سوار ابرها، رویدادی فناورانه که ابر آروان آن را هر سال برگزار میکند، امسال شاهد معرفی محصولات مختلف و مهمی در حوزه خدمات ابری بود. چند روز پیش از آغاز این رویداد، با تیم ابر آروان به گفتگو نشستیم تا بیشتر با ابعاد مختلف محصولات جدید آشنا شویم.
اولین محصولی که ابر آروان در رویداد سوار ابرها معرفی کرد، «اسمارت روتینگ» بود. «فرهاد فاطمی»، همبنیانگذار و ناخدای فنی ابر آروان میگوید در یک کلام هدف قابلیت اسمارت روتینگ، افزایش سرعت اتصال به سرور اصلی است؛ هرچند این قابلیت در چند مرحله، برای ارائه زمانبندی شده است. او در همین رابطه میگوید:
«بخش اول این محصول نهایی شده تا اختلالهای موجود در مسیر را به سرعت شناسایی کنیم و برای حل آن، از این راهحل استفاده کنیم. مرحله بعدی این است که اختلال به شکل اتوماتیک تشخیص داده شود و مرحله آخر، افزایش کارایی و انتخاب بهینهترین مسیر است.»
به گفته او اتوماتیک کردن تشخیص اختلال و عملکرد مناسب در کنار بخش سوم یعنی انتخاب همیشگی بهینهترین مسیر، در سال ۹۹ محقق خواهد شد.
اما این پروژه چرا انجام شد؟ ابر آروان یک سال پیش پروژه جدیدی را تعریف میکند تا بتواند یکی از مشکلاتی که در بخش CDN دارد را رفع کند. CDN آروان برای دریافت محتوا، باید آن را از سرور اصلی وبسایت دریافت کند. اما به دلیل مشکلاتی که در Gateway ایران وجود دارد، Edgeهای داخل کشور نمیتوانستند به شکلی مناسب به سرورهای اصلی که در خارج از کشور بودند متصل شوند، یا برعکس. فاطمی در همین رابطه میگوید:
«ما یک راهکار را تعریف کردیم و بین Edgeها، یک شبکه Mesh تشکیل دادیم و به جای اینکه به Edge سرور، از همان Edge که کاربر متصل شده وصل شویم، ترافیک را از شبکه جدید هدایت میکنیم و از نقطه دیگری به سرور اصلی متصل میشویم. این کار باعث میشود تا اگر یکی از Edgeهای ما به درستی سرور اصلی را نبیند، از داخل این شبکه بتواند به درستی متصل شود.»
از سوی دیگر «صابر مسگری»، کدسالار ابر آروان میگوید که راهکار «اسمارت روتینگ»، چند هدف را دنبال میکند. هدف اول، کاهش اثرگذاری اختلال در دسترسی به سرورهای اصلی بوده است و هدف دوم، ایجاد یک مسیر سریعتر است: «ممکن است یکی از Edgeهای ما، سرور اصلی را از اینترنت با تاخیر بیشتری ببیند تا در شبکه داخلی خودمان. پس یک مسیر را در شبکه داخلی انتخاب میکند تا به سرور اصلی برسد و دیتا را از آن دریافت کند. این مسیر، بهینهتر از مسیر اینترنت است.»
فاطمی اما توضیح میدهد که در آبان ماه و زمان قطع اینترنت، هنوز چند دیتاسنتر در ایران به اینترنت متصل بودند و در همان زمان، این راهکار اجرایی شد: «سرورهایی که خارج از کشور بودند و از داخل مشکل داشتند را به همان دیتاسنترها متصل کردیم تا مسیر خروجی از آن طریق باشد. به این شکل توانستیم مشکل را حل کنیم و از طرفی سرورهای اصلی که داخل کشور بودند هم از بیرون دیده نمیشدند، که آنها را هم از مسیر دیگری به داخل کشور آوردیم.»
بخش بزرگی از تلاش آروان در سال ۹۸، مربوط به توسعه نسل جدیدی از محصولات حوزه امنیت ابری میشود. فرهاد فاطمی توضیح میدهد که نسل جدید محصولات امنیت ابری، کارایی بسیار بیشتری نسبت به نسل قبلی دارد. او همچنین اعلام میکند که نسل جدید، با زبان برنامهنویسی Rust نوشته شده، در حالی که نسل قبلی بر پایهی Lua بوده است.
ابر آروان در حوزه امنیت چهار ماژول را ارائه میدهد که DDoS Protection، WAF، Firewall و Rate Limit هستند و حالا با زبان Rust بازنویسی شدهاند و آنطور که فاطمی میگوید کارایی بسیار بیشتری پیدا کردهاند. او همچنین خبر میدهد که در هر یک از این محصولات، امکانات جدیدی هم اضافه شده است:
«برای مثال، WAF [ابزار جلوگیری از نفوذ در وبسایتها] به شکل کلی متحول شده و حالا دقت بسیار بالایی دارد. حالا ما SignatureSetهای ModSecurity را پشتیبانی میکنیم که یک استاندارد جهانی است. بر این اساس میتوانیم از SignatureSetهایی که در بازار وجود دارد (از محصولات شرکتهای بزرگ امنیتی مثل Trustwave یا Comodo) استفاده کنیم. این موارد حالا در پنل ما وجود دارند و کاربر میتواند SignatureSet مربوط به هر یک از این شرکتها را انتخاب کند و دیگر محدود به SignatureSetهای آروان نیست؛ در حالی که در WAF قبلی، کاربر محدود به SignatureSet ما بود.»
ابر آروان نام «زومبه» را برای WAF جدیدش انتخاب کرده؛ ویژگی منحصربهفرد آن نیز این است که علاوه بر کارایی بالا، StateFul است. StateFul بودن به کلامی ساده، به این معناست که در حملات اینترنتی، درخواستهای متعددی که میتوانند نقش حمله اینترنتی را داشته باشند را به هم مرتبط میکند و یک زنجیره را بین آنها تشخیص میدهد. این در حالی است که در حالت StateLess، توانایی ایجاد یک زنجیره بین درخواستهای مکرری که میتوانند نقش یک حمله اینترنتی را بازی کنند، وجود ندارد و با هر درخواست به شکلی جداگانه برخورد میشود.
در واقع، WAFها معمولا یا StateLess هستند، کارایی بالایی دارند و میتوانند به درخواستهای زیادی در لحظه پاسخ دهند، یا StateFul هستند و در کنار دقت بسیار بالا، میتوانند به درخواستهای کمتری پاسخ دهند اما به همین دلیل کارایی بالایی ندارند.
این در حالیست که زومبه، هم StateFul است و هم کارایی بالایی دارد. فاطمی در همین رابطه توضیح میدهد:
«تصمیم گرفته بودیم از WAF متنباز استفاده کنیم و چندین مورد را بررسی کردیم. برای مثال ModSecurity که معروفترین WAF متنباز جهان است. کارایی این WAF صرفاً ۷۰۰ درخواست در ثانیه بود. این در حالیست که ما خدمات CDN ارائه میدهیم و درخواستهای بسیار بالایی را در لحظه پاسخ میدهیم. پروژه متنباز دیگری به نام «Lua-Resty-WAF» وجود داشت که توانایی پاسخ دادن به ۱۵ هزار درخواست در ثانیه را داشت. این پروژه را Fork و تغییرات مورد نیاز خودمان را در آن اعمال کردیم. دقت آن به شدت افزایش پیدا کرد و با ۱۵ هزار درخواستی که میتوانست در ثانیه پوشش دهد، پاسخگوی ما بود. اما ما در این حالت هم همچنان StateLess بودیم. اما در WAF جدید که زومبه نام گرفته، علاوه بر اینکه قابلیت StateFul را داریم، میتوانیم به ۲۰ هزار درخواست در ثانیه پاسخ دهیم.»
فاطمی اعلام میکند که ابر آروان در کل شبکهاش اکنون ۱۰۰ هزار درخواست در ثانیه دارد: «اگرچه ما در کل شبکه چنین حجمی از درخواست را داریم، اما هر کدام از Edge Nodeهای ما به تنهایی هم توانایی پاسخگویی به این حجم از درخواست را دارند. یعنی اگر کل CDN ما خاموش باشد و صرفاً یک Node در شبکه داشته باشیم، قدرت پاسخگویی به تعداد درخواستها را داریم.»
از سوی دیگر مزیت جدیدی که ابر آروان در خصوص نسل جدید محصولات امنیت ابری از آن یاد میکند، یکپارچگی بین آنها است. پیش از این DDoS Protection، WAF، Firewall و Rate Limit به عنوان ۴ عضو خدمات امنیت ابری، به شکل منحصربهفرد کار میکردند. اما اکنون سوال اینجاست که یکپارچگی بین آنها قرار است در چه مرحلهای مزیت خود را نشان دهد؟ فاطمی در پاسخ به همین سوال میگوید:
«امروز و در نسل جدید، هنوز هم DDoS Protection، WAF، Firewall و Rate Limit به شکل مستقل فعال هستند، اما حالا ماژول دیگری روی همه این موارد گذاشتهایم که آنالیز دقیقی از خروجی هر کدام از آنها انجام میدهد و برای هر یک از ماژولها، کانفیگ مورد نیاز را تولید میکند.»
ناخدای فنی ابر آروان میگوید فرض کنید یک حمله DDoS اتفاق افتاده و برخی IPها درخواستهای زیادی میدهند. اینجا بهتر است ماژول Firewall جلوی این اتفاق را بگیرد. یک آنالیز هم از خروجی لاگهای تولید شده توسط DDoS Protection گرفته میشود، قوانین (Rule) برای Firewall ایجاد میشود و قبل از اینکه درخواستها به ماژول DDoS Protection برسند، در بخش Firewall جلوی آنها گرفته میشود. او مثال دیگری درباره WAF میزند و میگوید:
«تصور کنید در WAF، درخواستهای زیادی از یک IP فرستاده میشود و حمله تشخیص داده میشود. اینجا برای مثال در ماژول Rate Limit، سطح درخواستهایی که آن IP قادر به ارسال است، محدود میشود.»
اما اساسا زیرساخت ارتباطات بین محصولات امنیت چه زمان به دست مشتریان میرسد؟ ناخدای فنی آروان در پاسخ میگوید که Firewall و DDoS Protection نهایی شدهاند و زیر بار هستند. اما از سوی دیگر Rate Limit و زومبه (WAF) به ترتیب در فصل اول سال ۹۹ عرضه میشوند.
فاطمی همچنین در پاسخ به این سوال که عرضه ۴ ماژول جدید امنیتی و یک ارتباط یکپارچه بین آنها چقدر امنیت کسبوکارهای اینترنتی را در ایران افزایش میدهد، میگوید:
«تصور ما این است که این اقدامات یک تحول به شدت بزرگ در زمینه امنیت خدمات ابری است. شرکتها و سازمانهای ایرانی، مدتها بود که در حال استفاده از Firewall یا WAFهای سنتی بودند؛ در حالی که در جهان مدتهاست که مهاجرت آغاز شده و از خدمات امنیت ابری استفاده میشود. ما هم البته تا امروز مانور زیادی روی ویژگی WAF نداده بودیم، اما حاضریم روی WAF جدید قسم بخوریم.»
«PaaS»، «پلتفرم به عنوان خدمت» یا «پلتفرم ابری» از آن مواردی است که ابر آروان یک سال پیش و در رویداد سوار ابرهای ۹۷ وعدهاش را داده بود. وقتی با این سوال شروع میکنم که چرا آمادهسازی PaaS انقدر طولانی شد و به سوار ابرهای ۹۸ کشید، «وحید اشرفیان»، استواردار ابر آروان در پاسخ میگوید وقتی برندها بزرگتر میشوند، انتظارات هم از آنها بیشتر میشود:
از راست: مرتضی خزامیپور، وحید اشرفیان و محمد موسوی.
«ما محصولات جدیدمان را با وسواس بیشتری عرضه میکنیم. PaaS در سوار ابرهای ۹۷، با دیدی که در آن زمان داشتیم، کاملاً آمادهی عرضه بود. اما با تجربهای که در CDN و IaaS داشتیم، وسواس ما بیشتر شد تا PaaS با اطمینان بیشتری عرضه شود. امروز، PaaS ما یک سرویس کاملاً پایدار است. در واقع حالا قرار نیست PaaS به شکل آزمایشی ارائه شود. اگرچه عرضه اولیه، بتا خواهد بود، اما در همهی لایهها پایدار و دارای Disaster Recovery Plan است.»
PaaS ابر آروان در واقع یک «Container as a Service» است که در آن کاربر میتواند کد خود را به شکل Container یا خام، در سریعترین زمان ممکن دیپلوی کند. اشرفیان درباره قابلیتهای PaaS ابر آروان اینطور توضیح میدهد:
«برای مثال من یک کد PHP دارم. وارد دایرکتوری آن میشوم و با استفاده از CLI ابر آروان، با یک دستور ساده سرور خودم را لانچ میکنم. یک URL در خروجی به دست میآورم که آن را در مرورگر وارد میکنم و در این مرحله، اپلیکیشن من کاملاً بالاست.»
مورد دیگری که در پلتفرم ابری وجود دارد، «مقیاسپذیری» (Scalability) است. در واقع با استفاده از پلتفرم ابری آروان و ساختن سادهی هر سرویسی، در زمان مورد نیاز و پس از توسعهی کسبوکار، قابلیت افزایش مقایس زیرساخت به سادگی فراهم است.
از سوی دیگر شعاری که ابر آروان برای PaaS انتخاب کرده، «کمترین فاصله از ایده تا محصول» است اما این شعار چقدر به واقعیت نزدیک است؟ اشرفیان در همین رابطه میگوید: «تاکید اصلی ما بر سرعت دیپولی است. به جای اینکه کاربران بخواهند سرور بگیرند، روی آن اپلیکیشن خود را بالا بیاورند، و این فرآیند طولانی را طی کنند، ما همه این بخشها را به شکل اتوماتیک انجام میدهیم. مزیت بعدی PaaS ما هم کم کردن بار System Administration است. دیگر کاربر ما نیاز دسترسی گرفتن به سرور نخواهد داشت؛ چراکه بحث سرور تماماً سمت ماست و بحث کد سمت کاربر باقی میماند.»
«Object Storage» در بین سرویسهای پایهای ابری قرار میگیرد اما ابر آروان در چند سال اخیر ارائه آن را به تاخیر انداخته بود. مدیران آروان میگویند تاخیر باز هم به دلیل حساسیتها جهت ارائه یک سرویس باکیفیت بوده است.
اما اساساً Object Storage چیست؟ «احمدرضا ملاپور»، شوالیه فناوری ابر آروان، توضیح میدهد که فضای ذخیره سازی ابری به دو شکل ارائه میشود: «سرویسهایی که به دست کاربر نهایی میرسد، مانند دراپباکس، واندرایو، گوگل درایو یا آیکلاود، سرویسهایی هستند که همه ما با آنها آشنا هستیم و مخاطب اصلی این آنها، کاربرانی هستند که فایلهای خود را در فضای ابری ذخیرهسازی میکنند. اما همین سرویسها، به Object Storage نیاز دارند.»
در واقع همین سرویسها، نیاز دارند از یک سرویس Object Storage در پس زمینه استفاده کنند؛ مانند AWS یا Google Cloud. این سرویسها API و SDK ارائه میدهند تا سرویسهایی که در اختیار کاربران نهایی قرار بگیرند، بتوانند به درستی کار کنند.
Object Storage در واقع فایلها را در چند نسخه در فضای ابری نگهداری میکند، امنیت آنها را حفظ میکند و بر اساس CDN به شکلی سریعتر محتوا را تحویل میدهد. اما در نهایت مزیت اصلی این است که فایل را در فضای ابری نگهداری میکند؛ این فایل میتواند یک تصویر شخصی باشد یا تصویری که در سایتی بارگذاری شده تا برای بازدیدکنندگان به نمایش درآید. ابر آروان با ارائه این سرویس، زنجیره خدمات خود را کاملتر کرده است.
اما یکی از مهمترین مسائلی که ابر آروان آن را در سوار ابرها مطرح کرد، باز کردن درهای کسبوکار و ایجاد یک مارکت پلیس است. چراکه از یک سو، توسعهدهندگانی وجود دارد که به دنبال توسعهی محصولات ابری هستند و از طرف دیگر ابر آروان، مشتریانی دارد که مشغول بهرهگیری از خدمات ابری هستند. هدف این است که این دو گروه به هم متصل شوند. «کوروش تفرشی»، شبکهپیشهی آروان در همین رابطه میگوید:
«در مارکت پلیس، هر ارائه دهندهی سرویس ابری که در ایران حضور دارد میتواند به ابر آروان متصل شود، از امکانات پایهی ابر آروان استفاده کند و محصولش را در مارکت پلیس ابر آروان ارائه کند. تمام مشتریان ابر آروان هم میتوانند از محصولاتی که دیگران در مارکت پلیس ارائه کردهاند، استفاده کنند.»
یکی از ویژگیهای مهم که در بازارچه ابری آروان وجود خواهد داشت، CDN Apps است که اضافه کردن آنها نیاز به هیچ تغییری در کد ندارد. تفرشی میگوید: «هر کس میتواند یک اپلیکیشن توسعه دهد و به مارکت پلیس ابر آروان اضافه کند. وبسایتهایی که از CDN آروان استفاده میکنند با یک کلیک میتوانند آن را اضافه کنند؛ بدون اینکه نیاز به تغییر کد داشته باشند.»
اما شروط اضافه شدن به این مارکت پلیس چه هستند؟ شبکهپیشهی آروان توضیح میدهد که برنامهی پذیرش در مارکت پلیس دارای چند سطح است: «اپلیکیشنها سطح بندی میشوند، امتیاز میگیرند و نهایتاً «Verify» میشوند. ممکن است یک اپلیکیشن بدون هیچ پیششرطی فقط در مارکت پلیس قرار بگیرد و ما هم توصیهای به کاربر در رابطه با آن نمیکنیم یا ادغام و یکپارچگی هم با آن وجود ندارد. اما یک اپلیکیشن میتواند در سطح بعدی، بیاید و با کیف پول یا سیستم Pay As You Go در آروان یکپارچه شود.»
او همچنین درباره بخش مالی این خدمات و سهم ابر آروان از حضور سایر سرویسها در مارکت پلیس خود، میگوید: «در صورتی که اپلیکیشن رایگان نباشد، برای مثال ۳۰ درصد از درآمد برداشته میشود و در ازای آن سیستم Pay As You Go، مشتریان ابر آروان، کیف پول و... ارائه میشود. سطح بالاتری هم وجود دارد که ما اپلیکیشن قرار گرفته در مارکت پلیس را Verify هم میکنیم. در واقع ما اعلام میکنیم که سرویس را بررسی کردهایم و از نظر ما، تایید شده است. این هم سطح دیگری از همکاری است که ما اپلیکیشن را به کاربران خود توصیه هم میکنیم.»
در این میان مهمترین سوال این است آیا بازارچه ابری آروان میتواند باعث یک رشد انفجاری برای این شرکت در تعداد مشتریانش شود؟ این همان اتفاقی است که در سال ۹۶ و با اضافه شدن مارکت پلیس به دیجیکالا، برای همین فروشگاه اینترنتی افتاد. فرهاد فاطمی، همبنیانگذار و ناخدای فنی ابر آروان میگوید: «این پیشبینی واقعا سخت است چون بازار خدمات ابری به اندازهی بازار خرده فروشی بزرگ نیست. اما انتظار ما این است که یک تحول کسبوکاری در ابر آروان رخ دهد.»
پاسخ ها