У меня есть Fortigate 100D с двумя оптоволоконными соединениями BT Business Infinity, которые действуют как WAN1 и WAN2.
Линии BT поставляются с 5 статическими общедоступными IP-адресами каждая, и у меня есть DNS, размещенный через CloudFlare, указывающий на статический IP-адрес в одном из подключений WAN.
(Допустим, вы выполняете nslookup на mylesgray.com, вы увидите 217.45.201.1 как общедоступный IP-адрес).
Нам нужна избыточность для наших записей A (для размещенных веб-сайтов, VPN, ssh и т. Д.), Но очевидно, что 2 линии BT имеют 2 разных набора общедоступных IP-адресов, поэтому, если WAN1 выходит из строя, мы мертвы - нет переключения при отказе, поскольку адрес статический.
Я искал внешний отказоустойчивый DNS, но мне это кажется беспорядочным и очень неправильным (циклический перебор меня раздражает). Затем в качестве варианта появился anycast, однако Anycast, похоже, требует и весь блок / 24, или в некоторых провайдерах даже / 22. Мы используем маршрутизатор корпоративного уровня, поэтому использование BGP и т. Д. Не является проблемой.
Может ли кто-нибудь пролить свет на то, как достичь аварийного переключения для DNS A-Records, за исключением покупки блока IP-адресов / 22 или использования Round Robin DNS?
Всего пара замечаний: Anycast на самом деле не обеспечивает отказоустойчивость записи A. Вы упоминаете «внешний отказоустойчивый DNS» и roundrobin - это совсем не одно и то же. Roundrobin имеет несколько записей A для одного и того же имени хоста. Отказоустойчивость DNS заменяет одну запись A на другой IP-адрес, когда ссылка обрывается, и, в идеале, меняет ее обратно, когда ссылка восстанавливается.
Как упоминает Лукас, аварийное переключение DNS обычно не лучший способ сделать это по причинам, которые он упоминает. Это действительно работает для большинство пользователей, но есть задержка с кэшированием и DNS-серверами, которые игнорируют TTL, что повлияет на время переключения на альтернативный IP-адрес.
Если вы хотите продолжить этот путь, существуют различные сторонние службы DNS (DNSMadeEasy, Amazon Route 53 и многие другие), которые предоставляют эту услугу. Некоторые из различных балансировщиков ссылок (PepLink, Baraccuda) также могут выполнять одну из разновидностей аварийного переключения DNS, если они действуют как ваш DNS-сервер. В зависимости от вашей среды также возможно, что вы также можете написать собственный сценарий, который проверяет состояние ваших ссылок и при необходимости обновляет IP-адреса.
BGP не предоставит вам никакого облегчения, если вы не владеете и не управляете собственным блоком ASN и IP-адресов. Идеальным решением было бы обратиться к вашим местным региональным интернет-реестрам (RIPE / ARIN / и т. Д.) Для получения вашего собственного IP-блока и ASN и запустить свои собственные маршрутизаторы для объявления маршрута из соответствующей ссылки.
Выполнение аварийного переключения с записями DNS считается плохой практикой некоторыми администраторами, потому что:
У записей DNS есть время жизни, которое нужно балансировать между производительность (высокий TTL = долгое кеширование) и обновить поведение (низкий TTL = изменения распространяются быстрее).
Некоторые DNS-клиенты и рекурсивные серверы (например, ISP) имеют тенденцию полностью игнорировать значения TTL или устанавливать свои собственные.
AFAIK, минимальный TTL CF составляет 5 минут (по крайней мере, на бесплатных аккаунтах).
Я сам не работаю со службами BT, но есть ли возможность переместить IP-адреса между двумя восходящими линиями связи? Однако я не уверен, как это можно сделать с помощью вашей установки.
Поскольку вы не боитесь использовать BGP, вам следует вместо этого поговорить с BT, чтобы узнать, можете ли вы объявить им свои общедоступные IP-адреса с помощью BGP, тем самым обеспечивая динамическую маршрутизацию между Интернетом и вашим маршрутизатором. У вашего сервера будет только 1 IP, маршрутизируемый через ту или иную трубу.
Таким образом, не потребуется общедоступная AS или даже / 24, поскольку вы будете использовать пространство IP BT, которое будет агрегировано в их сети.
Однако они могут поддерживать опцию BGP в своем предложении Business Infinity, так что вы также можете взглянуть на Выделенные линии BT, чтобы обновить существующие ссылки.
Oни предлагать BGP4 среди их "стойкость". Однако стоимость может быть не такой, как" Business Infinity ".