Yandex BareMetal: Обзор главных возможностей и сценариев использования нового сервиса

Сегодня мы представляем публичное превью нового сервиса аренды выделенных серверов Yandex BareMetal. Теперь пользователи облачной платформы имеют возможность арендовать серверы и интегрировать их с облачной средой. Доступ к сервису можно осуществлять через API, а настройки прав доступа к серверам станут более гибкими благодаря интеграции с Yandex Identity and Access Management.

В этой статье мы рассмотрим наиболее актуальные сценарии использования обновленного сервиса.

По результатам исследования Yandex Cloud, 59% российских компаний начали осваивать услуги аренды физических серверов в последние полтора года.

Наиболее востребованные облачные сервисы для интеграции с bare metal включают:

– Сервисы защиты от DDoS-атак (59% опрошенных);
– Сервисы резервного копирования (48% опрошенных);
– Облачный роутер, обеспечивающий единую сеть между выделенными серверами и облачной инфраструктурой (46%).

Технологии bare metal чаще всего применяются для:

– Хранения и обработки данных — 70% респондентов;
– Создания собственных виртуализаций, таких как Openstack или VMware — 66%;
– Хостинга бизнес-приложений — 47%;
– Решения задач бэкофиса — 44%.

Мы рассмотрим, какие задачи могут быть решены с помощью сервисов Yandex Cloud в комбинации с выделенными физическими серверами.

В рамках облачной платформы сохранение данных происходит с использованием двух основных технологий:

– Защиты дисков виртуальных машин, включая создание снимков в Yandex Cloud.
– Объектного хранилища, подходящего как для хранения данных приложений, адаптированных к облачной инфраструктуре, так и для резервирования.

Эти технологии в большинстве случаев удовлетворяют потребности в защите данных, хотя в некоторых ситуациях может потребоваться большее.

Чтобы проиллюстрировать это, давайте представим сценарий, связанный с защитой данных на файловом уровне для приложения, несовместимого с S3. Допустим, специфические требования приложения обуславливают необходимость контролирования целостности данных при резервном копировании. Как решить эту задачу?

Ответ заключается в использовании дополнительных решений для защиты информации. Например, Yandex Cloud Backup предлагает возможность резервирования данных не только для виртуальных, но и для физических серверов в Yandex BareMetal. Поскольку физический сервер остается важной частью традиционной ИТ-инфраструктуры, его защита должна охватывать все уровни. Ряд RAID-массивов помогает минимизировать риски потери данных при сбое одного или нескольких накопителей. Однако, если выходит из строя целый сервер, необходимы специальные решения.

**Как осуществляется интеграция.** Cloud Backup использует специализированный агент, который устанавливается на физический сервер, что позволяет выполнять резервное копирование:

– Для всех блочных устройств сервера;
– Для отдельных блочных устройств;
– Для конкретных файлов и папок;
– Для данных приложений, которые требуют контроля целостности (например, базы данных).

Важным аспектом является корректная настройка стратегии защиты, что положительно сказывается на показателях RPO и RTO.

Для начала работы с резервным копированием пользователю необходимо выполнить несколько подготовительных шагов, обеспечивающих надежное создание и хранение резервных копий:

– Настройка сервисных аккаунтов.
– Подготовка тестового сервера и необходимых сетевых разрешений.
– Создание политик резервного копирования.

Более подробную информацию о настройке можно найти в [документации](https://yandex.cloud/ru/docs/baremetal/tutorials/backup-baremetal). Не забудьте следовать основным практикам безопасности: избегайте создания долгосрочных ключей, используйте надежные хранилища секретов и точно назначайте сетевые доступы.

Правильная интеграция с Cloud Backup гарантирует защиту данных на физическом сервере в рамках единого интерфейса Yandex Cloud.

В контексте физических серверов S3-совместимое хранилище может решать несколько задач.

**Опция 1.** Клиент решил перенести определенные задачи с виртуальной машины на физический сервер, при этом часть данных приложения хранится в S3.

**Опция 2.** При развертывании на bare-metal-серверах кластера баз данных, например, высокодоступного кластера PostgreSQL, технологии кластеризации обеспечивают реплику данных между вычислительными единицами. Однако это не защищает данные от утраты или повреждений.

Для защиты данных необходимо применять стратегию Point-in-Time Recovery (PITR), позволяющую восстанавливать состояние кластера на любую дату между первой полной резервной копией и последним архивом WAL. Это поможет оптимизировать показатели RTO и RPO, а резервное копирование и WAL сохранять в S3 обеспечит безопасность.

Основное отличие второго сценария заключается в том, что защита выстраивается на уровне базы данных, не требуя дополнительного ПО.

**Как происходит интеграция с S3 для PostgreSQL?**

Для этого необходимо выполнить две задачи:

1. Подключить кластер к объектному хранилищу с помощью FUSE-драйвера, такого как [GeeseFS](https://habr.com/ru/companies/yandex/articles/803703/), оптимизированного для Yandex Object Storage.

2. Интегрировать приватные подсети BareMetal с S3 через сервисное подключение с использованием технологии Cloud Interconnect.

Чтобы решить эти задачи, следует:

– Создать VRF и приватную подсеть в BareMetal.
– Арендовать физический сервер.
– Создать сервисное подключение к S3 (Private Endpoint) в одной из подсетей в VPC, следуя [документации](https://yandex.cloud/ru/docs/vpc/concepts/private-endpoint).
– Настроить интеграцию с подсетями VPC (из BareMetal в VPC) через Cloud Interconnect, используя [документацию](https://yandex.cloud/ru/docs/baremetal/tutorials/bm-vrf-and-vpc-interconnect).

Если используется собственный DNS-сервер, необходимо создать ресурсные записи для направления трафика к S3 на IP-адрес сервисного подключения. В противном случае настройте сопоставление в файле `/etc/hosts` (например, `storage.yandexcloud.net <-->` IP-адрес сервисного подключения).

Итоговая схема сетевой связности для доступа к S3 будет иметь следующий вид:

Безусловно, это далеко не исчерпывающий список возможных сценариев. В [предыдущем материале](https://habr.com/ru/companies/yandex_cloud_and_infra/articles/866440/) мы обсуждали возможности виртуализации. Нововведения в обновлении, в том числе интеграция с Cloud Interconnect и расширение функциональности работы через API, открывают перед нами еще более сложные архитектурные возможности.