Внутри VK Cloud: из чего состоит облако?
VK Cloud: Sales Manager
В предыдущем модуле мы говорили о том, что такое облачные технологии и облачные вычисления, какие принципы лежат в их основе, а также чем они ценны для бизнеса.
В этом модуле разберемся, из чего состоит облако и что скрывается за виртуальными сервисами:
- Как устроены физические компоненты: серверы, ЦОДы, системы хранения и охлаждения
- Как работает виртуализация и из чего состоит облако OpenStack
- Как взаимодействуют между собой облачные сервисы
Отдельное внимание уделим теме безопасности — узнаем, какие особенности и уровни защиты реализованы в VK Cloud в соответствии с требованиями 152-ФЗ и приказа ФСТЭК № 21.
Что скрывают облака?
Облачные технологии кажутся чем-то виртуальным и неосязаемым, но за каждым облачным сервисом стоит мощная физическая инфраструктура и ряд программных компонентов. Давайте заглянем «под капот» и разберемся, как устроено облако изнутри.
Физическая инфраструктура
Физические серверы
Сервер — это выделенное компьютерное оборудование, предназначенное для обработки запросов и предоставления данных другим компьютерам через сеть. Тысячи серверов, управляемых одним провайдером, являются основой облака. К примеру, в VK Cloud одновременно работают более 10 000 серверов.
Представьте мощный компьютер размером с микроволновку, который работает 24/7 и может одновременно обслуживать сотни пользователей. Теперь представьте тысячи таких компьютеров в одном здании — это и есть основа облака.
Центры обработки данных (ЦОД)
ЦОД — это специализированное здание или помещение для размещения серверного и сетевого оборудования с обеспечением необходимых условий для его бесперебойной работы.
Это огромные «фабрики данных» — здания размером с несколько футбольных полей, где в идеальных условиях работают тысячи серверов. Температура поддерживается на уровне 18-27°C, влажность контролируется, а электричество подается без перебоев.
Инфраструктура современного ЦОДа включает в себя: серверное оборудование, системы хранения данных (СХД), сетевое оборудование и системы жизнеобеспечения дата-центра.
Серверное оборудование представляет собой стойки с серверами, сами серверы, а также гиперконевергентные системы (ГКИ), объединяющие вычисления и хранение для удобного управления.
Системы хранения данных (СХД) — это программно-аппаратный комплекс для надежного хранения и быстрого доступа к большим объемам информации. Если сервер — это мозг, то СХД — это память облака.
Представьте шкаф, набитый жесткими дисками, которые хранят петабайты данных (1 петабайт = 1 миллион гигабайт).
В облаке имеются несколько типов блочных СХД (дисков) с разной производительностью. Приведем краткие характеристики разных блочных СХД в облаке:
Сетевой HDD-диск
Базовый тип хранилища для нетребовательных к производительности задач.
Применение: загрузочные разделы ОС, файловые хранилища, архивы.
Характеристики:
- IOPS чтение: ~300–2400
- IOPS запись: ~150–800
- Latency (Задержка) макс.: 20 мс
Сетевой SSD-диск
Стандартное решение для большинства приложений. IOPS значительно выше, чем у HDD — примерно в 2-4 раза. Построены на базе Ceph с тройной репликацией.
Применение: базы данных, телеметрия и прочее.
Характеристики:
- IOPS чтение: ~1000–16000
- IOPS запись: ~500–8000
- Latency (Задержка) макс.: 3 мс
High-IOPS SSD
Быстрые диски для требовательных приложений. Построены на базе NVMe SSD-дисков.
Применение: высоконагруженные СУБД, аналитика, системы с большими требованиями к производительности.
Характеристики:
- IOPS чтение: ~10000–45000
- IOPS запись: ~5000–30000
- Latency (Задержка) макс.: 1 мс
High-IOPS HA SSD
Высокопроизводительные отказоустойчивые диски с гарантированной доступностью. Характеристики схожи с High-IOPS SSD, отличаются повышенной отказоустойчивостью (HA — High Availability).
Применение: критически важные приложения, требующие максимальной надежности.
Характеристики:
- IOPS чтение: ~7500–35000
- IOPS запись: ~2000–12000
- Latency (Задержка) макс.: 1 мс
Low Latency NVME
Сверхбыстрые диски с минимальной задержкой.
Применение: системы реального времени, высокочастотный трейдинг, in-memory базы данных.
Характеристики:
- IOPS чтение: ~10000–75000
- IOPS запись: ~5000–50000
- Latency (Задержка) макс.: 0,5 мс
- Доступны только на высокопроизводительных конфигурациях (по запросу в техподдержку)
Что такое IOPS и Latency?
IOPS
IOPS (Input/Output Operations Per Second) — количество операций ввода-вывода, которое система хранения может выполнить за одну секунду.
Представьте кассира в супермаркете. Количество покупателей, которых он может обслужить за минуту — это значение IOPS. Кассир-новичок обслуживает 2 покупателя в минуту, а опытный — 10 покупателей. Так же и с дисками: обычный HDD обрабатывает 100 запросов в секунду, а современный SSD — 100 000.
Практический пример
Разные значения IOPS у диска, на котором размещена база данных интернет-магазина, будут влиять на скорость загрузки страниц следующим образом:
- При 100 IOPS — каждый клик по товару прогружается 3-5 секунд
- При 10 000 IOPS — страницы открываются мгновенно
- При 100 000 IOPS — можно обрабатывать весь трафик от Black Friday без тормозов
Где критично: онлайн-игры, банковские транзакции, базы данных с частыми мелкими запросами.
Latency
Latency — время задержки передачи данных от источника к получателю, измеряется в миллисекундах (мс).
Представьте, что вы разговариваете по рации. Время, за которое сигнал от вас дойдет до собеседника — это и есть Latency. Если собеседник находится поблизости — задержка будет минимальной. Если между вами большое расстояние — вашему сигналу потребуется больше времени, чтобы добраться до получателя.
Практический пример
В онлайн-шутере при latency 20 мс — вы видите противника почти мгновенно. При 200 мс — он успеет выстрелить первым, пока ваша команда дойдет до сервера.
Реальные цифры
- 1-5 мс — отличный показатель (как разговор в одной комнате)
- 10-50 мс — нормально для большинства приложений
- 100-200 мс — пользователи начинают замечать задержки
- Больше 500 мс — заметные тормоза, пользователи начинают нервничать
Где критично: видеозвонки, онлайн-игры, трейдинговые платформы, системы реального времени.
Сетевое оборудование представлено маршрутизаторами с коммутаторами для связи серверов между собой и системами балансировки нагрузки для распределения трафика.
Системы жизнеобеспечения дата-центра выполняют две функции: обеспечение электроэнергией и охлаждение. Бесперебойное электропитание обеспечивается за счет:
- Подключения к двум независимым подстанциям
- ИБП (источников бесперебойного питания), они гарантируют 10-30 минут автономной работы при неожиданном отключении
- Дизель-генераторов с запасом топлива на 48-72 часа
Эти меры позволяют гарантировать уровень надежности Tier III-IV: доступность 99.982% — 99.995%.
Охлаждение так же необходимо, как и бесперебойный доступ к электроэнергии. Серверное оборудование выделяет большое количество тепла при работе — перегрев снижает производительность и сокращает срок службы. Чтобы этого не допустить, дата-центры оснащаются:
- Прецизионными кондиционерами, которые поддерживают температуру с точностью ±1°C
- Системами free cooling: они используют холодный уличный воздух для экономии до 40% электроэнергии на охлаждении
- Жидкостным охлаждением для высоконагруженных систем
PUE (Power Usage Effectiveness) современных ЦОДов: 1.1-1.3 Это означает, что на каждый 1 кВт для IT-оборудования тратится всего 0.1-0.3 кВт на его охлаждение.
Программные компоненты
После того как мы разобрались с «железом» — серверами и ЦОДами, пришло время понять, как всем этим управлять. Ведь тысячи серверов сами по себе — это просто дорогое оборудование. Магия начинается, когда в дело вступает программное обеспечение.
Виртуализация — магия облака
Виртуализация — это технология, позволяющая создавать множество изолированных виртуальных компьютеров на одном физическом сервере.
Представьте, что у вас есть большой особняк. Виртуализация — это способ превратить его в многоквартирный дом, где каждая квартира полностью изолирована, имеет свой адрес, свои коммуникации, и жильцы даже не подозревают о существовании соседей. При этом все живут в одном здании и делят общие ресурсы — электричество, воду, тепло.
Самым простым продуктом виртуализации в облаке является Виртуальная машина (ВМ) — эмуляция компьютерной системы, которая предоставляет функциональность физического компьютера. Как и обычный компьютер, виртуальная машина имеет все необходимые компоненты, только в программном виде:
Виртуальные процессоры (vCPU)
Это программная эмуляция процессорных ядер. Например, один 64-ядерный физический процессор может предоставить до 512 виртуальных ядер разным виртуальным машинам.
Если физический процессор — это мозг, то vCPU — это отдельные «мысли», которые могут работать параллельно.
Виртуальная память (vRAM)
Это выделенная часть физической оперативной памяти для конкретной виртуальной машины. К примеру, сервер с 512 ГБ RAM может обслуживать 50 виртуальных машин по 10 ГБ каждая.
Представьте, что вы делите свой рабочий стол на зоны — для каждого проекта своя зона.
Виртуальные диски
Это файлы на физических дисках, которые виртуальная машина воспринимает как отдельные жесткие диски. Например, один SSD на 10 ТБ может хранить сотни виртуальных дисков разного размера.
Это хранилище данных в облаке, которое компьютер видит как обычный диск D:\ или E:. Таким дискам можно легко увеличить емкость — например, с 100 ГБ до 1 ТБ. С физическим диском пришлось бы покупать новый и переносить все данные.
Виртуальная сеть
Это программные сетевые адаптеры и коммутаторы. Каждая виртуальная машина получает свой IP-адрес и может общаться с другими ВМ или интернетом.
Виртуальная сеть позволяет добиться такой связи между вашими серверами в облаке, как будто они стоят в одном офисе и подключены друг к другу проводами. Серверы общаются друг с другом напрямую, а от внешнего интернета защищены настройками безопасности.
С помощью виртуальной сети можно, например, объединить сервер в Москве с базой данных во Владивостоке, и они будут работать как единая система в защищенном периметре.
Современное облако — это сложная экосистема взаимосвязанных сервисов, которая гораздо шире простого набора виртуальных машин. Рассмотрим ключевые компоненты на примере OpenStack — платформы для построения облаков.
Наши коллеги подготовили статью, где можно узнать больше об основных OpenStack-компонентах
облака.
Вычислительные ресурсы (Compute / Nova)
Сервис управления жизненным циклом виртуальных машин в облаке.
Это «мозговой центр» облака, который решает, на каком физическом сервере запустить вашу виртуальную машину, следит за ее работой и перезапускает, если что-то пошло не так. Как диспетчер в такси — распределяет заказы между водителями.
Основные задачи:
- Запуск ВМ за 30-60 секунд
- Автоматическая миграция ВМ при сбое сервера
- Изменение размера ВМ «на лету» (добавить память или процессоры)
Хранилище блочных устройств (Block Storage / Cinder)
Сервис предоставления постоянных блочных устройств хранения для виртуальных машин.
Это как внешний жесткий диск для вашей ВМ. Можно подключить к одной машине, потом отключить и подключить к другой — все данные сохранятся. Удобно для баз данных и важных файлов.
Основные функции:
- Диски для баз данных (высокая скорость, низкие задержки)
- Снимки данных (backup) — мгновенная копия всего диска
- Перенос данных между ВМ без копирования
Хранилище образов (Image Storage / Glance)
Сервис для хранения и управления образами операционных систем и виртуальных машин.
Это библиотека готовых «шаблонов» компьютеров. Хотите Ubuntu? Windows Server? Готовый веб-сервер? Выбираете образ из каталога — и через минуту получаете работающую систему. Как магазин приложений, только для целых операционных систем.
Что можно найти:
- «Чистые» ОС: Ubuntu, CentOS, Windows Server, Debian
- Преднастроенные стеки: LAMP (Linux+Apache+MySQL+PHP), Docker, Kubernetes
- Корпоративные приложения: готовые CRM, ERP системы
Объектное хранилище (Object Storage / Swift или S3)
Распределенная система хранения неструктурированных данных с доступом через REST API и/или S3 протокол.
Это как Облако Mail.Ru для вашего приложения. Храните миллионы файлов — фотографии, видео, документы, бэкапы. Доступ по простой ссылке из любой точки мира. Автоматически создаются копии для надежности.
Особенности:
- Неограниченный объем хранения
- Автоматическое резервирование
- Доступ через простой HTTP/HTTPS
Сетевые сервисы (Networking / Neutron/ SPRUT)
Сервис управления сетевой инфраструктурой и обеспечения сетевой связности в облаке.
Это виртуальный «интернет-провайдер» внутри облака — он создает виртуальные сети, раздает IP-адреса, настраивает файрволы, управляет трафиком. Как если бы у вас был личный системный администратор, который мгновенно настраивает любую сетевую конфигурацию.
Что умеет:
- Создание изолированных сетей для каждого проекта
- Балансировка нагрузки между серверами
- VPN для безопасного подключения из офиса
Управление пользователями (Identity / Keystone)
Сервис аутентификации и авторизации пользователей и сервисов в облаке.
Это «паспортный контроль» облака. Проверяет, кто вы такой, и решает, к чему вам можно получить доступ. Как Face ID в телефоне, только для облачных ресурсов.
Основные функции:
- Единый вход для всех сервисов (Single Sign-On)
- Разграничение прав: разработчики видят одно, бухгалтерия — другое
- Двухфакторная аутентификация для дополнительной защиты
Веб-интерфейс (Dashboard / Horizon)
Графический интерфейс для управления облачными ресурсами.
Это «пульт управления» облаком в вашем браузере. Все операции — запуск серверов, создание дисков, настройка сетей — можно делать мышкой, без команд и программирования. Как управление умным домом через приложение.
Некоторые возможности:
- Визуальный мониторинг всех ресурсов
- Управление в несколько кликов
- Графики потребления и затрат
- Доступ с любого устройства через браузер
Оркестрация (Orchestration / Heat)
Сервис автоматизации развертывания и управления облачной инфраструктурой через декларативные шаблоны.
Это «дирижер» облачного оркестра. Вы описываете, что хотите получить (например, «3 веб-сервера + база данных + балансировщик»), а система сама все создает, настраивает и связывает между собой. Как конструктор LEGO с автоматической сборкой.
Примеры использования:
- Развертывание среды для разработки одной кнопкой
- Автоматическое масштабирование при росте нагрузки
- Клонирование production-среды для тестирования
Мониторинг и биллинг (Telemetry / Ceilometer)
Сервис сбора метрик использования ресурсов для мониторинга и тарификации.
Это «счетчики» облака — как в квартире для воды и электричества. Они считают, сколько вы использовали процессорного времени, памяти, дискового пространства, трафика. На основе этих данных формируется счет и строятся графики потребления.
Некоторые показатели, которые можно отслеживать:
- CPU: количество ядер × время использования
- RAM: объем памяти × время использования
- Диски: объем × время хранения
- Трафик: входящий и исходящий в ГБ
- API-запросы: количество операций
Как это работает вместе
Представьте, что вы заказываете виртуальную машину через веб-интерфейс VK Cloud. Чтобы все заработало, описанные выше сервисы включаются в работу и выполняют следующие действия:
-
Keystone (Identity) — проверяет ваши учетные данные и права доступа, как охранник на входе в бизнес-центр. Выдает токен безопасности, с которым вы можете работать со всеми сервисами облака.
-
Horizon (Dashboard) — веб-интерфейс VK Cloud, где вы создаете серверы и настраиваете сети через понятные формы и кнопки. Переводит ваши клики в команды для других компонентов OpenStack.
-
Glance (Image Service) — хранилище готовых образов ОС (Ubuntu, CentOS, Windows), из которых разворачиваются виртуальные машины. Как библиотека шаблонов — выбрали образ, и через минуту сервер готов к работе.
-
Nova (Compute) — мозг облака, который распределяет виртуальные машины по физическим серверам. Следит за загрузкой железа и запускает вашу ВМ там, где есть свободные ресурсы.
-
Cinder (Block Storage) — создает и подключает виртуальные диски к вашим серверам. Автоматически реплицирует данные на несколько физических дисков для надежности.
-
Neutron (Networking) — настраивает виртуальные сети, выдает IP-адреса и управляет firewall. Изолирует ваши серверы от чужих и настраивает маршруты до интернета.
-
Sprut (разработка VK, замена Neutron) — собственная высокопроизводительная SDN-платформа VK Cloud для управления сетями. Работает в 10 раз быстрее стандартного Neutron, обеспечивает пропускную способность до 100 Гбит/с и снижает сетевые задержки до минимума.
-
Heat (Orchestration) — автоматизирует развертывание сложных конфигураций по шаблонам. Одной командой поднимает целую инфраструктуру из 50 серверов с настроенными связями.
-
Ceilometer (Telemetry) — считает потребление ресурсов (часы работы ВМ, гигабайты трафика, IOPS дисков) и передает данные в биллинг. Благодаря ему вы платите только за фактическое использование.
И все это происходит автоматически в среднем за 30-60 секунд!
Внутри VK Cloud
Далее рассмотрим, чем же VK Cloud отличается от конкурентов — где находятся его дата-центры, какие особенности есть у облачного сервиса VK Cloud, а также соответствие требованиям государственных регуляторов.
География ЦОДов
VK Cloud размещает свою инфраструктуру в пяти географически распределенных дата-центрах, что обеспечивает высокую доступность и отказоустойчивость сервисов:
- GZ1: включает в себя дата-центр Goznak Адрес дата-центра: г. Москва, проспект Мира, 105, стр. 6.
- MS1: включает в себя дата-центр DataLine NORD4 Адрес дата-центра: г. Москва, Коровинское ш., 41.
- ME1: включает в себя дата-центр «Медведково» Ростелеком-ЦОД Адрес дата-центра: г. Москва, Чермянская ул., д. 4.
- PA2: включает в себя дата-центр «Пахра» Адрес дата-центра: Московская область, г. Домодедово, мкр. Северный, ул. Краснодарская, стр. 12
- QAZ: включает в себя дата-центр QazCloud Адрес дата-центра: Республика Казахстан, Акмолинская область, г. Косшы, ул. Республики 1.
В VK Cloud зона доступности соответствует отдельному ЦОД уровня Tier III.
Каждый дата-центр оснащен независимыми системами электропитания и охлаждения. Зоны доступности одного региона соединены с помощью резервированной выделенной оптоволоконной сети высокой пропускной способности и с низким уровнем задержек для высокой скорости передачи данных между зонами.
Более подробно о зонах доступности можно
прочитать в документации VK Cloud
Особенности облачного сервиса VK Cloud
- Гибкие конфигурации с широким набором операционных систем
- Масштабирование без остановки виртуальных машин
- Загрузка собственных образов ВМ
- Программная СХД с тройной репликацией дисков
- Безлимитный трафик подключения на скорости 1 Гбит/с и внешние IP-адреса
- Оплата только за факт потребления
- SLA 99.95% с финансовыми гарантиями
Соответствие требованиям регуляторов
В контексте размещения данных российских пользователей облачные провайдеры должны следовать 152-ФЗ «О персональных данных» и приказу ФСТЭК №21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
Ответственность по 152-ФЗ
Облачная инфраструктура VK Cloud аттестована в соответствии с 152-ФЗ. Здесь важно заметить, что оператор персональных данных (VK Сloud) несёт ответственность только за законность обработки ПДн и за меры защиты (ст. 19 152-ФЗ). Перенос персональных данных в аттестованную инфраструктуру не отменяет обязаностей оператора (конечного клиента VK Cloud) — например, сбора согласий на обработку ПДн от субъектов.
VK Cloud — аттестованный сегмент для ИСПДн.
ИСПДн — информационная система персональных данных: совокупность баз ПДн,
технологий и средств обработки.
Платформа VK Cloud прошла аттестацию на соответствие приказу ФСТЭК №21 для первого уровня защищённости (УЗ-1) — максимального из уровней, предусмотренных Постановлением Правительства № 1119.
Соответствие УЗ-1 означает возможность размещения ИСПДн с высшими требованиями к защите на стороне облака.
Уровни защищённости устанавливаются Постановлением Правительства №1119. Всего существуют четыре уровня — от УЗ-1 (самый строгий) до УЗ-4. Конкретный уровень, необходимый для вашей ИСПДн, определяется по виду ПДн, численности субъектов и актуальным угрозам, а состав мер — по приказу ФСТЭК № 21.
Дополнительные меры на стороне VK Cloud
Помимо соответствия требованиям государственных регуляторов, VK Cloud обеспечивает комплексную защиту и с помощью других мер:
- Организует работу центра мониторинга безопасности (SOC), специалисты которого отслеживают инциденты и реагируют на них в режиме реального времени
- Применяют практики безопасной разработки (SSDL)
- Используют дополнительные сервисы (Anti-DDoS и др.) для защиты данных
- Основа облачных сервисов — сложная физическая инфраструктура и программные компоненты.
- Физическая инфраструктура состоит из серверов, систем хранения данных (СХД), центров обработки данных (ЦОД) и систем жизнеобеспечения в них.
- Программные компоненты — это совокупность сервисов и технологий, которые управляют облачной инфраструктурой. Они обеспечивают виртуализацию ресурсов, управление вычислительными ресурсами, хранение данных, сетевые услуги, аутентификацию пользователей, а также мониторинг и оркестрацию процессов.
- Особенности VK Cloud: 5 географически распределенных дата-центров, гибкие конфигурации, возможность масштабирования без остановки ВМ, безлимитный трафик, SLA с финансовыми гарантиями, соответствие требованиям 152-ФЗ и приказа ФСТЭК №21.
В следующем модуле узнаем больше о вариантах развёртывания облачных сервисов — публичном, приватном и гибридном. Также поговорим о моделях облачных сервисов — IaaS, PaaS и SaaS — и о том, какие из этих моделей используются в VK Cloud.