Представлен (https://www.knot-dns.cz/2019-03-05-version-280.html) релиз KnotDNS 2.8.0 (https://www.knot-dns.cz/), высокопроизводительного авторитативного DNS сервера (рекурсор выполнен в виде отдельного приложения), поддерживающего все современные возможности DNS. Проект разрабатывается чешским реестром имен CZ.NIC и распространяется (https://github.com/CZ-NIC/knot) под лицензией GPLv3. Сервер отличается ориентацией на высокую производительность обработки запросов, для чего применяется многопоточная, и по большей части неблокирующая реализация, хорошо масштабируемая на SMP-системах. Предоставляются такие возможности, как добавление и удаление зон на лету, передача зон между серверами, DDNS (динамические обновления), NSID (RFC 5001), расширения EDNS0 и DNSSEC (включая NSEC3), ограничения интенсивности ответов (RRL).

В новом выпуске:

-  Добавлен режим работы offline-KSK (https://github.com/CZ-NIC/knot/blob/master/doc/operation.rst...), позволяющий хранить закрытую часть KSK-ключа (Key Signing Key) в отдельном безопасном хранилище, недоступном для фонового процесса KnotDNS;

-  Реализована настраиваемая возможность многопоточного формирования цифровых подписей DNSSEC для очень больших DNS-зон;
-  Добавлены расширенные настройки ACL для динамических обновлений;
-  В  knotc добавлена команда 'zone-key-rollover' для мгновенной пролонгации ключа (DNSKEY);
-  Добавлена поддержка новых типов RR-записей OPENPGPKEY, CSYNC, SMIMEA и ZONEMD;
-  Добавлена новая опция 'double-ds' для публикации CDS/CDNSKEY;
-  Существенно ускорен процесс обновления DNS-зон;
-  Для структур QP-trie ("Quad-bit Popcount trie") обеспечена поддержка режима Copy-on-write;
-  Реализовано унифицированное и эффективное хранилище на базе LMDB  для БД journal, timer и KASP;
-  На платформе FreeBSD добавлена поддержка режима сокетов SO_REUSEPORT_LB;
-  Повышена производительность модуля geoip.

URL: https://www.knot-dns.cz/2019-03-05-version-280.html
Новость: https://www.opennet.dev/opennews/art.shtml?num=50266

• Выпуск DNS-сервера KnotDNS 2.8.0 ,анон, 21:20 , 06-Мрт-19
  • Выпуск DNS-сервера KnotDNS 2.8.0 ,Аноним, 06:57 , 07-Мрт-19
    • Выпуск DNS-сервера KnotDNS 2.8.0 ,Аноним, 10:42 , 07-Мрт-19
      • Выпуск DNS-сервера KnotDNS 2.8.0 ,., 15:27 , 07-Мрт-19
• Выпуск DNS-сервера KnotDNS 2.8.0 ,ryoken, 08:54 , 07-Мрт-19
• Выпуск DNS-сервера KnotDNS 2.8.0 ,Антонин, 09:49 , 07-Мрт-19
  • Выпуск DNS-сервера KnotDNS 2.8.0 ,Клыкастый, 13:25 , 07-Мрт-19
  • Выпуск DNS-сервера KnotDNS 2.8.0 ,пох, 15:29 , 07-Мрт-19
• Выпуск DNS-сервера KnotDNS 2.8.0 ,PnDx, 13:50 , 07-Мрт-19
  • Выпуск DNS-сервера KnotDNS 2.8.0 ,Аноним, 22:13 , 08-Мрт-19
    • Выпуск DNS-сервера KnotDNS 2.8.0 ,PnDx, 11:23 , 11-Мрт-19

А вы знали что в rhel bind на столько старый что имеет в себе не закрытые дырки?

Враньё. Судить нужно не по версии приложения, а по редакции пакета. Они портируют конкретные исправления, а не переходят на нове версии с новыми багами.

А вы поставьте centos'ёвый bind и проверьте его на dnsflagday.net
О результатах отчитаетесь :)

то что одержимые "улучшайки" собрались сами себе и тем кто сдуру пользуется их услугами, сознательно поломать то что работало - ни разу не "незакрытый баг" и не проблема редхатовского сервера - у его-то пользователей все будет работать.

а вот что действительно существенно - это таки да, список п-сов, спонсировавших данную глупость.

очень жаль, что чехи, так хорошо начав, вдруг перешли к срезанию углов, наплевав на золотое правило времен начала интернета - самому соблюдать стандарты максимально строго, стараться принимать чужие максимально широко.

На их роутерах (Turris Omnia) обнова уже прилетела? :D

Как так получилось, что чешский регистратор тратит выручку на разработку свободного софта, а некоторые, гм, не будем показывать пальцами... чтоб им кушалось хорошо.

Сложно сказать. Но тебе точно никто не мешает тратить выручку на разработку свободного софта.

им так просто показалось дешевле, чем оплачивать миллион быстроподнимающих рухнувший от обжорства bind.

но ты, действительно, всегда можешь свою выручку потратить как тебе нравится.

Начиная с 2.7, опять идут "ноздря в ноздрю" с nsd по производительности.
При этом knot можно конфигурить "на ходу" (конфиг в той же lmdb). (Но: некоторые изменения требуют "reload", о чём в доках не всегда упомянуто.)

Если не придираться к мелочам (например, knotc позволяет зафорсить некорректные записи в зону), пока не хватает разве что встроенной репликации конфигов зон на слейвы (сам понимаю, что не вполне однозначная задача, но свои костыли дают +0.5с просто за подёргать ssh "в соседнем шкафу").
Просто дёргая за knotc, можно инитить по 20…30 тыс. зон в час на средненькой виртуалке, без заметного ущерба производительности собственно DNS.

Сколько конфигураций зон в минуту надо динамически реплицировать с мастера на слейвы и с какими нормативами по времени?

> Сколько конфигураций зон в минуту надо динамически реплицировать с мастера на слейвы
> и с какими нормативами по времени?

  В пиках — несколько сотен в минуту. Пока.
* На самом деле задача хорошо ложится на распределённый журнал (типа kafka). Так что не факт, что выше я не сморозил фигню и надо городить комбайн прямо на knot.