DNS failover

[infinitnet]

Naja, zur Sicherheit solltest du cURL oder Ping im Script schon etwa 3 mal hintereinander ausführen, mit etwas wie "sleep 10" dazwischen, um False-Positives vorzubeugen.

Falls du die Ergebnisse von einem Server an einen anderen weitergeben möchtest, lasse sie von dem Script in eine Datei schreiben und pipe dann den Inhalt der Datei per netcat auf den Zielserver und lasse sie dort wiederum von einem Script auslesen.

 

[d4f]

Das Script was ich aktuelle einsetze produziert fehler sprich schaltet um wenn der Server garnicht offline ist

Ich hatte ja explizit vor dieser Gefahr und dem Resultat des potentiellen Split-Brain gewarnt...

nun wie kann ich einen anderen vserver dazu bringen das dier anpingt und dann Feedback erstatt?

Die einfachste Lösung ohne grosse Änderung am Monitoring wäre STONITH, allerdings läufst du dann Risiko dass beide Hosts sich gegenseitig abschiessen.
Alternativ im Skript eine zusätzliche Zeile welche ein curl auf den vServer macht welcher wiederum zwischen beiden Server Proxy spielt.

Allerdings musst du unterscheiden zwischen vServer nicht verfügbar und Proxy-Anfrage fehlgeschlagen. Wenn der vServer nicht verfügbar ist besteht die probable Möglichkeit dass der ausführende Host selbst das Netzproblem hat

 

[Neogreen]

Ja hatte ich mir schon gedacht allerdings verstehe ich eines nicht, wir benutzen derzeit zum überwachen der Server folgende PHP Software:
http://109.169.3.236/status/

Diese Software meldet es nur wenn der Server "wirklich" ausfällt, nun das Script das alle minute den Ping ausführt schlägt aber teilweise 10-15 pro Tag Fehlalarm. Nun ist die frage warum zum teufel schlägt das eine Script so oft fehlalarm?

 

[infinitnet]

Schlägt es immer bei dem gleichen Host fehl, oder immer bei einem anderen? Falls immer auf einem anderen, könnte a.) ein Rate-Limiting von ICMP bei dem Monitoring-System vorliegen, oder b.) das Monitoring-System unter Packetloss leiden. Desweiteren würde ich fping verwenden, statt ping, da dieses dafür gedacht ist, um mehrere Hosts gleichzeitig anzupingen, wobei ping Probleme bereiten kann. Aufgrund deiner Fehlerbeschreibung würde ich mal davon ausgehen, dass es an ping statt fping liegt und du das ändern solltest.

 

[Neogreen]

Ich werde das eben anpassen, mal schauen ob es dann zuverlässiger wird.

 

[infinitnet]

Nicht vergessen die man-Page zu lesen, da man mit fping mehr Möglichkeiten hat, als mit ping.

 

[d4f]

Ebenfalls möglich ist dass das Netzwerk sporadisch unter leichtem Packet-loss leidet.
Dies ist nicht unbedingt weiter schlimm (schliesslich ist Packetloss im Internet üblich) aber ICMP-Pakete sind stateless und kommen somit nicht durch.
TCP hingegen ist resilient und korrigiert die Probleme, es dauert höchstens etwas bevor das Paket als nicht-angekommen erkannt und neu versandt wird.

 

[Neogreen]

Habe nun die Einstellungen so angepasst das das Script 5 Pings sendet, sofern 1 Antwortet gilt der Server als Online. Vorher war es eben nur 1ner. seit 3 Stunden ist ruhe, es ging ja sonst stundenweise der Alarm los.
Bei Interesse poste ich auch das Script hier relativ simpel.

 

[TerraX]

Der Ping sagt Dir aber eigentlich nur, dass die Kiste über das Netzwerk zu erreichen ist. Über die Qualität bzw. Funktionsfähigkeit der eigentlich interessanten Serverdienste ist nix gesagt.

Ich würde vom Ping ganz Abstand nehmen und einen direkten Request auf die benötigen Serverdienste machen, die eine vordefinierte Antwort liefern müssen. Damit erledigt sich dann auch der Packetloss.

 

[Neogreen]

Mal schauen ob ich das noch umbaue, aktuell funktioniert es ja.
Nur leider wenn ich den TTL auf 60 setze, dauert es immer noch Minuten bis überhaupt die Cache aktualisiert wird. Ist das normal?

 

[infinitnet]

Der Ping sagt Dir aber eigentlich nur, dass die Kiste über das Netzwerk zu erreichen ist. Über die Qualität bzw. Funktionsfähigkeit der eigentlich interessanten Serverdienste ist nix gesagt.

Ich würde vom Ping ganz Abstand nehmen und einen direkten Request auf die benötigen Serverdienste machen, die eine vordefinierte Antwort liefern müssen. Damit erledigt sich dann auch der Packetloss.

Hier muss ich zustimmen, deshalb habe ich auch cURL empfohlen und nicht ping.

Mal schauen ob ich das noch umbaue, aktuell funktioniert es ja.
Nur leider wenn ich den TTL auf 60 setze, dauert es immer noch Minuten bis überhaupt die Cache aktualisiert wird. Ist das normal?

Nicht alle Nameserver halten sich an die TTL. Teste beispielsweise die von Google, statt denen von deinem ISP.

 

[Joe User]

Es gab/gibt auch NICs die eine Mindest-TTL vorschreiben.
Desweiteren ist ein Failover per DNS dermassen langsam, dass man in der gleichen Zeit das gesamte System neu aufsetzen kann.

Unabhängig davon möchte ich nochmals darum bitten, vom Rumspielen mit dem Nameserver im Livebetrieb endlich Abstand zu nehmen und die entsprechende Dokumentation und die relevanten RFCs zu lesen und zu verstehen.

 

[Neogreen]

@Joe User ich habe schon geschaut das ich die bind Server sicherer bekomme, ich spiele mit den teilen definitiv nicht rum sofern ich nicht weis was ich tuhe.

 

[Joe User]

Stimmt, in Deinem anderen Thread zum Thema zeigst Du Dein Fachwissen ja eindrucksvoll.
Also entschuldige meine Fehleinschätzung und meine unangemessene Reaktion in meinem vorigen Post.