Hlavní navigace

Další 10GE posílení anycastu .CZ v italském peeringovém uzlu MIX

10. 10. 2019
Doba čtení: 2 minuty

Sdílet

Dovolte mi další krátký díl našeho „nekonečného“ seriálu o zvyšování bezpečnosti provozu DNS pro .CZ doménu. Tentokrát o tom, jak jsme instalovali další uzel naší anycastové sítě. Tentokrát v Miláně.

Zřejmě proto, že jeho poslední zveřejněný díl znamenal upgrade v řádu 100 GE, a také proto, že naši administrátoři mají plné ruce práce se stěhováním do privátního sálu, tento vychází poněkud zpožděný a navíc z mé klávesnice.

Faktem ale je, že na naší mapě nodů DNS anycastu pro .CZ doménu přibyl 4. července další, tentokrát italský – umístěný konkrétně v milánském peeringovém centru MIX. Ten patří mezi dvacítku nejvýznamnějších peeringových uzlů Evropy, navíc se nám zde podařilo domluvit dobré ekonomické podmínky hostování a připojení našich technologií.

Po zkušenostech z předchozích vzdálenějších (hůře dostupných automobilem) instalací jsme volili postup, kdy jsme předkonfigurované servery poslali v předstihu přepravní službou a na jejich zapojení a zprovoznění jsme poté vyslali administrátora letecky. Předchozí varianta, kdy jsme tu druhou část domlouvali s pracovníky v peeringovém centru, se vší úctou ke snaze na obou stranách, selhávala a nevedla k rychlému dosažení cíle. Umístění serverů do připraveného racku a zapojení všech portů podle naší dokumentace je práce pro našeho technika na jedno odpoledne a výsledek si pak můžeme i zadokumentovat.

V MIXu jsme zprovoznili malý DNS stack sestávající z pětice serverů: jeden v roli management serveru, jeden v roli síťové brány a zbývající tři slouží k odbavování DNS provozu, přesně, jak je zobrazeno na tomto schématu.


Management server v pravidelných intervalech stahuje z master DNS serverů .CZ zónu a pak ji dále servíruje na jednotlivé DNS servery. Dále tu běží monitoring serverů a jejich služeb. Do tohoto serveru jsou zapojené out of band management porty zbývajících částí stacku. Na DNS servery jsme v rámci snahy o co největší diverzitu DNS anycastu zvolili NSD do role DNS daemona.

Síťovou branou je samostatný server, který má oproti zbytku stacku síťová rozhraní navíc a běží na něm BGP daemon, který do zbytku světa oznamuje naše anycastové adresy. Jako routovacího daemona jsme použili FRRouring, což je živější fork známějšího projektu Quagga. Osvědčený BIRD tentokrát ustoupil požadavku na různorodost prostředí. Z pohledu operačního systému jsme zvolili osvědčenou klasiku – distribuci Debian Stretch s backportovaným jádrem a se zkompilovanými nejnovějšími ovladači pro síťové karty. Nejnovější ovladače používáme proto, že občas bývají problémy s kompatibilitou mezi verzemi firmware síťových karet a jejich podporou v distribučních ovladačích.

Po navázání peeringu s route servery v MIXu se nám s nimi zpočátku v pravidelných intervalech spojení rozpadala a přestávala fungovat IPv6 konektivita, což se nám poměrně rychle podařilo vyřešit pomocí zvětšení route cache. Samotné zprovoznění peeringu vyžaduje často změny v konfiguraci na některé z peeringových stran nebo nutnost kontaktování peeringových partnerů z důvodu jejich absence na peeringových uzlech, případně proto, že tam neoznamují všechny prefixy. Nebylo tomu jinak ani tentokrát a tato část tedy zabrala nějaký ten den navíc.

UX DAy - tip 2

Po několika nezbytných testech jsme mohli začít oznamovat naše anycastové adresy do MIXu, přepnout celý stack do ostrého provozu a přidat tak další opěrný bod pro DNS provoz .CZ domény ve světě.


(Původně napsáno pro blog CZ.NIC.)

Byl pro vás článek přínosný?

Autor článku

Pracuje v CZ.NIC jako technický ředitel a je odpovědný zejména za provoz a rozvoj registru doménových jmen a mojeID.