The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]



"Отказоустойчивый кластер почтовых серверов"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Открытые системы на сервере (Почта / Linux)
Изначальное сообщение [ Отслеживать ]

"Отказоустойчивый кластер почтовых серверов"  +/
Сообщение от IgorKH2000 (ok) on 18-Апр-18, 14:11 
Добрый день!

Есть 2 филиала Ф1 и Ф2. К Ф1 подведены 2 провайдера П1 и П2, к Ф2 подведены П1 и П3.
В нормальном режиме работы оба филиала работают через П1, т.к. Ф2 работает через тунель и поднятый vpn П1 до Ф1. При его падении оба филиала переключаются на П2 и П3 соответственно.
Основной почтовый сервер C1 на CentOS находится в Ф1, резервный C2 в Ф2 также на CentOS.
Задача - при каких либо перебоях у провайдера П1, прозрачно перейти на провайдеры П2 и П3 как для внешних клиентов почтового сервера, так и для внутренних (доменных) клиентов.
При падении П1 работаем с С1 через П2, при падении П1 и П2, а такое тоже возможно, когда нет напряжения в Ф1, работам с С2 через П3.
Получается несколько этапов:
1) когда падает провайдер П1 (один или совместно с П2), нужно понять, что он(и) упал(и)
2) изменение в dns - глобальном и локальном
3) при поднятии канала П1 и vpn автоматически вернуть основные настройки сети.
На почтовых серверах CentOS, dns на контроллерах (основном в Ф1 и резервном в Ф2) домена MS Server2012 + Cisco ASA 5505 в филиалах Ф1 и Ф2.

По почтовым серверам
Один является полнофункциональным почтовым сервером, на второй дублируются письма через механизм репликации Cyrus-imap для бэкапа.
Задача так же сделать чтобы при выходе из строя основного сервера можно было подключиться ко второму из почтового клиента для приёма и отправки почты.
На основном установлен postfix+cyrus-imapd+amavis+spamassassin(с базой фильтров в MySQL)+postgrey+opendkim+opendmarc+mailman+roundcube и всё это дело нужно как-то синхронизировать на резервный сервер. Задача в основном в том чтобы синхронизировать именно настройки, т.к. сами письма реплицируются и по идее сам cyrus может отслеживать изменения между мастером и репликой.

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Отказоустойчивый кластер почтовых серверов"  +/
Сообщение от Pahanivo (ok) on 18-Апр-18, 14:30 
> При падении П1 работаем с С1 через П2, при падении П1 и
> П2, а такое тоже возможно, когда нет напряжения в Ф1, работам
> с С2 через П3.

простите, не совсем понял как вы на Ф1 будете работать с С2, когда у вас все ПХ на Ф1 лежать ...

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Отказоустойчивый кластер почтовых серверов"  +/
Сообщение от IgorKH2000 (ok) on 18-Апр-18, 14:51 
>> При падении П1 работаем с С1 через П2, при падении П1 и
>> П2, а такое тоже возможно, когда нет напряжения в Ф1, работам
>> с С2 через П3.
> простите, не совсем понял как вы на Ф1 будете работать с С2,
> когда у вас все ПХ на Ф1 лежать ...

Уважаемый Pahanivo
это вариант
>>когда нет напряжения в Ф1

т.е. Ф1 сидит без работы вообще, такое, к сожалению, тоже возможно - промышленная зона!
Надо чтоб Ф3, Ф4 и т.д. могли работать через Интернет с корпоративной почтой с Ф2, т.е. сервера С2 (резервного) через П3. А Ф1 в это время пока будет чаи гонять и бамбук курить )))))))

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

7. "Отказоустойчивый кластер почтовых серверов"  +/
Сообщение от Pahanivo (ok) on 19-Апр-18, 00:24 
ну тогда единственно рассово верный вариант это вынос обоих серваком для начала во вне в надежный датацентр как пишуть нижее

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

3. "Отказоустойчивый кластер почтовых серверов"  +/
Сообщение от PereresusNeVlezaetBuggy (ok) on 18-Апр-18, 15:30 
>[оверквотинг удален]
> Задача - при каких либо перебоях у провайдера П1, прозрачно перейти на
> провайдеры П2 и П3 как для внешних клиентов почтового сервера, так
> и для внутренних (доменных) клиентов.
> При падении П1 работаем с С1 через П2, при падении П1 и
> П2, а такое тоже возможно, когда нет напряжения в Ф1, работам
> с С2 через П3.
> Получается несколько этапов:
> 1) когда падает провайдер П1 (один или совместно с П2), нужно понять,
> что он(и) упал(и)
> 2) изменение в dns - глобальном и локальном

Зачем? Пока что я не вижу проблемы, которая бы не решалась статичными приоритетами в MX и статичными настройками почтового сервера:

В DNS-зоне:

MX 20 prov1.f1.mail.domain.ru
MX 19 prov2.f1.mail.domain.ru
MX 10 prov1.f2.mail.domain.ru
MX 10 prov3.f2.mail.domain.ru

Вообще динамически менять DNS — идея не очень хорошая, как минимум из-за кеширования записей. Представьте, что DNS — это публичный API вашей инфраструктуры, если вы его меняете так или иначе — его пользователям надо под это подстраиваться, а, значит, будут (обоснованные) жалобы пользователей. Лучше изменять вашу внутреннюю кухню — маршрутизацию, внутренние IP-адреса и т.д.

Насчёт репликации настроек — Ansible, или что-либо аналогичное в руки. Да, несколько дней понадобится на плотное «въезжание», зато потом все преимущества шаблонизации и централизации будут вам доступны, экономя время и страхуя от ряда ошибок в критических ситуациях («не там не так поправил не тот файл»).

С репликацией в cyrus не работал, да и в целом опыта с ним мало, так что даже ничего пытаться советовать не буду, чтобы не ляпнуть глупость. :)

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "Отказоустойчивый кластер почтовых серверов"  +/
Сообщение от universite (ok) on 18-Апр-18, 17:46 
>>[оверквотинг удален]
>> Задача - при каких либо перебоях у провайдера П1, прозрачно перейти на
>> провайдеры П2 и П3 как для внешних клиентов почтового сервера, так
>> и для внутренних (доменных) клиентов.
>> При падении П1 работаем с С1 через П2, при падении П1 и
>> П2, а такое тоже возможно, когда нет напряжения в Ф1, работам
>> с С2 через П3.
>> Получается несколько этапов:
>> 1) когда падает провайдер П1 (один или совместно с П2), нужно понять,
>> что он(и) упал(и)

Настройте правильно PBR на глюзах этих филиалов.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

9. "Отказоустойчивый кластер почтовых серверов"  +/
Сообщение от Egenius (ok) on 19-Апр-18, 06:52 
> Настройте правильно PBR на глюзах этих филиалов.

Можно подробнее и как это может помочь ?

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

10. "Отказоустойчивый кластер почтовых серверов"  +/
Сообщение от IgorKH2000 (ok) on 19-Апр-18, 07:23 
Есть еще филиалы Ф3, Ф4, т.д. и сотрудники в любой точке страны - им необходимо, чтоб у них был доступ к корпоративному почтовому серверу всегда (imap, https).
MSOutlook MX записи не смотрит


Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

12. "Отказоустойчивый кластер почтовых серверов"  +/
Сообщение от PereresusNeVlezaetBuggy (ok) on 22-Апр-18, 02:00 
> Есть еще филиалы Ф3, Ф4, т.д. и сотрудники в любой точке страны
> - им необходимо, чтоб у них был доступ к корпоративному почтовому
> серверу всегда (imap, https).
> MSOutlook MX записи не смотрит

Outlook на них и не должен смотреть, да.

Как мне видится, вам надо скорее в каждом филиале иметь полностью автономный почтовый сервер, но чтобы между всеми почтовыми серверами происходила быстрая репликация. В принципе, если письма хранятся в maildir, то репликацию можно настроить даже без участия почтового сервера, на уровне файловой системы — я имею в виду решения вроде lsyncd. Что там с cyrus'ом — не знаю.

То есть, у каждого филиала своя веб-морда, свой cyrus и что там у вас ещё, и даже если все кабели в округе переедут экскаваторами, ваши пользователи доступ к почте в целом не потеряют.

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

5. "Отказоустойчивый кластер почтовых серверов"  +/
Сообщение от universite (ok) on 18-Апр-18, 17:48 

> 3) при поднятии канала П1 и vpn автоматически вернуть основные настройки сети.

Для OpenVPN есть возможность указать старт-стоп скрипты.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "Отказоустойчивый кластер почтовых серверов"  +/
Сообщение от _ (??) on 18-Апр-18, 22:22 
[...]
Купите VPS в надёжном DC, установите там почтарь и перестаньте занимаццо ... ну как раз вот этим всем :)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

8. "Отказоустойчивый кластер почтовых серверов"  +/
Сообщение от IgorKH2000 (ok) on 19-Апр-18, 06:31 
> Купите VPS в надёжном DC

Не можем выносить почтовый сервер во вне по политическим (для кого-то религиозным) причинам ...


Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

11. "Отказоустойчивый кластер почтовых серверов"  +/
Сообщение от Pahanivo (ok) on 20-Апр-18, 09:55 
> Не можем выносить почтовый сервер во вне по политическим (для кого-то религиозным)
> причинам ...

разделяйте мух и котлеты - веру и технологию.

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

13. "Отказоустойчивый кластер почтовых серверов"  +/
Сообщение от _ (??) on 26-Апр-18, 16:30 
>> Не можем выносить почтовый сервер во вне по политическим (для кого-то религиозным) причинам ...
> разделяйте мух и котлеты - веру и технологию.

Вот всеми девятью щупальцами - ДА!
Мыло - оно открытая система (почти всегда) :) И даже если ты всё насквозь защитил и зашифровал у _себя_ - все твои письма аккуратно лежат у твоих адресатов на gmail\yandex и прочих :)


To:  IgorKH2000
Я _вдоволь_ напрыгался по этим граблям. Так вот - если нет денег\желания выносить инвариант в ДЦ и взвалить проблемы по обеспечению доступности _на_них_ то _единственно_работающий_ в промышленном грэйде вариант это:

... барабанная дробь ...

готовить _БАБЛО_ для:
- найма _команды_ опытных и мотивированных сетевиков (сколько эта банда будет вам стоить ...);
- закупки оборудования, выбранного этой бандой (а не самого чипового что сможете найти);
- закупки _симметричных_ каналов до эджа провайдеров, в дополнение к дслям;
- закупка своей AS (или AS-es) и настройка BGP всех поторохов на эдже и внутри тоже;
- найм толковой команды электриков, которые шурупят в _современном_ оборудовании, а не в шитовых времён паровых генераторов (тоже будет стоить);
- закупка электрооборудования выбранного этой командой (так же как у сетевиков :) Сразу хочу вас спросить - вы видели UPS пром уровня?  А дизеля?;
- О!!! Забыл! Дизелисты вам тоже будут нужны :-)))
- найм толковой команды кондиционерщиков (то же не за руппь\пучок :);
- закупка хладо- и фильтро- оборудования и выбранного этой командой ( :-))) );

Ну что мы дошли до середины списка :-))))))))))  
А вы мля думали в сказку попали?!?!

Покажи мой пост руководству.
Если не проймёт - БЕГИ ОТ ТУДА! Я серьёзно.

как то так,
Не Ваш,
_

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема


  Закладки на сайте
  Проследить за страницей
Created 1996-2018 by Maxim Chirkov  
ДобавитьПоддержатьВебмастеруГИД  
Hosting by Ihor