Techniek

Veeam Backup & Recovery en daDup van Tuxis

Simpel en snel extra capaciteit aan je huidige backup omgeving knopen? Of is je doel juist off-site backups? Dit zodat je in het geval van een calamiteit sneller kan starten met je disaster recovery.

Dat kan met daDup van Tuxis! daDup is S3-compatible storage, veilig gehost in Nederland.

Als je al een daDup account hebt dan is deze in no-time aan je Veeam toegevoegd.

Service

Welke resolving nameservers gebruikt u?

Het omzetten van de domeinnaam www.tuxis.nl naar een ip-adres moet zo snel mogelijk én veilig gebeuren. Misschien hebt u er in de afgelopen maanden wel over gehoord, DoH, oftewel, DNS over HTTP. DNS heeft historisch nogal wat uitdagingen qua beveiliging. Het is niet encrypted en bleek ook nog wel eens wat makkelijk te spoofen/vervalsen.

DNS heeft twee typen servers, de authoritative en de resolving servers. De authoritative servers geven alleen antwoord op de domeinnamen die ze kennen. Zij zijn de enige die het antwoord weten op de vraag ‘waar woont tuxis.nl’. In ons geval zijn dat nssecauth1.tuxis.nl en nssecauth2.tuxis.nl.

Het andere type is resolving nameservers. Dat zijn de servers waaraan u kunt vragen, ‘waar woont duckduckgo.com?’. Zij beginnen dan bovenin de boom te zoeken (.) naar het antwoord, controleren of DNSSEC in orde is en geven het antwoord. En daarna onthouden ze het voor zolang als de authoritative server heeft gezegd dat dat mag, de TTL (Time To Live).

Hoewel DNSSEC iets zegt over de kwaliteit van het antwoord, wat u vraagt en het antwoord op die vraag gaat onversleuteld over het internet. Daarom is DoH bedacht. HTTPS-is immers altijd versleuteld en dus veilig! Of toch niet?

Firefox heeft besloten om DoH te gaan ondersteunen, en om daarbij ook nog te kiezen voor een enkele partij die de resolving voor ze gaat doen, CloudFlare.
CloudFlare (een commercieel bedrijf) gaat dus “gratis” al uw vragen beantwoorden. Dat roept bij mij weer andere vragen op. Als u wilt weten hoe uw Firefox is geconfigureerd is de DoH FAQ van Firefox misschien wel handig om te bekijken.

Er zijn ook veel mensen die gebruik maken van de “gratis” nameservers van Google, 8.8.8.8. Naast dat Google er wat ons betreft nogal dubieuze motieven op na houdt, wordt uw resolving ook nogal wat trager! Metingen (100 keer ‘waar woont google.com’) geven de volgende waarde in milliseconde:

TuxisGoogle
Gemiddelde reactietijd1,325,26

Aangezien er veel vragen gesteld worden aan nameservers, kunnen al die miliseconden nogal wat invloed hebben op de snelheid die uw gebruikers ervaren. Daar komt bij, hoe meer mensen de Tuxis resolvers gebruiken, hoe beter de reactietijden van onze resolvers worden.

En qua privacy heeft Tuxis het toch wel wat beter voor elkaar dan Google. U vind de adressen van onze resolvers op onze support-pagina’s! In de nabije toekomst zullen wij ook TLS en DoH op onze resolvers gaan ondersteunen!

Nieuws

Nog meer IPv6!

Begin deze maand publiceerde de RIPE NCC een bericht dat zij nu meer verzoeken voor IP-adressen hebben dan de adressen die ze nog kunnen uitgeven. In de praktijk betekent dat, dat als je nu nog een bedrijf zou willen starten met internet waarbij je zelf IP-adressen zou willen hebben, de kans heel groot is dat je niet meer dan 256 adressen kunt krijgen. Dat wordt lastig ondernemen zo!

Gelukkig is de oplossing allang bekend, maar schort het aan redenen om de oplossing te implementeren. IPv6 implementeren kost tijd (en dus geld) en moeite, maar zeker nu IPv4 in onze wereldregio echt op is begint het wel de moeite te worden.

Algemeen

daDup as UrBackup Appliance Storage

As most of our customers know, we like to use UrBackup for backing up our own infrastructure, as well as their own machines. We like it so much, we pay the company Infscape to add functionality such as ZFS snapshot support. They are currently implementing IPv6 on our request!

What most people don’t know, is that Infscape also has backup appliances. Those appliances are pre-installed Debian machines with a special version of UrBackup that might make things a little easier for some administrator that don’t want to fiddle with operating systems too much.

What’s so special about this appliance that Tuxis must blog about it? The appliance supports Cloudstorage. We happen to have a product that is compatible, daDup! Infscapes UrBackup Appliance is able to talk to daDup’s S3-API, making it possible to store your backups for only € 0,012 per GB.

Techniek

There, I fixed it! NAT64 to the rescue

Al jaren doen we bij Tuxis dingen met IPv6. Eigenlijk is er niets dat bij ons geen IPv6 doet. En dus leveren we onze TCC-clusters tegenwoordig IPv6-only op. Dat wil zeggen, de management laag. Om de apparatuur van onze klanten te beheren hebben wij geen IPv4 meer nodig, en dat scheelt weer IPv4-adressen in de schaarste!

Maar soms heb je wel eens iets nodig, van Github.com bijvoorbeeld. Een mooi platform waar heel veel (open source) software op te vinden is die wij kunnen gebruiken om het leven van onze klanten nog prettiger te maken. (Vandaag was het netdata)

DNS nog veiliger met DNSSEC
Nieuws

DNSSEC: nóg veiligere DNS met een digitale handtekening

Het DNS (Domain Name System) zorgt ervoor dat computers weten bij welk IP-adres een domeinnaam hoort. Met een domeinnaam van Tuxis kunt u kosteloos gebruikmaken van ons DNS cluster. Deze maand breiden wij ons DNS cluster uit met DNSSEC. Wat is DNSSEC precies en wat zijn de voordelen?

Het risico van traditionele DNS

DNS zorgt voor de vertaling van domeinnamen naar IP-adressen. Doordat DNS één van de eerste internet-protocollen is, is DNS niet helemaal conform met de beveiliging die tegenwoordig op internet verwacht mag worden. Zo zijn er diverse DNS-aanvallen die stammen uit de jaren ’80 toen DNS een gloednieuw protocol was. Wanneer een client (bijvoorbeeld een pc of server) het IP-adres van een website opvraagt met DNS, kan een kwaadwillende het IP-adres in het antwoord aanpassen en zorgen dat u de server van de kwaadwillende aanspreekt i.p.v. de website van uw bank. Zo’n omleiding is niet eenvoudig maar niet onmogelijk.

Nieuws

Tuxis Netwerk Upgrades

Het waren roerige tijden voor AS197731 (de technische naam van het netwerk van Tuxis) in de afgelopen weken. Een aantal keren veroorzaakte het netwerk van de leverancier NL-IX/Joint Transit (JT) onderbrekingen, waardoor onze klanten verbindingen verloren en soms zelfs even niet opnieuw konden opzetten. Tot overmaat van ramp veroorzaakten wij zelf ook nog een storing, wat het aantal storingen in de maanden september en oktober op 3 zetten.

In het kader van ‘geen woorden maar daden’ besloten we de volgende stappen te nemen. We:

Cehp Storage Cluster
Techniek

Ceph is dead, long live Ceph!

Een soortgelijke uitspraak wordt in een aantal landen gebruikt bij opvolging van de koning(in). En ook bij ons is er sprake van!

U zal er niet veel van gemerkt hebben, maar in de afgelopen maanden zijn we bezig geweest met het live migreren van onze storage naar een nieuw Ceph cluster. Het oude cluster (Ceph Hammer) heeft sinds november 2015 geweldige diensten geleverd en hebben we tevens veel dingen bijgeleerd.