Geekly articles weekly

Cloud-Checkliste oder wie der Kunde uns bewertet hat


Ein großes ausländisches Unternehmen musste aufgrund des Gesetzes über personenbezogene Daten in unsere Cloud einsteigen. Da sie selbst an der Prüfung anderer Unternehmen beteiligt sind, gingen sie wie gewohnt auf die Frage ein: Sie untersuchten den Markt, stellten eine Liste der Anforderungen für die Cloud zusammen und begannen zu prüfen, wer und wie dieser entsprach.

Übertragen aller Systeme: Testumgebungen, Test + Prod, Preprod, alle virtuellen Maschinen, virtuelle Server sowie alle virtuellen Infrastruktursysteme. Sogar ihre Unterstützung erschien in Russland. Von uns - nur Ressourcen mieten.

Sie haben uns insbesondere hinsichtlich des Umfangs überprüft: eine fast vollständige Prüfung des Rechenzentrums. Sie befassten sich jedoch nicht mit Hardware- und technischen Spezifikationen im Allgemeinen, sondern mit der Art und Weise, wie die IB-Prozesse aufgebaut sind und wie unterschiedliche SLAs eingehalten werden. Aus ihrer Sicht sind es die Prozesse der SLA-Stabilität, die die Qualität des Unternehmens anzeigen. Und wir haben ihnen ausführlich über jede der Komponenten berichtet.

Ich möchte eine Liste mit Kriterien für die Überprüfung freigeben. Weil es zumindest eine Art Methodik gab, weil zuvor nur wenige Kunden einen so systematischen Ansatz für das Problem hatten.

Allgemeine Optionen


Die Hauptanforderungen waren ungefähr zwei Dutzend. Dazu gehören grundlegende Funktionen wie das Platzieren der Plattform in zwei Rechenzentren, eine Konsole zum Verwalten von Ressourcen, die Möglichkeit, über die API zu arbeiten, das Bezahlen von Diensten bei Verwendung mit einer Granularität von nicht mehr als einer Stunde und die Verfügbarkeit von Automatisierungstools, z. B. Terraform. Andere Anforderungen sind nicht zu sagen, dass wir sehr überrascht waren, sie zeigen sie einfach nicht alle ausnahmslos. Zu einer solchen Anforderung gehört die Notwendigkeit, ein Gebäude zu besitzen, in dem ein Cloud-Rechenzentrum betrieben wird.

Aber hier ist im Allgemeinen alles klar. Dieser Kunde hat offenbar auch die Geschichte des russischen Kollokationsmarktes gelesen. Oder einige ihrer Kunden haben sich bereits irgendwo im Ausland getroffen. Alles andere ist im Allgemeinen Standard. Die Anforderung des Rechenzentrums liegt in Moskau (dies war auch auf der Liste) - dies dient der Möglichkeit, zum Administrator zu kommen, und der Geschwindigkeit der Anrufe während der Replikation. Der wichtigste Punkt nach zwei Rechenzentren sind die detaillierten Metriken im SLA. Wie gesagt, das machte ihnen bei jedem Gegenstand am meisten Sorgen.


Personalbedarf


Dies war einer der schwierigsten Blöcke, da der Kunde, der über umfangreiche Erfahrung in Projektaktivitäten verfügt (er hat Hunderte von Produktions- und Einzelhandelskunden weltweit), diese in gewissem Umfang auf die IT übertragen hat. Im Allgemeinen ist dies ein vernünftiger Ansatz, aber die Anforderungen erwiesen sich als „schwer“.

Hier ist, worauf wir getestet wurden:
  • Das Vorhandensein von drei Ebenen des technischen Supports für die Plattform: Die erste Zeile ist die Lösung von Vorfällen auf Plattformebene (HW, Virtualisierung), die zweite Zeile ist die Lösung von Problemen in der Infrastruktur des Kunden in der Cloud-Plattform (Betriebssystem, DBMS und andere Anwendungssoftwareebene), die dritte Zeile ist die Verbindung Entwickler und / oder Anbieter von Cloud-Plattformen für Anbieter zur Lösung von Problemen.
  • 24x7x365 Betriebsmodus der ersten Zeile des technischen Supports.
  • Obligatorische Kenntnisse der russischen und englischen Sprache durch Spezialisten aller Unterstützungsstufen.
  • Die Möglichkeit, Anträge für den Vorfall per E-Mail oder telefonisch beim technischen Support einzureichen.
  • Die Möglichkeit, Anträge für einen Vorfall einzureichen, indem Sie den technischen Support anrufen.
  • Die Reaktionszeit der Spezialisten für technischen Support für einen Vorfall beträgt je nach Priorität der Anwendung 10 bis 15 Minuten (der Lieferant muss eine detaillierte Beschreibung der Prioritäten der Vorfälle im Servicevertrag festhalten).
  • Die Zeit zur Behebung des Vorfalls beträgt je nach Priorität der Anwendung 90 bis 240 Minuten (der Lieferant muss eine detaillierte Beschreibung der Prioritäten der Vorfälle im Servicevertrag aufzeichnen).
  • Obligatorische Anwesenheit eines engagierten Projektteams, das Folgendes umfasst: Account Manager, Projektmanager, technischer Architekt, Ingenieure.
  • Die Möglichkeit, verschiedene Kommunikationsmittel zwischen dem Lieferantenteam und dem Kundenteam zu verwenden, um Probleme schneller zu lösen (z. B. mithilfe von Telegramm, WhatsApp und anderen Messenger).
  • Festlegung der Liste des Projektteams in einem unterzeichneten Vertrag über die Bereitstellung von Cloud-Plattformdiensten. Die Liste sollte den vollständigen Namen, die Kontaktnummern der Mobiltelefone und die E-Mail-Adressen aller Personen enthalten, die an der Tätigkeit des Kunden und des Lieferanten beteiligt sind.
Einer der wichtigsten Punkte für den Kunden war dabei, dass er genau drei Supportlinien zur Verfügung stellte. Jeder hat immer die erste Zeile, die zweite Zeile der Unterstützung ist normalerweise vorhanden, aber die Anforderungen dafür sind bereits ziemlich verschwommen. Es gibt aber auch einen dritten, der tatsächlich verschiedene Chips sägt. Und nichts wird ausgelagert, wie es manchmal kleine Anbieter tun. Das Projekt befasst sich nur mit seinen Mitarbeitern. Einem großen Kundenprojekt ist kein Serviceteam zugeordnet, sondern ein separates Projektteam, das in den Dokumenten festgehalten wird.

Ein engagiertes Projektteam ist ein separater wichtiger Punkt. Für einen normalen Cloud-Dienstanbieter erfolgt dies normalerweise in irgendeiner Form. Aber auch hier gibt es keine direkte explizite Anforderung, und es gibt keine Standards. Im Allgemeinen gibt es Leute, die direkt an der Unterstützung des Kunden beteiligt sind, es gibt eine Person, die ein bestimmtes Projekt verwaltet, es gibt Ingenieure. Es ist teuer für den Kunden, Zeit für diese Personen vorzusehen, aber es ist notwendig, da Sie in den meisten Fällen außerhalb von "nur Hosting" recht komplexe Probleme lösen müssen. Oder einfach, aber schnell und beim ersten Mal. Daher sind diese Teammitglieder rund um die Uhr aktiv, immer in Kontakt und bereit zu helfen. Mit jeder Art von Kommunikation, die für den Kunden bequem ist. Dies ist ein Service, der normalerweise "geliebten" Kunden angeboten wird, aber bei uns - für alle. Und es ist dokumentiert.

Zur Kommunikation: Es ist sehr wichtig, in einem anderen Ausnahmezustand persönliche Telefone in Kontakten zu haben. In ernsthaften Projekten wird die Kommunikation über Messenger beschleunigt (vor ein paar Jahren war das nicht so, alle haben per E-Mail kommuniziert). Der Verkaufsleiter gab eine persönliche Nummer an, die sich nachts und im Urlaub nicht ausschaltet - das ist die Norm. Aber das kann nicht jeder sagen.

Jetzt etwas detaillierter - über die Anforderungen an einzelne Subsysteme und Prozesse.

Zertifizierungsanforderungen


Anzeigen
  • Das Abrechnungssystem für verbrauchte Ressourcen muss den festgelegten Anforderungen der genehmigten "Regeln für die Verwendung automatisierter Zahlungssysteme" entsprechen. Beschluss des russischen Ministeriums für Information und Kommunikation vom 02.07.2007 Nr. 73. "
  • Der Anbieter muss über ein aktuelles Zertifikat zur Übereinstimmung der Informationssicherheits-Managementsysteme des Unternehmens mit den Anforderungen der Norm ISO / IEC 27001: 2013 hinsichtlich der Bereitstellung von Outsourcing-Diensten für Rechenzentren und virtuelle Rechenzentren verfügen.
  • Verfügbarkeit des aktuellen Zertifikats für die Cloud-Plattform PCI DSS v3.2.
  • Das PCI DSS 3.2-Konformitätszertifikat sollte IT-Support, physische Sicherheit, Sicherheit von Systemdiensten, physische Geräte, Netzwerke und Speicher enthalten.
  • Zertifikate von Tier III Design-Rechenzentren, Tier III Facility-Rechenzentren und Tier III Operational Sustainability-Rechenzentren.


Keine Überraschungen hier: PCI DSS für Finanzdaten und T-III für drei Zertifikate. Dies ist wichtig für das Geschäft des Kunden. Für Ihr Unternehmen müssen Sie eine eigene Zertifizierungsliste erstellen. Der erste Punkt verdient jedoch besondere Aufmerksamkeit. Wie sich herausstellte, war es für den Kunden wichtig, dass wir ein Dokument vorlegen, das die kompetente Arbeit unseres Abrechnungssystems angibt. Zum Glück haben wir es knapp ein Jahr zuvor beim Kommunikationsministerium zertifiziert.

Nachfolgend finden Sie eine Liste der Anforderungen für die Hauptelemente der Cloud-Plattform. Da wir zuvor sehr eng mit ausländischen Kunden zusammengearbeitet haben, gab es bereits eine ähnliche Liste, jedoch in stark reduzierter Form. Bis zu dem einen oder anderen Grad wurden die Informationen in der SLA und anderen Dokumenten angegeben. Auf Wunsch eines Unternehmensberaters haben wir alles geschaufelt, arrangiert und aktualisiert. Als Ergebnis haben wir ein ziemlich solides Dokument erhalten, das wir anderen Kunden zur Einarbeitung anbieten können.
Also, was in den Checklisten speziell in Bezug auf die technischen Parameter der Plattform angegeben ist.

Rechenressourcen


Anzeigen
  • Die Zuweisung von Computerressourcen (virtuelle Kerne, RAM) sollte gewährleistet sein, mit Ausnahme der Möglichkeit der gegenseitigen Beeinflussung der virtuellen Server des Kunden, die sich auf einem physischen Knoten befinden.
  • Die Cloud-Plattform sollte die Möglichkeit bieten, die Menge der Computerressourcen zu ändern, ohne die VM neu zu erstellen.
  • Die Möglichkeit der garantierten Bereitstellung von VMs auf verschiedenen physischen Knoten.
  • Die Cloud-Plattform sollte beim Starten einer VM eine Auswahl an Clustern (DC) bieten.



Festplatten


Anzeigen
  • Die Cloud-Plattform sollte die Möglichkeit bieten, virtuelle Festplatten mit unterschiedlicher Leistung (IOPS) über die webbasierte Verwaltungsschnittstelle und API zu erstellen.
  • Die Cloud-Plattform sollte die Möglichkeit bieten, die Festplattenleistung im laufenden Betrieb zu ändern.
  • Festplattenressourcen müssen mit Leistungsgarantien verfügbar sein, die an der Anzahl der IOPS pro Festplatte gemessen werden.
  • Die Festplattenleistungsgarantien müssen bis zu 100.000 IOPS abdecken.
  • Die Cloud-Plattform sollte die Möglichkeit bieten, Daten zwischen Festplattenressourcen mit unterschiedlicher Leistung "on the fly" zu migrieren, ohne den Dienst zu beenden.



Netzwerke


Anzeigen
  • Mit der Cloud-Plattform sollten Sie isolierte Netzwerkumgebungen organisieren können, die anderen Kunden der Cloud-Plattform nicht zur Verfügung stehen.
  • Die isolierten Netzwerkumgebungen der Cloud-Plattform sollten die Verwaltung der Netzwerkadressierung und des Routings der IT-Infrastruktur des Kunden ermöglichen.
  • Die Cloud-Plattform sollte über Funktionen zum Verbinden externer dedizierter Kommunikationskanäle von Kunden verfügen.
  • Die Zuweisung oder Löschung externer IP-Adressen zu virtuellen Servern über die Cloud-Plattform muss sichergestellt sein.
  • Die Cloud-Plattform sollte eine externe ausfallsichere Verbindung mit einer Geschwindigkeit von mindestens 40 Gbit / s bereitstellen.
  • Die Cloud-Plattform muss über integrierte DNS- und DHCP-Dienste verfügen.
  • Die Cloud-Plattform muss IPSec-VPN-Verbindungen bereitstellen.
  • Die Cloud-Plattform sollte unabhängig vom Anbieter einen ausfallsicheren Zugriff auf das Internet bieten und mindestens vier Anbieter zusammenfassen.
  • Die Bandbreite zwischen den VMs innerhalb desselben Rechenzentrums sollte mindestens 10 Gbit / s betragen.
  • L2-Konnektivität zwischen virtuellen Infrastrukturen, die in verschiedenen Rechenzentren bereitgestellt werden.


Objektspeicherung


Anzeigen
  • Die Cloud-Plattform muss über einen Dateidienst verfügen, der mit der Amazon S3-Softwareschnittstelle kompatibel ist.
  • Die Objektspeicherung sollte nach einem Protokoll funktionieren, das die Möglichkeit bietet, jederzeit und von jedem Ort im Internet aus beliebig viele Daten zu speichern und zu empfangen.
  • Das Datenspeichersystem für Fehlertoleranz muss auf mindestens zwei Standorte des Auftragnehmers verteilt werden.
  • Das Speichersystem sollte beim Hinzufügen von Dateien erweitert werden können.
  • Der Objektspeicher muss die Versionierung unterstützen.
  • Jedes Objekt im Repository muss zwischen den Standorten des Auftragnehmers repliziert werden. Im Falle eines einzelnen Ausfalls einer der Komponenten des Objektspeichers sollte dies keine Auswirkungen auf die Servicequalität haben.
  • Möglichkeit, mit Speicher über HTTPS zu arbeiten.
  • Unterstützung für Zugriffssteuerungsliste (ACL) und Richtlinie.
  • Unterstützung für Object Lifecycle Object Lifecycle-Richtlinien.
  • Serverseitige Verschlüsselung.
  • Unterstützung für statische Websites und Benutzernamen für Websites wie mysite.ru
  • Die Fehlertoleranz des Speicherdienstes beträgt mindestens 99,99%.


IB


Anzeigen
  • Die Trennung der Kundeninformationsumgebung innerhalb der Cloud-Plattform in mehrere unabhängige virtuelle Netzwerke sollte sichergestellt werden.
  • Die Verwaltung des Zugriffs auf virtuelle Netzwerke sollte an verschiedenen Ports und Protokollen mithilfe einer kostenlosen integrierten Firewall implementiert werden.
  • Es sollte sichergestellt werden, dass die virtuellen Plattformserver zu einem virtuellen privaten Netzwerk (VPN) mit den physischen oder virtuellen Servern des Kunden kombiniert werden, die sich an einem Remotestandort oder in einem Rechenzentrum befinden.
  • Der Zugriff auf die Softwareverwaltungsfunktionen (APIs) der Cloud-Plattform muss so erfolgen, dass die Sicherheit auch bei Verwendung unsicherer Transportprotokolle nicht beeinträchtigt wird.
  • Das HTTPS-Protokoll muss verwendet werden, um auf die Softwareverwaltungsfunktionen (APIs) der Cloud-Plattform zuzugreifen. Zertifikate müssen von vertrauenswürdigen Zertifizierungsstellen signiert sein.
  • Auf virtuelle Linux \ UNIX-Server muss über das SSH-Protokoll mit kennwortloser Schlüsselauthentifizierung zugegriffen werden. Die virtuelle Plattform sollte die Möglichkeit bieten, Authentifizierungsschlüssel zu verwalten (Erstellen und Löschen) sowie einen Mechanismus bereitzustellen, auf den von der VM aus zugegriffen werden kann, um der VM während des Ladens öffentliche Schlüssel zu übermitteln.
  • Die Organisation des sicheren Zugriffs auf die Server des IT-Systems sollte über eine IPSec-VPN-Verbindung erfolgen.
  • Die virtuelle Plattform muss über eine integrierte Firewall verfügen, die für jedes virtuelle Netzwerk sowie für virtuelle Netzwerke isolierter Cloud-Umgebungen separat konfiguriert wird.
  • Das Vorhandensein der Ergebnisse eines Penetrationstests mit einer Frist von nicht mehr als 1 Jahr.


Backup


Anzeigen
  • Der Sicherungsdienst sollte vom Kunden unabhängig über die webbasierte Verwaltungsoberfläche verwaltet werden.
  • Über die Weboberfläche sollten Funktionen verfügbar sein, um den Sicherungszeitplan für einzelne Server festzulegen sowie diese manuell zu sichern und wiederherzustellen.
  • Der Datensicherungsdienst sollte nach der Tatsache der Nutzung abgerechnet und bezahlt werden, nämlich Gigabyte geschützter Daten pro Monat.
  • Der Datensicherungsdienst sollte die Möglichkeit bieten, gängige Unternehmenssystem- und Anwendungssoftware zu sichern. Auf geschützten Servern installierte Software-Agenten müssen kostenlos sein.
  • Backup-Management - über die Weboberfläche und über den Software-Agenten.
  • Verwenden des dateibasierten elastischen S3-Speichers zum Speichern von Kopien.
  • Die Verwendung der Deduplizierung.


Abrechnung


Anzeigen
  • In einer Cloud-Plattform sollte eine logische Aufteilung von VMs in Gruppen mit der Option einer separaten Abrechnung verfügbar sein.
  • Zahlung nur für das tatsächlich belegte Volumen.


Was endete


Der Test war wirklich anstrengend für uns, aber dank ihm haben wir selbst viel gelernt. Zum Beispiel haben sie sich auf ausländische Kollegen konzentriert, mehrere Verfahren ausgearbeitet und alle Dokumente in voller Reihenfolge gebracht. Eigentlich haben wir einige Zeit daran gearbeitet und dann eine strategische Partnerschaft vorgeschlagen. Denn dieses Unternehmen hat auch viele Kunden in Russland. All dies wird derzeit diskutiert, aber eine Verifizierungsmethode ist bereits erschienen. Natürlich geben die Checklisten keine vollständige Vorstellung davon, wie und wie Unternehmensberater ausgesehen haben, aber ich habe versucht, die Hauptliste zu entladen, damit Sie selbst eine Überprüfungsmethode erstellen können. Hier gibt es natürlich einige List von meiner Seite, weil wir diesen Test bestanden und gewonnen haben, dh Checklisten sind fast vollständig auf unsere Cloud anwendbar. Weil unsere Plattform ihrem großen Projekt entsprach. Ich hoffe, dass Sie den gesunden Menschenverstand verwenden und verstehen, was Ihr Projekt von der Plattform benötigt, und die Anforderungen entsprechend ändern.

Wenn es plötzlich Fragen gibt, die keine Kommentare enthalten, ist meine Mail NiVasilev@croc.ru

Source: https://habr.com/ru/post/de437194/

More articles:


All Articles