A-Record Failover?
У меня есть Fortigate 100D с 2-мя BT Business Infinity Fiber соединениями, действующими как WAN1 и WAN2.
Линии BT поставляются с 5 статическими публичными IP-адресами каждая, и мой DNS, размещенный через CloudFlare, указывает на статический IP-адрес в одном из подключений WAN.
(Скажем, вы делаете nslookup на mylesgray.com, вы увидите 217.45.201.1 в качестве публичного IP).
Мы хотим избыточность для наших записей A (для размещенных веб-сайтов, VPN, ssh и т. Д.), Но очевидно, что 2 линии BT имеют два разных набора публичных IP-адресов, поэтому, если WAN1 выходит из строя, мы мертвы в воде - никакого аварийного переключения, поскольку адрес статичны.
Я искал внешнее переключение DNS, но это кажется мне грязным и очень неправильным (Round Robin раздражает меня). Затем в качестве опции была предложена anycast, однако, Anycast, кажется, требует и весь блок /24 или в некоторых бросках ISP даже /22. Мы используем маршрутизатор корпоративного уровня, поэтому использование BGP и т. Д. Не является проблемой.
Может ли кто-нибудь пролить свет на то, как добиться аварийного переключения для DNS A-Records, если не купить блок IP / 22 или использовать Round Robin DNS?
3 ответа
Просто пара замечаний: Anycast действительно не обеспечивает восстановление после отказа. Вы упоминаете "внешнее аварийное переключение DNS" и roundrobin - это совсем не одно и то же. У Roundrobin есть несколько записей A для одного и того же имени хоста. Отказоустойчивость DNS приводит к изменению одной записи A на другой IP-адрес, когда ссылка перестает работать, и, в идеале, ее изменение обратно при восстановлении связи.
Как упоминает Лукас, отказоустойчивость DNS обычно не самый лучший способ сделать это по причинам, которые он упоминает. Это работает для большинства пользователей, но есть задержка из-за кэширования и DNS-серверов, которые игнорируют TTL, что повлияет на время переключения на альтернативный IP-адрес.
Если вы хотите продолжить этот путь, есть различные сторонние службы DNS (DNSMadeEasy, Amazon Route 53 и многие другие), которые предоставляют эту услугу. Некоторые из различных балансировщиков ссылок (PepLink, Baraccuda) также могут выполнять переключение при сбое DNS, если они действуют как ваш DNS-сервер. В зависимости от вашей среды также возможно, что вы также можете написать собственный скрипт, который проверяет состояние ваших ссылок и обновляет IP-адреса по мере необходимости.
BGP не предоставит вам никакой помощи, если вы не владеете и не управляете своим собственным блоком ASN и IP-адресом. Идеальным решением было бы подать заявку в местные региональные интернет-реестры (RIPE/ARIN/ и т. Д.) На ваш собственный IP-блок и ASN и запустить свои собственные маршрутизаторы для объявления маршрута из соответствующей ссылки.
Выполнение Failover с записями DNS считается плохой практикой для некоторых администраторов, потому что:
Записи DNS имеют время жизни, которое необходимо сбалансировать между производительностью (высокий TTL = длительное кэширование) и поведением обновления (низкий TTL = изменения распространяются быстрее).
Некоторые DNS-клиенты и рекурсивные серверы (например, ISP) склонны полностью игнорировать значения TTL или устанавливать свои собственные.
AFAIK, минимальный TTL CF составляет 5 минут (по крайней мере, на бесплатных аккаунтах).
Я сам не работаю со службами BT, но может ли быть возможность перемещать IP-адреса между двумя восходящими каналами? Я не уверен, как это можно сделать с вашей настройкой, хотя.
Поскольку вы не боитесь использовать BGP, вам следует вместо этого поговорить с BT, чтобы узнать, можете ли вы объявить свои публичные IP-адреса на них с помощью BGP, тем самым обеспечивая динамическую маршрутизацию между Интернетом и вашим маршрутизатором. Ваш сервер будет иметь только 1 IP, маршрутизируемый через тот или иной канал.
Таким образом, вам не понадобится публичная AS или даже /24, так как вы будете использовать пространство IP BT, которое будет агрегировано в их сети.
Однако они могут поддерживать опцию BGP с предложением "Business Infinity", поэтому вы также можете взглянуть на выделенные линии BT, чтобы обновить существующие ссылки.
Они предлагают BGP4 среди своего пакета " устойчивости". Однако стоимость может отличаться от "Business Infinity".