Hi, ich betreibe hier bei Netcup Kubernetes Cluster. Mein Team und ich arbeiten an einer art Kubernetes Hosting. Dementsprechend verständlich ist die Tatsache, das Security und High-Availability für und höchste Priorität haben.
Unsere VServer sind im Moment mit einem VLAN verbunden. Ein Gateway sorgt für die Verbindungen ins Internet, zusätzlich ist ein NGINX als Loadbalancer darauf eingerichtet.
Genau um dieses Gateway drehen sich in diesem Thread meine Fragen. Die VServer von Netcup haben zwar eine sehr gute Verfügbarkeit, aber ein redundantes System kann in vielen Situationen zusätzlichen Downtime vermeiden. Beispielsweise beim Updaten oder Configs ändern, die meist einen Restart des entsprechenden Dienstes oder des gesamten Systems erfordern. Daher möchten wir ein zweites Gateway einrichten, das zumindest als Fallback genutzt werden soll. Sofern aber eine Parallele Nutzung möglich wäre, könnte dies durchaus weitere Vorteile bringen.
Die Hauptfrage ist: wie realisiere ich ein redundantes Gateway? Das ich eine FailOverIP Adresse zwischen den beiden Servern wechseln lasse ist für für die meisten Realisierungen nicht zu vermeiden, aber wie ich intern ein solches Netzwerk aufziehe, ist mir noch nicht ganz klar.
So in etwa stelle ich mir die Realisierung vor:
Eine art interne FailOverIP Adresse, beziehungsweise entsprechende Netzwerk-Konfigurationen. Sofern so etwas realisierbar ist, hätte ich immerhin Ausfallsicherheit gewährleistet. Diese Variante würde bestimmt gut mit der Public FailOverIP funktionieren. In Anbetracht meiner anderen Umsetzungs-Ideen scheint mir diese ein guter Kompromiss zwischen Ausfallsicherheit und Umsetzbarkeit zu sein.
So etwas wie eine virtuellen Switch für VLANs wäre wirklich praktisch, nur leider wird von Netcup so etwas nicht geboten so weit ich weiß. Einen weiteren Linux Server als Switch zu konfigurieren macht ebenso wieder keinen sinn, da ich dann wieder eine nicht Redundante Komponente im Netzwerk hätte.
Mir schweben noch 2 andere Möglichkeiten zur Realisierung vor, diese haben aber meines Wissens entscheidende Nachteile entweder beim internen oder externen Traffic-Routing.
1. Konfiguration von 2 VLANs, jedes der beiden Gateways einem der Netzwerke zugeteilt. Auf den Kubernetes Nodes würden ich beide Netzwerke identisch konfigurieren. Leider kann ich bei einer RKE Node nur eine Interne IP angeben und ich befürchte Probleme wenn ich die IP Vergabe in beiden VLANs komplett identisch gestalte.
2. Über iproute2 eine Round-Robin Konfiguration mit Health-Check erstellen, wodurch die Interne Load auf beide Gateways verteilt würde. Aber die Dienste von außen anzusprechen wäre problematisch. Falls jemand diese Variante doch für Sinnvoll erachtet, bitte ich um ein paar Tipps worauf ich achten soll und generell wie das Konfiguriert werden kann. Bei DNS Servern kommt es durchaus mal zu Problemen wenn eine Domain auf zwei IP Adressen verweisen. Bei einem Ausfall dauert es eine Weile bis der DNS Server das Realisiert und den Traffic auf den aktiven Server umleitet.
Ich hoffe es findet sich hier jemand mit gutem Kenntnissen im Bereich Netzwerktechnik. Bevor ich mit der Konfiguration starte und viel Zeit darin investiere, möchte ich hier ein paar Meinungen und Tipps einhohlen. Auch Links zu Anleitungen für ähnliche Probleme können sehr hilfreich sein.
Vielen Dank.