Wie einen Web-Server hinter mehreren Standleitung redundant betreiben?
Zur Absicherung unserer Webserver haben wir uns eine zusätzliche Standleitung, als auch einen externen DNS-Server bei einem anderen Provider zugelegt.
Unsere einstige Idee war dabei: Fällt eine Standleitung aus, schalten wir einfach per DNS um auf die IP der zweiten Leitung.
Eigentlich ja gar keine schlechte Idee, aber die TTL-Zeiten des DNS Systems an sich verhindern damit natürlich ein zeitnahes handeln und das Cachen der Infos anderer Systeme (Router zB.) machen es hin und wieder auch (fast) unmöglich.
Unser Provider darauf angesprochen, sah als einzige Lösung einen eigenen IP-Adressblock den alle Provider bei sich einbinden müssten. Dies aber ist wohl für unser kleines Unternehmen fast nicht zu lösen.
Ach ja, es ist ein Windowsnetzwerk und Windows-Rechner/Server.
Hat wer Ideen wie man das eben sonst noch lösen könnte?
Wie machen das denn "richtige" Provider, die Ihren Kunden ja auch mehrere Server redundant abgesichert anbieten müssen (Stichwort Bagger)?
Kann man sich vielleicht solche (Dienst)leistungen auch einkaufen?
Unsere einstige Idee war dabei: Fällt eine Standleitung aus, schalten wir einfach per DNS um auf die IP der zweiten Leitung.
Eigentlich ja gar keine schlechte Idee, aber die TTL-Zeiten des DNS Systems an sich verhindern damit natürlich ein zeitnahes handeln und das Cachen der Infos anderer Systeme (Router zB.) machen es hin und wieder auch (fast) unmöglich.
Unser Provider darauf angesprochen, sah als einzige Lösung einen eigenen IP-Adressblock den alle Provider bei sich einbinden müssten. Dies aber ist wohl für unser kleines Unternehmen fast nicht zu lösen.
Ach ja, es ist ein Windowsnetzwerk und Windows-Rechner/Server.
Hat wer Ideen wie man das eben sonst noch lösen könnte?
Wie machen das denn "richtige" Provider, die Ihren Kunden ja auch mehrere Server redundant abgesichert anbieten müssen (Stichwort Bagger)?
Kann man sich vielleicht solche (Dienst)leistungen auch einkaufen?
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 202319
Url: https://administrator.de/forum/wie-einen-web-server-hinter-mehreren-standleitung-redundant-betreiben-202319.html
Ausgedruckt am: 22.12.2024 um 19:12 Uhr
26 Kommentare
Neuester Kommentar
Moin,
lkz meinte mit AS = Autonomes System.
Kostet definitv ein paar Euros.
Umschaltung des DNS-Eintrags kann gute 2h bis 24h Stunden gehen.
Grüße,
Dani
lkz meinte mit AS = Autonomes System.
Kostet definitv ein paar Euros.
Fällt eine Standleitung aus, schalten wir einfach per DNS um auf die IP der zweiten Leitung.
Wir haben bei einem Kunden einfach den DNS-Eintrag auf beide IP-Adressen gesetzt. D.h. bei einem nslookup wurden beide IP-Adresen angezeigt. Ist natürlich nicht das gelbe vom Ei aber es geht.Umschaltung des DNS-Eintrags kann gute 2h bis 24h Stunden gehen.
Grüße,
Dani
Sollte in diesem Kontext eigentlich eindeutig sein.
Umschaltung des DNS-Eintrags kann gute 2h bis 24h Stunden gehen.
Kommt drauf an, welche TTL man setzt. man könnte natürlich so "verrückt" sein, eine TTL von 300 nehmen (5 Min.). Aber das man üblicherweise nur in Ausnahmefällen (Serverumzug o.ä).
lks
@Dani
Beim Mailsystem ist dass auch kein Problem. Da kann man ja auch die Priorität festlagen.
Beim Webserver ein RoundRobin DNS ist keine Hochverfügbarkeitslösung. Eher im Gegenteil, wenn eine Leitung weg, dann wird die Seite schon sehr langsam.
@DerBiba
Wenn der Webserver bei Dir im Haus steht, dann Telekom Company Connect Anschluss mit einer zweiten Backupleitung.
Beim Mailsystem ist dass auch kein Problem. Da kann man ja auch die Priorität festlagen.
Beim Webserver ein RoundRobin DNS ist keine Hochverfügbarkeitslösung. Eher im Gegenteil, wenn eine Leitung weg, dann wird die Seite schon sehr langsam.
@DerBiba
Wenn der Webserver bei Dir im Haus steht, dann Telekom Company Connect Anschluss mit einer zweiten Backupleitung.
@DerBiba
Ganz ehrlich: 100% kannst du Dir abschminken. Wird Dir niemand garantieren.
Backupleitung kann durchaus auch von einem anderen Backbone kommen. Damit fällt Router oder Stromausfall bei der Telekom aus. Ich würde mir auch eher mehr gedanken um meine Server machen, als um die Internetleitung.
Wir haben einen Company Connect Anschluss hier im Haupthaus mit Backupleitung. Alle Daten werden in ein entferntes Rechenzentrum repliziert. Wenn unser Haupthaus ausfällt (Brand, Bagger, Erdbeben), können die Kunden, wie gewohnt weiter arbeiten. Sie müssen nur einen anderen Domainnamen nehmen.
Unsere Lösung kostet allerdings, da Du alles doppet bezahlst (RZ+TCC+doppelte Hardware und Software) und vielleicht nie brauchst.
Ganz ehrlich: 100% kannst du Dir abschminken. Wird Dir niemand garantieren.
Backupleitung kann durchaus auch von einem anderen Backbone kommen. Damit fällt Router oder Stromausfall bei der Telekom aus. Ich würde mir auch eher mehr gedanken um meine Server machen, als um die Internetleitung.
Wir haben einen Company Connect Anschluss hier im Haupthaus mit Backupleitung. Alle Daten werden in ein entferntes Rechenzentrum repliziert. Wenn unser Haupthaus ausfällt (Brand, Bagger, Erdbeben), können die Kunden, wie gewohnt weiter arbeiten. Sie müssen nur einen anderen Domainnamen nehmen.
Unsere Lösung kostet allerdings, da Du alles doppet bezahlst (RZ+TCC+doppelte Hardware und Software) und vielleicht nie brauchst.
Zitat von @Rudbert:
Hi,
Nur so eine idee: einen loadbalancer (bzw rootserver mit entsprechender software) in einem rz mit entsprechender
verfügbarkeit anmieten und dahinter die beiden ips des servers legen?
Mfg
Load Balancer hst Du ja noch einen Ausfallgrund mehrHi,
Nur so eine idee: einen loadbalancer (bzw rootserver mit entsprechender software) in einem rz mit entsprechender
verfügbarkeit anmieten und dahinter die beiden ips des servers legen?
Mfg
Mußt Du den halt redundant auslegen
lks
Noch eine Alternative fällt mir ein:
lks
PS: Ist der Server überhaupt redundant, wenn Ihr schon auf die Anbindung so wert legt?
- Mietet Euch zwei Server (können auch virtuell sein) die dann Redundant als VPN-Brückenkopf dienen.
- Bei Euch stellt Ihr einen Multiport-Router auf, der sich per VPN auf diesen redundanten VPN-Server verbindet.
- Der VPN-Server leitet alles übers VPN zu euch ins Netz.
lks
PS: Ist der Server überhaupt redundant, wenn Ihr schon auf die Anbindung so wert legt?
@locher: Das mit deiner VPN Lösung ist mir noch nicht ganz klar geworden wie du das gemeint hast, bzw. wie das unser Probem
lösen kann. Aber soweit ich es bereits verstanden zu haben glaube, hört es sich eben nach noch viel mehr
Möglichkeiten an, die ausfallen könnten. Von VPN-Verbindung unterbrochen bis hin zu Router im Ar*beep* ist da dann doch
alles dabei und macht mich nicht sooo glücklich. Wollte ich mir doch nicht noch mehr schlaflose Nächte machen als eh
schon vorkommen, weisste? ;)
lösen kann. Aber soweit ich es bereits verstanden zu haben glaube, hört es sich eben nach noch viel mehr
Möglichkeiten an, die ausfallen könnten. Von VPN-Verbindung unterbrochen bis hin zu Router im Ar*beep* ist da dann doch
alles dabei und macht mich nicht sooo glücklich. Wollte ich mir doch nicht noch mehr schlaflose Nächte machen als eh
schon vorkommen, weisste? ;)
Ganz einfach:
- Du hast zwei (oder mehr) VPN-Server bei einem Hoster.
- Diese haben eine (oder mehrere) IP-Adressen die sie sich teilen und die jeweils dem "aktiven" Server gehört (z.B. mit linux und heartbeat einfach zu machen).
- Dein Multiportrouter baut einen Tunnel zu dieser IP-Adresse auf. Entweder über die default-leitung oder über den Fallback.
- Dein VPN-Router tunnelt alles was auf die "öffentliche" ip-Adresse komtm einfach zu Deinem LAN/Server durch.
Effekt:
- Der VPN-Server ist redundant ausgelegt und daduch kann einer Ausfallen und die IP-Adresse ist immer noch erreichbar.
- Durch den tunnel mit dem Multiport-Router hast Du dich gegen den Ausfall einer(!) Leitung abgesichert. Ggf. kannst Du sogar eine UMTS-Verbindung dazubauen, falls die kabelgebundenen Verbindungen wegbrechen.
- Dein Server ist imme rüber die gleiche IP-Adresse erreichbar.
- Der Server steht immer noch bei Dir im Haus.
lks
PS: Ist sichergestellt, daß die bdeien Kabel, Die euch ans Internet anbinden über verschiedene Trassen laufen? Wäre nicht das erste Mal, daß ein Bagger beide Kabel auf einmal erwischt.
PPS: Ist im Prinzip sowas wie ein Loadbalancer, nur daß Du damit sogar Verbindung zu Systemen hinter NAT-Routern hast, wenn Du die Tunnel ordentlich konfigurierst.
Zitat von @DerBiba:
Allerdings ist da ja dann doch echt wieder sehr viele Möglichkeiten
für Ausfallgründe enthalten und sowas wie wir das brauchen, sollte man dann bestimmt besser mit so wenig Fehlerquellen
wie möglich umsetzen. Trotzsdem aber Danke für deine Mühe und dein Hirnschmalz
Allerdings ist da ja dann doch echt wieder sehr viele Möglichkeiten
für Ausfallgründe enthalten und sowas wie wir das brauchen, sollte man dann bestimmt besser mit so wenig Fehlerquellen
wie möglich umsetzen. Trotzsdem aber Danke für deine Mühe und dein Hirnschmalz
Gern geschehen. Aber habt Ihr euch auch für den Fall abgesichert, daß euch ein der Himmel (oder nur ein Meteorit wie letztens in Russland) auf den Kopf fällt? Oder der große Bagger einfach durch euer Gebäude fährt?
lks
Ich versteh die Ausgangssituation nicht so ganz... aber wäre da z. B. ein Linux vServer im Netz mit Iptables und NAT nicht die einfachste Lösung?
der vServer bekommt den DNS eintrag mit www.deinefirma.de
iptables bekommt die regeln alle anfragen auf port 80 an deine 1. IP weiterzuleiten (NAT)
parallel dazu prüft ein script / tool / programm die Verfügbarkeit dieser IP (ping, snmp o. ä.)
wenn diese für X Sekunden / Minuten nicht erreichbar ist wird iptables angewiesen diese weiterleitung auf die andere ip vorzunehmen
da ihr ja nen dns server irgendwo im nirvana stehen habt könnte man ja die weiterleitung auf den host vornehmen
leitung1.deinefirma.de -> 1. IP-Adresse
leitung2.deinefirma.de -> 2. IP-Adresse
vpn mit verschlüsselung wär ja unnötig, da die direkte umleitung auf IP 1 oder 2 sowieso unverschlüsselt erfolgt bzw. über SSL falls vorhanden? Und VPN die Bandbreite reduziert.
Guter Tipp? Schlechter Tipp? Ich versteh die Frage nicht :D
der vServer bekommt den DNS eintrag mit www.deinefirma.de
iptables bekommt die regeln alle anfragen auf port 80 an deine 1. IP weiterzuleiten (NAT)
parallel dazu prüft ein script / tool / programm die Verfügbarkeit dieser IP (ping, snmp o. ä.)
wenn diese für X Sekunden / Minuten nicht erreichbar ist wird iptables angewiesen diese weiterleitung auf die andere ip vorzunehmen
da ihr ja nen dns server irgendwo im nirvana stehen habt könnte man ja die weiterleitung auf den host vornehmen
leitung1.deinefirma.de -> 1. IP-Adresse
leitung2.deinefirma.de -> 2. IP-Adresse
vpn mit verschlüsselung wär ja unnötig, da die direkte umleitung auf IP 1 oder 2 sowieso unverschlüsselt erfolgt bzw. über SSL falls vorhanden? Und VPN die Bandbreite reduziert.
Guter Tipp? Schlechter Tipp? Ich versteh die Frage nicht :D
Zitat von @plueschtiger:
vpn mit verschlüsselung wär ja unnötig, da die direkte umleitung auf IP 1 oder 2 sowieso unverschlüsselt
erfolgt bzw. über SSL falls vorhanden? Und VPN die Bandbreite reduziert.
vpn mit verschlüsselung wär ja unnötig, da die direkte umleitung auf IP 1 oder 2 sowieso unverschlüsselt
erfolgt bzw. über SSL falls vorhanden? Und VPN die Bandbreite reduziert.
- Deine Lösung hat einen SPOF.
- Mit Deiner Lösung muß "dauernd" an iptables herumgeschraubt werden
Die VPN-Lösung hat den Vorteil, daß weder DNS noch die IP-Adresse angepaßt werden muß udn auch keine speziellen Regeln angepaßt werden müssen. Durch den Multiport-Router wird auch automatisch der "richtige" Weg gewählt.
Guter Tipp? Schlechter Tipp? Ich versteh die Frage nicht :D
Die Qualität des tipps ist imemr davon abhängig, wie weit er einen dem Ziel näherbringt. ob gut oder schlecht muß dann der TO beurteilen.
Und wenn Du die Frage nciht verstehst: einfach nochmal alles durchlesen.
lsk
Zitat von @Lochkartenstanzer:
> Zitat von @plueschtiger:
> ----
> vpn mit verschlüsselung wär ja unnötig, da die direkte umleitung auf IP 1 oder 2 sowieso unverschlüsselt
> erfolgt bzw. über SSL falls vorhanden? Und VPN die Bandbreite reduziert.
> Zitat von @plueschtiger:
> ----
> vpn mit verschlüsselung wär ja unnötig, da die direkte umleitung auf IP 1 oder 2 sowieso unverschlüsselt
> erfolgt bzw. über SSL falls vorhanden? Und VPN die Bandbreite reduziert.
- Deine Lösung hat einen SPOF.
- Mit Deiner Lösung muß "dauernd" an iptables herumgeschraubt werden
das kann über ein script automatisiert werden...
und bei einer garantierten uptime von 99,??? Prozent wird da vielleicht ein zweimal im jahr umgeschalten.... also wo liegt das Problem?
Die VPN-Lösung hat den Vorteil, daß weder DNS noch die IP-Adresse angepaßt werden muß udn auch keine
speziellen Regeln angepaßt werden müssen. Durch den Multiport-Router wird auch automatisch der "richtige" Weg
gewählt.
speziellen Regeln angepaßt werden müssen. Durch den Multiport-Router wird auch automatisch der "richtige" Weg
gewählt.
z. B. openVPN frisst bei mir bis zu 30% bandbreite, ich seh da keinen vorteil. iptables wird durch ein script konfiguriert... automatisch ... die bandbreiteneinbuße durch den alive check wären minimal...
Der Multiportrouter würde ja sowieso zum Einsatz kommen um die zwei Leitungen zu nutzen... die richtige Route wird in beiden Fällen gewählt...
DNS Einstellungen wären nur optional, man kann im iptables-script ja die IP direkt eingeben... die Frage ist nur haben beide Leitungen eine statische oder dynamische IP? Bei ner Standleitung i. R. statisch...
> Guter Tipp? Schlechter Tipp? Ich versteh die Frage nicht :D
Die Qualität des tipps ist imemr davon abhängig, wie weit er einen dem Ziel näherbringt. ob gut oder schlecht
muß dann der TO beurteilen.
Und wenn Du die Frage nciht verstehst: einfach nochmal alles durchlesen.
Die Qualität des tipps ist imemr davon abhängig, wie weit er einen dem Ziel näherbringt. ob gut oder schlecht
muß dann der TO beurteilen.
Und wenn Du die Frage nciht verstehst: einfach nochmal alles durchlesen.
hab ich... mir ist nur nicht klar wie die webserver adressiert sind... es gibt blos eine ip ... also wieder nat?
oder wie siehts dahinter aus?
lsk