Hlavní navigace

Kořenová zóna v Česku: blíž základům DNS

Petr Krčmář 16. 9. 2015

Kořenové servery jsou základem systému DNS. Nabízejí odpověď na to, které další servery obsahují informace o jednotlivých TLD jako třeba .cz nebo .com. Formálně je těchto serverů třináct, v praxi jde ale o stovky až tisíce jednotlivých uzlů rozesetých po celém světě. I v Česku máme několik kopií kořenové zóny.

Kořen dobra

U kořenových serverů začíná každé dotazování na internetovou doménu. Pokud se chcete zeptat na doménu root.cz, budete muset zjistit, jaké adresy mají servery CZ.NIC. To zjistíte právě u kořenových serverů, kterých je celkem třináct a jsou označeny písmeny A až M. Jejich seznam si můžete z libovolného z nich zjistit.

$ dig @a.root-servers.net . ns

...

a.root-servers.net. 518400  IN  A   198.41.0.4
b.root-servers.net. 518400  IN  A   192.228.79.201
c.root-servers.net. 518400  IN  A   192.33.4.12
d.root-servers.net. 518400  IN  A   199.7.91.13
e.root-servers.net. 518400  IN  A   192.203.230.10
f.root-servers.net. 518400  IN  A   192.5.5.241
g.root-servers.net. 518400  IN  A   192.112.36.4
h.root-servers.net. 518400  IN  A   128.63.2.53
i.root-servers.net. 518400  IN  A   192.36.148.17
j.root-servers.net. 518400  IN  A   192.58.128.30
k.root-servers.net. 518400  IN  A   193.0.14.129
l.root-servers.net. 518400  IN  A   199.7.83.42
m.root-servers.net. 518400  IN  A   202.12.27.33
a.root-servers.net. 518400  IN  AAAA    2001:503:ba3e::2:30
b.root-servers.net. 518400  IN  AAAA    2001:500:84::b
c.root-servers.net. 518400  IN  AAAA    2001:500:2::c
d.root-servers.net. 518400  IN  AAAA    2001:500:2d::d
f.root-servers.net. 518400  IN  AAAA    2001:500:2f::f
h.root-servers.net. 518400  IN  AAAA    2001:500:1::803f:235
i.root-servers.net. 518400  IN  AAAA    2001:7fe::53
j.root-servers.net. 518400  IN  AAAA    2001:503:c27::2:30
k.root-servers.net. 518400  IN  AAAA    2001:7fd::1
l.root-servers.net. 518400  IN  AAAA    2001:500:3::42
m.root-servers.net. 518400  IN  AAAA    2001:dc3::35

...

Přestože je těchto serverů „jen“ třináct, v praxi většina z nich využívá anycast – jejich IP adresu má přidělenou více fyzických serverů po celém světě. Pomocí protokolu BGP vás pak routery v internetu nasměrují na nejbližší uzel, který tuto adresu používá a umí provoz odbavit. To dovoluje rozkládat obrovskou zátěž a umožňuje to zkracovat cestu do jednotlivých sítí. Za každou z těchto IP adres se tedy může ukrývat ohromné množství fyzických serverů.

CZ.NIC nedávno zveřejnil video vysvětlující běžným uživatelům, jak funguje DNS.

V lokálním i globálním zájmu

V zájmu velkých operátorů je proto spouštět instanci kořenových serverů i ve vlastních sítích. Dělají to jak komerční operátoři, tak i organizace zapojené do internetové komunity. Mezi ně patří například CZ.NIC, který ve své síti provozuje instalaci tří kořenových serverů: F, L a K. Z hlediska lokálního je hlavní výhodou zrychlení přístupu k DNS, protože řada dotazů nemusí odejít přes půl světa, ale může být vyřízena lokálně. Z celosvětového pohledu je pak zásadní také zvýšení stability celého DNS. Jakmile vypadne důležitý server například ve Švédsku, přesměruje se díky anycastu provoz na nejbližší uzel třeba právě k nám do Česka, vysvětluje Jaromír Talíř, technický ředitel CZ.NIC.

Podmínky zprovoznění kopie kořenové zóny se výrazně liší podle jednotlivých správců. Někteří provozovatelé uzlů jsou velmi otevření a umožňují spuštění vlastní instance root serveru. Týká se to například organizací ICANN nebo RIPE NCC. Naopak uzly provozované armádou jsou drženy pevně v rukou a není možné se s nimi takto dohodnout, vysvětlil nám Ondřej Surý z CZ.NIC. Počet anycastových uzlů pro každý root server lze zjistit na stránkách www.root-servers.org.

Kopie kořenových serverů okolo nás

Zároveň se výrazně liší i finanční podmínky takového provozu, v praxi mohou finance téct oběma směry. Je to různé, někteří provozovatelé peníze za hosting kořenových serverů platí, jiní to řeší formou barteru a další naopak peníze požadují. Některé kořenové servery jsou často spravovány neziskovými organizacemi, které si takto můžou vydělávat na svůj provoz, říká Surý.

Vše ve vlastní režii

ICANN svůj L-root server provozuje v Česku u CZ.NIC přibližně šest let. Organizace si vlastně vše zařizuje sama, servery má vlastní a sama se o ně stará. ICANN má vlastní hardware, který je vyzkoušený, nadimenzovaný a věří mu, vysvětluje Jaromír Talíř. CZ.NIC se na provozu podílí prostorem, místem v racku a elektřinou. Mají dokonce i vlastní propoje, mají svého poskytovatele konektivity a vlastní číslo AS, dodává Talíř. Přímý propoj s CZ.NIC samozřejmě také existuje, ale funguje jen jako záloha a připojení do bezpečné VLAN v rámci projektu FENIX. Čas od času nás požádají jen o spolupráci při jednorázových úpravách na hardware, říká Talíř.

Během provozu probíhá také pravidelná obměna hardware, přibližně v tříletých cyklech. Před čtrnácti dny proběhla už druhá obměna. Upgradovali router, dodali novější servery. Je to pravidelná obměna hardware, takže vlastně nic zásadního. Původně bylo v racku 20 serverů, teď byl počet navýšen na 30. Mají spočítáno, že by měly dohromady zvládnout desítky milionů požadavků za sekundu, říká Jaromír Talíř. Fyzicky tu při instalaci byli tři zahraniční technici, kteří vše zapojovali, my jsme jim byli k ruce.

Instalace nového L-root serveru v Praze.

Po obměně teď polovina serverů běží na serveru NSD, ta druhá pak na českém serveru Knot DNS právě z dílny CZ.NIC. Těší nás, že náš poměrně mladý a stále se vyvíjející projekt, jímž je DNS server Knot DNS, je již tak daleko, že může být nasazen na té nejvyšší úrovni, tedy na jednom z kořenových serverů, říká Ondřej Filip, výkonný ředitel CZ.NIC.

Na posledním RIPE meetingu byla zveřejněna výzva k možnosti provozovat také kopii K-root serveru. CZ.NIC zareagoval a před 14 dny byl nový server spuštěn. Zatím na něj ale paradoxně míří minimální provoz, jen asi 300 paketů za sekundu. Server je přes náš router připojen do NIX.CZ, kam ale má svou linku přivedenou i Hurricane Electric. Jejich síť má stejně dlouhou AS path na dva hopy, takže provoz stahuje jejich K-root server do Frankfurtu, vysvětluje Talíř nepříjemnou situaci. Budeme se ještě bavit s RIPE NCC a hledat řešení. Varianty jsou podle Talíře dvě: buďto uměle prodloužit cestu k HE nebo obejít router do NIX.CZ, připojit server přímo a tím zkrátit vlastní cestu na jeden hop.

K-root server funguje v mírně jiném režimu, protože existují dva typy instalací: velké globální uzly na několika místech na světě a lokální uzly. To je vlastně jen malý 1U server, který si může nainstalovat nějaký operátor k sobě do sítě a provozovat pro své zákazníky. Pak záleží na něm, kam všude jej bude propagovat, vysvětlil Talíř. Právě v tomto menším režimu je K-root server v Česku provozován. Je to také výrazně jednodušší na údržbu než plnohodnotné řešení pro celý svět.

Servery obsluhující pražský L-root server.

V současné době jsou kořenové servery propagovány do všech sítí, do kterých je CZ.NIC připojen: NIX.CZ, NIX.SK, FENIX a všechny tranzitní sítě poskytovatelů zahraniční konektivity. V síti FENIX je v tuto chvíli K-root server a budou se přidávat další. Instalace L-root serveru stále ještě běží a linky se průběžně přidávají a mění. Je to stále v procesu, vysvětluje Talíř.

NIX.CZ má kořen i některé TLD

Také peeringové centrum NIX.CZ ve své síti provozuje kopii kořenového DNS serveru a také servery některých TLD. Jedná se vlastně o otevřenou službu určenou pro provozovatele serverů po celém světě. Služba je hodně individualizovaná na základně konkrétních požadavků provozovatele DNS serveru, vysvětluje Adam Golecký, technický ředitel NIX.CZ. Každý provozovatel TLD má totiž jiné požadavky na prostory nebo na spotřebu elektřiny.

Někdo také například vyžaduje ke svému serveru zahraniční konektivitu a propagaci do světa, jiná organizace, jako například Verisign, ji nevyžaduje a stačí jí propagace v rámci sítě NIX.CZ. S každým jsme se zatím dohodli, jsme hodně otevření a v rámci komunitní spolupráce chceme proplatit jen provozní náklady, říká Golecký.

Princip je takový, že provozovatelé domén mají možnost se s NIX.CZ dohodnout na umístění svých serverů. Mohou si k nám dát své servery do housingu a my je pak propagujeme svým členům v peeringovém uzlu, říká Golecký. V současné době jsou takto dostupné top level domény: .pl, .at, .lt, .eu, .ru, .be, .com a .net. Verisign u nás provozuje autoritativní kořenový j-root server, na kterém mají kořenovou zónu a .com i .net zároveň.

Blíž ke kořeni

V Česku tedy běží několik na sobě nezávislých kopií kořenové zóny, což nám při běžném provozu zkracuje dobu čekání na vyřízení DNS dotazu. Zároveň nám to ale umožňuje v případě zásadního výpadku zahraniční konektivity zůstat alespoň připojení k místním serverům. Málokdo si totiž uvědomuje, že pro vyřízení požadavku na .CZ doménu je bezpodmínečně nutné mít kontakt také s kořenovou zónou. Teprve přes tu vede cesta zpět ke správci naší domény, který už nám vrátí konkrétní IP adresu.

Pokud by se Česko ocitlo například kvůli technickým problémům v uzavřeném ostrovním režimu s omezenou zahraniční konektivitou, měli by čeští uživatelé díky místním zrcadlům kořenových serverů alespoň možnost po místních sítích doputovat k českým serverům. Vzhledem k tomu, že podle statistik NIX.CZ odbaví provozovatelé českých serverů v místních peeringových centrech asi 70 % datových toků, znamená to docela dobrou dostupnost místních služeb. Nemělo by tak dojít k zásadnímu omezení provozu, který by nastal v případě úplné nedostupnosti kořenových serverů.

Našli jste v článku chybu?

21. 9. 2015 13:25

BIND 9 (a každý jiný moderní resolver) si vede interní statistiku ohledně latence a dostupnosti NS, a pak používá ten "nejrychlejší" (samotné algoritmy výběru jsou trochu složitější). Nesmíte to zkoušet "zastudena".

Vitalia.cz: I církev dnes vyrábí potraviny

I církev dnes vyrábí potraviny

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Vitalia.cz: Jak koupit Mikuláše a nenaletět

Jak koupit Mikuláše a nenaletět

Vitalia.cz: Vláknina: Rozpustná, nebo nerozpustná?

Vláknina: Rozpustná, nebo nerozpustná?

Podnikatel.cz: K EET. Štamgast už peníze na stole nenechá

K EET. Štamgast už peníze na stole nenechá

Root.cz: Vypadl Google a rozbilo se toho hodně

Vypadl Google a rozbilo se toho hodně

Vitalia.cz: Říká amoleta - a myslí palačinka

Říká amoleta - a myslí palačinka

Lupa.cz: Google měl výpadek, nejel Gmail ani YouTube

Google měl výpadek, nejel Gmail ani YouTube

Vitalia.cz: Baletky propagují zdravotní superpostel

Baletky propagují zdravotní superpostel

Podnikatel.cz: 1. den EET? Problémy s pokladnami

1. den EET? Problémy s pokladnami

Vitalia.cz: To není kašel! Správná diagnóza zachrání život

To není kašel! Správná diagnóza zachrání život

120na80.cz: Rakovina oka. Jak ji poznáte?

Rakovina oka. Jak ji poznáte?

DigiZone.cz: Recenze Westworld: zavraždit a...

Recenze Westworld: zavraždit a...

Podnikatel.cz: Víme první výsledky doby odezvy #EET

Víme první výsledky doby odezvy #EET

DigiZone.cz: Sony KD-55XD8005 s Android 6.0

Sony KD-55XD8005 s Android 6.0

Vitalia.cz: Paštiky plné masa ho zatím neuživí

Paštiky plné masa ho zatím neuživí

Vitalia.cz: „Připluly“ z Německa a možná obsahují jed

„Připluly“ z Německa a možná obsahují jed

Vitalia.cz: 9 největších mýtů o mase

9 největších mýtů o mase

120na80.cz: Pánové, pečujte o svoje přirození a prostatu

Pánové, pečujte o svoje přirození a prostatu

Vitalia.cz: Chtějí si léčit kvasinky. Lék je jen v Německu

Chtějí si léčit kvasinky. Lék je jen v Německu