oles@ovh.net
24-06-09, 15:56
Olá,
Aproximamos-nos dos 60'000 servidores, com uma ajuda do facto de
serem cada vez mais numerosos os clientes a fazerem virtualização
e recorrerem aos servidores da Ovh, para tal.
É também em parte graças às nossas distribuições prontas a usar, aos IP
fail-over, aos IP loadbalancing e todos os serviços que propomos
(o vKVM, o KVM, o firewall), mas sobretudo porque existe procura neste
mercado (é bom fazer economias). Tecnicamente falando, tivemos de adaptar
a nossa infraestrutura técnica para propor-lhe a virtualização mas hoje
já não estamos satisfeitos com aquilo que propomos. Podemos fazer ainda melhor
e vamos fazer ainda melhor. Porquê...porque eu o mereço !
Exemplos do que fazemos ainda mal e como vamos fazer bem :
- Uma máquina virtual, que funciona sobre um servidor, é hackeada e
lança um ataque de spoof na rede, etc. Actualmente, detectamos que o
problema vem do servidor físico e bloqueamos todo o servidor em vez de
apenas bloquear a máquina virtual.
- A rede protege-se contra os servidores que alteram os MAC na
nossa rede. Quando o detectamos, a porta do servidor bloqueia-se
automaticamente (cisco humain network, enfim, não faço nada).
A rede isolou o problema cortando o servidor e então continua a funcionar
sem nenhum problema. No entanto não é muito bom para o servidor.
Assim na virtualização podemos "rotear" os pacotes ou jogar justamente
com endereços MAC. Queremos propor os 2.
Vamos então alterar algumas regras de seguranças sobre a rede a fim
de permitir estas novas utilizações mantendo no entanto um nível de
seguranças em modo "paranóico" (porque quem não for paranóico na net
tem uma esperança de vida limitada). Assim, vamos ter de alterar 30%
dos nossos switchs de rack (mais de 400 peças ... aie ! já rimos menos,
não se faz sushi sem arroz nem hamburguers sem carne nem omelete sem
ovos,....!?) para permitir aos nossos clientes a virtualização de serem ainda
mais felizes na Ovh evitando ao mesmo tempo que estes clientes felizes façam
asneiras aos outros clientes (que também são felizes na Ovh mas talvez não tanto
como os da virtualização, não agora, mas em breve ...).
Para resumir tecnicamente a evolução, as comunicações entre o servidor e "o
resto" (os outros servidores, os routers, a Internet) vão ser blindados e
protegidos num tipo de túnel a fim de permitir a estas máquinas anunciar
neste tipo de túnel um "ruído" e "coisas estranhas" sem que este "ruído"
possa ser nocivo aos outros servidores, aos routers e a Internet.
Mas o que é que ele diz ? Falando muito tecnicamente,... vou
convidar-lo a consultar o tache travaux (trabalhos na rede) onde
vamos explicar o que fazemos. Tecnicamente falando é um grande
quebra cabeças, e é preciso 4 páginas para o explicar.
http://travaux.ovh.com/?do=details&id=3187
Claro, nada vai mudar para 99.99% dos nossos clientes. Vai talvez mudar
algo para 2-4 clientes que talvez fizeram coisas "border line". Só isso.
Todos os outros clientes vão adorar porque vamos permitir mais coisas,
vamos ter uma rede blindada em betão armado e sem que reclamem (muitos
mesmo assim, mas não tantos, entendemos a mensagem).
Já tá
Amigavelmente,
Octave
Aproximamos-nos dos 60'000 servidores, com uma ajuda do facto de
serem cada vez mais numerosos os clientes a fazerem virtualização
e recorrerem aos servidores da Ovh, para tal.
É também em parte graças às nossas distribuições prontas a usar, aos IP
fail-over, aos IP loadbalancing e todos os serviços que propomos
(o vKVM, o KVM, o firewall), mas sobretudo porque existe procura neste
mercado (é bom fazer economias). Tecnicamente falando, tivemos de adaptar
a nossa infraestrutura técnica para propor-lhe a virtualização mas hoje
já não estamos satisfeitos com aquilo que propomos. Podemos fazer ainda melhor
e vamos fazer ainda melhor. Porquê...porque eu o mereço !
Exemplos do que fazemos ainda mal e como vamos fazer bem :
- Uma máquina virtual, que funciona sobre um servidor, é hackeada e
lança um ataque de spoof na rede, etc. Actualmente, detectamos que o
problema vem do servidor físico e bloqueamos todo o servidor em vez de
apenas bloquear a máquina virtual.
- A rede protege-se contra os servidores que alteram os MAC na
nossa rede. Quando o detectamos, a porta do servidor bloqueia-se
automaticamente (cisco humain network, enfim, não faço nada).
A rede isolou o problema cortando o servidor e então continua a funcionar
sem nenhum problema. No entanto não é muito bom para o servidor.
Assim na virtualização podemos "rotear" os pacotes ou jogar justamente
com endereços MAC. Queremos propor os 2.
Vamos então alterar algumas regras de seguranças sobre a rede a fim
de permitir estas novas utilizações mantendo no entanto um nível de
seguranças em modo "paranóico" (porque quem não for paranóico na net
tem uma esperança de vida limitada). Assim, vamos ter de alterar 30%
dos nossos switchs de rack (mais de 400 peças ... aie ! já rimos menos,
não se faz sushi sem arroz nem hamburguers sem carne nem omelete sem
ovos,....!?) para permitir aos nossos clientes a virtualização de serem ainda
mais felizes na Ovh evitando ao mesmo tempo que estes clientes felizes façam
asneiras aos outros clientes (que também são felizes na Ovh mas talvez não tanto
como os da virtualização, não agora, mas em breve ...).
Para resumir tecnicamente a evolução, as comunicações entre o servidor e "o
resto" (os outros servidores, os routers, a Internet) vão ser blindados e
protegidos num tipo de túnel a fim de permitir a estas máquinas anunciar
neste tipo de túnel um "ruído" e "coisas estranhas" sem que este "ruído"
possa ser nocivo aos outros servidores, aos routers e a Internet.
Mas o que é que ele diz ? Falando muito tecnicamente,... vou
convidar-lo a consultar o tache travaux (trabalhos na rede) onde
vamos explicar o que fazemos. Tecnicamente falando é um grande
quebra cabeças, e é preciso 4 páginas para o explicar.
http://travaux.ovh.com/?do=details&id=3187
Claro, nada vai mudar para 99.99% dos nossos clientes. Vai talvez mudar
algo para 2-4 clientes que talvez fizeram coisas "border line". Só isso.
Todos os outros clientes vão adorar porque vamos permitir mais coisas,
vamos ter uma rede blindada em betão armado e sem que reclamem (muitos
mesmo assim, mas não tantos, entendemos a mensagem).
Já tá
Amigavelmente,
Octave