GoldenLine
Zaloguj się
Albert C.

Albert C. Admin od wszystkiego
:)

Temat: Jak to rozwiązać?

Witam

W firmie A stoi aplikacja dostepna pod adresem https://aplikacja.domena.pl i to wskazuje na IP 1.2.3.4 łącze A. Firma posiada drugie łącze do internetu o adresie 5.6.7.8 łącze B. Niestety na owych łączach nie da się zestawić BGP.

W przypadku awarii łącza podstawowego dla aplikacji ma ona zacząć działać łączem zapasowym B. Cały czas adres musi pozostać bez zmian.

pozdrawiam

Albert
Link do wypowiedziLink

konto usunięte

Temat: Jak to rozwiązać?

Albert Czarnecki:
Witam

W firmie A stoi aplikacja dostepna pod adresem https://aplikacja.domena.pl i to wskazuje na IP 1.2.3.4 łącze A.Firma posiada drugie łącze do internetu o adresie 5.6.7.8 łącze B. Niestety na owych łączach nie da się zestawić BGP.

W przypadku awarii łącza podstawowego dla aplikacji ma ona zacząć działać łączem zapasowym B. Cały czas adres musi pozostać bez zmian.

Łatwiejszym rozwiązaniem byłoby uczynić oba łącza głównymi.
W każdym razie jeśli adres (nazwa) ma być ten sam dla obu łączy, to zostaje zabawa dnsami - niskie TTLe rekordu, najlepiej dwa rekordy A (wtedy oba łącza równorzędne i losowość w okolicach 50/50) lub większa ilość rekordów z tych samych klas adresowych (wtedy losowość w okolicach proporcji liczby adresów łącza A do liczby adresów łacza B).
W przypadku awarii - trzeba by przestawić dnsa by nie rozgłaszał adresów padniętego łącza. Jeśli domena będzie mieć dwa rekordy NS - pierwszy o adresie 1.2.3.4, drugi o adresie 5.6.7.8, i pierwszy z dnsów będzie rozpowiadał adresy pierwszego łącza a drugi dns adresy drugiego łącza, wtedy automatycznie przy padzie jednego z łączy nowe zapytania powinny iść do drugiego łącza.
Rozwiązanie oczywiście nie gwarantuje dużej dostępności usługi, ale zawsze to jakaś alternatywa do bgp.

ps.
Jest jeszcze rozwiązanie z serwerem o gwarantowanej dostępności obsługujący adres https://aplikacja.domena.pl, który robi przekierowanie na aktualnie sprawny serwer. Ale nie o to było pytanie.
Link do wypowiedziLink
Adrian Czerniak

Adrian Czerniak Administrator
Systemów Uniksowych

Temat: Jak to rozwiązać?

http://www.linux-ha.org + mod_proxy_balancer na apache + jakiś round-robin na DNS powinny załatwić sprawę.Adrian Czerniak edytował(a) ten post dnia 12.09.08 o godzinie 20:00
Link do wypowiedziLink

konto usunięte

Temat: Jak to rozwiązać?

Wojtek Bojdoł:
Jest jeszcze rozwiązanie z serwerem o gwarantowanej dostępności obsługujący adres https://aplikacja.domena.pl, który robi przekierowanie na aktualnie sprawny serwer. Ale nie o to było pytanie.

Ja wskazuje na to rozwiązanie. Dogadać się z jednym z większych providerów na temat przekierowywania ruchu. Rozwiązanie z DNS jest zbyt bezwładne (odświeżenie u klienta może potrwać do kilkunastu godzin).
Link do wypowiedziLink
Albert C.

Albert C. Admin od wszystkiego
:)

Temat: Jak to rozwiązać?

Wojtek Bojdoł:
Albert Czarnecki:
Witam

W firmie A stoi aplikacja dostepna pod adresem https://aplikacja.domena.pl i to wskazuje na IP 1.2.3.4 łącze A.Firma posiada drugie łącze do internetu o adresie 5.6.7.8 łącze B. Niestety na owych łączach nie da się zestawić BGP.

W przypadku awarii łącza podstawowego dla aplikacji ma ona zacząć działać łączem zapasowym B. Cały czas adres musi pozostać bez zmian.

Łatwiejszym rozwiązaniem byłoby uczynić oba łącza głównymi.
W każdym razie jeśli adres (nazwa) ma być ten sam dla obu łączy, to zostaje zabawa dnsami - niskie TTLe rekordu, najlepiej dwa rekordy A (wtedy oba łącza równorzędne i losowość w okolicach 50/50) lub większa ilość rekordów z tych samych klas adresowych (wtedy losowość w okolicach proporcji liczby adresów łącza A do liczby adresów łacza B).
W przypadku awarii - trzeba by przestawić dnsa by nie rozgłaszał adresów padniętego łącza. Jeśli domena będzie mieć dwa rekordy NS - pierwszy o adresie 1.2.3.4, drugi o adresie 5.6.7.8, i pierwszy z dnsów będzie rozpowiadał adresy pierwszego łącza a drugi dns adresy drugiego łącza, wtedy automatycznie przy padzie jednego z łączy nowe zapytania powinny iść do drugiego łącza.
Rozwiązanie oczywiście nie gwarantuje dużej dostępności usługi, ale zawsze to jakaś alternatywa do bgp.

ps.
Jest jeszcze rozwiązanie z serwerem o gwarantowanej dostępności obsługujący adres https://aplikacja.domena.pl, który robi przekierowanie na aktualnie sprawny serwer. Ale nie o to było pytanie.

Niestety adres https://aplikacja.domena.pl musi wskazywac serwer u klienta poniewaz pod domene podczepione sa certyfika sslowe dla klientow. A jak dobrze rozumiem mialoby to dzialac tak ze klient wpisuje adres https://aplikacja.domena.pl i go przekierowuje np na https://aplikacja2.domena.pl

Albert
Link do wypowiedziLink

konto usunięte

Temat: Jak to rozwiązać?

Albert Czarnecki:
Niestety adres https://aplikacja.domena.pl musi wskazywac serwer u klienta poniewaz pod domene podczepione sa certyfika sslowe dla
klientow. A jak dobrze rozumiem mialoby to dzialac tak ze klient
wpisuje adres https://aplikacja.domena.pl i go przekierowuje np na https://aplikacja2.domena.pl

Zaraz zaraz... chcecie jeden certyfikat SSL dla wielu adresów IP?
Link do wypowiedziLink
Albert C.

Albert C. Admin od wszystkiego
:)

Temat: Jak to rozwiązać?

Wojtek Bojdoł:
Albert Czarnecki:
Niestety adres https://aplikacja.domena.pl musi wskazywac serwer u klienta poniewaz pod domene podczepione sa certyfika sslowe dla
klientow. A jak dobrze rozumiem mialoby to dzialac tak ze klient
wpisuje adres https://aplikacja.domena.pl i go przekierowuje np na https://aplikacja2.domena.pl

Zaraz zaraz... chcecie jeden certyfikat SSL dla wielu adresów IP?

Nie, ceryfikat wskazuje na domene aplikacja.domena.pl
Link do wypowiedziLink

konto usunięte

Temat: Jak to rozwiązać?

Albert Czarnecki:
A jak dobrze rozumiem mialoby to dzialac tak ze klient
wpisuje adres https://aplikacja.domena.pl i go przekierowuje np na https://aplikacja2.domena.pl

Zaraz zaraz... chcecie jeden certyfikat SSL dla wielu adresów
IP?

Nie, ceryfikat wskazuje na domene aplikacja.domena.pl

Czyli nie, nie chcecie jednego certyfikatu ssl używanego przez dwa adresy IP?

Przy tak zdefiniowanym problemie - jedyne rozwiązania to te oparte na DNS lub BGP. Innych nie ma.
Ja bym radził kolokację w data center - wtedy możemy zapomnieć o temacie łącza głównego i zapasowego.
Link do wypowiedziLink
Jarosław Rafa

Jarosław Rafa senior software
engineer, Motorola
Solutions Systems
Polska

Temat: Jak to rozwiązać?

Wojtek Bojdoł:

Zaraz zaraz... chcecie jeden certyfikat SSL dla wielu adresów IP?

A to certyfikat SSL jest dla adresu IP...? Od kiedy?
W polu CN certyfikatu wpisujesz adres domenowy serwera, na ktory jest wystawiony certyfikat.
Link do wypowiedziLink

konto usunięte

Temat: Jak to rozwiązać?

Jarosław Rafa:
Niestety adres https://aplikacja.domena.pl musi wskazywac serwer u klienta poniewaz pod domene podczepione sa certyfika sslowe dla
klientow.
Wojtek Bojdoł:

Zaraz zaraz... chcecie jeden certyfikat SSL dla wielu adresów IP?

A to certyfikat SSL jest dla adresu IP...? Od kiedy?
W polu CN certyfikatu wpisujesz adres domenowy serwera, na ktory
jest wystawiony certyfikat.

Wiem. Ale w wypowiedzi na którą odpowiadałem była mowa o wielu certyfikatach ssl klientów i zastanawiało mnie o co chodzi. Jeśli tylko jeden certyfikat - w rozwiązaniu z przekierowaniem koszt rozwiązania sprowadza się do zakupu 2 dodatkowych certów. Tańsze to niż bgp, lepsze niż zabawa z dnsami.
Ale po odpowiedzi autora wątku na moje pytanie już sam nie wiem o co chodzi :)
Link do wypowiedziLink
Krzysztof Królikowski

Krzysztof Królikowski
Administrator/progra
mista, Axel Springer
Polska

Temat: Jak to rozwiązać?

Jarosław Rafa:
Wojtek Bojdoł:

Zaraz zaraz... chcecie jeden certyfikat SSL dla wielu adresów IP?

A to certyfikat SSL jest dla adresu IP...? Od kiedy?
W polu CN certyfikatu wpisujesz adres domenowy serwera, na ktory jest wystawiony certyfikat.

jest wystawiany dla domeny, ale... z tego co pamiętam, to jak już podepniesz jeden certyfikat do domeny na jednym IP to już drugi certyfikat na tym samym IP nie zadziała. Pomimo, że będzie wygenerowany dla innej domeny. Cały czas będzie wysyłany ten pierwszy... kiedyś coś takiego miałem. Wojtkowi zdaje się o to chodziło w pytaniuKrzysztof Królikowski edytował(a) ten post dnia 13.09.08 o godzinie 13:42
Link do wypowiedziLink
Michal Oczak

Michal Oczak sysadmin/webdev

Temat: Jak to rozwiązać?

co do certyfikatow to liczy sie para ip+port a po drugie do kilku lat jest cos takiego jak SNI http://en.wikipedia.org/wiki/Server_Name_Indication i nawet powoli zaczyna dzialac wiec niedlugo mozna bedzie miec kilka certow na jedno ip+port
Link do wypowiedziLink
Krzysztof Królikowski

Krzysztof Królikowski
Administrator/progra
mista, Axel Springer
Polska

Temat: Jak to rozwiązać?

zjebiście :)
Link do wypowiedziLink
Rafal Lorenc

Rafal Lorenc Kierownik ds nadzoru
systemu, nazwa.pl

Temat: Jak to rozwiązać?

A nie lepiej przekonfigurować aplikację na adres:
https://foo.bar.pl - na lokalnym serwerze dns ustawić widok kierujący foo.bar.pl na adres 1.1.1.1 a na adresie 1.1.1.1 postawić haproxy, które przed połączeniem może sprawdzić dostępność jednego albo drugiego adresu IP?
W momencie braku dostępności pierwszego przełączy na drugi, a w przypadku dostępności drugiego przełączy na pierwszy?
Można również skonfigurować ilość połączeń wg 'wag'.
Link do wypowiedziLink
Jarosław Rafa

Jarosław Rafa senior software
engineer, Motorola
Solutions Systems
Polska

Temat: Jak to rozwiązać?

Krzysztof Królikowski:

jest wystawiany dla domeny, ale... z tego co pamiętam, to jak już podepniesz jeden certyfikat do domeny na jednym IP to już drugi certyfikat na tym samym IP nie zadziała. Pomimo, że będzie wygenerowany dla innej domeny. Cały czas będzie wysyłany ten pierwszy...

Tzn. dokładnie rzecz jest w tym, że dla HTTPS nie da się zrobić wirtualnych serwerów WWW rózniących się domeną, a na tym samym IP, co jest powszechną praktyką przy zwykłym HTTP np. w hostingach. A to dlatego, że w negocjacji sesji SSL serwer musi najpierw wysłać certyfikat, a dopiero potem rozszyfrowuje żądanie od klienta, dlatego nie ma możliwości kierowania się nagłówkiem "Host:" który jest w żądaniu. Dlatego muszą być albo rózne IP, albo przy tym samym IP różne porty.
Ale o ile dobrze rozumiem, to w oryginalnym pytaniu w tym wątku nie chodziło o sytuację jedno IP - dwie domeny, tylko odwrotnie - jedna domena, dwa IP. Tu nie ma żadnego problemu z certyfikatem.
Link do wypowiedziLink
Albert C.

Albert C. Admin od wszystkiego
:)

Temat: Jak to rozwiązać?

Ale o ile dobrze rozumiem, to w oryginalnym pytaniu w tym wątku nie chodziło o sytuację jedno IP - dwie domeny, tylko odwrotnie - jedna domena, dwa IP. Tu nie ma żadnego problemu z certyfikatem.

Dokladnie, jedna domena dwa rozne ip, niemoge zmienic domeny bo tak na poczatku chcialem zrobic ale klienci autoryzuja sie do www przy pomocy wlasnych sslowych certyfikatow.
Link do wypowiedziLink
« Wróć do tematów
Odpowiedz

Podobne tematy


Następna dyskusja:

Jak zaczynaliście?




Wyślij zaproszenie do
Anuluj