Перейти к содержимому
Калькуляторы

Хочу полезного совета.

 Предстоит большой переезд со старых bind кучки доменных имён. Древние сервера под named, зон так 30 разного уровня. Переезд планируется под FreeBSD11, что именно порекомендуете, для бесшовного перехода клиентов. С минимумом геморроя при переносе конфига зон, или если есть прелести у новых nameservers и оно этого стоит ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Не клевать себе мозг и поставить bind911 пакетом. Геморроя будет по-минимуму.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

У меня были FreeBSD/BIND, переезжал на Debian/NSD/Unbound.

У FreeBSD есть свои преимущества, аккуратная и логичная система. Но Linux все же для ISP удобнее.

Файлы зон на BIND и NSD практически идентичны, но конфигурация отличается сильно. Ну и в отличие от BIND нет гибридного режима и представлений, это может быть серьезным недостатком.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

15 минут назад, alibek сказал:

. Но Linux все же для ISP удобнее

речь идет о Red Hat ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Я, когда себе выбирал, выбирал между CentOS и Debian. Последний мне понравился больше.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

43 минуты назад, alibek сказал:

Ну и в отличие от BIND нет гибридного режима и представлений, это может быть серьезным недостатком.

Ключевое.

 

Я клиентов именно поэтому перевести не могу. Сколько ни предупреждал, все равно рекурсором по старому адресу пользуются. Потому что гладиолусы. Особенно у банковских работников и работников телевидения и радио это ярко проявляется - админов-то разогнали, т.к. любая чебурашка может управлять сетью. А оставшиеся понять просто не в состоянии. :-(

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Freebsd изначально позиционируется разработчиками как высокопроизводительный маршрутизатор

 

25 минут назад, alibek сказал:

Я, когда себе выбирал, выбирал между CentOS и Debian. Последний мне понравился больше.

А эти две ОС чем могут похвастаться?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

2 часа назад, snvoronkov сказал:

Сколько ни предупреждал, все равно рекурсором по старому адресу пользуются.

Я эту проблему практически решил тем, что внешние DNS-запросы направляю на 127.0.0.53, где работает авторитетный сервер (NSD), а на рекурсоре (Unbound) обслуживаю только DNS-запросы из своих сетей.

Получилось почти как с гибридным режимом BIND.

Если же клиенту нужен именно авторитетный сервер, то на специальном выделенном адресе работает только NSD, доступный для всех (и своих сетей, и внешних сетей).

Может NSD/Unbound может быть не столь универсальны, как BIND, но эта связка мне нравится больше.

 

1 час назад, RN3DCX сказал:

А эти две ОС чем могут похвастаться?

Понятия не имею.

Просто хорошо работают.

К тому же для них есть клиент Oracle, что для меня важно (а на FreeBSD его нет, и видимо не будет).

Да и у меня была возможность сравнить FreeBSD и Debian в применении для: DNS-сервера, клиентского NAT (точнее контроллера хотспота и заодно шлюза), стриминга IPTV (через VLC). Вообщем-то линукс ничем не уступает, зато софт свежее и доступнее.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Немножко оффтопичный вопрос о практике: а в чём видятся известные проблемы BIND, как авторитетного сервера + рекурсера в разных вьюхах? Зачем это всё делить на NSD/Unbound, ну, кроме диверсификации софта?

 

Просто допустим по BIND'у у меня фигова туча auth зон (несколько тысяч) на четырёх фронтэнд-серверах + рекурсия на них же от нескольких десятков тысяч клиентов (разведено вьюхами, даже в случае "своих" зон при рекурсии всё равно делается рекурсивный запрос к своим же серверам). Серверы географически разнесены, два выдаются клиентам, как рекурсеры, два остаются "чистыми" auth - прописаны в зонах и на корнях, однако функции дублируются везде одинаково, и в случае отвала ноды по любой причине идёт перехват IP через keepalived другой нодой. Сами зоны генерятся на двух выделенных мастерах/бэкэндах, которые других версий, и в паблик не светят, дабы не засветить DNSSEC, базы и прочее. Особо ретивые туннелеры и иже с ними попилены на фронтах не особо навороченным рейт контролом (hashlimit) на iptables. Сразу добавлю, что ни одной проблемы у этой схемы за три-четыре года не замечено.

 

CentOS, да.

 

Если я что-то упускаю, хотелось бы совета от давно практикующих, чтобы не встать на какие-нибудь редкие грабли.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

у нас есть и так и сяк и этак (в смыле и бинд и анбаунд/нсд и бинд без рекурсии). Проблем особых нет нигде. по ощущениям анбаунд и НСД быстрее на том же железе. фря.

Склоняюсь к тому, что со временем скрытый мастер останется на бинде, все слейвы торчащие в мир переедут на нсд и все ресолверы на анбаунд. Но чисто для упрощения общей конфигурации. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

То есть именно ради упрощения конфигурации? В производительность я особо не упирался ещё - как абюзеров с их DNS-туннелями попилил, так и вообще стало хорошо. Процентов 60 нагрузки создавали именно они.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

16 часов назад, alibek сказал:

У FreeBSD есть свои преимущества, аккуратная и логичная система. Но Linux все же для ISP удобнее.

Удобнее то, что знаешь лучше/достаточно хорошо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

 Спасибо за советы, оставил бинд, просто при малом количестве зон - это можно и руками. Про клиентов - можно не парится, оттестирую, выключу старые сервера и ip их алиасами на новый перевешу.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

powerdns еще умеет биндовые зоны цеплять, правда с гибридным там все костыли делают,  зато рекурсор ихний шпарит не плохо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.