Pamatujete si, jak jsme na konci článku Přesun NoLimit ze starých serverů na nové byl dokončen napsali, že se konečně můžeme pohnout dál a že se rozhodně máte na co těšit? Tak jsme se pořádně opřeli do práce a stihli jsme vše potřebné do Vánoc. Pod stromeček od nás dostanete navýšení výkonu vašeho webhostingu NoLimit o 257 % a následně v lednu novou službu WEDOS Global Protection!
Respektive vám to od 24.12.2021 oficiálně oznamujeme 🙂 K navýšení parametrů dojde až v polovině ledna.
Kdo nic nedělá nic nezkazí, ale také se nikam neposune
Tento rok u nás proběhlo velké množství úprav a vylepšení. Přesunuli jsme data služeb na nová úložiště HPE 3 PAR StoreServ Storage 8450. Aktuálně jich máme v provozu 6 a 1 na testování. Dalších 6 nám dorazilo v minulých dnech do našeho druhé datacentra WEDOS DC2 a budeme moct začít s přípravou replikací, která posune bezpečnost dat, zálohování i dostupnost o další úroveň. Kdo bude mít zájem, tak bude moci mít data na 2 datových úložištích současně a to ve 2 datacentrech. Každý zápis, každá změna se automaticky propíše do obou úložišť.
Provedli jsme rozsáhlé úpravy interní sítě. Byla navýšena kapacita linek, záložní linky, snadněji a rychleji umíme řešit problémy. Vše se připravuje také na nasazení zcela nové globální služby WEDOS Global, což bude naší největší investicí od stavby DC2. Pokud bychom vzali ceníkové ceny hardware a smlouvy na 2-3 roky, tak investice hodně přesáhnou 100 milionů Kč. O WEDOS Global se dozvíte níže v článku (a hlavně o tom uslyšíte v budoucnu), protože bude (nejen) součástí vylepšení NoLimit 😉
Došlo k řadě úprav na našem cloudovém řešení postaveném na OpenNebula. Vývoj v tomto ohledu byl poměrně náročný, protože najít ideální řešení pro stovky tisíc služeb různého druhu a zaměření, moc lidí na světě nedělá.
Mimo to proběhly desítky dalších úprav souvisejících s hardware, software, interními systémy a procesy. Ano, bylo to doprovázeno i řadou menších komplikací a malá část našich zákazníků se potýkala se souvisejícími problémy, ale bez toho prostě takto velký pokrok neuděláte. Kdo nic nedělá, nic nezkazí, ale také se nikam neposune. A my jsme naše služby za poslední rok opravdu posunuli. Je pravdou, že to někdy bolelo. Nejen nás, ale i některé zákazníky. Aktuálně však máme služby nejen rychlé, ale také i stabilní.
Je nutné napsat i to, že v posledních měsících máme, kromě plánovaných úprav (během plánovaných změn), dostupnost téměř všech služeb 100%. A to máme tisíce serverů a stovky tisíce zákazníků a služeb.
Jak vylepšit NoLimit?
Aktuální NoLimit jede na rychlých serverech HPE Moonshot s procesory o taktu 3,8 Ghz, které jsou v serverových skříních HPE Moonshot 1500, kde máte 45 serverů v jednom boxu a jsou tam i 2 switche a celkovou konektivitu 320 Gbps . Databáze i samotná data jsou na chytrých ALL FLASH úložištích HPE 3 PAR StoreServ Storage 8450. Všude používáme značkové serverové SSD určené pro náročný serverový provoz.
Samotná služba webhostingu NoLimit aktuálně poskytuje 7 samostatných PHP vláken, 256 MB paměti pro běh skriptu, HTTP/2 a reverzní proxy pro cachování obsahu. Pokud zákazník umí optimalizovat své skripty, tabulky v databázi a cachovat obsah, tak na tom díky rychlým procesorům bez problému může provozovat weby s návštěvností ve vyšších desítkách tisíc lidí za den. Takových zákazníků máme dneska stovky.
Víme to, protože logy ze všech serverů stahujeme na centrální server a přes Elasticsearch vyhodnocujeme.
Pro náročnější weby, které potřebují například více paměti, máme příplatkovou službu Extra a pro ty co potřebují výkon tak WMS, což jsou NoLimit na vyhrazeném hardware s vyhrazeným výkonem. Můžete si pro sebe koupit doslova kus fyzického serveru a tam vám jede běžný webhosting NoLimit.
Z našich dat opět víme, že třeba na WMS jel jeden z nejnavštěvovanějších webů v ČR postavených na WordPress, alespoň co do nárazové návštěvnosti. A to nebyl zrovna ideálně optimalizovaný. Jednalo se o stovky tisíc návštěv za den a miliony requestů.
Zdálo by se, že máme ideální služby pro každého, ale proč někdo má problém i na WMS rozchodit WordPress s pár návštěvami za den?
Hledání problému
Příčin, proč je web pomalý je mnoho. Zákazníci si správně neumí nastavit cache, občas nějaký plugin potřebuje více spojení ven, špatně řešená přesměrování, přeplněné neoptimalizované databáze, problémové pluginy či šablony atd.
Za normálních okolností všechno krásně funguje a jede rychle. Po delší době se přihlásíte do administrace a je pomalá. Zničehonic dostáváte hlášení o výpadku. Ve svých statistikách Google Analytics nevidíte žádný velký provoz a už nám hlásíte chybu.
Problém je v tom, co nevidíte
Tyto problémy způsobují dlouho běžící skripty, které někdo zavolal přímo. Jedná se o robota anebo automatický skript, který nenavštíví váš web jako běžný návštěvník a nespustí ve svém prohlížeči JavaScript vašeho kódu Googel Analytics.
Nejčastěji to je útok, ale může to být i skript nějaké údržby WordPress. Pokud nesledujete logy (access log a error log), tak to nenajdete.
Pokud WordPress či jiný web spravuje zkušený uživatel, tak dokáže řadu situací ošetřit. Například mu volání přesměrování anebo neexistující stránky nebude trvat několik vteřin. To je problém řady našich zákazníků, kterým stačí aby se tam proběhl robot, co hledá existenci zranitelností a končí na 503.
Na obrázku vidíte zkoušení existence souboru shell.php robotem. Využívá k tomu řadu IP adres tak, aby se vyhnul detekci. Jsou to vždy různé domény, které mají stejný problém – nechávání na WordPress a často několika pluginech řešit chybové stránky 404 a přesměrování 301. To jim přetěžuje weby, protože na několik vteřin spotřebuje PHP vlákno. .htaccess by tohle zvládl vyřešit v jednotkách ms.
Jenže ani .htaccess není všemocný a nemá neomezenou kapacitu. Zkuste do něho dát stovky pravidel…
My samozřejmě weby zákazníků chráníme. Provozujeme asi největší aktivní blacklist, který se neustále aktualizuje. Jenomže řada útoků je velice opatrných. Během 7 dnů provedou jen pár nenápadných requestů, které by nikdo ani nepostřehl (jsou napříč doménami i IP rozsahy).
Za normálních okolností by tohle nevadilo. Když ale zákazník nemá dobře optimalizované skripty, zrovna se mu tam těchto robotů sejde více, anebo tam zrovna je hodně aktivní robot nějakého vyhledávače, tak to vede k vyčerpání 7 PHP vláken, pak se přístupy začnou řadit do fronty a po 30 vteřinách zahazovat. Vrací se chyba 503.
Zvedáme počet PHP vláken ze 7 na 25
Většina zákazníků tuto problematiku nechápe a není schopná to jakkoliv vyřešit. Neposlouchají doporučení od zákaznické podpory, nečtou naše články a návody jak to řešit a často pak radši poslechnou nějakého “zkušeného odborníka”, který jim poradí ať jdou ke konkurenci.
Dali jsme hlavy dohromady, prošli statistiky a spočítali, že velkou část těchto lidí zachrání pokud navýšíme počet vláken na 25. Ano, potenciálně tak NoLimit zvládne odbavit o 257 % více requestů, což jsou u zkušenějších zákazníků další vyšší desítky tisíc návštěvníků anebo jednotky robotů.
Rezerva v podobě navýšení počtu PHP vláken o 257 % zajistí, že i neoptimalizovaný web ustojí občasné nápory robotů, skripty zmateně komunikující ven, několikanásobné spuštění různých telemetrií a analýz atd.
Je to neskutečné plýtvání zdroji, ale to je trend současnosti. Před 10 lety webmasteři své weby monitorovali, optimalizovali a když něco zlobilo, tak to nahradili anebo sami upravili. Dnes nainstalují CMS, nahrají tam doporučená rozšíření a několik dalších pluginů, které by se mohly hodit a dále se o to nestarají. Musíme se tomu přizpůsobit.
Současně s tímto extrémním navýšením počtu PHP procesů navýšíme i některé parametry PHP.
Je třeba nasadit WEDOS Global Protection
Součástí naší celosvětové sítě nové služby WEDOS Global budou i služby z řady WEDOS Protection. Mezi nimi je i pokročilejší filtr, který potenciálně problémovým přístupům dá do cesty nějakou překážku. Může se jednat o jednoduché přesměrování, automatický test zda prohlížeč zvládne přijmout cookie a v případě problémových IP klidně i captcha.
Jednotlivé části webu přitom mohou být chráněny odlišně. Například adresář s administrací pro návštěvníky mimo ČR automaticky s cookies, pro Asii capatchou apod. O tohle se většinou nebudete muset ani starat. Vše nastavíme za vás.
Samozřejmě tohle je jen příklad. WEDOS Global Protection jsou ve vývoji. Máme tuto ochranu však nasazenou u řady zákazníků, kterým neskutečně pomohla. Víme, že to funguje.
WEDOS Global Protection bude v základní verzi nasazena u všech NoLimit. To co vidíte na výše uvedených screenshotech už nebude. Teď nemůžeme blokovat všechen podezřelý provoz, blokujeme jen ten závadný. WEDOS Global Protection však bude klást do cesty útočníkům překážky, které je zastaví.
Mimochodem WEDOS Global bude podporovat i HTTPS/3, takže u 73 % návštěvníků, jejichž prohlížeč už to podporuje dojde k výraznému nárůstu rychlosti.
S novou službou WEDOS Global Protection máme velké, přímo globální ambice. Služba od počátku bude na všech kontinentech a bude složena z více než 1.100 fyzických serverů, které budou připojeny ve 25 datacentrech po celém světě. Pokud bude potřeba, tak kapacitu budeme postupně navyšovat. Aktuálně jednáme o desítkách dalších lokalit.
Jak se změní parametry služby NoLimit
Základem je navýšení počtu PHP vláken ze 7 na 25. To proběhne u všech služeb NoLimit automaticky. Nic tedy nemusíte měnit. Služba Extra bude samozřejmě mí t vyšší parametry pro běh skriptů, denní zálohování, garance dostupnosti a tak dále zůstane.
SNI bude automaticky součástí služby NoLimit. SNI díky HTTP/2 zvyšuje rychlost stažení celého webu.
Samozřejmě je nutné navýšení počtu PHP vláken promítnout do ceny služby. Dáváme vám o 257 % více výkonu a to znamená méně zákazníků (služeb) na fyzickém serveru. Nová cena za službu bude 68,80 Kč bez DPH za měsíc. Cenu zvedáme o 25,80 CZK (SNI je v ceně služby), tedy o 60 %. Za 60 % navíc dostanete o 257 % více výkonu a k tomu jakmile to bude možné ochranu WEDOS Global Protection. Samotná cena této ochrany bude ve světě účtována za stovky korun měsíčně, protože jak známo, tak podobné ochrany jsou velmi drahé (a také náročné na vybavení a nastavení).
Za cenu 1 kávy v lepší kavárně získáte měsíční webhosting s parametry, které jsou mimořádně nadprůměrné.
Cena se začne počítat až od dalšího fakturačního období (od prodloužení). Konkrétně zhruba v polovině ledna provedeme navýšení výkonu a všechny vystavené výzvy k úhradě od té doby už budou na novou cenu. Můžete tak využít příležitosti a službu si prodloužit ještě teď za nižší cenu. Lze to v administraci.
Nezdražujeme webhosting kvůli nějaké inflaci nebo dražším energiím nebo dražším nákladům na mzdy našich pracovníků. Z tohoto pohledu cena zůstává stejná, ale výrazně navyšujeme výkon a přidáváme služby za které se ve světě platí desítky dolarů měsíčně (naše nová ochrana WEDOS Global Protection).
O WEDOS Global Protection napíšeme příště mnohem více.
Více vláken nepotřebuji, jsem ze staré školy a umím si vše optimalizovat
Pokud takto brutální výkon nepotřebujete a stávající parametry vám stačí, tak pro vás máme dobrou zprávu. Pro nadšence jako vy jsme vytvořili nový LowCost. Má 7 PHP vláken a dokonce u něj není povinné SNI (to půjde vypnout/zapnout, počítáme za 0 Kč, než se rozhodneme co se SNI dále), protože víme, že stále jsou lidé, kteří jej nepotřebují. Je však pravdou, že to bez toho brzo již nepůjde…
Přechod z NoLimit na LowCost je samozřejmě zdarma. U NoLimit bude LowCost jako doplňková služba, kterou si před prodloužením služby jen zapnete. Funguje to obdobně jako Extra. LowCost tak nepůjde kombinovat s Extra. Pro zkušené uživatele to není problém, protože zálohy si vyřeší sami přes 5 GB WEDOS Disk, který je ke službě zdarma, skripty umí optimalizovat (kdo zkušený potřebuje 512 MB RAM a více pro běh skriptů, případně další vyšší parametry, tak stejně radši koupí WMS) a garanci dostupnosti stejně uznáváme všem, pokud se stane chyba u nás.
Obdobně to bude s příplatkovou službou neomezeně aliasů. Většina zákazníků, která provozuje na NoLimit i desítky webů, často pozapomene na nějaký starší web na aliasu a ten pak způsobuje problémy (bezpečnostní zranitelnosti, chybí opravy atd.). Proto u služby LowCost nebude služba neomezených aliasů možná. Zkušenější uživatelé se z našich zkušeností spíše snaží služby oddělovat na samostatné webhostingy, případně použijí WMS, kde lze mít více webů bez aliasů.
Hosting LowCost také nebudou tak přísně chráněny WEDOS Global Protection. Ta má částečně řešit potenciální bezpečnostní zranitelnosti za zákazníka. U hostingu LowCost předpokládáme, že zkušenější vývojář, pro kterého je služba určena si to dokáže ochránit sám, případně tam bezpečnostní “díru” nechá schválně (třeba z důvodu kompatibility se starým řešením). Ovšem tohle vše budeme ještě testovat a uvidíme podle získaných dat.
Závěr
Dlouho jsme přemýšleli jak “problémové” weby vyřešit. Zkoušeli jsme to návody, komunitním fórem, máme CMS experty, kteří poradí, ale nic z toho úplně nefungovalo. Jediným řešením je pořádně plýtvat výkonem a zlepšit ochranu webů.
Samozřejmě to nechceme dělat na úkor lidí, kterých se problém týká, proto vznikne tarif LowCost, kteří si ti zkušenější aktivují.
Zároveň chceme nejpozději v zimě nabídnout speciální webhosting pro CMS, kde bude k dispozici nejrychlejší možné řešení. Ale o tom zase příště. Navíc na všechno předložíme benchmarky.