Nový a rychlejší server, změny v zálohování

Dostali jsme se opět do bodu, kdy potřebujeme nový node do naší infrastruktury. Normálně o tom nepíšeme, protože to je pro nás otázka několika kliknutí, ale s node-10.rosti.cz přijdou i nějaké změny. Tak se na ně pojďme kouknout.

Než přejdeme k serveru samotnému, máme ještě jednu novinku k zálohování. Všechny servery s [alpha-]node-[X] v názvu jsou zálohovány jednou za tři hodiny s historií až jednoho týdne. Dřívější stav byl jednou denně s historií tři dny. Navýšení nám pomůže se lépe vypořádat s problémy, které jsme měli se Scaleway v září minulého roku. Pokud k takovým problémům znovu dojde, nebudeme se pokoušet stroj vůbec zachránit ale použijeme data ze záloh. Pracujeme ještě na automatizaci obnovy jednotlivých serverů.

Teď k hlavnímu tématu. Nový Node běží na intense instanci s Intel Xeon D-1531, takže je až 3x rychlejší než předchozí stroje se serverovými Atomy. Rozdíl bude znát hlavně u aplikací s většími frameworky jako je RubyOnRails nebo Django. I u ostatních ale dojde ke zlepšení odezvy. Změna se týká pouze nových aplikací a cenu hostingu to neovlivní.

Nový server už nebude mít v názvu alpha. Používali jsme ho pro oddělení názvů serverů od starého Roští, ale protože staré Roští bude letos končit a navíc běží na úplně jiném hardwaru s jinými adresami, postrádá označení smysl. Původ slova alpha je v administraci, které jsme několik let takto říkali, dokud jsme ji po čase nezačali označovat pouze admin.

Společně s touto změnou nebude mít nový stroj ani FTP server. Už jsme to určitě psali, ale raději zopakujeme. FTP je na Roští implementované jako hack. Je to místo, ze kterého je přístup do všech kontejnerů na serveru a vyžaduje přidělenou veřejnou IP adresu. I když to bude znít všelijak, tak kromě load balanceru nechceme mít servery dostupné veřejně.

Důvodů je hned několik. Dá se na ně útočit ať už DDOS útokem či přímo zneužíváním nějakých chyb. Druhým důvodem je nedostatek IPv4 adres, který se bude dále prohlubovat. A nakonec třetí důvod je bezpečnost. Všechno na našich serverech odděluje Docker a jeho mechanismy. FTP tyto mechanismy obchází.

Za pomoci našeho load balanceru v Master DC jsme schopni DDOS útoky potlačovat, ale je to drahá technologie, abychom ji mohli nasazovat u každého serveru.

Zároveň nám to pomůže udělat další krok a to jednotný SSH server. Bez ohledu na jakém serveru bude vaše aplikace umístěna, bude na ní přístup přes ssh.rosti.cz. Port zůstane, změní se pouze hostname. O tomto ale ještě napíšeme.

FTP na starých serverech zůstane prozatím beze změny minimálně do konce tohoto roku. Uvidíme, jak dopadne vypnutí na tomto.