Reverse proxy/vpn hardware 24/7

[Darkhunter]

Ahoj,
momentálně máme dva servery, kde jeden dělá reverse proxy i pro ten druhý, což znamená, že když máme maintenance nebo se tam něco děje, tak nám nejede vlastně ani jeden server.
Napadlo mě tedy za router hodit nějakou malou krabičku jako RPI nebo něco takového, ale trochu se bojím, že ten downtime bude ještě větší, protože RPI není dělané na to, aby běželo 24/7.
Neexistuje něco, co se hodí přesně na tuto činnost? Reverse proxy/load balancer + VPN?
Mě napadlo, že by to mohl umět nějaký router. Tam by to mělo výhodu, že když klekne, tak nám je stejně jedno, jestli něco dalšího poběží, protože nám vůbec nepůjde internet.
Díky za rady!

[Reklama]

[Filip Jirsák]

Lepší routery to umí. Třeba Turris – Omnia nebo by to měl zvládnout i Mox. Nebo nějaký MikroTik nebo Ubiquiti.

[alex6bbc]

a proc nemuzou byt servery rovnocenne a oba delat vsechno?!

[greenlinuxguru]

RPI je dělané na běh 24x7, má mnoho průmyslových využití, teď když 2 roky nebylo k dostání ho po milionech přednostně dostávali firemní odběratelé, pohání to kde co.

Jediné na co je třeba dávat pozor je zápis na flash kartu, protože životnost flash je omezená a je to největší slabina RPI. Dá se to řešit třeba nákupem této krabičky - https://rpishop.cz/raspberry-pi-4/3085-argon-one-m2-case-pro-raspberry-pi-4.html a použít M2.SSD.SATA disk, to i zvýší výkon.

Ideální, pro opravdu nejvyšší dostupnost by ovšem byly třeba 2 malé virtuálky v AWS s Load Balancerem a Wireguardem, které by vám směřovali traffic do vnitřní sítě, pak by to byla totální jistota, ale je to také dražší řešení, i když si nemyslím, že by to vyšlo na víc jak 1.000 Kč měsíčně.

Vždy tam bude nějaký balanc mezi cenou a spolehlivostí.

[_Jenda]

Mě napadlo, že by to mohl umět nějaký router. Tam by to mělo výhodu, že když klekne, tak nám je stejně jedno, jestli něco dalšího poběží, protože nám vůbec nepůjde internet.

Ano, tak jak to popisuješ tak by měl router (například jakýkoli s OpenWRT, tam to jednoduše nakriptuješ) přepínat mezi těmi dvěma servery podle dostupnosti. Pokud potřebuješ aby ta reverzní proxy vybírala i podle hostname (TLS SNI) tak to asi bude chtít něco trochu výkonnějšího, použil bych tak jako router třeba APU2.

[Reklama]

[alfi]

Co využít něco už hotového - třeba Cloudflare? Jinak ano, oba servery musí umět totéž,  tj. nejjednodušší zduplikovat, dvě IP do DNS s krátkou TTL a podle dostupnosti měnit obsah DNS V případě plánovaného výpadku jde tu druhou proxy rozjet až podle potřeby (tohle by šlo automatizovat i pro neplánované výpadky, že v případě výpadku jedné proxy startuje nějaké VPS s druhou proxy a mění DNS.. nebude to 99,999%, ale do pár minut se samo znovu rozjede s minimem práce i nákladů)

[Filip Jirsák]

Co využít něco už hotového - třeba Cloudflare? Jinak ano, oba servery musí umět totéž,  tj. nejjednodušší zduplikovat, dvě IP do DNS s krátkou TTL a podle dostupnosti měnit obsah DNS V případě plánovaného výpadku jde tu druhou proxy rozjet až podle potřeby (tohle by šlo automatizovat i pro neplánované výpadky, že v případě výpadku jedné proxy startuje nějaké VPS s druhou proxy a mění DNS.. nebude to 99,999%, ale do pár minut se samo znovu rozjede s minimem práce i nákladů)

To ovšem vyžaduje dvě veřejné IPv4 adresy. A já bych si tipnul, že to současné řešení s reverzní proxy je tam proto, že mají k dispozici jen jednu veřejnou IPv4 adresu a druhá by byla neúměrně drahá.

[czechsys]

V principu staci jedna verejna ipv4, udela se jako virtualni a prehazovani mezi dvema servery vyresi libovolna sluzba (keepalived a podobne), ktere to umi.

[Filip Jirsák]

V principu staci jedna verejna ipv4, udela se jako virtualni a prehazovani mezi dvema servery vyresi libovolna sluzba (keepalived a podobne), ktere to umi.

To pak ale není řešení přes externí službu jako Cloudflare, ani přes DNS, jak bylo popisováno v předchozím komentáři. A pořád potřebujete nějaké zařízení, které bude umět to přehazování virtuální IP adresy, tedy nějaký chytřejší router nebo switch (nebo to RPi).

[Exceptions]

V principu staci jedna verejna ipv4, udela se jako virtualni a prehazovani mezi dvema servery vyresi libovolna sluzba (keepalived a podobne), ktere to umi.

To pak ale není řešení přes externí službu jako Cloudflare, ani přes DNS, jak bylo popisováno v předchozím komentáři. A pořád potřebujete nějaké zařízení, které bude umět to přehazování virtuální IP adresy, tedy nějaký chytřejší router nebo switch (nebo to RPi).

ale no tak. Žádné zařízení nepotřebuješ, sám server udělá oznámení, že mu patří ta a ta IP adresa a ty si musíš jen zajistit, že to udělá v jeden okamžik jediný server (to udělají ty služby jako keepalived, které běží přímo na daných serverech). Switchi to je snad jedno úplně, ten si drží jen ARP cache.

Tohle je takové low cost řešení, funguje velice dobře. Důležité je mít tuhle IP adresu jako sekundární a každý ze serverů musí být dostupný na nějaké své primární.

[Filip Jirsák]

Na to ARP oznámení umějí zareagovat i ty nejlevnější routery či modemy?

[Exceptions]

Na to ARP oznámení umějí zareagovat i ty nejlevnější routery či modemy?

vše co jsem měl v ruce s tím funguje (např. arping -U -S), různé levné věci od ISP, různé levné mikrotiky, qnapy, asusy, vše změnu zaregistruje. Máš nějaký příklad těch, které to nedávají? Používám to často pro testování a různé virtualizace. Mám často opačný problém, nastavení ignorování neumí z těch levných skoro nikdo (alias podpora static arp table).

[Filip Jirsák]

Na to ARP oznámení umějí zareagovat i ty nejlevnější routery či modemy?

vše co jsem měl v ruce s tím funguje (např. arping -U -S), různé levné věci od ISP, různé levné mikrotiky, qnapy, asusy, vše změnu zaregistruje. Máš nějaký příklad těch, které to nedávají? Používám to často pro testování a různé virtualizace. Mám často opačný problém, nastavení ignorování neumí z těch levných skoro nikdo (alias podpora static arp table).

Tohle jsou pořád ještě značky, myslel jsem ještě na různé noname zázraky čínského průmyslu. Ale OK, už se těm  noname zázrakům dost dlouho vyhýbám, takže jsem tohle nikdy netestoval. Asi jsem vůči těm levným zařízením až příliš nedůvěřivý :-)

[Darkhunter]

Díky všem.
Pořídit druhou IP byla možnost, ale nechtěl jsem se štvát s nastavováním.
Nakonec jsem se rozhodl pro Ubiquiti UDM. Zjistil jsem, že se do toho Unifi OS můžu SSHčknout a zapnout si tam kontejnery.
Věřím, že výkonnostně to na reverse proxy + openVPN bude stačit.