BLOGI

Jamboree17 - osa3: pilves on parem ja soodsam

Kolmas kord selle aasta Jamboree juurde tagasi tulla jääb viimaseks. Teemadeks kolmanda päeva tehnilise töögrupi kohtumiselt eredamalt meeldejäänu ning pikk mõtisklus ja kokkuvõte pilveteemast.

Tehnilises töögrupis tutvustasid sakslased oma värsket algatust domain ID - OpenID-l põhinev SSO lahendus, kus kasutajanime/e-posti aadressi ja parooli kombinatsiooni asemel kasutatakse domeeninime ja DNSi. Olen isegi korduvalt mõelnud, et midagi sellist oleks väga lahe, kuid kahjuks ei ole meie väikses registris selle väljatöötamiseks piisavalt ressurssi. Väga hea mõte, hoiame sellel arengul silma peal ja kui midagi toimivat ka .ee puhul rakendada õnnestub, siis kaalume seda kindlasti tõsiselt.

Mitmed registrid tegelevad jätkuvalt uue põlvkonna “WHOIS” teenuse RDAP arendamisega. Sakslased, taanlased, tšehhid ja itaallased tutvustasid oma edusamme. Kuid kellelgi pole mingit teadmist ega kindlust kuidas seda projekti GDRP mõjutab - mida tegelikult lõppkokkuvõttes teha võib ja saab. Ootame ära.

Google tutvustas taas oma avatud regsitrisüsteemi Nomulus - tänaseni ainus avatud lähtekoodil põhinev pilve taristu jaoks loodud lahendus, mis küll kirjutatud vaid Google pilve silmas pidades. Modulaarne mikroteenustel põhinev lahendus, mis teenindab vabalt ära ka kõige suuremate registrite vajadused ja ressurssi jääb veel ülegi. “Sai veidi üle dimensioneeritud” tõdes ka Google selle projekti arendusjuht. EPP on lihtsasti laiendatav, DNSSECi tugi veel puudub, kuid samuti vaid kerge täiendus. Avatud lähtekoodist hoolimata on aga arendusjuhi hinnangul selle ümberehitamine oma võrgu või mõne teise pilvetaristu tarvis võimalik, kuid väga suur ettevõtmine.

Ja siit ongi hea üle minna põhiteema juurde. Ennustasin, et see saab peateemaks juba aasta tagasi toimunud Jamboreel, aga olin ilmselt ajast eest. Sel korral räägiti siis belglaste pilve projektist iga päev mitu korda planeeritud kujul, sessioonide vahepeal ja ka õhtustel üritustel. Olgu öeldud, et olen pilve idee toetaja ja arvan, et see on täna õige lahendus enamiku domeeniregistrite jaoks. Pilvest edasi terendavad juba hajussüsteemid.

Väike tagasivaade - 2015 sügisel teatas Belgia register sügisesel tehnilisel kogunemisel oma otsusest loobuda riistvaraga jändamisest ja keskenduda registri ärile. Valituks sai Amazon, kui kõige suurem ja sel hetkel paindlikumaid võimalusi pakkunud teenusepakkuja. Märtsis 2016 tõsteti esimesed, vähem kriitilised süsteemi osad juba oma haldusest välja ning 2017 aasta alguseks oli samm-sammult kogu süsteem pilve viidud. Kolimine rahulikult etapi kaupa toodi välja olulise ja kasuliku kogemusena. Süsteem asub Amazoni kahes Iirimaa asukohas - rakendusserverid active-active, andmebaas active-passive seades. Ümberlülitus probleemide korral 1-2 minuti küsimus.

Mais, käesoleval aastal, lõppes ka serveriruumide tühjendamine. Füüsilise tükina on registri kontrolli all veel kontoris asuv varukoopiate server ning nimeserverid. Amazoni DMS tagab, et kontoris olev andmebaas oleks süngis AWSis olevate andmetega. Käesoleva aasta lõpuks liigutatakse ka nimeserverid pilve.

Nüüd, kui juba pool aastat on kogu register pilves toiminud, oli hea kokkuvõtteid teha - belglased ise on väga õnnelikud oma otsuse üle. Projekti eesmärgiks oli seatud töötajate aja vabastamine kõrvaltegevuste alt, et keskenduda olulisele. Selle nimel olid nad valmis pilvelahenduse eest maksma isegi 10-15% rohkem kui süsteemi enda juures haldamine maksaks. On ju inimesed kõige väärtuslikum osa registrist ja häid inimesi juurde leida üha raskem. Seetõttu on oluline vaadata, mille peale nende aeg kulub. Liigutus on ennast täielikult õigustanud. Tehniliste inimeste töö on muutunud, tegelevad automatiseerimise jms, mis on teinud kõik läbipaistvamaks. Opsist sai devops ja riistvara asemel keskendutakse nüüd teenuse jooksutamisele, arendamisele ja parendamisele. Pilve sammu tulemusena ei ole registrist keegi lahkunud ja pole olnud vajadust ka kedagi juurde palgata.

Mis aga puutub hinda, siis vastupidiselt ootustele on pilve minek säästnud lisaks töötajate ajale ka märkimisväärselt raha. Pilves olla on palju odavam! Operatsioonilised kulud on suurusjärgus samad, kuid puuduvad riistvara väljavahetamisega seotud “investeeringud”. Ruumi kulude vähendamiseks on veel - hetkel maksavad kasutuse põhiselt, aga peagi muudavad lepingu subscriptioni põhiseks. See tähendab, et teades oma ressursside vajadust, saad teha Amazoniga lepingu minimaalse ressursi kasutuse osas mida igal juhul renditakse - see annab juba 30% soodustust. Kui maksad aasta ette, on sääst 40% ja kui 3 aastat ette, siis veel suurem.

Süsteemi pilve viimisel planeeriti teenuse katkestust 8 tundi, loodeti hakkama saada 6 tunniga - tegelikkuses läks 5,5 tundi, millest 3,25 kulus andmebaasi migratsiooniks. Ülejäänud aeg kulus kontrollimiseks ja veendumiseks, et kõik ikka toimiks korrektselt. Kõik andmed Amazoni serverites ja liiklus serverite vahel ning klientidega on krüpteeritud.

Pilve mineku tulemusena muutus süsteem kiiremaks ja jõudlus stabiisemaks. Süsteemi liigutamine endast kaugemale teise riiki tõstis küll vähesel määral päringute viivet, kuid süsteemi jõudlus on palju parem, mis kokkuvõttes on taganud parema ja kiirema teenuse.

On kohatud ka mõnd puudust - nõrk IPv6 ja DNSSECi tugi. Belglased ei kasutanud DNSSECi jaoks enne HSMe ega tee seda ka nüüd, kuigi Amazonil on oma vastav teenus, pole seni selle järgi reaalset vajadust tundnud.

Erinevate vestluste ja arutelude käigus küsiti ja uuriti belgia pilvekogemuse kohta kõikvõimalike nurkade alt. Huvi oli suur nii nende poolt, kes ka ise selles suunas mõelnud, kui ka skeptikute või põhimõtteliselt oma serveri pargile panustavate registrite hulgas. Viimaseid esindab Saksa register. Nemad on just käivitanud oma andmete deponeerimise (data escrow) teenuse uutele gTLD registritele. Teenuse mõte on olla kolmas sõltumatu osapool, kus paiknevad registri andmed juhuks kui registriga juhtub midagi ja teenust pole näiteks võimalik edasi pakkuda. Pakkudes registriteenuste kõrval täiendavalt tugevalt taristu kontrolliga seotud teenuseid on igati põhjendatud pilvest mööda vaatamine. Samal ajal tunnustasid sakslased Belgiat julguse eest ja pidasid seda üldiselt õigeks otsuseks.

Mõned küsimused toimunud aruteludest: “Register loobub kontrollist oma andmete üle!”, “Privaatsus?!” Seisukoht, nagu tehes ise oma asja, omame kontrolli ja teeme seda paremini kui keegi teine seda teha suudaks, on aegunud. Pilve hiiglased omavad enam ressurssi, enam teadmist, enam kõike, et teha seda tööd palju paremini kui lihtne register oma võimalustega kunagi suudaks. Sõltume ilmagi oma partneritest - ISPd, serveriruumi omanikud jne. Lisaks, kas registrisüsteemis on üldse privaatseid andmeid? WHOISi läbi on enamus andmeid tihti võrgus avalikult kättesaadavad. Registripidajad ja nimeserveri teenuse pakkujad on alati lihtsam ründevektor, kui kellelgi on huvi registri andmete vastu. Kui NSA tahab registri andmeid, siis on need neil juba olemas. Suurem turvalisus ja parem kättesaadavus korvab tagasimineku privaatsuses. Ja lõpuks on küsimus usalduses oma partneritesse ja usaldusväärsete partnerite valikus.

Tuleviku plaanides on belglastel multipilv. Oma gTLD-d .vlaanderen ja .brussels registrisüsteemide teise installatsiooni soovivad tõsta Google pilve.

Isiklikult on mul ammu mõistus otsas, miks meie juba pilves pole. Nüüd veel seda enam, kui on reaalne näide olemas, mis tõestab, et see töötab ja plusse on palju rohkem. Ei ole vaja imelisi privaat-, riigi- jm pilvi. Võta suur mastaabiefektil toimiv lahendus Amazon, MS, Google ja elu läheb kohe ilusamaks. Võti selles, et kõik need pilvepakkujad on hetkel väga huvitatud tippdomeeniregistritest kui uut tüüpi klientidest. Amazon juhib võistlust, mis teeb teised potentsiaalselt veel paindlikumaks.

Ja nüüd murrangulised uudised. Rootsi register on vastu võtnud ambitsioonika otsuse oma süsteem aasta lõpuks Amazoni liigutada. Väike erinevus Belgia lahendusega on see, et nad jätavad tsooni allkirjastamise enda kontrolli alla. Oma serveriruumides hakkavad hoidma varukoopiat registri andmetest, HSMe ja master nimeserverit. See on nö kompromisslahendus registri siseste vastastega, et projektiga edasi minna. Tegelikkuses saab kasutada Amazoni HSMi teenust või jätta vaid HSM enda juurde ja allkirjastada pilves. Kui belglased tegutsevad virtuaalmasinatega, siis rootslased on implementeerinud dockeri konteinerid. Docker tundubki täna juba parem valik ka belglaste arvates, kuid see tehnoloogia ei olnud nende ülemineku ajal veel nii küps.

Ühe arutelu ajal paluti ka anonüümset indikatsiooni kui kaugel erinevad registrid on mõtetega pilve kolimise osas. Lisaks juba pilves olevale Belgiale ning piiri peal kõlkuvale Rootsile oli veel üks register asetanud ennast päris pilve lähedale - kahjuks ei püüdnud aga pilk kinni, kes see oli. Uudiseid selles vallas on seega veel oodata.

Selleks korraks kõik. Esimese ja teise osa leiad siit: osa1 ja osa2.

Uus kommentaar

Email again:

© 2017 Eesti Interneti Sihtasutus  | Paldiski mnt 80, 10617 Tallinn | Registrikood: 90010019