Jump to content
Local
Tormato

Архитектура DNS кэширующих серверов

Recommended Posts

Здравствуйте, 

Есть два dns сервера bind с адресами 1.1.1.1 и 2.2.2.2, рабочие основные сервера.

Нужно обзавестись двумя кэширующими серверами и на первых отключить рекурсию.

 

Каким образом распланировать топологию серверов?

Просто добавить два доп кэша с адресами 3.3.3.3 и 4.4.4.4 поменяв клиентам локальной сети DNS'ы или заменить 1.1.1.1 и 2.2.2.2 кэшами (unbound), а авторитарные сервера перенести на 3.3.3.3 и 4.4.4.4.

 

Посоветуйте решение.

Share this post


Link to post
Share on other sites
1 час назад, Tormato сказал:

Есть два dns сервера bind с адресами 1.1.1.1

А, так вот он какой, 1.1.1.1 :) 

 

Share this post


Link to post
Share on other sites
42 минуты назад, Туйон сказал:

А, так вот он какой, 1.1.1.1 :) 

 

ТС наверное админ в Cloudflare

Share this post


Link to post
Share on other sites

Нет конечно, IP адреса для удобства.

Очевидно же что сидел бы на клаудфлере отрубил бы и не парился😀

Share this post


Link to post
Share on other sites

Очевидно же, что абонам нужно давать кэширующие DNS.

 

Вот, почитайте на досуге: https://ru.wikipedia.org/wiki/DNS-сервер, затем это: https://habr.com/ru/post/159013/ уверен, пригодится)

 

Это так навскидку. А вообще в вопросе мало инфы: для какой цели? Какова структура локальной сети? Сколько клиентов и как они IP и DNS получают?

Share this post


Link to post
Share on other sites

Мне также разрулите , чет интересно у кого какая архитектура ДНС .  Предварительно предположим что есть два А.А.А.А и В.В.В.В , которые и обратную зону держат и есть некоторое количество  кеширующих  .  

29 минут назад, ISK сказал:

Очевидно же, что абонам нужно давать кэширующие DNS.

 

Вот, почитайте на досуге: https://ru.wikipedia.org/wiki/DNS-сервер, затем это: https://habr.com/ru/post/159013/ уверен, пригодится)

 

Это так навскидку. А вообще в вопросе мало инфы: для какой цели? Какова структура локальной сети? Сколько клиентов и как они IP и DNS получают?

Первая ссыль чисто для информации , вторая опробована в свое время и считаю вредной вариацией .

Share this post


Link to post
Share on other sites
4 минуты назад, prototip сказал:

вторая опробована в свое время и считаю вредной вариацией

Ну я не претендую на истину в последней инстанции - данный совет является сугубо субъективным, но не универсальным. За любые возможные последствия ответственности не несу😉

Share this post


Link to post
Share on other sites

Если важно время отклика, что б рекурсор не проходил 7 кругов ада авторитарных днс-ов ДЛЯ СОБСТВЕННЫХ ЗОН, то можно указать где конкретно живет интересующая тебя зона.

Но покуда он кеширующий, обычно, то смысла в этом немного, "долгим" будет запрос если записи в кеше нету.

 

1) ставишь анбаунд

2) настраиваешь

3) раздаешь клиентам

 

Если уж совсем про какие-то архитектурные особенности говорить то я себе свои рекурсоры засунул в виртуалки.

3 штуки примари и секондари (чисто что б на разных хостах жили) и балансирую нагрузку между ними через ECMP + anycast IP.

Есть хелсчек который убедился что от днс-а получен эталонный ответ, значит можно анонсить IP по оспф до ближайшшего роутера.

Соответственно если хост с виртуалкой помер, то он сам пропадает из ротации. Если сервис по каким-то причинам не работает то сприпт исключает его из ротации в балансировке.

 

Т.е. редунданси + балансировка..

Edited by l1ght
  • Like 1

Share this post


Link to post
Share on other sites

Я имел ввиду что PDNSD не годится для локальных сетей и для продакшина как таковой . 

Share this post


Link to post
Share on other sites
2 минуты назад, prototip сказал:

Я имел ввиду что PDNSD не годится для локальных сетей и для продакшина как таковой . 

powerdns и как рекурсор и как авторитарник трудится в весьма большой сети.

И как бы людям нравится, хотя я за nsd/unbound.

upd: а я явно перепутал PDNSD с PDNS

Edited by l1ght

Share this post


Link to post
Share on other sites
1 минуту назад, l1ght сказал:

Если важно время отклика, что б рекурсор не проходил 7 кругов ада авторитарных днс-ов ДЛЯ СОБСТВЕННЫХ ЗОН, то можно указать где конкретно живет интересующая тебя зона.

Но покуда он кеширующий, обычно, то смысла в этом немного, "долгим" будет запрос если записи в кеше нету.

 

1) ставишь анбаунд

2) настраиваешь

3) раздаешь клиентам

 

Если уж совсем про какие-то архитектурные особенности говорить то я себе свои рекурсоры засунул в виртуалки.

3 штуки примари и секондари (чисто что б на разных хостах жили) и балансирую нагрузку между ними через ECMP + anycast IP.

Есть хелсчек который убедился что от днс-а получен эталонный ответ, значит можно анонсить IP по оспф до ближайшшего роутера.

Соответственно если хост с виртуалкой помер, то он сам пропадает из ротации. Если сервис по каким-то причинам не работает то сприпт исключает его из ротации в балансировке.

 

Т.е. редунданси + балансировка..

Слабо понял , наверное нужно более подробно разжевать . Жить на отдельных железках ДНСам это наверное на сегодня вообще перебор .

Share this post


Link to post
Share on other sites
1 минуту назад, prototip сказал:

Слабо понял , наверное нужно более подробно разжевать . Жить на отдельных железках ДНСам это наверное на сегодня вообще перебор .

Что конкретно нужно разжевать?

То что у меня только для рекурсоров есть 3 примари и 3 секондари и я делаю балансировку через anycast IP + ECMP или другие вопросы?

Share this post


Link to post
Share on other sites

Большинство сеток не то что там держать обратные зоны , своих днс не имеют по большому счету и юзают провайдерские , как правило этого хватает до поры до времени , затем обрастают блоками адресов и понеслась . И тут становится вопрос как должна выглядеть архитектура днс серверов небольшого провайдера аля 1000-5000 пользователей.  Особого описания подобных иерархий как правило нигде не описано и выглядит оно как правило не комильфо . 

Share this post


Link to post
Share on other sites
2 минуты назад, mort1k сказал:

Кеши кешами, зоны зонами - че не понятно? )))

Ну Капитан Очевидность™ как бы намекает нам, что если бы всем всё понятно было, то и этого форума бы не существовало, да...

 

И где бы Вы тогда могли с Людьми™ пообщаться?

Share this post


Link to post
Share on other sites
7 минут назад, ISK сказал:

Ну Капитан Очевидность™ как бы намекает нам, что если бы всем всё понятно было, то и этого форума бы не существовало, да...

 

И где бы Вы тогда могли с Людьми™ пообщаться?

Выше человек описал красивую схему с any-cast и балансировкой кешей.

ИМХО Зоны лучше хранить на хостинге или в виртуалках за границей сети(если нужны обратные зоны и всякие извращения).

Какие еще схемы требуются Людям™?

Edited by mort1k

Share this post


Link to post
Share on other sites
3 минуты назад, mort1k сказал:

Какие еще схемы требуются Людям™?

Электрические, электронные, принципиальные, структурно-функциональные, комбинационные, логические, блок-схемы - тысячи их...😁

Share this post


Link to post
Share on other sites
37 минут назад, prototip сказал:

И тут становится вопрос как должна выглядеть архитектура днс серверов небольшого провайдера аля 1000-5000 пользователей.

Для мелких, можно клиентам давать resolver googledns как primary. CloudflareDNS как seconary (ну или на выбор, их куча разных).

Свой DNS поднимать только для обратной зоны (если нужно), или для своих доменов.

Share this post


Link to post
Share on other sites

Давать гугловский днс .... Для локалки ... Попадете в таймауты на раз . Проще юзать провайдерский днс он и ближе и ответит 

Share this post


Link to post
Share on other sites
11 минут назад, ISK сказал:

Электрические, электронные, принципиальные, структурно-функциональные, комбинационные, логические, блок-схемы - тысячи их...😁

Не тут четкий запрос просят архитектурную!)

Share this post


Link to post
Share on other sites
52 минуты назад, prototip сказал:

Давать гугловский днс .... Для локалки ... Попадете в таймауты на раз . Проще юзать провайдерский днс он и ближе и ответит 

Ну тем не менее у гуглоднс скорость ответа ОЧЕНЬ БЫСТРАЯ, у тех у кого ртт до гугла 20 и меньше мс даже с локальным резолвером не сделают такую же скорость ответа.

 

1 час назад, prototip сказал:

И тут становится вопрос как должна выглядеть архитектура днс серверов небольшого провайдера аля 1000-5000 пользователей

Разносим виртуалки в разные ДЦ\площадки если точек отказа больше 1 в ядре.

Если есть единая точка отказа, например единственный бордер, то хотя бы разнести по разным серверам.

Потом поверх распределенных резолверов делаем anycast IP + ecmp.

 

Авторитарники обычно не такие критичные, особенно когда держишь там 1-2 зоны. Если есть кластер под виртуалки достаточно встроенного HA на ваших гипервизорах для обеспечения нормальной работы. И ничего скейлить там не нужно.

 

1 час назад, mort1k сказал:

ИМХО Зоны лучше хранить на хостинге или в виртуалках за границей сети(если нужны обратные зоны и всякие извращения).

Ну ит депендс. Большинство хостингов могут проебать твою виртуалку куда проще, чем хотелось бы.

Особенно когда похоронили сторадж (а такое уже не раз случалось).

Надо держать, по хорошему, и у себя и за границей, например секондари унести куда подальше.

Share this post


Link to post
Share on other sites

Нет google это не вариант.

Может кого-то и устраивает дело ваше, но он реально иногда падает и еще лимитирует кол-во запросов (хоть я лично не сталкивался т.к. не занимаюсь подобной фигней)

 

Вопрос по дизайну как кто делает, хотелось узнать мнение, зачем знать как я адреса юзерам раздаю, это к вопросу не имеет отношения же.

Ясно что отдавать нужно адрес кэш сервера.

Вы бы ISK вопрос что-ли прочитали перед тем как постить, может еще нужно рассказать какой L2VPN используется в сети средний и возраст юзера.

 

Вопрос поднять новый сервер или заменить работающие сервера кэшами, которые за своими зонами будут ходить на соседний сервис.

Мне кстати больше статья нравится https://habr.com/ru/company/oleg-bunin/blog/350550/

Edited by Tormato

Share this post


Link to post
Share on other sites
2 часа назад, Tormato сказал:

Вопрос поднять новый сервер или заменить работающие сервера кэшами, которые за своими зонами будут ходить на соседний сервис.

Почему мы должны обсуждать это всем форумом?

Сделайте как вам удобнее. Там всё очевидно.

Share this post


Link to post
Share on other sites

Общался на одном из мероприятий с представителями Cloudflare - они не против того чтобы провайдеры выдавали 1.1.1.1 своим абонентам. 

Говорят что не устанавливают лимиты на количество запросов и нормально воспринимают NAT-адреса, за которыми сидят много абонентов.

Edited by Sоrk

Share this post


Link to post
Share on other sites
56 минут назад, Sоrk сказал:

Говорят что не устанавливают лимиты на количество запросов и нормально воспринимают NAT-адреса, за которыми сидят много абонентов.

Использовал 1.1.1.1 как единственный, на который пересылались запросы - офисная сеть около 100 машин - работало нормально.

Собственно, я даже об этом не знал, но когда-то видать протупил, не добавил ещё.

И оно работало так себе, даже виду не показывало.

 

Кстати, раз уж пошла такая пьянка.

Слышал, что 8.8.8.8 гугловский всякую рекламу подсовывает и собирает информацию. Правда?

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

  • Recently Browsing   0 members

    No registered users viewing this page.

  • Similar Content

    • By SergZTE
      В продаже есть сетевые накопители б/у ( состояние новых ) :
       
      1. DNS-320L - Облачный сетевой накопитель с 2 отсеками для жестких дисков, 1 портом 10/100/1000Base-T и 1 USB-портом - цена 700 грн
      2. DNS-327L - Облачный сетевой накопитель с 2 отсеками для жестких дисков, 1 портом 10/100/1000Base-T и 1 портом USB 3.0 - цена 900 грн
      3. DNS-340L - Облачный сетевой накопитель с 4 отсеками для жестких дисков, 2 портами 10/100/1000Base-T, 2 портами USB 2.0 и 1 портом USB 3.0 - цена 1400 грн.
      4. DNS-345 - Cетевой накопитель с 4 отсеками для жестких дисков, 2 портами 10/100/1000Base-T и 1 USB-портом - цена 1400 грн.
      5. DSN-1100-10 - Дисковый массив xStack Storage® 4x1GbE iSCSI SAN с 5 отсеками для жестких дисков SATA - цена 2300 грн.
      Связь через ЛС.
    • By lemosh
      Настроил свой ДНС сервер (bind). настроил обратную зону для блока своих IP-адресов (BGP. /24 сеть). Все работает. А как теперь передать "всем остальным" ДНС-серверам PTR-записи с моего DNS сервера? 
    • By a_n_h
      Всем привет!
      По случаю приобрел пару новых ONU STELS, выяснилась интересная проблема - не проходят запросы ДНС, все айпи пингуются. Кто-то уже встречался с данной проблемой?
    • By Кирилл Куриленко
      Друзья, посоветуйте пожалуйста, как настроить роутер, чтобы обойти блокировку?
      Интернет от Триолана, приятель сказал настроить DNS 8.8.8.8 - но у меня это не сработало, у него интернет от Киевстара - говорит что всё ОК.
       
      Не хочу использовать прокси и VPN так как скорость очень медленная.
      Спасибо!
    • By Barabashka.yury
      Всем привет!
       
      Вот вопрос, кто может имел подобную ситуацию, подскажите...
       
      Решил ради просто научного интереса поднять собственный личный ДНС. Ну не на хостинге у кого то там где-то, а именно свой, пусть и в звучном домене pp.ua но тем не менее.
       
      Зарегил два домена, один бесплатно, второй за деньги, суть не в том, 10 гривен не проблема, активировал, вроде как все ок.
       
      На своем сервере поднял два нативных домена, прописал там кучу поддоменов. В общем из локалки все резольвится, в базе ошибок нема, он себе жужжит.
       
      У обоих регистраторов создал по две своих записи, с указанием на сервер (вторая на его алиас) ну и удалил ихние родные, ибо пусть запросы ко мне шлют, на мой сервер.
       
      В итоге мой сервер видно без проблем со стороны интернета, dig его прекрасно видит и резолвит записи, а вот ихние ДНСы, не хотят.
       
      По сему собственно вопрос первый: Может я зря тра***сь с этими сервисами, кто подобное делал вообще, будет так работать?
      И второй: А сколько ждать пока обычно зоны обновляются? а то хз, одни пишут что час, другие что сутки
       
      Спасибо! Всем Добра!
×