Loading...
 
[Zobrazit/Skrýt nabídky vlevo]
[Zobrazit/Skrýt nabídky vpravo]

cetin

Pro cetin instalujeme a spravujeme rekurzivni a autoritativni dns servery. Servery jsme instalovali my. Bezi na COS7 na vmware. Jsou 2 lokality, v kazde je jeden vmware host a na nem VM. Jedna lokalita se jmenuje HOL, druha HVL.

Rekurzivni DNS je urcene pro zakazniky cetinu, autoritativni je urcene pro reverzni zony jejich IP adres. Rekurze bezi na unboundu a knot-resolveru, autoritativni na knotu a bindu. Na serverech je zapnuty selinux v modu enforcing.

Sitovani

Dost neobvykle je sitovani. DNSka jsou pojata jako anycastova. Nicmene neni nastavena stejna metrika na obou dns, takze nam jde spise o funkcnost obou DNS (resp. obou IP adres) i pri vypadku jedne z lokalit/routingu/atp. Popis dale je stejny pro ipv4 i ipv6. To je resene dynamickym routingem protokolem BGP. Oba servery maji tzv. dummy interfacy. Obe VIP adresy jsou nastavene na dvou dummy interfacech kazdeho (z dvojice) DNS, a kazdy DNS umi odpovidat na obou. Dale je na kazdem DNS spojovaci sit na mistne prislusnej router (spojovacka je unikatni). Po spojovacce bezi protokol BGP pomoci demona bird (bird6 pro ipv6) a ten pres BGP propaguje do site obe VIP adresy. Aby kazdy DNS server odpovidal primarne na sve VIP adrese, pomoci filtru se obe IP propaguji s jinou metrikou (BGP MED atribut). Tim je za bezneho provozu zajisteno, ze na kazdy DNS jde pouze traffic jeho jedne VIP adresy. Pokud je jeden ze serveru mrtvy/v updatu atp, pak jeho routa ze site zmizi a nahradi ji mene preferovana routa druheho DNS, takze stale budou obe VIP funkcni, byt obsluhovane jednim DNS serverem.

Dalsi zvlastnosti routingu je striktni oddeleni routovaci tabulky pro management/monitoring a pro samotnou aplikaci DNS. Cili na kazdem serveru jsou 2 routovaci tabulky. Statickou defaultni routu a device routy do techto tabulek nastavuje bird (kdyz uz tu je pro BGP). Pravidla pro vybrani spravne tabule jsou v /etc/rc.d/routepolicy-set (spousteno pres /etc/rc.d/init.d/routepolicy). Tam je definovano z jakych IP adres/interfacu se vybira ktera tabule.

Na kazdem DNS je lokalni firewall (pro ipv4 i ipv6), ktery je pomerne striktni. Neni povolen zadny ssh pristup na venkovnich IP (ani tam ssh neposloucha) atp. Nicmene jeste pred serverama jsou dalsi firewally ve sprave cetinu, jak na wan tak na mgmt rozhrani. Oba jsou velice striktni.

Pristup na servery (a na vmware hosty) mame pres ipsec navazany do cetinu, kde je opet povoleno nezbytne mnozstvi sluzeb, viz VPN formular v priloze. IPSEC je taky trochu zvlastni, zejmena nase IP adresa je pridelena cetinem a my na ni snatujeme pri pristupu do cetinu nase IP.

Zvenci mame povolen pro monitoring rekurzivnich NS nase IP adresy:
178.17.1.67 - linux mgmt sit
2a00:1238:2:312::/64 - linux mgmt sit
31.170.176.15 - monitoring
2a00:1238:2:336::101 - monitoring

Pristupy

Pristupy na questy i vmware hosty jsou v keepass/Cetin. V priloze je kompletni tabulka serveru vc. jmen a adresace serveru vnitrni/vnejsi.

hostname funkce primarni VIP mgm IP
TDNSR01PRAHOL03 rekurzivni DNS 85.162.162.162 172.29.61.3
TDNSR01PRAHVL08 rekurzivni DNS 85.162.162.85 172.29.62.3
TDNSA01PRAHOL03 autoritativni DNS / master 85.162.162.22 172.29.61.4
TDNSA01PRAHVL08 autoritativni DNS / slave 85.162.162.33 172.29.62.4


Zmeny reverznich zon

Pro zmeny reverznich zon pisou na domeny v(e) cetin.cz, coz je alias, kde je i linux v(e) uvt.cz, takze nam timto chodi pozadavky na zmenu reverzu. Zmena se provadi na TDNSA01PRAHOL03 ve /var/lib/knot/<zonovy soubor>. Zmeni se zona, incrementuje se serial a reloadne se knot: systemctl reload knot. Ten automaticky podepise zonu dnssecem a posle notify na slave. Je pak vhodne kouknout do messages, zda je vsecko OK.

Munin

Na TDNSA01PRAHOL03 bezi munin pro vsechny dnska, zel neni povolen z ipsecu (ani odjinud) port 80/443, takze ssh redirectem:
ssh -L5001:172.29.61.4:80 172.29.61.4 -luvt

Pristup na munin je generickej

Updaty / udrzba

Protoze jsou pouzite VIP adresy pro vsechny DNS, behem odstavky nebo updatu je zahodno shodit BGP na upstream, aby provoz prevzal druhej funkcni DNS. A to takto: 

[root@TDNSR01PRAHOL03 ~]# birdc
BIRD 1.4.5 ready.
bird> show protocols 
name     proto    table    state  since       info
kernel1  Kernel   master   up     2017-03-30  
device1  Device   master   up     2017-03-30  
direct1  Direct   master   up     2017-03-30  
p_mgmt   Pipe     t_mgmt   up     2017-03-30  => master
p_inet   Pipe     t_inet   up     2017-03-30  => master
k_mgmt   Kernel   t_mgmt   up     2017-03-30  
k_inet   Kernel   t_inet   up     2017-03-30  
s_mgmt   Static   t_mgmt   up     2017-03-30  
s_inet   Static   t_inet   up     2017-03-30  
s_master Static   master   up     2017-03-30  
DNSBGP   BGP      t_inet   up     2017-04-04  Established   

bird> disable DNSBGP 

PO UDRZBE zase

bird> enable DNSBGP


Totez pro ipv6, tzn. birdc6, zbytek stejnej.


Monitoring

Dohled aplikace je primárně zajišťován Dodavatelem a k tomu paralelně Dohledem Cetin (skupina Dohled Aplikací Sítě - DAS).

V případě detekce problému se postupuje následujícím způsobem :

a.       Problém byl detekován Dodavatelem :

a.       Dodavatel kontaktuje NMC (FD IP) a informuje jej o problému, současně informuje i skupinu Dohled Aplikací Sítě¨

b.      Pokud jde o aplikační problém, řeší jej Dodavatel, o vyřešení informuje NMC i skupinu Dohled Aplikací Sítě, skupina Dohled Aplikací Sítě ve spolupráci s Dodavatelem ověří odstranění problému

c.       Pokud jde o jiný než aplikační problém, předává Dodavatel řešení na skupinu Dohledu Aplikací Sítě, která jej informuje o řešení problému a ve spolupráci s ním ověří i jeho vyřešení.

b.      Problém byl detekován Dohledem Cetin :

a.       NMC (FD IP) je primárně informován na základě alarmu v Netcoolu, problém eskaluje na skupinu Dohled Aplikací Sítě

b.      skupina Dohled Aplikací Sítě informuje o problému Dodavatele, provede analýzu problému a podle výsledku předává k řešení na

                                                               i.      Dodavatele (problém aplikace)

                                                             ii.      HW skupinu (problém HW nebo problém virtualizační vrstvy)

                                                            iii.      Podporu sítě (problém na síťové úrovni)

c.       Po odstranění problému informuje řešitel NMC (FD IP) i Dohled Aplikací Sítě, přičemž Dohled Aplikací Sítě provede s řešitelem ověření odstranění problému



Kontakty na Cetin

V pripade ze neco nebude fungovat na strane cetinu, tak jsou kontakty:

Hlavni dohled:

CETIN NMP FD IP:
Tel: 238468961
Mail: nmc.ipcore v(e) cetin.cz

Dohled aplikaci site:


Notifikace DAS má informační charakter (primární kontakt pro nahlášení problému je NMC) a posílá se na mailovou adresu das v(e) cetin.cz

Pokud byste potřebovali komunikovat se členy skupiny DAS napřímo, posílám jejich jména, maily a mobily :

Jan Bárta, +420 606 776 002, jan.barta v(e) cetin.cz
Michal Jeřábek, +420 720 967 632, michal.jerabek v(e) cetin.cz

Created by darek. Last Modification: Čtvrtek 01 of červen, 2017 10:41:52 CEST by darek.
HistoriePrezentaceKomentáře