<<< Mit jelent az, hogy kiber? (cyber)SMS, mint második faktor? >>>

Melyik felhőt válasszam?2020-09-20

Az Internet egyre nagyobb és nagyobb része néhány nagy cég köré összpontosul, felhő-szolgáltatásaik segítségével olcsóbb, és ahogy korábban írtam, sok szempontból biztonságosabb rendszerhez jutnak.

Ahogy elmélyedtem a felhő-biztonság területében, egyre jobban megtetszett ez a világ, és végül a saját dolgaimat (például ezt a honlapot, de általában azt a környezetet, ahol különböző dolgokat kipróbálok, bütykölök) is felhőbe - végül többnyire a Google felhőjébe - vittem. A következőkben a szolgáltató-választással kapcsolatos tapasztalataimról írok. (Az irodai felhő-csomagokról /pl. Office365, GSuite/ majd később írok.)

Az Amazon/AWS, a Google/GCP és a Microsoft/Azure felhőit vizsgáltam meg alaposabban. Más-más hangsúllyal ugyan de hasonló szolgáltatásokat nyújtanak: Tárolhatsz bennük adatokat fájlokban vagy adatbázisban, futtathatsz náluk virtuális gépeket (rajtuk Linux vagy Windows szervereket), vagy írhatsz kódot, ami a felhő-szolgáltató platformján fut (és ekkor magukkal a szerverekkel nem is kell foglalkoznod), létezik naplózó vagy kulcs-menedzsment szolgáltatásuk, stb. Áraik is nagyjából hasonlóak -- vagy csak nagyon-nagyon nehezen vethetőek össze.

A felhő-szolgáltatásért azzal arányosan fizetsz, hogy mennyi erőforrást használsz. Ezért olcsón el tudsz indulni, és ha a rendszered felfut, akkor később könnyen tehetsz mögé több erőforrást. Fix havi díj nincs, így ha végül úgy döntesz, nem használód a felhőt, egyáltalán nem fizetsz.

Mindhárom nagy felhős cég szolgáltatásának van ingyenes és próbaváltozata is, a próba általában egy évig tart, de mindháromnak vannak korlátlan ideig ingyenes szolgáltatásai is (AWS, GCP, Azure). Ha csak az ingyenes szolgáltatásokat használod (ami nehéz), és az ingyenes kvóta alatt maradsz, akár korlátlan ideig ingyenesen működhet a rendszered. Engem elsősorban a "beugró" árak érdekeltek egyelőre.

A három nagy közül az Amazon AWS a piacvezető, az ő szolgáltatásaik talán a leginkább kifinomultak, és a merőben új dolgokkal általában ők jelennek meg. A másik kettő sokszor az AWS-t másolja, ebből adódóan sokszor jobban végiggondolt szolgáltatásokat nyújtanak (hiszen tanulnak belőle, hogy mit rontott el a másik). A Google és a Microsoft felhője jobban illeszkedik az adott szolgáltató ökoszisztémájához (pl. MS Active Directory), vagy irodai csomagjához (MS Office, illetve GSuite) -- bár egyelőre itt elég kevés kapcsolódási felületet találtam.

Mindhármat kipróbáltam, és végül a Google GCP mellett tettem le a voksomat, mert:

  • Korlátlanul ingyenes szolgáltatások: GCP alatt egy darab, 'micro' virtuális gépet korlátlan ideig futtathatsz ingyenesen. Egy kezdőnek talán a virtuális gép jelenti a legkönnyebb belépőt a felhőbe: pont olyan, mint a te szervered, csak nem nálad van, hanem a szolgáltatónál, így meglévő dolgok akár egy az egyben átvihetőek rá. Általában igaz, hogy minél inkább szolgáltató-független egy felhő-szolgáltatás, annál kevésbé adják ingyenesen, mert akkor bármikor otthagyhatod őket. Ezzel szemben, ha olyan szolgáltatásokra építesz, amelyek csak az adott szolgáltatónál vannak, azzal elkötelezed magad irántuk, így "beetetésként" sokkal többet adnak ingyen.

    A virtuális gépek futtatására használt ún. compute szolgáltatások tipikusan fizetősek, mert a virtuális gép könnyen mozgatható. Ezzel szemben, ha kifejezetten a szolgáltató platformjára, az ő library-jei segítségével írsz kódot, az elég sokáig ingyenesen futtatható. Hasonlóképpen, a standard SQL adatbáziskezelőre (MySQL, Postgresql) épülő szolgáltatások kivétel nélkül pénzesek, míg a szolgáltatók saját, nem-szabványos noSQL adatbáziskezelői (AWS DynamoDB, GCP Firestore/Firebase) elég nagyvonalú árazással rendelkeznek, sokáig teljesen ingyenesek.

    AWS alatt csak az első évig ingyenes egy virtuális gép, a Microsoft pedig elég hamar elkezd pénzt kérni az embertől a virtuális gépért (utóbbi árazását nem sikerült átlátnom). Így ha AWS alatt sikerült belőnöm egy hobbi-rendszert, egy év múlva el kell döntenem, fizetek-e érte vagy lelövöm. Google alatt mehet korlátlanul -- amíg ki nem növi a kis virtuális gépet.

    Ha nem hobbi-rendszerről, hanem vállalkozásról lenne szó, akkor nem így állnék hozzá. Üzleti tervet készítenék, felmérném, hogyan fog növekedni a felhasználás, és az alapján dönteném el, hogy a tervezett felhasználás esetén melyik szolgáltató ára a legjobb. Amíg hobbi-rendszerről van szó, az a legjobb, amiért nem kell rendszeres díjat fizetni.

  • Könnyű belépés: A GCP regisztrációkor ad 300 USD kreditet, ami egy évig érvényes. Így ha akkor sem kapsz számlát, ha rövid időre a fizetős szolgáltatások közé tévedsz, hanem ebből a kreditből vonja le az összeget.

    A felhő alapú kulcsmenedzsment rendszerek (KMS) például mindenütt fizetősek. Több olyan embert ismerek, aki elkezdett játszani az AWS KMS-ével, és hó végén kapott egy számlát. Néhány centről ugyan, de megijedt, és gyorsan letörölt mindent.

  • Projektek: A GCP esetén projektekbe kell szervezned a rendszereidet, bármilyen szolgáltatást bekapcsolsz, az egy projekt alá kerül. Ezért ha úgy döntesz, később az adott projekt letörlésével könnyen letörölheted az összes hozzá tartozó rendszert. Így könnyen le tudod választani, és meg tudod szüntetni azokat a funkciókat, amelyek nem kellenek, és a törlést követően nem kell fizetned értük. AWS alatt elég macerás lehet kimazsolázni, hogy pontosan mi az, amire még szükséged van, és mi az, ami már nem kell. A projekt jó példa arra, hogy a Google levonta a tanulságot, hogy mi a gond az AWS-nél, és a saját rendszerét jobban építette fel.

  • Tiszta elnevezések: Ez teljesen szubjektív, de nekem sokkal könnyebb volt tájékozódni a GCP elnevezései között, az AWS fantázianevei elrettentettek. Pl. az AWS DNS szolgáltatását úgy hívják, Route53, míg a GCP DNS szolgáltatásának a neve DNS; az AWS storage szolgáltatásút úgy hívják, S3 (simple storage service), míg a GCP esetén csak Storage; az AWS virtuális gépeket futtató szolgáltatása EC2 (ellastic cloud compute), míg a GCP esetén csak Compute. Stb.

  • Google :) Szintén szubjektív, de általában tetszenek a Goolge szolgáltatásai, míg a Microsoft hasonló megoldásai általában kevésbé jönnek be.

Általában minden felhő-megoldásra igaz, hogy kiadod a kezedből a kontrollt az adataidról, cserébe egyszerűbben, olcsóbban, és jobban skálázhatóan oldhatsz meg bizonyos dolgokat. Magával a szolgáltatóval szemben teljesen kiszolgáltatott vagy (csak kriptográfia segítségével védekezhetsz, de ott is csak nagyon szűk esetekben), és ha elrontasz valamit, akkor a hibád kint lesz a nyílt Interneten.

Óriási perspektíva van a felhő-szolgáltatásokban, de biztonsági szempontból alaposan végig kell gondolni, mibe vágsz bele.

 

 

 
Ez az én személyes honlapom, amit itt írok, az az én saját, személyes véleményem, nem feltétlenül egyezik a munkahelyem véleményével. A blogomban szereplő tartalom a Creative Commons CC BY licenc szerint (azaz a szerző és a forrás megnevezésével) szabadon felhasználható.