https://www.opennet.ru/openforum/vsluhforumID3/126604.html Увидел свет релиз авторитетного (authoritative) DNS-сервера PowerDNS Authoritative Server 4.6, предназначенного для организации отдачи DNS-зон. По данным разработчиков проекта, PowerDNS Authoritative Server обслуживает примерно 30% из общего числа доменов в Европе (если рассматривать только домены с подписями DNSSEC, то 90%). Код проекта распространяется под лицензией GPLv2...<br><br>Подробнее: https://www.opennet.ru/opennews/art.shtml?num=56601<br> https://www.opennet.ru/openforum/vsluhforumID3/126604.html#44 Tue, 01 Feb 2022 09:13:14 GMT Риска два: регистратор что-нибудь начудит со своими ключами (единичные случаи класса clusterf*ck), и косяки на местах (битая подпись или устаревший trust anchor на резолвере/клиенте, вечные проблемы класса FUBAR).<br> https://www.opennet.ru/openforum/vsluhforumID3/126604.html#43 Mon, 31 Jan 2022 21:56:06 GMT &gt; Так-то никто не запрещает подписывать нативные зоны внешним инструментов (presigned) даже в режиме native. <br><br>можно<br><br>&gt; Но мы от dnssec отказались, неприемлемо высокие риски для надежности.<br><br>как включения dnssec влияет на риск надежности? от кривых рук только зависит, и всю рутину с dnssec pdns берет на себя.<br><br> https://www.opennet.ru/openforum/vsluhforumID3/126604.html#42 Mon, 31 Jan 2022 21:31:54 GMT Подпись зоны при отправке трансфера - это вообще побочка. Так-то никто не запрещает подписывать нативные зоны внешним инструментов (presigned) даже в режиме native.<br>Но мы от dnssec отказались, неприемлемо высокие риски для надежности.<br> https://www.opennet.ru/openforum/vsluhforumID3/126604.html#41 Mon, 31 Jan 2022 14:38:23 GMT &gt; Восемь серверов-реплик (четыре VIP, на каждом из которых висит dnsdist, балансирующий между <br>&gt; двумя pdns), асинхронная репликация, изменения доставляются в пределах пяти секунд.<br><br>ясно, ваши слейвы работают в нативном (NATIVE) режиме, когда шариться общая база (в режиме чтения), и каждый pdns независим. Тогда, при включении dnssec, каждый из этих pdns сам будет подписывать записи (online signing) и на каждом из них будут копии ключей (общая база). В моем случае хидден мастер подписывает и механизмом трансфера зон уже подписанные зоны (PRESIGNED) отправляет на слейвы, тем самым избавляя слейвы которые принимают запросы, от операций подписывания, что на мой взгляд более приемлемо с точки зрения использования вычислительных ресурсов. Плюс ключи, которые находятся в одном (надежном) месте.<br> https://www.opennet.ru/openforum/vsluhforumID3/126604.html#40 Mon, 31 Jan 2022 12:00:15 GMT Восемь серверов-реплик (четыре VIP, на каждом из которых висит dnsdist, балансирующий между двумя pdns), асинхронная репликация, изменения доставляются в пределах пяти секунд.<br> https://www.opennet.ru/openforum/vsluhforumID3/126604.html#39 Mon, 31 Jan 2022 09:05:31 GMT Глупо. Я бы BIND сделал основным DNS-сервером.<br> https://www.opennet.ru/openforum/vsluhforumID3/126604.html#38 Mon, 31 Jan 2022 08:45:31 GMT бинд стоит обычно слэйвом к pdns и жопой к интернету<br> https://www.opennet.ru/openforum/vsluhforumID3/126604.html#37 Sun, 30 Jan 2022 21:35:13 GMT а репликация как я понял синхронная? и как это будет масштабироваться?<br> https://www.opennet.ru/openforum/vsluhforumID3/126604.html#36 Sun, 30 Jan 2022 18:26:55 GMT &gt; До появления autoprimary (см. новость) был гемор с новыми зонами.<br><br>так autoprimary это и есть supermaster который был всегда, мастер после изменения зоны посылает notify на слейвы и слейв тянет обновления зон, в чем проблема, меньше минуты занимает любые изменения.<br><br>&gt; Да и скорость обновления все равно не та, тот же DNS01 будет <br>&gt; очень долго отрабатывать.<br><br>все та же будет, потому-что разницы в апдейте базы нет, реплицируются самой бд или средствами самого днс (трансфером зон). Мастер в любом случае отправит notify слейвам сразу как только увидит изменения зоны.<br><br>пс: репликация средствами самого днс как по мне надежнее, чем репликация средствами бд.<br><br><br>