INcloud 9 palvelukuvaus

 

1. Palvelusisältö

Toimittajan Asiakkaalle tuottama palvelu koostuu alla olevassa taulukossa olevista palvelumoduuleista. Asiakkaan palvelu muodostuu pakollisista ja valinnaisista palvelumoduuleista.

 

Infrastructure as a Service Kuukausiveloitus Kappaleveloitus Tuntiveloitus
Hallinta ja automaatio      
Hallintakäyttöliittymä    
Ohjelmoitava API-rajapinta    
Automaattinen skaalaus ja orkestrointi    
Vahva tunnistauminen    
Palvelimet ja tallennus      
Palvelininstanssit    
Maantieteellinen hajautus    
Levykuvat    
Levytilakapasiteetti ■​​​​​​​    
Verkot ja yhteydet      
Palomuurit ja turvatyhmät    
Sisäiset verkot    
Julkiset IP-osoitteet ■​​​​​​​    
Internet-yhteys ■​​​​​​​    
NELB-kuormantasaus ■​​​​​​​    

 = Pakollinen palvelumoduuli, jota ilman palvelua ei voida tuottaa

■​​​​​​​ = Valinnainen palvelumoduuli, joka veloitetaan kuukausi-, kappale- tai tuntihintaisena

 


2. INcloud 9

INcloud 9 on kotimainen aito pilvipalvelu. Palvelu tarjoaa Asiakkaalle turvallisen, skaalautuvan ja ketterän pilvialustan. INcloud 9 toimii itsepalveluperiaatteella, mutta tarvittaessa voit hankkia sen myös hallittuna ratkaisuna. Palvelu tuotetaan korkealuokkaisista, kotimaisista, kansainväliset standardit täyttävistä palvelinkeskuksista.

Palvelu tarjoaa mahdollisuuden yhdistää joustavasti todellisen käytön mukaan laskutettavaa kapasiteettia kustannustehokkaaseen varattuun kapasiteettiin. Asiakkaat voivat varata kapasiteettia käyttöönsä joustavasti alkaen yhdestä kuukaudesta, päättyen aina usean vuoden sopimuksiin. Pidempi kapasiteettivaraus on Asiakkaalle aina kustannustehokkaampi vaihtoehto ja asiakkailla on aina mahdollisuus käyttää käytön mukaan laskutusmallia piikkikuormitusten aikana. Palvelussa Asiakas voi muokata pilvensä palvelin-, verkko- ja tallennusresursseja käyttämällä ohjelmoitavia rajapintoja, komentorivityökalua tai helppokäyttöistä hallintakäyttöliittymää.


3. Hallinta ja automaatio


3.1 Hallintakäyttöliittymä

INcloud 9 sisältää selainpohjaisen itsepalvelu käyttöliittymän, jonka avulla Asiakas voi itse mukauttaa käytössään olevaa palvelua tarpeidensa mukaiseksi. Käyttöliittymän avulla Asiakas voi luoda, muokata ja poistaa palvelimia ja verkkoja, hallita niiden asetuksia sekä muokata tietoturva-asetuksia. Asiakkaan tunnukset käyttöliittymään oikeuttavat hallitsemaan kaikkia Asiakkaan käytössä olevia resursseja. Hallintakäyttöliittymä sisältyy Palvelun kuukausiveloitukseen.


3.2 Ohjelmoitava API – rajapinta

Palveluun kuuluu ohjelmoitava API-rajapinta, jonka avulla Asiakas voi integroida INcloud 9:n hallinnan osaksi omia hallintajärjestelmiään. API-rajapinta tarjoaa tavan automatisoida toistuvia ylläpitotoimia. Alla olevassa taulukossa on kuvattuna rajapinnat ja niiden käyttötarkoitukset.

Rajapinnat  
Nimi Kuvaus
Compute OpenStack Nova palvelinresurssien hallinta ja automaatio
NELBIdentity OpenStack Keystone käyttäjätietojen hallintaan
Image OpenStack Glance levykuvien hallintaan
Metering OpenStack Ceilometer kuormitus ja käyttötiedot
Network OpenStack Neutron verkkoresurssien hallinta
Orchestration OpenStack Heat automaatiopohjien käyttö ja hallinta
Volume OpenStack Cinder levytilojen käyttö ja hallinta

Osa Asiakkaan haluamista konfiguraatiomuutoksista voi edellyttää rajapinnan käyttöä. Asiakas vastaa API- rajapinnan käyttöönotosta sekä mahdollisista integraatioista. API-rajapinnan käyttöoikeus sisältyy Palvelun kuukausiveloitukseen.


3.3 Automaattinen skaalaus ja orkestrointi

INcloud 9 tarjoaa mahdollisuuden automatisoida infrastruktuurin asennukset, muutokset sekä poistot. Orkestrointi mahdollistaa IT-infrastruktuurin tallentamisen konfiguraationa, jota voi monistaa sekä muokata tarvittaessa. Orkestroinnin avulla voidaan luoda esimerkiksi sovellusympäristön palvelimet, verkot sekä tallennuspalvelut valmiiksi esiasennettuina Asiakkaan tallentamista pohjista ja asennusskripteistä. Orkestrointiin voidaan kytkeä automaattisen skaalautuvuuden raja-arvoja, joiden puitteissa INcloud 9 alusta skaalaa asiakkaan järjestelmää ylös- tai alaspäin. Automaattinen skaalautuvuus mahdollistaa resurssien skaalauksen automaattisesti esimerkiksi verkkopalvelun sesonkiaikoina. Orkestroinnin avulla Asiakas voi esimerkiksi monistaa tuotantoympäristön testiympäristöksi tai toisinpäin. Orkestrointi noudattaa OpenStack Heat -rajapinnan määrityksiä. Orkestroinnin käytöstä vastaa Asiakas. Orkestroinnin käyttöoikeus sisältyy palvelun kuukausiveloitukseen.

 

3.4 Vahva tunnistauminen

Cloud 9 –palvelu mahdollistaa käyttäjilleen turvallisen autentikoinnin. Käyttäjätunnuksen ja salasanan lisäksi voi Asiakas halutessaan ottaa käyttöön vahvan tunnistautumisen. Vahva tunnistautuminen perustuu TOTP-algoritmiin (RFC 6238). Vahva tunnistautuminen perustuu ajoittain vaihtuvaan kertakäyttökoodiin, jota voidaan käyttää eri päätelaitteilta täydentämään käyttäjätunnuksen ja salasanan tuomaa turvaa.


4. Palvelimet ja Tallennus


4.1 Palvelininstanssit

Palvelininstanssit muodostuvat prosessoriytimistä, keskusmuistista ja käyttöjärjestelmälevystä. Järjestelmälevy määräytyy palvelimen kokoonpanon mukaisesti palvelimen käyttöönottovaiheessa. Toimittaja suosittelee järjestelmälevyä vain käyttöjärjestelmälle käytettäväksi ja erillistä levytilakapasiteettia sovelluksille ja tietokannoille näiden paremman suorituskyvyn takia. Palvelinresurssien kohdistamisesta kokoonpanoihin päättää Asiakas. Palvelussa on käytettävissä seuraavat ennalta määritellyt kokoonpanot.

Nimi Kokoonpano
Ilmainen kokeilujakso  
nbl-free-tier 1 CPU, 768MB, 32Gt järjestelmälevyä
N1-sarja Normaalijakauma muistin ja virtuaalisten prosessoriytimen kesken
nbl-n1-tiny 1 CPU, 1Gt, 8Gt järjestelmälevyä
nbl-n1-small 1 CPU, 2Gt, 32Gt järjestelmälevyä
nbl-n1-medium 2 CPU, 4Gt, 50Gt järjestelmälevyä
nbl-n1-large 4 CPU, 8Gt, 100Gt järjestelmälevyä
nbl-n1-xlarge 8 CPU, 16Gt, 100Gt järjestelmälevyä
nbl-n1-2xlarge 16 CPU, 32Gt, 150Gt järjestelmälevyä
M1-sarja Muisti optimoitu
nbl-m1-small 1 CPU, 4Gt, 50Gt järjestelmälevyä
nbl-m1-medium 2 CPU, 8Gt, 50Gt järjestelmälevyä
nbl-m1-large 4 CPU, 16Gt, 100Gt järjestelmälevyä
nbl-m1-xlarge 8 CPU, 32Gt, 150Gt järjestelmälevyä
nbl-m1-2xlarge 16 CPU, 64Gt, 200Gt järjestelmälevyä
HM1-sarja Korkea muisti optimoitu
nbl-hm1-large 1 CPU, 4Gt, 50Gt järjestelmälevyä
nbl-hm1-xlarge 2 CPU, 8Gt, 50Gt järjestelmälevyä
nbl-hm1-2xlarge 4 CPU, 16Gt, 100Gt järjestelmälevyä
nbl-hm1-4xlarge 8 CPU, 32Gt, 150Gt järjestelmälevyä
nbl-hm1-8xlarge 16 CPU, 64Gt, 200Gt järjestelmälevyä
EHM1-sarja Erittäin korkea muisti optimoitu
nbl-ehm1-xlarge 2 CPU, 32Gt, 150Gt järjestelmälevyä
nbl-ehm1-2xlarge 4 CPU, 64Gt, 200Gt järjestelmälevyä
nbl-ehm1-4xlarge 8 CPU, 128Gt, 300Gt järjestelmälevyä
nbl-ehm1-8xlarge 8 CPU, 256Gt, 300Gt järjestelmälevyä

Palvelinten verkon ja levyn suorituskyky on painotettu palvelimen koon mukaan. Suurempitehoinen palvelin saa käyttöönsä enemmän levy- ja verkkosuorituskykyä kuin pienitehoinen palvelin. Palvelimeen sisältyy aina järjestelmälevy, joka on suunniteltu vain käyttöjärjestelmän käyttöön. Asiakkaan on mahdollista tehdä levynkuvapeilaus (Snapshot) palvelussa esimerkiksi sovellustestausta varten.

Palvelininstanssien hinnoittelu perustuu valittuun kokoonpanoon. Asiakas voi varata käyttöönsä palvelininstansseja säästääkseen kustannuksissa. Palvelininstanssin varaaminen kannattaa aina, jos asiakas tietää tarvitsevansa palvelinta vähintään kuukauden. Varatut palvelininstanssit eivät ole sidottu tekniseen palvelininstanssiin. Varattu palvelininstanssi on laskutuksellinen minimimäärä erityyppisiä palvelininstansseja, joihin asiakas sitoutuu varauskauden ajaksi. Varauskauden jälkeen kustannukset eivät nouse, vaan varaus uusiutuu oletusarvoisesti samoilla ehdoilla.


4.2 Maantieteellinen hajautus

Palvelu on saatavilla yhdellä (1) Alueella (Suomi) ja kahdella (2) Saatavuusalueella. Alueen sisällä saatavuusalueet on hajautettu maantieteellisesti kahteen erilliseen sijaintiin. Saatavuusalueet on kuvattu alla olevassa taulukossa.

Alue: Suomi (FI)  
Saatavuusalue Kuvaus
Helsinki-1 Saatavuusalue 1 - Helsinki
Helsinki-2 Saatavuusalue 2 - Helsinki

Saatavuusalueet tarjoavat Asiakkaalle yhdenmukaiset INcloud 9 palvelumoduulit. Saatavuusalueiden ei- kriittiset huoltokatkot suoritetaan omissa erillisissä huoltoikkunoissaan. Lisätietoja huoltoikkunoista INcloud 9 palvelutasosopimuksesta. INcloud 9 mahdollistaa korkean käytettävyyden palveluiden rakentamisen käytettäessä useampaa kuin yhtä Saatavuusaluetta. Toimittaja suosittelee Asiakasta hajauttamaan palvelimensa useammalle kuin yhdelle Saatavuusalueelle.


4.3 Levykuvat

Toimittaja tarjoaa Asiakkaan käyttöön valmiita levykuvia (Images), jotka sisältävät yleisimmät Microsoft- ja Linux-palvelinohjelmistot. Palvelinpohjan avulla Asiakas saa palvelimen käyttöönsä helposti ja nopeasti. Asiakkaalla on myös mahdollisuus luoda omia palvelinpohjia. Asiakas voi monistaa levykuvan myös käytössä olevasta palvelimesta, joka mahdollistaa käytössä olevien palvelimien monistamisen.


4.4 Levytilakapasiteetti

Palvelussa Asiakas voi varata seuraavista levytilakapasiteeteista (LTK) käyttötarkoitukseensa sopivimman. Toimittaja suosittelee levytilakapasiteettia käytettäväksi sovellusten tietojen, tietokantojen ja tiedostojen tallentamiseen. Asiakas voi liittää levytilakapasiteettia haluamaansa palvelimeen palvelun hallintatyökalujen avulla.

Levytilakapasiteetti  
Taso Käyttötarkoitus
LTK-SSD Suurta I/O-suorituskykyä vaativat sovellukset, kuten esimerkiksi tietokannat, toiminnanohjausympäristöt ja liiketoimintasovellukset. Vikasietoinen ja suorituskykyinen konfiguraatio levytilakapasiteetti.
LTK-SAS Normaalia I/O-suorituskykyä vaativat sovellukset ja järjestelmät, kuten esimerkiksi tiedostopalvelimet, sähköpostijärjestelmät ja muut normaalin käyttökuorman sovellukset ja palvelimet. Vikasietoinen levytilakapasiteetti ei raskaalle kuormalle.
LTK-ARK Alhaisen I/O-suorituskyvyn sovellukset. Soveltuu esimerkiksi pitkäaikaiseen arkistointikäyttöön. LTK- ARK soveltuu datan säilyttämiseen, jota käytetään vain harvoin.

Levytilakapasiteetin hinnoittelu perustuu valittuun tasoon ja määrään. Asiakas voi varata käyttöönsä levytilaa säästääkseen kustannuksissa. Levytilakapasiteetin varaaminen kannattaa aina, jos asiakas tietää tarvitsevansa levytilaa vähintään kuukauden. Varattu levytila on laskutuksellinen minimimäärä eritasoisia levytilatyyppejä, joihin asiakas sitoutuu varauskauden ajaksi. Varauskauden jälkeen kustannukset eivät nouse, vaan varaus uusiutuu oletusarvoisesti samoilla ehdoilla.

Toimittaja suosittelee aina varmistuskapasiteettipalvelun käyttämistä Asiakkaan ympäristön jatkuvuuden takaamiseksi. Levykuvapeilausta (Snapshot) ei ole suositeltavaa käyttää ainoana varmistusmenetelmänä.


5. Verkot ja yhteydet


5.1 Palomuurit ja turvaryhmät

Palvelussa Asiakkaan on mahdollista suojata palvelimet sekä virtuaalinen sisä- ja ulkoverkkonsa useilla eri tavoilla. Suojaus voidaan tehdä käyttäen virtuaalista palomuuria tai turvaryhmiä (Security Groups). Palomuurin ja turvaryhmien avulla Asiakas voi kontrolloida liikennettä Internetistä Palveluun, Palvelun sisällä eri verkkojen välillä ja tarvittaessa eri palvelinten välillä samassa verkossa. Asiakas vastaa palomuurin ja turvaryhmien käyttöönotosta sekä sääntöjen määrittelystä. Palomuuri ja turvaryhmä palvelumoduulit sisältyvät palvelun kuukausihintaan.


5.2 Sisäiset verkot

INcloud 9 tarjoaa Asiakkaalle mahdollisuuden rakentaa pilveensä kehittynyt verkkoinfrastruktuurin. INcloud 9 tukee SDN-verkkoteknologiaa, eli ohjelmistollisesti määriteltäviä verkkoja. Asiakas voi rakentaa kohdeympäristöönsä verkkoja sekä reitittimiä ja luodata näiden verkkojen välille turvasäännöstöt käyttäen turvaryhmiä. Palvelimille osoitettuja verkkoja voidaan mukauttaa tarpeen mukaisesti. INcloud 9:ssa verkot voivat sijaita yhdellä Saatavuusalueella tai tarvittaessa yhdistää Saatavuusalueita yhteen.

Palvelimelle voidaan allokoida useampia verkkoliitäntöjä ja Asiakkaan eri palvelimet voidaan kohdistaa joko samaan tai eri verkkoon tarpeen mukaisesti. Asiakas vastaa palvelun sisäisten verkkojen konfiguraatiosta. Palvelun sisäiset verkot sekä sisäinen liikennöinti saman Saatavuusalueen sisällä sisältyy Palvelun kuukausihintaan.


5.3 Julkiset IP-osoitteet

Asiakas voi varata käyttöönsä haluamansa määrän julkisia IP-osoitteita. Varatut IP-osoitteet ovat Asiakkaan hallittavissa ja käytettävissä niin kauan, kun Asiakas pitää ne varattuna. Julkiset IP-osoitteet ovat sidoksissa Saatavuusalueeseen. Julkiset IP-osoitteet on erikseen veloitettava palvelumoduuli.


5.4 Internet-yhteys

Cloud 9 -palvelussa on käytettävissä vikasietoinen Internet-yhteys. Molemmat Saatavuusalueet ovat yhdistetty itsenäisiä reittejä käyttäen Internettiin. Ulosmenevä Internet liikenteestä voidaan veloittaa Asiakkaalta erikseen siirretyn datamäärän mukaan kts. 9. Palvelurajaukset.


5.5 NELB-kuormantasaus

INcloud 9 -palvelu tarjoaa mahdollisuuden rakentaa korkean saatavuuden palveluita käyttäen hyväksi Nebula Elastic Load Balancer –kuormantasausta (NELB). NELB mahdollistaa Asiakkaan palvelun julkaisun yhden julkisen IPv4- ja IPv6-osoitteen takaa, vaikka tekninen ympäristö olisi hajautettu maantieteellisesti eri saatavuusalueille. NELB jakaa kuormaa Asiakkaan määrittelemiin IP-osoitteisiin sekä TCP-portteihin. NELB- kuormantasaus on operaattoritasoinen ratkaisu, jossa kuormantasaus tapahtuu BGP-tasolla Toimittajan verkossa. NELB-kuormantasaus on Asiakkaan hallittavissa selaimella sekä API-rajapinnan kautta.

NELB-kuormantasausta voidaan käyttää Nebulan verkossa sijaitseviin IP-osoitteisiin myös INcloud 9 -palvelun ulkopuolella. NELB on erikseen tilattava lisäpalvelu.

NELB mahdollistaa kuormantasauksen lisäksi kyvykkyyden SSL-sertifikaattien purkamiselle. Sertifikaatin avulla julkisessa Internetissä kulkeva liikennöinti saadaan salattua. Sertifikaattien hallinta tapahtuu Nebulan palveluhallinnan kautta selaimella.

Sertifikaatti voi olla Asiakkaan itsensä hankkima valitsemaltaan myöntäjältä tai Toimittajalta erikseen voimassa olevan hinnaston mukaisesti tilattuna. Asiakas on vastuussa asennetun sertifikaatin toimivuudesta ja ajantasaisuudesta.


6. Infrastruktuuri


6.1 Ulkoinen levytila kapasiteetti

Levytilakapasiteettipalvelu tarjoaa asiakkaalle mahdollisuuden käyttää joustavaa ja ylläpidettyä tallennusratkaisua. Toimittajan levytilakapasiteettipalvelu on mahdollista liittää fyysiseen tai virtuaaliseen palvelimeen Toimittajan laitesalissa. Tarvittaessa ratkaisu voidaan tuottaa useaa eri levytilakapasiteettiratkaisua käyttäen. Levytilakapasiteettipalvelut tuotetaan Toimittajan luotettavia ja vikasietoisia tallennusjärjestelmiä käyttäen, jotka ovat aina Toimittajan omassa hallinnassa. Toimittaja vastaa levyjärjestelmien ylläpidosta ja järjestelmistä.

Toimittaja voi tuottaa Asiakkaalle levytilakapasiteetti seuraavassa taulukossa esitettyjen palvelutasoluokkien mukaisesti:


7. Palvelukohtainen tietoturva


7.1 INcloud 9


7.1.1 Vastuunjako

Toimittajan tarjoamissa palveluissa on käytössä jaetun vastuun malli. Se tarkoittaa, että Toimittajan tehtäviin kuuluu ohessa esitetyn kuvan mukaisesti alustainfrastruktuurin tietoturva (pilven tietoturva) ja Asiakas on vastuussa heidän datansa, palvelintensa sekä sovellustensa tietoturvasta (turvallisuus pilvessä).
 

Vastuunjako


Oheinen taulukko perustuu malliin, jossa Toimittaja ei tuota Asiakkaan järjestelmille ja palveluille hallinta- /ylläpitopalveluita.


 

Toimittaja Asiakas
Konesalien fyysinen turvallisuus ja käytänteet Asiakkaan datan varmuuskopiointi
Pilvialustan varmuuskopiointi ja palauttaminen Asiakkaan käyttäjätunnusten hallinta
Pilvialustan järjestelmien (esim. virtualisointi) tietoturvapäivitykset Asiakkaan datan salaus
Pilvialustan tietoturvallinen arkkitehtuuri Asiakkaan palveluiden turvallinen arkkitehtuuri
Asiakkaiden turvallinen eristäminen Asiakkaan palvelinten tietoturvapäivitykset
Pilvialustan lokien hallinta Asiakkaan ohjelmistojen tietoturva
Fyysinen tietoliikenne Asiakkaan sertifikaatit
  Asiakkaan palomuurisäännöt
  Asiakkaan lokien hallinta
  Asiakkaan tietoliikenteen salaus / suodatus
  Asiakkaan looginen arkkitehtuuri

 

7.1.2 INcloud 9 tekninen tietoturva

Tekninen tietoturva rakentuu monesta osakokonaisuudesta. Oheisessa taulukossa on esitelty keskeisiä tapoja, miten Toimittaja pyrkii parantamaan INcloud9 palvelun tietoturvaa.

INcloud 9 tietoturva  
Osa-alue Varautuminen
Turvalliset ohjelmistot
  • Toimittaja käyttää kansainvälisesti yleistä avoimen lähdekoodin OpenStack -teknologiaa, jonka aktiivinen yhteisö tarjoaa ohjelmistoon jatkuvaa tietoturvan kehitystä.
  • Toimittaja seuraa ja vastaa palvelun rajapintojen tietoturvasta.
  • Asiakkaiden palvelimien suojaukseen ja loogiseen eriyttämiseen liittyvät ohjelmistot ovat yleisti käytetty avoimen lähdekoodin KVM -teknologiaa.
Korkea saatavuus
  • Cloud 9 on hajautettu maantieteellisesti kahteen eri konesaliin pääkaupunkiseudulla. Konesalien eli saatavuusalueiden välinen etäisyys on noin 10 kilometriä.
  • Palvelutasosopimus lupaa erittäin korkean saatavuuden kahden saatavuusalueen ratkaisussa, sekä korkean saatavuuden yhden saatavuusalueen sisällä. Saatavuuslupaus on kuvattu tarkemmin Palvelutasosopimuksessa.
  • Palveluntuotantokeskus valvoo ja ylläpitää Cloud 9 -palvelua 24 tuntia vuorokaudessa, vuoden jokaisena päivänä.
Turvalliset hallintayhteydet
  • Vahvasti salatut hallintayhteydet.
  • Vahva tunnistaminen hallintapaneeliin.
  • Henkilökohtaiset hallintatunnukset.
Lainsäädäntä
  • Cloud 9 -konesalit sijaitsevat Suomessa.
  • Palvelua toimittaa suomalainen Toimittaja Suomen lainsäädännön alla Suomesta käsin.
  • Viestintäviraston asettamat jatkuvuudenhallinnan velvoitteet teleoperaattoreille.
Hallintamallit
  • Palvelua operoidaan Toimittajan tietoturvapolitiikan ja jatkuvuussuunnitelman mukaisesti.
  • Toimittajan palvelukeskus seuraa ympärivuorokautisesti Tietoturvauhkia sekä poikkeavaa toimintaa palvelussa.


7.1.3 INcloud 9 asiakasympäristöjen suojaaminen

Asiakas voi vaikuttaa Asiakasympäristöjen tietototurvaan monella eri tavalla. Tässä kappaleessa käydyt tekniset sekä hallinnolliset tavat kuvaavat Asiakkaiden käytettävissä olevia yleisiä mekanismeja, joilla Asiakasympäristöjen tietoturvaa voidaan tehostaa. Asiakasympäristön toteutunut turvallisuus riippuu Asiakkaan valitsemien kontrollien määrästä ja toteutustavasta.

Asiakasympäristöjen suojaaminen  
Osa-alue Varautuminen
Arkkitehtuuri

• Asiakas voi määritellä loogisella tasolla tarpeiden ja tietoturvamallinsa mukaisen arkkitehtuurin, joka lisää tietoturvan tasoa, rajaa tietoturvapoikkeamien vaikutusta sekä nopeuttaa palautumista

Pilven sisäiset tietoverkot
  • Jokaisen asiakkaan tekniset ympäristöt on eriytetty omiin loogisiin verkkoihin, jotka ovat verkkoteknisesti eriytetty muiden asiakkaiden ympäristöistä

  • Asiakas voi pilkkoa oman teknisen verkon useisiin loogisiin kokonaisuuksiin, joista jokaisella voi olla erilliset sallitut yhteydet (esim. DMZ)

Hallintayhteydet
  • Asiakas voi käyttää henkilökohtaista tunnusta palveluiden hallinnointiin

  • Asiakas voi tuoda omia sertifikaatteja palvelussa käytettäviin palvelininstansseihin

  • Asiakasympäristön palvelinten kirjautuminen voidaan liittää Asiakkaan yritysverkon

    kirjautumiskäytäntöihin (esim. Active Directory)

Datan suojaus

Asiakas voi halutessaan

  • Salata järjestelmissä säilytettävän datan siten, että edes Toimittaja ei pysty purkamaan salausta

  • Salata tietoliikenne yhteydet siten, että edes Toimittaja ei pysty purkamaan salausta

Datan palautus

Asiakas voi halutessaan varmistaa datan saatavuuden poikkeustilanteissa

  • Liittämällä palveluun Toimittajan tarjoaman varmuuskopiointipalvelun

  • Ottamalla itse omasta datastaan varmuuskopioinnit

  • Kopioimalla datan toiselle saatavuusalueelle

Ulkoisten verkkojen suojaus

Asiakas voi halutessaan liittää palvelun

  • Suoraan Asiakkaan yritysverkkoon Pilviyhteys -palvelulla, jolloin tietoliikenne ei mene julkisen Internet yhteyden ylitse

  • Toimittajan tarjoamaan palomuuripalveluun, jolloin toimittaja hallinnoi palomuuria ja sen tietoturvaa

  • Toimittajan tarjoamaan etäyhteysratkaisuun

  • Käyttää palvelun sisäänrakennettua palomuuria estämään ei toivottua liikennettä

    Internetistä

Korkea saatavuus

Asiakas voi parantaa palveluidensa saatavuutta

  • Hajauttamalla palvelunsa kahdelle eri saatavuusalueelle

  • Liittämällä palveluun korkean saatavuuden kuormantasauspalvelun

  • Rakentaa Toimittajasta riippumattoman korkean saatavuuden ratkaisun vikatilanteisiin


7.1.4 Konesalien tietoturva

Konesalien jatkuvuus ja saatavuus  
Osa-alue Varautuminen
Vikasietoisuus

• Aktiiviset komponentit on kahdennettu vähintään n+1 tai 2n periaatteen mukaisesti

Sähkönsyöttö
  • Valtakunnanverkko

  • Kahdennettu UPS -laitteisto, joka suodattaa sähköstä jännitteen vaihtelut sekä

    jännitepiikit. UPS-laitteisto voidaan ohittaa vikatilanteissa sekä huoltotöissä ja vaihtaa

    uuteen ilman sähkönjakelun keskeytymistä

  • Kahdennettu akusto

  • Automaattisesti päälle kytkeytyvä varavoima

Paloturvallisuus
  • Automaattinen palosammutusjärjestelmä, joka sammuttaa mahdolliset tulipalot konesaleissa aiheuttamatta tuhoa palvelinlaitteistolle, ja siten Asiakkaan palveluille ja datalle

  • Palvelintilat on jaettu useisiin eri palotiloihin

Tietoliikenne

• Konesalit ovat kytketty ringin muotoiseen runkoverkkoon aina vähintään kahta reittiä pitkin usealla kuidulla, jolloin yksittäisen kuidun katkeaminen esimerkiksi kaivinkoneen kauhan iskusta ei vaikuta asiakkaiden tietoliikenneyhteyksiin

Vikatilanteiden tunnistaminen
  • Ympärivuorokautisesti miehitetty palvelutuotantokeskus seuraa järjestelmien, verkkojen ja konesalien komponenttien toimivuutta reaaliaikaisesti

  • Päivystäjät ovat ympäri vuorokauden valmiudessa selvittämään mahdollisia vikatilanteita konesalien, Toimittajan ja asiakkaiden palveluissa

 

Konesalien turvamekanismit  
Osa-alue Varautuminen
Liikkeentunnistus
  • Konesaleissa on antimasking -toiminnoilla varustettu liikkeentunnistus. Järjestelmä tunnistaa mahdolliset kameroiden peittämiset

  • Liikkeentunnistuksen aiheuttamat hälytykset ohjataan välittömästi henkilökunnallemme sekä turvallisuuspalvelun valvomoon

Murtohälytysjärjestelmä

• Konesalien kulunvalvontaan liitetty murtohälytysjärjestelmä tunnistaa luvattoman tunkeutumisyrityksen konesaleihin ja hälyttää automaattisesti turvallisuuspalvelun paikan päälle

Kulunvalvonta
  • Sähköinen kulunvalvonta on osa konesalien vakiovarustelua. Lokeista pystytään seuraamaan viimeisen puolen vuoden ajalta, kuka on milloinkin vieraillut laitetilassa

  • Palvelintilat jaettu eri luokituksiin, mihin esimerkiksi asiakkaat voivat päästä vierailemaan tai henkilökunta voi saada kulkuoikeudet

Kameravalvonta
  • Konesalit on varustettu jatkuvasti tallentavalla videovalvonnalla, joka tallentaa niin vierailijoiden kuin ylläpitohenkilökunnan käynnit

  • Videotallenteet säilytetään fyysisesti eri sijainnissa ja kamerat ovat sijoitettu siten, että ne täyttävät PCI-DSS vaatimukset


8. Hinnoittelu


8.1 INcloud 9


8.1.1 Yleiset periaatteet

INcloud 9 tarjoaa kapasiteettia kahdella eri tavalla, jotka voi yhdistää saumattomasti yhteen. Prepaid- hinnoittelu tarjoaa huomattavia kustannussäästöjä verrattuna On-Demand -hinnoitteluun staattisissa työkuormissa. Prepaid-palvelut laskutetaan joko osin tai kokonaan etukäteen. Prepaid on lisäpalvelu On- Demand -palveluun.

Jo tilattujen Prepaid-resurssien hinta ei muutu listahintojen muuttuessa. Prepaid-resurssit eivät ole sidottu loogiseen palvelimeen, vaan palvelu perustuu käyttöoikeuteen, joten laskutukseen ei vaikuta onko sen piirissä olevat resurssit laskutuksessa vai ei. Prepaid-resurssin edullisuus perustuu määräaikaiseen sitoutumiseen, joten sitä ei voi vaihtaa tai lopettaa kesken sopimuskauden. Asiakkaan ei tarvitse uusia Prepaid-tilausta, vaan tilaus uusiutuu automaattisesti samoilla ehdoilla, ellei toisin ole määritetty. Muutoksia tilauksen uusimiseen voi tehdä palvelun hallintapaneelin kautta.

Asiakkaalla voi olla useita erilaisia Prepaid-palvelimia eri sopimuskausilla sekä eri laskutuskausilla. Prepaid- palveluiden listahintojen muuttuessa asiakkaat saavat automaattisesti käyttöönsä uudet hinnat Prepaid- palvelimille uusien tilausten osalta. NBL-FREETIER laskutetaan NBL-N1-TINY –hintaisena.


8.1.2 On-Demand -hinnoittelu

On-Demand -veloituksessa ei ole minimiveloitusta. Asiakas maksaa vain siltä ajalta, kun käyttää palvelua. Laskutustarkkuus on yksi alkava minuutti. Jokaisella palvelintyypillä on oma yksikköhinta, perustuen palvelimen kokoon. Palvelimista veloitetaan sama hinta riippumatta siitä, onko se sammutettuna vai käynnissä. Palvelimen veloitus päättyy, kun se on poistettu. On-Demand -hintojen muuttuessa muuttuu myös asiakkaan hinnasto.

Staattisella työkuormalla todellinen kuukausittainen laskutus voi muuttua riippuen kuukauden pituudesta. Esimerkiksi kuukauden minuuttimääriin vaikuttaa onko kuukaudessa 28 vai 31 päivää. Laskutus tapahtuu jälkikäteen kuukausittain. On-Demand -palvelu on automaattisesti käytössä niille resursseille, joita ei ole ostettu Prepaid-resursseina. On-Demand -palvelun piiriin kuuluvat palvelimet, levytilapalvelut, julkiset IP- osoitteet, NELB-kuormantasaus ja Windows-käyttöoikeus. Ilmoitettu On-Demand hinta on laskettu 43 200 minuutin (30 vrk) pituisella kuukaudella.


8.1.3 Prepaid-hinnoittelu

Prepaid-sopimuskausi astuu voimaan tilausvuorokauden alusta. Prepaid-sopimuskausi päättyy aina kuukaudenvaihteessa. Mikäli Prepaid-sopimus on tehty keskellä kuukautta, niin ensimmäisen vajaan kuukauden osalta päivähinta lasketaan päivähintana (kk-hinta / 30) * vajaan käyttökuukauden päivät. Prepaid-tilaus on sidottu valittuun tuotteeseen, eikä sitä voi käyttää muiden tuotteiden maksamiseen. Prepaid tilaukset ovat projekti, ei asiakaskohtaisia.

Prepaid-levytilaa voi olla asiakkaalla vain yksi tilaus per levytilatyyppi, jonka voi jakaa eri palvelimille haluamallaan tavalla. Levytilatilausta voi kasvattaa kesken sopimuskauden, mutta ei kutistaa.


8.1.4 NELB-kuormantasaus

NELB-kuormantasaus on erikseen tilattavissa olevan palvelu. Palvelun käyttö veloitetaan toteutuneiden minuuttia mukaisesti. Mikäli Asiakas hyödyntää palvelun tukemaa SSL-sertifikaattien purkuominaisuutta, vastaa Asiakas sertifikaattien hankinnasta syntyvistä erillisveloituksista.


9. Palvelurajaukset

Palvelumoduuli Palvelurajaus
INcloud 9 palvelimet ja tallennus
  1. Toimittajan Palvelussa tukemat käyttöjärjestelmät voivat vaihdella. Toimittaja pyrkii tiedottamaan muutoksista Asiakasta etukäteen.

  2. Varattujen resurssien laskutus perustuu varatun kapasiteetin määrään, toteutuneesta käytöstä riippumatta.

  3. Toimittaja ei suorita mitään tiedostojen tai virtuaalipalvelimien varmuuskopiointiin liittyviä toimenpiteitä ilman, että Asiakas on hankkinut virtuaalipalvelimilleen Toimittajan Varmistuskapasiteettipalvelun.

  4. Toimittaja ei vastaa siitä, että virtuaalipalvelin soveltuu tai on suorituskyvyltään riittävä Asiakkaan käyttötarkoitukseen.

  5. Toimittaja varaa oikeuden muuttaa levytilakapasiteettiin liittyviä rajoituksia, mikäli Toimittajan tuotannontekijät niin edellyttävät.

  6. Toimittaja ei takaa, että levytilakapasiteetin ilmoitettu IOPS-suorituskyky (luku/kirjoitus operaatiota sekunnissa) vastaa kaikissa olosuhteissa tässä palvelukuvauksessa esitettyjä arvioita.

  7. Toimittaja ei suosittele järjestelmälevyjen käyttämistä pysyvän tiedon säilytykseen. Järjestelmälevy on suunniteltu käyttöjärjestelmä käyttöön.

INcloud 9 hallinta ja automaatio
  1. Kaikki käyttöliittymässä tai rajapintojen kautta tehdyt muutokset ovat Asiakkaan vastuulla. Asiakas vastaa Palvelussa käyttämiensä palvelimien tietoturvasta kokonaisuudessaan, ellei toisin ole kirjallisesti sovittu.

  2. Toimittaja ei vastaa Asiakkaan luomien palvelinpohjien sisällöstä tai niiden toimivuudesta Palvelussa. Asiakas vastaa rajapintojen käyttöönotosta sekä mahdollisista integraatioista.

  3. Asiakas vastaa kaikista Asiakkaan tunnuksilla suoritetuista toimenpiteistä ja niistä mahdollisesti aiheutuvista seuraamuksista ja kustannuksista.

INcloud 9 levykekuvat
  1. Asiakas vastaa luomiensa tai Palveluun tuomiensa sovellusten ja /tai käyttöjärjestelmien ja muiden vastaavien lisensseistä.

  2. Toimittaja laskuttaa voimassa olevan hinnaston mukaisesti Toimittajan tarjoamien levykuvien käytöstä.

INcloud 9 maantieteellinen hajaus
  1. Toimittaja ei siirrä Asiakkaan järjestelmiä saatavuusalueelta toiselle.
  2. INcloud 9 palvelun Saatavuusalueita tuotetaan hajautetusti Toimittajan kotimaisista palvelinkeskuksista. Palvelinkeskusten luokituksissa voi olla eroavaisuuksia.
INcloud 9 internet-yhteys
  1. Ulosmenevästä julkiverkon liikenteestä voidaan veloittaa Asiakkaalta maksu, mikäli ulosmenevän julkiverkon liikennemäärä ylittää 1 Tt /kk /Asiakas.
INcloud 9 sisäiset verkot
  1. Saatavuusalueiden välisestä liikenteestä voidaan periä Asiakkaalta maksu, mikäli Saatavuusalueiden välinen liikenne ylittää 5 Tt /kk /Asiakas.

Ulkoinen levytilakapasiteetti
  1. Ulkoinen levytilakapasiteetti voi vaatia erillisen SAN liitynnän palvelimeen.

  2. Levytilakapasiteetin suorituskyky voi vaihdella

 
  1. Palvelun kuukausihintaan sisältyy 200 tekstiviestiä kuukaudessa per käyttäjä. Tämän määrän ylittävistä viesteistä Toimittaja voi laskuttaa Asiakasta.
Muut ehdot
  1. Palvelukuvaukseen mahdollisesti liitetyillä kuvilla ei ole merkitystä Palvelun sisällön kannalta.

 

Edellä listatut rajaukset ovat voimassa, ellei toisin erikseen kirjallisesti sovita.