Статус: Новичок
Группы: Участники
Зарегистрирован: 06.08.2009(UTC)
Сообщений: 1
|
День добрый.
Для обеспечения бесперебойной работы необходимо использовать два сервера TSP (териториально удаленные и разные операторы).
Есть опыт таких решений?
Каким образом обеспечить переключение ИС между серверами и как осуществлять балансировку и распеределние нагрузки между серверами?
Возможно ли это, и какие существуют технические возможности для такой реализации?
Также возможны ситуации, когда при формировании УЭЦП, содержащей два штампа, они могут быт получены от разных серверов TSP.
Как производится проверка УЭЦП в случае, если первый штамп времени будет проставлен одним сервером, а второй другим?
Какие доказательства в этом случае применяются для проверки подписи во втором штампе времени?
Спасибо.
|
|
|
|
|
|
Статус: Вам и не снилось
Группы: Администраторы
Зарегистрирован: 24.12.2007(UTC)
Сообщений: 831
Откуда: Крипто-Про
Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 48 раз в 44 постах
|
Здравствуйте. Наиболее простым решением будет обеспечить на уровне DNS разрешение одного имени сервера в два разных IP-адреса. При этом сервера Microsoft DNS Service или BIND (*nix) будут применять технологию round-robin и выдавать эти адреса в разном порядке по очереди, таким образом балансируя нагрузку. Известно также, что Microsoft DNS Service будет автоматически выдавать первым IP-адрес из подсети клиента, если такой есть. Следующим уровнем будет организация NLB-кластера, в котором два компьютера со службой TSP видятся всем под одним IP-адресом и сами договариваются о балансировке нагрузки. УЭЦП корректно создастся и проверится даже если штампы получены от разных служб. Вообще говоря, логика проверки УЭЦП всегда считает, что штампы от разных служб, и проверяет их соответственно. Внешний штамп проверяется полностью без использования доказательств, вложенных в УЭЦП. Отредактировано пользователем 7 августа 2009 г. 14:50:41(UTC)
| Причина: Не указана |
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 23.04.2008(UTC) Сообщений: 43  Откуда: Казань
|
Всем привет. Смирнов написал:Здравствуйте.
Наиболее простым решением будет обеспечить на уровне DNS разрешение одного имени сервера в два разных IP-адреса. При этом сервера Microsoft DNS Service или BIND (*nix) будут применять технологию round-robin и выдавать эти адреса в разном порядке по очереди, таким образом балансируя нагрузку. Известно также, что Microsoft DNS Service будет автоматически выдавать первым IP-адрес из подсети клиента, если такой есть.
...
Что происходит, если один сервер не доступен? Производится ли при этом автоматическая пересылка на работоспособный сервер?
|
|
|
|
|
|
Статус: Вам и не снилось
Группы: Администраторы
Зарегистрирован: 24.12.2007(UTC)
Сообщений: 831
Откуда: Крипто-Про
Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 48 раз в 44 постах
|
Смотря как недоступен. Если не удаётся установить связь на уровне IP, то будет попытка отправки на другой IP-адрес. |
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 23.04.2008(UTC) Сообщений: 43 Откуда: Казань
|
Всем привет. Смирнов написал:Смотря как недоступен. Если не удаётся установить связь на уровне IP, то будет попытка отправки на другой IP-адрес. Построил NLB-кластер, все работает. Спасибо за подсказку, действительно если не удаётся установить связь на уровне IP, то отправляется на другой IP-адрес. Кому интересно, вот информация как создавать кластер: http://www.sbsi.ru/content/view/67/48/ (прошу меня извинить, если нельзя класть ссылки). Вопрос: Ув. Смирнов, Вы сначало говорили, что сначала необходимо реализовать round-robin (RR) DNS, а потом кластеры? или же лучше использовать только одну из этих решений? Я к тому, что при применении RR, DNS чередует запросы к серверам (с установленными на них TSP службами) и получается, что при недоступности одного из серверов (сломался и выключился) подписание электронного документа с УЭЦП будет производится через раз (ведь DNS не отслеживает текущее состояние узла - надеюсь я смог объяснить ситуацию))). Т.е. DNS не перенаправляет запросы на работоспособный узел при недоступности другого (который сломался и выключился).
|
|
|
|
|
|
Статус: Вам и не снилось
Группы: Администраторы
Зарегистрирован: 24.12.2007(UTC)
Сообщений: 831
Откуда: Крипто-Про
Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 48 раз в 44 постах
|
Руслан написал:Вопрос: Ув. Смирнов, Вы сначало говорили, что сначала необходимо реализовать round-robin (RR) DNS, а потом кластеры? или же лучше использовать только одну из этих решений?
Я к тому, что при применении RR, DNS чередует запросы к серверам (с установленными на них TSP службами) и получается, что при недоступности одного из серверов (сломался и выключился) подписание электронного документа с УЭЦП будет производится через раз (ведь DNS не отслеживает текущее состояние узла - надеюсь я смог объяснить ситуацию))). Т.е. DNS не перенаправляет запросы на работоспособный узел при недоступности другого (который сломался и выключился). Совместо RR DNS и NLB использовать незачем. Имелось в виду, что RR DNS проще запустить. Также Вы правильно отметили, что RR DNS не обеспечивает отказоустойчивость сам по себе, а только балансировку нагрузки. Соответственно, для отказоустойчивости здесь необходимо предусмотреть настройку и использование нескольких адресов TSP в приложении. |
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
