Európai, biztonságos S3 tárhely – akár 80% megtakarítással (x)

Címkék

Csökkentsd a költségeket, növeld a biztonságot! Használj európai, biztonságos tárhelyet adatmentéshez, archiváláshoz és disaster recoveryhez. Most akcióban, 60 napos próbaidővel. További részletek »

Hozzászólások

Ezen gondolkodtunk, de mivel az S3 egy általános név is - az Amazon S3 ami védett - és mivel azon az elven alapul, ezért ezt így hirdettük meg. Lehet jó, lehet rossz, de annyira elterjedt, hogy a kompatiblis és stb szavak csak összezavarják azt, aki nem szakmabeli. A hirdetés nem csak a HUP-ra ment ki.

Mielőtt kiment volna a hirdetés, érdemes lett volna befejezni a weboldalt.

A "Próbáld ki kockázatmentesen!" elég ironikus call-to-action úgy, hogy nem tudod, mennyibe fog kerülni a buli a 61. naptól, vagy hogy pl. hol vannak az adatközpontok (már ha egyáltalán indokolt a többes szám)

Ez így komolytalan, no offense.

teli van igeretekkel konkret szamok nelkul:

  • "nagy rendelkezesre allas" -> SLA?
  • "lokális adattárolási garanciával" -> hogyan?
  • "extrém rugalmasságot" -> ???
  • "alacsony késleltetésű elérés" -> megis mennyi az annyi?
  • "vállalati adatvagyon biztonságos kezelése" -> csak azert mert EU-ban van?
  • "immutable" -> hogy tud egy API-n keresztul elerheto szolgaltatas immutable lenni? Ha egyszer feltoltok vmit, akkor az orokre ott marad, senki se tudja torolni? Ha pedig megis torolheto vhogy, akkor mitol immutable?
  • "immutable" -> hogy tud egy API-n keresztul elerheto szolgaltatas immutable lenni? Ha egyszer feltoltok vmit, akkor az orokre ott marad, senki se tudja torolni? Ha pedig megis torolheto vhogy, akkor mitol immutable?

Mondjuk ezt az egyet el tudom képzelni, máshol is van ilyen.

Az immutable általában azt jelenti, hogy te nem tudod módosítani, se API-n, se máshogy, akkor sem, ha szeretnéd (legalábbis egy adott retention időszak alatt). Ez lehet olyan, hogy logikai korlátozást csinálnak (mondjuk AWS-nél a kimásolják az adott tartalmat egy másik AWS accountba, amihez te nem férsz hozzá - olcsó), vagy WORM storage van alatta (drága)

Nálunk a storage két féle retentiont tud. Az egyiket felül lehet bírálni spéci userrel, aminek a jelszava csak papíron kinyomtatva van meg, páncélban elrejtve, a másikat... hát most nem emlékszem, hogy a gyártó se tudja, vagy csak ők tudják felülírni, de az végképp nem megy egyszerűen.

De ezesetben egy SaaS szolgaltatasrol van szo. Az honnan tudna, hogy a jelszo/token/whatever az egy jelszokezelobol jott vagy Mancika kezzel gepelte be egy papirfecnirol?

Igazi HW WORM eszkozt nem hasznalhatnak, hiszen ha az ugyfel lemondja a szolgaltatast, akkor a nyakukon maradna az osszes torolhetetlen adat.

Hát, ahogy én képzelem: ha húsz évre kérik, akkor húsz évnyit számláznak ki. Ez ugye minimum érdekes eset, de az egyheti, egyhavi még nem kéne hogy gondot okozzon. Nálunk a backup szerver mondja meg az adott savesetről, hogy meddig kell megőrizni (neki meg a policy vagy maga a konkrét backup parancs). Gondolom ilyet tudnak bucket/ojjektum szinten is.

Ugyanakkor kb. biztos vagyok benne, hogy semmi ilyen nincs (nincs rá valódi igény = annyira nem fontos, hogy kifizessék), csak az ügyfél API tokennel nem lehet idő előtt törölni, hanem másikkal csak az egész bucketet. De ez megint nettó találgatás.

A cloud/SaaS koncepcio lenyege pont az, hogy nem feltetlen kell elkotelezodni evekre, hanem havi szinten a tenyleges hasznalat szerint fizetjuk a szamlat. Teljesen felesleges osszehasonlitani egy on-prem appliance altal nyujtott szolgaltatassal.

En az AWS S3 arazasat nem tartom draganak. Namarmost ha ok abbol meg akar 80%-ot is tudnak faragni, akkor az vmi nagyon fapad lehet. Gondolom felhuztak vmi minio clustert olcso diszkekkel teletomott szervereken, es abbol probaljak kihozni a maximumot. A weboldalon nem emlitik, siman lehet hogy HDD alapu a maximalis kapacitas vegett.

A Backblaze-zel is tárgyaltunk, de volt kettő bajunk, az egyik a számítás, hogy a lekötött időszak drágább volt, mint a pay-as-you-go, tehát nem érdemes lekötni, a másik inkább pénzügyi/jogi jellegű volt. Volt pár furcsaság, amiről cikkeztek is nemrég, ami rávilágított a részvénymozgások gondjaira, de közben ezt cáfolták, meg keresztbe hosszába perli egymást az alapító, a board, egy befeketői csoport, a volt pénzügyi vezető aki a pénzügyi jelentést nem volt hajlandó alárni, meg az auditor, akit kiraktak, mert nem írta alá ő sem amit elérektak. A tulajok meg őket cáfolják, ők meg egymást... ilyet távolról sem akarok követni :) 

Privátban el tudom küldeni a linket, de így publikusan nem raknám ki.

Az AWS S3 árazásánál azért ki kell számolni, ott biztosan, ha az olcsóbb tierekre mész rá, hogy mennyi list, read, delete stb parancsot adsz ki az API-n és mennyi objektumod lesz.... hát, én embert nem láttam aki ki tudja számolni. Ezen felül kettő dolgot nem nagyon hirdetnek a most még legismertebb szolgáltatók: az egress költséget és az API hívások számolását. Pl van olyan nagy mentőszoftver gyártó, talán a legnagyobb, akinek a data vault/clpudja 12 euro körül jön ki egy TB/ hónap. Ami kisbetűs az az, hogy a tárolt adatok 20%-át tudod - garantáltan - letölteni ingyen, utána a letöltött adatokért is fizetsz. A legtöbb esetben ez nem is probléma talán, de egy masszívabb helyreálltásnál azért jöhet még költség. Plusz milyen gyorsan akarod visszaállítani - pl Amazon esetén ez is számít egyes tároló típusoknál. Van olyan olcsóbb is, ami elég olcsó Amazonnál, az  kisbetűs, amit fent leírtam az első mondatban, a második pedig, hogy 12 órát vársz az első bit megjelenésére és hátul vagy a műveleteknél prioritásban.

És akkor ez mitől jobb? Ami a landingen is rajta van: unlimited API call - nyilván DoS védelem van, de a normál üzemment ami mentésnél vagy recoverynél van simán elmegy -, illetve nincs egress a tárolt adat letöltéséig (fair use), azaz, ha van fent 10TB-od, akkor 10TB-ot le is tudsz tölteni, ha éppen kellene. Nyilván a mentések között is van inkrementális, synthetic full backup, van ami forever incremental, sok mindentől függ mennyit kell letölteni DR esemény vagy nagyobb helyreállításnál. Nyilván változó, ezért van ott az akár szó a 80% előtt. Van akinek ez 40% lesz, van akinek 50, van akinek kijön a 80%. Fontos, hogy ahogy leírtuk, archiválásra, adatmentésre jó. S3 alapú weboldal kiszolgálásra, cache tierre weboldalnál nem jó.

Persze, nehez lehet fillerre kiszamolni az ilyet. Nyilvan cegfuggo, de a gyakorlatban - ha a ceg hasznal szamos mas szolgaltatast is - az S3 jarulekos koltsegei szokott a legkisebb tetel lenni, kb. kerekitesi hiba a tobbi mellett.

Azert full restore-t nyomni backupbol meglehetosen ritka alkalom, jobb esetben sose tortenik egy ceg eleteben. Ha tenyleg arra van szukseg, hogy sok TB adatot visszatoltsunk, akkor mar ugyis allt a ceg jonehany orat/napot, az a parszaz $ extra koltsegen nem mulik semmi. Nem arra kell koltseget optimalizalni.

A fapad és minio és hulladék diszkek :) témájában:

- az Impossible Cloud-ot akkor kezdték el megalkotni, mikor a tulajok előző cége egy vagyont kezdett el fizetni az Amazonnak tárolásért, stb. Goodgames volt az előző cégük neve, amit végül 270 millió euróért adtak el, volt 1400 alkalmazottjuk  a végén. A klsszikus Empire alapú játkok, farm játék stb.,

- a saját pénzük mellett első körben sikerült még 7.6 millió euró értékben befektetőt behozni az első körben, amit nagyon meg sem hirdettek, de a többségét a Goodgames tulajok rakták bele, nem kevés értékben. És a Goodgames nem az egyetlen cégük volt, amit így "kineveltek" és eladtak illetve amit párhuzamos is csinálnak, nem rohannak sehová és van türelmük a hosszú távú építkezéshez (nyilván már nem kenyérre kell). Amikor kell beruháznak, eddig ezt tapasztaltuk. Amikor fejleszteni kellett, akkor fejlesztettek, beruháztak új infrastruktúrára stb.

- külön datacenterek vannak Lengyelországban, Németországban, Hollandiában, Dániában és UK-ben. Ezek is elosztottak, erasure codingot használó rendszer. Egy kicsivel komolyabb, mint egy feldobott minio :D 

Külön cég van USA-re, meg oda, ahol szintén fontos a legislation, meg átjárhatóság és meg kell felelni a helyi előírásoknak, ami esetleg ütközhet más területekkel, lásd US Cloud Act és EU-s cégek. Nem véletlenül vannak külön céges entitások, USA piacra is be akarnak törni, de először szépen jogilag megágyaznak neki, mindenben megfeleljenek az előírásoknak, de a meglévő ügyfeleknél a törvényi keretek, előírások, jogok ne sérüljenek.

Nem érdekes, nem létezik olyan IAM role, ami engedné a törlést az immutable storage-on. Ha te csinálsz megfelelő role-okat, akkor el tudsz játszani egy hasonlót, de akkor pl. a root mindenképpen tudja módosítani.

Én arról beszélek, hogy van mondjuk egy AWS accountod, az 111111111111. Itt csinálsz valamilyen immutable storage-ot, pl. air-gapped backup vault. Oda bekerül valami. Az AWS pedig jön, és kimásolja egy másik accountba, amihez neked egyáltalán nincs hozzáférésed. Se root, se IAM user, se semmi.

A logokban látod is, hogy jön egy ModifySnapshotAttribute API hívás, aminek a forrása a backup.amazonaws.com, és átrakja az adatot a másik accountba, amit az AWS kezel helyetted.

Az "immutable" egy alap S3 feature. Olyat tud hogy a bucketet amikor létrehozod akkor megmondod hogy akarom az immutable-t, és ez-és-ez a "retention policy". 

Innentől senki más (rendszergazda se) nem tud a bucketből törölni, csak a retention policy - nyilván amikor lejár. Nyilván az egész bucketet le lehet gyalulni megfelelő joggal. Arra már nem esküszöm meg hogy menet közben a retention policy módosítható-e vagy sem.

zászló, zászló, szív

Hello, governance módban módosítható a retention days, mivel mindenki napokban adja meg, de a már feltöltött objektumokat ez attól még nem fogja átállítani, mivel a bucketen hozod létre a jogot és leöröklik az objektumok. A compliance módban nincs lehetőség módosításra.

Hello, ezért raktuk ki a formot is, amin lehet regisztrálni és kérdezni, valamint a "Tudj meg többet" linket is azért raktuk az oldalra, ami elvisz ide:
https://mind-info.hu/impossible-cloud-adatlap/

Az autók hirdetésében sem adják meg a nyomatékot, első és hátsó abroncsok nyomását stb, cask a fő, legtöbb embert érdeklő dolgot, ami felhívja a figyelmet és kérdezni akarnak. A kérdéseknek mi is örülünk. Nem a landing pagen akartunk mindent is tisztázni Plusz nem csak HUP portálra megy ki, hanem ott is, ahol nem elsősorban műszaki kérdések merülnek fel.

A gyártó honlapja egyébként itt található:
https://www.impossiblecloud.com/

A felvetett kérdésekre a válaszok:
- SLA: https://www.impossiblecloud.com/terms-of-service, de gondolom a 9-es pontban definiált 99,9%-ra gondolsz, Edge service és storage servicenél. Természetesen lehet előre bejelentett karbantartási idő stb. Elég részletes a doksi, nem gondoltuk, hogy ezt bemásoljuk :) 
- lokális adattárolás: nem hagyja el az EU területét. A Microsoft és a Veeam - mivel utóbbi az Azure Blob-ot használja - nem garantálja, hogy az objektum replikák nem kerülnek át USA területre (jogi szabályozási környezetnél ez problémás lehet, ahol valóban számít). Itt garantálva van.
- extrém rugalmasság: lehet szerencsésebb lett volna a "mindennel" működik, már ami S3 utasításokat ismeri és helyesen implementálja
"alacsony késleltetésű elérés": A fileokat több helyről kezdik betölteni és összeállítani, ami akár lehetne lassú is, de nagy terhelésű rendszereknél,sok objektumnál ezt más rendszer is így csinálja. Plusz használnak cache tiereket, erasure coding alapú a rendszer, bár ez más kérdésre válasz (adatbiztonság is felmerült valahol)
- "vállalati adatvagyon biztonságos kezelése: cask mert EU-ban van?": röviden igen. Hosszabban: elosztott rendszeren, erasure codingot használó rendszer, mely a fileokat lokálisan is titkosítottan tárolja, ha nem úgy tölti fel az ügyfél, akkor is. Az adatok és metaadatok elosztottak. Gyártói oldalon még több és részletesebb info található illetve több youtube-ra feltöltött video (a szokásos webinarokon kívül)
- "immutable" : erre más részben válaszolt, az S3 tárolóknál az immutability azt jelenti, mint a filerendszeren, mikor az immutable flaget beállítod Linux rendszeren. Itt object lock-nak hívják. Mivel itt API-n éred el, nem tudod kikapcsolni, mert a metaadatokban is tárolva van, meddig tart a retention, azaz a védelem. Egyébként mentési megoldás függő is, melyik object lockot támogatja: compliance vagy governance. Compliance esetében még az admin SEM tudja levenni a védelmet amíg az le nem jár. A retention időszakot sem lehet rövidíteni. A Governance módban a megfelelő jogosultságú admin felülírhatja a retention timeot a bucketen, például 30-ról 7 napra állítva. Ettől a már korábban feltöltött, mondjuk 30 nap retention időszakkal feltöltött objektumok továbbra is 30 napig lesznek védettek vagy amennyi hátravan a 30 napból, mióta feltöltötték őket. A közvetlen hozzáférési törlés... hát, ha valaki nekem megmondja, hogy melyik blokkokat kell törölni több száz vagy ezer lemezről, az varázsló :) 

Koszi a valaszokat.

lehet regisztrálni és kérdezni

Ti tudjatok, de szerintem ezzel az oldalra tevedo emberek 80-90%-at elvesztitek. Az informatikusok nem fognak formokat toltogetni vagy emailt irogatni, hogy alapveto informaciokat begyujtsenek (kontakt infojukert cserebe). CTO szinten se gondolnam, hogy ez a modi.

SLA: pontosan erre van szukseg, hogy az ilyeneket az arcunkba nyomjatok. Csak osszehasonlitasul: Amazon "S3 is designed to provide 99.999999999% (11 nines) data durability and 99.99% availability". Tehat eldonthetjuk, hogy felaldozunk-e nehany 9-est az olcsosag oltaran.

lokális adattárolás: nem hagyja el az EU területét

Minden nagy cloud provider eseteben kivalaszthato tobb EU-n beluli regio. Miert masolnak ki az adatot EU-n kivulre (terhelve a sajat gerinchalozataikat, magasabb latency a szinkronizalaskor), ha belul is boven meg tudjak oldani a replikalast? Nekik se erdekuk, csak ugy vannak beallitva, mintha ok lennenek a gonoszak, akik kilopjak az adatot az EU-bol. Ha jol tudom AWS eseteben az a "gond", hogy az IAM userek/policy-k/role-ok globalisan ertelmezettek, ergo nem csak EU-n belul hatnak. De ez nem adat, csak az access control. Szoval ez inkabb jogaszkodas, mint tenyleges veszelyforras. Gondolom az ilyen helyi cegek jobban fel vannak keszulve az EU-s szabalyozassal, biztos ki tudnak allitani vmi igazolast, igy CxO-k megnyugodhatnak. 

Hello, lehet igazad van, és kell egy két dolgot még az oldara kirakni, minimalizáltan gondoltuk megoldani, de minden észrevételt és jogos kritikát elfogadunk. 

A nagy cégek nem gonoszak, hanem automatizálnak és architektúrában nem éri meg és nem is tudják garantálni, hogy nem megy ki adat. Ha meg kell neveznem kettő céget, akkor a Microsoft és Veeam is elmondja neked, ha mérnökkel, pre-sales engineerrel vagy "evangelistával" beszélsz, hogy ez bizony így van. A Veeam azért, mert az MS-t használja.
https://www.theregister.com/2025/07/25/microsoft_admits_it_cannot_guara…

Van amikor a replika kerül át. Ahol ez fontos szabályozói kérdés, ott számít.
de pl MS esetében ez nem csak ennél van így:

"Microsoft Defender XDR services store most EU Customer Data in the EU region." Most, tehát nem all. A replikák is van, hogy átmennek, ha ott találja az algoritmus jobbnak. Ahol nem számít, ott ez nem előny, természetesen. De van még jó pár példa. És ez nem gonoszság miatt van, hanem egyszerűen architektúra és mit éri meg és mit nem éri meg úgy alakítani, garantált legyen. Ha jól tudom a kínai piacra illetve a német kormányzati előfizetésre tudja ezt garanálni az MS, hogy nem megy ki adat és a lokális datacentereken belül lesz elosztva.

Egyébként ez csak matek: amint jobban jön ki nekik, hogy garantálják nem megy ki adat, akkor az úgy lesz. Amennyiben az az olcsóbb, hogy nem garantálják, addig úgy marad.

https://learn.microsoft.com/en-us/privacy/eudb/eu-data-boundary-transfe…

 

"02/26/2025

There are scenarios where Microsoft will continue to transfer data out of the EU Data Boundary to meet cloud service operational requirements, where data stored in the EU Data Boundary will be accessed remotely by personnel located outside the EU Data Boundary, and where a customer's use of EU Data Boundary Services will result in data transfer out of the EU Data Boundary to achieve the customer's desired outcomes. Microsoft ensures that any Customer Data, pseudonymized personal data, and Professional Services Data transfers outside of the EU Data Boundary are protected by security safeguards detailed in our services agreements and product documentation."

A 99.9 vs 99.99 elérhetőség kapcsán a ez évi 52 perc vs 8 óra 45 perc. Ez éves eloszlás ugye. Az adat meglévőséget kb mindeki erre lövi be, google-től a backblazig. Impossible Cloud 100%-ra ígéri az architektúrában, nyilván ez a saját hibára nem vonatkozik, hanem az ő infrastrultúrájukra. Illetve arra sem, ha atom villanás lesz mellette, de szerintem akkor lesz nagyobb gondunk ennél.

Hello, ezért raktuk ki a formot is, amin lehet regisztrálni és kérdezni, valamint a "Tudj meg többet" linket rögtön, ami elvisz ide:
https://mind-info.hu/impossible-cloud-adatlap/

A landing page-t minimalizáltra alkottuk, szándékosan, hogy a fő tulajdonságokat emeljük ki. A gyártó honlapja egyébként itt találtahó, de aki regisztrált és kérdezett annak is átadtuk a megfelelő infókat:
https://www.impossiblecloud.com/

Köszi a kérdést. Mivel disztribútorok vagyunk, nem kívánunk direktben eladni végfelhasználónak. A csatorna a disztribútor -> viszonteladó -> végfelhasználó. A legtöbben eddig egyébként a saját mentési szolgáltatás mellé vették, és azzal adták el az ügyfeleknek. Nem ebből megy senki nyugdíjba - értsd: nem 30-40% az árrés rajta, nekünk sem. Egy meglévő megoldás mellé, ahhoz, hogy komplett legyen, ez segítség lehet a 3-2-1 backup szabálynak is meg tudjanak felelni illetve vannak olyan cégek, akik főleg KKV-nak mentenek és egy lokális NAS vagy helyi diszk mellett - vagy akár teljesen helyette - egy ransomware védett, fizikalig is távoli mentést szeretnének, amivel nem lesz eladhatatlan áron a szolgáltatásuk. Van aki tape (library) helyett kérte. Van aki a már említett Amazon S3 számolótáblától őrült meg és fix ár kellett neki. Más a Wasabi - egy konkurens - helyett választotta. Ott is kevessé ismert tény - meg még pár másik szolgáltatónál -, hogy ott van úgynevezett minimum objektum tárolási idő - fórumon penaltynak hívják inkább.
Wasabinál például, amennyiben nem kötsz le minimum X TB-ot - most fejből nem mondom meg, de talán 20-25 kellett minimum - akkor törlés után az objektumot még fizeted 90 napig. Amennyiben egy rebrandeltet veszel, akkor ott lehet csak 30 nap a deletion delay/penalty. Magyarán fent van mondjuk egy full backupod, feltöltöd az újat - vagy synthetic alapon készítesz egyet - vagy egyszerűen egy GFS-ben van 7 nap, 4 hét, 12 hónap klasszikusan, és törölsz mondjuk 2TB adatot, mert annyi változott. Akkor azt még fizeted továbbra is 30 vagy 90 napig. A legismertebb adatmentő szoftver cloud data vaultjában ez 30 nap. Aki az ügyfelinek mondjuk 130-150TB adatot tárol, amiből ez bemozog mondjuk havi 2 TB változást - blokk alapú VM-nél nem elképzelhetetlen - az 24TB extrát fizet egy évben. Volt, akinél kiszámoltuk - konkrétan -, hogy az adat mennyisége, a kompetitor árazása és a penalty (egress közben kikerült belőle) évente 300-340 000 forinttal teszi drágábbá a versenytársat (140-150TB tárolt, tömörített, deduplikált mentési adatnál).

Hello, ezért raktuk ki a formot is, amin lehet regisztrálni és kérdezni, valamint a "Tudj meg többet" linket rögtön, ami elvisz ide:
https://mind-info.hu/impossible-cloud-adatlap/

A landing page-t minimalizáltra alkottuk, szándékosan, hogy a fő tulajdonságokat emeljük ki. A gyártó honlapja egyébként itt találtahó, de aki regisztrált és kérdezett annak is átadtuk a megfelelő infókat:
https://www.impossiblecloud.com/