- tocdepth
2
Изоляция инфраструктуры клиентов в облаке Cloud.ru
Облачные платформы предполагают совместное использование физической инфраструктуры для различных задач. Это позволяет распределить затраты на общие ресурсы между клиентами и снизить общую стоимость предоставляемых сервисов и услуг. Каждому клиенту Cloud.ru выделяется собственная виртуальная инфраструктура, изолированная от прочих клиентов.
Подходы к изоляции зависят от платформы:
Облако VMware и Advanced
Для изоляции виртуальной инфраструктуры клиентов Cloud.ru на платформах Облако VMware и Advanced используются:
Встроенные средства консолей управления на уровне платформ. Конкретные средства могут отличаться в зависимости от платформы.
Средства SDN на сетевом уровне.
Для каждого клиента ведется свой лог событий, связанных с создаваемыми объектами (например ВМ), и действиями администраторов и пользователей, имеющих доступ к консолям управления Cloud.ru. Лог событий доступен только пользователям соответствующего клиента с правом на просмотр и выгрузку (экспорт) в CSV-файл. Полный лог доступен только администраторам организации. Остальные пользователи могут просматривать только связанные с ними же события. Доступ к логу виртуальной инфраструктуры ограничивается встроенными средствами консолей управления.
Кроме того, в рамках периодических проверок всей инфраструктуры Cloud.ru проводится тестирование на возможность проникновения потенциального нарушителя из одной виртуальной инфраструктуры в другую с преодолением используемых механизмов защиты.
ML Space
В платформе ML Space для клиентов не разворачивается ВЦОД в классическом смысле. Поэтому подходы к изоляции отличаются от используемых в платформах Облако VMware и Advanced.
Доступ к ресурсам клиентов — бакетам S3, NFS-хранилищу, хранилищу образов и артефактов машинного обучения, задачам обучения — разграничивается следующими способами:
Средствами программных компонентов.
Логикой платформы ML Space (включая консоль управления ML Space).
Набором средств, работающих на уровне инфраструктуры Kubernetes (изоляция пользовательских задач в рамках пространств имен, сетевая изоляция и др.).
для Dev & Test