Le 12/08/2015 21:06, Romain Delville a écrit :
Bonsoir,
Je reprends juste le fil de la discussion mais avez-vous jeté un coup d'oeil à PowerDNS comme serveur DNS ?
Bonsoir, oui à une époque où on parlait pas dnssec, il est bien comme serveur mais pour avoir connu des architectures de Bind gérant des centaines de millier de zones, il fallait des backends de dingue pour tenir la charge. A l'époque pratiquement 2 requetes DNS généraient 1 requête SQL il aurait fallu des DB avec des spec de dingues à l'époque où la virtualisation existait pas. Donc écarté pour non conforme au principe de simplicité et d'autonomie. Un serveur DNS c'est une fondation d'un réseau, tout tes services doivent pouvoir s'écrouler et lui doit encore tourner, donc autant avoir plein de serveurs autonome sur différents AS et qui n'ont pas besoin de backend.
- Gestion du dnssec facilement gérable en ligne de commande (https://doc.powerdns.com/md/authoritative/dnssec/)
- la liste des types supportés https://doc.powerdns.com/md/types/
- Différents backends (bind, PostgreSQL, MySQL et autres)
- Une API permettant d'implémenter des outils webs. Par exemple https://github.com/tuxis-ie/nsedit
Cordialement, Romain
Le 12 août 2015 23:32, Wallace wallace@morkitu.org a écrit :
Bonsoir, oui à une époque où on parlait pas dnssec, il est bien comme serveur mais pour avoir connu des architectures de Bind gérant des centaines de millier de zones, il fallait des backends de dingue pour tenir la charge. A l'époque pratiquement 2 requetes DNS généraient 1 requête SQL il aurait fallu des DB avec des spec de dingues à l'époque où la virtualisation existait pas. Donc écarté pour non conforme au principe de simplicité et d'autonomie. Un serveur DNS c'est une fondation d'un réseau, tout tes services doivent pouvoir s'écrouler et lui doit encore tourner, donc autant avoir plein de serveurs autonome sur différents AS et qui n'ont pas besoin de backend.
PowerDNS dispose d'un backend "Bind zone file" si tu ne veux pas utiliser de BDD : https://doc.powerdns.com/md/authoritative/backend-bind/ À la différence de Bind, PowerDNS dispose d'un cache et fait appel au backend seulement si nécessaire.
Le 13/08/2015 01:26, Jonathan Leroy a écrit :
Le 12 août 2015 23:32, Wallace wallace@morkitu.org a écrit :
Bonsoir, oui à une époque où on parlait pas dnssec, il est bien comme serveur mais pour avoir connu des architectures de Bind gérant des centaines de millier de zones, il fallait des backends de dingue pour tenir la charge. A l'époque pratiquement 2 requetes DNS généraient 1 requête SQL il aurait fallu des DB avec des spec de dingues à l'époque où la virtualisation existait pas. Donc écarté pour non conforme au principe de simplicité et d'autonomie. Un serveur DNS c'est une fondation d'un réseau, tout tes services doivent pouvoir s'écrouler et lui doit encore tourner, donc autant avoir plein de serveurs autonome sur différents AS et qui n'ont pas besoin de backend.
PowerDNS dispose d'un backend "Bind zone file" si tu ne veux pas utiliser de BDD : https://doc.powerdns.com/md/authoritative/backend-bind/ À la différence de Bind, PowerDNS dispose d'un cache et fait appel au backend seulement si nécessaire.
Quand j'avais testé PowerDNS entre 2006 et 2007 il ne fonctionnait plus si la base de donnée n'était pas joignable et j'avais bien 2 requêtes DNS pour 1 requête SQL dans la métrologie. Ca a du évoluer sans doute.
On 13/08/2015 16:01, Wallace wrote:
Quand j'avais testé PowerDNS entre 2006 et 2007 il ne fonctionnait plus si la base de donnée n'était pas joignable et j'avais bien 2 requêtes DNS pour 1 requête SQL dans la métrologie. Ca a du évoluer sans doute.
Pfiou, 8 à 9 ans, c'est une éternité ! ;) Ca a bien évolué depuis, Bert a rajouté et continue à rajouter de nouvelles fonctions régulièrement.
A tester donc.
Le 13/08/2015 16:06, Nicolas CARTRON a écrit :
On 13/08/2015 16:01, Wallace wrote:
Quand j'avais testé PowerDNS entre 2006 et 2007 il ne fonctionnait plus si la base de donnée n'était pas joignable et j'avais bien 2 requêtes DNS pour 1 requête SQL dans la métrologie. Ca a du évoluer sans doute.
Pfiou, 8 à 9 ans, c'est une éternité ! ;) Ca a bien évolué depuis, Bert a rajouté et continue à rajouter de nouvelles fonctions régulièrement.
A tester donc.
Je suis bien d'accord que ça date. Et à part l'export Bind, y a d'autres exports de fichiers à plat genre Unbound ou NSD? Et comment est géré le dnssec car dans la doc un rapide aperçu montre des commandes domaine par domaine ça semble pas très industrialisé.
Le 13/08/2015 22:03, Simon Morvan a écrit :
On 13/08/2015 16:33, Wallace wrote:
Et à part l'export Bind, y a d'autres exports de fichiers à plat genre Unbound ou NSD?
Qu'est-ce que tu appelles un "export Unbound" dans ce contexte ? Pour moi unbound n'est qu'un resolveur-cache.
Unbound est comme Bind, il peut être resolveur et/ou faisant autorité.
On Fri Aug 14 12:54:31 2015, Wallace wrote:
Unbound est comme Bind, il peut être resolveur et/ou faisant autorité.
Il n’est pas du tout fait pour ça. Sa partie faisant autorité n’est là que pour un petit LAN (genre pour 168.192.in-addr.arpa.). Pour vraiment faire un serveur faisant autorité, il y a nsd.
Le 14/08/2015 16:59, Alarig Le Lay a écrit :
On Fri Aug 14 12:54:31 2015, Wallace wrote:
Unbound est comme Bind, il peut être resolveur et/ou faisant autorité.
Il n’est pas du tout fait pour ça. Sa partie faisant autorité n’est là que pour un petit LAN (genre pour 168.192.in-addr.arpa.). Pour vraiment faire un serveur faisant autorité, il y a nsd.
On l'a testé et il tient très bien la charge pour presque un millier de zones. L'infra où il est utilisé a deux Bind, un NSD, un Unbound comme NS des zones hébergées, le but étant d'avoir des NS sur des AS différents avec des logiciels différents en cas de faille non dévoilée.
Les caractéristiques des machines sont un peu différentes mais ça tient autour des 45K req/sec sur chaque NS, le Bind étant aidé d'une machine 50% plus performante. Et un avantage à Unbound il est plus rapide pour répondre aux requêtes de domaines qui ne sont pas hébergés sur le NS à l'inverse de Bind qui met un temps fou à chercher la zone inexistante.
Je veux bien croire que sur des centaines de milliers de zone ce n'est pas adapté mais quelques centaines ça passe très bien.
-
Alarig Le Lay -
Jonathan Leroy -
Nicolas CARTRON -
Simon Morvan -
Wallace