Názory k článku
Na návštěvě v Laboratořích CZ.NIC

Přiznám se, že mě trochu zaujala ta poznámka o DNS serverech. Já vcelku s oblibou používám PowerDNS jako autoritativní DNS server a jsem velmi spokojen. A to jak ve srovnání s NSD, BIND i Djbdns. Proto by mně zajímalo, jestli má PowerDNS nějakou zásadní nevýhodu (na kterou jsem ještě nenarazil) nebo proč je tak málo známé a rozšířené...

PowerDNS pouzivame na nekolika masinach a bezi skvele.
"nedavno" dostal i DNSSEC s verzi 3.0, split horizont lze realizovat s geoip backendem, IPv6 ma take jiz plnou podporu vcetne replikace master/slave.

Dobrý den,

PowerDNS známe, dokonce jsme jej pro .CZ nějakou dobu testovali, ale pro TLD provoz se nehodí. Databázový backend je ukrutně pomalý a s tím souborovým zase po chvíli přestal aktualizovat zónu přes XFR.

Samozřejmě se od té doby mohla situace změnit, nicméně osobně bych PowerDNS doporučil spíš do prostředí, kde je zapotřebí větší flexibilita než poskytování jedné velké zóny.

Ostatně jedny starší benchmarky:

http://www.generic-nic.net/sheets/practical/nameserver-en#id462144

O.

Já jsem to pochopil tak, že Laboratoře NIC nevyvíjí ten nový autoritativní DNS server jen pro TLD, ale chápu, že to bude asi při vývoji hodně na zřeteli.

Každopádně mně docela překvapuje, že ten DB backend byl pomalý. Docela bych očekával, že dobře navržená databáze obecně bude cca stejně rychlá jako implementace vyhledávání v nějakém DNS serveru bez DB. Navíc PowerDNS má i packetovou cache, takže shodné dotazy cachuje velmi brzy.

Zkoušel jsem dokonce z "rezervních" důvodů načítání tinydns zonefile přes pipebackend a CLI PHP ( :-) ) a na poměrně obstarožním HW jsem dosahoval vcelku slušných výsledků. Na P3 800MHz jsem při zonefile se 40K záznamy měl časy 0.00023s na dotaz.

Ale jinak můžu potvrdit, že PowerDNS je ohromně flexibilní a zatím mně při servírování cca 100 zón nenechal ve štychu, narozdíl od ostatních. Třeba NSD mi bez jakéhokoliv důvodu přestal nabízet zónu, pro kterou byl slave, aniý by cokoliv řekl a restart stačil...

> Já jsem to pochopil tak, že Laboratoře NIC nevyvíjí ten nový autoritativní
> DNS server jen pro TLD, ale chápu, že to bude asi při vývoji hodně na
> zřeteli.

To jste to pochopil správně, jen vysvětluju, proč tam není zmíněno PowerDNS. (Ostatně je to uvozeno větou o velkých doménových zónách :).

Každopádně je asi pravda, že bychom asi mohli udělat nějakou novější studii včetně PowerDNS s DNSSECem. Ona z našeho pohledu není ani tak důležitá rychlost odpovědi na jednotlivý dotaz, ale jak se to chová pod vysokou zátěží (nad 100-150 tisíc dotazů za sekundu). Napíšu si to někam do TODO. Díky za tip.

Jsem se trochu špatně vyjádřil. Šlo o průměrnou rychlost odpovědi, ne o jednu jedinou. Celé to vzniklo tak, že normálně používáme tinydns na všechny naše zákaznické zóny (t.j. asi 500 zón). A protože tinydns nemám rád, hledal jsem záložní variantu, kdyby přestalo fungovat. A PowerDNS umí pipe backend, tedy věc, která spustí nějaký program, kterému posílá dotazy. A protože poměrně rád píšu systémové "utilitky" v PHP, zkusil jsem napsat PHP aplikaci, co načte ten tinydns zonefile a bude ho přes pipe servírovat.
Protože jsem očekávál to, že lidi budou říkat, jak je to pomalé a já nevím co všecko, tak jsem si udělal jednoduchý test, kdy jsem vygeneroval větší zonefile a dal do něj zóny s náhodnými záznamy a pak na to pustil náhodné dotazy a měřil odpovědi a spotřebu paměti. A zjistil jsem, že i na mém stařičkém experimentálním stroji to zvládá řádově víc, než kdy budeme u nás potřebovat. Víc viz powerdns.cyber­sales.cz.
Jinak bych měl vcelku zájem vědět, jak dopadla ta studie.

Co je zač těch 32TB nasbíraných dat? To se logují veškeré DNS dotazy na jejich servery?

tak to by mne taky zajimalo

ja by som si tiez rad dosiel po aspon jeden malinicinuocky hard disk statistickych dat :)

Závidím. Musí to být skvělá práce. Řadu let jsem dělal co mě bavilo v pobočce jedné firmy tady u nás...firma odešla a teď zbývá jen pakárna, kterou mám teď nebo denně jezdit do Prahy, což je poněkud z ruky...
Až teď si člověk uvědomuje, jaké to je životní štěstí - mít práci, kam se člověk těší a nedělá to jen aby přežil....anebo být Pražákem....

Ak ste este dostatocne flexibilny, spravte to ako Patrik Zandl.

Navštívil jsem pár přednášek na LinuxAltu, kde přednášeli lidi z CZ.NIC a všechny byly bez výjimky skvělé.

Je nutne implementovat yet-another-dns-daemon? Imho je bind celkem vyvinuty projekt. Je nutne takto tristit sily?

Osobně jsem měl pocit, že to v článku bylo dobře popsáno. Pro tak zásadní věc, jako jsou root a TLD servery je diversita nutná. Pokud se objeví nějaká chyba v jedné implementaci, nebude to taková hrozba.
A například já už BINDu nevěřím, po všech těch bezpečnostních lapáliích co jsem s ním měl. A můžou mi lidi tvrdit, že už to tak není, ale já se vždycky zeptám: Ikdyby byl BIND už tak bezchybný, tak k čemu potřebuji takový moloch? Čím je DNS tak zvláštní, že se ospravedlní takovýhle moloch na službu, která je ve skutečnosti naprosto jednoduchý 1:1 dotaz-odpověď?

Nene, my děláme Knot DNS, yet-another-dns dělají v EURidu :)