V priebehu septembra sme, ako prvý operátor na Slovensku, nasadili v našich dátových centrách technológiu anycast. V tomto blogu by sme vám radi priblížili benefity nasadenia anycastu, ako aj vysvetlili základné princípy fungovania tejto technológie.
Unikátna dostupnosť pre zákazníkov našich dátových centier
Zjednodušene povedané technológia anycast zabezpečuje automatický failover služieb medzi dátovými centrami, ako aj load-balancing v rámci jedného dátového centra. Takže v prípade, že sú vaše servery umiestnené strategicky v dvoch našich dátových centrách, dôjde pri výpadku vášho servera alebo hoci aj celého dátového centra k rozpojeniu relácie medzi vašim serverom a našimi smerovačmi. Znamená to problém? Vôbec nie. Z technického hľadiska to znamená len „-1“ záznam v smerovacej tabuľke nášho upstream smerovača.
Ak sa jeden váš server stane nedostupným a máte v danom dátovom centre s rovnakou anycastovou IP adresou ďalší, nič sa nedeje. Ak sa stalo nedostupným celé dátové centrum, po niekoľkých sekundách potrebných na zneplatnenie záznamu v smerovacej tabuľke sa začnú obsluhovať požiadavky vašich serverov z druhého dátového centra.
Možnosť definovania logiky smerovania dotazov z regiónov
Ďalšou možnosťou využitia je definovať politiku mapovania požiadaviek prichádzajúcich cez rôzne peeringy do rôznych dátových centier. Na základe preferencií klienta napríklad vieme nastaviť, aby dátové centrum DC SHC3 obsluhovalo požiadavky zo slovenského / českého trhu a servery v DC Digitalise obsluhovali požiadavky klientov zo sveta. Výhodu to prináša najmä vo chvíli, keď je na vaše služby vedený útok typu DDoS z určitej lokality. Server v DC Digitalis na seba prirodzene stiahne všetky útoky vedené z tejto lokality. Server v DC SHC3 môže zatiaľ nerušene obsluhovať český a slovenský trh.
Princíp fungovania technológie anycast
Zjednodušene povedané, anycast je metóda adresovania a smerovania paketov umožňujúca existenciu duplicitných IP adries v sieti, bez ohľadu na to, či ide o sieť v rámci dátového centra alebo v rámci celého internetu.
Požiadavku klienta obsluhuje server, ktorý je k danému klientovi najbližšie. Pod pojmom najbližšie môžeme pokojne rozumieť geografickú vzdialenosť servera od klienta, no z technického hľadiska ide v skutočnosti o vzdialenosť servera, z pohľadu smerovacieho protokolu použitého v sieti. V prípade siete Internet ide najčastejšie o smerovací protokol BGPv4.
Dostupnosť služieb
Rovnakú službu v danej lokalite môže poskytovať viacero serverov s identickou anycast IP adresou. Každý z týchto serverov disponuje okrem tejto vysoko dostupnej IP adresy aj unikátnou IP adresou. Tá je určená na správu servera, monitoring a vytvorenie BGP alebo OSPF relácie so smerovačom, prostredníctvom ktorej, oznámi smerovaču prítomnosť anycast IP adresy na danom serveri. Z technického hľadiska sa z pohľadu smerovača daný server javí ako ďalší smerovač, s ktorým si vymieňa smerovacie informácie o ceste sieťou k danej anycast IP adrese.
Doba odozvy a zvýšený výkon
Ďalším prínosom technológie anycast je možnosť využitia rozloženia záťaže medzi viacero uzlov s rovnakou anycast IP adresou v danej lokalite. Tohto efektu dosiahneme vytvorením relácií viacerých serverov s daným smerovačom. Pokiaľ je vzdialenosť smerovača od týchto serverov identická, dochádza k load-balancingu, v našom prípade s využitím technológie Cisco Express Forwarding, akcelerovaného priamo na ASIC obvodoch v smerovačoch. V podstate ide o superrýchly, superdostupný a distribuovaný loadbalancer.
Zvýšenie odolnosti voči útokom
Tak ako sme spomenuli už vyššie, servery oznamujúce konkrétnu anycastovú IP adresu v danej lokalite na seba prirodzene stiahnu aj všetky útoky smerujúce na danú IP adresu pochádzajúce z rovnakého regiónu, prípadne z peeringov, cez ktoré je daná IP adresa oznamovaná.
Aktuálne je v našich dátových centrách spustených niekoľko inštancií DNS a NTP serverov s anycast IP adresovaním s cieľom poskytnúť klientom nekompromisnú mieru dostupnosti, vyššiu bezpečnosť a nižšiu dobu odozvy. V závislosti od aktuálnej polohy klienta dotazujúceho náš DNS server, odpovedajú servery z DC SHC3 alebo DC Digitalis.
Aby sme minimalizovali možnosti zneužitia služby DNS, pristúpili sme k aplikácií Fair Use Policy (FUP) vo forme rate-limit, teda k obmedzeniu kadencie požiadaviek, ktoré naše DNS servery pre konkrétneho klienta zodpovedajú. Po prekročení kritickej hranice dotazov na službu DNS, tento server prejde na komunikáciu prostredníctvom protokolu TCP, čím sa do významnej miery potlačí možnosť falšovania zdrojovej IP adresy (IP-Spoofing) a teda útokov typu DoS.
Rovnako sme pre svet sprístupnili služby NTP servera, pre synchronizáciu presného času.
Služba je dostupná na IPv4 anycast adresách:
- 217.73.17.2
- 217.73.16.2
Aj na IPv6 anycast adresách:
- 2a01:390::cafe
- 2a01:390:1::cafe
Technológia anycast prináša nový rozmer do služieb našich dátových centier – ešte vyššiu dostupnosť, rýchlejšie služby a v neposlednom rade zvýšenú bezpečnosť. Ak by ste sa radi dozvedeli viac detailov o tejto technológii, alebo chceli prebrať konkrétne možnosti využitia pre vašu spoločnosť, obráťte sa na nás. Naši špecialisti s vami radi prekonzultujú konkrétne technologické riešenia.
Tento článok bol pripravený v spolupráci s našim sieťovým špecialistom Ing. Vincentom Vlkom.