andryas Posted November 10, 2011 Posted November 10, 2011 Пришёл момент поменять железо и систему для первичного DNS (bind), в силу устарелости первого (p3) со второй (6.2) и загруженности последнего. С некоторым удивлением обнаружил полугодичное отсутствие обновлений веток 7.4 и 8.2 при активно готовящейся к релизу 9.0. Собственно вопрос: от какой из наличиствующих веток следует ожидать наименьшее количество сюрпризов в продакшине? Вставить ник Quote
ipaddr.ru Posted November 10, 2011 Posted November 10, 2011 Так вас bind беспокоит или fbsd? Вставить ник Quote
s.lobanov Posted November 10, 2011 Posted November 10, 2011 BIND 9.6-ESV-последний - за всё время использования(уже года 2 или около того) всего один segfault, ISC наконец-то признало баг и скоро исправит его(вероятно, во всех ветках он есть) конфигурится так: STD_CDEFINES='-DISC_SOCKET_MAXEVENTS=256' ./configure --enable-threads --enable-largefile --enable-epoll Большую нагрузку(>5000 запрос в секунду) держит плохо, причину выяснить не удалось. С бинда перевёл основную нагрузку на pdns-recursor 3.1.7.2 (2 процесса(fork)), легко пережёвывает 10K запросов в секунду. Очень советую. Вставить ник Quote
vlad11 Posted November 10, 2011 Posted November 10, 2011 Собственно вопрос: от какой из наличиствующих веток следует ожидать наименьшее количество сюрпризов в продакшине? FreeBSD 8.2-Stable. Bind летом собирал с портов. Сейчас запросов не больше 500 в секунду. Вставить ник Quote
vlad11 Posted November 10, 2011 Posted November 10, 2011 С бинда перевёл основную нагрузку на pdns-recursor 3.1.7.2 (2 процесса(fork)), легко пережёвывает 10K запросов в секунду. Очень советую. Кто вы скажете на эти тесты? Server Queries/sec (10 clients) Unbound 8 276 MaraDNS 3 068 BIND 3 003 dnscache 2 928 PowerDNS Recursor 2 074 Сможете показать свои результат используя py-namebench? Вставить ник Quote
andryas Posted November 10, 2011 Author Posted November 10, 2011 (edited) ipaddr.ru, bind, существенно упала скорость отклика в чнн. Но и систему хочу поставить посвежей, другая машина есть и мне спешить особо некуда :) vlad11 Спасибо, начну наверное с майской 8,2 и бинда последнего, а дальше посмотрим. s.lobanov, Большое спасибо, но пока ещё не дорос до 10К :) Редко бывает более 1к, стОит сползать с bind'а или ещё рано? Ещё интересуют впечатления, насколько проще/сложнее в конфигурировании, поддержке? Миграция: есть ли какие-то ньюансы? Edited November 10, 2011 by andryas Вставить ник Quote
s.lobanov Posted November 10, 2011 Posted November 10, 2011 vlad11 Может попробую как-нибудь, но это надо переводить нагрузку с pdns куда-то или собирать тестовый сервер... как-то лениво и есть задачи поинтереснее. У меня другие результаты были на полусинтетических тестах. Тут ведь смотря что тестировать - эффективность работы с кешем(бить по кешу запросами) или эффективность самого рекурсора(делать постоянно промахи по кешу, вытеснять и т.д.). На практике было так, как написано выше. andryas Хватит Вам бинда вполне. Ещё интересуют впечатления, насколько проще/сложнее в конфигурировании, поддержке? Миграция: есть ли какие-то ньюансы? У pdns рекурсор отдельно, авторитативный сервер отдельно. У второго нет нормальных вьюх(можно сделать костыли на lua, но это изврат), что мешает полностью отказаться от бинда(вьюхи зло, но приходится использовать). Для меня синтаксис конфига и подобные вещи не принципиальны, поэтому не могу ничего сказать о проще/сложнее. Вставить ник Quote
ipaddr.ru Posted November 10, 2011 Posted November 10, 2011 У вас первичный DNS - это авторитативный или только резолвер? Резолвером ставьте unbound, конечно. И тестировать, тестировать. Вставить ник Quote
andryas Posted November 10, 2011 Author Posted November 10, 2011 ipaddr.ru авторитативный. Посему пока что останусь на bind'е, ибо разделять пока рано. Вставить ник Quote
ipaddr.ru Posted November 10, 2011 Posted November 10, 2011 Посмотрите на свежеанонсированный Knot. Я сам его ещё в руках не держал, но разработчиков знаю и они в своём деле разбираются. Вставить ник Quote
vlad11 Posted November 10, 2011 Posted November 10, 2011 vlad11 Спасибо, начну наверное с майской 8,2 и бинда последнего, а дальше посмотрим. Накатывайте на август-сентябрь 2011. В майском были неприятные баги с неответом при пинге. Вставить ник Quote
andryas Posted November 10, 2011 Author Posted November 10, 2011 Накатывайте на август-сентябрь 2011. В майском были неприятные баги с неответом при пинге. В первом топике писал уже, что не нашёл... Смотрите сами, обычно ежемесячно обновляются, но не в этом году :( Или я не там искал? Вставить ник Quote
vlad11 Posted November 10, 2011 Posted November 10, 2011 Тогда ставьте на апрель, обновляйте порты и систему на август-сентябрь (через csup, используя метку *date=11.08.20.00.00.00 #год.месяц.день.чч.мм.сс) Все равно редактировать дефолтный конфиг ядра. :) Вставить ник Quote
cmhungry Posted November 10, 2011 Posted November 10, 2011 А в анбаунде пофиксили непонятный баг, когда он не ресолвил определенные домены? При каких-то условиях - вот не дружил он с их днс серверами и все тут. Вставить ник Quote
GFORGX Posted November 11, 2011 Posted November 11, 2011 Привет! Захотелось попробовать вчера unbound, столкнулся с проблемами из-за negative caching... То есть, получив один раз NXDOMAIN он его кэширует и отдаёт в течение n-ного времени. Настроек, связанных с negcache как-то мало: пробовал ставить negcache-size в 0k - всё равно кэширует. Это у меня выдуманная проблема и я использую кривые апстримы (ns.transtelecom.net и ns.ttc.kz в виду маленького latency), или кто-то сталкивался? При использовании только root.hints проблемы нет, но как-то долговато по 2-3 секунды на новый некэшированный запрос. Вставить ник Quote
Alex/AT Posted November 11, 2011 Posted November 11, 2011 Вот такое http://www.knot-dns.cz/ еще появилось, но пока в бете. Кто-нибудь пробовал? Вставить ник Quote
Ivan_83 Posted November 11, 2011 Posted November 11, 2011 8.2 + обновление пересборкой unbound + nds Вставить ник Quote
GFORGX Posted November 11, 2011 Posted November 11, 2011 Вот такое http://www.knot-dns.cz/ еще появилось, но пока в бете. Кто-нибудь пробовал? Так оно ж authoritative-only... В этой роли пока что BIND устраивает полностью :) Вставить ник Quote
st_re Posted November 11, 2011 Posted November 11, 2011 Привет! Захотелось попробовать вчера unbound, столкнулся с проблемами из-за negative caching... То есть, получив один раз NXDOMAIN он его кэширует и отдаёт в течение n-ного времени. Настроек, связанных с negcache как-то мало: пробовал ставить negcache-size в 0k - всё равно кэширует. Это у меня выдуманная проблема и я использую кривые апстримы (ns.transtelecom.net и ns.ttc.kz в виду маленького latency), или кто-то сталкивался? При использовании только root.hints проблемы нет, но как-то долговато по 2-3 секунды на новый некэшированный запрос. NXDOMAIN это "нет домена" а не "ошибка/таймаут получения информации" ни разу. Если оно на валидные, существующие имена такое отдает, то кто то в вашей связке брешет. Того надо найти и не пользоваться более. а негативный кеш оставить в покое. Вставить ник Quote
GFORGX Posted November 11, 2011 Posted November 11, 2011 NXDOMAIN это "нет домена" а не "ошибка/таймаут получения информации" ни разу. Если оно на валидные, существующие имена такое отдает, то кто то в вашей связке брешет. Того надо найти и не пользоваться более. а негативный кеш оставить в покое. Спасибо, действительно, туплю. А виновник - ns.transtelecom.net, ns1.transtelecom.net - ОК :) Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.