Infrastruktura w chmurze

Infrastruktura oferowana w modelu usługowym udostępnia zasoby, które można mieszać, łączyć, przenosić. Nowe narzędzia zapewniają łatwiejszą migrację pomiędzy chmurą prywatną i publiczną. To szansa na wykorzystanie mocnych stron różnych rozwiązań i dostawców.

Spośród wszystkich usług cloud computing IaaS (IaaS - infrastructure as a service, czyli infrastruktura jako usługa) daje największy dostęp do serwerów, zasobów składowania danych oraz sieci, razem z szerokim wyborem systemów operacyjnych i wszelkich narzędzi. IaaS zakłada o wiele większe nakłady pracy "niskopoziomowej" związanej z utrzymaniem sprzętu, systemu operacyjnego i aplikacji niż w innych modelach chmury. Praca jest podobna do tej, którą wykonuje się w systemach zainstalowanych lokalnie, więc jeśli na przykład zmieniono działanie klastra aplikacyjnego, niezbędna jest zmiana w konfiguracji równoważenia obciążenia. To zadanie wykonują administratorzy niemal tak samo jak we własnym data center.

Jeden poziom wyżej od IaaS lokuje się PaaS (platform as a service) - tu dostarczane są zestawy oprogramowania do przetwarzania danych, które ułatwiają wdrożenie aplikacji. Najwyższą warstwą abstrakcji w usługach cloud computing jest SaaS (software as a service), gdzie dostarczane są kompletne aplikacje obsługiwane przez internet. Razem z oddalaniem się od sprzętu maleje liczba zadań, które musi wykonać dział IT kupujący usługę, ale rośnie cena i maleje kontrola nad systemami przechowującymi i przetwarzającymi firmowe dane.

Jasne i ciemne strony IaaS

Korzystanie z usług IaaS najbardziej opłaca się w przypadku aplikacji, które charakteryzują się dużą zmiennością obciążenia, a więc gdy szczyty obciążenia pojawiają się nagle i są bardzo silne. Przykładem jest przenoszenie aplikacji webowych do tańszych publicznych usług chmury na czas dużego obciążenia. Zjawisko to często nazywa się Christmas Power, gdyż w okresie przedświątecznym sprzedaż jest największa.

Usługa IaaS nie jest jednak odpowiednia dla aplikacji, które nie potrafią przetrwać awarii lub zablokowania jednego z serwerów bądź charakteryzują się przewidywalnym obciążeniem (można je taniej uruchomić we własnym data center).

Kolejnym problemem jest przechowywanie danych. Wiele firm korzysta z kosztownej sieci SAN, ponieważ oferuje ona niskie i przewidywalne opóźnienia. Z kolei dostawcy IaaS uważają tę sieć za niebezpieczny punkt pojedynczej awarii i korzystają z lokalnych dysków bezpośrednio dołączonych do serwerów. "W przypadku usług Amazon i oferowanych narzędzi blokowego składowania danych czas pobrania tych samych informacji jest różny - trwa od kilku aż do setek milisekund" - zauważa Ken Pepple, wiceprezes firmy Cloud Technology Partners. Chociaż Amazon odmówił komentarza, wiadomo że wysoko skonsolidowana struktura z lokalnie połączonymi dyskami może przejawiać się taką nieprzewidywalnością.

Czy jest to wystarczająco bezpieczne?

Infrastruktura w chmurze
Obawy o bezpieczeństwo danych hostowanych we współdzielonym modelu usługowym IaaS odstraszają wielu klientów. Specjaliści uważają jednak, że przy odpowiednich zabezpieczeniach i procedurach IaaS spełnia nawet wyjątkowo rygorystyczne wymagania. Przykład stanowi firma Sonian, dostawca usług poczty elektronicznej i przechowywania dokumentów, która niedawno uzyskała certyfikat zgodności z regulacją FISMA (Federal Information Security Management Act, federalna regulacja prawna w USA, nakładająca obowiązek utrzymania bezpieczeństwa informacji), a korzysta z chmury Amazon.

Podobnie jak w przypadku systemów utrzymywanych lokalnie problemy z bezpieczeństwem usług w chmurze są najczęściej powodowane przez błędy ludzkie, takie jak wpadki administratorów przy konfiguracji sieci. Niektórzy dostawcy, m.in. HCL Technologies, oferują narzędzia, które umożliwiają dokładną kontrolę ról, uprawnień i list kontroli dostępu do zasobów z różnych chmur.

Aby móc skorzystać z IaaS, należy przeorganizować grupy bezpieczeństwa w usługach katalogowych, zmienić domyślne uprawnienia na dostęp tylko dla zalogowanych użytkowników (w systemach Windows zamiast Everyone, należy wybrać Authenticated users), a następnie przeprowadzić mapowanie uprawnień między chmurą a lokalnym standardem. Według specjalistów podejście przeciwne, oddzielające uprawnienia w obrębie chmury od firmowych, znacznie utrudnia utrzymanie wymaganego poziomu bezpieczeństwa.

Kontrola poziomu bezpieczeństwa jest trudna, gdy dostawca nie informuje o położeniu danych. Aby osiągnąć oczekiwane poziomy bezpieczeństwa, niezbędne jest wykreowanie chronionych wirtualnych podsieci, a do tego dostawca powinien oferować możliwość przyznania adresów IP i wirtualnej podsieci VLAN dla konkretnego serwera, a także dwóch interfejsów dla obu sieci (prywatnej i publicznej). Obecnie największe możliwości w tej dziedzinie nadal oferuje Amazon.

Różne usługi w jednej firmie

Firma BuildFax (patrz ramka) nadal większość swoich systemów produkcyjnych eksploatuje w chmurze Amazon, ale część przeniosła do chmury Google Compute Engine, by uzyskać odporność na awarie, a więc ciągłość działania usług. Do zarządzania usługami wykorzystano oprogramowanie RightScale, które umożliwia kreowanie serwerów za pomocą standardowego wzorca, wdrażanie i zarządzanie bez konieczności obsługi osobnego API dla każdej z usług. W ten sposób BuildFax oszczędza co najmniej 150 tys. USD, gdyż nie musi zatrudniać własnych administratorów i utrzymywać swoich maszyn.

Z drugiej strony przy korzystaniu z dobrej chmury publicznej płaci się za bezpieczeństwo, zwielokrotnione połączenia sieciowe i zasilanie, a nie zawsze takie opcje są potrzebne do obsługi wewnętrznych zadań, takich jak czyszczenie oraz indeksowanie danych. Można je zrealizować samodzielnie we własnej serwerowni, a w miarę potrzeb szybko przenieść do chmury.

Firma Sonian korzysta z IaaS przy dostarczaniu usług z głównej linii biznesowej, ale do mniej krytycznych baz danych wybiera SaaS. Chociaż Amazon ma ofertę PaaS, za wyborem IaaS przemawiała lepsza kontrola krytycznej infrastruktury.

Dobre rady

Infrastruktura data center zawiera serwery, dyski oraz urządzenia sieciowe, a to dostarcza oczekiwanej wydajności i charakteryzuje się niezawodnością. Jednym z powodów, dla których usługi IaaS są tak tanie i elastyczne, jest współdzielenie zasobów. Dlatego właśnie trudno zagwarantować określoną wydajność, gdyż może ona się zmieniać zależnie od obciążenia generowanego przez pozostałych klientów i w ten sposób wpływać na pracę aplikacji. Oznacza to także, że aplikacja po wykryciu spadku wydajności powinna wygenerować alert i rozpocząć proces odzyskiwania ewentualnie utraconych danych.

Skoro awaria maszyn wirtualnych w publicznej chmurze może się przydarzyć, to należy się do niej przygotować. Przede wszystkim trzeba sobie zapewnić możliwość szybkiego uruchomienia usług pochodzących z innych chmur publicznych lub prywatnych. Firma BuildFax rozwiązała problem dzięki automatyzacji procesu eksportu danych - serwer przygotowuje eksport danych do pliku tekstowego, a następnie przesyła go do zasobów on-premise i kończy pracę. Proces jest powtarzany do skutku.

Specjaliści IT zwracają uwagę na problem pojedynczego punktu awarii - urządzenia lub usługi, których awaria powoduje przestój w pracy. Ich obawy są uzasadnione, co pokazały nagłośnione awarie usług Amazon Web Services. Chociaż IaaS umożliwia uniknięcie zakupów urządzeń wysokiej dostępności i ułatwia rozproszenie geograficzne, firmy nadal potrzebują własnych instalacji, gdyż na razie żaden z dostawców nie informuje o fakcie pracy dwóch maszyn wirtualnych na tym samym fizycznym serwerze. Niektórzy usługodawcy nie obsługują klastrowania ani więcej niż jednego adresu IP na interfejsie maszyny wirtualnej, co sprawia, że omijanie problemu pojedynczego punktu awarii jest trudniejsze niż w systemach on-premise. W przypadku usług w chmurze należy przewidzieć odtwarzanie systemu po awarii, uwzględniając także koszty transferu danych.

Nowe narzędzia i usługi

Google jest jednym z tych dostawców, którzy chcą usprawnić chmurę w ten sposób, by zapewnić niezawodność i przewidywalność właściwe dla sieci SAN. Według Craiga McLuckie, menedżera produktów w firmie Google, w najnowszej platformie Compute Engine blokowe zasoby storage oferują spójność, a nawet wydajność na takim poziomie, jak droższe sieci SAN. Umożliwiają także szyfrowanie danych, a ich dodatkową zaletą jest o 50% większa moc obliczeniowa przy tej samej cenie.

Właśnie pod kątem usług cloud computing opracowywane są nowe rozwiązania składowania danych. Firma Zadara Storage oferuje oprogramowanie, które ze standardowych dysków mechanicznych i pamięci SSD oraz typowych serwerów może utworzyć wirtualne macierze prywatne o takiej samej wydajności jak sieci SAN, włącznie z obsługą klastrów wysokiej dostępności. Macierze firmy Zadara w połączeniu z oprogramowaniem do zarządzania Melio oferuje firma Sanbolic, dostarczając usługi określane jako "system storage klasy Enterprise połączony z wysoko dostępnymi klastrami aplikacyjnymi", z wykorzystaniem Amazon Web Services oraz Rackspace.

Dostawca usług IaaS, firma Joyent, sprzedaje oprogramowanie wykorzystywane we własnych centrach przetwarzania danych. Narzędzie zamienia wirtualizację na poziomie fizycznego serwera (np. w przypadku produktów VMware) na wirtualizację na poziomie systemu operacyjnego. Według Steve'a Tucka, prezesa firmy Joyent, takie narzędzie o wiele sprawniej wykorzystuje serwery, dynamicznie skalując przydział pamięci i mocy obliczeniowej w miarę potrzeb hostowanych aplikacji.

TransLattice, inny dostawca usług w modelu IaaS, korzysta z protokołu, który rozprasza bazę danych oraz komponenty takie jak system zapytań pomiędzy sieć standardowych serwerów. Protokół zapewnia wykonanie zadań we właściwej kolejności, zachowując nawet blokowanie transakcji przy rozproszonych bazach danych.

Z kolei rozwiązanie Red Hat Hybrid IaaS Solution rozmywa granice między IaaS oraz PaaS, gdyż dostarcza narzędzia do zarządzania infrastrukturą chmury, samoobsługowy portal dla użytkowników, menedżer wirtualizacji, hypervisor oraz system operacyjny, który może tam pracować. Do tego rozwiązania można także włączyć usługi zakupione od różnych dostawców cloud computing. Red Hat Storage Server 2.0 będzie wtedy używać rozproszonego systemu plików Gluster do replikacji danych pomiędzy różnymi publicznymi i prywatnymi centrami danych.

Co dalej

Wraz ze wzrostem zainteresowania IaaS dostawcy szukają sposobu, aby jak najlepiej dopasować swoje usługi do planowanych obciążeń, regulacji prawnych, a nawet lokalizacji. Jednym z ważniejszych trendów jest lokalizacja serwerowni w określonym regionie geograficznym. Dla polskich odbiorców istotne jest to, że coraz więcej amerykańskich firm, takich jak CloudSigma, tworzy oddziały w krajach Unii Europejskiej, by zachować zgodność z regulacjami dotyczącymi miejsca przechowywania danych.

Widać też dążenie do poprawy bezpieczeństwa rozwiązań usługowych. Niektóre firmy zgadzają się na wyższe koszty usługi, jeśli tylko w istotny sposób poprawi się bezpieczeństwo danych. Firma WoundVision, zajmująca się analizą danych medycznych, korzysta z usługodawcy BlueLock, mimo że jego usługi są o ponad 70% droższe od chmury Amazon.

Kolejny trend to usługi przeznaczone do konkretnych zastosowań. Cloud Sigma oferuje rozwiązania do edycji wideo, dzięki którym klienci z branży rozrywkowej mogą przechowywać i przetwarzać dane bez konieczności transferu danych z chmury. Firma OnApps zaś łączy przetwarzanie danych z siecią dostarczania treści. Specjaliści uważają, że IaaS w ciągu najbliższych pięciu, dziesięciu lat stanie się usługą zbyt skomplikowaną i jej miejsce zajmie nowe wcielenie PaaS i SaaS. Być może obecne usługi IaaS i SaaS zostaną połączone. Niezależnie od tego, jak IaaS się będzie rozwijać, najważniejszym pytaniem związanym z infrastrukturą będzie nie tyle kwestia, jakiej chmury użyć, ale jaka kombinacja usług będzie najkorzystniejsza dla potrzeb firmy.

Bezpieczeństwo: 8 pytań do dostawcy IaaS

Eric Chiu, założyciel i prezes HyTrust, oraz Gerhard Eschelbeck, CTO firmy Sophos, opracowali zestaw najważniejszych pytań, jakie należy zadać usługodawcom, sprawdzając ich oferty IaaS.

1. Czy dane każdego z klientów z osobna są szyfrowane własnym unikatowym kluczem?

2. Czy każdy serwer ma unikatowy klucz szyfrujący?

3. Czy są dostępne szczegółowe zapisy logów (w tym systemowych) dotyczących wszystkich zmian infrastruktury i maszyn wirtualnych? Czy można taki strumień danych zintegrować z własnymi rozwiązaniami bezpieczeństwa i oprogramowaniem do zarządzania zdarzeniami?

4. W jaki sposób odbywa się uwierzytelnienie użytkowników logujących się do chmury za pomocą firmowych usług katalogowych?

5. Czy usługodawca może zapewnić, że konta o systemowych uprawnieniach, także zakładane lokalnie, nie będą używane? A jeśli będą, to czy dostarczy szczegółowe zapisy działań, obejmujące informacje, kto i kiedy z takich uprawnień skorzystał i co dokładnie zrobił?

6. Jakie mechanizmy i produkty silnego uwierzytelnienia są dostępne w oferowanej usłudze?

7. Jak usługodawca może zapewnić, że jego administratorzy nie wykonają nieautoryzowanych zmian w konfiguracji, takich jak przełączenie naszej maszyny wirtualnej do sieci innej firmy?

8. Czy możecie otrzymać raport z audytu wykonanego przez uznany i certyfikowany podmiot, stwierdzający zgodność z regulacjami prawnymi, takimi jak HIPAA, FISMA, PCI DSS w USA lub podobnymi?

Chmura wielu dostawców

Wykorzystanie usług IaaS jest jedną z dróg rozwoju niewielkich, młodych firm, których działalność w dużej mierze opiera się na przetwarzaniu danych. Właśnie w ten sposób firma BuildFax postanowiła uruchomić część usług przetwarzania danych, wykorzystując przy tym chmurę Amazon Web Services. Obecnie BuildFax przenosi niektóre z systemów do oferty IaaS firmy Google, a pewna część wirtualnych maszyn znajdzie się u innych dostawców. Pozostałe maszyny zostały przeniesione do własnej serwerowni.

Joe Emison, wiceprezes działu badań i rozwoju w firmie BuildFax, stwierdza, że początkowo firma była zadowolona z niskich kosztów usług świadczonych przez Amazon, a także z dokładnego rozliczenia za rzeczywiście zużyte zasoby. Jednak z czasem okazywało się, że firma potrzebowała bardziej zaawansowanych możliwości, np. wyboru pomiędzy chmurą prywatną a publiczną, aby zapewnić najważniejsze w danej chwili parametry: najlepszą cenę, wydajność, opcje ochrony przed awarią. Oczekiwania te ewoluowały razem ze zmianą ofert i możliwości usługodawców oraz potrzeb firmy.

Właściwe podejście do korzystania z IaaS oznacza także brak przywiązania do konkretnego dostawcy usług. Taki pogląd zaczyna zyskiwać popularność w większych firmach, które wykorzystują chmurę publiczną do mniej krytycznych usług, takich jak testowanie czy część prac deweloperskich. Ale otwarcie firmy na cloud computing wymaga nowych narzędzi oraz zmiany podejścia do aplikacji - programy muszą zostać zaprojektowane i napisane tak, by uwzględnić poprawkę na nieprzewidywalność usług publicznej chmury i jednocześnie zapewnić oczekiwane bezpieczeństwo danych.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200