Głęboko pod ziemią, w pomieszczeniach przypominających schrony atomowe, ciągną się aleje wypełnione migotaniem diod i szumem aparatury chłodzącej. Aleje wypełnione petabajtami informacji, skrupulatnie sortowanych siłą magnetooporu. Istnieją tez ONI – istoty żywe, chyba ludzkie, czuwające nad bezpieczeństwem owych alei … Brzmi jak temat z filmu SF?
Źródło:Hakin9 02/2009 http://hakin9.org/pl/magazine/805-atak-na-vpn
Autor:DOMINIK NOWACKI

Wyróżniamy dwa typy centrów danych (ang. Data Center ) – pierwszy to małe, zamknięte centra na potrzeby jednej bądź kilku firm (np. centra danych supermarketów, szkół, małych operatorów, firm). Są one zwykle centrami najmniej rozwiniętymi technologicznie, nie posiadają szczególnych zabezpieczeń, służą do użytku wewnętrznego, niekoniecznie są podłączone do Internetu. Jednak my zajmiemy się tym drugim typem – są to komercyjne centra stworzone do utrzymywania serwerów klientów.

Komercyjne centra danych

Profesjonalne, komercyjne centrum danych powinno mieć przede wszystkim:

• w pełni redundantne łącza do sieci Internet zarządzane przez protokół BGP4 (dzięki czemu w przypadku awarii jednego z nich ruch automatycznie zostanie przekierowany na drugie),
• klimatyzację przemysłową,
• system gaszenia gazem obojętnym,
• wpięcie do co najmniej dwóch niezależnych źródeł zasilania (z wyłączeniem agregatów i akumulatorów),
• zasilanie bateryjne, które powinno być o takiej pojemności, aby móc wytrzymać do momentu uruchomienia generatora,
• generator prądu,
• ochronę fizyczną 24/7.

Jeżeli będziemy chcieli skorzystać z usług centrum danych, będziemy musieli zapłacić przede wszystkim za miejsce w szafie dystrybucyjnej (sprzedawane w modułach 19” w jednostkach 1U [wys. 44mm]) i za łącze. Przy tym wstawienie serwera w obudowie RACK 19” o wielkości 1U kosztuje o wiele mniej niż serwera w obudowie Tower. Niektóre centra danych wręcz nie przyjmują serwerów w obudowach innych niż 19”. Dodatkowo część firm pobiera również opłaty za prąd, jaki zużywa serwer.

Serwery dedykowane

Jeśli nie mamy środków na inwestycję we własną maszynę, tudzież zamierzamy korzystać z usługi przez krótszy okres, może się okazać, że bardziej opłacalne będzie wydzierżawienie serwera od centrum. Większość firm ma w ofercie takie rozwiązania. Są to urządzenia bardzo różne – od pecetów
przystosowanych bardziej do zastosowań domowych aż po profesjonalne, wielordzeniowe i wieloprocesorowe potwory do zadań specjalnych. Innymi słowy – do wyboru, do koloru – każdy znajdzie coś dla siebie.
Jeżeli zależy nam na wysokiej bezawaryjności sprzętu, gwarantowanym czasie reakcji serwisu, naprawy, profesjonalnym dobraniu komponentów – należy pomyśleć o serwerze markowym. Są dwie firmy o największej renomie, otwierające peleton – HP oraz Dell.
Ceny markowych urządzeń zaczynają się od ok. 2000 zł netto. W tej cenie nie dostaniemy jednak jakiegoś super mocnego rozwiązania, jednak dokładając trochę więcej, możemy zyskać bardzo dużo na wydajności. Nie każda firma jest w stanie sobie pozwolić na jednorazowy wydatek kilku, kilkunastu, kilkudziesięciu tysięcy złotych – z pomocą przychodzą firmy leasingowe.

Kolokacja

Z usługi kolokacji możemy skorzystać, kiedy posiadamy własną maszynę i chcemy, aby została podłączona do łączy i infrastruktury operatora centrum danych. Koszt tej usługi zależy zazwyczaj od rodzaju obudowy (Rack / Tower) oraz zapotrzebowania na łącze, jakie wyrażamy. Często centra danych uzależniają opłatę także od ilości prądu, jaką pobiera nasz serwer. Im mniej miejsca w stelażu zajmować będzie serwer (im mniej U będzie miał), tym mniejszy będzie koszt jego kolokacji w centrum danych. Część centrów danych uznaje kolokację za usługę niestandardową i pobiera wyższe opłaty niż w przypadku serwerów dedykowanych. Dlatego, jeśli jesteśmy zainteresowani tą usługą, warto zapoznać się z ofertami wielu operatorów.
Należy też pamiętać, że w przypadku kolokacji to właściciel sprzętu obowiązany jest do jego serwisowania, i to on musi zapewnić części zastępcze i ewentualny serwis w przypadku awarii urządzenia.
Kupując markowy, serwer sugeruję rozważyć wykup usługi reakcji na awarię do 4h dla newralgicznych działów IT, oferowanej przez największych producentów. Dzięki temu podczas awarii serwera nasza praca będzie sprowadzała się do wykonania telefonu do centrum serwisowego producenta.
Po zgłoszeniu awarii sprzętowej przez klienta dyspozytor wysyła kuriera ze sprzętem z magazynu oraz serwisanta w miejsce kolokacji serwera. Ponadto, dla zapewnienia możliwie najwyższego poziomu świadczenia usług, należy się upewnić, że w nocy czy też w święto podczas awarii wybrane centrum danych będzie skłonne wysłać kogoś od siebie do serwerowni, aby odpowiednio ugościć pracownika serwisu.

Systemy operacyjne

Tutaj wybieramy w zależności od zastosowań. Jeżeli chcemy korzystać z aplikacji, które działają na Linuksie, to nie ma się tutaj nad czym zastanawiać. Jeżeli zależy nam na posiadaniu Windowsa na serwerze dedykowanym tudzież kolokowanym, warto poszukać operatora, który ma podpisaną umowę SPLA (ang. Service Provider Level Agreement ) z firmą Microsoft bądź samemu takową podpisać. Dzięki temu nie trzeba płacić kilku tys. zł z góry za licencje i zawracać sobie głowy nieuchronną premierą serwerowej wersji Windowsa 7. W ramach umowy SPLA za oprogramowanie firmy Microsoft (systemy, bazy danych, serwery terminalowe itp.) płacimy miesięcznie i mamy prawo do korzystania zawsze z najnowszych wersji oprogramowania.

Łącze

Ogólnie rzecz biorąc, są 3 główne techniki rozliczania użycia łącza przez klienta. Pierwszą metodą, która jest zwykle najbardziej opłacalna przy niewielkim ruchu, jest rozliczanie za gigabajty, które są przesyłane przez serwer w ciągu jednego okresu rozliczeniowego. Drugą jest metoda 95. percentyla, polegająca na zliczaniu wartości szczytowych użycia łącza – tzw. próbek, które są pobierane w określonych odstępach czasu. Wartości szczytowe tych próbek są odrzucane.
W tej metodzie osobno zlicza się transfer wychodzący i przychodzący. W większości firm płaci się albo za ruch wychodzący, albo za przychodzący – w zależności od tego, który jest większy w danym okresie rozliczeniowym. Ostatnim typowym sposobem rozliczania łącza jest statyczny wykup łącza symetrycznego. Polega on na zadeklarowaniu przez klienta konkretnej ilości megabitów, z której chce korzystać. Ta metoda ma zarówno plusy, jak i minusy. Plusem jest to, że zawsze wiemy, ile zapłacimy za łącze, a minusem – to, że jeśli zapotrzebowanie na ruch będzie większe niż wykupione pasmo, to prędkość
transferu znacznie się zmniejszy, zaczną się gubić pakiety, zauważalnie spadnie jakość usługi. Warto także zwrócić uwagę na to, czy łącze, które zostanie przydzielone do serwera (myślę tutaj głównie o metodzie 95. percentyla i przydziale statycznym) ma limit ruchu do sieci Telekomunikacji Polskiej. Niektóre centra danych stosują politykę udostępniania tylko części pasma do sieci TP w ramach łącza – np. 20% przydzielonego pasma do sieci TP, 100%
do pozostałych operatorów. Proszę zwrócić uwagę, że obecnie w dalszym ciągu większość ruchu krajowego to ruch z i do sieci Telekomunikacji Polskiej.
Bardzo ważne jest to, aby centrum danych miało niezależne połączenia z jak największą liczbą operatorów – z dwóch powodów. Po pierwsze, w przypadku
awarii jednego z połączeń do sieci jest możliwość przekierowania ruchu na łącze innego operatora. Po drugie, dzięki temu uzyskujemy znacznie szybsze (w sensie czasu dostępu) połączenie do sieci operatora. W optymalnej sytuacji centrum danych powinno posiadać co najmniej 2 niezależne łącza do dwóch różnych operatorów.
Jednym z atutów konkretnego centrum danych może być wpięcie do punktu wymiany ruchu (np. PL-IX, ACX). Punkty wymiany ruchu zrzeszają operatorów, którzy wymieniają się ze sobą ruchem do swoich sieci. Klienci centrum danych, które wpięte jest do punktu wymiany ruchu, mają zwykle niższe czasy dostępu do sieci zrzeszonych operatorów.
Podczas wyboru oferty konkretnego centrum danych warto zapewnić sobie w umowie odpowiednie warunki SLA (ang. Service Level Agreement), czyli
czas reakcji na awarię sprzętową czy też minimalny czas przerwy w działaniu sprzętu, po którym można żądać od operatora rekompensaty.

Adresy IP

Należy pamiętać, że adresy IP przydzielane przez operatora do serwera dedykowanego czy też kolokacji są przypisane przede wszystkim nie do klienta, a do operatora i jeśli zachce się nam zmienić lokalizację naszych maszyn, trzeba będzie te adresy zwrócić. Każda zmiana adresacji jest kłopotliwa – trzeba
przekonfigurować usługi, aby działały na nowym adresie IP, zmodyfikować zaporę ogniową (firewall), pozmieniać wpisy w serwerach DNS czy też rozgłosić informacje o zmianie adresów. Dlatego tak ważny jest odpowiedni wybór lokalizacji dla maszyny – dzięki temu po prostu nie robimy sobie niepotrzebnej pracy na później. Czasami warto wydać kilka złotych więcej i mieć zapewnioną jakość niż korzystać z usług firmy, która ma niewiarygodnie niskie ceny, krótko istnieje na rynku czy też nie ma najlepszej opinii.
Kwestia liczby adresów IP, a także możliwości i cen dokupienia nowych zależy bezpośrednio od oferty danego operatora. Droższe centra danych potrafią przydzielić klientowi potrzebną ilość adresów w ramach ceny kolokacji czy też serwera dedykowanego, oczywiście po krótkim umotywowaniu, do
czego są one potrzebne. Tańsze zwykle wymagają opłat za każdy dodatkowy adres IP bądź nie dają możliwości powiększenia liczby adresów do takiej wielkości, jaka nas interesuje. Należy to sprawdzić przed zakupem serwera. Jeśli potrzebujemy dużej liczby adresów (prefiksu co najmniej /24, czyli 255 adresów IP lub /23, czyli 510 adresów IP), warto poszukać centrum danych, które ma status LIR-a (ang. Local Internet Registry) w międzynarodowej organizacji RIPE, która zajmuje się zarządzaniem zasobami adresów IP w Europie. To, czy firma jest LIR-em zarejestrowanym w Polsce (świadczącym usługi na jej terenie), możemy sprawdzić na stronie internetowej organizacji pod adresem http://ripe.net/membership/indices/PL.html.
Wyróżniamy dwa typy adresacji:

• PA – Provider Aggregatable – są to klasy (grupy, prefiksy) adresów powiązane z operatorem, który występuje w naszym imieniu o jej przydzielenie,
• PI – Provider Independent – jest to rodzaj klasy niezależnej od dostawcy, którą można swobodnie przenosić pomiędzy różnymi sieciami. Plusem klas niezależnych jest to, że gdy zmienimy operatora, nie zmienia się nam adresacja IP.

Co do kosztów całych prefiksów – znowu kształtują się one w zależności od oferty danego operatora. Niektórzy dają je za darmo, niektórzy za odpłatnością, niektórzy wcale. Pewne jest to, że nie wszyscy mogą taką klasę dostać. Adresy IP w wersji 4 nieubłaganie się kończą, stąd zarówno operatorzy, jak i RIPE prowadzą bardzo oszczędną politykę ich rozdawania. Operator i RIPE, który rozpatruje wnioski o klasy, muszą mieć pewność, że adresy nie będą leżały odłogiem.
Klasy PA przydzielane są na czas korzystania z usług danego centrum, natomiast klasy PI pozostają w naszej dyspozycji tak długo, jak prowadzimy działalność podaną podczas wnioskowania o przydział klasy.
Nawiązując do tego, co napisałem kilka linijek wyżej – że adresy IP w wersji czwartej się kończą – podczas wybierania centrum warto dowiedzieć się, czy urządzenia operatora obsługują adresy IP w wersji szóstej oraz czy operator jest w stanie przydzielić klasę adresów IPv6, a jeśli nie – to jakie są jego plany dotyczące implementacji tej wersji protokołu.

Punkty wymiany ruchu

Punkty Wymiany Ruchu Międzyoperatorskiego (ang. Internet Exchange Point) są to miejsca, w których operatorzy internetowi wymieniają się ruchem do swoich sieci. W Polsce mamy dwa większe, znane punkty.
Większym z nich jest PL-IX, czyli Polish Internet Exchange (www.pl-ix.pl), zrzesza on obecnie 78 operatorów – od operatorów sieci kablowych, przez operatorów telekomunikacyjnych (takich jak ATMAN, GTS czy Netia), aż po centra danych, sieci telefonii komórkowej, konsorcja medialne i operatorów
zagranicznych.
Kolejnym punktem wymiany ruchu jest AC-X (www.ac-x.pl), stworzony przez operatorów ATMAN oraz Crowley Data Poland. Zrzesza on znacznie więcej sieci, jednak są to zwykle sieci dużo mniejsze i podpięte przez innego operatora.

Bezpieczeństwo

Bezpieczeństwo jest kolejnym argumentem przemawiającym za kolokacją serwera bądź jego wynajęciem od centrum danych. Należy pamiętać o zagrożeniach dla serwera i łącza ze strony sieci Internet. Najważniejszymi są ataki DDoS (ang. Distributed Denial Of Service), z którymi dość trudno się walczy. Nie należy zapomnieć także o atakach typu brute force np. na usługę ssh. Skuteczne zabezpieczenie przed takimi atakami wymaga pewnego nakładu kosztów na urządzenia bądź (w mniejszym zakresie) ogromnego nakładu pracy na napisanie odpowiednich reguł zabezpieczeń. W dobrych serwerowniach możemy zapomnieć o problemach wymienionych powyżej. Oczywiście w dalszym ciągu musimy zabezpieczyć swój serwer przed atakami, przed którymi firewalle nie są nas w stanie uchronić. Podczas wyboru partnera, który będzie świadczył dla nas usługi kolokacji, tudzież wynajmował nam serwer dedykowany, należy się dokładnie dowiedzieć, jaka jest procedura postępowania w konkretnym centrum danych w przypadku ataku na serwer – czy jest on odłączany (tanie, mniej zaawansowane, lowendowe serwerownie), żeby nie zagrozić działaniu sieci, czy też jest broniony przez urządzenia i pracowników centrum (lepsze serwerownie). Jest to bardzo ważny element, o którym nie wolno zapomnieć szukając miejsca dla swojego projektu.

Dla kogo?

Lepiej powierzyć swoją maszynę dobremu centrum danych z kilku prostych przyczyn:

• profesjonalne centrum danych ma o wiele lepsze warunki techniczne dla serwera,
• umieszczenie urządzenia w centrum jest wbrew pozorom o wiele tańsze niż w swojej firmie. Istotnie, trzymając serwer u siebie, nie zapłacimy za miejsce dla niego. Za to detaliczne kupno łącza od operatora będzie nas kosztować dużo więcej. Przypominam, że minimum dla zachowania najwyższej jakości usług jest posiadanie dwóch łączy o tej samej przepustowości oraz zasilania awaryjnego, a w celu ochrony przed dłuższymi awariami – generatora. Budowa tak profesjonalnej infrastruktury dla kilku serwerów jest zwykle nieopłacalna.

Potrzebuję czegoś więcej niż hosting WWW, a serwer  dedykowany jest dla mnie zbyt duży

Istotnie, wiele firm staje przed takim dylematem. Konto WWW ma zbyt słabe parametry dla projektu albo po prostu występuje potrzeba uruchomienia własnych aplikacji. Nie jest to jednak tak duże zapotrzebowanie, aby od razu uruchamiać serwer dedykowany. Z pomocą przychodzą dostawcy rozwiązań wirtualnych – czyli dostawcy serwerów VPS. Serwer VPS jest wydzielonym kawałkiem serwera dedykowanego o ustalonych prawach do zasobów. Jest zwykle znacznie tańszy od dedyka, czasami praktycznie nie ustępując mu w funkcjonalności i wydajności.
Warto się zastanowić, czy projekt ma aż takie wymagania, że trzeba na niego przeznaczyć cały, droższy serwer dedykowany, czy może wystarczy serwer wirtualny, dzięki któremu możemy zaoszczędzić miesięcznie nawet kilkaset złotych.

Podsumowanie

Podsumowując, wybór centrum danych nie powinien być decyzją chwili podjętą na podstawie zasłyszanej w radiu, przeczytanej w gazecie, wyświetlonej kontekstowo w Googlach, czy pięknie wypozycjonowanej reklamy. Warto jest się zastanowić czy aby na pewno warto skorzystać z tańszej oferty – np. lowendowej, gdzie w przypadku awarii albo będziemy długo czekać na naprawę, albo dużo za nią zapłacić. Warto dowiedzieć się w jakich godzinach można uzyskać pomoc od pracowników zlokalizowanych na miejscu w centrum, w jaki sposób reagują na awarię łącza, jakie mają zabezpieczenia czy to przed awarią łączy, brakiem dostaw prądu czy też dostępu fizycznego do Centrum.
Warto dowiedzieć się jaką procedurę centrum zastosuje, gdy otrzyma zgłoszenie o rozpowszechnianiu treści czy też oprogramowania naruszającego czyjeś dobra, czy zadzwonią do klienta z prośbą o usunięcie pliku? A może po prostu wyłączą serwer? Należy pamiętać, że każdy przestój w działaniu serwera, szczególnie w godzinach szczytu, może narazić nas na starty. Mogą to być straty finansowe (brak sprzedaży, reklamacje z powodu nie wyświetlania reklamy), w odwiedzinach strony, pozycji w Googlach czy też w końcu straty na opinii o serwisie wśród internautów. Żegnając się z Państwem chciał bym zostawić przesłanie – kupuj rozważnie. Tanie i dobrze rozreklamowane nie znaczy dobre.