Re: [FRnOG] [TECH] Load Balancer IPV4/IPV6
Hello. Sur la dernière génération (Nitrox 3) les perfs sont indiquées ici : FEATURES BENEFITS High performance security processing for look-aside architecture • Scalable from 5 Gbps – 40 Gbps Security Performance • 6k-35K RSA Ops/s (2048bit keys) • 35K -200K RSA Ops/s (1024bit keys) • 16 – 64 security RISC engines with 16K instructions/engine http://www.cavium.com/processor_security_nitrox-III.html http://www.cavium.com/pdfFiles/NITROX-III_PB_Rev1.0.pdf?x=3 Sur le chiffrement symétrique ils ne donnent pas d'autre info que le débit supporté sans distinction d'algo derrière. Le 25/08/2012 07:52, sxpert a écrit : On 2012-08-25 07:43, Baptiste wrote: 2012/8/25 sxpert sxp...@sxpert.org: On 2012-08-25 01:07, Manuel Martinez wrote: du SSL cavium, si j'en crois la datasheet http://www.cavium.com/processor_security_nitroxII.htm ca peut faire au maximum 10k RSA4096 en meme temps, ca fait que du SHA1 qui est périmé, ca gere pas l'ECC Moi, sur la datasheet, je vois 10K a 40K RSA 1024 ce qui n'est pas du tout pareil! Le passage de 1024 en 2048, ca divise par 5 à 7 le nombre de calcul de clé sur de l'Intel. Pas essayé le passage de 2048 en 4096... Je suppose que c'est pareil sur les cavium, même s'ils sont censé être taillé pour. Une fois la clé asymétrique générée, les perfs en chiffrement de traffic sont les mêmes: pas d'impact, on a autant de TPS en 1024 qu'en 2048 et je suppose aussi en 4096, car c'est le protocol qui veut ça :) Baptiste en effet. pour le traffic apres, c'est les perfs AES256 qu'il faut regarder. les perfs RSA / ECC limitent par contre le nombre de connexions ssl que tu peux gérer par seconde --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Load Balancer IPV4/IPV6
Donc réutilisable sans autre obligation que de mentionner les auteurs originaux du code. Ensuite c'est une licence BSD, pas GPL, la FSF n'a pas son mot à dire. :) Bref, la licence BSD c'est pratique. :) Donc quand un logiciel a une licence BSD, c'est que ses auteurs veulent encourager son utilisation (en entreprise ou pas) - même si ces utilisateurs ne participe pas. Dans un marche de niche comme BGP, ou AFTR, le choix de la licence a une grande importance. En pratique a moins de changer le logiciel radicalement, les entreprises qui utilisent le logiciel fournissent souvent leurs modifications afin a ne pas a avoir a les supporter a chaque mise a jour. Si A10 utilise ce code, le but des auteurs - voir leur solution utilise sur le net - est atteint. Je ne pense pas qu' ExaBGP aurai autant d'utilisateurs avec une licence plus restrictive comme la GPL / Affero GPL car je connais au moins deux sociétés qui ont intégré le code dans leur SI et n'auraient pas pu autrement. Thomas --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Load Balancer IPV4/IPV6
On Sat, Aug 25, 2012, at 01:07 AM, Manuel Martinez wrote: Je suis désolé mais même en prix liste, pour ce budget je sais que faire plus performant... :-( Moi pour 35k, j'ai 2 appliances 1U, en actif/actif 155w chacune, 14Gbps, 600k RPS, 64M de sessions, du RAM caching, du SSL cavium, etc... A 10G de traffic live, tu mets pas un boitier qui affiche 14G dans la datasheet constructeur. A 10G de traffic live tu mets pas non plus un boitier avec uniquement des ports giga. Certes, vous avez les boitiers qui font l'affaire (ports 10G, ~20 Gbps), mais je doute que ca rentre dans 35K pour une paire. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Load Balancer IPV4/IPV6
2012/8/25 Radu-Adrian Feurdean fr...@radu-adrian.feurdean.net: On Sat, Aug 25, 2012, at 01:07 AM, Manuel Martinez wrote: Je suis désolé mais même en prix liste, pour ce budget je sais que faire plus performant... :-( Moi pour 35k, j'ai 2 appliances 1U, en actif/actif 155w chacune, 14Gbps, 600k RPS, 64M de sessions, du RAM caching, du SSL cavium, etc... A 10G de traffic live, tu mets pas un boitier qui affiche 14G dans la datasheet constructeur. A 10G de traffic live tu mets pas non plus un boitier avec uniquement des ports giga. Certes, vous avez les boitiers qui font l'affaire (ports 10G, ~20 Gbps), mais je doute que ca rentre dans 35K pour une paire. Surtout, j'aimerais bien comprendre comment il marche l'actif/actif dans ce cas là... J'ai vu des FW actif/actif où le maitre change la MAC de destination pour renvoyer du traffic au slave d'un coup, la scalabiité elle en prend un coup... pis la somme de la BP des interfaces ne correspond plus au traffic que le cluster sait encaisser :) Manuel, je suis preneur d'info (un lien sur votre site me suffira): comment il marche l'actif/actif multiboitier ? a+ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Load Balancer IPV4/IPV6
Le 25 août 2012 à 13:33, Baptiste bed...@gmail.com a écrit : 2012/8/25 Radu-Adrian Feurdean fr...@radu-adrian.feurdean.net: On Sat, Aug 25, 2012, at 01:07 AM, Manuel Martinez wrote: Je suis désolé mais même en prix liste, pour ce budget je sais que faire plus performant... :-( Moi pour 35k, j'ai 2 appliances 1U, en actif/actif 155w chacune, 14Gbps, 600k RPS, 64M de sessions, du RAM caching, du SSL cavium, etc... A 10G de traffic live, tu mets pas un boitier qui affiche 14G dans la datasheet constructeur. A 10G de traffic live tu mets pas non plus un boitier avec uniquement des ports giga. Certes, vous avez les boitiers qui font l'affaire (ports 10G, ~20 Gbps), mais je doute que ca rentre dans 35K pour une paire. Surtout, j'aimerais bien comprendre comment il marche l'actif/actif dans ce cas là... J'ai vu des FW actif/actif où le maitre change la MAC de destination pour renvoyer du traffic au slave d'un coup, la scalabiité elle en prend un coup... pis la somme de la BP des interfaces ne correspond plus au traffic que le cluster sait encaisser :) Manuel, je suis preneur d'info (un lien sur votre site me suffira): comment il marche l'actif/actif multiboitier ? a+ Bonjour, On fait du VRRP. Avec 2 VRIDs, un actif par défaut sur chaque boîtier et donc backup sur l'autre. La seule restriction est d'utiliser 2 VIPs, une dans chaque VRID, donc active par défaut sur chaque boîtier. Ensuite, grâce au GSLB, inclus dans le prix de base du boîtier, bien on utilise un seul nom DNS, pour repartir le service entre les 2 VIPs. On peut utiliser ce scénario avec jusqu'à 8 boîtiers... Ça tourne vraiment bien -- The information contained in this message, and any attachments, are or may be privileged and/or confidential and protected from disclosure and may also be covered by the Electronic Communications Privacy Act, 18 U.S.C. 2510-2521. If the recipient of this message is not the intended recipient or authorized to receive this information for the addressee, you are hereby notified that any dissemination, distribution or copying of this communication is strictly prohibited. If you have received this communication in error please delete it from your computer immediately --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Load Balancer IPV4/IPV6
On Sat, Aug 25, 2012, at 01:33 PM, Baptiste wrote: Surtout, j'aimerais bien comprendre comment il marche l'actif/actif dans ce cas là... Actif stand-by croise. (actif pour un service, stand-by pour un autre). Au-dela c'est de la mensonge commerciale. J'attends d'ailleurs le boitier statefull (LB, firewall, ) qui sait marcher en paire actif-actif, et qui sait traiter le trafic d'une meme connexion dans un sens sur un des boitiers et dans l'autre sur l'autre boitier. ... voire meme un packet sur un boitier le suivant sur l'autre boitier du vrai actif-actif quoi. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Load Balancer IPV4/IPV6
On Sat, Aug 25, 2012, at 02:40 PM, Manuel Martinez wrote: Ensuite, grâce au GSLB On parle bien de la techno qui fait que tu vois un chose avec nslookup, et ton navigateur se connecte sur autre chose ? Ou qui fait que selon ton ISP (et son adorable DNS), tu te connectes toujours sur le service qui est down depuis plusieur jours ? --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Load Balancer IPV4/IPV6
Le 25 août 2012 à 13:19, Radu-Adrian Feurdean fr...@radu-adrian.feurdean.net a écrit : On Sat, Aug 25, 2012, at 01:07 AM, Manuel Martinez wrote: Je suis désolé mais même en prix liste, pour ce budget je sais que faire plus performant... :-( Moi pour 35k, j'ai 2 appliances 1U, en actif/actif 155w chacune, 14Gbps, 600k RPS, 64M de sessions, du RAM caching, du SSL cavium, etc... A 10G de traffic live, tu mets pas un boitier qui affiche 14G dans la datasheet constructeur. A 10G de traffic live tu mets pas non plus un boitier avec uniquement des ports giga. Certes, vous avez les boitiers qui font l'affaire (ports 10G, ~20 Gbps), mais je doute que ca rentre dans 35K pour une paire. Bonjour, Effectivement, pour arriver à ça, il faut agréger les 8 ports GBps de chacun des 2 boîtiers. Mais ça tient réellement 7gbps par boîtier. En ce qui concerne le prix, c'est le prix public, et avec le mécanisme de la concurrence et des remises, ça fait bien longtemps que je n'ai pas vu une paire d'AX1030 aussi chère que 34k... Manuel MARTINEZ -- The information contained in this message, and any attachments, are or may be privileged and/or confidential and protected from disclosure and may also be covered by the Electronic Communications Privacy Act, 18 U.S.C. 2510-2521. If the recipient of this message is not the intended recipient or authorized to receive this information for the addressee, you are hereby notified that any dissemination, distribution or copying of this communication is strictly prohibited. If you have received this communication in error please delete it from your computer immediately --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Load Balancer IPV4/IPV6
2012/8/25 Radu-Adrian Feurdean fr...@radu-adrian.feurdean.net: On Sat, Aug 25, 2012, at 02:40 PM, Manuel Martinez wrote: Ensuite, grâce au GSLB On parle bien de la techno qui fait que tu vois un chose avec nslookup, et ton navigateur se connecte sur autre chose ? Ou qui fait que selon ton ISP (et son adorable DNS), tu te connectes toujours sur le service qui est down depuis plusieur jours ? Sauf si la VIP a basculé vi ale VRRP, je présume. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Load Balancer IPV4/IPV6
Dans ce cas tu peux mettre 3 boitiers, deux pour le service et le troisième est backup des deux premiers, même en cas de bascule tu n'as pas de dégradation des performances. Le 25 août 2012 à 14:45, Radu-Adrian Feurdean fr...@radu-adrian.feurdean.net a écrit : On Sat, Aug 25, 2012, at 02:40 PM, Manuel Martinez wrote: Ensuite, grâce au GSLB On parle bien de la techno qui fait que tu vois un chose avec nslookup, et ton navigateur se connecte sur autre chose ? Ou qui fait que selon ton ISP (et son adorable DNS), tu te connectes toujours sur le service qui est down depuis plusieur jours ? --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Load Balancer IPV4/IPV6
Le 25 août 2012 à 14:46, Radu-Adrian Feurdean fr...@radu-adrian.feurdean.net a écrit : On Sat, Aug 25, 2012, at 02:40 PM, Manuel Martinez wrote: Ensuite, grâce au GSLB On parle bien de la techno qui fait que tu vois un chose avec nslookup, et ton navigateur se connecte sur autre chose ? Ou qui fait que selon ton ISP (et son adorable DNS), tu te connectes toujours sur le service qui est down depuis plusieur jours ? Bonjour, Oui, c'est bien de DNS intelligent que je parle, et je regrette mais ça fonctionne, et plein de sites Français l'utilisent et depuis des années. Un cht'it article de mes concurrents: https://devcentral.f5.com/weblogs/macvittie/archive/2011/03/21/the-skeleton-in-the-global-server-load-balancing-closet.aspx Faut arrêter avec les théories techniques d'il y a 10 ans. Ça me rappelle mes profs à l'université qui m'expliquaient que l'ATM est tellement parfait que le Gigabit Ethernet ne marcherait jamais. Manuel -- The information contained in this message, and any attachments, are or may be privileged and/or confidential and protected from disclosure and may also be covered by the Electronic Communications Privacy Act, 18 U.S.C. 2510-2521. If the recipient of this message is not the intended recipient or authorized to receive this information for the addressee, you are hereby notified that any dissemination, distribution or copying of this communication is strictly prohibited. If you have received this communication in error please delete it from your computer immediately --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Load Balancer IPV4/IPV6
* Radu-Adrian Feurdean - 25-08-2012 à 14h41: On Sat, Aug 25, 2012, at 01:33 PM, Baptiste wrote: Surtout, j'aimerais bien comprendre comment il marche l'actif/actif dans ce cas là... Actif stand-by croise. (actif pour un service, stand-by pour un autre). Au-dela c'est de la mensonge commerciale. J'attends d'ailleurs le boitier statefull (LB, firewall, ) qui sait marcher en paire actif-actif, et qui sait traiter le trafic d'une meme connexion dans un sens sur un des boitiers et dans l'autre sur l'autre boitier. ... voire meme un packet sur un boitier le suivant sur l'autre boitier du vrai actif-actif quoi. OpenBSD + relayd avec pf + pfsync defer + carp permettent ce genre de cascade, par contre les possibilité de rewrite sont assez limitée et à ma connaissance le stickyness se base simplement sur l'ip source Niveau performance je doute fortement que ça atteigne les 10Gbit par noeud, il y a des benchs qui avec un peu de tuning et le bon hardware atteignent les 10Gbit full duplex sur un rule set basique, mais l'introduction de relayd et du NAT qui va avec devrait pas mal plomber les perfs. -- Rémi Laurent Phone: +352 26 10 30 61 General Support: supp...@conostix.com GPG FP: 27F4 6810 2B0E 1AA0 CDAE 7C7B 3DC9 085A 0FA0 0601 signature.asc Description: Digital signature
Re: [FRnOG] [TECH] Load Balancer IPV4/IPV6
Le 25 août 2012 à 15:03, Rémi Laurent remi.laurent-fr...@conostix.com a écrit : * Radu-Adrian Feurdean - 25-08-2012 à 14h41: On Sat, Aug 25, 2012, at 01:33 PM, Baptiste wrote: Surtout, j'aimerais bien comprendre comment il marche l'actif/actif dans ce cas là... Actif stand-by croise. (actif pour un service, stand-by pour un autre). Au-dela c'est de la mensonge commerciale. J'attends d'ailleurs le boitier statefull (LB, firewall, ) qui sait marcher en paire actif-actif, et qui sait traiter le trafic d'une meme connexion dans un sens sur un des boitiers et dans l'autre sur l'autre boitier. ... voire meme un packet sur un boitier le suivant sur l'autre boitier du vrai actif-actif quoi. OpenBSD + relayd avec pf + pfsync defer + carp permettent ce genre de cascade, par contre les possibilité de rewrite sont assez limitée et à ma connaissance le stickyness se base simplement sur l'ip source Niveau performance je doute fortement que ça atteigne les 10Gbit par noeud, il y a des benchs qui avec un peu de tuning et le bon hardware atteignent les 10Gbit full duplex sur un rule set basique, mais l'introduction de relayd et du NAT qui va avec devrait pas mal plomber les perfs. -- Rémi Laurent Phone: +352 26 10 30 61 General Support: supp...@conostix.com GPG FP: 27F4 6810 2B0E 1AA0 CDAE 7C7B 3DC9 085A 0FA0 0601 Bonjour Rémi, Merci de confirmer ce que je dis depuis le début, qui est confirmé par Vincent de F5, c'est bien la NAT IPv4IPv6 qui impacte les perfs, dans ce cas, il faut s'y faire... -- The information contained in this message, and any attachments, are or may be privileged and/or confidential and protected from disclosure and may also be covered by the Electronic Communications Privacy Act, 18 U.S.C. 2510-2521. If the recipient of this message is not the intended recipient or authorized to receive this information for the addressee, you are hereby notified that any dissemination, distribution or copying of this communication is strictly prohibited. If you have received this communication in error please delete it from your computer immediately --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Load Balancer IPV4/IPV6
Il faut vraiment parler des TTL non respectés; des listes qui tournent dans les resolvers et qui cassent l'algorithme configuré; la proximité qui se base sur le resolver et pas le client... (ou alors au prix d'un coûteux HTTP 302) ?? à moins bien sûr que tout cela n'existe pas ? :-) Le 25/08/2012 15:03, Manuel Martinez a écrit : Le 25 août 2012 à 14:46, Radu-Adrian Feurdean fr...@radu-adrian.feurdean.net a écrit : On Sat, Aug 25, 2012, at 02:40 PM, Manuel Martinez wrote: Ensuite, grâce au GSLB On parle bien de la techno qui fait que tu vois un chose avec nslookup, et ton navigateur se connecte sur autre chose ? Ou qui fait que selon ton ISP (et son adorable DNS), tu te connectes toujours sur le service qui est down depuis plusieur jours ? Bonjour, Oui, c'est bien de DNS intelligent que je parle, et je regrette mais ça fonctionne, et plein de sites Français l'utilisent et depuis des années. Un cht'it article de mes concurrents: https://devcentral.f5.com/weblogs/macvittie/archive/2011/03/21/the-skeleton-in-the-global-server-load-balancing-closet.aspx Faut arrêter avec les théories techniques d'il y a 10 ans. Ça me rappelle mes profs à l'université qui m'expliquaient que l'ATM est tellement parfait que le Gigabit Ethernet ne marcherait jamais. Manuel -- The information contained in this message, and any attachments, are or may be privileged and/or confidential and protected from disclosure and may also be covered by the Electronic Communications Privacy Act, 18 U.S.C. 2510-2521. If the recipient of this message is not the intended recipient or authorized to receive this information for the addressee, you are hereby notified that any dissemination, distribution or copying of this communication is strictly prohibited. If you have received this communication in error please delete it from your computer immediately --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Load Balancer IPV4/IPV6
Bonjour, Le 25 août 2012 à 10:49, Thomas Mangin a écrit : Donc réutilisable sans autre obligation que de mentionner les auteurs originaux du code. Ensuite c'est une licence BSD, pas GPL, la FSF n'a pas son mot à dire. :) Bref, la licence BSD c'est pratique. :) Donc quand un logiciel a une licence BSD, c'est que ses auteurs veulent encourager son utilisation (en entreprise ou pas) - même si ces utilisateurs ne participe pas. Dans un marche de niche comme BGP, ou AFTR, le choix de la licence a une grande importance. A vrai dire je pense que c'est aussi (surtout ?) question de philosophie. Mais il est vrai que du code BSD ou sous domaine public se diffuse plus facilement. En démons réseau sous GPL on a quagga, openikev2, ou encore openvpn mais c'est vrai que c'est difficile d'en trouver d'autres ! Si A10 utilise ce code, le but des auteurs - voir leur solution utilise sur le net - est atteint. Je ne pense pas qu' ExaBGP aurai autant d'utilisateurs avec une licence plus restrictive comme la GPL / Affero GPL car je connais au moins deux sociétés qui ont intégré le code dans leur SI et n'auraient pas pu autrement. De ce point de vue, ce n'est pas nécessairement un problème. Une entreprise peut modifier un code GPL sans le diffuser si elle ne diffuse pas le binaire modifié également. Par contre pour la vente c'est différent, il faut fournir les sources, et faire attention à la licence. Notamment trouver une combine pour séparer un code GPL d'un code proprio, ce qui peut être contraignant quelquefois... Cordialement. Emmanuel Thierry --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Load Balancer IPV4/IPV6
Le 25 août 2012 à 15:27, Surya ARBY arbysu...@yahoo.fr a écrit : Il faut vraiment parler des TTL non respectés; des listes qui tournent dans les resolvers et qui cassent l'algorithme configuré; la proximité qui se base sur le resolver et pas le client... (ou alors au prix d'un coûteux HTTP 302) ?? à moins bien sûr que tout cela n'existe pas ? :-) Le 25/08/2012 15:03, Manuel Martinez a écrit : Le 25 août 2012 à 14:46, Radu-Adrian Feurdean fr...@radu-adrian.feurdean.net a écrit : On Sat, Aug 25, 2012, at 02:40 PM, Manuel Martinez wrote: Ensuite, grâce au GSLB On parle bien de la techno qui fait que tu vois un chose avec nslookup, et ton navigateur se connecte sur autre chose ? Ou qui fait que selon ton ISP (et son adorable DNS), tu te connectes toujours sur le service qui est down depuis plusieur jours ? Bonjour, Oui, c'est bien de DNS intelligent que je parle, et je regrette mais ça fonctionne, et plein de sites Français l'utilisent et depuis des années. Un cht'it article de mes concurrents: https://devcentral.f5.com/weblogs/macvittie/archive/2011/03/21/the-skeleton-in-the-global-server-load-balancing-closet.aspx Faut arrêter avec les théories techniques d'il y a 10 ans. Ça me rappelle mes profs à l'université qui m'expliquaient que l'ATM est tellement parfait que le Gigabit Ethernet ne marcherait jamais. Manuel --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ Bonjour Surya, Je parle simplement d'utiliser le GSLB en mode DNS-RR alterné avec persistance IPsource vers les VIPs d'un même cluster. Ça a du tomber en marche par hasard chez tous les clients chez qui j'ai mis ça en prod. Manuel Martinez -- The information contained in this message, and any attachments, are or may be privileged and/or confidential and protected from disclosure and may also be covered by the Electronic Communications Privacy Act, 18 U.S.C. 2510-2521. If the recipient of this message is not the intended recipient or authorized to receive this information for the addressee, you are hereby notified that any dissemination, distribution or copying of this communication is strictly prohibited. If you have received this communication in error please delete it from your computer immediately --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Load Balancer IPV4/IPV6
Pour les VIPs d'un même cluster il n'y a a priori pas de souci; pour du multi site ça devient déjà plus complexe... en fait faire du GSLB sur n VIP d'une même appli sur le même cluster c'est le seul cas ou c'est fonctionnel sans effet de bord détestable non ? :-) Sur les archives vegan.net on peut encore trouver les discussions de l'époque, dont un message était particulièrement intéressant; notamment sur le fait de facturer une fonctionnalité au résultat discutable : http://vegan.net/lb/archive/04-2004/0029.html http://vegan.net/lb/archive/04-2004/0029.html Le 25/08/2012 15:41, Manuel Martinez a écrit : Le 25 août 2012 à 15:27, Surya ARBY arbysu...@yahoo.fr a écrit : Il faut vraiment parler des TTL non respectés; des listes qui tournent dans les resolvers et qui cassent l'algorithme configuré; la proximité qui se base sur le resolver et pas le client... (ou alors au prix d'un coûteux HTTP 302) ?? à moins bien sûr que tout cela n'existe pas ? :-) Le 25/08/2012 15:03, Manuel Martinez a écrit : Le 25 août 2012 à 14:46, Radu-Adrian Feurdean fr...@radu-adrian.feurdean.net a écrit : On Sat, Aug 25, 2012, at 02:40 PM, Manuel Martinez wrote: Ensuite, grâce au GSLB On parle bien de la techno qui fait que tu vois un chose avec nslookup, et ton navigateur se connecte sur autre chose ? Ou qui fait que selon ton ISP (et son adorable DNS), tu te connectes toujours sur le service qui est down depuis plusieur jours ? Bonjour, Oui, c'est bien de DNS intelligent que je parle, et je regrette mais ça fonctionne, et plein de sites Français l'utilisent et depuis des années. Un cht'it article de mes concurrents: https://devcentral.f5.com/weblogs/macvittie/archive/2011/03/21/the-skeleton-in-the-global-server-load-balancing-closet.aspx Faut arrêter avec les théories techniques d'il y a 10 ans. Ça me rappelle mes profs à l'université qui m'expliquaient que l'ATM est tellement parfait que le Gigabit Ethernet ne marcherait jamais. Manuel --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ Bonjour Surya, Je parle simplement d'utiliser le GSLB en mode DNS-RR alterné avec persistance IPsource vers les VIPs d'un même cluster. Ça a du tomber en marche par hasard chez tous les clients chez qui j'ai mis ça en prod. Manuel Martinez -- The information contained in this message, and any attachments, are or may be privileged and/or confidential and protected from disclosure and may also be covered by the Electronic Communications Privacy Act, 18 U.S.C. 2510-2521. If the recipient of this message is not the intended recipient or authorized to receive this information for the addressee, you are hereby notified that any dissemination, distribution or copying of this communication is strictly prohibited. If you have received this communication in error please delete it from your computer immediately --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Choix de routeur
Bonjour, Suite à vos différents messages, en public / privé, et suite à beaucoup de déboires ces derniers jours en raison d'attaques démesurés (enfin, elles sont ridicules, mais la npe-g1 s'écroule très rapidement), nous avons fait le choix de bosser avec Brocade. On est donc parti sur un Brocade 2024C-RT (le RT est encore en suspend vu le surcoût, mais vu la table de routage...). Merci à tous pour vos conseils, reste plus qu'à faire le chèque... Cordialement, Jérémy Martin Directeur Technique FirstHeberg.com Contacts téléphoniques (Lun-Ven / 9h30-12h00 - 14h00-17h30) Standard : 09 72 125 539 (tarif local) Ligne directe : 03 66 72 03 42 Mail : j.martin AT freeheberg.com Web : http://www.firstheberg.com Le 09/08/2012 20:21, Jérémy Martin a écrit : Dites les gens, quand vous avez un budget genre 3-5 k€ et que vous devez équiper une infra avec un routeur pouvant gérer une session BGP full-table, tenir le cap de plusieurs Mpps très aggressif en input ou output, et savoir faire de belles règles de shaping ou de belles ACL dans les règles de l'art... Vous partiriez sur quoi ? (neuf ou occaz) Merci pour vos réponses ! Note : On a actuellement un 7206 + npe-g1 qui tire la gueule trop souvent à mon goût. Cordialement, Jérémy Martin Le 31/07/2012 16:02, Yann Beulque a écrit : --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Load Balancer IPV4/IPV6
pour du multi site ça devient déjà plus complexe... Oui et non car il est possible de faire du GSLB avec RR + de la Geo Location. Je crois que cela permet de résoudre ou d'atténuer les problèmes. Fabien Le 25 août 2012 à 15:44, Surya ARBY arbysu...@yahoo.fr a écrit : Pour les VIPs d'un même cluster il n'y a a priori pas de souci; pour du multi site ça devient déjà plus complexe... en fait faire du GSLB sur n VIP d'une même appli sur le même cluster c'est le seul cas ou c'est fonctionnel sans effet de bord détestable non ? :-) Sur les archives vegan.net on peut encore trouver les discussions de l'époque, dont un message était particulièrement intéressant; notamment sur le fait de facturer une fonctionnalité au résultat discutable : http://vegan.net/lb/archive/04-2004/0029.html http://vegan.net/lb/archive/04-2004/0029.html Le 25/08/2012 15:41, Manuel Martinez a écrit : Le 25 août 2012 à 15:27, Surya ARBY arbysu...@yahoo.fr a écrit : Il faut vraiment parler des TTL non respectés; des listes qui tournent dans les resolvers et qui cassent l'algorithme configuré; la proximité qui se base sur le resolver et pas le client... (ou alors au prix d'un coûteux HTTP 302) ?? à moins bien sûr que tout cela n'existe pas ? :-) Le 25/08/2012 15:03, Manuel Martinez a écrit : Le 25 août 2012 à 14:46, Radu-Adrian Feurdean fr...@radu-adrian.feurdean.net a écrit : On Sat, Aug 25, 2012, at 02:40 PM, Manuel Martinez wrote: Ensuite, grâce au GSLB On parle bien de la techno qui fait que tu vois un chose avec nslookup, et ton navigateur se connecte sur autre chose ? Ou qui fait que selon ton ISP (et son adorable DNS), tu te connectes toujours sur le service qui est down depuis plusieur jours ? Bonjour, Oui, c'est bien de DNS intelligent que je parle, et je regrette mais ça fonctionne, et plein de sites Français l'utilisent et depuis des années. Un cht'it article de mes concurrents: https://devcentral.f5.com/weblogs/macvittie/archive/2011/03/21/the-skeleton-in-the-global-server-load-balancing-closet.aspx Faut arrêter avec les théories techniques d'il y a 10 ans. Ça me rappelle mes profs à l'université qui m'expliquaient que l'ATM est tellement parfait que le Gigabit Ethernet ne marcherait jamais. Manuel --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ Bonjour Surya, Je parle simplement d'utiliser le GSLB en mode DNS-RR alterné avec persistance IPsource vers les VIPs d'un même cluster. Ça a du tomber en marche par hasard chez tous les clients chez qui j'ai mis ça en prod. Manuel Martinez -- The information contained in this message, and any attachments, are or may be privileged and/or confidential and protected from disclosure and may also be covered by the Electronic Communications Privacy Act, 18 U.S.C. 2510-2521. If the recipient of this message is not the intended recipient or authorized to receive this information for the addressee, you are hereby notified that any dissemination, distribution or copying of this communication is strictly prohibited. If you have received this communication in error please delete it from your computer immediately --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Load Balancer IPV4/IPV6
La géoloc basée sur l'ip du dns resolver qui t'envoie sur un DC US pendant ta session web si t'as le malheur de tomber chez un provider ou une entreprise qui fait du LB sur ses resolvers qui sortent avec des IPs différentes ? (via 2 subnets en /8 différents sinon ce n'est pas amusant) ** c'est un cas réel ** Le 25/08/2012 17:35, Fabien Delmotte a écrit : pour du multi site ça devient déjà plus complexe... Oui et non car il est possible de faire du GSLB avec RR + de la Geo Location. Je crois que cela permet de résoudre ou d'atténuer les problèmes. Fabien Le 25 août 2012 à 15:44, Surya ARBY arbysu...@yahoo.fr a écrit : Pour les VIPs d'un même cluster il n'y a a priori pas de souci; pour du multi site ça devient déjà plus complexe... en fait faire du GSLB sur n VIP d'une même appli sur le même cluster c'est le seul cas ou c'est fonctionnel sans effet de bord détestable non ? :-) Sur les archives vegan.net on peut encore trouver les discussions de l'époque, dont un message était particulièrement intéressant; notamment sur le fait de facturer une fonctionnalité au résultat discutable : http://vegan.net/lb/archive/04-2004/0029.html http://vegan.net/lb/archive/04-2004/0029.html Le 25/08/2012 15:41, Manuel Martinez a écrit : Le 25 août 2012 à 15:27, Surya ARBY arbysu...@yahoo.fr a écrit : Il faut vraiment parler des TTL non respectés; des listes qui tournent dans les resolvers et qui cassent l'algorithme configuré; la proximité qui se base sur le resolver et pas le client... (ou alors au prix d'un coûteux HTTP 302) ?? à moins bien sûr que tout cela n'existe pas ? :-) Le 25/08/2012 15:03, Manuel Martinez a écrit : Le 25 août 2012 à 14:46, Radu-Adrian Feurdean fr...@radu-adrian.feurdean.net a écrit : On Sat, Aug 25, 2012, at 02:40 PM, Manuel Martinez wrote: Ensuite, grâce au GSLB On parle bien de la techno qui fait que tu vois un chose avec nslookup, et ton navigateur se connecte sur autre chose ? Ou qui fait que selon ton ISP (et son adorable DNS), tu te connectes toujours sur le service qui est down depuis plusieur jours ? Bonjour, Oui, c'est bien de DNS intelligent que je parle, et je regrette mais ça fonctionne, et plein de sites Français l'utilisent et depuis des années. Un cht'it article de mes concurrents: https://devcentral.f5.com/weblogs/macvittie/archive/2011/03/21/the-skeleton-in-the-global-server-load-balancing-closet.aspx Faut arrêter avec les théories techniques d'il y a 10 ans. Ça me rappelle mes profs à l'université qui m'expliquaient que l'ATM est tellement parfait que le Gigabit Ethernet ne marcherait jamais. Manuel --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ Bonjour Surya, Je parle simplement d'utiliser le GSLB en mode DNS-RR alterné avec persistance IPsource vers les VIPs d'un même cluster. Ça a du tomber en marche par hasard chez tous les clients chez qui j'ai mis ça en prod. Manuel Martinez -- The information contained in this message, and any attachments, are or may be privileged and/or confidential and protected from disclosure and may also be covered by the Electronic Communications Privacy Act, 18 U.S.C. 2510-2521. If the recipient of this message is not the intended recipient or authorized to receive this information for the addressee, you are hereby notified that any dissemination, distribution or copying of this communication is strictly prohibited. If you have received this communication in error please delete it from your computer immediately --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Load Balancer IPV4/IPV6
On Sat, Aug 25, 2012, at 02:47 PM, Manuel Martinez wrote: Effectivement, pour arriver à ça, il faut agréger les 8 ports GBps de chacun des 2 boîtiers. Mais ça tient réellement 7gbps par boîtier. J'ai l'impression d'entendre parler un comptable, pas un ingenieur. D'une autre cote, je commence a comprendre comment certains font leur capacity planning.. (si on peut l'appeler ainsi). Mon dieu ! Si j'ai 10G aujourd'hui je n'achete PAS deux boitiers qui font 7G chacun. Pour 3 boitiers a 7G, c'est borderline, et il faut pas que la redondance se fait a la F5 (HA pair). Pour 4 boitiers, ca put avoir du sens, modulo systeme de redondance et archi derriere. En ce qui concerne le prix, c'est le prix public, et avec le mécanisme de la concurrence et des remises, ça fait bien longtemps que je n'ai pas vu une paire d'AX1030 aussi chère que 34k... Quand on part sur la mauvaise solution, le prix ne vaut plus rien dire. Tu as beau faire la paire de 1030 a 10K, c'est la mauvaise solution, donc trop cher. 2 Paires (= 4 boitiers) a 34K, si ca correspond aux besoins, ca commence a etre autre chose --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Load Balancer IPV4/IPV6
On Sat, Aug 25, 2012, at 02:40 PM, Manuel Martinez wrote: GSLB On Sat, Aug 25, 2012, at 02:48 PM, Baptiste wrote: VRRP On parle pas du meme chose. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Load Balancer IPV4/IPV6
On Sat, Aug 25, 2012, at 03:03 PM, Manuel Martinez wrote: je regrette mais ça fonctionne Qui, ca fonctionne quand tu as du local SLB derriere sur chaque site, et que les clients qui tombent sur un autre site que dans tes previsions c'est pas grave. A la sauce CDN autrement dit. Ou alors quand tous les client c'est en interne ou dans un environnement bien previsible, qui n'implique pas un DNS gere par une 3eme partie qui se moque magistrallement du TTL. Faut arrêter avec les théories techniques d'il y a 10 ans. Les DNS qui se moquent du TTL ou cachent ad vitam eternam c'est bien plus recent. Et c'est generallement configure explicitement comme ca, ce n'est pas un bug ou implementation defectueuse. --- Liste de diffusion du FRnOG http://www.frnog.org/
