Сервисы tab
2 627

Не стоит полностью доверять облачным провайдерам

Вот уже три года мы строим небольшой сервис по сохранению рецептов. Начинали с MVP, которое было запущено в Heroku. Как только поняли, что у проекта есть небольшая аудитория, было принято решение переезжать в облака.

В закладки

Выбрали Azure из-за программы BizSpark. Это было просто подарком: команда до пяти человек и у каждого кредит 9 400 руб. Не стали жадничать и зарегистрировали двух пользователей, получилось 18 800 на любые расходы связанные с облаком ежемесячно в течении 3-х лет. Мы тратили существенно меньше допустимого кредита.

Сейчас в нашем сервисе появился небольшой доход. Но те деньги которые поступают от пользователей меньше суммы, которую необходимо тратить в Azure. А еще у нас есть траты на Amazon S3, доменное имя, ежегодный платеж за аккаунт разработчика в App Store. Было принято решение найти более дешевый облачный хостинг.

Digital Ocean я использовал около года в других проектах, когда они только появились. Воспоминания о первом опыте у меня были самые положительные. Проблем с отключением датацентра на долгое время не было, поддержка отвечала в течение часа, виртуалки от 5$ в месяц.

11 октября был зарегистрирован новый аккаунт в DO. Была привязана и подтверждена дебетовая карта, а после получен кредит на 100$ на 60 дней. В этот же день были добавлены первые дроплеты для баз данных и приложений. Всего получилось 6 дроплетов. Общая сумма получилась около 30$ ежемесячных трат. Было решено наблюдать за нагрузкой и если будет необходимо, то увеличить количество дроплетов или ресурсов в них.

13 октября была развернута тестовая версия сервиса. Были сделаны работы по подготовке к переезду. Рано утром 14 октября мы переехали.

И вот внезапно утром 16 октября получаем сообщение от Яндекс.Метрики, что сайт недоступен. В консоле DO сообщение "Account Locked".

Сообщение в тикете:

"We're excited to have you as a customer of DigitalOcean, we would like to verify your account. Please provide us with the following: - Your Name - Location - Phone Number - Type of Traffic you will be sending from the server - 1 or more of the following: 1. Your public twitter handle 2. Your blog 3. Your company or personal website 4. Your public facebook profile Thanks, Support"

Дроплеты недоступны, сервис лежит.

Ответив на глупые вопросы в тикете о том, какой у нас Инстаграм, решили, что нужно выдохнуть и просто подождать. Наши пользователи появляются около 8:00 MSK, а значит есть около 4х часов.

Через 4 часа ответа от поддержки так и нет. Аккаунт заблокирован. Меняем DNS и поднимаем сервис в Azure. Итог, около 10 часов простоя, данные наших пользователей за два дня остались на отключенных серверах в DO. Экспорт данных на Яндекс.Диск настроить не успели и, конечно, теперь очень об этом жалеем.

Поддержка DO ответила только после директ сообщения в твиттере. Что само по себе смешно. Когда твиттер стал местом обращения внимания поддержки на тикеты?

@digitalocean You are block account (with valid credit card) for verification and do not respond in ticket #2319866 over 5 hours! Seriously?

До сих пор не понятно, зачем блокировать аккаунт полностью? Почему нельзя сначала отправить письмо с просьбой пройти верификацию или сервис будет приостановлен? Почему вообще блокируется аккаунт, в котором привязана (и проверена) кредитная карта?

Прошли сутки и мы всё ещё ждём ответа и дроплеты в DO не доступны.

Для себя мы сделали такие выводы: нельзя полностью доверять только одному облачному провайдеру. Иначе можно проснуться утром, а ваш аккаунт заблокирован, виртуальные серверы удалены и данных нет. Нужно держать копию сервиса сразу у нескольких облачных провайдеров. Мы планируем развернуть реплику баз данных и приложения в Amazon, чтобы предотвратить такое в будущем.

Обязательно должны быть настроены бэкапы во внешние сервисы хранения данных, никак не связанные с вашим облачным провайдером. И нужно периодически проверять возможность восстановления данные из таких бэкапов.

Вы должны уметь поднять сервис за минимально короткое время с нуля: установка необходимого ПО, восстановление данных из бэкапа, деплой приложения. Мы пользуемся ansible и можем поднять копию сервиса в течение получаса.

У вашего домена в DNS должны быть настроены минимальные TTL для того чтобы была возможность максимально быстро менять IP-адреса ваших веб-серверов.

Материал дополнен редакцией

Материал опубликован пользователем. Нажмите кнопку «Написать», чтобы поделиться мнением или рассказать о своём проекте.

Написать
{ "author_name": "tab", "author_type": "self", "tags": [], "comments": 22, "likes": 33, "favorites": 30, "is_advertisement": false, "subsite_label": "services", "id": 48316, "is_wide": false, "is_ugc": true, "date": "Wed, 17 Oct 2018 06:34:00 +0300" }
{ "id": 48316, "author_id": 205331, "diff_limit": 1000, "urls": {"diff":"\/comments\/48316\/get","add":"\/comments\/48316\/add","edit":"\/comments\/edit","remove":"\/admin\/comments\/remove","pin":"\/admin\/comments\/pin","get4edit":"\/comments\/get4edit","complain":"\/comments\/complain","load_more":"\/comments\/loading\/48316"}, "attach_limit": 2, "max_comment_text_length": 5000, "subsite_id": 200396 }

22 комментария 22 комм.

Популярные

По порядку

Написать комментарий...
5

Все так.
А вообще сочувствую. Сам пользуюсь DO несколько лет, опыт только положительный. Расскажите потом, чем дело закончилось, интересно.

Ответить
2

Опыт только положительный. Кроме того, что их сети до сих пор под баном РКН.

Ответить
0

Не все ip забанены, к примеру германия вся работает, пинг тот же что и до нидерландов. Сначала проверяете на блок, потом ping,не подходит сносите создаете новый, еще рекомендую на спам базы чекнуть, с DO чуть меньше года, пока это мой лучший опыт с хостинг провайдерами.А документация просто огромная.Без навыка администрирования поднял сервак используя мануалы DO.

Ответить
0

А говорят, что РКН только плохо делает. Вон вокруг твоего рецепта можно целый сервис запилить «Создать незабаненный дроплет».

Ответить
0

Так это не do виноват что у нас РКН поехавший.Карту не привязывал, плачу с палки.

Ответить
5

У меня с Диджитал Оушен вообще все отлично — они отказывались принимать все мои карты, даже заграничные долларовые (не виртуальные), и я подумал «Зачем я так яростно пытаюсь дать денег тем, кто не хочет их брать?». И забил хуй, живу себе на Ажуре и горя не знаю.

Ответить
1

Скорее всего увидели что IP из РФ, вот и подорвались

Ответить
1

А еще у нас есть траты на Amazon S3

А зачем, если у Ажура есть и хранилище и CDN?

Ответить
1

Я просто оставлю это здесь - https://aws.amazon.com/ru/activate/

У Амазона есть уже давно программа для стартапов

Ответить
0

Спасибо, посмотрю

Ответить
1

Возможно набор каких-то секьюрити триггеров сработал. Я проходил верификацию с DO, они мне ничего не блокировали. Но я начинал постепенно, тогда они не давали рефералы сразу на 100$, и хотя в сумме я набрал немало, все же я им платил деньгами

Ответить
1

При оплате российскими картам — верификацию проходить обязательно, у России достаточно низкий security clearance, странно что вы об этом не знаете.

Кроме того, если у вас business account, оформленный на зарубежную компанию, но привязана карта российского банка, то это автоматический триггер для AML системы.
AWS с начала года рассылает письма с уведомлениями о прекращении использования подобных способов оплаты.

PS. Очень странное решение использовать зарубежный дата-центр для российского траффика.

Ответить
0

Tor`-ом случайно не пользуетесь? Слышал такой отзыв. При попытке регистрации в DO используя TOR Он сразу требует кучу документов. Ибо видит, что IP используется в TOR.

Ответить
0

Нет, обычный белый IP. Никаких Tor`-ов, VPN-ов и пр.

Ответить
0

У меня не так давно был случай (клиента лишились в итоге) на Bluehost после оплаты (продления акка) и заказа увеличения озу и количества процессоров акк висел (сайт клиента не работал от слова совсем) два (!) дня. Самая дикость была в том что на саппорте ничего внятного в чем причина отключения проплаченного аккаунта на два дня не могли сказать.

Ответить
0

Это и так понятно, что нельзя держать все яйца в одно корзине. Тут урок скорее в другом: нужно активное присутствие в соц. сетях и привязка этих аккаунтов к различным сервисам, чтобы в один прекрасный день работник этого сервиса не заблокировал тебя.

Ответить
0

Была привязана и подтверждена дебетовая карта, а после получен кредит на 100$ на 60 дней.

Своих денег вы по сути не потратили на DO, а у них отработала система по анализу активности первичных аккаунтов, неприятно, но, не неожиданно.

Ответить
0

Да, но зачем тогда так пушить реферальную систему если потому будут блокировать аккаунты которые ей воспользовались?

В твиттере, кстати, можно найти очень много сообщений в поддержку и ответов в духе "Trust and Safety Team will respond you soon". Похоже это стало нормальной ситуацией.

Ответить
0

акаунт залочили из-ща подозрительной регистрацией в реферальной системе скорей всего.
Неприятно - но не смертельно.

Еще океан лочит дроплеты когда есть абузы копирайт ботов - и все равно что на сайте лишь упоминание / ссылка на апку банка в апсторе а не фишинговый сайт - реагировать нужно за 3-и дня и все тут.

Ответить
0
{ "page_type": "article" }

Прямой эфир

[ { "id": 1, "label": "100%×150_Branding_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox_method": "createAdaptive", "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfl" } } }, { "id": 2, "label": "1200х400", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfn" } } }, { "id": 3, "label": "240х200 _ТГБ_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fizc" } } }, { "id": 4, "label": "240х200_mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "flbq" } } }, { "id": 5, "label": "300x500_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfk" } } }, { "id": 6, "label": "1180х250_Interpool_баннер над комментариями_Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "bugf", "p2": "ffyh" } } }, { "id": 7, "label": "Article Footer 100%_desktop_mobile", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjxb" } } }, { "id": 8, "label": "Fullscreen Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjoh" } } }, { "id": 9, "label": "Fullscreen Mobile", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjog" } } }, { "id": 10, "disable": true, "label": "Native Partner Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyb" } } }, { "id": 11, "disable": true, "label": "Native Partner Mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyc" } } }, { "id": 12, "label": "Кнопка в шапке", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "p1": "bscsh", "p2": "fdhx" } } }, { "id": 13, "label": "DM InPage Video PartnerCode", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox_method": "createAdaptive", "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "bugf", "p2": "flvn" } } }, { "id": 14, "label": "Yandex context video banner", "provider": "yandex", "yandex": { "block_id": "VI-223676-0", "render_to": "inpage_VI-223676-0-1104503429", "adfox_url": "//ads.adfox.ru/228129/getCode?pp=h&ps=bugf&p2=fpjw&puid1=&puid2=&puid3=&puid4=&puid8=&puid9=&puid10=&puid21=&puid22=&puid31=&puid32=&puid33=&fmt=1&dl={REFERER}&pr=" } }, { "id": 15, "label": "Плашка на главной", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byudx", "p2": "ftjf" } } }, { "id": 16, "label": "Кнопка в шапке мобайл", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byzqf", "p2": "ftwx" } } }, { "id": 17, "label": "Stratum Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fzvb" } } }, { "id": 18, "label": "Stratum Mobile", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fzvc" } } }, { "id": 19, "label": "Тизер на главной", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "p1": "cbltd", "p2": "gazs" } } } ]
Хакеры смогли обойти двухфакторную
авторизацию с помощью уговоров
Подписаться на push-уведомления
{ "page_type": "default" }