаунтом

Теперь на странице профиля пользователя отображается список всех доступных ему аккаунтов и соответствующих им ролей. Стало удобно мониторить параметры всех своих аккаунтов тем, у кого их больше одного.

Напоминаем, что у каждого пользователя Консоли есть возможность создавать неограниченное количество аккаунтов для совершения операций от имени физических и юридических лиц. Также пользователь может назначать роли другим пользователям: предоставлять им разные права доступа к его аккаунтам для выполнения профильных задач (администрирование, бухгалтерия).

***

Вы просили — мы сделали: в карточке аккаунта количество зарегистрированных доменов вынесено из общего количества приобретенных услуг и теперь отображается отдельно.

2. Коммуникации

Запустили раздел «Новости», он доступен в боковом меню. В этом разделе мы информируем пользователей об изменениях в услугах, планировании и проведении технических работ, скидках и акциях. Не забывайте заглядывать — там только польза и свобода от рекламного спама.

***

Обращаем внимание на колокольчик в правом верхнем углу панели управления. Здесь отображаются уведомления о событиях внутри сервисов, подтверждение заказов, ответы на тикеты и прочие информационные сообщения.

3. Продукты и услуги

В разделе «Услуги дата-центра» на промо-странице услуги «IP-адреса» упростили форму подачи заявки в отдел продаж.

***

В разделе «Безопасность» добавили альфа-версию пользовательской панели управления услугой «Security Operations Center (SOC / ОЦИБ)», где отображаются источники событий и инциденты кибербезопасности.

4. Оформление документов

В форме заполнения реквизитов аккаунта было добавлено дополнительное поле «ID налогоплательщика» для нерезидентов РК и зарубежных компаний.