ההבדל העצום בין VPS אמיתי ל-VPS “כאילו”

היום ב-6 בבוקר קיבלתי צלצול מ-חבר שיש לו VPS אצל ספק ידוע בחו”ל. הבעיה? כל החומר שלו נעלם וגם כששיחזרו לו את החומר והוא לא מפעיל את האתר – מישהו מצליח להיכנס ולמחוק לו את התוכן. לאחר שבדקתי קצת את המערכת, הצלחתי להבין שהפריצה לא מגיעה מהחשבון של אותו בחור, אלא שמישהו מצליח להיכנס דרך חור ישן בשרת Apache והצליח ליצור יוזר, לעשות אסקלציית הרשאות ל-root ואותו פורץ יכול להיכנס לכל חשבון באותו שרת ולעשות כרצונו.

מכיוון שזה משהו מאוד חמור, עשינו שיחת ועידה עם אותו ספק ידוע, וניסיתי להסביר לתומך על הבעיה הרצינית הזו. תגובתו? אם הלקוח מעוניין, ניתן לשחזר את הגיבוי שלו. ניסיתי להסביר שוב לתומך שהבעיה היא לא בשחזור הגיבוי אלא החור אבטחה הרציני שיש להם במערכת. התומך, כצפוי, חזר על אותו משפט כמו תוכי: אם הלקוח רוצה, ניתן לשחזר את הגיבוי שלו.

בסופו של דבר נתתי לאותו חבר VPS מהשרתים הוירטואליים שלנו באירופה עד שיחליט מה הוא מעוניין לעשות, והסברתי לו את הדברים הבאים שאני רוצה להסביר כאן:

המושג VPS “נמתח” על ידי כל מיני ספקים לכאן ולכאן, וחלק מאותה “מתיחה” היא בעצם מתיחה, בלוף. כאשר ספק כמו Dreamhost מציע VPS, אותה הצעה היא לא יותר מאשר אחסון משותף עם Shell. אומרים לך שיש לך root access אבל אין לך באמת גישת root. נסה להתקין חבילות RPM או DEB על הפצת הלינוקס שם ותמצא מהר מאוד שהמערכת לא מאפשרת לך זאת. אותו root כביכול שיש לך מוגבל אך ורק לתיקיה שלך, אתה לא יכול להגיע לתיקיות בתוך var/ (שם מאוחסנים קבצי ה-RPM וה-DB של כל החבילות), וזה בדיוק המצב בחבילת אחסון משותפת, רק ששם לא עובדים עליך עם root מזויף.

שרת VPS אמיתי מאפשר לך לשנות את כל המערכת שלך, מה-Kernel ועד קבצי ההגדרות. הכל אתה יכול להגדיר, למחוק, לשנות ולעשות כרצונך. מערכת וירטואליזציה רצינית תגביל אותך במשאבים בלבד (זכרון, גודל דיסק, כמות כח עיבוד, רוחב פס) אך לא ב-File system או ב-Guest (כלומר במערכת הפעלה שלך).

חברות רבות מציעות בארה”ב ובאירופה VPS בזול, כי הם רוכשים Virtuozzo ואז מקבלים פאנל ללקוחות בחינם, אבל ה”זול” הזה הוא בדיוק הדבר שיכול לעלות לך ביוקר, במיוחד שיש צורך להתקין עדכוני מערכת דחופים וספקים לא עושים זאת כי יש צורך ב-Reboot של השרתים הפיזיים וזה הדבר האחרון שהם מחפשים לעשות, אז דוחים ואז מגיעים פורצים שמנסים לפרוץ עם אותם חורים – ואז יש “שמחה וששון” ובעברית – הבלאגן מתחיל.

לכן, כאשר מסתכלים על חבילות שרתי VPS, חשוב מאוד לבדוק מהי הוירטואליזציה שרצה שם. אם הנציג אומר SolusVM, OpenVZ, Virtuozzo או Proxmoxx (עם OpenVZ כוירטואליזציה) מומלץ לחפש ספק אחר. זו שיטת וירטואליזציה ישנה שגם לא תמיד תואמת אפליקציות, עם אבטחה גרועה, וחוסר אפשרות הפרדת ביצועים בין לקוח אחד למישנהו (ובעברית: כשלקוח אחד מנצל 100% מעבד, השאר סובלים).

אלו וירטואליזציות כן מומלצות? Xen, KVM, או VMWare. כל הוירטואליזציות הנ”ל בנויות עם לקחים מהוירטואליזציות הקודמות, והן הרבה יותר מתקדמות. איזו וירטואליזציה לא הזכרתי? Hyper-V של מיקרוסופט. הסיבה? הוירטואליזציה א-י-ט-י-ת בהשוואה לשלושת הפתרונות הנ”ל.

למידע נוסף על סוגי וירטואליזציות, אתם מוזמנים לקרוא את המאמר הקודם שכתבתי בנושא.

יש יצירתיות ויש יצירתיות

כשזה מגיע למגיע למכירות, כל ספק שרת וירטואלי (VPS) מנסה לבדל את עצמו מהשאר. חוץ מתשבוחות והצגה בולטת של היתרונות, ספקים משתמשים גם במיתוג של שמות שונים. כך לדוגמא אצל VPS נקרא אצל ספקים רבים “שרתי וירטואלי” וספקים אחרים קוראים לזה בשמות אחרים: “שרת מיני יעודי”, SDS, SGS, Private Server ועוד ועוד.

עד כאן הכל טוב ולגטימי לחלוטין.

אולם לעיתים ספקים קצת “מגמישים” את תאור המוצרים שלהם, וכתוצאה מכך המוצר שנמכר הוא לא המוצר שלקוחות מחפשים אלא משהו אחר “בתחפושת” של אותו מוצר שלקוחות מחפשים.

הנה דוגמא: לקוח פוטנציאלי פנה אלינו היום וביקש הצעת מחיר מול הספק שהוא נמצא עימו היום. אותו ספק מציע לאותו לקוח את הדבר הבא:

vps

ההצעה הזו היא מוזרה, כי היא מדברת על 2 דברים שונים לחלוטין:

  • ריסלר (Reseller) זה מושג בתחום אחסון אתרים (ואחסון משותף) שבו אתה משלם סכום מסויים והחשבון שלך מוגדר בפאנל כ-Resller, כלומר אתה יכול לפתוח X תתי חשבונות תחת החשבון שלך (כאשר X נקבע על ידי הספק). כל החשבונות יתארחו על אותו שרת אחסון שיתופי יחד עם לקוחות אחרים שלא קשורים כלל לאותו Reseller, והם יושבים על אותו שרת ועל אותו דיסק ובאותה מערכת הפעלה.
  • VPS – הוא שרת וירטואלי עצמאי שנבנה על תוכנת וירטואליזציה, אך הוא כשלעצמו עצמאי, כלומר אתה יכול להחליף בו כל רכיב תוכנה, אתה יכול לפתוח עליו כמה חשבונות שתרצה, להריץ עליו מה שתרצה (ההגבלות הן בגודל הדיסק, רוחב הפס שמוקצה לשרת הוירטואלי עצמו ומהירות הליבה או המעבד שמוקצים לך). טכנית אם אתה מתקין פאנל על אותו VPS, אתה יכול להציע בעצמך ללקוחות חבילת Reseller, כי השרת הוא בעצם שלך.

כלומר יש פה משהו שהוא מעין “מיש-מש” אבל לא קולע לכלום אלא מנסה לשלב 2 דברים שונים, ואם הלקוח יטריח את עצמו באותו אתר של הספק להסתכל על חבילות ה-VPS, הוא ימצא שם דברים שונים לחלוטין.

הדוגמא הנ”ל אינה דוגמא שלילית, אלא היא יותר קשורה לכך שמישהו בשיווק אצל אותו ספק לא מבין דברים או שאינו יודע להסביר את עצמו נכונה.

דוגמא אחרת היא דוגמא שמנסים “לשחק” עם המספרים ולמכור ללקוח משהו שהוא לא מקבל בזמן הרכישה.

אחד מהספקים לדוגמא, “משחק” במספרים של הרוחב פס. הוא טוען בפרסומיו השונים שהוא נותן ללקוחות רוחב פס של 10 מגהביט. אם עושים בדיקה מהירה עם הספק, אז יוצאת האמת: הוא לוקח מספר ומנסה “לחלק אותו”. במקרה דנן, הוא לוקח רוחב פס סימטרי של 5 מגהביט (כלומר 5 מגהביט החוצה מהשרת ו-5 מגהביט פנימה לשרת) ומנסה להציג זאת כ-10 מגהביט, וזו הטעיה. קו 10 מגהביט אמור לתת לך 10 מגהביט (ברוטו) פנימה או החוצה מהשרת. מה שאותו ספק נותן זה 5, לא 10. כך יוצא שלקוח שמשלם X שקלים על אותם “10 מגהביט” מקבל בעצם חצי ממה שהובטח לו, וזה רע.

לסיכום: שיווק טוב הוא שיווק שאתה מדגיש את המוצר שלך, אתה מדגיש את היתרונות שלו מול מוצרים אחרים או מוצרים מתחרים. שיווק שאינו טוב הוא שיווק שבו הצרכן לא מבין על מה מדובר, ולא מבין את מה שהספק מציג לו. שיווק מאוד גרוע הוא שיווק שהספק “משחק” עם המספרים ואינו אומר אמת.

כשבוחרים ספק לשרות VPS

כשאנשים ועסקים מחפשים לעצמם מהיכן לשכור שרת VPS לארח את האתר או האפליקציה/שרות שלהם, במקרים רבים הם מחפשים דרך גוגל, מתייעצים עם חברים/קולגות, מקבלים המלצות, עושים סקר שוק ואז מחליטים..

יש עוד גורם מסוים שעסקים לא לוקחים בחשבון והוא: מה הפוקוס של אותו עסק? מה המיקוד שלו?

אם אתה מנהל עסק או חברה ותיקח חברת יעוץ שתסייע לך ברווחיות העסק, אחד הדברים הראשונים שהם ישאלו אותך זה: לאן העסק שלך פונה? מי בעצם הקהל שלך? האם יש לך מיקוד כזה? האם ההצעות שלך נותנות פתרונות טובים ש"תפורים" עבור אותו פלח לקוחות?

אני יכול לתת דוגמא מהעסק שלנו: אנחנו מתמקדים בשרתי VPS המיועדים לתחום ה-Prosumer  כלומר לשוק שמורכב גם ממקצוענים שמכירים היטב ולעומק מה זה VPS, מה זה שרת וירטואלי, מה ניתן ומה לא ניתן לעשות איתו, איך להגדיר אותו, איך לשנות אותו מכל צד אפשרי, לעשות לו אופטימיזציה ועוד, וגם לאנשים עצמם שמתכנתים, אנשי סיסטם (שיש להם בעבודה שרתים וירטואליים והם מנהלים אותם או שהם מנהלים של המחלקות הללו), אינטגרטורים, בוני אתרים מקצועיים, אנשי QA ועוד. גם האחסון המשותף שלנו שונה מאוד מאחסון אתרים שאחרים נותנים, כי אצלנו שמים דגש יותר על תמיכה של שפות נוספות, כלים (כמו GIT,SVN וכו') לניהול קוד, בקרה, והגבלת המשתמש כדי שלא יוכל "לחנוק" משתמש אחר (כן, גם באחסון משותף). אם מישהו שלא מבין כלל בתחום מגיע אלינו והוא רוצה לאחסן אתר, אנחנו נבקש לסגור את הפרטים הטכניים מול בונה האתרים שלו ולא איתו. אם אין לו בונה אתרים והוא לא מבין כלום בנושא ורוצה להרים בלוג משלו, נשמח להפנות אותו למתחרים, כי זה לא התחום שלנו. אנחנו לא נותנים שרות ל-End Users אבל רוב הספקים הישראלים שנותנים שרותי אחסון אתרים (אחסון משותף) נותנים בשמחה למשתמשי קצה, אז שירוויחו, בשמחה.

זה הפוקוס אצלנו.

ספקים אחרים לא יפרסמו את הפוקוס שלהם כי הפוקוס שלהם מסתכם ב"הכל". רוצה שרת משחקים? קח. רוצה חבילות מוכרנים (ריסלר)? קבל. רוצה לארח פורנו? אין בעיה. הונאת לייקים בפייסבוק? אוקיי. זו כמובן זכותם המלאה לקבל את כולם ולעשות את הפרנסה שלהם מזה.

השאלה היא כמה אתה מחפש את השקט והיציבות, כי יש דברים שיפריעו לשקט ויציבות הזו, דברים כמו שרתי משחקים יכולים לגרום "רעשים" ובעיות ביציבות כי ילדים שלא לוקחים הפסד טוב לפעמים מגיבים בהתקפת שרתים (DDOS). דבר נוסף שכדאי לבדוק הוא על מה רץ אותו אחסון – האם מדובר במעבדים שמיועדים ל-Desktop או ציוד שרתים אמיתי? יש ספקים ש"חותכים פינות", מה שמתורגם לכך שאם אתה מעוניין ביציבות רצינית, תהיה לך בעיה בגלל שהספק התקמצן לקנות שרת ובמקום זאת לקח מחשב ב-1000 שקל ועל זה רץ האתר שלך.

אז איך יודעים את הנתונים האלו? ספקים לא ירוצו לספר שרוב הפעילות שלהם הם שרתי משחקים לדוגמא, אז במקרים כאלו כדאי לבדוק מי הלקוחות של אותו ספק או שפשוט לשאול: אתם משכירים שרתי משחק? ולפי התשובה אפשר להחליט. לגבי ציוד – זה יותר קל לבדוק: בכל מיני פורומים ספקים שונים מפרסמים חבילות מחוץ לאתר שלהם ולעיתים הם גם מפרסמים מה המפרט הטכני של אותם "שרתים", ואז אפשר לדעת על מה מדובר.

לסיכום: רצוי לפני שסוגרים עיסקה לעשות שיעורי בית. לבדוק ולחקור לגבי אותו ספק האם הוא בכלל מציע שרות שמתאים לך או לא, מה אחרים אומרים עליו, האם יש עליו תלונות, האם לקוחותיו יכולים להעיד עליו וכו' – ורק אז לסגור הסכם.

בהצלחה