Od dwóch tygodni testujemy nową i ciekawą platformę chmurową. Sami nie mieliśmy nigdy do czynienia z takim modelem świadczenia usługi, zatem z ciekawością się mu przyjrzeliśmy a odkryte zalety oraz problemy opisaliśmy poniżej.
Nigdy wcześniej nie testowaliśmy tego rodzaju produktów na cudze zlecenie, tak więc jest to nasz pierwszy raz – przeżyjcie go razem z nami i nie wahajcie się powiedzieć, co o tym sądzicie.
Co to w ogóle jest
Cały projekt, promowany jako Gra o Grom, długo owiany był mgłą tajemnicy. Krążyły plotki, że będzie to Microsoft Azure lub polska próba zbudowania AWS. Okazało się jednak, że usługa UniCloud wdrażana przez Centrum Danych Unizeto to chmura w modelu platforma jako usługa (PaaS), w której płaci się jedynie za wykorzystane zasoby. Po polsku oznacza to, że można tam uruchomić zarówno „goły serwer”, jak i serwer aplikacji a także różne gotowe aplikacje. Szczególnie opcja druga i trzecia wyglądają ciekawie.
Całość rozwiązania wykorzystuje platformę Jelastic. Zamiast się o niej rozpisywać polecamy poniższy krótki film.
Wygoda
Bez wątpienia największym atutem serwisu jest wygoda. Uruchomienie platformy WordPressa (Nginx+MySQL+Wordpress) wymaga zaledwie trzech kliknięć (Lista gotowych aplikacji -> Zainstaluj -> (opcjonalna edycja URL) -> Zainstaluj) a cały proces tworzenia serwerów i instalowania aplikacji zajął nam minutę i 17 sekund. Dla porównania instalacja Drupala (Apache + MySQL) zajęła nam 59 sekund a Magento (także na Apache) minutę i 51 sekund. Z testowanych gotowych aplikacji jedynie instalacja phpBB trwała ponad 5 minut, ale również nie wymagała żadnej interwencji ze strony użytkownika. Nie wiemy, czy tempo instalacji wynika z tego, że cała usługa działa wyłącznie w oparciu o dyski SSD, bo nie mamy porównania do innych wariantów, ale czas instalacji wydaje się nam całkiem rozsądny.
Lista gotowych aplikacji liczy sobie 109 pozycji i znaleźć tam można chyba wszystkie najpopularniejsze systemy z kilkunastu kategorii takich jak blogowanie, handel, galerie, fora, poczta czy obsługa klienta. Oprócz gotowych paczek aplikacyjnych można także oczywiście tworzyć swoje własne, autorskie instancje. System proponuje środowiska dla takich platform jak Java, PHP, Ruby, Node.js oraz Python. Każde środowisko możemy skonfigurować wybierając serwer aplikacyjny, bazodanowy, balancer, cache czy osobny serwer wirtualny. Np. dla PHP mamy do wyboru Apache lub Nginx, PHP 5.3 – 5.6, Memcached, Maria DB, MySQL lub PostgreSQL lub też Cassandrę, CouchDB, MongoDB, OrientDB czy Redisa. Do wyboru, do koloru.
Ile to kosztuje
Niestety odpowiedzi na to pytanie na razie nie znamy – cennik zostanie ujawniony po zakończeniu testów. Wiemy natomiast, że dla każdego z wymienionych wyżej komponentów możemy włączyć jeden lub dwa węzły oraz określić ilość zasobów (zwanych cloudletami) zarezerwowanych na stałe oraz przydzielanych dynamicznie w razie potrzeby. Kosztuje wszystko, ale też i wszystko możemy w razie potrzeby włączyć lub wyłączyć jednym kliknięciem, możemy też dostawać powiadomienia o bieżącym zużyciu zasobów.
Jednostką rozliczeniową jest cloudlet, obliczany w dość oryginalny sposób. System oblicza maksymalne wykorzystanie RAM oraz średni wykorzystanie CPU w ciągu godziny. Jednostkami są 128 MB RAM oraz 200 MHz CPU. Oznacza to, że jeżeli w ciągu godziny maksymalne zużycie RAMu wyniesie 1024 MB to będzie to 8 jednostek, a średnie zużycie CPU na poziomie 1200 MHz to 6 jednostek. Z tych dwóch wartości wybierana jest większa – w tym wypadku 8 – i za 8 cloudletów trzeba zapłacić. Inna będzie cena cloudletów stałych (zarezerwowanych z góry) a inna dynamicznych (potencjalnych, ale nie wykupionych). Co ciekawe w tym modelu prawdopodobnie nie płacimy w ogóle za ruch czy też pojemność dysków – choć zależy to zapewne od decyzji dostawcy.
Model rozliczeń wygląda ciekawie – ale jak wiadomo diabeł tkwi w szczegółach, zatem dopiero po opublikowaniu pełnego cennika będzie można powiedzieć, ile kosztuje średnio np. miesiąc utrzymania bloga na WordPressie przy 1k użytkowników dziennie.
Bezpieczeństwo usługi
Głównym interfejsem do zarządzania usługa jest witryna WWW, która domyślnie działa jedynie w wersji HTTPS – to na starcie duży plus dla autorów platformy. Szybki test za pomocą SSL Labs pokazuje, że choć konfiguracja nie jest najgorsza, to można ją trochę poprawić, rezygnując z obsługi SSLv3 i RC4. Nie jest to oczywiście bezpośrednie zagrożenie dla poufności przesyłanych informacji, ale coś, co warto jeszcze ulepszyć po stronie serwera. Działa także dostęp po SSH, do którego nie mamy uwag.
Nieco większe zastrzeżenie (choć też umiarkowane) mamy do obsługi haseł. Aplikacja stawia użytkownikowi tylko jedno wymaganie co do stopnia złożoności hasła – ma ono mieć co najmniej 6 znaków, ale nie więcej niż 64. Bezpieczeństwo hasła powinno zależeć od użytkownika i znakomita większość stosowanych przez rozsądnych użytkowników haseł może zostać użyta w serwisie, jednak zawsze tkwi w nas ta obawa, że zostawiając użytkownikowi możliwość ustawienia hasła aaaaaa lub 123456 narażamy go na potencjalne ryzyko. Z własnej winy użytkownika – ale jednak. Górne ograniczenie długości hasła też nas trochę zaskoczyło – funkcja skrótu nie narzuca takich limitów, jednak znane są ataki DDoS z wykorzystaniem bardzo długich haseł, zatem 64 możemy uznać za przyzwoity kompromis.
Procedura resetu hasła nie jest najgorsza – po podaniu adresu poczty elektronicznej otrzymujemy nowe, 15-znakowe losowe hasło emailem wraz z zachętą do jego szybkiej zmiany. Tu też można ten proces poprawić, przesyłając jedynie linka do zmiany hasła, dzięki czemu możemy mieć pewność, że nawet leniwy użytkownik będzie musiał ustawić własne nowe hasło, którego potencjalny włamywacz nie znajdzie w jego skrzynce.
Problemy
Aby nie słodzić przesadnie twórcom usługi staraliśmy się znaleźć jej niedociągnięcia i problemy. Oprócz wymienionych powyżej drobnych zastrzeżeń dotyczących bezpieczeństwa trafiliśmy także na kilka niedoróbek.
Pierwsze w miarę poważne zastrzeżenie jakie mamy do udostępnionej usługi to problem, na jaki natrafiliśmy przyglądając się aplikacji ownCloud (prywatny odpowiednik Dropboksa). Otóż paczka oferowana domyślnie zawiera wersję 7.0.0, która została wypuszczona w czerwcu 2014 roku. Logi zawarte w gotowej paczce wskazują, ze została ona skompilowana w sierpniu 2014. Od tamtego czasu ukazały się 4 kolejne wersje ownCloud (aktualna to 7.0.4), zawierające zarówno poprawki bezpieczeństwa jak i funkcjonalne. Jeśli oferta gotowych aplikacji ma być skierowana do mniej zaawansowanych klientów, to warto zapewnić, by przynajmniej na starcie otrzymywali aktualne wersje aplikacji. Warto także zauważyć, że WordPress, Drupal czy Magento były instalowane w najnowszej dostępnej wersji.
Drugie nasze zastrzeżenie to domyślne hasło w instalacji Drupala – o ile WordPress, Magento, ownCloud czy phpBB wszystkie miały hasło konta administratora wygenerowane losowo, o tyle domyślnie utworzone hasło konta admin w Drupalu brzmiało password. Nawet jeśli jest to standardowe zachowanie aplikacji (i do tego nie wymusza jego zmiany przy pierwszym logowaniu) to warto to zmodyfikować by zachować standard losowego hasła.
Na szczęście pozostałe uwagi są już dużo mniejszej wagi. Czasem niektóre komunikaty nie zostały jeszcze w 100% przetłumaczone – nie jest to wielki problem i wyjaśnia pewnie także czemu usługa nie jest jeszcze uruchomiona produkcyjnie. Niestety wygląda również na to, że po polsku dostępna jest zaledwie część dokumentacji (do tego pod zwodniczym linkiem Przejdź do społeczności) a całość przeczytać można jedynie po angielsku. Pewnie dla większości użytkowników nie będzie to przeszkodą, jednak dla części może być uciążliwe.
Na samym początku pracy z platformą, podczas tworzenia pierwszego środowiska (Jboss + Nginx) udało się zawiesić proces na etapie łączenia węzłów. Po wylogowaniu się i ponownym zalogowaniu wszystko wróciło do normy. Zapewne problemy wieku dziecięcego. Innym problemem na jaki natrafiliśmy są czasem niewidoczne nazwy zainstalowanych aplikacji. O ile np. WordPress, Drupal czy Magento pojawiają się na liście, to już Open Web Analytics czy phpBB mają ogólną etykietkę jelastic.zip, co może utrudniać odróżnienie jednego środowiska od drugiego.
Choć się staraliśmy, to w trakcie prawie dwutygodniowych testów nie natrafiliśmy na żadne inne problemy.
Podsumowanie
Nie testowaliśmy działania naszych aplikacji pod obciążeniem, nie sprawdzaliśmy także żadnych aplikacji poza opisanymi powyżej i pewnie nie skorzystaliśmy z 90% dostępnych funkcji platformy, ale te, które widzieliśmy, były całkiem sensownie pomyślane i zrealizowane. Rozwiązanie proponowane pod marką UniCloud jest bez wątpienia wygodne – możliwość uruchomienia ponad setki aplikacji kilkoma kliknięciami w czasie kilku minut może oszczędzić wiele wysiłku zarówno administratorom jak i zwykłym użytkownikom. Bez wątpienia niejeden administrator przestałby tracić czas na instalowanie Wordpressa/Drupala/Joomli (niepotrzebne skreślić) i zajął czymś pożyteczniejszym. Wygląda na to, że UniCloud może rozwiązać kilka problemów – pytanie tylko, ile będzie to kosztować. My na pewno wrócimy przyjrzeć się cennikowi gdy zakończą się testy.
Dla zachowania pełnej przejrzystości – powyższy wpis jest częścią akcji, za którą bierzemy pieniądze a zleceniodawca testu nie próbował wpływać na treść naszej opinii.
Komentarze
Można podłączyć domene jak w hostingu?
Jak najbardziej można podłączyć domenę do wybranego środowiska (wykorzystując rekord A lub CNAME domeny). Więcej informacji w naszej Bazie Wiedzy pod adresem: https://pomoc.unicloud.pl/unicloud/srodowiska-serwery/przypisanie-wlasnej-domeny/
„System oblicza maksymalne wykorzystanie RAM oraz średni wykorzystanie CPU w ciągu godziny. ”
Dobrze przeprowadzony DDoS może być dla ofiary niezwykle kosztowny w tym modelu…
Pewnie dlatego można ustawić limity i alerty, żeby był kosztowny, ale nie niezwykle :)
Dziękujemy za sugestię – wszystkie analizujemy pod kątem ulepszania platformy.
Jak słusznie zauważył Adam, system alertów i limitów pozwala na wczesną detekcję anomalii. DDoS może dotknąć każdego, wczesne wykrycie ataku daje większą szansę na obronę. Z tej perspektywy mechanizmy zastosowane w UniCloud jawią się jako zaleta, a nie wada platformy. Zapraszamy do bezpłatnego przetestowania mechanizmów monitorowania limitów i alertowania, zapewne większość wątpliwości zostanie rozwianych po bliskim zapoznaniu się z UniCloud.
Usługa wygląda atrakcyjnie. Ale jej pełny obraz będzie gdy pojawi się cennik. Dla wielu ważny jest stosunek jakości do ceny
Bardzo miło że wspominacie o tym, iż rzetelny artykuł na z3s był częścią umowy, za którą Wam płacą. Dziś rzadko się to już zdarza, zwykle człowiek czyta teksty sponsorowane, a nie ma o tym pojęcia ( z tym że wpis o UniCloud za taki uchodzić nie może).
Tak samo, uważam że to był bardzo dobry pomysł, krótka nota o artykule sponsorowanym oraz zachowanie względnej neutralności – powinno to być wzorem dla innych redaktorów.
Racja, może wyda się to radykalne co napiszę, ale w mojej opinii coś takiego powinno być wymagane prawnie. Tak jak prawnie jest wymagane informowanie o „lokowaniu produktu” w serialu – ta sama przejrzystość powinna być wymagana w wypadku artykułów w internecie. Może skończyło by się mydlenie oczu naiwnym internautom na pseudokomputerowych portalach, które coraz częściej zaczynają bardziej przypominać pudelka niż rzeczywiste strony z których można się coś interesującego dowiedzieć.
Brawa dla Z3S za przejrzystość :)
Na dzień dobry pomyślałem, że jest to wpis sponsorowany i od razu miałem do tego wstręt. Jednak momentalnie zmieniłem swoje nastawienie, gdy przeczytałem tę notatkę. Lubię, kiedy ktoś nie traktuje mnie jak idiotę i jest wobec mnie w pełni elastyczny, zapewnia mi to, że wiem z jaką treścią mam do czynienia. Stałem się stałym czytelnikiem, wystarczyło tak mało, a tak wiele dało. ;)
Swietnie. Takie recenzje przyjemnie sie czyta.
tylko mi te komentarze troche smierdza?
Które i czym?
Kolega insynuuje ze skoro jest sponsorowany artykuł, to i zachwyty pod artykułem mogą być też „sponsorowane”
Offtopic@ Tu jest internet, masz 2 możliwości, nie przejmować się zbytnio. Jedynie do jakiegoś stopnia. Ew wpaść w paranoje i wszędzie widzieć spiski :)
„Insynuuje” to dobre słowo. Równie dobrze może sam pracować dla konkurencji :)
>„Insynuuje” to dobre słowo.
a skąd możesz mieć taką pewność?
tym komentarzem potwierdziłeś, że również jesteś zamieszany!
Firma Unizeto?
Chyba zapomnieliście o tej kwestii:
http://www.polskieradio.pl/5/3/Artykul/1261786,Rosyjski-konsul-informatyzowal-polskie-urzedy-Zamieszanie-wokol-Unizeto
Ja bym żadnych danych na ich serwerach nie trzymał zwłaszcza w chmurze.
Jeśli nawet coś jest na rzeczy, to pamiętaj, że wszystkie sieci komórkowe korzystają z technologii amerykańskiej lub chińskiej a swoje dane i tak codziennie przekazujesz NSA. Jak się z tym czujesz?
Duży plus za czujność!
Adamem się nie przejmuj, nie wiemy czy razem z nimi nie spiskuje;)
Zainteresowałeś mnie znaleziskiem więc tez pokopałem
http://telewizjarepublika.pl/nasz-news-miliony-z-publicznych-pieniedzy-dla-spolki-unizeto-placa-min-zus-rcb-i-csioz,12965.html
http://www.bankier.pl/wiadomosc/ASSECO-POLAND-Podpisanie-listu-intencyjnego-z-UNIZETO-TECHNOLOGIES-S-A-7226929.html
Ogólnie skutecznie kolega mi namotał w głowie a za to jest plus, w końcu świat nie jest biały ani czarny tylko szary :)
Coś biedne te testy bezpieczeństwa
Nie krępuj się i zrób lepsze, chętnie opublikuję wyniki.
1. Czy będzie dostepna płatność bitcoinami za usługi?
2. Czy dojdą środowiska wspierające aplikacje asp lub natywne windows?
Zapowiada się świetnie. Super artykuł.
1 – Na dzień dzisiejszy nie rozważamy możliwości płacenia bitcoinami. Cennik i formy płatności zostaną opublikowane po zakończeniu testów fazy beta.
2 – Wsparcie aplikacji dla Windows mamy na ścieżce rozwoju. Przy okazji: na naszym celowniku znajduje się również docker.
Dziękujemy za pokładane w platformie nadzieje.
Jeżeli tylko strona techniczna po uruchomieniu będzie działała równie dobrze co marketing to będzie świetnie, już mam pomysły na kilka usług które chętnie bym u niich hostował.
Ciekawe rozwiązanie biorąc pod uwagę odmienny typ płatności, marketing też niczego sobie :) wreszcie jakaś firma z chumorem. Zaczynam ich lubić :) pytanie tylko czy jest to coś takiego jak CloudFlare?
„Procedura resetu hasła nie jest najgorsza – po podaniu adresu poczty elektronicznej otrzymujemy nowe” – czyli znając adres użytkownika możemy mu złośliwie utrudniać dostęp do konta, systematycznie resetując hasło.
Jeśli hasło byłoby zmieniane dopiero po kliknięciu w link nie byłoby tego problemu.
Wysyłają link do resetu.