Comments 65
Немного удивляет и отношение Гугла к этой ситуации, и то, что они вообще допустили такое.
+10
Как вариант, можно использовать haproxy — через него можно пробрасывать что угодно и как угодно, с разными схемами балансировки.
0
UFO just landed and posted this here
Все верно пишет Иван_83
Корпорация зла все злее…
Корпорация зла все злее…
-1
По сути своей верно — прописывать публичные ДНСы, это как надеяться что уличный фонарь будет освещать твоё окно всю жизнь без проблем.
0
Не глупы а дорожат временем. Гораздо легче пользоваться готовым и хорошо (до последнего времени) работающим сервисом, чем поднимать своё. Кроме того, ИМХО, Гугло-Яндекс ДНС это нескончаемое добро по сравнению с криво настроенными домашними резолверами.
Приватность ИМХО не самоцель. Я вообще не вижу проблем от использования публичных DNS поисковиков. При таких объёмах запросов меня никто не видит. А статистика и особенно мониторинг странных доменов со зловредами — прекрасное подспорье в защите против зловредов на уровне поисковиков.
Провайдерские ДНС местами хуже. Достаточно вспомнить Ростелеком (особенно южный филиал, где ДНС-ы ложились по лету как по часам), yota DNS-ами не баловала (не знаю как сейчас).
Кроме того в конторе на 3 виндоус машины плюс один D-Link роутеро-свич именно Гугло-Яндекс DNS позволяет (позволяло...) забыть о проблемах с DNS.
Приватность ИМХО не самоцель. Я вообще не вижу проблем от использования публичных DNS поисковиков. При таких объёмах запросов меня никто не видит. А статистика и особенно мониторинг странных доменов со зловредами — прекрасное подспорье в защите против зловредов на уровне поисковиков.
Провайдерские ДНС местами хуже. Достаточно вспомнить Ростелеком (особенно южный филиал, где ДНС-ы ложились по лету как по часам), yota DNS-ами не баловала (не знаю как сейчас).
Кроме того в конторе на 3 виндоус машины плюс один D-Link роутеро-свич именно Гугло-Яндекс DNS позволяет (позволяло...) забыть о проблемах с DNS.
+3
Согласен, без предупреждения такие вещи делать не очень корректно, но тем не менее отрицать доводы представителей «корпорации бобра», тоже тяжеловато: сейчас существует огромное количество разного рода балансировщиков нагрузок, начиная с промышленных, которые могут стоить, как самолет, заканчивая опенсорсными, как приведенный выше haproxy или более продвинутый pfsense. Почему вы хотите продолжать пользоваться «недобалансировкой» с использованием RR на DNS?
Хотя, тут могут быть и другие причины, например: некоторые пользователи могут решить, что так как данная конфигурация плохо балансирует нагрузку, то виноват в этом гугл. Решили себя обезопасить, ничего личного, «от дурака».
Хотя, тут могут быть и другие причины, например: некоторые пользователи могут решить, что так как данная конфигурация плохо балансирует нагрузку, то виноват в этом гугл. Решили себя обезопасить, ничего личного, «от дурака».
0
Пример. Есть несколько серверов, в интернет смотрит отдельный лоадбалансер. Как обеспечить отказоустойчивость балансера, кроме как дублируя его и используя RRDNS?
0
Ну гуглы сами используют anycast.
+2
Кроме RRDNS есть еще как минимум heartbeat и routed/relayd (тут точно названия не помню)
0
Это, как я понимаю, предполагает наличия собственного ДЦ.
0
Нет, ДЦ свой не нужен. Достаточно автономной системы и сетки IP-адресов.
0
Только есть нюанс, насколько я знаю — сетка, которая будет отдана под аникаст, должна быть не менее /24.
0
Все это не нужно, достаточно 1 virtual IP (ну либо решить вопрос с доступом к серверам и использовать вообще только 1 IP на несколько)
0
Не подскажете где такие раздают?
Хочу по три сервера на каждый континент поставить и этот ваш virtual IP туда как нельзя кстати бы подошел.
Про в скобках, тоже, пожалуйста, подробнее напишите, очень хочется поскорее внедрить!
Хочу по три сервера на каждый континент поставить и этот ваш virtual IP туда как нельзя кстати бы подошел.
Про в скобках, тоже, пожалуйста, подробнее напишите, очень хочется поскорее внедрить!
0
Virtual IP просите у хостера, с саппортом можно общаться ;)
Тот же Hetzner дает KVM ко всем серверам бесплатно и сразу, если сервера в одной стойке (что опять же легко получается при запросе ) то берете адреса что вам выдали и делаете их не статическими а мигрирующими
Тот же Hetzner дает KVM ко всем серверам бесплатно и сразу, если сервера в одной стойке (что опять же легко получается при запросе ) то берете адреса что вам выдали и делаете их не статическими а мигрирующими
0
Шикарная новость, а вот подскажите, можно ли будет этот KVM использовать и для раздачи файлов и для закачки?
Файлы не будут вместе с ним мигрировать?
Файлы не будут вместе с ним мигрировать?
0
Не KVM, а LaRa наверное, на время. Она убога. Во вторых. Я вот так и не смог придти к тому, как как следует при выходе одного балансера перекинуть vip на соседний сервер. Если подскажите, респект.
0
Не суть важно.
Берете любой демон типа heartbeat, главное условие чтобы между серверами был броадкаст либо юникаст (т.е. не роутинг).
На каждом сервере есть свой IP, можно их и использовать, просто каждый сервер будет для одного IP мастером.
Ну и не привязываем балансер к конкретному IP.
Или привязываете, каждый ведь волен извращаться как ему нравится ;)
Берете любой демон типа heartbeat, главное условие чтобы между серверами был броадкаст либо юникаст (т.е. не роутинг).
На каждом сервере есть свой IP, можно их и использовать, просто каждый сервер будет для одного IP мастером.
Ну и не привязываем балансер к конкретному IP.
Или привязываете, каждый ведь волен извращаться как ему нравится ;)
0
Вы точно работали с хетзнеровским v-ip или я не понимаю чего-то? Там-же на их оборудовании роутинг идёт на нужную тачку. Или, через api им сообщать, куда роутить?
0
Да, забыл уточнить. в пределах одного аккаунта, что бывает проблемой.
0
Вы вообще понимаете как работает сеть, что такое роутинг, каким образом маршрутизатор определяет на какой физический хост отправлять пакеты?
Если нет то либо сначала изучите основы либо вообще даже не пытайтесь
Если нет то либо сначала изучите основы либо вообще даже не пытайтесь
0
К сожалению тут как раз ситуация, когда есть N серверов в разных ДЦ,
разбросанных от штатов до селектела, через хетцнер… ;)
и они никак не завязны на какую-то БД или бекенд. Самодостаточны и генерируют много трафика.
haproxy и прочее точно так же будут упираться в гигабит.
разбросанных от штатов до селектела, через хетцнер… ;)
и они никак не завязны на какую-то БД или бекенд. Самодостаточны и генерируют много трафика.
haproxy и прочее точно так же будут упираться в гигабит.
+2
HSRP/VRRP/CARP
0
HA на уровне балансеров чем не устраивает? Ответ на этот вопрос еще давно за нас продумали =)
0
RoundRobin отказоустойчивости не обеспечивает — если один балансер из двух упадёт, то половина запросов отвалится.
Отказоустойчивость решается или сменой A-записи при падении узла или обеспечением отказоустойчивости самого IP например путём его анонса из разных ДЦ.
Отказоустойчивость решается или сменой A-записи при падении узла или обеспечением отказоустойчивости самого IP например путём его анонса из разных ДЦ.
0
Как вариант, использовать какие-либо health check. Мы используем от амазона и они оперативно переключают записи в dns при фейле в течение пары минут + всякие плюшки типа geo-dns.
0
UFO just landed and posted this here
Неужели одумались?
[13:49:30] → dig @8.8.8.8 google.com A
;; ANSWER SECTION:
google.com. 299 IN A 216.58.214.78
[14:00:50] → dig @8.8.8.8 google.com A
;; ANSWER SECTION:
google.com. 299 IN A 217.19.208.238
google.com. 299 IN A 217.19.208.216
google.com. 299 IN A 217.19.208.245
...
+1
Ещё бы они для самих себя устроили такую подлянку. Сами себе небось robin-ном распределяют нагрузку.
+6
На мою настройку RRDNS четыре восьмерки пока показывают разные последовательности IP при последовательных запросах. Возможно это как-то различается по разным частям гугло-инфраструктуры, так что оригинальный алярм статьи я пока не подтверждаю.
0
судя по таймштампу вы запрашивали второй раз после истечения TTL. А это — именно то, о чём написано в ОП. И это не RR.
+1
смотрите update. их двое
0
А как эту проблему решаею ВК и ФБ?
Не в плане cdn, а в плане самого сайта.
Не в плане cdn, а в плане самого сайта.
0
vk.com:
vk.com. 202 IN A 87.240.143.241
vk.com. 202 IN A 87.240.131.117
vk.com. 202 IN A 87.240.131.118
facebook.com:
facebook.com. 29 IN A 31.13.76.68
Что то мне подсказывает что у facebook настроено что то типа CARP (для freebsd) для linux не помню как называется, но есть то же похожее на уровне ядра, суть в том что 1 адрес присвоен N серверам и при падении одного хоста, адрес используется другим, ну или есть корпоративное решение такого рода.
vk.com. 202 IN A 87.240.143.241
vk.com. 202 IN A 87.240.131.117
vk.com. 202 IN A 87.240.131.118
facebook.com:
facebook.com. 29 IN A 31.13.76.68
Что то мне подсказывает что у facebook настроено что то типа CARP (для freebsd) для linux не помню как называется, но есть то же похожее на уровне ядра, суть в том что 1 адрес присвоен N серверам и при падении одного хоста, адрес используется другим, ну или есть корпоративное решение такого рода.
0
Anycast
0
А есть же ограничение на количество одновременных соединений к одному и тому же адресу? Пусть большое, но оно же есть!!!!??? И как с этим ФБ справляется?
0
Аппаратные LB, очевидно.
0
Такое ограничение есть только на клиенте. Балансировщики нагрузки по факту оперируют ip пакетами, «подсматривая» в tcp заголовки, но не устанавливают соединение сами, так что для них вообще нету такой проблемы. Серверу тоже без разницы, сколько клиентов присоединится на его порт, главное, чтобы сокетов на всех хватило. А вот клиент на каждое соединение тратит 1 эфемерный порт (теоретически, можно сэкономить и шарить один и тот же исходящий порт, если серверные адрес/порт отличаются, но так, на сколько я знаю, никто пока не делает, потому что не нужно), которых обычно выделено около 30 тысяч (net.ipv4.ip_local_port_range = 32768 61000).
0
Keepalived умеет такое.
0
Разве это не тот же Round Robin, с которым google не работает? :)
0
Довольно просто. Внутри сети используется динамическая маршрутизация, например OSPF. Внутренние балансеры траффика анонсируют маршрут на один и тот же адрес с одинаковой стоимостью, и нагрузка размазывается по ним равномерно. В случае наличия нескольких точек входа в сеть стоимость может быть и не одинаковой, ею можно перенаправлять нагрузку внутри сети.
Каждый балансер уже следит за живостью HTTP серверов и направляет траффик на них, учитывая их загрузку и прочие факторы. Может показаться, что балансеры лишние, но это не так: их можно поставить существенно меньше, чем фронтов, и они могут прокачивать через себя много траффика, 10 гигабит через одну машину — легко, а если постараться — то и 40 гигабит.
Если интересны подробности, то рекомендую прочитать статью от гугла про их Maglev: http://static.googleusercontent.com/media/research.google.com/ru//pubs/archive/44824.pdf
Каждый балансер уже следит за живостью HTTP серверов и направляет траффик на них, учитывая их загрузку и прочие факторы. Может показаться, что балансеры лишние, но это не так: их можно поставить существенно меньше, чем фронтов, и они могут прокачивать через себя много траффика, 10 гигабит через одну машину — легко, а если постараться — то и 40 гигабит.
Если интересны подробности, то рекомендую прочитать статью от гугла про их Maglev: http://static.googleusercontent.com/media/research.google.com/ru//pubs/archive/44824.pdf
0
В ЧНН начинались проблемы с загрузкой различных флешек — файлы загружались по несколько минут.Тут имеются в виду SWF файлы («флешки»)? Если для сохранения информации во флешках используют SharedObject (а они точно используют), то из-за вашего редиректа на каждый поддомен cdn'a будет свое сохранение. То есть пользователям будет казаться, что они потеряли сохранения, если попадут на новый cdn при следующем посещении и только в случае, если у пользователя динамический ip адрес, а это мобильные клиенты, да и вообще большинство домашних провайдеров — имхо таких людей будет очень много.
+1
В выдаче 8.8.8.8 порядок этих ип всегда одинаков, в отличии от ожидаемого поведения «нормального» DNS сервера:
host vk.com 8.8.8.8
Using domain server:
Name: 8.8.8.8
Address: 8.8.8.8#53
Aliases:
vk.com has address 87.240.131.118
vk.com has address 87.240.131.119
vk.com has address 87.240.131.120
vk.com has IPv6 address 2a00:bdc0:3:103:1:0:403:904
vk.com has IPv6 address 2a00:bdc0:3:103:1:0:403:905
vk.com has IPv6 address 2a00:bdc0:3:103:1:0:403:906
host vk.com 8.8.8.8
Using domain server:
Name: 8.8.8.8
Address: 8.8.8.8#53
Aliases:
vk.com has address 87.240.131.118
vk.com has address 87.240.131.119
vk.com has address 87.240.131.120
vk.com has IPv6 address 2a00:bdc0:3:103:1:0:403:807
vk.com has IPv6 address 2a00:bdc0:3:103:1:0:403:808
vk.com has IPv6 address 2a00:bdc0:3:103:1:0:403:809
vk.com mail is handled by 10 mail.vk.com.
[root@schm-dhcp ~]# host vk.com 8.8.8.8
Using domain server:
Name: 8.8.8.8
Address: 8.8.8.8#53
Aliases:
vk.com has address 87.240.131.119
vk.com has address 87.240.131.120
vk.com has address 87.240.143.241
vk.com has IPv6 address 2a00:bdc0:3:103:1:0:403:807
vk.com has IPv6 address 2a00:bdc0:3:103:1:0:403:808
vk.com has IPv6 address 2a00:bdc0:3:103:1:0:403:809
vk.com mail is handled by 10 mail.vk.com.
[root@schm-dhcp ~]# host vk.com
vk.com has address 87.240.143.241
vk.com has address 87.240.131.118
vk.com has address 87.240.131.117
vk.com has IPv6 address 2a00:bdc0:3:103:1:0:403:907
vk.com has IPv6 address 2a00:bdc0:3:103:1:0:403:908
vk.com has IPv6 address 2a00:bdc0:3:103:1:0:403:909
vk.com mail is handled by 10 mail.vk.com.
[root@schm-dhcp ~]# host vk.com
vk.com has address 87.240.131.118
vk.com has address 87.240.131.117
vk.com has address 87.240.143.241
vk.com has IPv6 address 2a00:bdc0:3:103:1:0:403:908
vk.com has IPv6 address 2a00:bdc0:3:103:1:0:403:909
vk.com has IPv6 address 2a00:bdc0:3:103:1:0:403:907
vk.com mail is handled by 10 mail.vk.com.
[root@schm-dhcp ~]# host vk.com
vk.com has address 87.240.131.117
vk.com has address 87.240.143.241
vk.com has address 87.240.131.118
vk.com has IPv6 address 2a00:bdc0:3:103:1:0:403:909
vk.com has IPv6 address 2a00:bdc0:3:103:1:0:403:907
vk.com has IPv6 address 2a00:bdc0:3:103:1:0:403:908
host vk.com 8.8.8.8
Using domain server:
Name: 8.8.8.8
Address: 8.8.8.8#53
Aliases:
vk.com has address 87.240.131.118
vk.com has address 87.240.131.119
vk.com has address 87.240.131.120
vk.com has IPv6 address 2a00:bdc0:3:103:1:0:403:904
vk.com has IPv6 address 2a00:bdc0:3:103:1:0:403:905
vk.com has IPv6 address 2a00:bdc0:3:103:1:0:403:906
host vk.com 8.8.8.8
Using domain server:
Name: 8.8.8.8
Address: 8.8.8.8#53
Aliases:
vk.com has address 87.240.131.118
vk.com has address 87.240.131.119
vk.com has address 87.240.131.120
vk.com has IPv6 address 2a00:bdc0:3:103:1:0:403:807
vk.com has IPv6 address 2a00:bdc0:3:103:1:0:403:808
vk.com has IPv6 address 2a00:bdc0:3:103:1:0:403:809
vk.com mail is handled by 10 mail.vk.com.
[root@schm-dhcp ~]# host vk.com 8.8.8.8
Using domain server:
Name: 8.8.8.8
Address: 8.8.8.8#53
Aliases:
vk.com has address 87.240.131.119
vk.com has address 87.240.131.120
vk.com has address 87.240.143.241
vk.com has IPv6 address 2a00:bdc0:3:103:1:0:403:807
vk.com has IPv6 address 2a00:bdc0:3:103:1:0:403:808
vk.com has IPv6 address 2a00:bdc0:3:103:1:0:403:809
vk.com mail is handled by 10 mail.vk.com.
[root@schm-dhcp ~]# host vk.com
vk.com has address 87.240.143.241
vk.com has address 87.240.131.118
vk.com has address 87.240.131.117
vk.com has IPv6 address 2a00:bdc0:3:103:1:0:403:907
vk.com has IPv6 address 2a00:bdc0:3:103:1:0:403:908
vk.com has IPv6 address 2a00:bdc0:3:103:1:0:403:909
vk.com mail is handled by 10 mail.vk.com.
[root@schm-dhcp ~]# host vk.com
vk.com has address 87.240.131.118
vk.com has address 87.240.131.117
vk.com has address 87.240.143.241
vk.com has IPv6 address 2a00:bdc0:3:103:1:0:403:908
vk.com has IPv6 address 2a00:bdc0:3:103:1:0:403:909
vk.com has IPv6 address 2a00:bdc0:3:103:1:0:403:907
vk.com mail is handled by 10 mail.vk.com.
[root@schm-dhcp ~]# host vk.com
vk.com has address 87.240.131.117
vk.com has address 87.240.143.241
vk.com has address 87.240.131.118
vk.com has IPv6 address 2a00:bdc0:3:103:1:0:403:909
vk.com has IPv6 address 2a00:bdc0:3:103:1:0:403:907
vk.com has IPv6 address 2a00:bdc0:3:103:1:0:403:908
-2
Написал update
Пока гипотеза сменилась.
В основном виноват Hetzner, в котором зона хостится.
Он перестал порядок записей менять и каждый раз отдает один и тот же вариант.
А гугл, в отличие от яндекса, похоже кеширует просто последовательность символов, полученную от хетцнера.
и ничего не меняя отправляет ее в ответ на запросы.
Пока гипотеза сменилась.
В основном виноват Hetzner, в котором зона хостится.
Он перестал порядок записей менять и каждый раз отдает один и тот же вариант.
А гугл, в отличие от яндекса, похоже кеширует просто последовательность символов, полученную от хетцнера.
и ничего не меняя отправляет ее в ответ на запросы.
0
По-моему в данном случае использовать split_clients не совсем правильно, лучше upstream.
0
почему?
нам надо разделить клиентов на несколько частей — split clients
А главный плюс апстрима — определение упавших бекендов тут не используется.
в качестве апстрима мы же будем указывать вирт. сервера в том же nginx
нам надо разделить клиентов на несколько частей — split clients
А главный плюс апстрима — определение упавших бекендов тут не используется.
в качестве апстрима мы же будем указывать вирт. сервера в том же nginx
0
При добавлении сервера вам придется изменять долю у всех остальных записей, нет резолва и остальных фич апстрима, плюс необходимость компиляции еще одного модуля.
0
не совсем понял, зачем тут нужен резолв и остальные фичи?
в общем затраты на конфигурацию не существенны — они одноразовые
а вот бессмысленные затраты на создание tcp-Соединений к апстримам будут на каждый запрос
в общем затраты на конфигурацию не существенны — они одноразовые
а вот бессмысленные затраты на создание tcp-Соединений к апстримам будут на каждый запрос
0
На мой взгляд, на коленке получилось более изящное и правильное решение))
0
Sign up to leave a comment.
DNS Google больше не поддерживает Round Robin DNS