Názory k článku Na návštěvě v Laboratořích CZ.NIC

Přiznám se, že mě trochu zaujala ta poznámka o DNS serverech. Já vcelku s oblibou používám PowerDNS jako autoritativní DNS server a jsem velmi spokojen. A to jak ve srovnání s NSD, BIND i Djbdns. Proto by mně zajímalo, jestli má PowerDNS nějakou zásadní nevýhodu (na kterou jsem ještě nenarazil) nebo proč je tak málo známé a rozšířené...

PowerDNS pouzivame na nekolika masinach a bezi skvele.
"nedavno" dostal i DNSSEC s verzi 3.0, split horizont lze realizovat s geoip backendem, IPv6 ma take jiz plnou podporu vcetne replikace master/slave.

Já jsem to pochopil tak, že Laboratoře NIC nevyvíjí ten nový autoritativní DNS server jen pro TLD, ale chápu, že to bude asi při vývoji hodně na zřeteli.

Každopádně mně docela překvapuje, že ten DB backend byl pomalý. Docela bych očekával, že dobře navržená databáze obecně bude cca stejně rychlá jako implementace vyhledávání v nějakém DNS serveru bez DB. Navíc PowerDNS má i packetovou cache, takže shodné dotazy cachuje velmi brzy.

Zkoušel jsem dokonce z "rezervních" důvodů načítání tinydns zonefile přes pipebackend a CLI PHP ( :-) ) a na poměrně obstarožním HW jsem dosahoval vcelku slušných výsledků. Na P3 800MHz jsem při zonefile se 40K záznamy měl časy 0.00023s na dotaz.

Ale jinak můžu potvrdit, že PowerDNS je ohromně flexibilní a zatím mně při servírování cca 100 zón nenechal ve štychu, narozdíl od ostatních. Třeba NSD mi bez jakéhokoliv důvodu přestal nabízet zónu, pro kterou byl slave, aniý by cokoliv řekl a restart stačil...

Jsem se trochu špatně vyjádřil. Šlo o průměrnou rychlost odpovědi, ne o jednu jedinou. Celé to vzniklo tak, že normálně používáme tinydns na všechny naše zákaznické zóny (t.j. asi 500 zón). A protože tinydns nemám rád, hledal jsem záložní variantu, kdyby přestalo fungovat. A PowerDNS umí pipe backend, tedy věc, která spustí nějaký program, kterému posílá dotazy. A protože poměrně rád píšu systémové "utilitky" v PHP, zkusil jsem napsat PHP aplikaci, co načte ten tinydns zonefile a bude ho přes pipe servírovat.
Protože jsem očekávál to, že lidi budou říkat, jak je to pomalé a já nevím co všecko, tak jsem si udělal jednoduchý test, kdy jsem vygeneroval větší zonefile a dal do něj zóny s náhodnými záznamy a pak na to pustil náhodné dotazy a měřil odpovědi a spotřebu paměti. A zjistil jsem, že i na mém stařičkém experimentálním stroji to zvládá řádově víc, než kdy budeme u nás potřebovat. Víc viz powerdns.cyber­sales.cz.
Jinak bych měl vcelku zájem vědět, jak dopadla ta studie.

Co je zač těch 32TB nasbíraných dat? To se logují veškeré DNS dotazy na jejich servery?

tak to by mne taky zajimalo

ja by som si tiez rad dosiel po aspon jeden malinicinuocky hard disk statistickych dat :)

Závidím. Musí to být skvělá práce. Řadu let jsem dělal co mě bavilo v pobočce jedné firmy tady u nás...firma odešla a teď zbývá jen pakárna, kterou mám teď nebo denně jezdit do Prahy, což je poněkud z ruky...
Až teď si člověk uvědomuje, jaké to je životní štěstí - mít práci, kam se člověk těší a nedělá to jen aby přežil....anebo být Pražákem....

Navštívil jsem pár přednášek na LinuxAltu, kde přednášeli lidi z CZ.NIC a všechny byly bez výjimky skvělé.

Je nutne implementovat yet-another-dns-daemon? Imho je bind celkem vyvinuty projekt. Je nutne takto tristit sily?

Osobně jsem měl pocit, že to v článku bylo dobře popsáno. Pro tak zásadní věc, jako jsou root a TLD servery je diversita nutná. Pokud se objeví nějaká chyba v jedné implementaci, nebude to taková hrozba.
A například já už BINDu nevěřím, po všech těch bezpečnostních lapáliích co jsem s ním měl. A můžou mi lidi tvrdit, že už to tak není, ale já se vždycky zeptám: Ikdyby byl BIND už tak bezchybný, tak k čemu potřebuji takový moloch? Čím je DNS tak zvláštní, že se ospravedlní takovýhle moloch na službu, která je ve skutečnosti naprosto jednoduchý 1:1 dotaz-odpověď?