Migrace do DigitalOcean

Na Twitteru už jste mohli postřehnout, že chystáme stěhování ze Scaleway do DigitalOcean. Psali jsme o tom i minulém zápisku a tento zápisek je jen popsání toho, co se bude v příštích týdnech dít.

Migrace se týká všech aplikací, které jsou hostovány v novém Roští, což jsou ty, co byly vytvořeny v posledních třech letech. Ze strany uživatelů není potřeba žádná spolupráce, pouze budeme měnit doménové názvy serverů, na kterých jsou aplikace hostované. Ty si prosím upravte ve svých skriptech či nastavení podle tabulky níže.

To nejdůležitější, migraci administrace, máme již za sebou. Neobešlo se to bez problémů, ale to už je za námi a také jsme díky nim upravili kontaktní formulář a schránku podpory tak, aby nebyla na našem mail serveru jakkoli závislá.

V druhém kroku musíme přenést servery pro aplikace. Rozhodli jsme se jít cestou, která je pro nás nejjednodušší, protože jednoduchý proces bude méně náchylný na chyby. Přeneseme aplikace ve dvou vlnách. V první půjdou aplikace, které používají databázi store3.rosti.cz. V druhé pak ty, co používají store4.rosti.cz.

Databázi už jsme přenesli a máme připravený skript, který je udělá finální synchronizaci. U aplikací je to složitější, protože budeme spojovat některé servery. Scaleway používá méně výkonné serverové procesory Atom, takže jsme na jeden stroj dávali méně aplikací. DO na druhou stranu má rychlé Xeony a dává i dostatek prostoru, takže limitujícím faktorem pro nás není procesor, ale paměť RAM a tam jsme schopni přesně říct, kolik aplikací může na jednom serveru být.

Prozatím plánujeme jednoduché spojení serverů podle následující tabulky. Později ho ještě upravíme po jednotlivých aplikací tak, abychom měli servery rovnoměrně zatížené. Zároveň přidáme čtvrtý, node-14, na kterém budou hostovány nové aplikace.

Původní server Nový server
alpha-node-4.rosti.cz node-12.rosti.cz
alpha-node-5.rosti.cz node-12.rosti.cz
alpha-node-6.rosti.cz node-13.rosti.cz
alpha-node-7.rosti.cz node-11.rosti.cz
alpha-node-8.rosti.cz node-11.rosti.cz
alpha-node-9.rosti.cz node-11.rosti.cz
node-10.rosti.cz node-14.rosti.cz

Pokud tato doménová jména používáte ve svých skriptech, tak je prosím změňte na nová. Stará přesměrujeme, ale na konci února je smažeme.

Status

  • 1.-2. února*: Úprava administrace – funkce pro notifikování uživatelů o změnách
  • 1.-2. února*: Úprava administrace – nástroje pro jednodušší migraci mezi servery
  • 3. února: v ranních hodinách*: Migrace alpha-node-7, 8, 9 a store3
  • 10. února: v ranních hodinách: Migrace alpha-node-4, 5, 6, 10 a store4
  • 28. února**: smazání starých doménových jmen

* Termíny nejsou pevné a mohou se změnit.

Kdy k jednotlivým krokům dojde ještě doplníme.

Celý proces je vzhledem k naší softwarové architektuře velmi přímočarý a není v něm moc prostoru na chyby. Kromě výpadku během přenášení by nemělo dojít k žádným dalším problémům. Před migrací se prosím přesvědčte, zda vaše aplikace přežije restart kontejneru. V administraci stačí kliknout na tlačítko restart.

Nedostupnost

Do migrace se pustíme během noci, přibližně od půlnoci a bude trvat kolem dvou až tří hodin. Během této doby budou aplikace nedostupné. Plánovali jsme to udělat mnohem rychleji s výpadkem maximálně několik minut, ale spojování serverů nám do toho hodilo trochu vidle.

K migraci dojde během následujících dvou týdnů a o krocích, které mohou ovlivnit dostupnost vaší aplikace budete informování emailem. Proto chceme do administrace přidat novou sekci podpory, kde vám budeme moci poslat notifikace o změnách a zároveň je patřičně cílit.

Jiných služeb, než hostingu aplikací, se migrace nedotkne. Emaily jsou umístěny na našich fyzických serverech v Master DC v Praze, stejně jako všechno okolo starého Roští a záloh.


Aktualizace 3.2.2018 4:00

Server node-11.rosti.cz už běží a jsou na něj přemigrovány všechny aplikace podle tabulky výše. Pokud vše půjde dobře, druhé vlně příští týden v pátek nic nebrání.

Aktualizace 3.2.2018 14:15

Kvůli nepatrnému překliku před pěti dny musíme dnes ještě na chvíli shodit všechny aplikace na node-11. Máme ho totiž ve špatné lokalitě. Půjde o jednodušší proces než z dnešní noci, protože to je přenesení 1:1 a aplikace by neměly být dole déle než pár minut. Akci provedeme mezi 1:00 a 3:00. Jinak vše běží v pořádku a nový stroj je zatížen podle očekávání.

Zatížení node-11.rosti.cz

Aktualizace 9.2.2018

Na zítřejší migraci je vše připraveno. Přes týden jsme nezaznamenali žádné problémy a tak nám nic nebrání v přenesení zbytku.

Aktualizace 9.2.2018 13:30

Aktualizovali jsme tabulku s doménovými názvy nodů. Prohodil se cílový node mezi alpha-node-4,5 a 6.

Aktualizace 10.2.2018 2:50

Všechny servery jsou přenesené. Děkujeme za trpělivost. Tahle zkušenost nám pomohla dopilovat role v Ansiblu a implementovali jsme kvůli ní notifikační systém do administrace, přes který vám můžeme posílat emaily, pokud se bude dít něco důležitého. Ale o tom ještě napíšeme nějaký článek. Prozatím dobrou noc.

Aktualizace 28.2.2018 18:00

DNS záznamy byly upraveny.

Výpadek administrace a emailů

Dnes odpoledne došlo na Roští k výpadku, který jsme bohužel neměli jak ovlivnit. Problém byl na serveru u Scaleway, na kterém máme databázi pro administraci a emaily a také administraci samotnou. Kromě toho i nějaké obslužné nástroje jako Sentry a grafy. Museli jsme data obnovit ze zálohy, kterou jsme měli dostupnou z 13:30. Vzhledem k tomu, že toto není poprvé a jsou na Scaleway i problémy s dostupností nových serverů, rozhodli jsme se to vzít jako impulz k nějakému řešení.

I když nefungovala administrace, tak se výpadek nedotkl žádné aplikace. Všechny servery s aplikacemi jsou schopny fungovat nezávisle na administraci. Emailový server bere data ze stejné databáze jako administrace, takže tam k výpadku došlo a během obnovy to pro nás byla priorita.

Základním problémem jsou síťové disky připojené přes Network block device protokol. Když nepočítám dva hodinové výpadky sítě, které jsme na Scaleway měli, toto byl v posledních šesti měsících jediný důvod, proč Roští nejelo. Doufali, jsme, že se to Scaleway podaří vyřešit, ale tyto problémy se dají dohledat v diskusích i dva roky zpátky.

Problém se projevuje tak, že server začne hlásit chyby přístupu k disku do dmesg a víme, že máme čas ho vyřešit. Připravit nový stroj, rsyncovat soubory. To se stalo třeba minulý týden v neděli. Občas ale dochází k nečekaným zásekům, kdy server zničeho nic přestane reagovat a v takovém případě je délka výpadku rovna době, kterou potřebujeme pro obnovu ze zálohy.
Server v „rebooting“ stavu po půl hodině čekání

Sice jsme obnovu ze zálohy dostali na přibližně hodinu až dvě, protože jsme vypilovali postupy, ale jen s těží to je dlouhodobé řešení. Nějaký čas jsme problém řešili s podporou, ale ničeho než opravy postiženého serveru a informace, že z naší strany s tím nejde nic dělat, jsme se nedočkali.

Situaci tedy už musíme řešit. Fyzické servery už dnes nepřipadají v úvahu. Stále dva máme a i tam dochází k problémům. Minulý rok jsme řešili problémy s několika disky najednou, pak nám vypnuli elektriku v serverovně a druhý rok se jim to podařilo znovu. U fyzických serverů je problém, že k nim musíme jet a to může trvat dvě nebo tři hodiny. Pokud využijeme cloudové služby, tak se o hardware starat nemusíme a problém vyřešíme v teple kanceláře třeba tím, že nahodíme nové stroje. K fyzickému hardwaru se musíme dostat, najít problém, obstarat náhradní díly a pak server opravit.

Na ruku nám tedy minulý týden šlo DigitalOcean, které snížilo ceny. Také kurz dolaru je nyní příznivější. S DigitalOcean máme dobré zkušenosti. Když jsme u nich měli servery pro jeden velký knižní eshop, došlo tam sice k nějakým problémům, ale jednalo se ojedinělé případy, ne systémové problémy, podpora fungovala 24/7 a sedí na ní lidé, kteří mohou problém vyřešit a ne jen přebírat zprávy. I ve tři hodiny ráno tak člověk dostane rozumnou odpověď, když se něco děje. Také o problémech informují otevřeně a dávají ETA jejich vyřešení.

Na Scaleway jsme si jeden čas platili podporu, ale nakonec jsme zjistili, že tam žádný rozdíl není. I tak nám nechali server dole tři dny a telefonicky jsme se spojili s člověkem, který nám řekl to samé co napsal do ticketu, tedy že na tom pracují a neví kdy to bude.

V příštích několika týdnech se tedy přestěhujeme do DigitalOcean. Bude s tím souviset i nějaké spojování serverů. Pravděpodobně se spojí node-4 s node-5 a node-8 s node-9, protože na DigitalOcean je k dispozici větší diskový prostor. Bude se také jednat o výkonnější servery než jsou na Scaleway, takže kromě vyšší dostupnosti bude benefit i v tomto.

Prvním přeneseným serverem bude admin.rosti.cz. Následovat budou servery, které mají databázi na store4.rosti.cz a pak ty se store3.rosti.cz. Migrace bude probíhat v nočních hodinách a nemělo by dojít k výpadkům větším než několik minut. Nebude to horší než restarty serverů v minulých týdnech.

Chceme vám také poděkovat za podporu a doufáme, že tuto změnu uvítáte tak jako my.

Nový a rychlejší server, změny v zálohování

Dostali jsme se opět do bodu, kdy potřebujeme nový node do naší infrastruktury. Normálně o tom nepíšeme, protože to je pro nás otázka několika kliknutí, ale s node-10.rosti.cz přijdou i nějaké změny. Tak se na ně pojďme kouknout.

Než přejdeme k serveru samotnému, máme ještě jednu novinku k zálohování. Všechny servery s [alpha-]node-[X] v názvu jsou zálohovány jednou za tři hodiny s historií až jednoho týdne. Dřívější stav byl jednou denně s historií tři dny. Navýšení nám pomůže se lépe vypořádat s problémy, které jsme měli se Scaleway v září minulého roku. Pokud k takovým problémům znovu dojde, nebudeme se pokoušet stroj vůbec zachránit ale použijeme data ze záloh. Pracujeme ještě na automatizaci obnovy jednotlivých serverů.

Teď k hlavnímu tématu. Nový Node běží na intense instanci s Intel Xeon D-1531, takže je až 3x rychlejší než předchozí stroje se serverovými Atomy. Rozdíl bude znát hlavně u aplikací s většími frameworky jako je RubyOnRails nebo Django. I u ostatních ale dojde ke zlepšení odezvy. Změna se týká pouze nových aplikací a cenu hostingu to neovlivní.

Nový server už nebude mít v názvu alpha. Používali jsme ho pro oddělení názvů serverů od starého Roští, ale protože staré Roští bude letos končit a navíc běží na úplně jiném hardwaru s jinými adresami, postrádá označení smysl. Původ slova alpha je v administraci, které jsme několik let takto říkali, dokud jsme ji po čase nezačali označovat pouze admin.

Společně s touto změnou nebude mít nový stroj ani FTP server. Už jsme to určitě psali, ale raději zopakujeme. FTP je na Roští implementované jako hack. Je to místo, ze kterého je přístup do všech kontejnerů na serveru a vyžaduje přidělenou veřejnou IP adresu. I když to bude znít všelijak, tak kromě load balanceru nechceme mít servery dostupné veřejně.

Důvodů je hned několik. Dá se na ně útočit ať už DDOS útokem či přímo zneužíváním nějakých chyb. Druhým důvodem je nedostatek IPv4 adres, který se bude dále prohlubovat. A nakonec třetí důvod je bezpečnost. Všechno na našich serverech odděluje Docker a jeho mechanismy. FTP tyto mechanismy obchází.

Za pomoci našeho load balanceru v Master DC jsme schopni DDOS útoky potlačovat, ale je to drahá technologie, abychom ji mohli nasazovat u každého serveru.

Zároveň nám to pomůže udělat další krok a to jednotný SSH server. Bez ohledu na jakém serveru bude vaše aplikace umístěna, bude na ní přístup přes ssh.rosti.cz. Port zůstane, změní se pouze hostname. O tomto ale ještě napíšeme.

FTP na starých serverech zůstane prozatím beze změny minimálně do konce tohoto roku. Uvidíme, jak dopadne vypnutí na tomto.

 

Bezpečnostní chyba v procesorech Intel

Světem serverů otřásá bezpečnostní problém procesorů Intel, kvůli kterému může útočník v extrémním případě přistupovat do libovolné části paměti serveru bez ohledu na to, pod jakými právy běží. Jde tedy o problém, který se musí opravit i za cenu výpadku v méně vhodných časech.

Většina provozovatelů moderních cloudů aktuálně bojuje s tím, jak systém ve svých serverech záplatovat a restartovat, což bohužel ovlivní i Roští. Většina nového Roští je hostována ve službě Scaleway, kde problém berou vážně a v příštích dvou dnech budou restartovat všechny servery. Bohužel k tomu nevydali žádný konkrétní plán a pojedou jeden po druhém. Rizika při zneužití jsou, prakticky je možné získat jakákoli data uložená na napadeném serveru.

Scaleway začne s restarty svých clusterů dnes  kolem 8:00 ráno a skončí v sobotu ve stejný čas. Neměly by být problémy s databází a adminem. V minulosti jsme měli problémy s automatickým startem kontejnerů v Dockeru. Jde o dva roky starou zkušenost a od té doby jsme tuto funkci nevyzkoušeli. Tohle tedy bude ostrý test.

Držte nám palce. Pokud vše půjde jak má, bude výpadek pouze několik minut a nebude při něm potřeba zásah lidské ruky.

Servery pošty a starého Roští máme na vlastním hardwaru a ten budeme restartovat zítra v noci.

Update 1: Scaleway nám zatím servery nerestartovalo a důvodem je, že nabízejí bare metal servery a na své straně mohou opravit jen microcode procesoru, který ještě nemají a možná ani nebyl uvolněn Intelem. Zatím tedy opravujeme jádra ručně. Dnes budeme restartovat servery alpha-node-{4,5,8 a 9}. Servery 6 a 7 jsou větší a necháváme se je na zítra. Staré Roští přijde až poté, co bude vyřešeno nové. Exploity zatím nebyly zveřejněny, takže se nemusíme bát masivního zneužívání. Administrace nám běží na ARM jádře, které je podle posledních informací v bezpečí.

Důležité změny na Roští

Bohužel jsme se poslední dva měsíce setkávali s výpadky, které jsme neměli moc možnost ovlivnit. Vypadávaly nám servery ve Scaleway i naše fyzické servery v Master DC. Jsou to věci, kterým se nevyhneme, protože nemáme pod kontrolou každý článek řetězce mezi kód a jeho uživateli. Samozřejmě s tím ale nejsme spokojení a tak se chystáme udělat změny, které by nám mohli pomoci řešit problémy rychleji a nebo jim i kompletně předcházet.

Aktualizace: Kvůli průtahům aktualizujeme plán celého postupu. Původní termíny prodloužíme o dva měsíce, abychom vám dali dost času se na změny připravit. Bohužel se nám zatím nepodařilo připravit dostatečně univerzální a funkční nástroj na migraci aplikací ze starého Roští na nové. Na tom ještě pracujeme. V článku najdete aktualizovaný harmonogram.

Z pohledu moderních aplikací je Roští stále běžný hosting, i když trochu naboostovaný. Běží u nás totiž aplikace na jednoduchém setupu, kdy každá má jeden kontejner a ani v případě, že by zvládla běžet ve více kontejnerech, tak to aktuálně neumíme nabídnout. Zákonitě pak, když aplikace běží na jednom serveru, za jedním load balancerem a nad jednou databází, dřív nebo později se něco stane.

Řešení výpadků je pro nás extrémně drahé i psychicky náročné. Nemůžeme si vybrat hodinu ani den, musíme se postarat aby služba zase jela a u toho odepisovat lidem, kteří chtějí vědět, kdy budeme zase up. Je tedy v zájmu obou stran problémům předcházet.

Některým klientům, kteří u nás mají celý svůj business, nabízíme vysoce dostupný cluster, který je odolný vůči výpadkům jednoho či více kusů hardwaru a nebo se alespoň dají problémy řešit mnohem rychleji. Nicméně to vyžaduje spolupráci nás i programátorů, abychom připravili prostředí, které oni mohou využít. Vysoce dostupná aplikace musí umět pracovat s úložištěm statických dat a někdy i s více databázemi najednou.

Tímto bychom tedy rádi oznámili, že s další aktualizací administrace dostane Roští podporu pro běh aplikací ve více kontejnerech. Zatím půjde o nasměrování load balanceru na dva či více kontejnerů a budeme sbírat odezvu od uživatelů, ale hned v dalším kroku chceme nabídnout úložiště kompatibilní s S3 a replikované custom databáze.

Vysoká dostupnost našich služeb bude další roky naší největší prioritou. Chceme nabídnout standardizované prostředí, ve kterém půjde snadno rozjet aplikaci distribuovaně a tím usnadnit život jak nám tak našim klientům.

Naneštěstí není nic zadarmo a ani v tomto případě nevyhneme nějakým dalším změnám, které nám to umožní. Můžeme být nejlepší v hostování aplikací, ale zároveň nemůžeme být nejlepší v poskytování emailových služeb. Společně se změnou popsanou výše chceme také oznámit, že od března příštího roku přestaneme nabízet naše emailové služby a zároveň zrušíme staré Roští.

Emailové schránky nabízíme od začátku zdarma jako doplňkovou službu. V současné době se ale počet emailů rozrostl přes únosnou mez a to jak množstvím dat, tak co se týče podpory. Většina dotazů na podpoře se týká emailů a i kvůli tomu nás každá schránka stojí přibližně 30 Kč měsíčně.

Zrušení emailů proběhne v několika krocích.

  • V dokumentaci přidáme text popisující tři služby, na které je možné přejít a víme, že fungují spolehlivě.
  • Rozešleme informaci o rušení služby do každé schránky. (leden 2017)
  • Zakážeme přidávat nové schránky. (leden 2017) – už je hotovo
  • Rozešleme znovu informaci o rušení služby do každé schránky. (březen 2018)
  • Poslední upozornění na rušení služby do každé schránky. (květen 2018)
  • Vypnutí emailových služeb. (31. května 2018)
  • Smazání všech dat. (30. června 2018)

Druhou službou, kterou ukončíme, je staré Roští. Aktuálně pracujeme na migračním nástroji, který ale nebude stoprocentní a bude vyžadovat změny v kódu vaší aplikace. Staré Roští tu s námi je šest let a je čas se s jeho prostředím rozloučit. Jeho servery nejsou nějak automatizované a navíc by bylo nutné je brzy aktualizovat na novější verzi Debianu a do toho se už pouštět nebudeme.

Vypnutí proběhne v těchto krocích:

  • Upozornění že staré Roští končí. (leden 2017)
  • Další upozornění, že staré Roští končí. (duben 2018)
  • Vypnutí webů na load balanceru. (květen 2018)
  • Smazání dat (31. června 2018)

Až budeme mít tohle všechno za sebou, uvolní se nám ruce k posunování Roští o kousek dál trochu větším tempem a hlavně trochu jiným směrem. Změny jsou důležité hlavně kvůli uvolnění hardwaru a podpory, abychom mohli provozovat distribuované služby, potřebujeme trojnásobek serverů tak jsou oba kroky nezbytné k tomu, co jsem v prvních části tohoto článku nastínil.

Chápeme, že ne všichni uživatelé z toho budou nadšení, ale doufáme, že oceníte změny, které nám to umožní implementovat. Děkujeme za dosavadní podporu a budeme rádi, když nám napíšete, co si o chystaných novinkách myslíte.