Blízká budoucnost aneb co nás teď čeká

Pravidelně píšeme o připravovaných službách jako je třeba WMS, WEDOS Cloud anebo B2B/VIP. Ty už jsou však víceméně za dveřmi. Konkrétně u WMS se ladí poslední detaily pro veřejný beta test a předpokládáme, že službu spustíme v srpnu. WEDOS Cloud se zasekl na pár maličkostech, které technici již brzy vyřeší a testujeme poslední detaily.  Nová B2B/VIP už je v testovacím provozu.  Co se týká Datacentra WEDOS 2, tak tam už finišují práce, aby mohl po prázdninách začít testovací provoz. Modernizace Datacenta WEDOS 1 má první  část ze dvou již úspěšně za sebou. Co bude ale dál? 😉

Datacentrum WEDOS 3

Je velmi odvážné psát o třetím datacentru, když v tom druhém ještě nezačal ani testovací provoz.  Faktem ale je, že Datacentrum WEDOS 1 se postupně plní a pokud bychom opět narazili na další super nabídku jakou byla koupě 254 fyzických serverů ProLiant DL320e Gen8 v2 za zlomek ceny, tak by to mohl být problém, zvláště když jsme si jistí, že bychom dokázali za dobrou cenu prodat i 5x tolik. Vždyť ProLiant DL320e Gen8 v2 je v nabídce jen, když se nějaký zrovna uvolní.

Zároveň se na nás stále obracíte, že chcete od nás housing. Poskytovat v současném datacentru nic takového v plánu není. V druhém datacentru, které dokončujeme, housing už vůbec nepřipadá v úvahu…, protože tam je jen a pouze olejové chlazení. A popravdě, kdo z vás má doma servery, které lze chladit v oleji? 🙂

Naše první datacentrum se krok za krokem plní. Celkově se nám tam vejde necelých 70 racků, ale v reálu počíteme tak s 52. Už nyní je část kapacit obsazená a nyní jsme přešli na servery HPE Moonshot, kde je obrovská hustota výpočetního výkonu.

Teď tam máme v současném datacentru obsazených několik desítek racků a nově i 26 serverových skříní HPE Moonshot, na kterých jedou všechny naše nové služby. Vzhledem k tomu, že do každého boxu HPE Moonshot, který je velký 4 a 1/3 U (tedy jak dva klasické servery) se vejde 45 samostatných fyzických serverů, tak je poměrně náročné je uchladit, proto mohou být aktuálně v samostatném racku maximálně 4. Pro jistotu. Vešlo by se jich tam více, ale celkově by to byl velký nárok na chlazení.  Uvidíme do budoucna.

Kompletně osazený HPE Moonshot v sobě má 45 serverů, 2x switch, 4x zdroj

Na druhou stranu jeden HPE Moonshot vydá za více něž jeden a kus racku běžných serverů. To je důvod, proč jsme na ně vsadili a proč stavíme DC2 kompletně pro olejové chlazení, které je nesrovnatelně efektivnější a není problém tak doslova zvýšit hustotu výpočetního výkonu 🙂

V druhém datacentru bude prostor na cca 240 boxů HPE Moonshot, což je 10.800 fyzických serverů. Jedná se o mimořádně výkonné servery. Reálně to je kapacita, která utáhne celý český internet a ještě zbyde. Tak to musíme zaplnit.

Prostě nechceme nechávat nic náhodě a DC3 (Datacentrum 3) jsme museli přesunout ze střednědobého plánu do situace “potřebujeme teď” 🙂

V současné době už máme pozemek, připravuje se projektová dokumentace a do konce prázdnin se rozhodneme na 100%, zda budeme stavbu realizovat hned nyní nebo ne a až někdy v budoucnu. Pokud nyní, tak bychom na podzim rádi zažádali o stavební povolení. Mezitím si necháme udělat železobetonové “součástky” na míru a jakmile dostaneme stavební povolení, tak si DC3 WEDOS do pár týdnů prostě složíme.

Pokud vše půjde podle plánů, tak v druhé polovině 2020 už bychom rádi dělali na technologické infrastruktuře DC3 a od počátku roku 2021 rozjeli plný provoz.

Předpokládáme, že vše půjde rychle, protože nebudeme řešit přípravu na certifikaci TIER IV,  jako tomu bylo u DC2. Nebude to ani tak jedinečný projekt kvůli olejovému chlazení. Uděláme si hezké nové moderní datacentrum, pro běžný provoz. Žádné zbytečné vymoženosti. Jen vše nadstandardně zálohované, X krát 100 Gbps trasy a zvažujeme i takový speciální serverhousing nejen pro jihočeské IT firmy.  Ale nepředbíhejme. Uvidíme, jak finálně dopadne projektová dokumentace 😉

Ve výsledku počítáme s tím, že mezitím spustíme druhé datacentrum, dokončíme upgrade prvního (vše naprosto duálně rozdělujeme na maximální spolehlivost – inspirovali jsme se nápady z TIER IV).  Tím se nám uvolní ruce a několik našich lidí, kteří se podílejí na výstavbě druhého a na upgradu prvního datacentra, se začne nudit 🙂 To samozřejmě přeháníme. 

Do výstavby druhého datacentra jsme nainvestovali již přes 50 milionů korun. V této částce počítáme jen stavební práce a investice do vybavení. Nejsou v tom zahrnuté nějaké různé náklady s tím související (například 3 nové optické trasy nebo trasa chlazení)… To jsou další miliony. Nejsou tam zahrnuté ani náklady na mzdy několika lidí, kteří se stavbě věnují prakticky na plný úvazek již několik let. Vše si řešíme vlastními silami, stavbu si řídíme vlastními lidmi a velkou část realizace děláme také ve vlastní režii.  Tohle jsou další a další miliony korun (respektive částka blížící pomalu k 20 milionům korun). Celkově to tedy není žádná drobná investice, ale záležitost, kdy nás to bude stát reálně kolem 100 milionů korun. A to v tom není jeden jediný server… To víte, ale vše je několikanásobně jištěné. V druhém datacentru najdete například 5 motorgenerátorů, 4 druhy chlazení, různé nezávislé napájení bez souběhu (jedno pod stropem a druhé pod podlahou a každé z jiné strany budovy), vše nehořlavé nebo s funkční odolností proti požáru na 90 minut…

U třetího datacentra naopak počítáme s výrazně menšími náklady. 

World Wide WEDOS aneb celosvětová WEDOS CDN

V roce 2014 jsme se stali cílem rozsáhlých a dlouhotrvajících DDoS útoků. Tehdy jsme pochopili, že pokud chceme přežít a růst, tak musí být kybernetická bezpečnost naší prioritou. Ročně tak investujeme více jak 10 % všech nákladů do vývoje a rozvoje našich bezpečnostních technologií.

K dnešnímu dni jsme odfiltrovali 670.851 DDoS útoků!!!

Sondy – servery pro detekci závadných paketů máme v různých pražských datacentrech. V roce 2016 proběhl jejich rozsáhlý upgrade.

Dostali jsme se tak do stavu, kdy máme a umíme poskytnout jedno z nejbezpečnějších řešení na ochranu před kybernetickými útoky v ČR. Pravidelně k nám chodí návštěvy z velkých IT společností a když vidí, jakou masivní bezpečnostní infrastrukturu se nám podařilo za ty roky vybudovat, tak nám říkají, že by se jim taky líbila a hned by jí vyměnili za to, co používají.

Umíme filtrovat útoky o síle desítek Gbps, tedy čistit provoz. Aktuálně máme na Hlubokou konektivitu  3x 100Gbps (fyzicky 3 různé trasy od 2 různých poskytovatelů do 2 různých lokalit), což z nás dělá prakticky nejlépe připojené datacentrum v regionu. Do internetu máme konektivitu od několika poskytovatelů a v součtu ještě vyšší.

37 Gbps DDoS útok. Díky 100 Gbps lince v reálném čase detekován, zanalyzován a nasazena filtrace. Cíl to ani nezjistil. Tak vypadá automatizace po 6 letech vývoje, která umí zajistit klid vašemu webu v řádech vteřin.
DDoS útok 24,8 Gbps na našem veřejném grafu přenosů. Jak vidíte na modré čáře (přenosy ven), tak služeb našich zákazníků se to nijak nedotklo.

Začali jsme se také věnovat IPS/IDS ochranám, postaveným na technologii deep packet inspection a strojovém učení. V běžném provozu mají naše IPS/IDS ochrany přes dvacet tisíc aktivních filtrů, jejichž počet se neustále mění podle aktuálních hrozeb.

Dokážeme tak bránit například weby před různými chybami v redakčních systémech. Aktuálně jen na HTTP, ale již brzo na HTTPS. 

Nasazení IPS/IDS ochrany na testovacím vzorku v roce 2016. Během 15 minut prověřeno téměř 6 milionů paketů.

Tento rok jsme úspěšně nasadili nový druh velmi rychlé ochrany webových aplikací na základě našeho “privátního honeypotu”, který v podstatě tvoří data z více jak sto třiceti tisíc domén. Tato data zpracováváme a vyhodnocujeme v reálném čase. Navíc filtry fungují i při extrémně silném útoku, který by běžnou IPS/IDS ochranu dokázal odstavit.

Jen pro představu – přes 43% paketů  vůbec do naší sítě nepustíme a rovnou filtrujeme na vstupu. O tohle jsou naše servery “ochuzeny”. 

První nasazení nového druhu ochrany a její vliv na 10 nejvytíženějších webhostingů. Na grafu je vidět, jak ochrana postupně sbírá data a vyhodnocuje útoky. Ty postupně filtruje, až zůstane jen čistý provoz.

Takže máme v podstatě 3 odlišné technologie zjišťování útoků a každá filtruje jiným způsobem. V případě nouze dokáže jedna ochránit weby, když ta druhá by měla výpadek. Ale hlavní je to, že se mezi sebou vzájemně doplňují. 

Řekli jsme si, že když tohle všechno máme, tak proč nenabídnout bezpečný WEDOS prostor i pro ostatní. Naši zákazníci s WEDOS NoLimit jsou už chráněni kompletně (DDoS i IPS/IDS). Služby VPS SSD, VPS ON a dedikované servery chrání DDoS ochrana částečně (do 1 Gbps, při nových útocích experimentálně i daleko více – sbíráme data a zkušenosti).

Letos jsme chtěli spustit celosvětovou anycast DNS službu a tohle je v podstatě další krok.

Při volbě vhodného řešení jsme zjistili, že by nebyl problém propojit tyto naše anti DDoS a IDS/IPS technologie s naší WEDOS proxy a již zamýšlenou Anycast DNS. V podstatě tak můžeme provozovat skutečnou CDN s ochranou. Respektive spíše to bude ochrana s doplňkovou službou CDN po celém světě.

Podle návrhů nám bude stačit v první fázi vybrat 5 významných světových lokalit a do každé umístit celkem 45 fyzických serverů na 2x 100 Gbps linku. Do budoucna počítáme s tím, že těch lokalit může být několik desítek nebo stovek po celém světě.

V této věci už jsme provedli první kroky a kontaktovali potenciální partnery, kteří mají potřebné zázemí v zahraničí. Domlouváme detaily. Letos bychom chtěli službu nabídnout všem klientům.

Požádali jsme RIPE o přidělení nového autonomního systému, nového rozsahu IP adres, které budeme používat pro novou anycast službu.  Chceme to mít zcela oddělené od stávajících služeb i z tohoto pohledu.

Přemýšlíme nad finálním názvem… Nějaké nápady máme. Pokud nám poradíte, tak Vám  nabídneme antiDDOoS doživotně zdarma 🙂 Napište nám.

Momentálně také přemýšlíme nad vhodným obchodním modelem. Chceme určitě udělat základní verzi ve velmi levném provedení nebo zdarma, pak jeden levnější tarif pro běžné sdílené webhostingy a hodně vymazlenou variantu pro hodně navštěvované komerční projekty.

O této nové službě napíšeme více detailů v nejbližších dnech.

Závěr

A to není zdaleka vše. Máme rozjeté další projekty, které postupně odhalíme. Některé zde na blogu jiné snad už na konferencích v našem druhém datacentru 🙂