← Повернутися до блогу
3 березня 2026 р.

Дата-центр AWS щойно фізично знищено. Що це означає для твого бізнесу.

AWSMulti-RegionDisaster RecoveryСтійкістьХмарна АрхітектураБезперервність БізнесуАваріяІнфраструктура

Хмарна індустрія роками говорила про цей сценарій як про щось теоретично можливе. Вчора він став реальністю.

2 березня 2026 року інфраструктура AWS на Близькому Сході була знищена. Два дата-центри в регіоні ME-CENTRAL-1 (ОАЕ) — зруйновані. Об'єкт у ME-SOUTH-1 (Бахрейн) — пошкоджений. Пожежі, знеструмлення, затоплення від систем пожежогасіння. Кілька зон доступності впали одночасно.

В офіційному комунікаті AWS написав про «об'єкти», що вразили інфраструктуру. Як не назви — результат той самий: вперше великий хмарний провайдер втратив продакшн дата-центри, бо їх фізично знищили.

Порада AWS клієнтам? Перемикайтеся на інший регіон. Правильна порада — якщо є куди перемикатися. Хто цього не підготував — залишився ні з чим.

Для українських інженерів зруйнована інфраструктура — не теорія. Але для решти світу це вперше: дата-центр гіперскейлера знищено ззовні. Те, що ми давно розуміємо на практиці, нарешті побачили всі.

Multi-AZ від цього не рятує

Більшість компаній вважають себе захищеними, бо мають Multi-AZ. RDS зі standby в іншій зоні. EC2 розкидані по AZ-ах. Лоад-балансер обходить те, що впало. Це нормальний базовий рівень — працює при відмові одного об'єкта, проблемах з мережею всередині регіону, локальному знеструмленні.

Але зони доступності в одному регіоні — це радіус сто кілометрів. Руйнування інфраструктури, стихія, масштабний блекаут, рішення про відключення — накривають їх усі разом. Саме це сталося 2 березня.

Multi-AZ рятує від аварії. Від катастрофи — ні.

Чотири рівні стійкості — і свідомий вибір

Не кожна система в твоєму бізнесі потребує однакового захисту. Але це рішення треба прийняти заздалегідь — а не з'ясовувати під час інциденту.

Рівень 1: Multi-AZ в одному регіоні. База зі standby в іншому AZ, compute в кількох зонах, лоад-балансер обходить те, що не відповідає. Покриває відмови залізя, падіння одного об'єкта, типові інциденти AWS. Ціна: мінімальна — по суті лише standby RDS. Якщо ти не тут — починай звідси.

Рівень 2: Реплікація даних у другий регіон. Основний регіон працює як завжди, але критичні дані копіюються в запасний. S3 cross-region replication, снепшоти RDS у другий регіон. Автоматичного фейловеру немає — але є з чого відновитися. Якщо Франкфурт зникне, дані чекають в Ірландії чи Стокгольмі. Відновлення: години-дні. Додаткова ціна: 10–20% зверху за сховище та реплікацію.

Рівень 3: Active-passive multi-region. Основний регіон тягне весь трафік, резервний має підняту (або готову до підняття з IaC) інфраструктуру та репліковані дані. Route 53 моніторить основний і при аварії перекидає трафік на резервний. Відновлення: хвилини до години. Додаткова ціна: 30–50% — це ціна інфраструктури напоготові. Для більшості компаній це оптимальна точка між бюджетом і стійкістю.

Рівень 4: Active-active multi-region. Обидва регіони тягнуть трафік одночасно, дані синхронізуються в обидва боки. Single point of failure на рівні регіону — немає. Юзери можуть взагалі не помітити перемикання. Ціна: приблизно подвійний рахунок. Для систем, де кожна хвилина простою — це гроші: трейдинг, медична інфра, SaaS із жорсткими SLA.

Рівень 5: Multi-cloud. Те саме, але на двох провайдерах (AWS + GCP, AWS + Azure). Захищає навіть від збою на рівні провайдера. Складність: космічна. На практиці — для найбільших організацій. Для звичайної компанії — теорія.

Що зробити цього тижня

Не треба перебудовувати все за ніч. Але кілька рішень варто прийняти зараз — поки тема гаряча.

Зроби інвентаризацію: що де крутиться. Кожен продакшн-сервіс, кожен регіон. Якщо відповідь — «все у eu-central-1» — ти знаєш свій single point of failure. Більшість українських компаній на AWS сидять тільки у Франкфурті. Сам по собі Франкфурт — ок. Відсутність будь-чого за межами Франкфурту — вже ні. Цей аудит — кілька годин роботи, не спринт.

Розділи системи за важливістю. SaaS для клієнтів — це не внутрішня вікі. Транзакційна база — не маркетинговий сайт. Розбий на категорії, присвой рівень стійкості кожній — свідомо, а не за принципом «якось буде».

Увімкни реплікацію в другий регіон — сьогодні. S3 cross-region replication. Снепшоти RDS у другий регіон. Франкфурт → Ірландія або Стокгольм. Коштує копійки відносно рахунку, а дає тобі з чого відновитися. Немає причин цього не зробити.

Route 53 health checks. Навіть без повного фейловеру — моніторинг основних ендпоінтів дає інформацію за секунди. Краще так, ніж дізнатися від клієнта, що «у вас не працює».

Протестуй DR-план. Є план disaster recovery? Коли його останній раз тестували? «Ніколи» або «десь він є, але не пам'ятаю» — значить, знаєш пріоритет. План без тестування — це папірець, не захист.

Резидентність даних. Якщо обслуговуєш клієнтів в ЄС — GDPR диктує, куди можна реплікувати. Резервний регіон має бути в ЄС/ЄЕП. Для інших ринків (США, Канада, Японія) обмежень менше, але перевір контрактні зобов'язання.

Скільки це коштує — без обтікаємих формулювань

Тут зазвичай розмова стопориться, тож давай по цифрах.

Реплікація cross-region (Рівень 2): плюс 10–20% до рахунку. Компанія з витратами $500/міс на AWS додасть $50–100 за впевненість, що дані переживуть катастрофу.

Active-passive (Рівень 3): плюс 30–50%. Та сама компанія — $150–250/міс за автоматичний фейловер.

Active-active (Рівень 4): приблизно подвійний рахунок.

Це реальні гроші. Але порівняй з ціною повної втрати продакшну — даних клієнтів, стану додатку, тижнів простою, репутації, регуляторних наслідків. Рівень 2 — очевидне рішення. Рівень 3 — бізнес-рішення, яке багатьом компаніям давно пора прийняти.

Це повториться

Те, що сталося на Близькому Сході — не останній подібний інцидент. Зовнішні загрози, стихія, політична нестабільність, кібератаки — нічого нового. Нове те, що вперше дата-центр гіперскейлера знищили ззовні. Теоретичний ризик став підтвердженим сценарієм.

Українським інженерам це пояснювати не треба — багато хто вже пережив і втрату інфраструктури, і вимушену міграцію, і побудову стійких систем в умовах, коли фізична безпека не гарантована. Цей досвід — реальна перевага. Решті світу тепер доведеться його набувати.

Компанії, які 2 березня нічого не відчули — прийняли рішення про стійкість заздалегідь. Решта зараз наздоганяє.

Наступного разу — в якій групі хочеш бути?

В Otocolobus ми проєктуємо AWS-архітектури, що витримують падіння цілого регіону — не лише одного об'єкта. Хочеш чесну оцінку своєї стійкості та конкретний план дій — напиши. Скажемо, що реально потрібно.