Jump to content
Калькуляторы

Хочу полезного совета.

 Предстоит большой переезд со старых bind кучки доменных имён. Древние сервера под named, зон так 30 разного уровня. Переезд планируется под FreeBSD11, что именно порекомендуете, для бесшовного перехода клиентов. С минимумом геморроя при переносе конфига зон, или если есть прелести у новых nameservers и оно этого стоит ?

Share this post


Link to post
Share on other sites

Не клевать себе мозг и поставить bind911 пакетом. Геморроя будет по-минимуму.

Share this post


Link to post
Share on other sites

У меня были FreeBSD/BIND, переезжал на Debian/NSD/Unbound.

У FreeBSD есть свои преимущества, аккуратная и логичная система. Но Linux все же для ISP удобнее.

Файлы зон на BIND и NSD практически идентичны, но конфигурация отличается сильно. Ну и в отличие от BIND нет гибридного режима и представлений, это может быть серьезным недостатком.

Share this post


Link to post
Share on other sites
15 минут назад, alibek сказал:

. Но Linux все же для ISP удобнее

речь идет о Red Hat ?

Share this post


Link to post
Share on other sites

Я, когда себе выбирал, выбирал между CentOS и Debian. Последний мне понравился больше.

Share this post


Link to post
Share on other sites
43 минуты назад, alibek сказал:

Ну и в отличие от BIND нет гибридного режима и представлений, это может быть серьезным недостатком.

Ключевое.

 

Я клиентов именно поэтому перевести не могу. Сколько ни предупреждал, все равно рекурсором по старому адресу пользуются. Потому что гладиолусы. Особенно у банковских работников и работников телевидения и радио это ярко проявляется - админов-то разогнали, т.к. любая чебурашка может управлять сетью. А оставшиеся понять просто не в состоянии. :-(

Share this post


Link to post
Share on other sites

Freebsd изначально позиционируется разработчиками как высокопроизводительный маршрутизатор

 

25 минут назад, alibek сказал:

Я, когда себе выбирал, выбирал между CentOS и Debian. Последний мне понравился больше.

А эти две ОС чем могут похвастаться?

Share this post


Link to post
Share on other sites
2 часа назад, snvoronkov сказал:

Сколько ни предупреждал, все равно рекурсором по старому адресу пользуются.

Я эту проблему практически решил тем, что внешние DNS-запросы направляю на 127.0.0.53, где работает авторитетный сервер (NSD), а на рекурсоре (Unbound) обслуживаю только DNS-запросы из своих сетей.

Получилось почти как с гибридным режимом BIND.

Если же клиенту нужен именно авторитетный сервер, то на специальном выделенном адресе работает только NSD, доступный для всех (и своих сетей, и внешних сетей).

Может NSD/Unbound может быть не столь универсальны, как BIND, но эта связка мне нравится больше.

 

1 час назад, RN3DCX сказал:

А эти две ОС чем могут похвастаться?

Понятия не имею.

Просто хорошо работают.

К тому же для них есть клиент Oracle, что для меня важно (а на FreeBSD его нет, и видимо не будет).

Да и у меня была возможность сравнить FreeBSD и Debian в применении для: DNS-сервера, клиентского NAT (точнее контроллера хотспота и заодно шлюза), стриминга IPTV (через VLC). Вообщем-то линукс ничем не уступает, зато софт свежее и доступнее.

Share this post


Link to post
Share on other sites

Немножко оффтопичный вопрос о практике: а в чём видятся известные проблемы BIND, как авторитетного сервера + рекурсера в разных вьюхах? Зачем это всё делить на NSD/Unbound, ну, кроме диверсификации софта?

 

Просто допустим по BIND'у у меня фигова туча auth зон (несколько тысяч) на четырёх фронтэнд-серверах + рекурсия на них же от нескольких десятков тысяч клиентов (разведено вьюхами, даже в случае "своих" зон при рекурсии всё равно делается рекурсивный запрос к своим же серверам). Серверы географически разнесены, два выдаются клиентам, как рекурсеры, два остаются "чистыми" auth - прописаны в зонах и на корнях, однако функции дублируются везде одинаково, и в случае отвала ноды по любой причине идёт перехват IP через keepalived другой нодой. Сами зоны генерятся на двух выделенных мастерах/бэкэндах, которые других версий, и в паблик не светят, дабы не засветить DNSSEC, базы и прочее. Особо ретивые туннелеры и иже с ними попилены на фронтах не особо навороченным рейт контролом (hashlimit) на iptables. Сразу добавлю, что ни одной проблемы у этой схемы за три-четыре года не замечено.

 

CentOS, да.

 

Если я что-то упускаю, хотелось бы совета от давно практикующих, чтобы не встать на какие-нибудь редкие грабли.

Share this post


Link to post
Share on other sites

у нас есть и так и сяк и этак (в смыле и бинд и анбаунд/нсд и бинд без рекурсии). Проблем особых нет нигде. по ощущениям анбаунд и НСД быстрее на том же железе. фря.

Склоняюсь к тому, что со временем скрытый мастер останется на бинде, все слейвы торчащие в мир переедут на нсд и все ресолверы на анбаунд. Но чисто для упрощения общей конфигурации. 

Share this post


Link to post
Share on other sites

То есть именно ради упрощения конфигурации? В производительность я особо не упирался ещё - как абюзеров с их DNS-туннелями попилил, так и вообще стало хорошо. Процентов 60 нагрузки создавали именно они.

Share this post


Link to post
Share on other sites
16 часов назад, alibek сказал:

У FreeBSD есть свои преимущества, аккуратная и логичная система. Но Linux все же для ISP удобнее.

Удобнее то, что знаешь лучше/достаточно хорошо.

Share this post


Link to post
Share on other sites

 Спасибо за советы, оставил бинд, просто при малом количестве зон - это можно и руками. Про клиентов - можно не парится, оттестирую, выключу старые сервера и ip их алиасами на новый перевешу.

Share this post


Link to post
Share on other sites

powerdns еще умеет биндовые зоны цеплять, правда с гибридным там все костыли делают,  зато рекурсор ихний шпарит не плохо.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now