[GTER] F Root Server no Brasil

[Frederico A C Neves]

Francisco,

On Thu, Aug 21, 2003 at 06:01:31PM -0300, kiko wrote:
> Frederico,
> 
> Em primeiro lugar, gostaria de parabeniza-los pelo feito.
> 

Muito obrigado em nome de toda a equipe do Registro.br.

> Gostaria de saber se você pode descrever, dentro do que não
> comprometer a segurança, qual a infra-estrutura de hardware e
> software foi montada para o F.ROOT, e como foram tratados os
> requisitos de tolerância a falhas e distribuição de carga.
> 

Em relação ao anycast, são utilizadas 2 técnicas. A primeira atende o
fim e proporciona um fall-back para o F global (AS PATH ... 3557 3557)
e a segunda a tolerância a falha local.

1) BGP

O anúncio sem transito para atingir AS periféricos mas não todo o
sistema de roteamento, as vezes chamado de "local anycast". Está
descrito nos dois documentos que eu citei antes.

2) ECMP para balanceamento em cluster.

Existem equipamentos (Juniper, Cisco com CEF, e talvez outros que
desconheço) que em situações de múltiplos caminhos com mesmo custo,
tem a capacidade de poder selecionar o next-hop, baseado em um "hash"
que pode ser composto por IPs e portas de origem e destino. Com isto
estabelece-se afinidade de sessão, o que permite o balanceamento
também para TCP.

Tem-se um conjunto destes equipamentos, conectados em geral a switchs
nível 2 com várias máquinas em geral "Unix Like" com o endereço IP do
serviço adicionado a loop-back. Um processo de roteamento rodando em
cada uma destas máquinas efetua o anúncio deste prefixo para os
equipamentos adjacentes.

Esta técnica é uma das muitas que permitem o balanceamento em um
cluster local. Além desta existem outras soluções baseada em "hash" em
caixas L2. Estas duas não sofrem da possibilidade de ataque ao ato de
balanceamento, uma vez que não mantém nenhum tipo de tabelas de estado
e o "hash" em geral é calculado em ASIC. Todavia possuem a limitação
de que todas as máquinas do clustes, pelo endereço da loop-back, não
tem como atingir toda a Internet. Em algumas aplicações isto pode ser
um problema.

Em geral, para balanceamentos locais os switchs de aplicação (L4-7),
que o Jonny citou, são mais adequados e simples de se operar. No
histórico de apresentações do GTER, existe uma palestra [1] muito boa
do Marcelo Molinari que fala de várias destas técnicas.

> Obrigado
> 
> Francisco Matos
> 
...

[]s
Frederico

Ps.: DNS é quase que na sua totalidade transportado por UDP mas TCP é
necessário em outras situações que não o [AI]XFR, por exemplo em um
pacote truncado no limite do payload para UDP (512 bytes), em outras
palavras, nunca filtre TCP porta 53 em um servidor DNS para o público
geral a não ser que tenha certeza do que está fazendo.

[1] ftp://ftp.registro.br/pub/gter/gter15/"GTER L4-7 Technologies.zip"