Projet

Général

Profil

Actions

Anomalie #3141

fermé

Permettre une résolution correcte DNS au local quand un serveur est down

Ajouté par Frédéric Couchet il y a plus de 6 ans. Mis à jour il y a environ 2 ans.

Statut:
Fermé
Priorité:
Immédiate
Assigné à:
Catégorie:
-
Version cible:
Début:
07/05/2018
Echéance:
% réalisé:

0%

Temps estimé:
Difficulté:
2 Facile

Description

Pour un changement de disque le serveur Galanga a du être éteint. La résolution DNS ne se faisait plus au local quand le serveur était down.

Il faudrait donc permettre une résolution correcte DNS au local quand un serveur April est down.

Mis à jour par Frédéric Couchet il y a plus de 6 ans

  • Description mis à jour (diff)

Mis à jour par Quentin Gibeaux il y a plus de 6 ans

Inspection : les machines du local ont guarana comme résolveur dns (via configuration DHCP), et guarana a comme résolveur DNS : lui même et 172.16.0.3 (dns.cluster.april.org). La range d'IP 172.16.0.0/16 est accessible via le VPN servi par galanga. Sans VPN il n'y a plus que 127.0.0.1 comme résolveur atteignable sur guarana.

-> configurer un unbound pour résoudre localement sur guarana ?

Mis à jour par Quentin Gibeaux il y a plus de 6 ans

Dans la conf bind de guarana, 172.16.0.3 est configuré comme forwarder, peut être faudrait-il désactiver ça.

Mis à jour par Quentin Gibeaux il y a plus de 6 ans

Ce "forwarder" semble nécessaire pour la résolution dns de la zone locale (april.org-int)

Mis à jour par Quentin Gibeaux il y a plus de 6 ans

J'ai procédé à quelques tests : l'inaccessibilité de 172.16.0.3 n'est pas le problème. Si on bloque les ports à sa destination, les rootservers sont bien interrogés.
Le problème vient plutôt du routage qui est forcé à travers le vpn qui est cassé sans galanga.

Mis à jour par François Poulain il y a plus de 6 ans

Je pense que le plus simple est probablement de coder un script cronné qui adapte la conf de bind.

Mis à jour par Quentin Gibeaux il y a plus de 6 ans

  • Assigné à mis à François Poulain
  • Version cible changé de Mai 2018 à Juin 2018

Mis à jour par François Poulain il y a plus de 6 ans

Du coup je propose la chose suivante dans un cron :
  • on ping -q -c 1 172.16.0.3
  • en cas d'échec :
    • on averti les sysadmins
    • on bascule le forwarder sur le dns de la box
    • on restart bind (pour flusher le cache)

En théorie, une fois qu'on est sur le dns de la box, tout passe par l'extérieur et plus rien par le vpn (qui sera stuck en même temps que le ping).

La difficulté c'est de prévenir les sysadmins (pas de vpn donc on ne pourra pas faire de mail). Ceci étant :
  • en cas de chute de vpn une sonde doit alerter. On va en ajouter une sur guarana pour être sûr de ça.
  • en cas de chute de vpn icinga va voir tout rouge, ce qui va alerter les admins.

Mis à jour par François Poulain il y a plus de 6 ans

Bien sûr on fera une machine d'état, par ex. on déclenche si on n'arrive pas à pinguer 2 fois de suite à x min d'intervalle.

Mis à jour par Quentin Gibeaux il y a plus de 6 ans

  • Version cible changé de Juin 2018 à Été 2018

Mis à jour par Frédéric Couchet il y a plus de 6 ans

  • Priorité changé de Normale à Immédiate

Mis à jour par Frédéric Couchet il y a plus de 6 ans

Cette tâche devient vraiment prioritaire car il y a de nouveau un problème de résolution de DNS au local suite au reboot de galanga, le serveur ayant pourtant redémarré correctement a priori. Il faut s'assurer qu'elle soit faite le plus rapidement possible. Vu qu'elle ne sera pas faite pendant ce sprint. Eventuellement la réattribuer si François n'a pas le temps de s'en occuper pour le moment.

Mis à jour par Quentin Gibeaux il y a plus de 6 ans

14:07:32            QGuLL | madix: ça a l'air résolu : j'ai redémarré bind sur guarana : pas ok (bind hs), j'ai redémarré vpn, puis bind : pas ok (bind hs), j'ai redémarré vpn sur galanga, sur    │
                          | guarana, bind : pas ok (bind hs)                                                                                                                                        │
14:07:57            QGuLL | j'ai mis le dns de ffdn dans le resolv.conf de guarana, redémarrer bind : ok                                                                                            │
14:08:07            QGuLL | puis reviré le dns ffdn                                                                                                                                                 │
14:08:28            QGuLL | maintenant, sans ffdn bind redémarre correctement                                  

Mis à jour par Quentin Gibeaux il y a plus de 6 ans

On pourrait peut être modifier la procédure de reboot de galanga : ajouter le dns de ffdn sur le resolv.conf de guarana, rebooter galanga, enlever les dns de ffdn de guarana.

Mis à jour par Quentin Gibeaux il y a plus de 6 ans

Testé à l'instant, le dns ffdn a permis une continuité de service, mais n'était pas suffisant : j'ai dû restarter openvpn sur guarana et galanga pour pinger à nouveau 172.16.0.3 depuis guarana

Mis à jour par Quentin Gibeaux il y a plus de 6 ans

  • Version cible changé de Été 2018 à Septembre 2018

Mis à jour par Quentin Gibeaux il y a environ 6 ans

  • Version cible changé de Septembre 2018 à Octobre 2018

Mis à jour par Quentin Gibeaux il y a environ 6 ans

  • Version cible changé de Octobre 2018 à Novembre 2018

Mis à jour par Quentin Gibeaux il y a environ 6 ans

  • Version cible changé de Novembre 2018 à Backlog

Mis à jour par Quentin Gibeaux il y a presque 6 ans

  • Statut changé de Nouveau à Fermé

Mis à jour par Quentin Gibeaux il y a plus de 5 ans

  • Statut changé de Fermé à En cours de traitement
  • Assigné à changé de François Poulain à Quentin Gibeaux
  • Version cible changé de Backlog à Avril 2019

Rentre réellement indépendant -> sortir de la zone interne ?

Mis à jour par Quentin Gibeaux il y a plus de 5 ans

  • Version cible changé de Avril 2019 à Mai 2019

Mis à jour par Quentin Gibeaux il y a plus de 5 ans

  • Version cible changé de Mai 2019 à Juin 2019

Mis à jour par Quentin Gibeaux il y a plus de 5 ans

  • Version cible changé de Juin 2019 à Été 2019

Mis à jour par Quentin Gibeaux il y a plus de 5 ans

  • Version cible changé de Été 2019 à Septembre 2019

Mis à jour par Quentin Gibeaux il y a environ 5 ans

  • Version cible changé de Septembre 2019 à Octobre 2019

Mis à jour par Quentin Gibeaux il y a environ 5 ans

  • Version cible changé de Octobre 2019 à Novembre 2019

Mis à jour par François Poulain il y a environ 5 ans

Un point de vue radical sur la situation : séparer résolveur et serveur faisant autorité : https://www.bortzmeyer.org/separer-resolveur-autorite.html

Avec le recul, j'adhère.

Mis à jour par Quentin Gibeaux il y a environ 5 ans

  • Version cible changé de Novembre 2019 à Décembre 2019

Mis à jour par Quentin Gibeaux il y a presque 5 ans

  • Version cible changé de Décembre 2019 à Janvier 2020

Mis à jour par Quentin Gibeaux il y a presque 5 ans

  • Version cible changé de Janvier 2020 à Février 2020

Mis à jour par Quentin Gibeaux il y a presque 5 ans

  • Version cible changé de Février 2020 à Mars 2020

Mis à jour par Quentin Gibeaux il y a plus de 4 ans

  • Version cible changé de Mars 2020 à Avril 2020

Mis à jour par Quentin Gibeaux il y a plus de 4 ans

  • Version cible changé de Avril 2020 à Mai 2020

Mis à jour par Quentin Gibeaux il y a plus de 4 ans

  • Version cible changé de Mai 2020 à Juin 2020

Mis à jour par Quentin Gibeaux il y a plus de 4 ans

  • Version cible changé de Juin 2020 à Été 2020

Mis à jour par Quentin Gibeaux il y a plus de 4 ans

  • Version cible changé de Été 2020 à Septembre 2020

Mis à jour par Quentin Gibeaux il y a environ 4 ans

  • Version cible changé de Septembre 2020 à Octobre 2020

Mis à jour par Quentin Gibeaux il y a environ 4 ans

  • Version cible changé de Octobre 2020 à Novembre 2020

Mis à jour par Quentin Gibeaux il y a environ 4 ans

  • Version cible changé de Novembre 2020 à Décembre 2020

Mis à jour par Quentin Gibeaux il y a presque 4 ans

  • Version cible changé de Décembre 2020 à Janvier 2021

Mis à jour par Quentin Gibeaux il y a presque 4 ans

  • Version cible changé de Janvier 2021 à Février 2021

Mis à jour par Quentin Gibeaux il y a presque 4 ans

  • Version cible changé de Février 2021 à Mars 2021

Mis à jour par Quentin Gibeaux il y a plus de 3 ans

  • Version cible changé de Mars 2021 à Avril 2021

Mis à jour par Quentin Gibeaux il y a plus de 3 ans

  • Version cible changé de Avril 2021 à Mai 2021

Mis à jour par Quentin Gibeaux il y a plus de 3 ans

  • Version cible changé de Mai 2021 à Juin 2021

Mis à jour par Quentin Gibeaux il y a plus de 3 ans

  • Version cible changé de Juin 2021 à Été 2021

Mis à jour par Quentin Gibeaux il y a plus de 3 ans

  • Version cible changé de Été 2021 à Septembre 2021

Mis à jour par Quentin Gibeaux il y a environ 3 ans

  • Version cible changé de Septembre 2021 à Octobre 2021

Mis à jour par Quentin Gibeaux il y a environ 3 ans

  • Version cible changé de Octobre 2021 à Novembre 2021

Mis à jour par Quentin Gibeaux il y a environ 3 ans

  • Version cible changé de Novembre 2021 à Décembre 2021

Mis à jour par Quentin Gibeaux il y a presque 3 ans

  • Version cible changé de Décembre 2021 à Janvier 2022

Mis à jour par Quentin Gibeaux il y a presque 3 ans

  • Version cible changé de Janvier 2022 à Février 2022

Mis à jour par Quentin Gibeaux il y a presque 3 ans

  • Version cible changé de Février 2022 à Mars 2022

Mis à jour par Quentin Gibeaux il y a plus de 2 ans

  • Version cible changé de Mars 2022 à Avril 2022

Mis à jour par Quentin Gibeaux il y a plus de 2 ans

  • Version cible changé de Avril 2022 à Mai 2022

Mis à jour par Quentin Gibeaux il y a plus de 2 ans

  • Version cible changé de Mai 2022 à Juin 2022

Mis à jour par Quentin Gibeaux il y a plus de 2 ans

  • Version cible changé de Juin 2022 à Été 2022

Mis à jour par Quentin Gibeaux il y a plus de 2 ans

  • Version cible changé de Été 2022 à Septembre 2022

Mis à jour par Quentin Gibeaux il y a environ 2 ans

  • Statut changé de En cours de traitement à Résolu

périmé

Mis à jour par Quentin Gibeaux il y a environ 2 ans

  • Statut changé de Résolu à Fermé
Actions

Formats disponibles : Atom PDF