Как обеспечить отказоустойчивость сервиса независимо от провайдера?

Небольшая компания, всё on-premise, публикуем в интернет несколько сервисов: веб-сайты, вкс-система и т.д.
Подключено несколько провайдеров, чтобы обеспечить резервирование.
Проблема - все сервисы в DNS прописаны на публичные IP одного из провайдеров. Соответственно, если он падает доступ к сервисам теряется.
Пока придумали 2 варианта решения:
1) Перетащить всё в облако. Этот вариант не очень хотим использовать из-за требований инфобеза.
2) Стать провайдером и зарегистрировать свою ASN. Публиковать сервисы на своих IP. Этот путь пока не исследовали, но есть ощущение, что получим головняков с регуляторами.

Варианты, которые отвергли:
1) Переписывать адреса в DNS - на клиентах обновляется от 12 часов
2) Round-robin DNS - как я понимаю проблему совсем не решает. Будет отдавать кому-то работающий IP, кому-то неработающий.
3) Всякие обратные proxy в облаке. Вариант для веба приемлем, но остаётся и другой трафик (RDP, Web-RTC и т.д.)
Вопрос - может что-то упускаем. Есть ли ещё способы?
  • Вопрос задан
  • 1421 просмотр
Решения вопроса 2
anthtml
@anthtml
Системный администратор программист радиолюбитель
3й вариант самый оптимальный, rdp и тому подобное прекрасно живет на таких прокси (правда выставлять голый rdp и инфобез в последнее время не сочитается)
Касательно веба, еще часто используемый вариант, это выносить фронтэнд сайта на облако, а тяжелые ресурсы бэкэнда тянуть по своим каналам с пермиса.
AS для небольшой компании - неподъемная ноша, они выделяются от /24, и там нужно иметь отдельного сетьадмина который будет рулить bgp и бодаться с провайдерами чтобы настраивали у себя нормальную маршрутизацию
Ответ написан
CityCat4
@CityCat4 Куратор тега Сетевое администрирование
//COPY01 EXEC PGM=IEBGENER
Ну елы-палы, замерли в одном шаге от решения проблемы! Конечно же AS! Для чего еще берется два провайдерских канала? Я тем же занимаюсь и проблемы те же.

Какие тут проблемы:
- дааааааааааааааалеко не всякий, даже вроде бы как толстый пров - LIR, а только LIR имеет право регить AS, соответственно сначала нужно узнать, есть ли среди ваших LIR.
- МТС (через которого мы может быть будем работать - сказал так:

1) Только PA и только аренда
2) Все так – регистрируем AS на клиента через запрос от нас в RIPE так как мы LIR
3) Настройка BGP идет как обязательная услуга при аренде PA и регистрации AS
4) А BGP мы настраиваем только с нашим каналом - при аренде PA и регистрации AS мы юридически обязаны протащить трафик через нашу сеть. (фактически клиент может наш канал и не использовать под BGP, но на бумаге он должен быть)


То есть МТС делится своими запасами, которые и прописывает в AS.

UPD: Важно! После получения AS контора получает статус "организатора распространения информации" и ей надлежит зарегиться в РКН, написать там кучу разной бюрократии и - пока еще не подтверждено, но скорее всего - поставить у себя "черный ящик" имени РКН, который будет рулить блокировками (причем за свои деньги :) )

Приказ РКН #221 от 31.07.2019

По большей части это все касается конечно же трансграничной передачи
Ответ написан
Комментировать
Пригласить эксперта
Ответы на вопрос 4
@SunTechnik
Срок обновления записей DNS определяется настройками параметра TTL. (+ время обнаружения проблемы). Если записи обновлять скрипом (через API провайдера DNS, или через авторизацию по ключу), то время переключения составит менее 10 минут.
Ответ написан
@Drno
Dns failover с проверкой доступной, например
cloudflare
Tyl у днс настраивается, вплоть до 1 минуты

Но я бы делал 3й вариант. Для любого трафф просто прокинув нужные порты с помощью iptables. На впс за 150р с гигабитным портом….

Так что да - вы что то упускаете, видимо грамотного сисадмина)) (ну или по малоопытности)

Ну и rdp в мир и инфобез - нерабочее сочетание))
Ответ написан
Комментировать
@andreysam
В DNS прописать одновременно несколько айпишников - самый дешёвый вариант. Есть минус в виде неоднородности поведения в http клиентах, но для браузеров работает отлично. В хроме, например, оно берёт рандом адрес, если он даёт ошибку (в худшем случае минутный тайм-аут), то переключается и пробует следующий из DNS. У меня так настроено уже чуть больше года. Когда один из адресов падает, клиенты больше думают, что на их стороне интернет провис, а не с нами проблема))
Создание as, аренда адресов и всё с этим связанное - это вариант вообще отличный, но требует гораздо больших затрат.
Ответ написан
Комментировать
@garriad
Network Engeneer
купите VPS сервак и пробрасывайте через него, если будете BGP делать, горюшка хлебнёте много, много раз настраивал, вечные головняки
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы
13 июл. 2024, в 00:27
10000 руб./за проект
12 июл. 2024, в 23:32
70000 руб./за проект
12 июл. 2024, в 23:00
20 руб./за проект