Перейти до

Архитектура DNS кэширующих серверов


Рекомендованные сообщения

Здравствуйте, 

Есть два dns сервера bind с адресами 1.1.1.1 и 2.2.2.2, рабочие основные сервера.

Нужно обзавестись двумя кэширующими серверами и на первых отключить рекурсию.

 

Каким образом распланировать топологию серверов?

Просто добавить два доп кэша с адресами 3.3.3.3 и 4.4.4.4 поменяв клиентам локальной сети DNS'ы или заменить 1.1.1.1 и 2.2.2.2 кэшами (unbound), а авторитарные сервера перенести на 3.3.3.3 и 4.4.4.4.

 

Посоветуйте решение.

Ссылка на сообщение
Поделиться на других сайтах

Очевидно же, что абонам нужно давать кэширующие DNS.

 

Вот, почитайте на досуге: https://ru.wikipedia.org/wiki/DNS-сервер, затем это: https://habr.com/ru/post/159013/ уверен, пригодится)

 

Это так навскидку. А вообще в вопросе мало инфы: для какой цели? Какова структура локальной сети? Сколько клиентов и как они IP и DNS получают?

Ссылка на сообщение
Поделиться на других сайтах

Мне также разрулите , чет интересно у кого какая архитектура ДНС .  Предварительно предположим что есть два А.А.А.А и В.В.В.В , которые и обратную зону держат и есть некоторое количество  кеширующих  .  

29 минут назад, ISK сказал:

Очевидно же, что абонам нужно давать кэширующие DNS.

 

Вот, почитайте на досуге: https://ru.wikipedia.org/wiki/DNS-сервер, затем это: https://habr.com/ru/post/159013/ уверен, пригодится)

 

Это так навскидку. А вообще в вопросе мало инфы: для какой цели? Какова структура локальной сети? Сколько клиентов и как они IP и DNS получают?

Первая ссыль чисто для информации , вторая опробована в свое время и считаю вредной вариацией .

Ссылка на сообщение
Поделиться на других сайтах
4 минуты назад, prototip сказал:

вторая опробована в свое время и считаю вредной вариацией

Ну я не претендую на истину в последней инстанции - данный совет является сугубо субъективным, но не универсальным. За любые возможные последствия ответственности не несу?

Ссылка на сообщение
Поделиться на других сайтах

Если важно время отклика, что б рекурсор не проходил 7 кругов ада авторитарных днс-ов ДЛЯ СОБСТВЕННЫХ ЗОН, то можно указать где конкретно живет интересующая тебя зона.

Но покуда он кеширующий, обычно, то смысла в этом немного, "долгим" будет запрос если записи в кеше нету.

 

1) ставишь анбаунд

2) настраиваешь

3) раздаешь клиентам

 

Если уж совсем про какие-то архитектурные особенности говорить то я себе свои рекурсоры засунул в виртуалки.

3 штуки примари и секондари (чисто что б на разных хостах жили) и балансирую нагрузку между ними через ECMP + anycast IP.

Есть хелсчек который убедился что от днс-а получен эталонный ответ, значит можно анонсить IP по оспф до ближайшшего роутера.

Соответственно если хост с виртуалкой помер, то он сам пропадает из ротации. Если сервис по каким-то причинам не работает то сприпт исключает его из ротации в балансировке.

 

Т.е. редунданси + балансировка..

Відредаговано l1ght
  • Like 1
Ссылка на сообщение
Поделиться на других сайтах

Я имел ввиду что PDNSD не годится для локальных сетей и для продакшина как таковой . 

Ссылка на сообщение
Поделиться на других сайтах
2 минуты назад, prototip сказал:

Я имел ввиду что PDNSD не годится для локальных сетей и для продакшина как таковой . 

powerdns и как рекурсор и как авторитарник трудится в весьма большой сети.

И как бы людям нравится, хотя я за nsd/unbound.

upd: а я явно перепутал PDNSD с PDNS

Відредаговано l1ght
Ссылка на сообщение
Поделиться на других сайтах
1 минуту назад, l1ght сказал:

Если важно время отклика, что б рекурсор не проходил 7 кругов ада авторитарных днс-ов ДЛЯ СОБСТВЕННЫХ ЗОН, то можно указать где конкретно живет интересующая тебя зона.

Но покуда он кеширующий, обычно, то смысла в этом немного, "долгим" будет запрос если записи в кеше нету.

 

1) ставишь анбаунд

2) настраиваешь

3) раздаешь клиентам

 

Если уж совсем про какие-то архитектурные особенности говорить то я себе свои рекурсоры засунул в виртуалки.

3 штуки примари и секондари (чисто что б на разных хостах жили) и балансирую нагрузку между ними через ECMP + anycast IP.

Есть хелсчек который убедился что от днс-а получен эталонный ответ, значит можно анонсить IP по оспф до ближайшшего роутера.

Соответственно если хост с виртуалкой помер, то он сам пропадает из ротации. Если сервис по каким-то причинам не работает то сприпт исключает его из ротации в балансировке.

 

Т.е. редунданси + балансировка..

Слабо понял , наверное нужно более подробно разжевать . Жить на отдельных железках ДНСам это наверное на сегодня вообще перебор .

Ссылка на сообщение
Поделиться на других сайтах
1 минуту назад, prototip сказал:

Слабо понял , наверное нужно более подробно разжевать . Жить на отдельных железках ДНСам это наверное на сегодня вообще перебор .

Что конкретно нужно разжевать?

То что у меня только для рекурсоров есть 3 примари и 3 секондари и я делаю балансировку через anycast IP + ECMP или другие вопросы?

Ссылка на сообщение
Поделиться на других сайтах

Большинство сеток не то что там держать обратные зоны , своих днс не имеют по большому счету и юзают провайдерские , как правило этого хватает до поры до времени , затем обрастают блоками адресов и понеслась . И тут становится вопрос как должна выглядеть архитектура днс серверов небольшого провайдера аля 1000-5000 пользователей.  Особого описания подобных иерархий как правило нигде не описано и выглядит оно как правило не комильфо . 

Ссылка на сообщение
Поделиться на других сайтах
2 минуты назад, mort1k сказал:

Кеши кешами, зоны зонами - че не понятно? )))

Ну Капитан Очевидность™ как бы намекает нам, что если бы всем всё понятно было, то и этого форума бы не существовало, да...

 

И где бы Вы тогда могли с Людьми™ пообщаться?

Ссылка на сообщение
Поделиться на других сайтах
7 минут назад, ISK сказал:

Ну Капитан Очевидность™ как бы намекает нам, что если бы всем всё понятно было, то и этого форума бы не существовало, да...

 

И где бы Вы тогда могли с Людьми™ пообщаться?

Выше человек описал красивую схему с any-cast и балансировкой кешей.

ИМХО Зоны лучше хранить на хостинге или в виртуалках за границей сети(если нужны обратные зоны и всякие извращения).

Какие еще схемы требуются Людям™?

Відредаговано mort1k
Ссылка на сообщение
Поделиться на других сайтах
3 минуты назад, mort1k сказал:

Какие еще схемы требуются Людям™?

Электрические, электронные, принципиальные, структурно-функциональные, комбинационные, логические, блок-схемы - тысячи их...?

Ссылка на сообщение
Поделиться на других сайтах
37 минут назад, prototip сказал:

И тут становится вопрос как должна выглядеть архитектура днс серверов небольшого провайдера аля 1000-5000 пользователей.

Для мелких, можно клиентам давать resolver googledns как primary. CloudflareDNS как seconary (ну или на выбор, их куча разных).

Свой DNS поднимать только для обратной зоны (если нужно), или для своих доменов.

Ссылка на сообщение
Поделиться на других сайтах

Давать гугловский днс .... Для локалки ... Попадете в таймауты на раз . Проще юзать провайдерский днс он и ближе и ответит 

Ссылка на сообщение
Поделиться на других сайтах
11 минут назад, ISK сказал:

Электрические, электронные, принципиальные, структурно-функциональные, комбинационные, логические, блок-схемы - тысячи их...?

Не тут четкий запрос просят архитектурную!)

Ссылка на сообщение
Поделиться на других сайтах
52 минуты назад, prototip сказал:

Давать гугловский днс .... Для локалки ... Попадете в таймауты на раз . Проще юзать провайдерский днс он и ближе и ответит 

Ну тем не менее у гуглоднс скорость ответа ОЧЕНЬ БЫСТРАЯ, у тех у кого ртт до гугла 20 и меньше мс даже с локальным резолвером не сделают такую же скорость ответа.

 

1 час назад, prototip сказал:

И тут становится вопрос как должна выглядеть архитектура днс серверов небольшого провайдера аля 1000-5000 пользователей

Разносим виртуалки в разные ДЦ\площадки если точек отказа больше 1 в ядре.

Если есть единая точка отказа, например единственный бордер, то хотя бы разнести по разным серверам.

Потом поверх распределенных резолверов делаем anycast IP + ecmp.

 

Авторитарники обычно не такие критичные, особенно когда держишь там 1-2 зоны. Если есть кластер под виртуалки достаточно встроенного HA на ваших гипервизорах для обеспечения нормальной работы. И ничего скейлить там не нужно.

 

1 час назад, mort1k сказал:

ИМХО Зоны лучше хранить на хостинге или в виртуалках за границей сети(если нужны обратные зоны и всякие извращения).

Ну ит депендс. Большинство хостингов могут проебать твою виртуалку куда проще, чем хотелось бы.

Особенно когда похоронили сторадж (а такое уже не раз случалось).

Надо держать, по хорошему, и у себя и за границей, например секондари унести куда подальше.

Ссылка на сообщение
Поделиться на других сайтах
Опубліковано: (відредаговано)

Нет google это не вариант.

Может кого-то и устраивает дело ваше, но он реально иногда падает и еще лимитирует кол-во запросов (хоть я лично не сталкивался т.к. не занимаюсь подобной фигней)

 

Вопрос по дизайну как кто делает, хотелось узнать мнение, зачем знать как я адреса юзерам раздаю, это к вопросу не имеет отношения же.

Ясно что отдавать нужно адрес кэш сервера.

Вы бы ISK вопрос что-ли прочитали перед тем как постить, может еще нужно рассказать какой L2VPN используется в сети средний и возраст юзера.

 

Вопрос поднять новый сервер или заменить работающие сервера кэшами, которые за своими зонами будут ходить на соседний сервис.

Мне кстати больше статья нравится https://habr.com/ru/company/oleg-bunin/blog/350550/

Відредаговано Tormato
Ссылка на сообщение
Поделиться на других сайтах
2 часа назад, Tormato сказал:

Вопрос поднять новый сервер или заменить работающие сервера кэшами, которые за своими зонами будут ходить на соседний сервис.

Почему мы должны обсуждать это всем форумом?

Сделайте как вам удобнее. Там всё очевидно.

Ссылка на сообщение
Поделиться на других сайтах

Общался на одном из мероприятий с представителями Cloudflare - они не против того чтобы провайдеры выдавали 1.1.1.1 своим абонентам. 

Говорят что не устанавливают лимиты на количество запросов и нормально воспринимают NAT-адреса, за которыми сидят много абонентов.

Відредаговано Sоrk
Ссылка на сообщение
Поделиться на других сайтах
56 минут назад, Sоrk сказал:

Говорят что не устанавливают лимиты на количество запросов и нормально воспринимают NAT-адреса, за которыми сидят много абонентов.

Использовал 1.1.1.1 как единственный, на который пересылались запросы - офисная сеть около 100 машин - работало нормально.

Собственно, я даже об этом не знал, но когда-то видать протупил, не добавил ещё.

И оно работало так себе, даже виду не показывало.

 

Кстати, раз уж пошла такая пьянка.

Слышал, что 8.8.8.8 гугловский всякую рекламу подсовывает и собирает информацию. Правда?

Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Вхід

Уже зарегистрированы? Войдите здесь.

Войти сейчас
  • Зараз на сторінці   0 користувачів

    Немає користувачів, що переглядають цю сторінку.

  • Схожий контент

    • Від forella
      Вопрос чисто для саморазвития.
      есть схема некоего домена (прикреплена), например en.microsoft.com
      не смог найти вот такую информацию, почему так исторически сложилось, что домен мы записываем как en.microsoft.com, а, например, поиск днс записи мы производим наоборот .(root servers)-->com-->microsoft-->en
      Как я понимаю, сначала появились корневые сервера и домены 1-2 уровня, затем уже все остальное, почему было не оставить написание доменов так как они резолвятся например com.microsoft.en
      Почему такой вопрос возник вдруг? Например вы попытаетесь незнающему человеку объяснить как работает днс, как мы ищем записи о домене, а в итоге прийдете к выводу что домен будете писать (например в браузере) в обратном порядке.

    • Від zabiyako
      Легально ли использовать 8.8.8.8 сегодня?
      Subj
    • Від a_n_h
      Какие публичные DNS лучше использовать при настройке своего кеширующего сервера?
    • Від DenimMark
      Доброго дня.
       
      DNS сервера старенькі працюють на FreeBSD старенькій. Потрібно обновити. Тип ОС не грає ролі. Може хтось робив і може порадити ОС, версію та сам сервер, що ставився без проблем і працював без проблем.
       
      Дякую.
       
    • Від Daniil_
      Ищу партнера, который сможет предложить ddos защиту для dns only
      трафика мало, на днс порядка 10к доменов
       
      что нужно
      - пересылать только dns пакеты (53 порт)
      - чтобы при атаке по icmp dns пакеты продолжали пересылаться
      - при флуде на dns порт фильтровать запросы
       
      пробовали работать с компаниями, которые специализируются на защите web трафика, получили много проблем с тем, что dns запросы не все отрабатывали
       
×
×
  • Створити нове...