[linux] vhodny dns server pre organizaciu

[linux-sk na ondrejovci.de]

Servus,

* najprv split-dns s powerdns sa robi pomocou geoip backendu, v debiane sa 
backendy miesaju pomerne komplikovane (wheeze) ale pokial viem v jessie je 
slusne nova verzia ktora uz funguje ako ma.

* LD na DNS je obvykle zbytocny, nakolko vytazit aj slabsiu masinu da zabrat. 
Osobne poznam len par firiem co musia balancovat DNS, skorej tu byva potreba
redundancie, ta sa riesi samotnym DNS (ns1 a ns2) ktore je mozne v idealnom 
pripade naviac "balandovat" pomocou BGP napr. s birdom. Pokial je DNS trafiky 
fakt fakt vela riesi sa to anycastom, teda routovanim, napr. Europa sem, Azia 
tam, Afrika hentam (v skutocnosti to viacmenej podla provajderov). Zatial sa 
mi nepodarilo na jednom kontinente viditelne vytazit hocijake zelezo s DNS :)

* miesat DNS Server a Resolver sa neodporuca a zbytocne to vela veci 
komplikuje. Podla mna je idealna kombinacia PowerDNS a Bind (resp. 2xpdns a 
1xbind ktory vie jednoducho pozadovany dns-split). Urcite neodporucam PowerDNS 
Recursor je to na rozdiel od servra okrajovy nestabilny projekt.


Marek

On Monday 12 October 2015 17:14:26 Martin Kyrc wrote:
> ahoj,
> povodna otazka bola, ako na split-dns v pripade powerdns servera (ktory
> to nativne nevie). pripadne doporucenie na iny dns server podla
> povodnych poziadaviek (master, slave, rekurzor, split-dns, dnssec).
> 
> riesenie ktore nacrtol riki je: pouzit dve instancie powerdns, hoc aj na
> rovnakom serveri, pricom jeden by drzal zaznamy pre internych ziadatelov
> a druhy pre verejnych (nemusi to byt nutne interny/externy svet.
> dolezite je, ze su to rozne src siete). zaroven navrhol riesenie pre
> split-dns: smerovat request od klienta na zaklade src ip na konkretnu
> instanciu powerdns servera (alebo recursora) pomocou 'dnsdist' (dozvedel
> som sa nieco nove).
> 
> skusil som to (dnsdist) a vie to vsetko co od toho pozadujem. (robi to
> lb aj na zaklade src ip, overuje si dostupnost cielovej sluzby a kopec
> ineho. akurat to nie je moc dobre zdokumentovane a podla informacii z
> dokumentacie, nie je asi prilis urcene do produkcie. preto hladam nejaku
> inu alternativu alebo vhodny sposob LB pre vyssie uvedeny zamer.
> 
> > co za distro mas?
> 
> pisal som v prvom prispevku. je to ubuntu server 14 lts.
> 
> > /etc/default pouziva debian a ubuntu, a v tych by si nemal restartovat
> > procesy rucne ale cez linky v /etc/init.d (pripadne alternativy podla init
> > systemu).
> 
> deb balik (z powerdns repository) vyzaduje novsie kniznice, preto som
> musel prejst na ubuntu server 15 (aspon pre ucel testu, ci mi to bude
> vyhovovat). s instalovanym balikom sa neinstaluje init skript.
> 
> > linux ipvs. ale to nie je dns server, iba load balancer (vo vseobecnosti
> > sa
> > mi zda dost zbytocne mat balancer aj server funkcionalitu na tom istom
> > serveri)
> 
> LB nie je sucast servera kde bezi dns sluzba.
> 
> z dizajnoveho hladiska je v data centre ako front-end pouzita dvojica lb
> - tie nemozu byt komercne riesenie ale z roznych dovodov je to
> opensource (keepalive kvoli redundancii a haproxy pre http a ine tcp
> sluzby). takto je terminovanych viacero sluzieb, preto som chcel pouzit
> rovnaky pristup aj pre dns sluzbu (napriek tomu, ze robit lb pre dns nie
> je prilis potrebne). ak by som mohol pouzit v ulohe LB komercne
> riesenie, viem zrealizovat to co potrebujem a smerovat request na
> konkretny dns server na zaklade srcip.
> 
> kedze s dnsdist asi nie je prilis rozumne ist do prudkej produkcie,
> zvazujem pouzit alternativu. ak nic specializovane (urcene pre dns), tak
> nejaku formu lb (ktora by vedela udp, s overenim dostupnosti udp sluzby).
> 
> ak je tato cesta nerozumna, necham si poradit. je to uz davno kedy som
> naposledy intenzivne staval veci nad opensource a odvtedy uz vela vody
> pretieklo aj v tejto rieke.
> 
> dik,
> mk
> 
> _______________________________________________
> https://lists.linux.sk/mailman/listinfo/linux
> Meta FAQ: http://www.sklug.sk/lists/linux/metafaq.html