Типы ресурсов Cloud Engine

Cloud Engine — решение по предоставлению облачных ресурсов для создания масштабируемой вычислительной инфраструктуры, администрирования и сопровождения сервисов.

Типы ресурсов, доступные для заказа:

• Зональные — серверы, диски, снимки и образы дисков, а также подсети, пулы публичных IP-адресов и виртуальные IP-адреса. Привязаны к зоне доступности;
• Глобальные — облачные сети и группы безопасности. Могут быть настроены вне зависимости от расположения.

Зона доступности — это группа вычислительных кластеров, расположенных на одной территориальной единице. При создании сервера задаётся его зона доступности. Распределение ресурсов по разным зонам снижает риск потери данных при выходе из строя одной из них.

Для доступа и взаимодействия сервера с сервисами в сети Интернет подключается публичный IP-адрес. Публичные адреса для каждой зоны доступности выделяются из заранее определённого пула свободных адресов. Публичные IP-адреса являются статическими, так как не изменяются при остановке ресурсов и резервируются для дальнейшего использования, даже если не привязаны к облачным ресурсам.

Виртуальные IP-адреса являются дополнительными IP-адресами, которые можно назначить одному или нескольким серверам. Виртуальный IP-адрес можно использовать для балансировки нагрузки между серверами.

Слои изоляции

Логическая изоляция на уровне гипервизора

На данном уровне реализована изоляция с помощью гипервизора. Благодаря его архитектуре и средствам управления виртуальной средой виртуальные машины могу быть изолированы друг от друга. В T1 Облако реализована аппаратная виртуализация при помощи набора команд Intel VT-x. Взаимодействие виртуальных машин независимо от того, размещены они на одном или разных хостах, может быть реализовано только с помощью организации между ними доступа L3.

Изоляция управляющей сети провайдера от виртуальных сетей облачных пользователей

Управляющая сеть имеет два уровня:

• Underlay — физическая сетевая инфраструктура, обеспечивающая связность всех физических компонентов облачной платформы;
• Overlay — виртуальная сетевая инфраструктура, использующаяся провайдером для работы сервисов и конечными пользователями.

Underlay в T1 Облако делится на два сегмента (VLAN):

• технологический — используется для работы сети Overlay;
• служебный — используется для передачи данных между серверами.

Трафик в служебные сегменты сети Overlay и сеть Underlay контролируются ACL (Access Control List) на TOR (Top-of-rack) и граничными маршрутизаторами (Border Routers), аппаратными межсетевыми экранами на периметре физической сети, программными межсетевыми экранами на серверах и security groups (встроенными межсетевыми экранами на уровне виртуальной сети).

Изоляция трафика виртуальных сетей на уровне физической сети

Пользовательский трафик виртуальной сети может проходить через физическую сеть (например, при передаче от одного физического сервера клиента на другой физический сервер). В этом случае трафик виртуальных сетей маркируется с помощью меток. Только виртуальная сущность, подключенная к той же сети, может его обработать или передать.

Логическая изоляция на уровне учетных записей и прав доступа

Управлять ресурсами облачной платформы можно с помощью портала и ролевой модели. Все ресурсы расположены в логическом контейнере, который в T1 Облако называется Организация. Ресурсная модель позволяет назначать роли контейнерам на разных уровнях — организации, проекта и папки. Доступ можно предоставить только пользователям организации. Подробнее о ролевой модели см. в разделе Организационная структура.

Изоляция сервисных компонент инфраструктуры провайдера от пользовательских ресурсов

Следующие сервисные компоненты могут быть изолированы на уровнях физических серверов и виртуальных сетей:

• компоненты, реализующие внутренние сервисы и не доступные пользователям;
• компоненты, реализующие доступный пользователям управляющий уровень (Control Plane) сервисов;
• компоненты, обеспечивающие работу передающего уровня (Data Plane) слоя.