12 votos

¿Forma correcta de configurar DNS primaria/secundaria /... para la reducción de la redundancia y la latencia?

Pensé DNS primario/secundario para propósitos de redundancia en forma directa. Mi entendimiento es que usted debe tener un primario y al menos uno secundario, y que debe configurar su secundaria en un geográficamente ubicación diferente, pero también detrás de un router distinto (véase, por ejemplo, http://serverfault.com/questions/48087/why-are-there-several-nameservers-for-my-domain)

Actualmente, disponemos de dos servidores de nombre, tanto en nuestro centro de datos principal. Recientemente, hemos sufrido algunos cortes por diversas razones que llevaron a cabo ambos servidores de nombre, y de izquierda a nosotros y a nuestros clientes sin trabajo DNS para un par de horas. Le he pedido a mi equipo de sysadmin para finalizar la configuración de un servidor DNS en otro centro de datos y configurarlo como servidor de nombres secundario.

Sin embargo, nuestros administradores de sistemas afirman que esto no ayuda mucho si el otro centro de datos no es al menos tan confiable como el centro de datos principal. Afirman que la mayoría de los clientes todavía no mirar correctamente, o el tiempo de espera demasiado largo, cuando el centro de datos principal es hacia abajo.

Personalmente, estoy convencido de que no somos la única compañía con este tipo de problema y que lo más probable es que ya es un problema resuelto. No me puedo imaginar a todas aquellas empresas de internet están siendo afectadas por nuestro tipo de problema. Sin embargo, no puedo encontrar buena documentación en línea que explican lo que sucede en la insuficiencia de los casos (por ejemplo, los tiempos de espera del cliente) y cómo trabajar alrededor de ellos.

Qué argumentos se pueden utilizar para hacer agujeros en nuestros administradores de sistemas de razonamiento ? En línea de recursos que puede consultar para comprender mejor los problemas a los que afirman que existen ?

Algunas notas adicionales después de leer las respuestas:

  • estamos en Linux
  • hemos adicional complicado DNS necesidades de nuestros entradas DNS son manejadas por algunos software a la medida, con BIND actualmente como esclavos de un Trenzado de implementación de DNS, y algunos puntos de vista en la mezcla también. Sin embargo, de que somos completamente capaces de establecer nuestros propios servidores DNS a otro centro de datos.
  • Estoy hablando de DNS autorizado para la gente de afuera para encontrar nuestros servidores, no servidores DNS recursivos para nuestros clientes locales.

4voto

Joe Puntos 1343

No es muy buena, aunque bastante técnico de las "Mejores Prácticas" de documentos que pueden ser útiles en la lucha contra su administrador de sistemas. http://www.cisco.com/web/about/security/intelligence/dns-bcp.html

Si él/ella no reconocen la validez de los artículos escritos por Cisco, entonces usted podría dejar de discutir con la función sysadmin - subir un nivel de gestión.

Muchas otras de las "Mejores Prácticas" documento recomienda la separación de su primaria y secundaria de los servidores de nombres no sólo por el bloque IP, pero por la ubicación física. De hecho, RFC 2182 recomienda que el DNS secundario de servicios separados geográficamente. Para muchas empresas, esto significa que el alquiler de un servidor en otro centro de datos, o suscribirse a un alojado de proveedor de DNS, tales como ZoneEdit o UltraDNS.

3voto

Avery Payne Puntos 11379

Sin embargo, nuestros administradores de sistemas afirman que este no ayuda mucho si los demás datos el centro no es al menos tan fiable como el centro de datos principal. Dicen que la mayoría de los clientes que aún no buscar correctamente, o el tiempo de espera demasiado de largo, cuando el centro de datos principal es abajo.

Ah, el enfoque es confiable. Suena como que está tomando una estocada a su vínculo con el exterior, en lugar de la configuración de DNS secundario. De todos modos, ¿ configurar DNS secundario y continuar desde allí. Va a ayudar con la carga y la proposición cosas en un apuro...pero, no preguntar por qué se piensa que la otra ubicación no es confiable.

Personalmente, estoy convencido de que estamos no la única empresa con este tipo de problema y que lo mas probable es que ya un problema resuelto. Yo no puedo imagino que todas aquellas empresas de internet siendo afectadas por nuestro tipo de problema.

No eres la única compañía, y esto ha sido, probablemente, campean un millón de veces en las empresas de todo el mundo.

Sin embargo, no puedo encontrar buena documentación en línea que explique lo que sucede en la insuficiencia de los casos (por ejemplo, los tiempos de espera del cliente) y cómo trabajar alrededor de ellos.

Qué argumentos se pueden utilizar para hacer agujeros en nuestros administradores de sistemas de razonamiento ? Cualquier recursos en línea que puedo consultar a comprender mejor los problemas a los que se reclamación de existir ?

  • Estoy hablando de DNS autorizado para la gente de afuera para encontrar nuestros servidores, no servidores DNS recursivos para nuestro local clientes.

Usted puede hacer todo tipo de cosas, incluyendo la configuración de un DNS externo de servicio que está registrado como la autoridad de la zona, pero en secreto haciendo el exterior de servidores autoritativos de secundarios a su propio (dentro de) los servidores DNS. Esta configuración es horrible, malo, muestra que de verdad soy un mal Administrador, y un gatito muere cada vez que se los recomiendo. Pero hace dos cosas:

  • Usted obtener tu servicio de DNS para manejar el peso de la carga, la representación preguntas acerca de la capacidad de su propia (interna) de DNS como discutible.
  • Usted obtener tu servicio de DNS para permanecer mientras tu en la casa de los servidores DNS puede ser hacia abajo, así que no importa cómo confiable de su enlace es: lo que importa es cómo confiable de su DNS del proveedor de servicio .

Las razones por las que este es el mal cosa que hacer:

  • Que sería lo que se llama un "stealth de servidor de nombres", porque mientras que se muestran en sus registros de la zona, y que usted puede consultar la dirección IP para el nombre del servidor, nunca va a ser tocado por el exterior. Las consultas de los clientes nunca va a llegar a él.
  • Mientras que su DNS seguirá funcionando bien (porque su servicio alojado abordaría el tema) no significa que los sitios web que usted tiene si su conexión a internet se cae, es decir, sólo las direcciones de la mitad de la cuestión. Lo que realmente hace sonar como que hay otras cuestiones que los administradores están preocupados.

1voto

Nate Puntos 1653

Parece que el problema es que los clientes-que podría ser cualquier persona, en cualquier lugar-ver dos servidores DNS y si uno falla, o bien no de conmutación por error en el servidor secundario o hay un largo tiempo de espera antes de que ellos hagan.

Estoy de acuerdo en que los servidores DNS primario y secundario deben estar ubicadas en las diferentes instalaciones como una mejor práctica, pero no veo cómo eso se soluciona este problema en particular.

Si el cliente va a insistir en la consulta de una dirección IP específica, ignorando la secundaria, la dirección IP (o tomando un tiempo para tiempo de espera), entonces usted simplemente tiene que venir para arriba con una solución que mantiene la dirección de IP de trabajo, incluso si el servidor principal está abajo.

Algunas direcciones para explorar sería un equilibrador de carga que puede redirigir el tráfico de una dirección IP única a varios servidores en centros de datos diferentes; o tal vez de direccionamiento enrutamiento.

1voto

Salamander2007 Puntos 2242

Mientras cada uno de sus centros de datos en diferentes circuitos (idealmente con diferentes proveedores ascendentes lejos en la nube), puede configurar bastante fiable DNS con sólo los dos centros de datos. Usted simplemente necesita asegurarse de que su registrador de elección rellena el adecuado registros de adherencia a los grandes servidores en el cielo.

Nuestra instalación es:

  • 2 centros de datos físicos (independiente los circuitos, los Isp y los proveedores de nivel superior)
  • 2 física servidores de consultas en un cluster detrás de un SLB en cada instalación
  • 2 equilibrio de carga de dispositivos para servir registros específicos que queremos gestionar el equilibrio entre las dos datacetners
  • maestro oculto de acceso interno por tanto los clústeres de servidor (creo fuertemente en maestro oculto de las configuraciones de seguridad)

Esta instalación ha sido lo suficientemente eficaz como para darnos unos 5 9 es un tiempo de actividad de los últimos 6 o 7 años, incluso con el ocasional tiempo de inactividad del servidor de actualizaciones, etc. Si usted está dispuesto a gastar un par de dólares adicionales, se puede ver en la externalización del alojamiento de la zona con alguien como ultradns...

En cuanto a la carga de la conversación que KPWINC mencionado, que es 100% correcto. Si su centro de datos más pequeño no puede manejar el 100% de su carga, entonces usted está probablemente huesos de todos modos debido a la interrupción que va a ocurrir cuando menos te lo quiero =)

Puedo tomar la carga máxima de todos mis enrutadores, agregar todos ellos juntos, y luego se divide por 0,65...que es el ancho de banda mínimo que debemos tener en cada centro de datos. Puse esa regla en su lugar hace alrededor de 5 años, con algunos documentos para justificar que recogí de CCO y sobre el internet, y nunca nos ha fallado. Sin embargo, usted debe comprobar las estadísticas , al menos, trimestral. Tuvimos nuestra aumentar el tráfico de casi 3 veces entre noviembre y febrero del año pasado y yo no estaba preparado para ello. Que el lado positivo es que la situación me permitía generar algunos muy claros datos duros que dice que en el 72% de la carga en nuestro WAN circuito, nos empiezan a abandonar los paquetes. No hay justificación adicional ha sido requerido de mí para obtener más ancho de banda.

0voto

KPWINC Puntos 8349

Thomas,

Después de leer tu actualización he revisado mi post (post anterior ha de referencia para el software de Windows).

Casi suena a mí como su sysadmin(s) están diciendo que su ubicación secundaria no tiene el hardware necesario para manejar la CARGA TOTAL?

Suena como si él está diciendo, "Hey amigo, si nuestra ubicación principal (que incluye el DNS principal) va hacia abajo, a continuación, el DNS es la menor de nuestras preocupaciones, porque si COLO1 es hacia abajo, a continuación, COLO2 no puede manejar la carga de todos modos."

Si ESE es el caso, entonces le sugiero que mire por encima de su infraestructura y probar y con un mejor diseño. Esto es más fácil de decir que de hacer, sobre todo ahora que estás vivo en un entorno de producción.

Todo eso a un lado, en un mundo perfecto, COLO1 y COLO2 sería capaz de estar solo y manejar su carga.

Una vez que estaba en el lugar... el DNS es realmente nada más que tener la cantidad suficiente de servidores de DNS con la suficiente rapidez de actualización y si una parte falla puede reescribir tu DNS para que apunte a los servidores de los que están ARRIBA.

He utilizado este método en las pequeñas y de tamaño razonable de los entornos y funciona muy bien. Conmutación por error normalmente toma menos de 10 minutos.

Usted sólo tiene que asegurarse de que sus servidores DNS puede manejar la carga adicional de un corto TTL (time to live).

Espero que esto ayude.

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: