На фоне большого числа действительно серьезных новостей, осталось практически без освещения одно примечательное событие, пока продолжающее происходить на Южной Корейщине. На него стоило бы обратить внимание многим, ибо пример показательный, и шансы его повторить у нас - весьма велики.
Касается сие событие структуры под названием Kakao Corp. Для несведущих – это такой южнокорейский Яндекс. Тоже «полный фарш» в области высокотехнологичных услуг: и мессенджер, и банк, и платежная система, и служба такси, и игровая платформа, и т.д. И всё это – на первых позициях среди пользователей той самой Южной Кореи.
И, поскольку, позиции – первые, то основатель сей шарашки (некто Ким Бом Су) заслуженно возглавляет список 50 самых богатых людей Кореи. Ну, то есть – не хухры-мухры какое-то это самое КАКАО, а что ни на есть – серьезнейшая контора. В южнокорейском смысле.
К событию
Началось оно в прошедшую субботу, 15 октября, в 15.30 по местному времени в здании, находящемся в Pangyo Techno Valley в городе под названием Pangyo где-то в Южной Корее. Что это за долина – в целом не важно. А вот здание – оно замечательное. Ибо оно является (или уже являлось?) частью построенного компаниями IBM и SK Group центра обработки данных, общей площадью 66 900 кв.м. Ну, то есть – точно не мало.
Так вот, в субботу в здании случился пожар. Охвативший своим влиянием ни много, ни мало – а порядка 32 тысяч (ТЫСЯЧ, КАРЛ!!) серверов.
Пожар тушили более 8 часов. В течение которых сервисы, имеющие в названии слово КАКАО, а также многие не имеющие такой части названия, но тоже связанные с этой компанией, тупо не работали. Платежи, связь, такси… Ничего. Точнее – банк работал. Одному господу известно, по каким причинам его хостят в другом ЦОДе (имени LG), и как так случилось, что он – сам по себе.
Как говорят, всеобщность краха сервисов обеспечило приложение KakaoTalk – их местный мессенджер, которым активно используется от 43 до 47 миллионов из 51-миллионного населения страны. Если убрать младенцев и прочих недееспособных – то имеем практически полный охват страны. Для большинства других услуг Kakao требуется идентификатор KakaoTalk ID в качестве входа в систему. Соответственно, не работает Talk – не работают и остальные.
Восстановить большинство сервисов смогли лишь к 17 октября, и то – не в полном объеме по многим сервисам.
Также пожар (точнее – связанные с ним отключения энергии и нарушения в работе ЦОД) повлияли на второго крупного арендатора – компанию NAVER. Про нее шума поменьше, хотя она по выручке и покрупнее будет, чем КАКАО. Видать, там не столь критично всё обвалилось.
Первичная политическая оценка
Поскольку сия восточная страна славна своими традициями поиска и преследования подозреваемых до тех пор, пока не упрячет их в каталажку (история всех президентов Южной Кореи – тому наинагляднейший пример), грамотные виновные стремятся не затягивать процедуру. Ибо, как говорил один наш известный киногерой: «раньше сядешь – раньше выйдешь». В общем, один из двух генеральных директоров КАКАО (ДВУХ ГЕНЕРАЛЬНЫХ ДИРЕКТОРОВ!!! ???) признал свою вину и подал в отставку. Оставив второго генерального директора в гордом одиночестве разгребать результаты.
Но правительству этого показалось мало. И они решили инициировать антимонопольное расследование: дескать уж не является ли на самом деле КАКАО монополистом? Ну, то есть информации о стопроцентном охвате всего населения сервисами КАКАО – им для понимания не достаточно. Они хотят проверить. Ну-ну…
Сами по себе позиции президента и отдельных правительственных чинуш настолько примечательны, что необходимо привести их для ознакомления.
В заявлении президента Юн Сук Ёля в воскресенье говорится: «Я чувствую большую ответственность за неудобства и ущерб, с которыми сталкиваются люди». Он приказал министру науки и информационных технологий взять на себя управление кризисом в связи с крахом Какао при содействии других государственных ведомств.
«Нам нужно не только выяснить точную причину, а также ущерб, но нам нужно придумать систему, которая справится с такой ситуацией, а также принять превентивные меры», — сказал Юн, сообщает одна из газет.
Министр науки и ИКТ Ли Чон Хо посетил место происшествия и сказал: «Правительство серьезно относится к ситуации, поскольку отключение вызвало обеспокоенность по поводу возможности паралича нашего общества и экономики».
В другом заявлении он сказал: «Как ответственный министр (ИКТ) я выражаю искренние сожаления по поводу больших неудобств, причиненных людям из-за этого пожара. Правительство очень серьезно относится к перебоям в обслуживании и рассмотрит системные меры поддержки в в случае таких сбоев службы».
Две основные политические партии Южной Кореи, правящая Партия народной власти (ПНП) и основная оппозиционная Демократическая партия Кореи (ДПК), совместно призвали к встрече с лидерами трех компаний, председателем SK Group Чей Тэ-Воном, основателем Kakao Кимом Бом-Су и основатель Naver Ли Хэ-Джин. Помимо основателей, были вызваны три генеральных директора Пак Сон-ха из SK, Хон Ын-Тэк из Kakaoa и Чхве Су-Ён из Naver.
Как сообщает The Korea Times, лидеры обеих партий назвали Какао «халатностью» и пригрозили принять законы, регулирующие деятельность Какао
Ну, то есть до них всех наконец то дошло, что игра в мессенджеры и удобные ИТ-приблуды может привести к существенному воздействию и даже – к краху ВСЕЙ ЭКОНОМИКИ.
Технические причины
В этой части цирк только начинается. Ибо в качестве причины возгорания пока обозначают – тадам! – использование литий-ионных аккумуляторов. А цирк – потому как сии аккумуляторы произвела та самая компания SK, которой и принадлежит ЦОД. Точнее – некоторая ее дочерняя структура, но это в целом – и не важно.
Так вот, корейские компетентные структуры решили активно погрузиться в тематику батарей, и делятся откровениями с общественностью. Откуда и нам стало известно, что, оказывается, литий-ионные батареи подвержены возгоранию, вызванному « тепловым разгоном », и такие возгорания могут иметь серьезные последствия, поэтому литий-ионные батареи обычно оснащены системами управления батареями (BMS) для контроля температуры и производительности и предупреждения о любых неизбежных последствиях.
Местная пресса уже успела заявить, что соответствующая BMS подавала предупреждение о пожаре за два часа до того, как вспыхнул настоящий пожар, и рабочий дважды осмотрел место. Само собой, SK Group опровергла претензии и опубликовала копию фактических графиков мощности и напряжения из BMS, которые показывают нормальную работу.
«График, показывающий состояние предположительно загоревшейся литий-ионной батареи, оставался стабильным до момента аварии в 15:19. BMS отправляет предупреждения только в случае существенных колебаний графика. Поэтому наш работник, не посещал здание для проверки объекта», — говорится в опубликованном пресс-релизе SK Group.
К слову, в предыдущем крупном пожаре в ЦОДе (пожар в 2021 года, уничтоживший весь дата-центр OVHcloud SBG2 в Страсбурге) неофициальной причиной тоже называют возгорание литий-ионных аккумуляторов (хотя OVHcloud до сих пор это и не хочет озвучить).
Организационные причины
Несколько источников раскритиковали подготовку Kakao к аварийному восстановлению: «Если бы Kakao защитила свои данные с помощью горячего сайта или резервного сайта, перебои в обслуживании были бы быстро устранены», — сказал местный ИТ-эксперт, которого цитирует The Korea Times . За последние несколько лет у KakaoTalk было несколько сбоев.
Чиновники Kakao заявили, что пытались осуществить восстановление данных, но не смогли завершить его, потому что не ожидали, что власти примут меры предосторожности и отключат электричество в горящем здании.
«Мы начали процесс репликации данных после пожара, но нам помешало неожиданное отключение питания», — сказал представитель Kakao, сообщает The Korea Times. «Все наши данные реплицируются, но это занимает много времени, потому что у нас так много данных».
Вице-президент Kakao Ян Хён-Сео признал, что компания не была готова, согласно Korea JoongAng Daily : «Мы не были достаточно готовы к сбою всей серверной системы из-за пожара. Есть некоторая сложность, так как впервые в истории ИТ было отключено 32 000 серверов, — сказал он после посещения сайта. — Переброска трафика на дополнительные серверы занимает много времени».
В субботнем заявлении совместных генеральных директоров Kakao Намкуна Вона и Хон Ын-Тэка обещаны быстрые действия и заявлено, что у компании действительно есть система резервного копирования на случай чрезвычайных ситуаций, а данные разделены между центрами обработки данных в компании.
В воскресенье в пресс-релизе Kakao было объявлено о создании «комитета экстренного реагирования» во главе с Хон Ын Тхэком, главой общественного центра Kakao. Он будет состоять из трех подгрупп, занимающихся расследованием причин, мерами противодействия стихийным бедствиям и (вероятно спорный вопрос) компенсацией. Комитет будет консультироваться с внешними экспертами.
Ну, то есть – если уж совсем кратко – а они вообще и не думали, что будет пожар. Ибо «начали процесс репликации данных после пожара». ПОСЛЕ ПОЖАРА, КАРЛ!
А мы то тут причем?
Уж не знаю, кого стоит благодарить, но пока про русский след никто ничего не говорит. Так что вроде бы – и не при чем. Но это лишь в части причин события.
А вот что качается последствий – тут, на мой взгляд, нам всем (и нашему правительству – в частности) стоит глубоко задуматься. И обозначить несколько важных вопросов, например:
1. Насколько разумно строить единую и при этом, - единственную для большого числа сервисов, точку авторизации?
2. Каким образом должны быть построены системы для исключения критичного влияния отдельного события (пожара, наводнения, теракта) на работоспособность многих критичных сервисов?
3. Следует ли применять в критичных инфраструктурах потенциально опасные технологии (например, литий-ионные батареи)?
4. Каким образом следует формировать и отрабатывать планы восстановления после аварий?
5. Какую меру ответственности следует предусмотреть в отношении лиц, ответственных за организацию работоспособности значимых сервисов в случае нарушений?
Для специалистов – ответы очевидны.
Но, к сожалению, большинство власть предержащих, специалистами как раз и не являются. И их внимание к проблемам следует постоянно и настойчиво привлекать, ибо в противном случае – будет у нас иметь место аналогичное южнокорейское КАКАО с аналогичными (или - худшими) последствиями. А не хотелось бы…
Демократия - зло.
Коммент дня от Key Z:
Звучит странно. Вот рядом живой пример: 3 географически разделённые стойки, в каждой по 8 железок, в каждой железке 4 процессора, в каждом процессоре 32 физ. ядра. Итого 3072 проца. Всё это - вмварьный фэйловер кластер, соединенный локально файберченел, глобально езернетом 40G. На этом работает около 150 виртуальных серверов. Чтобы потерять функционал этой конструкции надо сжечь все 3 локации. Чтобы потерять данные, которые резервированы локально и синхронизируются по 40Г в 4ю локацию надо сжечь и её. Причем если раньше такая конструкция стоила как космический корабль, сейчас можно собрать лямов за 8 зеленых.
Корейцы полные сынки папаши Мюллера в общем. Кстати где он?
Комментарии
Это надо у проектировщиков Фукусимы спросить.
Там тоже IBM?
Не знаю кто, у IBM тоже столько своих промахов, там сейчас больше всего пиар, но у корейцев это либо потеря компетенции, либо желание экономить на всем.
GE
п.сы сэр
IBM была изготовителем лучших по качеству машин для ведения международного бизнеса - автоматов Томпсона, винтовок Гаранда. Но через некоторое время они как-то сдулись. Последняя попытка была на конкурс Salwo, но там их "стреляло" даже не прошло формального отбора перед испытаниями, из-за завышенного веса. Но по чужим патентам и чертежам они работать могли.
Проектировщик спроектировали типовую американскую АЭС. И спроектировали хорошо - назовите хоть один американский реактор убитый цунами или приливной волной.
А вот когда это решение для одних конкретных условий начали без права изменений втюхивать туземцам... Колониализм.
Там довольно любопытно, на самом деле. F1-1 и F1-2 строили сами американцы (это разные модели реакторов, первый был менее мощным но с некоторой пассивной бещопасностью: якобы мог охлаждаться самотёком из верхнего бассейна и термоконвекцией). После этого японцы строго по американским чертежам строили пару F1-3/4 (вот не помню уже одна фирма, или две разных). И наконец четвёртая линия, пара F1-5/6 строилась уже японцами по японским чертежам (на основе отработанных амерских, но уже с исправлениями). И вот как раз эта серия стояла на холме вдали от берега, дизеля её тоже стояли рядышком, и с ними ничего не случилось.
Т.е. результат "американских проектировщиков" нормально работает в США, и результат "японских проектировщиков" нормально работает в Японии. А вот некритичный копипаст готового проекта сработал "на авось"
Так то в принципе вполне разумный "перенос технологий". В СССР когда Туполев копировал DC, когда ядерную бомбу делали, когда Королёв ракеты у немцев копировал - тот же подход. Сперва "повтори как есть ничего не сломав", да ещё часто и с пленными немцами в роли техспецов, а потом уже твори сам. Вот только Бомбу взорвали - и нет её. Если какие-то части конструкции плохо подходили к нашим условиям - и фиг с ними, нет их больше. Ту-4 отлетали свое десятилетие и тоже нет их. А F1-1 работал и работал, пока не смыло...
Для IBM уже давно ключевым показателем является стоимость акций, а не то что можно подумать.
+1
Думаю, всё было проще и банальнее.
Стихийное, взрывное развитие сервиса.
Т.е., некий кореец придумал это КАКАО и придумка лихо пошла в народ. Пока всё только начиналось, серверов под КАКАО нужно было немного, хватало несколько стоек с ИБП. Затем к этому КАКАО начали прилипать сервисы, серверных стоек с ИБП добавилось. Смотрим на сроки развития проекта — это очень-очень быстро. Ребятки в эйфории на волне успеха, бабло возили самосвалами. Какое уж там вдумчивое проектирование.
В ваших рассуждения логика безусловно есть.
Но ЦОД - чужой. Это ЦОД SK. Они то куда росли?
Эффективные менеджеры рулят!
В свое время часто в серверных встречал расположение стоечного упса в самом низу, а над ним сервера. Соответственно первый БП севера запитан через этот упс, второй напрямую от линии. Т.е. в каждой стойке свой упс.
С другой стороны, в датацентрах такой подход использоваться по уму не должен.
Вполне вероятно.
Что особенно важно: КАКОГО ХРЕНА там не свинец??? Почему помещения не разделены на изолированные отсеки, как на подлодке? Лошары, одним словом.
Пять баллов.
Я давно говорю: новые технологии погубят мир.
Не хотелось бы, чтобы этот мир (который погубят) - был наш...
А технологиям пох на: "чей это мир", они погубят мир в глобале. Ну, на пример, приделают учОные ещё N шипов к телу короновируса - и привет. Человечество просто не успеет выработать ответ. Вариантов-масса. Биология - это только один из них. Причём-бездонный по вариативности.
Печалька.
Предлагаю исходить из несколько иной парадигмы: "мы - в рай, а они просто сдохнут". Тока я бы не торопился со своей стороны. А они - ну, как получится ...
Я, коллега,
вообще пессимист. Я считаю, что человечество, рано или поздно, пройдёт через широкомасштабный ядерный конфликт. 
Да. И разработчиков новых технологий я бы попридержал. Методом изолирования от общества и направления их на полезные общественные работы.
Отлавливать их по всему миру и отправлять на строительство СШХ, например...
Я имел дело с аккумуляторами SK лет пять назад. Отвратительное качество. Те, с которыми работал, действительно могли быть склонны к возгоранию в определенных режимах.
Кстати. Аккумуляторы SK привели к возгоранию нашего оборудования лет 5-7 назад. Хорошо ещё, что не в трубе с газоконденсатом...
Импортозамещение по южнокорейски?
>1. Насколько разумно строить единую и при этом, - единственную для большого числа сервисов, точку авторизации?
нет никакой проблемы с этим при должной организации. такая точка, будучи логически единственной, по факту может легко дублироваться, технически полный ответ займёт не одну страницу, вкратце, простейший способ: несколько A записей и разнесение этих адресов (физических серверов) геопространственно
>2. Каким образом должны быть построены системы для исключения критичного влияния отдельного события (пожара, наводнения, теракта) на работоспособность многих критичных сервисов?
обычным и многократно проверенным для этого способом - разнесения геопространственно
>3. Следует ли применять в критичных инфраструктурах потенциально опасные технологии (например, литий-ионные батареи)?
возможно при соблюдении соответствующих мер предосторожности
>4. Каким образом следует формировать и отрабатывать планы восстановления после аварий?
вопрос тоже подразумевает слишком сложный и большой ответ как и п.1
в отрасли есть давно отработанные работающие способы и приёмы
>5. Какую меру ответственности следует предусмотреть в отношении лицам, ответственных за организацию работоспособности значимых сервисов в случае нарушений?
смерть через мотобумбу!
Приятно видеть специалиста. Но ваши варианты, к сожалению - спорные.
И, к счастью, в ряде случаев народ уже и так до этого дошел.
Например, авторизация на сайте МОС.РУ - допускает по состоянию на сегодня - не менее 6 разных вариантов. Ибо один вариант (даже будучи очешуительно защищенным) может содержать логическую ошибку (неважно по какой причине возникшую) - и будет отрабатывать некорректно. А если их несколько - всегда есть возможность использовать альтернативу, которая наверняка на эту ошибку не будет завязана.
По остальным пунктам - тоже не всё так уж просто. Увы.
ЗЫ. Касательно смерти через мотобумбу - готов согласиться. :-)
Вы о разных вещах говорите.
Вообще - то о разных.
Я как раз пытаюсь пояснить, что единая точка - не всегда хорошо.
> варианты, к сожалению - спорные.
они - не спорные. это проверенные временем решения, применяющиеся на деле, промстандарт.
и не знаю какой у вас сотовый, но все операторы большой тройки это применяют, про Ростело-Теле2 ничего не могу сказать, не в курсе.
вас же не удивляет, что у Вас "один способ для вхоад2 - ваш номер телефона, а по факту маршрут к нему может идти очень совеобразно и совершенно по-разному. ибо опсосы применяют и дублирование функций и геопространственное разнесение ЦОДов (и серверов, естсетвенно) и РК делают также и на месте и на другую площадку. про сервера - сейчас фактически и коммутаторы и конечно же шлюзы (SGW/PGW) - это большие-большие сервера. не вижу причин, чтобы в Какао это отличалось. если так не было сделано - то это головотяпство.
Угусь, особенно хорошо этот "у Вас "один способ для вхоад2 - ваш номер телефона" обеспечивает ежедневные звонки "службы безопасности вашего любимого банка".
Обеспечивает через известные проблемы протокола SS7/ОКС7, который хорошо спроектировали для ситуации 1970-х, единицы телефонных компаний-гигантов с физической охраной кабелей и общим законодательством. А потом его копипастнули в ситуацию "тысячи крохотных компаний по всему миру со связью по радио или по интернету" - и началось... А отказаться от SS7 уже не получается, хотя спам уже убивает телефоны, как когда-то убивал почту. Анти-спам МТС уже блокирует регистрацию в Wi-Fi ЦППК. Ещё лет 10 - вам повестку в военкомат пришлют на "хорошо же работает" номер телефона, анти-спам её убьёт, а вы пойдёте по этапу как уклонист...
смерть через мопед же
Едрить ту Люсю...
Ага, ага... Архивная копия Вселенной тоже не помешает.
Вот вы сейчас набросили на всё сразу: от "Госуслуг" (или как там по-корейски?) до сбора биометрии... Бабло побеждает всё (ответ раз). Социальный и всякий такой рейтинг (два). Контроль юнитов на техническом уровне а-ля "Особое мнение" (три).
Увы, мы можем хоть заобсуждаться. Но всякие Андроиды, Гуглы, iОS-ы, Фейсбуки, WhatsApp-ы и Kakao как пасли, так и будут пасти...
Люсю - али не Люсю - не знаю. Но 32 тысячи - это точно много.
Касательно копии Вселенной - не уверен. А вот построить разнесенную подсистему авторизации с горячим резервированием - не ахти сколько стоит. ИМХО.
Про единую точку авторизации - написал уже в ответе выше. Кратко: не надо оно. А всякие рейтинги - тут и не при чем.
Со всем согласен, кроме одного:
Хотя, конечно, самому хочется, чтобы были правы Вы, а не мои опасения...
нихрена непонятно, но очень интересно.)
Да там, наверное, опять традиционный южнокорейский попил был. На бумаге - всё вау, а по-жизни - как всегда г... Вот и аукнулось.
А технические детали - это всё лирика для спецов. По-честнаку, их опубликованный разбор показывает, что ситуацию следует в будущем вносить в учебники в раздел "как нельзя делать".
Учебники, они и есть учебники не более, а как было так и будет. всё одно и тоже везде.
Блин, неужто всё так печально? Людя уже вообще по книжкам учиться не хотят? Только хардкор?
Два вопроса к корейцам:
Почему не было сделано территориально распределённое решение для мишн-критикал сервисов?
И где ТБМ газовое пожаротушение в ЦОДе?
Касательно газового пожаротушения - ИМХО ситуёвина такая: на их 66 тыс. м2 это обойдётся овердофига денег. Так что нет оного. Тупо нет.
Корейцы берут пример с японской Фукусимы. Раздолбаи!!!!
От пожара литий-ионных батарей ни газ, ни порошок, не помогают. Там чисто организационный прокол, батареи не в отдельном здании, непонятно что с репликацией и т.п.
Я бы эти батареи раскидал по разным комнатам с пожарными перегородками. С независимыми сземами управления питанием, конечно.
Я не профи в этой узкой области, но построил систему бы так:
Вообще НЕ НУЖНЫ батареи в серверной. Нужны три источника питания в бронированных пожарозащищённых тоннелях до самой пожарозащищённой секци и АВР (автоматический переключатель (три в два с автоматом выбора лучшей фазы) на каждую пожарозащишённую секцию + байпассы. В результате каждую секцию можно будет чинить независимо, и также можно будет менять бойпассы и АВР, не отключая сервера. На входе три независимых источника напряжения, свои разнесённые трансы, +дизель-генератор с АВР, включающийся, если пропадает напряжение на 2 линиях из трёх, + аккумуляторный блок на 20 минут минимум (на запуск генераторов). Регулярные учения и стресс-тесты всех элементов схемы: тупо пришёл начальник и отрубил 2 источника питания из трёх, и смотрит как отработает автоматика и персонал.
Самое оно:
Схема защиты реакторов атомных станций и ракетных шахт.
Штирлиц! А Вас попрошу остаться!
Вы очень много знаете. Причем кАнкретно.
А как эти батареи будут гореть при отсутствии кислорода?
Конечно, если успеть задавить пожар до того, как стенки/двери прогорают насквозь.
Перспективный чат детектед! Сим повелеваю - внести запись в реестр самых обсуждаемых за последние 4 часа.
Надо тщательно собирать информацию о таких граблях из открытых источниках (везде где ущерб более 10-100к условно) и изучать чтобы самим не наступать. И не по единичному случаю, а оптом. И делать внешние аудиты на факт отсутствие подобных сертифицированных граблей. Например, делать опросники обязательные к ответу или проводить проверки к примеру ОТ МЧС. Т.е. вводить все это в правила МЧС/пожарников (обычное дело между прочим). Делать рассылки об изменении правил и далее делать внешние проверки как минимум со штрафами и предписаниями об устранении.
Это еще вопросы безопасности информации и затыкания дыр не ставились на карандаш и не делались внутренние проверки наличия(известных и не очень) дыр по организациям от конторы вроде Касперского кстати что с ними? Правда здесь может быть смешение интересов если дыра устраняется только продуктом Касперского.
Я бы сказал - не только собирать, но и отдельных хотябы властьпредержащих периодически в оную информацию окунать мордой лица. Дабы выработать у них элемент понимания необходимости относиться со вниманием к такого рода вопросам.
Отсюда, кстати, и обозначенный мною вопрос под номером 5.
Можно проще поступать. Дикие штрафы за сбои "стратегических национальных сервисов" + регулярные тестовые отключения э/э от Мосэнерго. САМИ НАУЧАТСЯ всё делать правильно.
Тоже вариант.
Только мне кажется, что одними деньгами всё решить не получится. Например, из-за чьего-то разгильдяйства погибли люди. Какой величины штраф за это будет справедливым?
Страницы