abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
Přihlášení | Registrace
×
napište » Zprávičky
inzerujte » Pracovní nabídky
    iPhone 17e a iPad Air s čipem M4
    včera 21:44 | IT novinky

    Apple představil iPhone 17e a iPad Air s čipem M4.

    Ladislav Hagara | Komentářů: 0
    Gram 1.0
    včera 21:11 | Zajímavý software

    Byla vydána verze 1.0 editoru kódů Gram. Jedná se o fork editoru Zed bez telemetrie a umělé inteligence.

    Ladislav Hagara | Komentářů: 0
    Oznámena spolupráce GrapheneOS s Motorolou
    včera 20:33 | IT novinky

    Byla oznámena spolupráce GrapheneOS s Motorolou. Podrobnosti v tiskové zprávě. GrapheneOS (Wikpedie) je varianta Androidu zaměřující se na bezpečnost a soukromí.

    Ladislav Hagara | Komentářů: 0
    Armbian 26.2.1
    včera 02:22 | Nová verze

    Armbian, tj. linuxová distribuce založená na Debianu a Ubuntu optimalizovaná pro jednodeskové počítače na platformě ARM a RISC-V, ke stažení ale také pro Intel a AMD, byl vydán ve verzi 26.2.1. Přehled novinek v Changelogu.

    Ladislav Hagara | Komentářů: 0
    Začaly volby do Rady openSUSE
    včera 02:11 | Komunita

    Volí se dvě místa v Radě openSUSE. Seznamte se se čtyřmi kandidáty. Členové projektu openSUSE mohou hlasovat od 1. do 8. března. Výsledky budou oznámeny 9. března.

    lkocman | Komentářů: 1
    OpenAI uzavřela dohodu s Pentagonem
    1.3. 19:22 | IT novinky

    Společnost OpenAI uzavřela dohodu s americkým ministerstvem obrany o poskytování technologií umělé inteligence (AI) pro utajované sítě americké armády. Firma to oznámila několik hodin poté, co prezident Donald Trump nařídil vládě, aby přestala využívat služby společnosti Anthropic.

    Ladislav Hagara | Komentářů: 9
    Pentagon označil Anthropic za bezpečnostní riziko
    1.3. 13:33 | IT novinky

    Technologická společnost Anthropic v noci na dnešek oznámila, že se obrátí na soud kvůli rozhodnutí ministerstva obrany označit ji za bezpečnostní riziko dodavatelského řetězce poté, co nevyhověla jeho požadavkům týkajícím se používání umělé inteligence (AI). Prezident Donald Trump krátce před tím uvedl, že nařídil federálním úřadům postupně ukončit využívání jejích AI technologií. Spor mezi firmou vyvíjející chatbot Claude a

    … více »
    Ladislav Hagara | Komentářů: 11
    Zemřel Rob Grant, spolutvůrce kultovního sci-fi seriálu Červený trpaslík
    28.2. 15:44 | Upozornění

    Zemřel Rob Grant, spolutvůrce kultovního sci-fi seriálu Červený trpaslík.

    Ladislav Hagara | Komentářů: 8
    iPhone a iPad získávají certifikaci pro práci s utajovanými informacemi NATO
    27.2. 17:33 | IT novinky

    Apple oznámil, že iPhone a iPad jako první a jediná zařízení pro koncové uživatele splňují požadavky členských států NATO na zabezpečení informací. Díky tomu je možné je používat pro práci s utajovanými informacemi až do stupně „NATO Restricted“, a to bez nutnosti instalovat speciální software nebo měnit nastavení. Žádné jiné běžně dostupné mobilní zařízení tak vysokou úroveň státní certifikace dosud nezískalo.

    Ladislav Hagara | Komentářů: 20
    Netflix ustoupil v bitvě o Warner Bros, slavná studia tak může převzít Paramount
    27.2. 13:00 | IT novinky

    Americký provozovatel streamovací platformy Netflix odmítl zvýšit nabídku na převzetí filmových studií a streamovací divize konglomerátu Warner Bros. Discovery (WBD). Netflix to ve čtvrtek oznámil v tiskové zprávě. Jeho krok po několikaměsíčním boji o převzetí otevírá dveře k akvizici WBD mediální skupině Paramount Skydance, a to zhruba za 111 miliard dolarů (2,28 bilionu Kč).

    Ladislav Hagara | Komentářů: 20
    Centrum | Napsat | Starší
    navrhněte » Anketa
    Které desktopové prostředí na Linuxu používáte?
     (17%)
     (6%)
     (0%)
     (12%)
     (27%)
     (2%)
     (5%)
     (2%)
     (13%)
     (26%)
    Celkem 991 hlasů
     Komentářů: 25, poslední 3.2. 19:50
    Rozcestník
    AbcLinuxu
    HDmag.cz
    AbcLinuxu:/ Poradna / Linuxová poradna / DNS failover
    Štítky: CentOS, distribuce, DNS, domény, firewall, Internet, IPv4, ISP, tom, traffic

    Dotaz: DNS failover

    21.5.2019 15:03 Tomas3 | skóre: 20
    DNS failover
    Přečteno: 846×
    Zdravím všechny,

    měl bych dotaz ohledně DNS failoveru. Mám dva servery s CENTOS 7, domény registrovány na Wedosu. Mám 3 připojení k internetu a od každého ISP pár veřejných IPv4 adres. Firewall mám nakonfigurován tak, že když vypadne jeden poskytovatel, přesměruje traffic na druhého. Ale jak docílit toho, aby když je nedostupná určitá IP z internetu, aby mi traffic z internetu šel na funkční veřejnou IP. Asi by se to dalo řešit DNS failoverem a tak mě zajímá, řešil jste to někdy někdo? nechci ručně měnit DNS záznamy u domén a tak bych potřeboval nějaký levný a spolehlivý automat. Děkuji Tom
    Nástroje: Začni sledovat (0) ?Zašle upozornění na váš email při vložení nového komentáře.

    Odpovědi

    21.5.2019 16:17 MP
    Rozbalit Rozbalit vše Re: DNS failover
    Cloudflare.
    21.5.2019 16:55 Nereknu | skóre: 23 | Neřeknu:)
    Rozbalit Rozbalit vše Re: DNS failover
    Zrovna minulý týden jsem to řešil. A zatím jsem zvolil víc A záznamů u domény - sice druhá linka je slabší, ale pro to nejdůležitější to zas tak nijak extra nevytěžuje a ty méně důležité věci (které ale mají větší průtoky) prostě chvíli nepojedou.

    22.5.2019 08:22 Tomas3 | skóre: 20
    Rozbalit Rozbalit vše Re: DNS failover
    Děkuji, to mě taky napadlo, ale nikde jsem nezjistil, jak přesně více A záznamů funguje. Znamená to, že když nebude dostupná první IP v A záznamu, že to zkusí znovu pod druhou IP adresou? Myslel jsem, že to funguje jako ping, když bych totiž dal ping na název domény (subdomény), náhodně mi najde jednu z IP v A záznamu a tu bude pingat, podle mě, když bude jedna IP adresa z DNS záznamů nedostupná a zrovna si ji ping vybere, tak ping na ní nebude fungovat. Nebo to nyní funguje už i tak, že když pošlu ping, tak mi bude odpovídat vždy jen dostupná IP? Nerad bych to nastavil a pak zjistil, že polovině uživatelů služby nefungují, když nebude fungovat jedna z IP v DNS záznamu.
    22.5.2019 15:01 Pepan
    Rozbalit Rozbalit vše Re: DNS failover
    jak přesně více A záznamů funguje: roundrobin když bude jedna IP adresa z DNS záznamů nedostupná a zrovna si ji ping vybere, tak ping na ní nebude fungovat: ano
    Max avatar 21.5.2019 17:20 Max | skóre: 72 | blog: Max_Devaine
    Rozbalit Rozbalit vše Re: DNS failover
    Povolit u všech veřejných IP komunikaci s tím, že je dobré, aby i odchozí traffic odcházel směrem odkud bylo navázáno spojení.
    Pro všechny veřejné IP nastavit shodné dns záznamy. Tzn. nasadit DNS Round Robin

    Následně můžeš spoléhat na klientskou fci failoveru, kdy web browser když nenačte web z první IP v pořadí, zkusí další.
    Toto se ale týká web prohlížečů a není to úplně ideální failover. Pokud budeš poskytovat něco jiného (jiné služby, než webové), tak těžko říci, jaká podpora pro dns failover tam bude.

    Další možností je hodit si někam proxynu (např. haproxy). V rámci haproxy můžeš kontrolovat, zda zdroj žije (můžeš si na to napsat vlastní pravidla) a pokud ne, bude směrovat provoz na další server v pořadí, nebo dočasně server vyřadí z load balancing listu a až bude IP žít, zase automaticky bude směrovat provoz.

    Další možností je využít nějakého poskytovatele proxy služeb, co toto bude dělat za tebe (odpadne ti VM s haproxy), tzn. třeba ten Cloudflare.

    Další možností je použít DNS Round Robin v kombinaci s DynDNS. Tzn. že si budeš kontrolovat, zda IP žije, pokud ne, smázneš dns záznam pro tu konkrétní IP a zbytek necháš. Až IP bude žít, zase dns záznam přidáš. Wedos má nějaké API pro práci s DNS. Lze si to tedy naskryptovat.

    Zdar Max
    Měl jsem sen ... :(
    22.5.2019 08:25 Tomas3 | skóre: 20
    Rozbalit Rozbalit vše Re: DNS failover
    Děkuji, z vnitřní sítě do internetu to tak mám nastaveno. Ale řeším například SMTP server a další některé služby. Psal jsem v příspěvku výše, že jsem kdysi zkoušel více A záznamů, ale když jsem dal ping na název domény, tak mi to občas vybralo IP adresu, která byla nedostupná a ping mi neodpovídal, při dalším spuštění pingu to šlo na druhou IP, která zase fungovala. Dle tvého příspěvku to opravdu tak asi funguje, jen né v internetovém prohlížeči, který zkusí více IP adres, je to tak? Právě se mi zdá nejlepší zbůsob kontrola, jestli žije tato IP a když ne, nějakým API nebo službou změním IP adresu na funkční a jede se dál. Jenže i kdyby bylo v DNS TTL na 1 vteřinu, myslím si, že to není 100% způsob, protože většina poskytovatelů (ISP) bude mít nastavené cachování.
    Max avatar 22.5.2019 08:33 Max | skóre: 72 | blog: Max_Devaine
    Rozbalit Rozbalit vše Re: DNS failover
    Samozřejmě, minimálně ttl bývá 15min s tím, že existuje spousta routerů, které mají v sobě dns cache nastavenou natvrdo na třeba 24h.
    Jak jsem napsal, řešením je malá haproxy na stabilní infratruktuře někde v housingu, případně komerční poskytovatel proxy řešení jako např. ten Cloudflare.
    Zdar Max
    Měl jsem sen ... :(
    22.5.2019 11:08 MP
    Rozbalit Rozbalit vše Re: DNS failover
    15min? To tezko :) Staci se podivat na TTL u apple/facebook a ruznych cdn. Taky jsme na to doplatili treba u Cisco ASA...

    Pokud se jedna o sluzby mimo prohlizece, tak bych na klientsky dns failover nevsadil ani zlamany petnik, takze jedina cesta je reverzni L4 proxy v housingu ci Cloudflare apod., pokud se clovek nechce delat s PI.
    Max avatar 22.5.2019 11:47 Max | skóre: 72 | blog: Max_Devaine
    Rozbalit Rozbalit vše Re: DNS failover
    Tak 15min / 900s bývá nejnižší možná hodnota u poskytovatelů dns. Kdo má vlastní, může si nastavit menší ttl. Nebo si může najít poskytovatele, který to umožňuje.
    Každopádně jak už jsem řekl a ty též, dns failover není bezpečné řešení a nemusí to být vůbec řešení pro nehttp služby.
    Zdar Max
    Měl jsem sen ... :(
    22.5.2019 13:03 alkoholik | skóre: 40 | blog: Alkoholik
    Rozbalit Rozbalit vše Re: DNS failover
    S 5 minutami nebyva sebemensi problem.
    21.5.2019 18:23 PetebLazar
    Rozbalit Rozbalit vše Re: DNS failover
    Nebyl Internet navržen tak, že do jednoho bodu (IP adresy) nemusí vést jen jedna možná cesta?
    Max avatar 21.5.2019 18:41 Max | skóre: 72 | blog: Max_Devaine
    Rozbalit Rozbalit vše Re: DNS failover
    A jak to koncový uživatel asi tak ovlivní? Tebou popsané řešení je věcí ISP a poskytovatelů peeringů, ne?
    Zdar Max
    Měl jsem sen ... :(
    21.5.2019 20:57 PetebLazar
    Rozbalit Rozbalit vše Re: DNS failover
    Toho jsem si vědom. Zajímalo by mne, kolik by taková služba mohla dnes řádově stát.
    21.5.2019 18:44 NN
    Rozbalit Rozbalit vše Re: DNS failover
    To ale neplati pro unicast..
    vencour avatar 21.5.2019 19:27 vencour | skóre: 56 | blog: Tady je Vencourovo | Praha+západní Čechy
    Rozbalit Rozbalit vše Re: DNS failover
    Tak jako tak pokud je více uplinků tak musí jít odpověď v rozsahu toho subnetu, na kerý šel dotaz.
    Ty nejhlubší objevy nečekají nutně za příští hvězdou. Jsou uvnitř nás utkány do vláken, která nás spojují, nás všechny.
    21.5.2019 20:52 j
    Rozbalit Rozbalit vše Re: DNS failover
    To pujde, ale nemusi jit tou linkou ze ktere dorazil request. Bydefault bez dalsiho totiz naprosto bez problemu projde pres libovolnej router paket s libovolnou src (a dst pochopitelne). Tudiz pokud mas IPcka A a B, a posles k providerovi A paket se SRC B, tak to minimalne v 50% naprosto vpohode projde. Opacne uz pochopitelne nikoli, protoze onen provider nezna cestu k B.

    Parkrat sem takhle resil oblibene tema asymetrie linek ... ;D, tzn nastavil sem to tak zcela umyslne.

    --- BTW: Je to mimo jiny jeden ze zpusobu jak prostrelit NAT zvenku, a primarni duvod toho proc NAT naprosto nijak neresi jakoukoli bezpecnost site, ba naopak, vyrazne ji zhorsuje, protoze napsat spravne pravidla v situaci, kdy se IPcka paketu kvuli NATu v prubehu routovani menej muze byt celkem slusny peklo.
    vencour avatar 22.5.2019 06:59 vencour | skóre: 56 | blog: Tady je Vencourovo | Praha+západní Čechy
    Rozbalit Rozbalit vše Re: DNS failover
    To, že to ve většině případů jde, neznamená, že to půjde vždy.
    Mimochodem fakt by mne zajímalo, jestli všichni asymetrický routing nebo kolizní subnet považují za malichernost.
    Ty nejhlubší objevy nečekají nutně za příští hvězdou. Jsou uvnitř nás utkány do vláken, která nás spojují, nás všechny.
    22.5.2019 13:02 alkoholik | skóre: 40 | blog: Alkoholik
    Rozbalit Rozbalit vše Re: DNS failover
    To pujde, ale nemusi jit tou linkou ze ktere dorazil request. Bydefault bez dalsiho totiz naprosto bez problemu projde pres libovolnej router paket s libovolnou src (a dst pochopitelne). Tudiz pokud mas IPcka A a B, a posles k providerovi A paket se SRC B, tak to minimalne v 50% naprosto vpohode projde. Opacne uz pochopitelne nikoli, protoze onen provider nezna cestu k B.
    Tak tohle je jeden z nejvetsich blabolu, ktere jsi tu kdy vyplodil.
    22.5.2019 17:32 j
    Rozbalit Rozbalit vše Re: DNS failover
    Pise totalni trotl netusici ani zbla o fungovani IP.
    23.5.2019 10:38 alkoholik | skóre: 40 | blog: Alkoholik
    Rozbalit Rozbalit vše Re: DNS failover
    Kolik BGP routeru spravujes? Tusis vubec, k cemu je mnt-routes v route objectu v RIPE db?
    To, co popisujes, je normalni spoofovani adres a to zadny normalni ISP ve svoji siti nechce.
    23.5.2019 16:24 trekker.dk | skóre: 72
    Rozbalit Rozbalit vše Re: DNS failover
    To, co popisujes, je normalni spoofovani adres a to zadny normalni ISP ve svoji siti nechce.
    normální příčetný. Bohužel bych řekl, že normálnímu ISP je to dost často fuk a ošetřené to nemá. Což samozřejmě neznamená, že by to někdo měl využívat nebo se na to dokonce spolehnout.
    Quando omni flunkus moritati
    23.5.2019 17:41 alkoholik | skóre: 40 | blog: Alkoholik
    Rozbalit Rozbalit vše Re: DNS failover
    V zadnem pripade se na to spolehnout neda, protoze to stejne ustreli prvni BGP router na tranzitu.
    23.5.2019 17:51 trekker.dk | skóre: 72
    Rozbalit Rozbalit vše Re: DNS failover
    protoze to stejne ustreli prvni BGP router na tranzitu
    Kdyby tohle byla vždycky pravda, tak nefungují syn flood apod. útoky ze spoofnutých adres.
    Quando omni flunkus moritati
    21.5.2019 20:44 j
    Rozbalit Rozbalit vše Re: DNS failover
    To hodne zalezi na tom, ceho chces dosahnout. Pokud ti nevadi, ze se klienti budou ruzne pripojovat na ruzny IP, tak je naprosto koser proste uvest vic A/AAAA zaznamu. Normalne se to chova tak, ze DNS serviruje ty zaznamy v "nahodnym" poradi, a klient zacne tou prvni a pokud nefunguje, mel by zkusit druhou a dalsi.

    Pokud mas svuj dns, tak muzes ovlivnit i to poradi, pripadne muzes nabizet ruzny IP podle toho odkud jde dotaz ...

    Samozrejme ve vsech DNSlike resenich plati, ze v okamziku vypadku se spojeni rozpadne. Coz muze a nemusi byt problem.

    ----

    Ovsem pokud to chces vyresit spravne, tak presne k tomu slouzi PI adresy. Jinak receno, tvoji ISP slouzi jako dorucovatele dat ... ale IPcka mas pro vsechny stejne. Oni jen vypropaguji tvuj rozsah a prohlasi, ze k nemu znaji cestu. Ktera se ve skutecnosti pouzije pokud jich funguje vic, zalezi na spouste okolnostech.

    Rucni zmena DNS je ti uplne naprd, uvedom si, ze DNS se cachuje, a cache muze zit desitky hodin ale i dny.
    22.5.2019 13:53 Tomas3 | skóre: 20
    Rozbalit Rozbalit vše Re: DNS failover
    Ano, to já chápu a proto to nechci dělat ručně a ani s ohledem na cachování DNS u poskytovatelů. Hledám možnosti. Obávám se, že mi poskytovatelé neproroutují IP adresu konkurence a naopak. Právě bych se nejraději vzdal i více A záznamů v DNS a raději to udělal tak, že bych měl nějakou adresu (CNAME), která by v případě výpadku šla na jinou IP adresu. Tento CNAME bych zadal k doménám do DNS. Takže kdyby vypadl první server, šlo by to přes druhou IP, která by se rychle v tomto názvu změnila, problém je, že jsme zase u DNS a jak to někdo z ISP nacachuje, tak to postrádá smysl :( Nastuduji ten cloudfare, jak by měla fungovat ona proxy. Děkuji
    22.5.2019 17:51 j
    Rozbalit Rozbalit vše Re: DNS failover
    IP != PI = provider independent. Tzn mas SVOJE adresy (ale nejsi opravnen je poskytovat komukoli dalsimu = routovat je verejne, nejsi clenem ripe ...), a naprosto kazdej ISP ti je naroutuje. Samozrejem je tu hromada takyisp zamestnavajicich vsemozny trotly, a mezi nez muzes zaradit trebas toho o par postu vejs, ktery vubec netusej o cem je rec.

    Kazdej ISP je pak schopen ti takovy adresy zaridit (neco za to pochopitelne zaplatis). Na 4ce to bude pochopitelne uz asi smolik, ale na 6tce naprosto vpohode.

    Konkurencni adresu ti nenaroutuje predevsim proto, ze kdyby vypropagoval /32, tak ho nekdo prijde osobne zastrelit.

    V DNS se NIC rychle nezmeni. Takhle to vubec nefunguje, a CNAME ti vubec nijak nepomuze. Cname je alias, pokud se zeptam rekneme na www.abclinuxu.cz, tak zjistim, ze je to CNAME pro abclinuxu.cz, a ten ma A 171.25.221.158.

    A presne tohle si ulozi muj resolver do cache - na jak dlouho zalezi na SOA a taky na me, protoze to muzu klido zcela ignorovat (trebas proto, ze provozovatel primarniho NS je trotl a ma tam nesmyslne malo ... ). Obecne se ale bavime jiste o hodinach, kdy bude trvat nez se LIBOVOLNA zmena v DNS realne projevi vsude.

    Muzes samozrejem vyuzivat proxy, cimz si jen vyrobis dalsi SPOF. Co budes delat, az ti pojde ta?

    Jednoduse pocitej s tim, ze pokud chces zajistit nejaky sluzbe nejakou dostupnost, tak potrebujes internet, ne prijeni k necemu bez adres a routovani.
    23.5.2019 10:31 alkoholik | skóre: 40 | blog: Alkoholik
    Rozbalit Rozbalit vše Re: DNS failover
    Konkurencni adresu ti nenaroutuje predevsim proto, ze kdyby vypropagoval /32, tak ho nekdo prijde osobne zastrelit.
    Zadne strileni se neprovozuje. Jenom ti neblizsi pricetny router prefix delsi nez /24 odignoruje.
    22.5.2019 18:04 vakus
    Rozbalit Rozbalit vše Re: DNS failover
    Skus sa pozriet u Hetznera na Failover IP.
    24.5.2019 10:17 iwk
    Rozbalit Rozbalit vše Re: DNS failover
    Ides na to spravne. Ten update DNS sa da spravit automaticky - dynamicke dns (http://www.google.com/search?client=opera&q=dynamic+dns) Bud cez nejaku sluzbu (napr. noip) alebo aj priamo mikrotik ma vlastnu implementaciu (https://wiki.mikrotik.com/wiki/Manual:IP/Cloud). Pozri, ci nieco priamo nepodporuje tvoj firewall, ak je to nejaka krabicka. Asi najednoduchsie riesenie.

    Fungovat to bude tak, ze domeny (www) si nasmerujes na nejaky ten alias (CNAME), ktory sa automaticky updatne, ked sa konektivta prepne na zalohu.

    Druha moznost je si podobnu sluzbu na nejakej domene postavit sam. AWS route53 vie robit healtcheck a vracat IP iba pre dostupne resources. https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/dns-failover-configuring.html.

    Tu na blogu to jeden clovek vysvetluje aj obrazkami https://www.virtualtothecore.com/load-balancing-services-with-aws-route53-dns-health-checks/

    Ako uz ini poznamenali, pri dns failovere moze byt delay kvoli TTL (minuta 1 minimum) a treba ratat s tym, ze niekomu kto ignoruje nastavenie tychto nizkych TTL, sa moze javit sluzba nedostupna aj dlhsie. Ale to uz je problem ignorantov :D

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Píšeme jinde
    ISSN 1214-1267   www.czech-server.cz
    Redakce | Inzerce | Podmínky použití | Osobní údaje
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.