Jak jde budování WEDOS Global, olejového chlazení a další dubnové novinky u WEDOS

[gtranslate]

Pravidelně nám píšete, jak jsme pokročili s vývojem vašich oblíbených služeb anebo s technologiemi. Dnes zkusíme udělat takový krátký souhrn.

Budování WEDOS Global

Naše celosvětová síť má teď absolutní prioritu. Potřebujeme ji k provozu služby WEDOS Global Protection, která bude chránit weby našich zákazníků na aplikační vrstvě (L7) a naši infrastrukturu na síťové (L3) a transportní vrstvě (L4).

V březnu jsme vás seznámili s plány na následující měsíce v článku Budování WEDOS Global – První domluvená místa pro infrastrukturu.

Souběžně s tím, jak domlouváme jednotlivé lokality, konektivitu, peeringy atd., jsou už rozesílány první serverové skříně HPE Moonshot 1500. Snad v každém datacentru kam servery posíláme, potřebují pro připojení těchto boxů – “krabic” s 45 fyzickými servery něco jiného, takže to balíme na míru.

První velké balení jsme pro vás nafotili.

Takže jak to zatím vypadá?

V provozu jsou 4 lokality a v nich boxy, kterým pracovně říkáme “krabice”. Vybraným zákazníkům, kteří měli problém s útoky, už přes ně jde provoz.

🇨🇿 Hluboká nad Vltavou – aktuálně řeší provoz Česka a Slovenska.
🇨🇿 Praha – má na starosti vybraný provoz z EU
🇦🇹 Vídeň – provoz z jihovýchodní a jižní Evropy a část provozu z východu
🇳🇱 Amsterdam – západní a severní Evropa a zbytek světa včetně USA a část provozu z Ruska

V Amsterdamu domlouváme přímé propojení (peering) s řadou operátorů. Pokud vše půjde podle plánu, tak je to otázka dnů.

Stav dalších bodů:

🇫🇮 Helsinky – instalace je dokončena, čeká se na propojení do internetu
🇸🇪 Stockholm – instalace je dokončena, čeká se na propojení do internetu
🇨🇭 Curych – instalace serveru by měla být dokončena do konce dubna
🇫🇷 Paříž – Moonshot je na místě, čeká se na instalaci – dokončení začátkem května
🇵🇱 Varšava – Moonshot je na místě, čeká se na instalaci – dokončení začátkem května
🇬🇧 Londýn – domluvená lokalita, smlouvy podepsány – musíme poslat
🇰🇷 Soul – domluvená lokalita, smlouvy podepsány – musíme poslat

Dále jednáme a domlouváme zhruba 30 dalších lokalit. Něco vyjde, něco ne. Aktuálně jsme nejvíce pokročili v jednání s poskytovateli v Indii. Současně s tím máme jeden testovací box na Hluboké, který je připraven k dalšímu posílení.

S tím jak budou přibývat další lokality a postupně se budeme připojovat k dalším operátorům (ISP), tak dojde k optimalizaci, jaký provoz přes co poteče. Každý HPE Moonshot má 4x 40GE a 8x 10 GE porty s full duplex připojením, takže teoreticky zvládne odbavit až 320 Gbps síťového provozu. Nám však jde hlavně o to, že můžeme mít v každé lokalitě hodně propojů na lokální poskytovatele. Konektivitu budeme řešit přes 40 GE a peeringy přes 10 GE. Když to v nějaké lokalitě nebude stačit, tak tam pošleme další “krabici”, respektive snadno přidáme další do sousedního datacentra (a tím bude větší redundance).

WEDOS Global Protection

Administrace pro ochrany WEDOS Global Protection už je v podstatě hotová. Nahlédnout do ní můžete v tomto článku. Kolegové už ji používají a spravují přes ně weby zákazníků, na které jdou útoky.

Silných útoků na aplikační vrstvě přibylo. V březnu jsme řešili spíše hacktivisty, kteří využívali stránky provádějící útoky přes JavaScript na stránce. Teď se setkáváme s profesionálnějšímí řešeními, kdy jsou útoky vedené převážně z VPS zahraničních poskytovatelů. To se jednak snadněji filtruje a také v případě potřeby můžete tyto IP zakázat. Nikomu chybět nebudou.

Aktuálně u nás už nikdo nepochybuje, že WEDOS Global Protection bude potřebovat každý, stejně jako dnes každý používá bezpečnostní balíček na počítači. Musíme to jen vymyslet a odladit tak, aby vše probíhalo zcela automaticky a zákazník nemusel nic řešit.

Co se týká vývoje WEDOS Global Protection, tak se stále pracuje na administraci. Je nutné ji propojit s hlavní zákaznickou administrací, takže řešíme spíše backend.

Obchodně stále počítáme s variantou zdarma pro osobní použití, pak levnou variantou pro firmy a lidi, kteří si potřebují nastavit nějaké individuální blokování/výjimky a nakonec bude dražší varianta, kde si budete moct vytvořit vlastní stránku, která se zobrazí podezřelému provozu.

Aktuálně používáme následující, ale věříme, že zvláště firmy ocení, když tam bude jejich logo a texty.

Výchozí stránka s Captchou

Co se týká WEDOS Global Protection, tak nás zarazilo kolik lidí se ptá na možnost skrývání skutečného hostingu. Ano, WEDOS Global Protection bude všude zobrazovat IP adresu WEDOS Global, ať máte webhosting anebo server kdekoliv. Z naší strany nikomu nebudeme sdělovat, kde hostujete. WEDOS Global Protection, tak poskytne i další vrstvu ochrany soukromí. Pokud někdo vyhrožuje vašemu poskytovateli hostingu ať vypne váš web, tak s WEDOS Global Protection budou psát nám a my jim nic říkat nemusíme.

Olejové chlazení

V posledních měsících nám elektřina pěkně prodražuje provoz serverů. Meziročně platíme 5,5x více. Oproti roku 2020 je to dokonce 7,5x tolik. Snažíme se tak urychlit i vývoj olejového chlazení.

Vývoj probíhá tak, že si necháme vyrobit vanu na míru, tu pak několik měsíců testujeme a sepisujeme si co funguje a co by šlo řešit. Pak se všechny poznatky vezmou, dají dohromady, přidají se k tomu nové nápady a nechá se vyrobit nová vana, kde se pokračuje.

Letos jsme instalovali olejovou vanu verze 6.1. Jedná se stále o testovací řešení. Jsou tam poměrně velké úpravy, takže si budeme důkladně ověřovat, jestli všechno funguje. Budeme dělat spoustu měření, analyzovat data a ladit regulaci.

Co se týká úprav, tak se primárně jednalo o optimalizaci průtoku oleje servery. Také jsme se vrátili od řešení 3 plášťové vany k jednoplášťové. Došlo k přepočítání hlavního potrubí a převaření ventilů na vyšší průřez. Řešili se také kosmetické věci, jako přemístění madel víka a design.

Stále jsme ve stádiu testování. Jakmile dokončíme dlouhodobější test, budeme vědět jestli to funguje jak potřebujeme, nebo jestli bude potřeba ještě něco ladit. Pokud něco vymýšlíte od nuly, tak je to na dlouho. Je to vývoj. Ten vždy trvá dlouho a není dobré jej lámat přes koleno. Pak by nás to dohnalo v provozu.

WEDOS Cloud, VPS ON

Všechna data z WEDOS Cloud, VPS ON, NoLimit (Extra, LowCost) a WebSite jsou již několik měsíců zmigrována na HPE 3 PAR StoreServ Storage 8450. Došlo k úpravám na síti, kdy jsme kompletně přešli na switche Arista. Síť byla výrazně posílena a upravena tak, aby byla odolnější.

Dokončení těchto úprav bylo podmínkou pro přechod služby WEDOS Cloud z testovacího na ostrý provoz.

Nové řešení postavené na HPE 3 PAR StoreServ Storage 8450 nám umožní poskytovat ke službám snapshoty a navýšit maximální velikost disku. U VPS ON je to aktuálně 480 GB, což je pro některé zákazníky málo. Technicky nejsou problém i TB, musíme však probrat s techniky, jaký to bude mít vliv na zálohování a případně snaphosty.

Mimochodem snapshoty děláme každé 4 hodiny a zároveň máme data online na 2 diskových polích současně! To je pokrok, který popíšeme zase jindy.

V plánu je další navýšení konektivity, které teď máme dostatek kvůli vývoji na WEDOS Global.

Řešení postavené na a HPE 3 PAR StoreServ Storage 8450 nám také otvírá nové možnosti zálohování. Rádi bychom poskytli pravidelné automatické zálohování a provoz více disků z více racků/lokalit.

Co se týká levných HDD, tak prozatím hledáme ideálního kandidáta. Poptávka po dalším levném i když pomalejším disku roste.

WEDOS CD

WEDOS CD byl dlouhou dubu mimo centrum dění. Vývojáře i techniky jsme potřebovali jinde. Konečně na něj přišla řada.

V pátek (22.04.2022) proběhla velká plánována aktualizace, která vyřešila řadu problémů. Museli jsme pak udělat ještě pár plánovaných odstávek k dotažení detailů, ale výsledek stojí za to.

Tato aktualizace vyřešila mimo jiné problém s nahráváním velmi velkých souborů (testovali jsme 200 GB soubory), WebDAV a (ne)fungování klienta na některých OS. Využívá se poslední verze NextCloud a vše jede na serveru s PHP8. Podle zátěžových testů, je vše několikrát rychlejší než předtím.

Služba WEDOS CD je postavena na NextCloud a po doladění je nejen rychlejší, ale také bezpečnější 😉

Jediné co nám ještě dělá problémy je online editor dokumentů.

Všichni mají rádi zelené Áčka

Kolegové poladili šifrování, aby vaše weby mohly mít na SSL testu zelené Áčka 🙂

Aktuálně je na všech NoLimit (Extra), LowCost a WebSite, které používají naše proxy servery k dispozici TLS 1.3 s “vyladěným” šifrováním. TLS 1.1 a starší jsou všude vypnuté.

Pro ty, kdo si proxy servery v zákaznické administrace vypnuli je k dispozici pouze TLS 1.2. Zanedlouho však budou všechny weby s našimi DNS přesunuty pod WEDOS Global Protection a tam je už odladěné TLS 1.3.

Závěr

Tohle je jen malá část toho, co se u nás děje. Pracujeme na spoustě projektech, ale zároveň má prioritu udržet vše v chodu, což nám bere většinu času. Proto také stále hledáme nové kolegy, kteří by nám s tím vším pomohli. Zkuste nám poslat životopis 😉