Re: [FRnOG] [TECH] HAProxy multi DC

Thu, 05 Mar 2020 11:54:23 -0800 

Oui, voilà !

Donc en résumé, pour accéder à http[s]://www.frnog.org/...

 1. le client JS fait sa requête DoH
 2. il voit 3 CNAMEs : srv[1,2,3].frnog.org
 3. il fait son LB façon RR-DNS et chosit srv2.frnog.org
 4. il poursuit en accédant à http:[s]://srv2.frnog.org/...

Problèmes à résoudre :

 1. _chicken & egg _: comment s'assurer qu'on puisse bien charger le JS
    initial alors que les noms de domaine utilisés peuvent ne pas
    répondre par un mapping DNS classique (c'est bien le problème qu'on
    cherche à résoudre)
 2. _same origin_ : le site doit être conçu pour autoriser les contenus
    de http:[s]://srv*.frnog.org/ comme ceux de
    http[s]://www.frnog.org/. C'est un problème classique, voir domain=
    pour les cookies par exemple
 3. _caches DNS_ : on en revient au cas DNS classique et au problème du
    TTL mini effectif de 20 minutes. En DoH on a le contrôle sur le
    serveur qu'on interroge et on peut remonter directement à l'origine
    (SOA) et court-circuiter les caches (ce qui revient à ignorer le TTL)
 4. _latence DNS_ : à benchmarker (DoH en JS à l'origine vs. DNS
    classique via des resolvers qui cachent)

Intéressé(s) à poursuivre l'étude ?

Le 05/03/2020 à 19:41, Philippe Bourcier a écrit :
> Re,
>
>> Ou alors tu te comportes comme une adulte et tu utilises des noms DNS 
>> statiques, un par machine.
>>
>> Franchement, arretez avec l'utilisation des IP dans les applis. Ce n'est pas 
>> comme ca que les
>> choses sont supposes marcher.
> Mais ouai en fait... tu peux très bien faire une requête DoH en IN CNAME sur 
> un host et attendre un résultat multiple à la requête...
>
> Genre :
> IN CNAME api.frnog.org
> => srv1.frnog.org
> => srv2.frnog.org
> ...
>
> Et du coup tu gardes le nom de domaine pour tes requêtes HTTPS suivantes (et 
> donc pas de problèmes de cookies, etc.).
> On va y arriver à faire ce LB.js :)
>
>
> Cordialement,
> --
> Philippe Bourcier
> web : http://sysctl.org/
> blog : https://www.linkedin.com/today/author/philippebourcier
>
>
> ---------------------------
> Liste de diffusion du FRnOG
> http://www.frnog.org/

---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/

Répondre à