RE: [FRnOG] Re: [ALERT] Un CDN Down ?
Sinon, le DNSSec, c'est pas mal non plus, et c'est RFC compliant ...
-Message d'origine-
De : frnog-requ...@frnog.org De la part de Damien
Wetzel
Envoyé : mercredi 9 juin 2021 15:50
À : Stephane Bortzmeyer
Cc : frnog-al...@frnog.org
Objet : [FRnOG] Re: [ALERT] Un CDN Down ?
On peut toujours repondre avec deux fournisseurs DNS Autorité differents et
synchronisés entre eux, le resolveur choisissant le plus rapide par
l'utilisation du DNS SRTT
Stephane Bortzmeyer writes:
> On Wed, Jun 09, 2021 at 12:10:50PM +0200, > Damien Wetzel
> wrote > a message of 38 lines which said:
>
> > Je sous entends bien sur que le serveur DNS autorité est robuste > > Il
> > est en général imprudent d'affirmer qu'on est invulnérable.
>
--
~
Damien WETZEL (ATANAR TECHNOLOGIES)("`-/")_.-'"``-._
http://www.atanar.com . . `; -._)-;-,_`)
(v_,)' _ )`-.\ ``-'
Phone:+33 9 67 35 09 05_.- _..-_/ / ((.'
- So much to do, so little time - ((,.-' ((,/
~
---
Liste de diffusion du FRnOG
http://www.frnog.org/
---
Liste de diffusion du FRnOG
http://www.frnog.org/
Re: [FRnOG] Re: [ALERT] Un CDN Down ?
Bonjour à tous N'y aurait-il pas une piste au travers du BGP anycast ? Si chaque client autorise plusieurs fournisseurs de CDNs à annoncer son même préfix unique, on se retrouverait avec de l'anycast multi fournisseurs. Reste la contrainte d'être ultra réactif pour pouvoir arrêter les annonces en cas de panne, via un health-check du service et des appels d'API Mais pour moi cela n'est pas viable à l'échelle d'un seul client, on ne va pas monopoliser un /24 par site web protégé. Il faudrait des grappes de clients, utilisant les mêmes fournisseurs de CDN. Est-ce que le jeu en vaut vraiment la chandelle pour une panne qui a duré moins d'une heure ? N'y a-t-il pas un risque d'introduire un nouveau risque de panne plus élevé que la défaillance d'un fournisseur ? J'en doute Damien Le mer. 9 juin 2021 à 13:38, Ludovic LACOSTE a écrit : > De temps en temps, lire les RFCs, les respecter, et penser que nos pairs > ont bossé dessus des heures sans réellement être rémunérés pour le bien de > tous, ça fait du bien à l'internet (et l'égo aussi) > Merci @Pierre Colombier > > -Message d'origine- > De : frnog-requ...@frnog.org De la part de > Pierre Colombier via frnog > Envoyé : mercredi 9 juin 2021 13:27 > À : frnog@frnog.org > Objet : Re: [FRnOG] Re: [ALERT] Un CDN Down ? > > Je pense que le DNS n'est pas la solution à cause du temps de propagation > et des caches qui ne respectent pas les ttl courts. > > Pour ne pas avoir le problème des caches (y compris celui dans le browser > du client) , Il faut que ton site soit capable de générer en quelques > instants des url différentes pointant sur l'autre CDN. > > > Mais je pense que c'est beaucoup d'efforts pour rien car déjà c'est un > évènement très rare et qui quand il arrive dure généralement > potentiellement moins que le temps de détecter le problème et de prendre > les mesures. > > En plus, tu n'est pas à l'abris d'introduire des bugs dans ton propre > système qui au final aggravera le problème. > > On 09/06/2021 11:56, Damien Wetzel wrote: > > Bonjour, > > > > En tant que revendeur de la solution, on a un peu souffert hier ;) > > > > Cela m'ammène à la question du multi-CDN, est ce que sa complexité se > > justifie pour palier à des problemes comme celui rencontré hier qui > > sont quand meme relativement trés rares ? > > > > Est ce que avoir une config de secours sur un autre CDN + un DNS > > configurable rapidement avec des TTL courrs ~1min a un sens ? > > > > Vos avis m'interressent. > > > > Cordialement, > > Damien > > > > > > Stephane Bortzmeyer writes: > > > On Tue, Jun 08, 2021 at 12:17:17PM +0200, > > > Kévin GUERY via frnog wrote > > > a message of 14 lines which said: > > > > > > > Apparemment de gros problèmes sur paypal, twitch, amazon et autres > > > > qui sembleraient liés à un problème sur CDN ? > > > > > > Post-mortem de Fastly. Moins bien que ceux de Cloudflare mais > meilleur > > > que ceux d'Orange. > > > > > > https://www.fastly.com/blog/summary-of-june-8-outage > > > > > > > > > --- > > > Liste de diffusion du FRnOG > > > http://www.frnog.org/ > > > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] Re: [ALERT] Un CDN Down ?
De temps en temps, lire les RFCs, les respecter, et penser que nos pairs ont bossé dessus des heures sans réellement être rémunérés pour le bien de tous, ça fait du bien à l'internet (et l'égo aussi) Merci @Pierre Colombier -Message d'origine- De : frnog-requ...@frnog.org De la part de Pierre Colombier via frnog Envoyé : mercredi 9 juin 2021 13:27 À : frnog@frnog.org Objet : Re: [FRnOG] Re: [ALERT] Un CDN Down ? Je pense que le DNS n'est pas la solution à cause du temps de propagation et des caches qui ne respectent pas les ttl courts. Pour ne pas avoir le problème des caches (y compris celui dans le browser du client) , Il faut que ton site soit capable de générer en quelques instants des url différentes pointant sur l'autre CDN. Mais je pense que c'est beaucoup d'efforts pour rien car déjà c'est un évènement très rare et qui quand il arrive dure généralement potentiellement moins que le temps de détecter le problème et de prendre les mesures. En plus, tu n'est pas à l'abris d'introduire des bugs dans ton propre système qui au final aggravera le problème. On 09/06/2021 11:56, Damien Wetzel wrote: > Bonjour, > > En tant que revendeur de la solution, on a un peu souffert hier ;) > > Cela m'ammène à la question du multi-CDN, est ce que sa complexité se > justifie pour palier à des problemes comme celui rencontré hier qui > sont quand meme relativement trés rares ? > > Est ce que avoir une config de secours sur un autre CDN + un DNS > configurable rapidement avec des TTL courrs ~1min a un sens ? > > Vos avis m'interressent. > > Cordialement, > Damien > > > Stephane Bortzmeyer writes: > > On Tue, Jun 08, 2021 at 12:17:17PM +0200, > > Kévin GUERY via frnog wrote > > a message of 14 lines which said: > > > > > Apparemment de gros problèmes sur paypal, twitch, amazon et autres > > > qui sembleraient liés à un problème sur CDN ? > > > > Post-mortem de Fastly. Moins bien que ceux de Cloudflare mais meilleur > > que ceux d'Orange. > > > > https://www.fastly.com/blog/summary-of-june-8-outage > > > > > > --- > > Liste de diffusion du FRnOG > > http://www.frnog.org/ > --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [ALERT] Un CDN Down ?
Je pense que le DNS n'est pas la solution à cause du temps de propagation et des caches qui ne respectent pas les ttl courts. Pour ne pas avoir le problème des caches (y compris celui dans le browser du client) , Il faut que ton site soit capable de générer en quelques instants des url différentes pointant sur l'autre CDN. Mais je pense que c'est beaucoup d'efforts pour rien car déjà c'est un évènement très rare et qui quand il arrive dure généralement potentiellement moins que le temps de détecter le problème et de prendre les mesures. En plus, tu n'est pas à l'abris d'introduire des bugs dans ton propre système qui au final aggravera le problème. On 09/06/2021 11:56, Damien Wetzel wrote: Bonjour, En tant que revendeur de la solution, on a un peu souffert hier ;) Cela m'ammène à la question du multi-CDN, est ce que sa complexité se justifie pour palier à des problemes comme celui rencontré hier qui sont quand meme relativement trés rares ? Est ce que avoir une config de secours sur un autre CDN + un DNS configurable rapidement avec des TTL courrs ~1min a un sens ? Vos avis m'interressent. Cordialement, Damien Stephane Bortzmeyer writes: > On Tue, Jun 08, 2021 at 12:17:17PM +0200, > Kévin GUERY via frnog wrote > a message of 14 lines which said: > > > Apparemment de gros problèmes sur paypal, twitch, amazon et autres > > qui sembleraient liés à un problème sur CDN ? > > Post-mortem de Fastly. Moins bien que ceux de Cloudflare mais meilleur > que ceux d'Orange. > > https://www.fastly.com/blog/summary-of-june-8-outage > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] Re: [ALERT] Un CDN Down ?
Et puis d’après l’analyse que j’ai pu lire, le problème est un problème de couche 7 (voir 8 , l’interface chaise/clavier, c’est terrible ) Erreur http 503, c’est un problème applicatif, pas réseau. Le DNS là-dedans … De : Ludovic LACOSTE Envoyé : mercredi 9 juin 2021 13:16 À : Samuel Thibault Cc : Damien Wetzel ; frnog-al...@frnog.org Objet : Re: [FRnOG] Re: [ALERT] Un CDN Down ? Ça depends aussi des numéros de version des enregistrements, de comment fonctionne le client du eyeballs, de la mise en place de Split dns (dans certains réseaux) etc etc etc Téléchargez Outlook pour Android<https://aka.ms/ghei36> From: Samuel Thibault mailto:samuel.thiba...@ens-lyon.org>> Sent: Wednesday, June 9, 2021 1:12:27 PM To: Ludovic LACOSTE mailto:ludoviclaco...@hotmail.com>> Cc: Damien Wetzel mailto:dwet...@atanar.com>>; frnog-al...@frnog.org<mailto:frnog-al...@frnog.org> mailto:frnog-al...@frnog.org>> Subject: Re: [FRnOG] Re: [ALERT] Un CDN Down ? Ludovic LACOSTE, le mer. 09 juin 2021 11:08:53 +, a ecrit: > Non, ça marche pas comme ça le caching de Dns, en fonction du TTL Mais encore ? S'ils augmentent le TTL, c'est bien pour éviter des requêtes. Et pour toutes ces requêtes évitées, c'est autant de clients qui n'auront pas switché de CDN. Samuel --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [ALERT] Un CDN Down ?
Ça depends aussi des numéros de version des enregistrements, de comment fonctionne le client du eyeballs, de la mise en place de Split dns (dans certains réseaux) etc etc etc Téléchargez Outlook pour Android<https://aka.ms/ghei36> From: Samuel Thibault Sent: Wednesday, June 9, 2021 1:12:27 PM To: Ludovic LACOSTE Cc: Damien Wetzel ; frnog-al...@frnog.org Subject: Re: [FRnOG] Re: [ALERT] Un CDN Down ? Ludovic LACOSTE, le mer. 09 juin 2021 11:08:53 +, a ecrit: > Non, ça marche pas comme ça le caching de Dns, en fonction du TTL Mais encore ? S'ils augmentent le TTL, c'est bien pour éviter des requêtes. Et pour toutes ces requêtes évitées, c'est autant de clients qui n'auront pas switché de CDN. Samuel --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [ALERT] Un CDN Down ?
Ludovic LACOSTE, le mer. 09 juin 2021 11:08:53 +, a ecrit: > Non, ça marche pas comme ça le caching de Dns, en fonction du TTL Mais encore ? S'ils augmentent le TTL, c'est bien pour éviter des requêtes. Et pour toutes ces requêtes évitées, c'est autant de clients qui n'auront pas switché de CDN. Samuel --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [ALERT] Un CDN Down ?
Non, ça marche pas comme ça le caching de Dns, en fonction du TTL Téléchargez Outlook pour Android<https://aka.ms/ghei36> From: frnog-requ...@frnog.org on behalf of Samuel Thibault Sent: Wednesday, June 9, 2021 1:07:09 PM To: Damien Wetzel Cc: frnog-al...@frnog.org Subject: Re: [FRnOG] Re: [ALERT] Un CDN Down ? Damien Wetzel, le mer. 09 juin 2021 12:10:50 +0200, a ecrit: > Je sous entends bien sur que le serveur DNS autorité est robuste > Il faut que le TTL soit court pour que le switch de CDN se fasse rapidement > meme si les resolveurs DNS peuvent mettre des valeurs minimum plus hautes Si les résolveurs DNS augmentent le TTL, justement le switch de CDN ne se fera pas avant ce TTL élevé... Samuel --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [ALERT] Un CDN Down ?
Damien Wetzel, le mer. 09 juin 2021 12:10:50 +0200, a ecrit: > Je sous entends bien sur que le serveur DNS autorité est robuste > Il faut que le TTL soit court pour que le switch de CDN se fasse rapidement > meme si les resolveurs DNS peuvent mettre des valeurs minimum plus hautes Si les résolveurs DNS augmentent le TTL, justement le switch de CDN ne se fera pas avant ce TTL élevé... Samuel --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] Re: [ALERT] Un CDN Down ?
Et, comme tu le soulignes Damien, les résolveurs DNS de la plupart des
opérateurs des eyeballs "forcent" ce même TTL pour éviter des DoSDNS, par
exemple ...
-Message d'origine-
De : frnog-requ...@frnog.org De la part de Damien
Wetzel
Envoyé : mercredi 9 juin 2021 12:11
À : frnog-al...@frnog.org
Objet : [FRnOG] Re: [ALERT] Un CDN Down ?
Je sous entends bien sur que le serveur DNS autorité est robuste Il faut que le
TTL soit court pour que le switch de CDN se fasse rapidement meme si les
resolveurs DNS peuvent mettre des valeurs minimum plus hautes
Stephane Bortzmeyer writes:
> On Wed, Jun 09, 2021 at 11:56:43AM +0200, > Damien Wetzel
> wrote > a message of 51 lines which said:
>
> > Est ce que avoir une config de secours sur un autre CDN + un DNS > >
> > configurable rapidement avec des TTL courrs ~1min a un sens ?
>
> Je rappele qu'un TTL DNS court est un excellent moyen d'aggraver les >
> conséquences d'une panne ou d'une attaque contre vos serveurs DNS > faisant
> autorité. TTL de 10 minutes : vous devez être sûr que vos > serveurs
> faisant autorité seront sauvés en moins de 10 minutes.
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
--
~
Damien WETZEL (ATANAR TECHNOLOGIES)("`-/")_.-'"``-._
http://www.atanar.com . . `; -._)-;-,_`)
(v_,)' _ )`-.\ ``-'
Phone:+33 9 67 35 09 05_.- _..-_/ / ((.'
- So much to do, so little time - ((,.-' ((,/
~
---
Liste de diffusion du FRnOG
http://www.frnog.org/
---
Liste de diffusion du FRnOG
http://www.frnog.org/
RE: [FRnOG] Re: [ALERT] Un CDN Down ?
Il faudrait voir ce qu'ont donné les sites qui sont sous Cedexis, par exemple,
parce que le "CDN de CDNs" c'est un concept ancien qui est déjà en place chez
pas mal de monde avec des technos plus ou moins propriétaires/commerciales.
En 2003, j'avais participé à quelques discussions concernant la RFC 3466, ça
aurait été un aboutissement du CDN, un autre moyen de faire du CDN de CDNs,
mais bon ...
-Message d'origine-
De : frnog-requ...@frnog.org De la part de Damien
Wetzel
Envoyé : mercredi 9 juin 2021 11:57
À : Stephane Bortzmeyer
Cc : Kévin GUERY ; frnog-al...@frnog.org
Objet : [FRnOG] Re: [ALERT] Un CDN Down ?
Bonjour,
En tant que revendeur de la solution, on a un peu souffert hier ;)
Cela m'ammène à la question du multi-CDN, est ce que sa complexité se justifie
pour palier à des problemes comme celui rencontré hier qui sont quand meme
relativement trés rares ?
Est ce que avoir une config de secours sur un autre CDN + un DNS configurable
rapidement avec des TTL courrs ~1min a un sens ?
Vos avis m'interressent.
Cordialement,
Damien
Stephane Bortzmeyer writes:
> On Tue, Jun 08, 2021 at 12:17:17PM +0200, > Kévin GUERY via frnog
> wrote > a message of 14 lines which said:
>
> > Apparemment de gros problèmes sur paypal, twitch, amazon et autres > >
> > qui sembleraient liés à un problème sur CDN ?
>
> Post-mortem de Fastly. Moins bien que ceux de Cloudflare mais meilleur >
> que ceux d'Orange.
>
> https://www.fastly.com/blog/summary-of-june-8-outage
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
--
~
Damien WETZEL (ATANAR TECHNOLOGIES)("`-/")_.-'"``-._
http://www.atanar.com . . `; -._)-;-,_`)
(v_,)' _ )`-.\ ``-'
Phone:+33 9 67 35 09 05_.- _..-_/ / ((.'
- So much to do, so little time - ((,.-' ((,/
~
---
Liste de diffusion du FRnOG
http://www.frnog.org/
---
Liste de diffusion du FRnOG
http://www.frnog.org/
Re: [FRnOG] Re: [ALERT] Un CDN Down ?
Stephane Bortzmeyer (bortzmeyer) writes: > On Tue, Jun 08, 2021 at 12:17:17PM +0200, > > Vous avez plus d'infos ? > > Fastly est HS. Ça donne des résultats amusants quand on peut récupérer > une partie seulement d'un site. https://docs.fastly.com/en/guides/fastlys-network-status ... oscille entre "Guru meditation" (varnish) et une page de Décembre 2020. Amazon.com ressemble à une page vue avec Mosaic 1. --- Liste de diffusion du FRnOG http://www.frnog.org/
