Failover IP — IP-адрес, который можно оперативно переназначить с одного сервера на другой без изменения DNS-записей и ожидания TTL. Технология обеспечивает отказоустойчивость: если основной сервер выходит из строя, трафик переключается на резервный за секунды, а не часы. Провайдеры реализуют failover IP через BGP-анонс или на уровне L2-коммутации внутри датацентра.
Как работает Failover IP
Failover IP привязан к аккаунту, а не к конкретному серверу. Хостер анонсирует этот адрес через BGP с нескольких точек своей сети. Когда клиент инициирует переключение (вручную или автоматически через API), хостер обновляет BGP-маршрут: пакеты начинают идти на новый сервер. Время переключения зависит от того, как быстро BGP-маршруты распространятся через точки обмена трафиком — обычно 30–60 секунд.
На целевом сервере Failover IP настраивается как дополнительный адрес на loopback-интерфейсе или алиас основного интерфейса. В Linux: ip addr add 5.45.120.200/32 dev lo. Сервер принимает пакеты, адресованные этому IP, как свои собственные. Исходящий трафик идёт через основной IP сервера, что требует настройки политик маршрутизации (ip rule + ip route).
Популярные провайдеры с поддержкой Failover IP: OVH, Hetzner, Online.net. У каждого свой API для переключения: OVH — REST API v1, Hetzner — Cloud API. Некоторые хостеры называют технологию «Floating IP» (Hetzner, DigitalOcean) или «Additional IP».
История
Failover IP как сервис появился у европейских хостеров в начале 2000-х — первой массово предложила технологию OVH около 2003 года. До этого для переключения IP требовалось менять DNS, ждать TTL (часы) или физически перемонтировать оборудование. С распространением облачных платформ в 2010-х концепция переродилась в «Floating IP» и стала стандартом у DigitalOcean (2014), Hetzner (2019), Vultr.
Сценарии применения
- Active-passive кластер — основной и резервный серверы работают параллельно; при падении основного keepalived автоматически вызывает API хостера для переключения Failover IP.
- Blue-green deployment — новая версия приложения разворачивается на «зелёном» сервере, Failover IP переключается с «синего» на «зелёный» после проверки.
- Масштабирование без простоя — замена сервера на более мощный без изменения DNS-записей.
На что обращать внимание
Failover IP защищает от отказа сервера, но не от отказа дата-центра. Для защиты от сбоя целого ЦОД нужна мультирегиональная архитектура с anycast. Также следует учитывать, что автоматическое переключение требует внешнего мониторинга (Zabbix, Prometheus + Alertmanager или Cloudflare Health Checks) и скрипта, вызывающего API хостера при обнаружении сбоя.
Некоторые хостеры ограничивают число переключений в час (например, OVH — 5 переключений) и берут дополнительную плату за Failover IP сверх включённого лимита. Уточняйте условия в SLA до внедрения.
Автоматическое переключение с keepalived
Для автоматизации переключения Failover IP используют keepalived с пользовательскими скриптами. При обнаружении отказа основного сервера keepalived вызывает notify_master-скрипт, который делает API-запрос к хостеру:
#!/bin/bash
# notify_master.sh
curl -X POST "https://api.hetzner.cloud/v1/floating_ips/12345/actions/assign" -H "Authorization: Bearer $HETZNER_TOKEN" -H "Content-Type: application/json" -d '{"server": 67890}'Проверка состояния мастера — через track_script в конфигурации keepalived: каждые 2 секунды проверяется доступность приложения (curl, check_http). При 3 неудачных проверках подряд инициируется failover. Время реакции: 2 × 3 = 6 секунд на обнаружение + 30–60 секунд на переключение BGP = итого 40–70 секунд полного восстановления. Для VDS в одном датацентре L2-переключение быстрее — 5–15 секунд.