Jak wybrać idealny hosting?

Kopie zapasowe

Jeśli awaria może przytrafić się dowolnemu podzespołowi serwera, to tym uszkodzonym elementem mogą w pewnym momencie okazać się w szczególności dyski twarde. Dlatego firmy oferujące usługi hostingowe na przyzwoitym poziomie powinny korzystać z systemów RAID (RAID1 i wyższe) w celu zwielokrotnienia nośników informacji. Dane w systemach RAID zapisywane są na co najmniej dwóch dyskach, co w razie awarii jednego z nich nie powoduje utraty danych, a nawet nie wstrzymuje pracy systemu.

Jeżeli znajdziesz dostawcę hostingu, który nie montuje w serwerach dysków w ramach systemu RAID - najlepiej od razu zrezygnuj z jego usług. Niestety zdarzają się również sytuacje, w których nawet dwa dyski na raz potrafią ulec uszkodzeniu. Podobnie jak spotyka się przypadkowe usunięcie ważnych danych, wywołane błędnym działaniem oprogramowania lub czyjąś pomyłką. Tutaj również system RAID niewiele pomoże. Administratorzy projektujący bezpieczny i niezawodny system informatyczny powinni przewidzieć również i tego rodzaju sytuacje.

W takich momentach przydają się awaryjne kopie bezpieczeństwa (tzw. backupy). Zapisane na odrębnym nośniku i na co dzień rzadko wykorzystywane, spokojnie czekają na chwilę wystąpienia awarii. Kopie zapasowe mogą być składowane na specjalnym serwerze backupowym lub samodzielnej macierzy dyskowej (systemy NAS - Network Attached Storage). Rzadziej stosuje się obecnie streamery taśmowe.

Backupy powinny być wykonywane codziennie lub częściej. Najczęściej kopie zapasowe tworzone są w godzinach nocnych. Absolutne minimum to przechowywanie przez dostawcę hostingu przynajmniej ostatniej (najnowszej) kopii. Dobrze, jeśli są one dostępne z kilku ostatnich dni. Im backupów jest więcej, tym lepiej dla możliwości ewentualnego odtworzenia danych, które uległy zniszczeniu w bliżej nieokreślonym momencie. Większa liczba kopii to także dodatkowe zabezpieczenie na wypadek uszkodzenia dowolnej z nich.

Środowisko PHP

Obecnie większość serwisów internetowych tworzona jest metodą dynamiczną. Nawet proste witryny nie są już przygotowywane w statycznym HTML. Zamiast tego są instalowane w ramach choćby najprostszego systemu CMS. To standard i za nim muszą podążać dostawcy usług hostingowych. I na szczęście tak też się dzieje. Ze świecą szukać obecnie płatnego hostingu, który nie udostępnia środowisk najpopularniejszych języków skryptowych (a jeszcze 2-3 lata temu zdarzały się takie przypadki). Pozostają jednak niuanse w postaci detali konfiguracyjnych, które mogą sprawić, że dla określonych zastosowań jedne oferty będą bardziej dopasowane od innych.

Podobnie jak większość webmasterów na świecie oczekujesz zapewne przede wszystkim dobrze skonfigurowanego środowiska PHP. To najbardziej rozpowszechniony język skryptowy spośród wykorzystywanych do tworzenia stron internetowych. Dokonując zakupu hostingu, zwróć przede wszystkim uwagę na wersję interpretera PHP.

Aktualnym standardem jest PHP5 (najlepiej w najnowszej wersji 5.2). Musisz jednak wiedzieć, że wciąż wiele starszych skryptów nie jest przystosowana do niekompatybilnych wstecznie zmian wprowadzonych w wersji PHP5 i do poprawnego działania wymaga PHP4. Sytuacja taka będzie się prawdopodobnie z czasem zmieniać, jednak dziś wciąż warto mieć awaryjny dostęp również do starszej wersji PHP.

Większość dostawców hostingu rozwiązuje te sprawę poprzez udostępnienie równolegle dwóch środowisk - PHP4 i PHP5. Użytkownik może samodzielnie wybrać, z którego z nich chce korzystać. Czy to globalnie, czy też dla poszczególnych skryptów. To dobre i uniwersalne rozwiązanie. Operatorzy najczęściej pozwalają również na modyfikację pewnych zmiennych środowiskowych (np. register_globals). Zależnie od poszczególnych dostawców, różny może być dozwolony zakres tej konfiguracji oraz forma przeprowadzania zmian.

Istotną kwestią z punktu widzenia programisty jest sposób implementacji środowiska PHP. Wyróżnia się dwie dominujące metody. Pierwszą z nich jest instalacja środowiska w postaci modułu serwera Apache - mod_php, z dodatkowymi restrykcjami safe_mode. Ten wariant spotykany jest szczególnie w tańszych hostingach. Nie bez powodu mówi się, że jest to metoda stosowana przez tych administratorów, którzy nie potrafią skonfigurować systemu inaczej.

Zaletą implementacji mod_php jest dużo szybsze działanie niż w przypadku konfiguracji alternatywnej, ponieważ PHP jest obsługiwany bezpośrednio w ramach instacji serwera Apache. Lepiej także integruje się z tym serwerem, udostępniając dzięki temu dodatkową funkcjonalność dla programisty.

Po stronie wad można zapisać to, że mod_php automatycznie przejmuje uprawnienia użytkownika, w ramach którego działa serwer WWW. Ponieważ zwykle jest to uniwersalny użytkownik posiadający uprawnienia do odczytu (a często także zapisu) danych wszystkich klientów, stosuje się dodatkową restrykcję "safe_mode" (tzw. tryb bezpieczny), która na poziomie środowiska PHP ogranicza dostęp do plików nienależących do użytkownika.

Jest to jednak rozwiązanie zapewniające bezpieczeństwo jedynie na poziomie samego interpretera PHP. Ponieważ taki sposób kontroli uprawnień nie współgra z natywnym systemem uprawnień systemu operacyjnego, jest on znacznie bardziej podatny na ewentualne luki bezpieczeństwa. Ponadto tryb "safe_mod" przeszkadza w uruchomieniu wielu popularnych skryptów.

Alternatywnie wdraża się więc metodę uruchamiania skryptów PHP w trybie CGI. Przy poprawnej konfiguracji w momencie uruchamiania skryptu wraz z interpreterem PHP system przełącza uprawnienia skryptu na docelowego, realnie istniejącego w systemie użytkownika. Ten odpowiada najczęściej użytkownikowi FTP.

Taki zabieg pozwala ograniczyć na poziomie systemowym wgląd w dane na kontach innych klientów (choć wymaga jeszcze kilku dodatkowych zabiegów). Jest to ogromna zaleta trybu CGI, choć nie jest on niestety rozwiązaniem idealnym. Bezpieczeństwo osiągane jest kosztem zmniejszenia wydajności - dla każdego skryptu uruchamiany jest odrębny proces PHP, co trwa i zjada dodatkowe zasoby systemowe.

Większość dostawców hostingu radzi sobie z tą sytuacją, wdrażając rozszerzoną wersję CGI - system FastCGI. Dzięki zastosowaniu odpowiedniej liczby "oczekujących środowisk PHP" następują znaczące oszczędności kosztu czasowego uruchomienia skryptu. Wciąż jednak jest to metoda mniej wydajna niż mod_php, za to bardziej bezpieczna.

Na palcach jednej ręki można policzyć dostawców hostingu, którzy wdrożyli rozwiązanie hybrydowe. Dzięki własnym modyfikacjom serwera Apache, każde zapytanie o stronę WWW jest wykonywane na uprawnieniach użytkownika FTP, a nie użytkownika uniwersalnego (w momencie rozpoczynania obsługi zapytania następuje zmiana właściciela procesu).

Dzięki temu również mod_php działa automatycznie z odpowiednimi uprawnieniami, bez konieczności stosowania dodatkowych restrykcji safe_mod. W praktyce można zastosować jeszcze pewne dodatkowe usprawnienia, wdrażające obsługę wątków, co dodatkowo zwiększa wydajność. Jest to rozwiązanie bezpieczne i zarazem szybkie.

Na koniec możesz jeszcze zwrócić uwagę na dostępne biblioteki. Uczynisz to najprościej, rejestrując konta testowe w interesujących cię firmach hostingowych i uruchamiając u każdego skrypt z instrukcją phpinfo(). Generalnie im więcej bibliotek jest dostępnych, tym lepiej. Zwróć na nie szczególną uwagę, jeśli skrypty, których planujesz używać, mają szczególne wymagania w kwestii oczekiwanych bibliotek (zwykle taką informację znajdziesz w dokumentacji). Zapytaj administratorów, czy istnieje możliwość doinstalowania dodatkowych bibliotek w razie potrzeby.

W wielu sytuacjach może przydać się również obecność na serwerze modułów obsługujących skrypty zakodowane. Część oprogramowania (głównie płatnego) tworzonego w PHP jest dystrybuowana właśnie w ten sposób. Zakodowany skrypt nie posiada jawnego kodu źródłowego, zamiast niego dostępna jest specjalna postać binarna, odczytywana przez dekoder. Do uruchomienia tego rodzaju skryptów wymagane są dodatkowe rozszerzenia PHP. Spotykane są trzy standardy: Zend Decoder (natywne rozwiązanie producenta PHP), Ion Cube oraz eaccelerator (darmowy, ale nie pozbawiony wad).