Vlákno názorů k článku Pohlídejte si svého webhostera... od Dan Lukes - Martine, získat "C" rozsah IP adres ze dvou...

Martine, získat "C" rozsah IP adres ze dvou různých autonomních systémů v zasade neni zadny problem, ale neni mi uplne jasne k cemu by neco takoveho melo byt dobre. To, co se, zrejme, snazis vyresit se spravne resi ziskanim vlastniho AS a vlastnich adres a nasledne pripojenim ke dvou nezavislym poskytovatelum. I postavit jeden jmenný server v doméně CZ a druhý třeba pod COM je mozne, ale u nameserveru je spise dulezite jejich umisteni z hlediska topologie siet nez to do jake domeny patri jejich nazev - v zasade by jeden a tentyz stroj mohl mit klidne dve jmena, jedno pod .cz a druhe pod .com - a porad by to nebyl dobre reseny nameserver. Naopak, stroje, ktere se klidne mohou jmenovat ns1.bleble.cz a ns2.bleble.cz mohou byt fyzicky pripojeny na opacnych koncich sveta. Dokonce bych si troufnul odvazne tvrdit, co se tyce pojmenovani nameserveru - z hlediska dostupnosti je nejlepsi, kdyz vsechny nameservery maji jmena z jedne domeny a to te, kterou obsluhuji (a tedy je nutny GLUE). Predpokladam, ze po kratkem zamysleni je zrejme proc, nicmene, na pozadani vysvetlim.

Ja vim, clanek se musi napsat ctive. Ale se zjednodusovanim by se to nemelo prehanet - neda se uplne vyloucit, ze nekdo, kdo se v dane veci neorientuje prilis nezjisti, ze jde o velmi radikalni zjednoduseni a zacne informaci nepodstatne nebo dokonce v zasade nespravne prikladat neprimerene velky vyznam. A navic, tady se jednalo jen o priklady a ty's mohl vybrat jakkoliv - nebyl tedy duvod vybrat priklady naprosto nesmyslne ...

Dobry den,
Bohuzel jsou stale staty kde je v registraci v narodni TLD jsou potreba DNS umistene v ruznych C a co je horsi i v ruznych B.
Nicmene rada firem si s tim hlavu nelamu. Jako nejbezpecnejsi vidim umisteni v dvou ruznych domenacha v dvou ruznych TLD a geograficky a logicky naprosto oddelenych sitich.
vzdy se musim vales smichy kdyz vidim ze primarni a sekunradni DNS je v stejnem C na stejnem stroji ve stejne domene a MX je uveden jen jeden. Nu coz lidi jsou stado a nikdo je za ruku nevede.

vite nekdo o webhosting firme v cr ktera ma vlastni AS?

Žeby Globe?

Dobry den!

Globe Internet a sluzby servery.cz, domeny.cz a hosting.cz zatim vlastni AS ani IP adresy nemaji. Pro zajisteni internetove konektivity (a s ni souvisejicich IP adres) pouzivame sluzeb profesionalnich poskytovatelu pripojeni.

Sam jsem zpracoval ekonomickou studii na ziskani vlastniho AS, IP adres a internetove konektivity - jasny zaver z ni je, ze v teto chvili by tato snaha byla zbytecna a neprilis rentabilni. Predpokladam, ze v budoucnu si Globe vlastni AS a konektivitu poridi - az to bude treba.

Takovy pozadavek zrejme sleduje prave topologickou vzdalenost - i kdyz pokud uz je takovy pozadavek vynucovan, pak by bylo lepsi pozadovat, aby ony IP byly v rozdilnych AS. Rozumne topologicke rozlozeni nameserveru ej velice rozumen - a tak bych ja patrne nepouzil, tak jako vy, slovo "bohuzel". Je sice pravda, ze na funkcnosti domeny by mel mit zajem predevsim jeji provozovatel, nicmene respektuji i pravo (ja bych to nejradeji mel za povinnost) spravce nadrazene domeny trvat na tom, ze v jeho domene bude poradek (a dobre provozovane a umistene nameservery zahrnuji do tohoto pojmu).

S vasim tvrzenim, ze vidim umisteni v dvou ruznych domenach a v dvou ruznych TLD jsem vyjadril nesouhlas uz ve svem puvodnim prispevku, kde jsem take tvrdil, ze sve tvrzeni, ze nejbezpecnejsi je aby jmena nameserveru spadala primo pod obsluhovanou domenu (a tedy mely GLUE zaznamy) v pripade zajmu vysvetlim - zrejme neuskodi to udelat u bez tohoto pozadavku. Pokud jsou jemna nameserveru z obsluhovane domeny, pak delegujici nameserver musi znat (a na dotaz predavat) nejen jejich nazvy, ale take primo jejich IP, takze veskere potrebne informace ziskate najednou, na jednom miste, na jeden dotaz. Jakekoliv reseni, tedy i vami navehovane, ktere vyzaduje k zjisteni IP adres autoritativnich nameserveru vice dotazu, nebo dokonce dotazy na ruzna mista je zcela zretelne mene bezpecne reseni ...

Co se tyce webhostingove firmy s vlastnim AS - o takove nevim a mam dokonce jiste (znacne) duvodne pochybnosti, ze nejaka takova existuje.

Dane, vlastní AS nedostane každý Cendra. Velcí webhosteři jako Globe ho samozřejmě mají.

Topologii sítě ale těžko poznám klasickými nástroji jako traceroute, nslookup a podobně a ne každý se může jít podívat do serverovny. Snažil jsem se nějakým jednoduchým způsobem vysvětlit problém a asi jsem to přehnal.

Dík.

Nemaji :-) Viz prispevek vyse..

Rad bych ale upozornil, ze pro poskytovani kvalitnich a profesionalnich hostingovych sluzeb neni vlastni AS ani IP adresy nutnosti. Dodrzovani pravidel - tech, ktera jsou zminovana v clanku i dalsich - samozrejme ano.

Martine, pekne prosim, smutne koukam, kdyz pises o profesionalite, bud profesionalni take. Krome omylu, ze kterych te vyvedl Honza Panoch a ktere se daji ziskat 2 minutami prace,by to chtelo jen tak neblabolit do vetru.

Promin, ale tenhle clanek svoji kvalitou patri spise na URL, ktere jsi uvedl ve svem diskusnim prispevku - i kdyz asi ani tam ne :-( Tvoje nasledne reakce svedci o tom, ze jsi se do problematiky ANI NESNAZIL proniknout :-((( A to je VELMI SPATNE a NEPROFESIONALNI.

Mozna jeste horsi je, ze to propustil "do vysilani" editor ;-(((

Tak jsem se ted koukal do RIPE a opravdu nemaji :-( Musel jsem si to splist s nejakyma tema Globalama, Globixama a dalsima Globama.

Co presne ti teda na clanku vadi a je na nem spatne?

Vadi mi, ze pises o necem, aniz by sis zjistil pravy stav veci. Uz jsem ustoupil ze svych postoju, ze novinar musi dane problematice rozumet, ale stale jeste trvam na tom, ze by mel byt presny, pokud jde o fakticky a overitelny stav.

Dobra, nechme uz clanek clankem. Nicmene, kdyz uz tvrdis, ze vlastni AS nedostane kazdy nymand (o okolnostech podnikani pana Cendry nevim tolik, aby mi pripadalo vhodne jeho jmeno pouzivat v neprilis lichotivem kontextu), mohl bys mi rict jake si ty myslis, ze jsou podminky pro jeho prideleni a jake minimalni zvlastni podminky tedy takovy nymand musi splnit, aby mohl vlastni AS dostat (ja totiz vim vlastne jen o jedne a ta je, tedy pokud se bavime o tech, co maji dve pripojeni do ruznych siti navic jaksi takrka automaticky splnena) ?

Pro získání vlastního AS je potřeba přesvědčit LIR, protože ten o něj může požádat u RIPE, mno a přesvědčíš ho nejspíš štak, že jednak prokážes potřebu vlastního AS, jednak, že splníš požadavky na jednoduchou, respektive transparentní routovací politiku. IMHO se neda rict, ze trasparentni by znamenalo pripojeny do ruznych siti (ale neznamena to ani opak).

-- http://www.ripe.net/ripe/docs/ir-policies-procedures.html
-- ftp://ftp.ripe.net/ripe/docs/ripe-181.txt

Ale chytáš mě na něco, o čem jsem ve článku vůbec nepsal. Já nepředpokládám, že budou hosteři držet vlastní AS, ale naopak tvrdím, že by měli poskytnout dva nezávislé NS z různých AS. To se celkem dobře snese i s požadavkem, aby 1. NS ležel přímo v cílové doméně (GLUE) -- ačkoli s dnešní praxí zavádět nové domény jako CNAME, respektive vhost, se to příliš nesnáší, pokud nehovoříme o dedicated serverech.

Tenhle požadavek (nemyslím si, že bys už zapomněl, ale někteří jiní možná ano) vznáším proto, aby se zamezilo problémům, kdy počítače stojí na stejném segmentu sítě, kterej prostě vypadne (třeba někdo na vejšce v Olomouci zase vykopne kabel). Samozřejmě, že dostupnost webserveru, kterej na tom segmentu stojí, se tím příliš neřeší, ale MX by se zachránit dalo (pokud stojí na jiném segmentu).

Vlastně mě napadá i způsob, jak zachránit ten webserver: budou do něj zapíchnutý dvě síťovky, DNSka pojedou na minimální obnovovací interval a při vykopnutí jednoho segmentu se aktualizuje záznam o doméně tak, aby se použila IP adresa z toho druhého segmentu (poněvadž nepředpokládám, že by to řešily routovací tabulky). Ale to je jen takovej vtip, neni treba brat ho vazne.

Technický aspekty ale rád nechám na vás technicích, protože to neni moje parketa. Jen bych rád jako laik měl možnost nezávisle si ověřit, že nastavení všech životně důležitých systémů je OK a pak si nechat sledovat dostupnost z různých (třeba třech) nezávislých sítí.

Jasne, ze uz te chytam na neco, co v clanku nebylo (coz jsem ostatne avizoval). Nicmene, teprve ted zjistuji, ze jsem dostatecne nepochopil, ktery konkretni problem resis - text získat "C" rozsah IP adres ze dvou různých autonomních systémů ve me vyvolal jasnou predstavu jedne serverovny do ktere mas natazeny dve nezavisla pripojeni a na tech poskytujes sluzby (preci jen, clanek byl o webhosterech) - a pripojeni WWW timto zpusobem skutecne nezachranis, nebo jen velice tezko a malo spolehlive. Pokud se bavime pouze o DNS a ne o WWW serverech, tak u tech to samozrejme jde (das jim obe adresy a domenu nadelegujes na oba nameservery, obdobne pak pro MX a mail), ale v tomto pripade je zase spise vhodnejsi mit takove tva servery nejen na ruznych adresach, z ruznych AS, ale take primo fyzicky na jinych mistech.

Prepisovani zaznamu DNS neni zas az takovy vtip a je to casto jedna z realne uvazovanych moznosti - nicmene, v praxi je skutecne pomerne obtizne pouzitelna, protoze cim delsi TTL, tim delsi stredni doba propagace zmeny (a tedy presmerovani po vypadku), jenze cim kratsi TTL, tim vetsi sance nedostupnosti stroju kvuli kratkodobe nedostupnosti nameserveru (nemluve o tom, ze snizeni TTL pod stanovenou mez je v rozporu s nekterymi doporucenimi). Takze, skutecne se tohle spise nepouziva.

Kazdopadne, pokud slusny webhoster potrebuje k necemu adresy z dvou ruznych AS, pak je potrebuje k takovym vecem, kde je velice vhodne i fyzicke oddeleni (k cemu jsou ti dve nezavisla pripojeni IP, kdyz ti je buldozer prekopne obe soucasne jednim hrabnutim, nebo ti proste jen prehrabne kabel 220V - pak muzes mit pripojeni klidne i tri, a vzduchem) - a kdyz uz ma byt zalozni DNS a zalozni SMTP v jinych fyzickych porostorach, tak si troufam tvrdit, ze to uz se vyplati si ten jeden, dva stroje strcit k nekomu jinemu nez stavet druhou serverovnu. Takze webhoster vetsinou opravdu k nicemu, obvykle, ziskat adresy z ruznych AS nepotrebuje (pokud skutecne nebuduje plne zalohovane multihomed pripojeni) a to, k cemu jsi je navrhoval vyuzit neni nejlepsim moznym resenim.