Опубликован релиз авторитетного (authoritative) DNS-сервера PowerDNS Authoritative Server 5.0, предназначенного для организации отдачи DNS-зон. В лучшие времена PowerDNS Authoritative Server обслуживал до 30% из общего числа доменов в Европе и до 90% доменов с DNSSEC. Код проекта распространяется под лицензией GPLv2...Подробнее: https://www.opennet.dev/opennews/art.shtml?num=63767
>>В лучшие временаДа, только непонятно чем они были лучше. BIND тормозил сильнее?
10K qps держит нормально (с мускулом, ток надо отрубить sql кеш)
Интересно, а 50K? У кого есть такой опыт?
И 50k -- reg.ru работает на PowerDNS+MySQL
Спасибо! Весьма интересно! А где-нибудь почитать об этом можно? Нет? И вот интересно, а на предмет импортозамещения никто не изучал вопрос с PowerDNS? Знаю, что есть бинарники в репозиториях ALT Linux, но PowerDNS точно нет в Astra (у них только BIND). Кроме того, разумеется и в реестре отечественного ПО вообще нет сейчас никаких DNS-серверов.
"импортозамещение" не изучают, а исполняют. Изучение предполагает навык задавания вопросов и доискивания правильных ответов, а за такие выкрутасы можно уже и сесть.
Прежде чем раздавать советы, научитесь внимательно читать и думать. Сомневаюсь, что моё пояснение вам поможет, но если есть некоторый предмет, то есть и вопросы связанные с этим предметом, а если есть вопросы, то есть и процесс изучения этих вопросов.
> то есть и процесс изучения этих вопросовон просто хотел сказать, что думать не его ("холопа") работа, как собственно и во всем совке, "делай что тебе приказали" - аксиома.
без dnsdist?
Какие ресурсы съедает, при такой загрузке?
PowerDNS - один из не многих кто имеет GeoDNS, наверное только gdnsd еще может посоперничатьне знаю чего вам этот BIND сдался
>не знаю чего вам этот BIND сдалсяPowerDNS уже перестал список корневых NS серверов вкрячивать в бинарник?
Не знаю, как у PowerDNS, а у BIND это именно так и реализовано. Список корневых NS по умолчанию задан на уровне исходных текстов. Даже если вы вообще удалите и не определите зону "." (точка), BIND всё равно будет запросы слать к корневым NS. Лечится это только одним способом (по крайней мере я других не знаю) - нужно положить пустой файл типа hint. В этом случае он будет выдавать ServFail на все запросы к зоне ".", либо создать свою зону "." с типом master - на всё неопределённое будут возвращаться NXDomain. Нужно учесть, что этот способ нигде официально не описан (по крайней мере я не нашёл), то есть на ваш страх риск.
>Не знаю, как у PowerDNS, а у BIND это именно так и реализовано. Список корневых NS по умолчанию задан на уровне исходных текстов.Бред!
Ты не только у PowerDNS, но и у BIND не знаешь как реализовано.named.conf:
-----------
view all in {
match-clients { any; };
zone "." in {
type hint;
file "root.cache";
};
root.cache:
-----------
;; ANSWER SECTION:
. 518400 IN NS a.root-servers.net.
. 518400 IN NS b.root-servers.net.
...
...
;; ADDITIONAL SECTION:
a.root-servers.net. 518400 IN A 198.41.0.4
b.root-servers.net. 518400 IN A 170.247.170.2
...
...
А если внимательно перечитать и подумать о чем там написано прежде чем браться излагать здесь основы основ для самых маленьких? Исходники BIND смотрел? Видимо нет. В общем ещё раз перечитай, что написано выше, проделай тесты: совсем удали свой "view all" и "root.cache" (не забудь перечитать конфиг, а то вдруг ты подумаешь, что я и об этом не знаю), а затем обнаружь к своему изумлению, что твой BIND всё равно почему-то будет слать DNS-запросы к вот этим *.root-servers.net. Угадаешь с трёх попыток почему он это продолжит делать? И вот потом поговорим, что здесь бред, а что нет. :)
Кроме того, что бы не быть голословным в отличии от некоторых знатоков "бреда" и базовых основ настройки BIND, рекомендую на досуге поизучать исходниках этого самого BIND (в данном случае на примере версии 9.11.37) и посмотреть как оно там на самом деле, а не писать здесь тексты из учебников для начинающих:lib/dns/rootns.c:
static char root_ns[] =
";\n"
"; Internet Root Nameservers\n"
";\n"
"$TTL 518400\n"
". 518400 IN NS A.ROOT-SERVERS.NET.\n"
". 518400 IN NS B.ROOT-SERVERS.NET.\n"
". 518400 IN NS C.ROOT-SERVERS.NET.\n"
...lib/dns/rootns.c:
dns_rootns_create(isc_mem_t *mctx, dns_rdataclass_t rdclass,
len = strlen(root_ns);
isc_buffer_init(&source, root_ns, len);bin/named/server.c:
result = dns_rootns_create(view->mctx, view->rdclass, filename, &db);
CHECKFATAL(dns_rootns_create(mctx, dns_rdataclass_in, NULL,
>Даже если вы вообще удалите и не определите зону "." (точка), BIND всё равно будет запросы слать к корневым NS.Печально, что приходится объяснять, что в BIND это не штатная настройка, а защита от "дурака" (не определите зону "."). В PowerDNS при смене адреса любого из корневых NS приходится бинарник обновлять :-(
Так что ты действительно не знаешь ни BIND, ни PowerDNS (программаст вестимо?)
Ага, и рассказывай теперь, что если бы ты якобы знал бы про эту, с твоих слов, защиту от "дурака", то какого лешего, ты бы стал приводить настройки named.conf из учебников для начинающих!? Ну, хорошо, а вот теперь господин эксперт, расскажите ещё и, а, например, на кой вам ляд в случае защищённой и изолированной от внешнего мира сети эта ваша защита от "дурака"? Что бы что!? В мануалах для начинающих об этом не рассказывают?
>В PowerDNS при смене адреса любого из корневых NS приходится бинарник обновлятьИ вообще хватит пороть чушь! Вот оно как раз и очевидно, что именно ты не только BIND не знаешь, но и PoewrDNS, так последний в этом вопросе ничем не отличается от BIND. Учи мат.часть! Прежде чем обновлять бинарник, прочти сначала мануал по PowerDNS: If the recursor.hint_file is not set, Recursor will use a compiled-in table as root hints.
1) В PowerDNS: If the recursor.hint_file is not set, Recursor will use a compiled-in table as root hints.
3) Тоже самое и в BIND: см. root_ns[] в lib/dns/rootns.c
новость про нейм (авторитативный) сервер, а он за рекурсер говорит
Логично! И я о том же! Не доходит, почему в авторитативном сервере нет такой настройки? Объяснить? Сам поймёшь? И вот теперь на кой ляд тогда человек сравнивает это именно с BIND, который сочетает в себе обе функции? Ну, неужели непонятно, что коль у кого-то загорелось именно этот функционал сравнивать с BIND, то конечно же речь идёт о другом продукте, то есть о PowerDNS Recursor? Ну, а по факту у PowerDNS (в данном случае Recursor) данный функционал реализован, как и у BIND. Авторитативынй сервер здесь вообще ни причем изначально! В противном случае нечего было и сравнивать с самого начала с BIND! Чепуха какая-то!
к нейм серверу можно прикрутить рекурсор, а список корневых NS вкорячен, потому-что надо как-то отрезолвить www.internic.net, чтобы скачать тот самый named.root по ссылке //www.internic.net/domain/named.root. Чтобы работало рекурсор нужен этот файл, а как его достать если рукурсор не работает без него? дилемма? - ну вот и вкорячивают. А если меняется айпишник какого-то сервера, надо не бинарник собирать заново, а новый named.root качать. Дураку понятно, что разом все адреса не сменятся никогда.
>к нейм серверу можно прикрутить рекурсорЛогично!
>а список корневых NS вкорячен
В BIND аналогично. См. исходники lib/dns/rootns.c
>А если меняется айпишник какого-то сервера, надо не бинарник собирать заново,
Чепуха! Ничего собирать не нужно. Читайте мануалы по Recursor'у и не пишите чепухи: If the recursor.hint_file is not set, Recursor will use a compiled-in table as root hints.
> Чепуха!читайте внимательно - "надо НЕ бинарник собирать заново,"
> к нейм серверу можно прикрутить рекурсорУ pdns auth давно не можно, выпилили такую возможность, рекурсивные запросы он не принимает и не перенаправляет
https://doc.powerdns.com/authoritative/guides/recursion.html
угу, в 2017 году версия 4.1.0 зарелизилась, учитывая что сам pdns существует с 2002 года.
Например тем, что в те времена релоад конфига с 10k зон занимал вечность.
Выходи из разморозки
>"зации отдачи DNS-зон. В лучшие времена PowerDNS Authoritative Server обслуживал до 30% из общего числа доменов в Европе и до 90% доменов с DNSSEC."Никто и никогда не вернёт нам богатый 2007 года. Денег нет!
Цифровых денег тебе "напечатают" столько, что ты сам скажешь хватит, а вот потом одни черепки останутся!
Вы это к чему написали? Некоторые тоже на диване не могут дойти до пульта, потому что такой цели перед ними и не стояло!
>Ключевым новшеством в PowerDNS Authoritative Server 5.0 стала поддержка представлений (views) в стиле DNS-сервера BIND, позволяющих отдавать разное содержимое DNS-зон в зависимости от IP-адреса.Не прошло и 25-ти лет (BIND 9 появился в 2000-м году) и оно уже реализовано в PowerDNS
Теоретически и практически кое-что там можно реализовать на LUA, но это будет всё равно немного не то, но если нужен именно полноценный Split Horizon похожий на view BIND, то и в старых версиях я бы реализовал это через dnsdist, а сам авторитативный PowerDNS поднимал бы отдельными виртуальными экземплярами (этот функционал у него есть из коробки) со списком своих зон, но теперь в новой версии как мы видим у PowerDNS появились ещё и view.
DNS шифрование актуально как некогда.
Надеюсь всё шифрования DNS DoH вырубили? Или нет?!