[linux] vhodny dns server pre organizaciu

Martin Kyrc martin.kyrc na gmail.com
Pondělí Říjen 12 17:14:26 CEST 2015 

ahoj,
povodna otazka bola, ako na split-dns v pripade powerdns servera (ktory 
to nativne nevie). pripadne doporucenie na iny dns server podla 
povodnych poziadaviek (master, slave, rekurzor, split-dns, dnssec).

riesenie ktore nacrtol riki je: pouzit dve instancie powerdns, hoc aj na 
rovnakom serveri, pricom jeden by drzal zaznamy pre internych ziadatelov 
a druhy pre verejnych (nemusi to byt nutne interny/externy svet. 
dolezite je, ze su to rozne src siete). zaroven navrhol riesenie pre 
split-dns: smerovat request od klienta na zaklade src ip na konkretnu 
instanciu powerdns servera (alebo recursora) pomocou 'dnsdist' (dozvedel 
som sa nieco nove).

skusil som to (dnsdist) a vie to vsetko co od toho pozadujem. (robi to 
lb aj na zaklade src ip, overuje si dostupnost cielovej sluzby a kopec 
ineho. akurat to nie je moc dobre zdokumentovane a podla informacii z 
dokumentacie, nie je asi prilis urcene do produkcie. preto hladam nejaku 
inu alternativu alebo vhodny sposob LB pre vyssie uvedeny zamer.

> co za distro mas?

pisal som v prvom prispevku. je to ubuntu server 14 lts.

> /etc/default pouziva debian a ubuntu, a v tych by si nemal restartovat
> procesy rucne ale cez linky v /etc/init.d (pripadne alternativy podla init
> systemu).

deb balik (z powerdns repository) vyzaduje novsie kniznice, preto som 
musel prejst na ubuntu server 15 (aspon pre ucel testu, ci mi to bude 
vyhovovat). s instalovanym balikom sa neinstaluje init skript.

> linux ipvs. ale to nie je dns server, iba load balancer (vo vseobecnosti sa
> mi zda dost zbytocne mat balancer aj server funkcionalitu na tom istom
> serveri)

LB nie je sucast servera kde bezi dns sluzba.

z dizajnoveho hladiska je v data centre ako front-end pouzita dvojica lb 
- tie nemozu byt komercne riesenie ale z roznych dovodov je to 
opensource (keepalive kvoli redundancii a haproxy pre http a ine tcp 
sluzby). takto je terminovanych viacero sluzieb, preto som chcel pouzit 
rovnaky pristup aj pre dns sluzbu (napriek tomu, ze robit lb pre dns nie 
je prilis potrebne). ak by som mohol pouzit v ulohe LB komercne 
riesenie, viem zrealizovat to co potrebujem a smerovat request na 
konkretny dns server na zaklade srcip.

kedze s dnsdist asi nie je prilis rozumne ist do prudkej produkcie, 
zvazujem pouzit alternativu. ak nic specializovane (urcene pre dns), tak 
nejaku formu lb (ktora by vedela udp, s overenim dostupnosti udp sluzby).

ak je tato cesta nerozumna, necham si poradit. je to uz davno kedy som 
naposledy intenzivne staval veci nad opensource a odvtedy uz vela vody 
pretieklo aj v tejto rieke.

dik,
mk

Další informace o konferenci linux