Gostaria de implementar o Round Robin DNS, mas não para balanceamento de carga

Question

Gostaria de implementar o Round Robin DNS, mas não para balanceamento de carga

#1 resposta do (8 votos)
#2 resposta do (6 votos)

2

Eu tenho um serviço que é executado em um servidor em uma grande instalação de colocation. Este servidor é o local onde outros servidores relatam para notificar up / down. Coisas muito básicas. O agente do cliente em cada servidor remoto tem 1 entrada para apontar para - relatar para - e o software não tem tolerância a falhas.

O que eu gostaria de fazer é implementar o Round-Robin DNS para lidar com a principal conexão de internet para o servidor de monitoramento no colo. Este sistema tem uma conexão grande, mas deve ficar offline Eu recebo um monte de alertas falsos que os servidores do agente estão offline - quando eles não são de fato - é que a linha de colo está em baixo ou o firewall para essa linha está inativo. p>

Se eu fizer 2 entradas no DNS, a primeira é a largura de banda maior e o firewall principal, sendo a segunda a largura de banda mais baixa e o firewall menor. Então esses pequenos pacotes de "Estou on-line / off-line" dos agentes de destino funcionam melhor? Eu sei que isso não é o melhor, mas o software não tem código para duas entradas separadas para os agentes experimentarem. O servidor de relatórios não está off-line, é muito sólido (dual sans e 3 servidores VMWare - redundantes) ... Mas eu tenho um único ponto de falha no firewall e na linha principal. Só quero tentar fazer isso um pouco melhor, caso essa linha ou firewall falhe.

Pensamentos?

domain-name-system

por Coogrrr 10.12.2013 / 19:16

2 respostas

Tags domain-name-system

Exportar lista simples de todos os computadores em várias OUs no AD [closed] preocupações com segurança SSL SNI

score 8 · Answer 1

If I do 2 entries in DNS the first being the big bandwidth and main firewall the second being the lower bandwidth and the smaller firewall. Then will these tiny packets of "I am online/offline" from the target agents work better?

Não. Isso é o que acontecerá se o firewall principal estiver inativo:

O sistema cliente consulta DNS e obtém a entrada nº 1, que aponta para o firewall principal.
Seu cliente agora tem um endereço IP. A responsabilidade do DNS é feita.
O cliente tenta acessar o endereço IP, mas esse endereço não tem conectividade.
Lágrimas de angústia.

O DNS é um armazenamento de valor-chave simples e não tem conhecimento de nada além disso. Seus sistemas ainda falharão se usarem round robin. Para ser justo, eles falharão em metade do tempo, o que significa sucesso em outra parte do tempo. Em um cenário em que um dos firewalls está inativo, o round robin dará ~~o endereço IP da conexão firewall / internet em funcionamento no seu espaço de colocation na metade do tempo~~ resultados muito imprevisíveis. Em qualquer ponto dado, com um dos dois firewalls inativos e duas entradas round robin, ~~half~~ apenas algumas das consultas DNS será para o endereço IP em funcionamento. Então, olhando pelo lado bom, acho que é melhor que nada?

A solução real para o problema é tornar as conexões mais confiáveis por provedores, SLAs e hardware melhores, ou usar link bonding de algum tipo. Use algo como um balanceador de carga Elfiq para gerenciar a ligação. Claro, isso introduz um novo ponto único de falha. Então você pode dobrar os Elfiqs em um cluster ativo / passivo. Então você percebe que ambos estão no mesmo circuito de energia, então você tem uma queda de energia separada em seu gabinete. Então você percebe que os dois circuitos estão na mesma grade ...

... e então você percebe que nunca vai haver um momento em que não exista SPOF, então você simplesmente tem que transferir esse SPOF para outra pessoa para que você possa culpá-los, ou para um dispositivo / sistema que seja suficientemente É incrível fazer você dormir à noite. Até você perceber que seus desenvolvedores não verificam as entradas do aplicativo.

score 6 · Answer 2

O que você quer não é o DNS Round Robin, é conectividade redundante (algo que o seu provedor de colo já deveria estar lhe dando, pelo menos na borda. Se eles não têm vários uplinks redundantes e roteamento adequado configurado para failover se um link desaparecer encontrar um novo recurso de colocation ).

Se você tem um único firewall / uplink e esse ponto único de falha é inaceitável para você, é hora de investir em firewalls redundantes e links redundantes para o núcleo do ISP (de preferência através de diferentes chaves de acesso) . Praticamente qualquer firewall comercial digno desse nome pode fazer isso. Você pode até mesmo fazer isso com firewalls gratuitos se estiver com orçamento limitado.