Eure Erfahrungen und Strategien fuer Postfix Migrationen?

Matthias Egger maegger at ee.ethz.ch
Mi Mär 16 13:58:31 CET 2016 

Hallo Liste

Wir haben z.Zt. einen Haupt Server (MX 10) sowie zwei Backup Server (MX
20, MX 30) welche aber eigentlich reine Store-and-Forward Relays sind
(Siehe Postfix-Buch, S156).

In bälde werden wir umstellen auf zwei gleichwertige MXe welche alle
User kennen und jeder für sich die entsprechenden Antispam/-viren
Massnahmen vornimmt (eigentlich so wie Peer es im Postfix Buch empfiehlt).

Ist-Zustand:
smtp.domain.ch - 86400 TTL - MX 10
mx2.domain.ch  - 86400 TTL - MX 20
mx3.domain.ch  - 86400 TTL - MX 30
imap.domain.ch - CNAME auf smtpif2.domain.ch
mail.domain.ch - CNAME auf smtpif2.domain.ch

Auf die MX Records haben wir keinen direkten Zugriff sondern müssen
Anpassungen via Antrag einfordern (=keine sofort gültigen
Direktänderungen möglich).

Schlussendlich sollen die Einträge in etwa so aussehen:
ngmx1.domain.ch - 86400 TTL - MX 10
ngmx2.domain.ch - 86400 TTL - MX 10
smtp.domain.ch  - 2 A Records auf die IPs von ngmx1/2 (DNS round robin)
imap.domain.ch  - A Record auf IP von imap.domain.ch

Was mich nun interessiert: Wie würdet Ihr die Umstellung vornehmen? Mich
interessiert hier weniger Postfix an sich sondern mehr die DNS Records
und wie man das ganze möglichst Reibungs- und Unterbruchslos durchziehen
kann.

Hätte ich vollsten Zugriff auf die MX Records würde einfach die TTLs auf
z.B. 60s runterschrauben und sobald die Server bereit stehen, die MX, A
und CNAME Records auf den Soll-Zustand anpassen.

Die Umstellung findet nun aber an einem Wochenende statt, wo niemand
einen allfälligen MX Anpassungsantrag auch nur anschaut. Auf die A
Records und CNAMES habe ich während dieser Zeit aber vollen Zugriff.

Mein Vorschlag wäre folgender gewesen:

* In der Woche vor der Umstellung die MX Records anpassen lassen, so
dass die TTLs auf z.B. 600 gesetzt werden und zusätzlich die beiden
ngmx1 und ngmx2 als MX 5 einrichten. (Wie ist das eigentlich? Müssen
Clients alle MXe abklappern oder nur z.B. die ersten zwei? Sprich: Wenn
ich ngmx1/2 als MX5 habe und smtp.domain als MX 10, kommen dann im
Normalbetrieb bis zur Umstellun die Mails überhaupt bis zum MX 10?)

* Via Firewall auf den neuen Servern sicherstellen, dass auf den
üblichen Ports (25,587, etc.) bis zur endgültigen Umstellung keine
Verbindungen aufgebaut werden können (auch wenn ich gerade was am Server
teste).

* Bei allen bestehenden A und CNAME Records einen Tag vor Umstellung die
TTL auf z.B. 600 senken.

* Am Tag der Umstellung die alten Server herunterfahren, Daten zwischen
alten und neuen Servern syncen, Firewall Rules auf den neuen Servern
entfernen, A und CNAME records dem Soll-Zustand entsprechend setzen.

* Die neuen Server hochfahren und mit Firewall Rules sicherstellen, dass
bei versehentlichem hochfahren der alten Server nichts mehr auf den
üblichen Ports horchen kann.

* Nach der Umstellung via Antrag die MX Records anpassen. Alte Einträge
raus, die MX 5er auf MX 10er wandeln, TTL wieder auf 86400 setzen.

Könnte das funktionieren? Gibt es Verbesserungsvorschläge? Sollte ich es
ganz anders machen?

Ich würde mich auf euren Input und eure Erfahrungen freuen ;-)

Liebe Grüsse
Matthias

-- 
Matthias Egger
ETH Zurich
Department of Information Technology          maegger at ee.ethz.ch
and Electrical Engineering
IT Support Group (ISG.EE), ETF/D/102          Phone +41 (0)44 632 03 90
Sternwartstrasse 7, CH-8092 Zurich            Fax   +41 (0)44 632 11 95

-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : smime.p7s
Dateityp    : application/pkcs7-signature
Dateigröße  : 4099 bytes
Beschreibung: S/MIME Cryptographic Signature
URL         : <http://de.postfix.org/pipermail/postfix-users/attachments/20160316/1ed5679d/attachment.bin>

Mehr Informationen über die Mailingliste postfix-users