10 неочевидных советов как выбрать хостинг, который не подведет

Собрали чек-лист из 10 пунктов — такие вопросы задал бы опытный хостер, если бы выбирал хостинг для собственного проекта.

1. Проверить, законно ли работает хостинговая компания в РФ
2. Сформулировать запрос к хостинговой компании
3. Суммировать реальную стоимость хостинга
4. Уточнить время безотказной работы SLA, простоев и расписание техподдержки хостинга
5. Проверить, как обеспечивают безопасность данных на хостинге
6. Выяснить реакцию на инциденты и стабильность техподдержки хостинговой компании
7. Узнать доступные варианты миграции при смене хостинга
8. Уточнить, возможна ли интеграция с хостингом через API и установка дополнительного ПО
9. Убедиться в надежности хостинговой компании
10. Есть ли свобода в выборе софта и оборудования при хостинге
11. Краткий чек-лист

Проверить, законно ли работает хостинговая компания в РФ

В России предоставлять хостинг имеют право только зарегистрированные в Роскомнадзоре компании. Остальным оказывать услуги хостинга в РФ запрещено, хотя наказание незарегистрированной хостинговой компании и ее клиентам пока не грозит.

Реестр хранится на сайте РКН. Но иногда бывают технические проблемы — тогда остается только ждать, когда их исправят.

Подробнее рассказывали о новом законодательстве для хостинговых компаний в нашем блоге на «Хабре» →

→ Вам важно, чтобы ресурс был доступен в России?

Сформулировать запрос к хостингу

Хостинговые компании могут предоставлять услуги:

• Узкоспециализированные. Например, только по определенной модели — SaaS, PaaS или IaaS. Или предоставлять в аренду только выделенные сервера на базе решений Apple.
• Комплексные — по нескольким видам моделей и, например, аренду выделенных серверов и размещение серверов, сolocation.

Одна задача — если нужно арендовать оборудование или разместить в ЦОД свой сервер. Другая — если искать быстрое решение для запуска, скажем, сайта, интернет-магазина или облачного хранилища. Когда не нужна особая кастомизация, то подойдет хостинг, предоставляющий услуги SaaS. А если не хочется разбираться с оборудованием и операционными системами, но нужен полный доступ к программному обеспечению — помогут PaaS решения.

Выбрать хостинг будет легче, если ответить на такие вопросы:

1. Какие услуги предоставляет хостинговая компания. Подумать, потребуются ли в будущем решения по другой облачной модели или сервисам. Например, больше контроля над ПО, облачные вычисления или инструменты машинного обучения.
2. Какие конфигурации оборудования есть у хостера. Важно, если для ваших задач нужно определенное число GPU-карт или ваше ПО работает со специфическими версиями ОС.
3. Какое необходимое оборудование есть в наличии или под заказ. Иногда на сайте может быть написано больше, чем есть в быстром доступе. Тогда придется ждать комплектующих для сервера несколько недель, а то и месяцев.
4. Какие ПО предоставляется и поддерживается хостинговой компанией. Например, нужны определенные операционные системы или нет времени разворачивать и проверять работоспособность нужного ПО. Или привыкли к определенной панели управления хостингом.
5. Какая пропускная способность и задержка канала передачи данных. Хостинг может предоставлять дешевые услуги, но ширина канала связи будет недостаточна. Например, не получится делать облачный бэкап большого объема данных, а задержка помешает комфортной игре в Minecraft на вашем сервере.

→ Что важно сейчас, а что может понадобится, когда проект вырастет?

Суммировать реальную стоимость хостинга

Не все услуги хостинговой компании входят в тариф аренды сервера — за некоторые придется платить дополнительно.

Проверьте, какие услуги и продукты входят в тарифы и есть ли возможность экономии. Обратите внимание на:

1. Администрирование. Обычно хостинговые компании включают в стоимость услуг техническую поддержку оборудования — проверка питания, перезагрузка. Или обслуживание, если из строя выйдут компоненты арендуемого сервера, возникнут проблемы с доступностью из-за связи. А вот администрирование ПО сервера сверх базовых задач иногда оплачивается дополнительно. Платной может оказаться помощь в миграции, настройка, сборка и изменение конфигураций оборудования, настройка устанавливаемой операционной системы и программного обеспечения сверх типовых конфигураций.
2. Какие конфигурации оборудования есть у хостера. Важно, если для ваших задач нужно определенное число GPU-карт или ваше ПО работает со специфическими версиями ОС.
3. Программное обеспечение, привязанное к числу пользователей. Лицензии на некоторое программное обеспечение, которое вы можете поставить и приобрести у хостера, могут быть привязаны к числу пользователей. Скажем, лицензии на число ядер для ОС Windows, на число аккаунтов или доменов для панели управления хостингом.
4. Дополнительные функции. Некоторые компании блокируют продвинутые функции системы без оплаты ежемесячной подписки. А еще могут брать деньги за количество используемых ядер процессора. Например, для серверных версий Windows — за объем хранимых данных при бэкапе или за сетевой трафик.
5. Акционные предложения. Часто цена услуги, которая заявляется хостингом, может оказаться ниже или вообще бесплатной, если воспользоваться акционными предложениями.

→ Есть ли возможность изучить полный список платных услуг до заказа хостинга?

Уточнить время безотказной работы SLA, простоев и расписание техподдержки хостинга

Нормой считается, если провайдер гарантирует время безотказной работы от 90%, заранее сообщает о планируемом времени простоя и возмещает время сверх него.

Часто время простоя системы для обслуживания и обновления основано на локальном времени площадки хостинга. Убедитесь, что перерыв в работе хостинговой компании удобен для вашего часового пояса, как и время работы технической поддержки и рабочих смен в ЦОД. Это важно, потому что иногда доступ в машзал не круглосуточный, а, например, только днем в будни. Да, техподдержка обычно работает круглосуточно и без выходных, но пользователям придется ждать смену в ЦОД.

→ Удобно ли работать с такой гарантией бесперебойной работы и графиком простоев? Сможете ли ждать решения проблем до следующего рабочего дня?

Проверить, как обеспечивают безопасность данных на хостинге

Штрафы за утечки данных растут и законодательство ужесточается. Поэтому список вопросов о безопасности данных к хостинговой компании самый длинный.

Вот что полезно узнать при выборе хостинга:

1. Шифрование. Как зашифрованы данные при передаче и в состоянии покоя. Правильные ответы — протоколы типа TLS, AES или более мощные. Хорошо, если есть возможность применения криптографии по ГОСТ.
2. Местоположение данных. Где хранятся данные и соответствует ли это вашим требованиям к их местонахождению, не нарушите ли вы законодательство при хранении их в этом регионе, есть ли возможность создания защищенной инфраструктуры для хранения персданных по 152-ФЗ.
3. Резервное копирование. Как часто выполняется резервное копирование данных, как долго хранятся резервные копии, легко восстановить данные.
4. Доступ к данным. Кто имеет доступ к данным, каковы их роли и разрешения.
5. Мультифакторная аутентификация. Есть ли поддержка 2FA и какими способами она осуществляется — TOTP, СМС, e-mail.
6. Защита от DDoS атак. Обеспечивает ли хостинг защиту от DDoS и на каком уровне — L3, L4, L7, интеллектуальные атаки.
7. Придерживается ли хостинговая компания отраслевых норм безопасности, относящихся к вашему бизнесу. Например, потребуется защита данных по УЗ-1, если клиент работает с биометрией или количество пользователей превышает 100 тыс.
8. Как работает процедура своевременного удаления пользователей. Что происходит с виртуальными машинами и серверами при отказе от них, как долго хранятся бэкапы пользователей, какие данные сохраняются после удаления пользователя.
9. Какие практики безопасного кодирования и регулярные проверки кода применяет хостинговая компания. Например, использует ли хостер инструменты для статического и динамического анализа кода, проверяет ли входные и выходные данные, ведет ли журналы ошибок.
10. Как часто проводится пентест приложения, можно ли получить его результаты. Проводились ли пентесты и какие — внутренние или внешние, какие векторы атак были задействованы. Каков общий уровень защищенности у хостинга.
11. Работают ли программы раскрытия информации об уязвимостях или программа bug bounty. Участвует ли хостинг в какой-либо программе выплаты наград за поиск уязвимостей. Есть ли в свободном доступе информация о выявленных и исправленных уязвимостях.
12. Были ли утечки данных и известно ли об успешных атаках на эту хостинговую компанию. Находится ли публичная информация об успешных атаках на компанию, есть ли отзывы о взломе клиентов данного хостера по его вине.

→ Достаточно ли защищен проект на этом хостинге? Нет ли нарушений законодательства?

Выяснить реакцию на инциденты и стабильность техподдержки хостинговой компании

Гарантировать полную безопасность или работоспособность не может ни одна хостинговая компания. Но надежный провайдер все быстро наладит или поможет разобраться, если что-то идет не так на стороне клиента.

Вот вопросы, чтобы сразу оценить скорость реакции на возможные инциденты:

1. Какую техническую поддержку и в какие сроки оказывает провайдер.
2. Каковы каналы получения технической поддержки.
3. Каков план реагирования на инциденты у хостера.
4. Как оповещают клиентов в случае инцидента.
5. Какова история прошлых нарушений, запросов госорганов или инцидентов.
6. Каков план аварийного восстановления и как часто его тестируют.

→ Подходят ли особенности технической поддержки выбранного хостинга, реагирование на инциденты и их история?

Узнать доступные варианты миграции при смене хостинга

Иногда хостинг приходится менять. Бывает, стало невыгодным соотношение цены и качества или повысились требования к безопасности данных. А может хостинговая компания регулярно сталкивается с DDoS-атаками или падением серверов. Бывает, что проект вырос и техподдержка или оборудование прежнего хостера уже не справляются.

Вот вопросы к новой хостинговой компании:

1. Что произойдет, если мы переедем от старого хостинг-провайдера. Полезно воспользоваться пробным периодом, чтобы разобраться подойдет ли новый хостинг по мощности и нравится ли работа технической поддержки.
2. Будет ли помощь в переезде. Некоторые хостеры предлагают услуги по миграции. Например, оценивают инфраструктуру проекта, подбирают оптимальные варианты переезда и готовы забрать миграцию на себя.
3. Потребуется ли дополнительная плата за помощь в переезде. Уточните перечень услуг, если вам предлагают миграцию со скидкой или даже бесплатно. Возможно, потребуется платить за администрирование и настройку ПО или за составление проекта миграции.
4. Какие операционные системы и бизнес-приложения доступны для предустановки на новом хостинге. Убедитесь, что вы сможете перенести вашу инфраструктуру без таких сюрпризов как неподдерживаемое оборудованием ОС или необходимость искать специалистов для ПО, с которым вам не смогут помочь сотрудники нового хостинга.
5. С какими еще системами интегрируется инфраструктура. Поддерживаются ли у нового хостинга те же средства виртуализации или панели управления, что и у прежнего. Можно ли перенести данные целиком в виде образов виртуальных машин или файловых систем, можно ли мигрировать данные из облачных хранилищ.
6. Доступна ли справочная информация, документация или гайды по миграции на новый хостинг. Возможно, у хостинг-провайдера уже есть готовые типовые инструкции по переезду данных и инфраструктуры, подходящие вашему проекту. С их помощью можно переехать самостоятельно.

→ Прозрачен ли переезд — процесс, стоимость, риски?

Уточнить, возможна ли интеграция с хостингом через API и установка дополнительного ПО

Иногда клиентам хостера удобнее управлять серверами и услугами через веб-панель, а иногда — через API. Кому-то важна возможность зарабатывать на реселлинге услуг выбранной хостинговой компании. А кому-то необходимо доустановить дополнительные аппаратно-программные решения на серверах хостера.

Вот список вопросов, если пригодится что-то из дополнительных возможностей:

1. Есть ли у провайдера API, предоставляющий доступ без веб-панели провайдера. Каковы возможности API, можно ли его использовать при автоматизации в собственных проектах.
2. Разрешает ли хостинговая компания реселлинг своих услуг и на каких условиях. Можно ли интегрировать свой хостинг и хостинг провайдера.
3. Можно ли устанавливать дополнительные программно-аппаратные решения на серверах хостера. Разрешит ли хостер подключить программно-аппаратных средства к своим конфигурациям. Есть ли у хостера услуга Smart Remote Hands — когда задачи от установки оборудования до его обслуживания забирает на себя хостинговая компания.

→ Будет ли у вас возможность установки стороннего ПО или оборудования у хостера и автоматизации работы с хостингом через API?

Убедиться в надежности хостинговой компании

Требования к хостинговым компаниям выросли. Например, чтобы попасть в реестр Роскомнадзора и работать в РФ легально, теперь юрлицо должно принадлежать гражданам России без второго гражданства, техническая инфраструктура должна находиться в РФ, хостеры обязаны предоставлять доступ РКН и ФСБ, проводить идентификацию всех клиентов и использовать национальную систему доменных имен.

Вот вопросы, с помощью которых можно проверить надежность хостинга:

1. Насколько стабилен хостер с точки зрения финансов, законодательства и геополитики.
2. Можно ли сначала развернуть пилот проекта, чтобы выявить возможные риски и проблемы при работе с выбранным хостером. Это могут быть неочевидные, но критичные проблемы с техподдержкой, скоростью сети или необходимость дополнительной платы.
3. Если вы планируете расширять свой бизнес в будущем — сможет ли хостинг-провайдер предложить необходимые размеры дискового пространства, оперативной памяти, GPU и процессорного времени.

→ Насколько болезненно для проекта, если хостинговая компания неожиданно закроется?

Есть ли свобода в выборе софта и оборудования при хостинге

Некоторые хостеры зависят от определенных производителей софта и оборудования. От них сложнее и дороже мигрировать. А иногда — даже невозможно вывести данные.

Например, если переносить базу данных из облака Azure, то получить ее резервную копию в привычных форматах *.bak и *.trn не получится. Вместо них дамп базы предоставят в формате *.bacpac. Даже если данные удастся перенести, времени придется потратить намного больше.

Или, скажем, ПО для работы с нейросетями заточено под определенные версии библиотек CUDA или Torch, а новые платы GPU-хостинга требуют их новейшие версии. Придется тратиться на адаптацию кода под них.

Вопросы, ответы на которые помогут оценить риски:

1. Аппаратно-программный комплекс, что использует хостер — открытый или закрытый. Если он открыт, попросите предоставить обзор открытых API-интерфейсов. Хостинговая компания даст ссылку, по которой можно оценить, легко ли вводить и выводить данные.
2. План возврата данных. Если решите уйти от хостера, в какой срок и в каком формате компания вернет данные.
3. Возможности бэкапа — технологии резервного копирования и восстановления данных, API-интерфейсы, варианты извлечения, преобразования и загрузки данных и файлов.
4. Цена повторного лицензирования. Если провайдер использует закрытые решения, просчитайте стоимость миграции и возможность переноса лицензий к другому хостеру.
5. Vendor Lock. Оцените возможные проблемы из-за привязки ваших решений к конкретному оборудованию. Можно ли поставить определенные драйвера, каковы особенности настройки оборудования и возможно ли воспроизвести их на оборудовании другого хостера.

→ Будете ли вы привязаны к решениям хостера и используемого им программного и аппаратного обеспечения — особенно проприетарного. Сможете ли перенести лицензии на приобретаемое проприетарное ПО к новому хостеру?

Краткий чек-лист

1. Вам важно, чтобы ресурс был доступен в России?
2. Что важно сейчас, а что может понадобится, когда проект вырастет?
3. Есть ли возможность изучить полный список платных услуг до заказа хостинга?
4. Удобно ли работать с таким уровнем бесперебойной работы и графиком простоев? Сможете ли ждать решения проблем до следующего рабочего дня?
5. Достаточно ли защищен проект на хостинге? Нет ли нарушений законодательства?
6. Подходят ли особенности технической поддержки выбранного хостинга, реагирование на инциденты и их история?
7. Прозрачен ли переезд — процесс, стоимость, риски?
8. Будет ли у вас возможность установки стороннего ПО или оборудования у хостера и автоматизации работы с хостингом через API?
9. Насколько болезненно для проекта, если хостинговая компания неожиданно закроется?
10. Будете ли вы привязаны к решениям хостера и используемого им программного и аппаратного обеспечения — особенно проприетарного. Сможете ли перенести лицензии на приобретаемое проприетарное ПО к новому хостеру?