Что такое закрытый контур?
Для начала давайте разберемся с терминологией. В современном мире многие компании по-разному оценивают критичность своих ИТ-систем и их влияние на бизнес. Чем больше бизнес зависит от работы системы, тем важнее она для него.
Например, крупная федеральная розничная сеть, бизнес которой основан в первую очередь на логистике, получит огромные убытки, если система по управлению складом перестанет работать и не будет понятно, откуда и в каком количестве грузить машину товаром.
Как правило, критичные системы собирают в одном месте (ЦОД) клиента, которое закрыто от внешнего мира. Чтобы попасть в такую систему, сначала надо как-то подключиться к инфраструктуре, а потом уже в систему. К слову говоря, ЦОД тоже становится критичным узлом, и его также резервируют 2 или 3 раза.
Закрытый контур
Из вышеописанного давайте сформируем такое определение: закрытый контур — это сегмент сети, который обычно изолирован от интернета полностью или частично аппаратными или программными средствами.
Полностью изолированный контур подразумевает, что на сервер можно попасть только из внутренней сети, и со стороны сервера мы можем обратиться только к определенным узлам. На таком сервере все, что не разрешено, — запрещено. Очень часто в таких проектах все исходящие запросы пропускаются через прокси-шлюз, что приводит к дополнительным издержкам при настройке.
Государственные заказчики обычно максимально жестко подходят к изоляции контура. Чтобы попасть в него, нужно получить специальный дистрибутив VPN-клиента, сертифицированного ФСБ. На это может потребоваться определенное время, обязательно закладывайте эти накладные расходы в свой план-график. Иногда удаленное подключение полностью отсутствует — необходимо приезжать и производить все работы вручную под наблюдением.
Помимо определенных процедур доступа в инфраструктуру, инженеры также сталкиваются со сложностями открытия доступов для установки ПО на сам сервер. Клиент может не согласовать необходимые репозитории для работы окружения.
Также обратите внимание, что клиент может потребовать определенную операционную систему для своего окружения. Вы должны иметь опыт развертывания не только стандартной BitrixEnv на базе CentOS 7, но и Debian, RedOS, Oracle Linux и другие.
Частное облако
Многие компании рассматривают развитие своих систем не на своих серверах, а арендованных. Собственные машины надо где-то размещать, подводить каналы, обеспечивать кондиционирование, безопасность и многое другое. Иметь постоянный склад запасных частей. Контролировать совместимость (если вдруг выйдет из строя какой-то специфичный контроллер, который надо оперативно заменить).
Все это постепенно привело к появлению рынка облачных ресурсов. Пионером здесь была компания Amazon в 2002 году, которая изначально сделала такой сервис для своих проектов, а потом масштабировала на рынок. В России такими компаниями являются: Selectel, Яндекс.Облако, Ростелеком и другие.
Размещение проектов в этих облаках на сегодняшний день является хорошей практикой. При этом размещение может быть выполнено и в режиме закрытого контура, когда доступ к проекту будет разрешен только из внутренней сети клиента через организацию VPN-туннеля.
На практике разница между вышеперечисленными облаками только в реализации.
Это с точки зрения администрирования, а с точки зрения эксплуатации — у провайдера датацентра есть специализированная инфраструктура для повышения отказоустойчивости [прим. команды академии].