Failover A-Record?

Navegue suas respostas
6

Eu tenho um Fortigate 100D com 2x conexões BT Business Infinity Fibre atuando como WAN1 & WAN2.

As linhas BT vêm com 5 IPs públicos estáticos cada e tenho meu DNS hospedado por meio do CloudFlare apontando para um IP estático em uma das conexões WAN.

(Digamos que você faça um nslookup em mylesgray.com e verá 217.45.201.1 como o IP público).

Queremos redundância para nossos registros A (para sites hospedados, VPNs, ssh etc), mas obviamente as linhas 2x BT têm 2x conjuntos diferentes de IPs públicos, portanto, se a WAN1 cair, estaremos mortos na água - nenhum failover como o endereço é estático.

Eu pesquisei o failover de DNS externo, mas isso parece confuso e muito errado para mim (round robin me irrita). Então anycast surgiu como uma opção, no entanto, Anycast parece exigir e todo o bloco / 24 ou em alguns elencos do ISP até mesmo / 22. Estamos executando um roteador de nível empresarial, portanto, usar o BGP, etc., não é um problema.

Alguém pode lançar alguma luz sobre como obter failover para o DNS A-Records antes de comprar um / 22 blocos de IPs ou usar o Round Robin DNS?

    
por Myles Gray 01.04.2013 / 16:44

3 respostas

10

Apenas algumas notas: o Anycast não fornece um failover de registro. Você menciona "failover de DNS externo" e roundrobin - essas não são as mesmas coisas. Roundrobin está tendo vários registros A para o mesmo nome de host. O failover de DNS está alterando um único registro A para um endereço IP diferente quando um link é desativado e, idealmente, é alterado novamente quando o link é reativado.

Como Lukas menciona, o failover de DNS geralmente não é o melhor caminho pelas razões que ele menciona. Ele funciona para a maioria dos usuários, mas há um atraso do cache e dos servidores DNS que desconsideram os TTLs que afetarão o tempo de failover para o endereço IP alternativo.

Se desejar continuar nessa estrada, existem vários serviços DNS de terceiros (DNSMadeEasy, Amazon Route 53, muitos outros) que fornecem esse serviço. Alguns dos vários balanceadores de links (PepLink, Baraccuda) também podem fazer uma variação de failover de DNS se estiverem atuando como seu servidor DNS. Dependendo do seu ambiente, também é possível que você também possa escrever um script personalizado que verifique o status de seus links e atualize os endereços IP conforme necessário.

O BGP não forneceria nenhum alívio a menos que você possua e gerencie seu próprio bloco de endereços ASN e IP. A solução ideal seria aplicar aos seus Registros Regionais da Internet locais (RIPE / ARIN / etc) para o seu próprio bloco de IP e ASN e executar seus próprios roteadores para anunciar a rota fora do link apropriado.

    
por 03.04.2013 / 23:01
5

Fazer failover com registros DNS é considerado uma prática ruim por alguns administradores, porque:

  • Os registros DNS têm um Time To Live que você precisa equilibrar entre desempenho (alto TTL = cache longo) e atualização comportamento (baixo TTL = alterações propagadas mais rápido).

  • Alguns clientes DNS e servidores recursivos (como os do ISP) tendem a ignorar completamente os valores de TTL ou defini-los.

  • AFAIK, o TTL mínimo de CF é de 5 minutos (em contas gratuitas, pelo menos).

Eu não estou trabalhando com os serviços BT, mas poderia haver uma opção para mover os endereços IP entre os dois uplinks? Eu não tenho certeza como isso pode ser feito com a sua configuração, no entanto.

    
por 01.04.2013 / 17:23
3

Como você não tem medo de executar o BGP, você deve falar com a BT para ver se pode anunciar seus endereços IP públicos para eles com o BGP, permitindo assim o roteamento dinâmico entre a Internet e seu roteador. Seu servidor teria apenas 1 IP, roteado por um ou outro canal.

Como tal, não haverá necessidade de um AS público ou mesmo de um / 24, pois você usaria o espaço IP da BT que será agregado em sua rede.

No entanto, eles podem oferecer suporte à opção BGP com sua oferta "Business Infinity", então você também pode dar uma olhada em Linhas alugadas da BT , para atualizar seus links existentes.

Eles oferecem BGP4 entre os seus "resilience "pacote. No entanto, o custo pode não ser o mesmo que "Business Infinity".

    
por 07.04.2013 / 19:10

Tags

Por que recebo um 404 Not Found ao tentar obter o status do servidor? Alterando a máscara de rede de / 24 para / 16 em um domínio do Windows 2003