ns-labのMTA鯖を拠点冗長化してみた
先日契約したConoHa鯖の主な目的が、メール自鯖拠点冗長化の為だったのだが、
やっと時間が取れたので、先週辺りに構築を行い1週間程動かしてみた。
結果、特にエラーとか無限ループ配送も無く動作している模様なので、
自鯖と言えどもカットオーバーを迎える事が出来たのだった(`・ω・´)
構成概要としては、↑の様な感じ。
正直な所、改善の余地大ありなのだが、業務じゃないしこんなもんで良いかと思っている ヘ(゚∀゚ヘ)
冗長化の方法は、オーソドックスにInternetからドメインを見た時のMXレコードを二つ書いておき、
等コストバランシングでMX配送させる手法。
自鯖+クラウド鯖で冗長化の場合、コストを編集してどちらかに倒すのが一般的だと思うのだが、
ns-labの場合、ConoHa鯖と[ns-lab BB]をVPN接続しているので、
そのままVPN経由でメール配送をしている。
Internet経由でns-labのDNS鯖に対してMXレコードを引くと、等コストのMXレコードが返答される。
ちなみに、今まではDNS鯖をアウトソースしていたのだが、
自身のスキルアップとログ収集を兼ねて2ヶ月程前から自鯖に移管していたり。
日にもよるが、1日で2000~3000位のqueryが飛んでくる。まぁ、自鯖だからこんなもんだろう…
………
あと、送信についても同じように自鯖とConoHa鯖の両拠点から出て行く設計にしてあったり。
で、ここで問題になったのがGmailや一部のメールドメインにメールを送った時にSPF認証が走り、
送信用SMTP鯖のFQDNとメール鯖のFQDNの不一致によってSPFが転けてしまう事。
これがConoHa鯖から出て行った際に発生してしまい、3日程悩んだのは良い経験(´・ω・`)
メール送信鯖のドメインは違うFQDNなのだが、
NAPTしている関係上、IPアドレスは同じ値なのでTXTレコードもIPアドレスで書いている。
本当はもっとキツ目な制限をかけるべきなのだが、自鯖なので以下略。
ちなみに、TXTレコードの読み方は↓のサイト様が詳しいのでオススメ
・Ystream:DNSのTXTレコード(SPF)まとめ
………
本題に戻って「なんでこんな面倒臭い構成に…?」という点だが、
ぶっちゃけ、メール鯖の冗長化については趣味の範囲としか良い様がないです(゜∀。)
いや、前途の通りDNS鯖はちゃんとした理由があるのだが。
強いて言うなら、自鯖のH/Wメンテ中にメールが来た時の一時プールとして稼働させたい程度。
色々と拡大し続けている[ns-lab BB]だけど、一体何処までいくのやら。
管理者本人ですらまだまだわからない。技術が増える毎に増えていくのだろう…