| 1.11, Аноним (11), 19:13, 28/01/2022 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– | |
> По данным разработчиков проекта, PowerDNS Authoritative Server обслуживает примерно 30% из общего числа доменов в Европе
по моим данным гораздо меньше
| | |
| |
| |
| 3.16, Онаним (?), 21:31, 28/01/2022 [^] [^^] [^^^] [ответить]
| –3 +/– |
Ну все эти поделки - они работают только как authority servers. А BIND можно и так и эдак закрутить. Держать два стека на продакшне - да нафиг бы надо. Второй набор софта конечно имеется, но он совсем детально не тестируется и нужен только на случай отказа BIND.
| | |
| |
| 4.17, Аноним (17), 21:54, 28/01/2022 [^] [^^] [^^^] [ответить]
| +1 +/– |
PowerDNS тоже когда-то был блоатварью, но потом его распилили пополам.
А вот разрабов bind блоатварность не смущает, они наоборот, стремятся догнать и перегнать systemD.
Когда уже они объединят три своих мега-решета (named, dhcpd, ntpd) в один большой бинарник, чтобы не поддерживать лишние стеки?
| | |
| |
| 5.20, Онаним (?), 22:23, 28/01/2022 [^] [^^] [^^^] [ответить]
| +/– |
named у меня есть, остального нет.
В качестве абонентского DHCP ныне FreeRADIUS, опять же, чтобы второй стек не держать.
Вместо ntpd - chronyd, он просто в новых центосах из коробки, работает не хуже.
| | |
| |
| 6.22, Ivan_83 (ok), 02:05, 29/01/2022 [^] [^^] [^^^] [ответить]
| +1 +/– |
 chronyd - однозначно вин по сравнению с остальными поделками, хотя его бы тоже пропатчить чтобы он не умничал что часы слишком далеко ушли (более 100 лет) и потому синкать время не будет.
Когда то переводил провайдера в котором работал с VPN на IPoE, FreeRADIUS - это был первый шаг.
Он сам по себе нормально не работал, пришлось добавить логику через перл модуль.
Ещё немного подумав я выкинул FreeRADIUS и написал свой DHCP сервер на перле, который по нужной логике лазал напрямую в базу за адресами.
FreeRADIUS вообще довольно дурацкое поделие, что бы понять его логику - нужно играть в психиатора, потому что оно очень далеко от того что принято в интернет сообществе.
Сам бинд был УГ все годы и только последнее время там выгнали пенсионеров и переписали двигло в нём и в дхцп сервере.
Но поставить unbound в качестве рекурсера с кешем всё равно винрарнее, чем возится с этой тухлятиной.
Зоны не держал, про nsd ничего не скажу.
| | |
| |
| |
| 8.27, PnD (??), 12:34, 29/01/2022 [^] [^^] [^^^] [ответить] | +/– | Олдскульненько Фрюха, perl В моих краях в 200х аналогичный вопрос решали допис... текст свёрнут, показать | | |
|
| 7.29, Аноним (17), 14:13, 29/01/2022 [^] [^^] [^^^] [ответить]
| +/– | |
> chronyd - однозначно вин по сравнению с остальными поделками, хотя его бы тоже пропатчить чтобы он не умничал что часы слишком далеко ушли (более 100 лет) и потому синкать время не будет.
Вы бы хоть матчасть изучили, что ли
> Время представляется в системе NTP 64-битным числом (8 байт), состоящим из 32-битного счётчика секунд и 32-битного счётчика долей секунды, позволяя передавать время в диапазоне 232 секунд, с теоретической точностью 2−32 секунды. Поскольку шкала времени в NTP повторяется каждые 232 секунды (136 лет), получатель должен хотя бы примерно знать текущее время (с точностью 68 лет[8]).
Может, вам еще ботинки пропатчить, чтобы гравитацию игнорировать?
| | |
| |
| |
| 9.31, Аноним (17), 17:37, 29/01/2022 [^] [^^] [^^^] [ответить] | +/– | Ну, если у вас встречается погрешность часов более 70 лет, то вы как раз в Патру... текст свёрнут, показать | | |
|
|
|
|
|
|
|
|
| |
| 2.18, Аноним (17), 21:58, 28/01/2022 [^] [^^] [^^^] [ответить]
| +1 +/– |
Если зоны хотя бы иногда надо обновлять - определенно лучше.
| | |
| |
| 3.21, Онаним (?), 22:24, 28/01/2022 [^] [^^] [^^^] [ответить]
| +/– |
Чем? Какие проблемы у бинды с обновлением зон?
5000+ зон, никаких проблем пока не наблюдал.
| | |
| |
| 4.23, Аноним (-), 03:50, 29/01/2022 [^] [^^] [^^^] [ответить]
| +/– |
гы, а я вообще с 2003 сей bind крутил и так и эдак, и только 1 раз слабая машина просела по CPU под ДДоСом - году эдак в 2006, версии новЕе не проседали. Проблем с тех пор не встречал, не смотря на как минимум 3 горизонта с policy acl'ами везде. Зоны разные, много. Ажиотаж по смежным поводам мне потому не сильно понятен.
| | |
|
|
|
| |
| 2.28, Аноним (17), 14:05, 29/01/2022 [^] [^^] [^^^] [ответить]
| +/– | |
Ага. Но не само по себе, а в сочетании с возможностью использования реплицируемой БД в качестве бэкенда.
Допустим, во внутренней сети стоит pdns со включенным API, к которому могут подключаться админка (например, powerdns-admin), certbot для DNS01 challenge и прочие средства автоматизации). В качестве бэка у него мастер постгреса, к которому в качестве реплик подключены уже те постгресы, которые на доступных извне серваках стоят (и работают только на чтение). Соответственно
- изменения в зонах расходятся по всем сервакам практически моментально
- можно делать по расписанию снапшоты с базы и фигачить их в архив, или в гит, например, если хочется иметь красивые diff-ы
- а можно использовать постгресовский PITR, позволяющий откатиться на любой выбранный момент времени, если что-то пошло не так
- даже если как-то ломанут внешние серверы - поменять ничего не смогут, потому что реплики работают только на чтение
- DNS01 challenge вообще без ручных костылей.
Селектел уже заценил - у него в DNS-сервисе миллионы доменов.
| | |
| |
| 3.34, Sw00p aka Jerom (?), 13:37, 30/01/2022 [^] [^^] [^^^] [ответить]
| +1 +/– | |
>Ага. Но не само по себе, а в сочетании с возможностью использования реплицируемой БД в качестве бэкенда.
а зачем репликацию через бд? есть же собственный механизм мастер слейв (праймари секондари), можно хидден мастер делать.
| | |
| |
| 4.35, Аноним (17), 19:01, 30/01/2022 [^] [^^] [^^^] [ответить]
| +/– |
До появления autoprimary (см. новость) был гемор с новыми зонами.
Да и скорость обновления все равно не та, тот же DNS01 будет очень долго отрабатывать.
| | |
| |
| 5.36, Sw00p aka Jerom (?), 21:26, 30/01/2022 [^] [^^] [^^^] [ответить]
| +/– | |
> До появления autoprimary (см. новость) был гемор с новыми зонами.
так autoprimary это и есть supermaster который был всегда, мастер после изменения зоны посылает notify на слейвы и слейв тянет обновления зон, в чем проблема, меньше минуты занимает любые изменения.
> Да и скорость обновления все равно не та, тот же DNS01 будет
> очень долго отрабатывать.
все та же будет, потому-что разницы в апдейте базы нет, реплицируются самой бд или средствами самого днс (трансфером зон). Мастер в любом случае отправит notify слейвам сразу как только увидит изменения зоны.
пс: репликация средствами самого днс как по мне надежнее, чем репликация средствами бд.
| | |
| |
| 6.40, Аноним (17), 15:00, 31/01/2022 [^] [^^] [^^^] [ответить]
| +/– |
Восемь серверов-реплик (четыре VIP, на каждом из которых висит dnsdist, балансирующий между двумя pdns), асинхронная репликация, изменения доставляются в пределах пяти секунд.
| | |
| |
| 7.41, Sw00p aka Jerom (?), 17:38, 31/01/2022 [^] [^^] [^^^] [ответить]
| +/– |
> Восемь серверов-реплик (четыре VIP, на каждом из которых висит dnsdist, балансирующий между
> двумя pdns), асинхронная репликация, изменения доставляются в пределах пяти секунд.
ясно, ваши слейвы работают в нативном (NATIVE) режиме, когда шариться общая база (в режиме чтения), и каждый pdns независим. Тогда, при включении dnssec, каждый из этих pdns сам будет подписывать записи (online signing) и на каждом из них будут копии ключей (общая база). В моем случае хидден мастер подписывает и механизмом трансфера зон уже подписанные зоны (PRESIGNED) отправляет на слейвы, тем самым избавляя слейвы которые принимают запросы, от операций подписывания, что на мой взгляд более приемлемо с точки зрения использования вычислительных ресурсов. Плюс ключи, которые находятся в одном (надежном) месте.
| | |
| |
| 8.42, Аноним (17), 00:31, 01/02/2022 [^] [^^] [^^^] [ответить] | +/– | Подпись зоны при отправке трансфера - это вообще побочка Так-то никто не запрещ... текст свёрнут, показать | | |
|
|
|
|
|
|
|
|
