Взять и поднять частное облако — поможет Sovereign

Это — комплекс open source решений для построения облачного хранилища (и не только). Обсудим его возможности, компоненты и отзывы в ИТ-сообществе.

/ Unsplash.com / Shane

Почему мы об этом говорим

Многие иностранные хостинги ушли с российского рынка или приостановили работу. Оплатить услуги компаний, которые остались, также стало сложнее из-за ограничений западных платежных систем. Бизнес решает проблему несколькими способами. Некоторые оплачивают облако через сервисы посредников, число которых растет как грибы после дождя. Однако многие из них берут комиссию в десятки процентов, плюс существует риск столкнуться с мошенниками.

Часть компаний переходит в облака отечественных провайдеров. Например, свое облачное хранилище предлагаем мы в T1 Cloud. За последние месяцы спрос на хранение и обработку данных вырос более чем на 40%. Наплыв пользователей оказался настолько резким, что некоторые локальные операторы в срочном порядке ищут способы нарастить инфраструктурные ресурсы.

Третье решение — частное облако на базе open source. Одним из известных стеков для этих целей является Nextcloud. Его инструментарий позволяет не только хранить данные, но и вести проекты, организовывать конференции. Не менее функциональным решением является Sovereign. С его помощью можно развернуть частное облако для корпоративных и личных целей.

Что предложит Sovereign

Это — набор сценариев Ansible, покрывающих десятки кейсов: от хранения данных и мессенджеров до обеспечения ИБ и мониторинга.

Хранение данных

Хранилище построено на основе открытого приложения ownCloud для синхронизации и совместной работы с файлами. Его представил инженер Франк Карличек, один из соавторов KDE еще в 2010 году. К слову, платформа Nextcloud является форком ownCloud и во многом повторяет её.

Приложение ownCloud позволяет хранить файлы с помощью обычных каталогов или использовать WebDAV. Оно поддерживает синхронизацию между клиентами и имеет встроенный текстовый редактор с подсветкой синтаксиса и фолдингом, что может быть удобно для разработчиков. Также есть интеграции с CalDAV и CardDAV для синхронизации календарей и списков контактов.

Что касается бэкапов, то за них отвечает Tarsnap. Инструмент платный, что не очень удобно в условиях санкций. Однако вместо него можно подключить другой сервис или настроить резервное копирование в облако российского провайдера.

Безопасность

В стек входит VPN-сервер на базе OpenVPN. Можно настроить двухфакторную аутентификацию по RFC6238 с поддержкой Google Authenticator и аппаратных токенов. Для борьбы со спамом авторы предлагают использовать Rspamd, для предотвращения вторжений — fail2ban, а для обнаружения руткитов — rkhunter. Управление брандмауэром реализовано с помощью Uncomplicated Firewall (ufw), который, по сути, является фронтендом для iptables.

Мониторинг

Компонент Monit следит, чтобы все элементы системы работали корректно и предупреждает о нештатных ситуациях. В свою очередь, модуль collectd собирает системную аналитику.

/ Unsplash.com / drmakete lab

В Sovereign также встроена платформа полнотекстового поиска Solr, безопасный IMAP-сервер Dovecot и Apache для веб-хостинга личных блогов. Исчерпывающий список сервисов можно найти в описании к репозиторию на GitHub. Там же выложена инструкция по настройке Sovereign. Сделать это можно на удаленном сервере или на локальной машине. Руководство покрывает все шаги — от установки пакетов до настройки DNS и мониторинга.

Что касается системных требований, то они достаточно консервативные. Для работы необходим сервер (например, VPS) с 512 МБ оперативной памяти. Разработчики рекомендуют использовать Debian 8.3 или альтернативный Linux-дистрибутив. Дополнительно необходим аккаунт в Tarsnap или любом другом бэкап-сервисе. Приобретать SSL-сертификаты не нужно — Let’s Encrypt предоставит их автоматически после развертки сервера.

Можно ли улучшить стек

За несколько лет вокруг Sovereign сформировалось обширное сообщество — на GitHub проект собрал больше 10 тыс. звезд. Однако отношение к многофункциональным платформам для настройки частных хранилищ неоднозначное. Есть мнение, что они экономят время и позволяют развернуть комплексную систему за считаные часы и даже минуты. С другой стороны, они пытаются решить слишком много проблем разом. В итоге страдает пользовательский опыт, а управлять зоопарком инструментов сложно.

В связи с этим энтузиасты предлагают разного рода улучшения для устоявшегося стека. Так, один из резидентов Hacker News в тематическом треде отметил, что предпочитает использовать для self-hosting решений Docker вместо Ansible из-за большей гибкости и простоты. Хотя здесь не все однозначно — настройка контейнерной среды тоже может вызывать трудности, все зависит от опыта.

Также Sovereign подразумевает настройку собственного почтового сервера. Но есть мнение, что они быстро «тонут» в спаме. Здесь помогут дополнительные защитные меры — сервис RBL, серые списки, фильтрующие входящий спам на уровне SMTP, и утилита SpamAssassin.

Главное, не перепутать

Sovereign является технологическим стеком для развертки корпоративного или личного частного облака. Но существует более масштабная инициатива с аналогичным названием — Sovereign Cloud Stack (SCS). Она не имеет отношения к персональным файловым хранилищам. Это — европейский проект, в рамках которого развивают открытые стандарты для контейнерной и облачной инфраструктуры.

Идейно Sovereign Cloud Stack связан с другой европейской инициативой — Gaia-X. Её цель — создать открытую инфраструктуру данных на базе децентрализованной облачной системы. Инженеры разрабатывают правила безопасного обмена информацией. Одним из первых на практике их опробует Национальный метрологический институт Германии в рамках программы по цифровизации средств проверки метрологических устройств.