Proxy SG: Alta Disponibilidad

Cuando hablamos de Alta Disponibilidad estamos buscando un sistema resistente a fallas, que pueda presentar los inevitables imprevistos y aun así continuar prestando servicio. Podríamos estar hablando de una configuración activo/pasivo donde sólo se utiliza la mitad del sistema o de una configuración activo/activo en la que se balancea la carga. Dependiendo cuál es el centro de negocio disponer de una conexión segura y altamente disponible puede ser de mayor o menor importancia, aunque probablemente cada día que pasa esto gana más a y más relevancia; el despliegue los servidores proxy para esto puede tener diferentes resultados.

Para lograr el activo/pasivo en un Proxy Transparente se utiliza la configuración de Puente (Bridge) bien sea por software o por hardware, significa que en caso de falla del dispositivo o incluso de energía, la configuración de Puente deja pasar todo el tráfico comportándose como un cable. Con esto no estamos logrando realmente sobreponernos a la falla, pero al menos se continúa prestando servicio sin inspeccionar el tráfico; pero si queremos lograr alta disponibilidad se requiere colocar dos dispositivos en serie de manera que si el primero falla, el segundo aún brinda seguridad; es la solución más económica y es utilizada en implementaciones de pequeñas empresas.

Para lograr el activo/pasivo en un Proxy Explícito se utiliza un Failover de dispositivos en Paralelo. Se crea una Red de Datos de Aplicación en el dispositivo y se asocian a ella los dispositivos. Aquí se utiliza un servidor Proxy como Activo y en caso de falla conmuta al equipo redundante manejando un esquema de Maestro y Esclavo muy similar a VRRP en el que el Maestro envía mensajes de Keepalive regularmente, cuando el Esclavo deja de recibir los mensajes del Maestro decide tomar su roll. Esto nos permite prestar servicio en caso de falla sin causar afectación perceptible para el usuario.

Por último la manera más robusta de implementar la solución es Balanceando la carga de tráfico y delegando esto a otro dispositivo especializado en ello como un F5 o Citrix, logrando un esquema activo/activo en un Proxy Explícito. Si a su vez los balanceadores son redundantes, tendremos una solución sumamente robusta, el usuario apunta sus solicitudes a una sola dirección y se aprovecha mucho mejor el uso de recursos. Esta solución aunque altamente disponible es la más costosa y sólo vale la pena si la empresa es grande y se tienen los recursos para ello.

La decisión final por una solución va a depender en gran parte de los recursos económicos, más si nos limitamos a lo técnico es evidente que utilizar balanceadores de tráfico es lo más óptima sin mencionar interesante.