Tôi đã sử dụng AWS từ năm 2013, nhưng gần đây đã xây dựng máy chủ riêng để cắt giảm chi phí và tăng khả năng dự đoán. Tôi chia sẻ lý do chuyển sang máy chủ riêng, quá trình thực hiện, các biện pháp bảo mật và ví dụ áp dụng xác thực đa yếu tố (MFA).
Lý do chuyển đổi
• Cắt giảm chi phí: Khi dùng AWS, chi phí khó dự đoán và gánh nặng tăng lên do tỷ giá đô la Mỹ tăng.
• Đặc thù dịch vụ B2B: Khả năng số lượng người dùng tăng đột biến là thấp, và có thể điều chỉnh số lượng hợp đồng nên không có vấn đề về khả năng mở rộng.
Quá trình chuyển đổi và các thách thức
• Công việc di chuyển: Chuyển cơ sở dữ liệu, máy chủ staging và các dịch vụ mới đang phát triển sang máy chủ nội bộ.
• Giải quyết vấn đề ban đầu: Khắc phục các vấn đề tương thích trong quá trình cấu hình máy chủ và nhu cầu nâng cấp phần cứng.
Lợi ích dài hạn
• Cắt giảm chi phí: Tận dụng tối đa tài nguyên của máy chủ vật lý để giảm chi phí.
• Tăng cường bảo mật: Nâng cao bảo mật bằng cách áp dụng xác thực đa yếu tố (MFA) tận dụng GPT.
Các biện pháp bảo mật
• Quản lý quyền truy cập: Thiết lập dải IP, quản lý ID và mật khẩu, áp dụng xác thực đa yếu tố.
• Bảo mật vật lý: Kiểm soát ra vào và hệ thống giám sát tại trung tâm dữ liệu.
• Kiểm tra định kỳ: Kiểm tra bảo mật và phân tích lỗ hổng, sao lưu dữ liệu định kỳ và lưu vào bộ nhớ ngoài.
Áp dụng xác thực đa yếu tố (MFA)
• Lựa chọn giải pháp MFA: Google Authenticator, Authy, Yubikey, v.v.
• Triển khai: Thêm bước MFA vào luồng xác thực người dùng, tích hợp API và cải thiện giao diện người dùng.
• Ví dụ mã: Cung cấp ví dụ áp dụng MFA bằng Python Flask và Ruby on Rails.
Trả lời các câu hỏi bổ sung
Q1: Bạn quản lý thế nào để vận hành ổn định máy chủ vật lý trước mùa hè khắc nghiệt và bụi ở Hàn Quốc?
• Quản lý môi trường phòng máy chủ: Sử dụng điều hòa và máy hút ẩm, lắp máy lọc không khí, vệ sinh định kỳ.
• Hệ thống giám sát: Giám sát nhiệt độ và độ ẩm theo thời gian thực.
• Bảo trì phần cứng: Kiểm tra và bảo trì định kỳ.
Q2: Kế hoạch dự phòng là gì khi mất điện hoặc mất kết nối Internet ngoài dự kiến?
• Vận hành máy chủ dự phòng: Phân tán máy chủ tại nhiều không gian vật lý.
• Hệ thống UPS: Lắp đặt thiết bị cấp điện liên tục.
• Dự phòng kết nối Internet: Cung cấp từ hai kết nối Internet trở lên.
• Kế hoạch sao lưu và khôi phục dữ liệu: Chuẩn bị phương án sao lưu dữ liệu định kỳ và khôi phục nhanh chóng.
8 bình luận
Rời khỏi AWS đã dùng suốt 10 năm để đến với Mac mini M1, M2.... Đây không phải viral cho Apple đấy chứ?
Dù các yếu tố hạ tầng khác có vẻ được thiết kế rất tốt, nhưng chi tiết đó tác động quá mạnh.
Tôi khá tò mò liệu anh/chị có từng cảm thấy cần phải lập một bộ phận riêng hay không, vì ngoài phát triển thì chắc hẳn đã tích tụ khá nhiều vấn đề liên quan đến vận hành như thiết lập mạng bao gồm tường lửa và định tuyến, sao lưu phân tán, xây dựng đồng thuận về bảo mật, v.v. (nếu là B2B thì còn bao gồm cả các yêu cầu bảo mật từ phía khách hàng nữa).
Đây là một thắc mắc ngoài lề, nhưng ý là đã tích hợp GPT để xây dựng MFA à? Hay là chỉ nhờ GPT hỗ trợ viết code thôi? Tôi khá tò mò. Đây có phải là trường hợp ChatGPT trở thành quản trị viên bảo mật không?
Có vẻ ý chính là trong bài họ hỏi ChatGPT để lấy gợi ý rồi thực hiện nhiều biện pháp khác nhau... đại khái là vậy.
Về mặt H/W thì có thể hiểu được vì sao lại khuyến nghị mac mini, nhưng...
Khi dùng Docker trên Mac thì rốt cuộc vẫn sẽ phải chạy một VM, rồi Docker lại chạy trên đó...
Trong môi trường production mà dùng Docker trên Mac thì đúng là hơi khiến người ta phải nghiêng đầu khó hiểu.
Tôi cũng thấy khó hiểu ở điểm đó: trong môi trường docker, arm vẫn còn khá nhiều hạn chế, hơn nữa như bạn đã nói, nếu là osx thì phải chạy trên một VM kiểu như qemu nên mức suy hao hiệu năng sẽ không hề nhỏ; vì vậy việc khuyến nghị tổ hợp này có vẻ hơi kỳ lạ.
Có nghĩa là ngay cả môi trường vận hành cũng chạy được trên Apple Mac sao?
Nguồn điện lẫn ổ đĩa có lẽ đều chưa được cấu hình dự phòng, nên tôi khá tò mò không biết sẽ xử lý thế nào nếu phát sinh sự cố phần cứng.
Khi nghĩ đến tiền thuê bất động sản hay chi phí thuê diện tích đặt máy chủ ở IDC thì cũng phần nào hiểu được vì sao cloud lại đắt. Có vẻ mục tiêu khó nhất là vận hành các máy chủ dự phòng trùng lặp.