Analyse d’une redondance parfaite

Nos serveurs Internet d’entreprise
se trouvent dans un rack
que nous louons dans un immeuble
distant en colocation. J’ai
établi des alimentations Internet
redondantes en utilisant BGP
(Border Gateway Protocol) de
deux fournisseurs différents, chacune
avec son propre moteur et
pare-feu. Les routeurs et pare-feu
sont configurés de sorte que l’un
de chaque soit en mode standby.
Entre les pare-feu et les routeurs
se trouve un commutateur Ethernet
et voilà  où ça coince : si le
commutateur tombe en panne,
tout le reste de la redondance est
perdue. Or, je ne peux pas mettre
en place deux commutateurs
parce que l’un ou l’autre des
pare-feu doit être capable de parler
directement à  l’un ou l’autre
des routeurs pour que le failover
automatique fonctionne. Quelle
est la solution ?

Vous venez de découvrir qu’il n’est pas
facile d’obtenir une redondance totale.
J’ai bien une réponse à  votre problème
immédiat, mais je n’en crains pas
moins que vous deviez affronter
d’autres problèmes de redondance qui
vous ont peut-être échappé.
Pour résoudre votre problème de
commutateur Ethernet, installez un second
commutateur comme vous le
suggérez, relié à  l’une des paires routeur/
pare-feu. Mais ajoutez un câble interconnectant
les deux commutateurs
et ajoutez une seconde liaison Ethernet
dédiée entre les deux routeurs. Si
un commutateur est défaillant, le routeur
qui lui est connecté ne pourra
plus être atteint directement sur le réseau
interne mais pourra l’être indirectement
par le biais de l’autre routeur.
Si le pare-feu actif est attaché au commutateur
défaillant, le pare-feu standby
prendra automatiquement le relais.
Il vous faudra ajouter quelques routes
statiques à  vos routeurs ; ce processus
est expliqué dans un très bon ouvrage
de Iljitsch van Beijnum BGP, publié par
O’Reilly Press.
Je me demande quand même si
vous avez vraiment pris en compte
tous les aspects de redondance nécessaires
pour blinder votre rack 100 %.
En effet, il faut aussi songer à  la redondance
Ethernet interne, à  l’alimentation
électrique, et à  la distribution de la
fonction serveur.
Les câbles Ethernet, commutateurs
et NIC situés de l’autre côté du rack,
derrière le pare-feu, peuvent tomber
en panne, entraînant une immobilisation
complète si vous ne prenez pas les
précautions d’éliminer les points de
défaillance uniques. Vous devriez avoir
des commutateurs Ethernet internes
doubles et des NIC doubles sur chaque
serveur afin que chaque serveur soit
connecté aux deux commutateurs.
La distribution de l’alimentation
électronique doit aussi vous préoccuper.
Vous avez probablement un dispositif
de secours par batterie, mais il y a
d’autres incidents électriques qui peuvent
faire des dégâts. Par exemple, un
disjoncteur peut sauter, ou votre UPS
(uninterrupted power supply) dans le
rack ou votre rail de distribution électrique
peuvent tomber en panne. Vous
devriez avoir deux UPS de rack et deux
rails de distribution électrique et avoir
des alimentations doubles dans tous
vos pare-feu, routeurs et serveurs,
chaque appareil étant branché aux
deux bus d’alimentation. Bien entendu,
les deux bus doivent se trouver
sur des disjoncteurs CA séparés.
Enfin, vous devez vous protéger
vous-même contre toute défaillance
des serveurs en prévoyant un serveur
de secours pour chaque fonction critique.
Par exemple, si vous utilisez
DNS, vous devez avoir un serveur DNS
de secours ; si vous utilisez SQL, un
serveur SQL de secours est indiqué.
N’oubliez pas de synchroniser le
contenu de ces serveurs de manière régulière.
Après avoir pesé tout ce qui est nécessaire
pour construire un rack vraiment
redondant, vous déciderez peutêtre
que le jeu n’en vaut pas la
chandelle, financièrement parlant, et
qu’il vaudra mieux parfois aller réparer
un problème sur le site. Je vous mets
en garde contre toute redondance non
nécessaire. Voilà  qui serait… redondant.