MWS Cloud Platform | Сообщество

я так понимаю вы свой оркестратор/scheduler написали для виртуалок

Продолжаем рассказывать о технологиях MWS Cloud Platform! На этот раз — про систему безопасности и разграничения доступа 🔐 Когда на одном железе работают ресурсы разных клиентов, вопрос защиты данных становится критическим. Как дать доступ нужным пользователям, но при этом защитить от злоумышленников? Как автоматизировать процессы через сервисные аккаунты? И главное — как защититься от атак даже изнутри облака? Игорь Михалюк, Tech Lead команды IAM подробно рассказывает про всю систему Identity and Access Management в MWS Cloud Platform. От аутентификации через МТС ID до концепции сервисных агентов, которые ограничивают радиус атаки даже на уровне внутренних сервисов облака. Ключевые фишки нашего IAM: – RBAC-модель с гибкой иерархией (организация → папки → проекты) – Сервисные аккаунты для автоматизации (внутри и вне облака) – AWS-совместимая авторизация для S3 (HMAC-ключи, Bucket Policy, presigned URLs) – Сервисные агенты — защита от кросс-проектных атак даже после размещения заказа Особая гордость — многослойная система защиты, где даже внутренние сервисы облака не имеют «режим бога» и работают с ограниченными правами в рамках каждого проекта. Читайте полную статью на Хабре

Будем надеяться, что в этот раз причина другая… пишу в личку

Таки гостей думаю будет больше, на вряд ли тут пол компании :D

⚡️️ Реалити «Создавая облако» возвращается! В новом выпуске мы расскажем, как устроен балансировщик нагрузки внутри MWS Cloud Platform. Разберём: ⚫️️чем отличаются Application Load Balancer и Network Load Balancer ⚫️️как балансировщик работает с overlay-сетью ⚫️️какие концепции Google Maglev мы взяли за основу при разработке собственного алгоритма распределения запросов ⚫️️как устроены внешний и внутренний балансировщики Покажем архитектуру сервиса изнутри, разберём реальные кейсы и ответим на ваши вопросы в прямом эфире. Дата и время: 16 апреля, 17:00 Спикер: Юрий Никанович, cеньор-разработчик MWS Cloud Platform Если ты backend-разработчик, сетевой или системный инженер или тебе просто интересно, как устроены балансировщики нагрузки и распределение трафика внутри облачной платформы, приходи и задавай вопросы! ➡️ Регистрация За лучший вопрос разыграем подарки от MWS Cloud Platform. До встречи в прямом эфире!

Ребят, решили рассказать, как строим наше облако с нуля! Когда мы запускали проект, многие спрашивали: зачем своё облако в 2024-м? Ведь на рынке уже есть готовые решения. Но все они либо на OpenStack, либо на вендорских продуктах — и у всех одинаковые проблемы с масштабированием. Почему делаем своё Вендорский софт — это чёрный ящик: хочешь что-то изменить, а не можешь. OpenStack вроде открытый, но попробуйте его нормально заскейлить. Особенно больно с сетью — форумы полны жалоб. Нам же нужно облако не только «на продажу», но и для внутренней экосистемы МТС. Единая платформа для продуктов компании и клиентов. На российском рынке такого решения пока нет. Что получилось - Всё строим сами: от виртуализации до сетевых функций. - Разделили Storage и Compute — так проще масштабировать независимо. - Сеть — на принципах Leaf-Spine и IPv6-only. - Организовали централизованную Development Platform: она делает общую инфраструктуру для всех продуктовых команд. Иначе каждая бы изобретала велосипед. Подробнее же в статье нашего CTO Данилы Дюгурова — в статье на Хабре

⭐Переименовали снимки дисков в резервные копии Делаем интерфейс облака более очевидным. Слово «снимок» часто вызывало путаницу — непонятно, это снапшот гипервизора для быстрого отката ВМ или резервная копия диска для хранения данных. Это разные механизмы. Переименовали, чтобы название сразу говорило о назначении. В облаке доступны полноценные резервные копии. Резервная копия диска — это независимая копия его состояния в определëнный момент времени. Они нужны для резервного копирования и аварийного восстановления данных. ⚫Копии инкрементальные ⚫Создаются без прерывания работы ВМ и негативного влияния на её производительность ⚫Хранятся в Object Storage ⚫При удалении диска копии не удаляются ⚫Из копии можно создать новый диск ✨Если вы ранее пользовались снимками — это они и есть. Данные на месте, цены не изменились. Просто название теперь точнее отражает суть. Кстати, 25 июня в 14:00 будет вебинар о том, как работать с резервным копированием в облаке. ➡ Регистрируйтесь!

Привет, конечно в идеальной схеме было бы круто каждому выдать свой процесс, но это не очень скейлится. Вопрос в альтернативах. Например если мы все еще живём в парадигме использования vhost а не virtio то vhost-user сильно лучше чем просто vhost который в ядре - эксплоиты никуда не деваются, но хоть не в ядре. Ещё вопрос пофантазировать: а если злоумышленник получил RCE внутрь железного хоста через spdk, точно ли чтение памяти - это худшее что он может сделать и спасёт ли от остального то что vhost-демонов не один а несколько? Говоря про RoP - это все-таки не исполнение произвольного кода, а возможность подделать стек функций. Надо еще знать куда привести и будет ли там (в контейнере) что-то что даст возможность прочитать память всех ВМ. Плюс предполагается что код virtqueue и scsi который работает с lenval-протоколами сделает overflow. PS ну и все вопросы которые Вы задаете в полной мере справедливы и для сетевого vhost'а а не только для spdk :) Но вопрос конечно непростой и в нем много компромиссов и трейдоффов.

вполне, если сделать провижнер/популятор и с этого сорса наполнять диск при создании https://kubernetes.io/blog/2025/05/08/kubernetes-v1-33-volume-populators-ga/

добрый день! скажите, пожалуйста, как быстро процессятся заявки на приветственный грант для новых пользователей?

Привязка сервисных аккаунтов к ВМ В сервисе Compute теперь можно привязать сервисный аккаунт к виртуальной машине. Это позволяет безопасно получать и автоматически обновлять токены аутентификации прямо из метаданных ВМ и упрощает автоматизацию процессов в облаке. Например, на ВМ развëрнут CI/CD-пайплайн. В процессе сборки нужно поднять тестовые виртуальные машины, прогнать на них тесты, а затем выключить. Скрипт просто берëт токен из метаданных и обращается к API Compute. Подробности в документации. #release_notes

Привет! Нет, не завозили. Это e2e медиаплатформа — такого у нас нет сейчас и нет в планах на 26H1. Но раздавать статическое видео через наш CDN мы, напоминаю, умеем.

⚡️️️Подготовили для вас программу стенда MWS Cloud Platform на JPoint 2026 — собрали самые интересные активности: от развлекательных до технических. Приходите участвовать, знакомиться с нами и открывать для себя возможности платформы!

Вы так переписываетесь как будто сегодня рабочий день)

🌨 2 и 3 апреля встречаемся на DevOps Conf, чтобы не просто поговорить о технологиях, а проверить их в деле. На стенде MWS Cloud Platform будут новые дискуссионные форматы: техтолки для острых дискуссий с экспертами, DevOps-батл в стиле «Своей игры» и «Баг-хантер», где участники найдут ошибку, разрешат инцидент и развернут приложение в облаке. Также совместно с DevOps Conf мы запустили опрос о DevOps-практиках. Хотим выяснить, какими инструментами действительно пользуются, какие проблемы встречаются и куда движется индустрия. Принять участие в опросе может каждый, а в дни конференции приглашаем продолжить дискуссию на нашем стенде — похоливарим с экспертами на темы опроса вживую! В программе докладов экспертизой будет делиться Сергей Киселёв в рамках круглого стола «Будут ли нужны DevOps к 2030 году или вас всех поглотит AI?». Ждём вас на стенде для живого общения, холиваров и челленджей!

Давайте пойдем от обратно, можете скорее рассказать про задачу? Тут нужно учитывать, что у самого MWS Cloud Platform еще нет своей ML Platform, большой MWS предоставляет ее для клиентов в виде частных инсталляций, как раз с того лендинга можно запросить подробности) Но в реалиях MWS Cloud Platform есть AI Platform - но о нем пока не буду спойлерить, ожидаем анонс на завтрашней презентации :)