derbiba
Goto Top

Wie einen Web-Server hinter mehreren Standleitung redundant betreiben?

Zur Absicherung unserer Webserver haben wir uns eine zusätzliche Standleitung, als auch einen externen DNS-Server bei einem anderen Provider zugelegt.

Unsere einstige Idee war dabei: Fällt eine Standleitung aus, schalten wir einfach per DNS um auf die IP der zweiten Leitung.

Eigentlich ja gar keine schlechte Idee, aber die TTL-Zeiten des DNS Systems an sich verhindern damit natürlich ein zeitnahes handeln und das Cachen der Infos anderer Systeme (Router zB.) machen es hin und wieder auch (fast) unmöglich.

Unser Provider darauf angesprochen, sah als einzige Lösung einen eigenen IP-Adressblock den alle Provider bei sich einbinden müssten. Dies aber ist wohl für unser kleines Unternehmen fast nicht zu lösen.

Ach ja, es ist ein Windowsnetzwerk und Windows-Rechner/Server.

Hat wer Ideen wie man das eben sonst noch lösen könnte?
Wie machen das denn "richtige" Provider, die Ihren Kunden ja auch mehrere Server redundant abgesichert anbieten müssen (Stichwort Bagger)?
Kann man sich vielleicht solche (Dienst)leistungen auch einkaufen?

Content-ID: 202319

Url: https://administrator.de/forum/wie-einen-web-server-hinter-mehreren-standleitung-redundant-betreiben-202319.html

Ausgedruckt am: 22.12.2024 um 19:12 Uhr

ackerdiesel
ackerdiesel 25.02.2013 um 14:01:27 Uhr
Goto Top
Einen Provider suchen, mit garantierter höchst möglicher Verfügbarkeit:
Beispiele:
- Strato 99 %
- Dmsolution 99,9 %
- Profihost 99,9 %
DerBiba
DerBiba 25.02.2013 um 14:15:30 Uhr
Goto Top
Ähm ja, na klar haben wir daran gedacht, ist aber auf dem platteren Land (20km vor den Toren Frankfurts) gar nicht einfach wenn noch nicht mal genug Adernpaare von der Strasse ins Haus liegen.

Derzeit haben wir es damit gelöst, das wir eine Richtfunkanbindung als primäre Leitung und eine Adernbegrenzte Version der Telekom als sekundäre Leitung eingerichtet haben.

Soweit war das ganze natürlich schon berücksichtigt, jedoch gibt es keine Provider die dir 100% garantieren, egal was du bezahlst. Das aber will natürlich der Kunde und - wie könnte es anders sein - keinen Cent mehr dafür bezahlen face-smile
Lochkartenstanzer
Lochkartenstanzer 25.02.2013 um 14:22:00 Uhr
Goto Top
Entweder eigenes AS oder bei einem hoster unterbringen. Andere Möglichkeiten sehe ich nicht.

lks
DerBiba
DerBiba 25.02.2013 um 14:38:58 Uhr
Goto Top
AS ...?

Wiki (sorry, aber keine Ahnung was du meinen könntest):
Angel Script?
Anwendungs System?
Apple Script?
Action Script?
Autonomes System?
Amerikanisch Samoa?
Dani
Dani 25.02.2013 um 14:45:35 Uhr
Goto Top
Moin,
lkz meinte mit AS = Autonomes System.

Kostet definitv ein paar Euros.

Fällt eine Standleitung aus, schalten wir einfach per DNS um auf die IP der zweiten Leitung.
Wir haben bei einem Kunden einfach den DNS-Eintrag auf beide IP-Adressen gesetzt. D.h. bei einem nslookup wurden beide IP-Adresen angezeigt. Ist natürlich nicht das gelbe vom Ei aber es geht.
Umschaltung des DNS-Eintrags kann gute 2h bis 24h Stunden gehen.


Grüße,
Dani
Lochkartenstanzer
Lochkartenstanzer 25.02.2013 um 15:07:39 Uhr
Goto Top
Zitat von @Dani:
Moin,
lkz meinte mit AS = Autonomes System.

Sollte in diesem Kontext eigentlich eindeutig sein.

Umschaltung des DNS-Eintrags kann gute 2h bis 24h Stunden gehen.

Kommt drauf an, welche TTL man setzt. man könnte natürlich so "verrückt" sein, eine TTL von 300 nehmen (5 Min.). Aber das man üblicherweise nur in Ausnahmefällen (Serverumzug o.ä).

lks
DerBiba
DerBiba 25.02.2013 um 15:16:37 Uhr
Goto Top
Danke Dani.

Hab den Wiki mal eben überflogen und glaube darin auch die Lösungsmöglichkeit unseres ISP wiederzuerkennen. Und auch er meinte das sei die einzigste Möglichkeit unter den Umständen. Ich will und kann es nur einfach nicht glauben, dass es keine weiteren Lösungen gibt. Oft muss man sich ja nur mal mit anderen drüber unterhalten.

Aber noch ne Frage zu eurer DNS Lösung: Was passiert wenn auf IP1 wegen Ausfall der Aufruf verhallt. Wird dann sofrt die zweite IP als Alternative genutzt? Oder habt ihr dann das gleiche Problem mit der Pro...szeit (mir fällt die Bezeichnung für den Zeitraum zwischen einpflegen dem zur verfügung stehen aller nicht ein)?
DerBiba
DerBiba 25.02.2013 um 15:19:30 Uhr
Goto Top
@locher: Ja, ist klar geworden. Danke.
Dani
Dani 25.02.2013 um 15:19:49 Uhr
Goto Top
Ist schon ein wenig her.. es damals ein Mailsystem und kein Webserversystem. Daher würde es in deinem Fall in einem Timeout laufen.


Grüße,
Dani
ackerdiesel
ackerdiesel 25.02.2013 aktualisiert um 16:20:31 Uhr
Goto Top
@Dani
Beim Mailsystem ist dass auch kein Problem. Da kann man ja auch die Priorität festlagen.
Beim Webserver ein RoundRobin DNS ist keine Hochverfügbarkeitslösung. Eher im Gegenteil, wenn eine Leitung weg, dann wird die Seite schon sehr langsam.

@DerBiba
Wenn der Webserver bei Dir im Haus steht, dann Telekom Company Connect Anschluss mit einer zweiten Backupleitung.
Dani
Dani 25.02.2013 um 16:25:33 Uhr
Goto Top
Is mir klar. face-wink Ich musste aber erst im Projektordner nachschauen, da ich mir nicht mehr sicher war.
DerBiba
DerBiba 25.02.2013 um 16:45:14 Uhr
Goto Top
@ackerdiesel: TCC nutzen wir in dem Fall ja, aber eine Fallbackleitung schützt uns nur bei ausreichend Adernpaare und die gibt es leider nicht. Ausserdem wäre dann ja wieder das berühmte Baggerproblem, oder evtl. sogar schon wenn im nächsten T-Häusschen mal der Router spinnt.

Der Kunde erwartet von uns, das er während der regulären Geschäftszeiten (so 7-20h) ständig und zu 100% auf seine Daten zugreifen kann. Den Server entsprechend abzusichern ist nicht so das Problem, jedoch aber eine verlässliche Lösung für den Internetzugriff zu schaffen scheint unter unseren Umständen doch nen größeres Problem zu sein.
Rudbert
Rudbert 25.02.2013 um 18:42:15 Uhr
Goto Top
Hi,


Nur so eine idee: einen loadbalancer (bzw rootserver mit entsprechender software) in einem rz mit entsprechender verfügbarkeit anmieten und dahinter die beiden ips des servers legen?


Mfg
ackerdiesel
ackerdiesel 26.02.2013 um 07:56:34 Uhr
Goto Top
@DerBiba
Ganz ehrlich: 100% kannst du Dir abschminken. Wird Dir niemand garantieren.
Backupleitung kann durchaus auch von einem anderen Backbone kommen. Damit fällt Router oder Stromausfall bei der Telekom aus. Ich würde mir auch eher mehr gedanken um meine Server machen, als um die Internetleitung.

Wir haben einen Company Connect Anschluss hier im Haupthaus mit Backupleitung. Alle Daten werden in ein entferntes Rechenzentrum repliziert. Wenn unser Haupthaus ausfällt (Brand, Bagger, Erdbeben), können die Kunden, wie gewohnt weiter arbeiten. Sie müssen nur einen anderen Domainnamen nehmen.

Unsere Lösung kostet allerdings, da Du alles doppet bezahlst (RZ+TCC+doppelte Hardware und Software) und vielleicht nie brauchst.
ackerdiesel
ackerdiesel 26.02.2013 um 07:57:04 Uhr
Goto Top
Zitat von @Rudbert:
Hi,


Nur so eine idee: einen loadbalancer (bzw rootserver mit entsprechender software) in einem rz mit entsprechender
verfügbarkeit anmieten und dahinter die beiden ips des servers legen?


Mfg
Load Balancer hst Du ja noch einen Ausfallgrund mehr
Lochkartenstanzer
Lochkartenstanzer 26.02.2013 um 08:11:01 Uhr
Goto Top
Zitat von @ackerdiesel:
Load Balancer hst Du ja noch einen Ausfallgrund mehr

Mußt Du den halt redundant auslegen face-smile

lks
Lochkartenstanzer
Lochkartenstanzer 26.02.2013 um 08:24:23 Uhr
Goto Top
Noch eine Alternative fällt mir ein:

  • Mietet Euch zwei Server (können auch virtuell sein) die dann Redundant als VPN-Brückenkopf dienen.

  • Bei Euch stellt Ihr einen Multiport-Router auf, der sich per VPN auf diesen redundanten VPN-Server verbindet.

  • Der VPN-Server leitet alles übers VPN zu euch ins Netz.

lks

PS: Ist der Server überhaupt redundant, wenn Ihr schon auf die Anbindung so wert legt?
DerBiba
DerBiba 26.02.2013 um 11:08:45 Uhr
Goto Top
Also die Server sind nicht unser Problem und hätte ich sicherlich sonst mit in den Post aufgenommen. Sondern wirklich nur Standortgebunden, mit all denn Einschränkungen eben, unsere Standleitungsanbindungen.

Das Auslagern von Server in irgendein Rechnenzentrum geht aus logistischen und vertragsrechtlichen Gründen leider nicht. Somit fallen natürlich simple Lösungen wie outsourcen eben weg. Aber auf solche Ideen kamen wir natürlich auch bereits und wurden dann leider eingebremst.

@locher: Das mit deiner VPN Lösung ist mir noch nicht ganz klar geworden wie du das gemeint hast, bzw. wie das unser Probem lösen kann. Aber soweit ich es bereits verstanden zu haben glaube, hört es sich eben nach noch viel mehr Möglichkeiten an, die ausfallen könnten. Von VPN-Verbindung unterbrochen bis hin zu Router im Ar*beep* ist da dann doch alles dabei und macht mich nicht sooo glücklich. Wollte ich mir doch nicht noch mehr schlaflose Nächte machen als eh schon vorkommen, weisste? ;)

@Rudbert: Also zB. bei "Provider-X" ne HE anmieten und dort einen entsprechenden Router auf die beiden IPs laden lassen. Den könnte man auch noch redundant auslegen und notfalls den Provider in die Pflicht nehmen. Hey, das sollte doch machbar sein und klingt auch total simpel. Fast schon wieder zu einfach? Das werde ich nachher mal im Meeting fallen lassen und schauen was die Kollegen dazu sagen.

Hast du vielleicht noch ne Hausnummer was uns das kosten würde und ob es das auch für mehrere Server bzw. Kunden gibt? Also bestenfalls einen redundanten Router der mehrere Kundenserver bedienen könnte, max. 1 HE groß ist, kaum Strom verbraucht und nen Apfel und nen Ei kostet. Ja ja, ok, ich höre schon auf zu träumen ;) und werde mal eben ein wenig telefonieren.
Lochkartenstanzer
Lochkartenstanzer 26.02.2013 aktualisiert um 11:30:21 Uhr
Goto Top
Zitat von @DerBiba:

@locher: Das mit deiner VPN Lösung ist mir noch nicht ganz klar geworden wie du das gemeint hast, bzw. wie das unser Probem
lösen kann. Aber soweit ich es bereits verstanden zu haben glaube, hört es sich eben nach noch viel mehr
Möglichkeiten an, die ausfallen könnten. Von VPN-Verbindung unterbrochen bis hin zu Router im Ar*beep* ist da dann doch
alles dabei und macht mich nicht sooo glücklich. Wollte ich mir doch nicht noch mehr schlaflose Nächte machen als eh
schon vorkommen, weisste? ;)


Ganz einfach:

  • Du hast zwei (oder mehr) VPN-Server bei einem Hoster.
  • Diese haben eine (oder mehrere) IP-Adressen die sie sich teilen und die jeweils dem "aktiven" Server gehört (z.B. mit linux und heartbeat einfach zu machen).
  • Dein Multiportrouter baut einen Tunnel zu dieser IP-Adresse auf. Entweder über die default-leitung oder über den Fallback.
  • Dein VPN-Router tunnelt alles was auf die "öffentliche" ip-Adresse komtm einfach zu Deinem LAN/Server durch.

Effekt:

  • Der VPN-Server ist redundant ausgelegt und daduch kann einer Ausfallen und die IP-Adresse ist immer noch erreichbar.
  • Durch den tunnel mit dem Multiport-Router hast Du dich gegen den Ausfall einer(!) Leitung abgesichert. Ggf. kannst Du sogar eine UMTS-Verbindung dazubauen, falls die kabelgebundenen Verbindungen wegbrechen.
  • Dein Server ist imme rüber die gleiche IP-Adresse erreichbar.
  • Der Server steht immer noch bei Dir im Haus.

lks

PS: Ist sichergestellt, daß die bdeien Kabel, Die euch ans Internet anbinden über verschiedene Trassen laufen? Wäre nicht das erste Mal, daß ein Bagger beide Kabel auf einmal erwischt. face-smile


PPS: Ist im Prinzip sowas wie ein Loadbalancer, nur daß Du damit sogar Verbindung zu Systemen hinter NAT-Routern hast, wenn Du die Tunnel ordentlich konfigurierst.
DerBiba
DerBiba 26.02.2013 um 12:13:14 Uhr
Goto Top
PS: Ist sichergestellt, daß die bdeien Kabel, Die euch ans Internet anbinden über verschiedene Trassen laufen?
Wäre nicht das erste Mal, daß ein Bagger beide Kabel auf einmal erwischt. face-smile

Ich sag einfach mal so "Ja": ISP1 kommt per Richtfunk aus dem Norden und ISP2 per Kabel aus dem Süden. Da muss dann schon nen echt großer Bagger sein, der uns dann so noch erwischen kann ;)

Strom ist auch redundant mit eigenem Dieselkraftwerk auf der genau entgegengesetzen Gebäudeseite über den der Strom normal ins Haus kommt. Und eigentlich hat bisher alles immer subbi funktioniert und es wurde alles bedacht und gemacht was möglich ist. Nur die Sache mit der Standleitung wurde bisher eher Stiefmütterlich behandelt.

Dabei hatten wir zu beginn uns auch mal auf dem DNS Server ein Script einbinden lassen, welches die Verfügbarkeit mittels Ping und Tracert Werten reverenziert hat und entsprechend den Ergebnissen dann den DNS automatisch von der einen zur anderen IP umgeschaltet hat. Hat aber nie so wirklich gut funktioniert und war auch eher am DNS schon falsch angepackt. Aber man lernt ja aus seinen Fehlern.

Ich konnte dem VPN Prinzip glaube ich jetzt auch folgen. Allerdings ist da ja dann doch echt wieder sehr viele Möglichkeiten für Ausfallgründe enthalten und sowas wie wir das brauchen, sollte man dann bestimmt besser mit so wenig Fehlerquellen wie möglich umsetzen. Trotzsdem aber Danke für deine Mühe und dein Hirnschmalz face-smile

Hab mal spontan bei zwei Providern angerufen und versuche mal Hausnummern für die Kosten zu ermitteln. Poste ich dann mal
DerBiba
DerBiba 26.02.2013 um 12:26:46 Uhr
Goto Top
Erster Rückruf mit gar nicht so tollem Ergebnis: Die Lösung mit dem LBR ebi einem Provider draussen würde rund 10.000 Euro Einrichtung kosten, zzgl. laufender Kosten. Darin enthalten wären dann redundante LB-Router und redundante Anbindung der Router. Und trotzallem bleiben diese als Flaschenhalslösung über und selbst der Provider empfahl mir dann in dem Fall (bei fast gleichen Kosten) eher ein eigenes IP-Netz zu beantragen.
Lochkartenstanzer
Lochkartenstanzer 26.02.2013 um 12:31:32 Uhr
Goto Top
Zitat von @DerBiba:
Allerdings ist da ja dann doch echt wieder sehr viele Möglichkeiten
für Ausfallgründe enthalten und sowas wie wir das brauchen, sollte man dann bestimmt besser mit so wenig Fehlerquellen
wie möglich umsetzen. Trotzsdem aber Danke für deine Mühe und dein Hirnschmalz face-smile


Gern geschehen. Aber habt Ihr euch auch für den Fall abgesichert, daß euch ein der Himmel (oder nur ein Meteorit wie letztens in Russland) auf den Kopf fällt? Oder der große Bagger einfach durch euer Gebäude fährt? face-smile

lks
DerBiba
DerBiba 27.02.2013 um 11:32:42 Uhr
Goto Top
Ja aber na klar doch, was denkst denn du? *g* Dafür haben wir eine 2pt große Klausel im Vertrag mit weisser Tinte eingefügt, die da lautet: "Jeglicher Schietdreck der uns passiert, zugefüg wird, oder wiederfährt und den wir nicht verhindern konnten, wollten, oder sollten darf uns ganz gepflegt am Ar.. Arm, am ARM! vorbeigehen" Der Kunde hat halt bloß mit Transparenztinte drunter geschrieben: "Abba net beim Indernett un am Sörwer" und nun sind wir im Ar*hust*
;)

Von USV bis hin zum eigenen automatischen Diesel über doppelte Klima bis hin zum replikationsfähigem Zweitstandort mit bombensicherem Datenschutzzentrum fürs Backup ist schon alles umgesetzt. Nur eben keine vernünftige Lösung mit den beiden Standleitungen. Warum auch? War bisher ja auch fast nie ausgefallen face-smile
plueschtiger
plueschtiger 27.02.2013 um 13:41:33 Uhr
Goto Top
Ich versteh die Ausgangssituation nicht so ganz... aber wäre da z. B. ein Linux vServer im Netz mit Iptables und NAT nicht die einfachste Lösung?

der vServer bekommt den DNS eintrag mit www.deinefirma.de
iptables bekommt die regeln alle anfragen auf port 80 an deine 1. IP weiterzuleiten (NAT)
parallel dazu prüft ein script / tool / programm die Verfügbarkeit dieser IP (ping, snmp o. ä.)
wenn diese für X Sekunden / Minuten nicht erreichbar ist wird iptables angewiesen diese weiterleitung auf die andere ip vorzunehmen

da ihr ja nen dns server irgendwo im nirvana stehen habt könnte man ja die weiterleitung auf den host vornehmen

leitung1.deinefirma.de -> 1. IP-Adresse
leitung2.deinefirma.de -> 2. IP-Adresse

vpn mit verschlüsselung wär ja unnötig, da die direkte umleitung auf IP 1 oder 2 sowieso unverschlüsselt erfolgt bzw. über SSL falls vorhanden? Und VPN die Bandbreite reduziert.


Guter Tipp? Schlechter Tipp? Ich versteh die Frage nicht :D
Lochkartenstanzer
Lochkartenstanzer 27.02.2013 um 14:33:22 Uhr
Goto Top
Zitat von @plueschtiger:
vpn mit verschlüsselung wär ja unnötig, da die direkte umleitung auf IP 1 oder 2 sowieso unverschlüsselt
erfolgt bzw. über SSL falls vorhanden? Und VPN die Bandbreite reduziert.

  • Deine Lösung hat einen SPOF.
  • Mit Deiner Lösung muß "dauernd" an iptables herumgeschraubt werden

Die VPN-Lösung hat den Vorteil, daß weder DNS noch die IP-Adresse angepaßt werden muß udn auch keine speziellen Regeln angepaßt werden müssen. Durch den Multiport-Router wird auch automatisch der "richtige" Weg gewählt.

Guter Tipp? Schlechter Tipp? Ich versteh die Frage nicht :D

Die Qualität des tipps ist imemr davon abhängig, wie weit er einen dem Ziel näherbringt. ob gut oder schlecht muß dann der TO beurteilen.

Und wenn Du die Frage nciht verstehst: einfach nochmal alles durchlesen.

lsk
plueschtiger
plueschtiger 27.02.2013, aktualisiert am 28.02.2013 um 10:48:36 Uhr
Goto Top
Zitat von @Lochkartenstanzer:
> Zitat von @plueschtiger:
> ----
> vpn mit verschlüsselung wär ja unnötig, da die direkte umleitung auf IP 1 oder 2 sowieso unverschlüsselt
> erfolgt bzw. über SSL falls vorhanden? Und VPN die Bandbreite reduziert.

  • Deine Lösung hat einen SPOF.
  • Mit Deiner Lösung muß "dauernd" an iptables herumgeschraubt werden


das kann über ein script automatisiert werden...
und bei einer garantierten uptime von 99,??? Prozent wird da vielleicht ein zweimal im jahr umgeschalten.... also wo liegt das Problem? face-smile

Die VPN-Lösung hat den Vorteil, daß weder DNS noch die IP-Adresse angepaßt werden muß udn auch keine
speziellen Regeln angepaßt werden müssen. Durch den Multiport-Router wird auch automatisch der "richtige" Weg
gewählt.


z. B. openVPN frisst bei mir bis zu 30% bandbreite, ich seh da keinen vorteil. iptables wird durch ein script konfiguriert... automatisch ... die bandbreiteneinbuße durch den alive check wären minimal...

Der Multiportrouter würde ja sowieso zum Einsatz kommen um die zwei Leitungen zu nutzen... die richtige Route wird in beiden Fällen gewählt...
DNS Einstellungen wären nur optional, man kann im iptables-script ja die IP direkt eingeben... die Frage ist nur haben beide Leitungen eine statische oder dynamische IP? Bei ner Standleitung i. R. statisch...

> Guter Tipp? Schlechter Tipp? Ich versteh die Frage nicht :D

Die Qualität des tipps ist imemr davon abhängig, wie weit er einen dem Ziel näherbringt. ob gut oder schlecht
muß dann der TO beurteilen.

Und wenn Du die Frage nciht verstehst: einfach nochmal alles durchlesen.


hab ich... mir ist nur nicht klar wie die webserver adressiert sind... es gibt blos eine ip ... also wieder nat?
oder wie siehts dahinter aus?

lsk