Vlákno názorů k článku
Resort justice včetně soudů zůstal 16 hodin odříznut od internetu [AKTUALIZOVÁNO] od Danny - Kazdy, kdo trosku pracuje s routingem globalniho internetu...

Kazdy, kdo trosku pracuje s routingem globalniho internetu vi, ze v pripade IPv4 specifictejsi prefix jak /24 ven proste neprotlaci. A ano, Google ma ctyri DNS a kdyz se podivate pozorne, ma je geograficky rozstrkane - a kazde ma svou /24. Obdobne to ma treba i Cloudflare. A spousta dalsich.
Routing resite per-prefix, muzu mit klidne jedno ASN postavene tak, ze z ruznych mist propaguje ruzne prefixy a dokonce to (jako ASN) nemusi byt mezi sebou spojene. To je zjednodusene receno i zaklad fungovani vsech anycastu. Z kolika ASN to jde je opravdu podruzne, dulezite jsou ty prefixy (a opravdu existujici samostatne routy).

Proste strcit to do jedne /24 vsecky DNS a brat to jako akceptovatelne riziko, kdyz to cele vypadne je zvlaste v pripade vcelku kriticke infrastruktury statu pomerne problem. A na justice.cz bezi mimo jine insolvencni rejstrik a tam si nemuzete dovolit to mit buhvikolik hodin mimo provoz. Asi nebudete chtit uzavirat nejakou smlouvu s nekym, kdo je v insolvenci, ze? :-) I v zakone je na zverejneni lhuta v radu 2 hodin. Kdopak asi zaplati pripadne skody, hm?

Anycast přes stejné switche? Asi máme každý jinou představu o tom, co je anycast.

Výpadek Googlu v ČR před pár lety byl výpadek v ČR, ne celosvětový výpadek. Nebyl způsoben navrženou infratsrukturou DNS serverů.

Nikdo tu nepsal, že DNS servery dostupné různými cestami zachrání všechno.

Bavime se o justici nebo o cem? Tech 30 popu bylo v anycastu, no.
Justice ma proste dva servery (pravdepodobne).
>Takže to 26 let staré doporučeí splňuje velice dobře.
Tezko rict. SPoF je furt ASN/routing domena.
Jde to pres stejne switche a stejny demon?
Vypadek Gcka pred par lety ukazal, ze prakticky ano.
Google dva ASN na tohle nema.
Proc? Prilis moc prace.
Vic ASN? VIc /24, kazda jinak routed? Jedno /24 a IP vedle sebe, jako jsme meli my?
Tohle jsou uvahy.. kazda sluzba ma definovany error budget a nejake dogmata z RFC jsou..k nicemu.
Zcela mimo realitu SRE.
Nejdriv se definuje accepted downtime a pak se to udela tim nejjednodussim zpusobem.
Protoze ani googli DNS nema expected uptime 100%. To vam reknou inzenyri, ze je nesmysl.

Google ale používá anycast adresy. Takže to 26 let staré doporučeí splňuje velice dobře. A zrovna na tomhle doporučení není nic zastaralého, naopak – to, že vám jedna chyba nemá zrušit celou doménu, dnes platí mnohem víc než před 26 roky.

>Tak on je fail mít vsechny DNS v ramci jednoho ASN.

To google docela failuje, co?
Tak jednoduche to neni a RFC je doporuceni 26 let stare.

Tak on je fail mít vsechny DNS v ramci jednoho ASN. Staci si pozorne precist clanek 3.1 v pomerne starickem RFC2182:
When selecting secondary servers, attention should be given to the various likely failure modes. Servers should be placed so that it is likely that at least one server will be available to all significant parts of the Internet, for any likely failure.
Jasne, muzete v ramci routingu sve site mit propagovane /32 IPv4 resp. /128 IPv6 a kazdy server mit v ramci sve site jinde. Ale do globalniho internetu tyhle specificky routy jaksi neposlete, ze? ;-) A ano, vypadek afektujici agregovanou routu propagovanou do globalniho internetu je take scenar, se kterym by se melo pocitat. A s tim co popisujete proste ono "any likely failure" pokryte nemate, pokud mate IP hned vedle sebe (a nejsou to IP na zacatku/konci dvou propagovanych subnetu).

My taky meli dve IP vedle sebe, ale tech POPu bylo asi 30. Jen ze uvaha IP = server sice u justice.cz asi plati, ale ne vsude.

Jestli náhodou nebylo sestřelení těch DNS pokusem o mitigaci nějakého jiného problému ... :-)

A to ma vadit cemu presne? Vice DNS zon na jednom DNS serveru je naprosto bezny use-case. Rec je o tom, ze kdyz ustrelim jednu konektivitu, tak nesmi lehnout vsechny DNSka obsluhujici dane zony. Aneb v situaci, kdy mam DNS servery na dvou IP adresach hned vedle sebe vice nez pravdepodobne, ze to umre naraz komplet.

a teď si představ, že někdo dokonce provozuje několik DNS serverů na stejné IP adrese, ne jen na těch vedle sebe.

Dva DNS servery, oba v temze IP segmentu - IP adresy hned vedle sebe... DNSSEC nasazeny s algoritmy, co detaily o vnitrni infrastrukture skrze DNS vykeca do sveta.

Nabizi se otazka, ktery diletant tohle stavel...