Как построить геораспределенное облако
Если нужно просто поднять частное облако, это одна история. Но когда речь идет о значимых объектах критической информационной инфраструктуры, нужно мощное частное облако, готовое к строгому регулированию, с полноценным Disaster Recovery — и главное, сразу на двух площадках, разделенных тысячами километров. Именно с такими вводными к нам пришел заказчик — крупная организация, попадающая под требования для КИИ.
О задачах и компании
Развернуть частное облако с целым рядом критических требований:
- высокая мощность (2000 vCPU), чтобы хватило под целевую нагрузку;
- аттестат соответствия требованиям по защите информации;
- полноценная стратегия Disaster Recovery.
А главное — облако должно быть развернуто на двух площадках для гарантии сохранности данных: Москва и Новосибирск — расстояние более 3400 км.
Решение
Сетевая связанность
Формально требования выглядели лаконично, но за каждым пунктом стояла большая работа над зрелостью инфраструктуры. Создание надежной сетевой связности между Москвой и Новосибирском стало одной из самых сложных инженерных задач. Любая неточность может отразиться на всем: на стабильности кластера, на целостности данных, на сценариях восстановления, на безопасности, на администрировании. Наша сетевая команда не пошла по пути первого подходящего решения: инженеры прорабатывали десятки гипотез и схем, сравнивали варианты, искали баланс — чтобы было достаточно быстро, надежно и при этом безопасно.
Подготовка к аттестации
Параллельно с сетевой частью шла работа по защите информации. Специалистам ИБ предстояло решить две задачи одновременно:
- с одной стороны — выстроить защиту геораспределенного кластера так, чтобы она не мешала эксплуатации и не снижала устойчивость,
- с другой — учесть все необходимое и подготовить контуры, чтобы аттестация прошла успешно.
Виртуализация
Когда сеть и безопасность выстроены правильно, инфраструктуру нужно «собрать» так, чтобы она действительно стала облаком: гибким, масштабируемым и управляемым. Инженеры по виртуализации создали мощную и гибкую инфраструктуру, соответствующую требованиям заказчика.
Результат
Мы развернули геораспределенное частное облако на двух площадках. Это единая целевая архитектура под требования безопасности данных и аварийного восстановления.
Готовая экосистема для ЗО КИИ — аттестованная регулятором
Теперь наш заказчик, подпадающий под строгое регулирование, получил полностью готовую и легитимную платформу для размещения своих систем. Все процессы, связанные с соответствием регулятору, мы взяли на себя.
Первый в России аттестат соответствия для облака на двух площадках
Проект завершился получением аттестата соответствия для облака, размещенного сразу на двух площадках — первый такой кейс в России.
Disaster Recovery с RPO 2 часа
При реализации стратегии восстановления был достигнут показатель RPO 2 часа — то есть целевой уровень, в рамках которого после аварии/сбоя допускается объём потенциальной потери данных и обеспечивается восстановление бизнес-процессов без неприемлемых последствий.
Time To Market: меньше 2 месяцев
Отдельно важно в таких случаях, чтобы проект не ушел в бесконечные доработки. При реализации специалистами OXYGEN от завершения инсталляции до аттестации прошло менее 2 месяцев. Для задач такого уровня сложности и строгости это сильный показатель скорости при сохранении качества.
