The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Релиз DNS-сервера BIND 9.9.0

01.03.2012 13:58

Консорциум ISC представил первый стабильный релиз новой ветки DNS-сервера BIND 9.9. В новой версии отмечается значительное увеличение производительности и расширение средств настройки, в основном связанных с упрощением развёртывания конфигураций DNSSEC.

Ключевые новшества BIND 9.9.0:

  • Технология "Inline Signing", позволяющая существенно упростить перевод текущей инфраструктуры на использование DNSSEC без нарушения привычного цикла сопровождения DNS. Выполнение таких операций, как формирование цифровых подписей для DNS-зон и управление ключами, теперь существенно упрощено и не приводит к усложнению или необходимости внесения изменений в текущее рабочее окружение. Переход на DNSSEC может быть выполнен c использованием полностью автоматического и прозрачного процесса формирования цифровых подписей.

    Для активации прозрачного формирования подписей в настройки master-зоны достаточно добавить опцию 'inline-signing yes', без необходимости внесения изменений непосредственно в файл зоны. Использование данной опции на slave-сервере позволяет задействовать DNSSEC даже для зон, master-сервер которых не поддерживает DNSSEC. Готовые примеры конфигурации "Inline Signing" можно посмотреть на данной странице.

  • Значительно увеличена скорость запуска. При наличии большого числа зон время запуска сократилось в среднем от 3 до 20 раз. Для конфигураций с огромным числом зон изменения более ощутимы - время запуска сервера с 500 тысячами зон сократилось с пяти с половиной часов до 2-3 минут, при росте потребления памяти на 2%. Подобного эффекта удалось достигнуть благодаря устранению ошибки и более активному использованию многопоточности. Проблема была вызвана неверным выбором размера пула одновременно выполняемых в BIND внутренних задач. При загрузке для обслуживания каждой зоны создается своя внутренняя задача, в рамках которой кроме разбора данных выполняются такие требующие времени действия, как отправка SOA-запросов master-серверам и отправка NOTIFY-уведомлений slave-серверам, сброс на диск дампа динамических зон и генерация DNSSEC-сигнатур. Так как по умолчанию число одновременно выполняемых задач было ограничено 8, все эти действия по сути выполнялись последовательно.

    Кроме того, на 50% увеличена скорость обработки slave-зон за счёт их кэширования в более эффективном бинарном формате, вместо текстового представления. Минимизировано время простоя сервера при выполнении операции 'rndc reconfig'.

  • Увеличение производительности на многопроцессорных системах. При сборке с поддержкой многопоточности и при запуске сервера на многоядерных системах под управлением Unix или Linux, named отныне одновременно использует несколько потоков для обработки входящего UDP-трафика. На некоторых системах подобный подход позволяет добиться значительного увеличения производительности обработки запросов. Дополнительно, основательно переработан код системы управления и увеличена масштабируемость клиента для обслуживания рекурсивных запросов (ранее наблюдались провалы в производительности при запуске на системах с более чем 8 процессорными ядрами).
  • Реализация механизма перенаправления NXDOMAIN, позволяющего при обработке запроса клиента в ситуации выявления отсутствия домена, вместо вывода ответа NXDOMAIN ("no such domain") перенаправить клиента на заданный IP. Например, провайдеры могут направлять пользователей на хост с сайтом, анализирующим ошибки в написании имени и предлагающим перейти по корректному адресу.
  • Улучшение в работе команд RNDC. Добавлена новая команда 'rndc flushtree' для очистки кэша DNS для всех имён поддоменов, относительно заданного имени. Команды 'rndc freeze' и 'rndc thaw' более не удаляют файл с журналом зон, что позволяет использовать настройку 'ixfr-from-differences' с динамически создаваемыми зонами. Для синхронизации и удаления журнала зон следует использовать команду 'rndc sync -clean'.
  • Общие улучшения в работе DNSSEC. Новая команда 'rndc signing' позволяет повысить наглядность и управляемость за процессом автоматического формирования подписей DNSSEC. Через 'rndc signing' теперь также можно изменять для зоны конфигурацию параметров NSEC3.
  • Опция 'also-notify' теперь поддерживает тот же синтаксис, что и опция 'masters'. Подобное изменение позволяет, например, указывать TSIG-ключи для нотификации.
  • Новая опция 'serial-update-method' даёт возможность выбрать каким образом изменять номер SOA-записи для динамических зон (например, увеличивать каждый раз на единицу или использовать текущее время).


  1. Главная ссылка к новости (https://lists.isc.org/pipermai...)
  2. OpenNews: Организация ISC намерена перевести BIND 10 на более открытую модель разработки
  3. OpenNews: Опасная DoS-уязвимость в DNS-сервере BIND 9 (доступно обновление)
  4. OpenNews: Для DNS-сервера BIND 9 представлено исправление, существенно сокращающее время запуска
  5. OpenNews: В BIND 10, кроме DNS, будет интегрирован DHCP-сервер
  6. OpenNews: Увидел свет релиз DNS-сервера BIND 9.7.0
Лицензия: CC-BY
Тип: Программы
Короткая ссылка: https://opennet.ru/33229-bind
Ключевые слова: bind, dns
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (23) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Alukardd (?), 15:23, 01/03/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Хотелось бы поскорее увидеть его в stable ветке Debian'а...
     
     
  • 2.6, Andrey Mitrofanov (?), 17:14, 01/03/2012 [^] [^^] [^^^] [ответить]  
  • +13 +/
    "Поскорее" и "stable"? Вы про какой-то другой Debian, видимо.
     

  • 1.2, Аноним (-), 15:49, 01/03/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • –9 +/
    > при росте потребления памяти на 2%.

    Один баг закрыли, другой появился.. мда.

     
     
  • 2.3, rain87 (?), 15:53, 01/03/2012 [^] [^^] [^^^] [ответить]  
  • +/
    что привело благородного дона к такому странному выводу?
     
     
  • 3.8, Аноним (-), 17:54, 01/03/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Этот дон выделил то что привело.
     
     
  • 4.9, Andrey Mitrofanov (?), 18:16, 01/03/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Ускорение в 220 эдак _раз_ в обмен на 2 _процента_ памяти дон считает _ошибкой_?

    Не хочу даже знать, что его привело к. Это должно быть просто невыносимо!?

     
     
  • 5.12, Аноним (-), 19:48, 01/03/2012 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Да, считается.
     
     
  • 6.17, Аноним (-), 22:14, 01/03/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Да, считается.

    Извините, но всерьез воспринимать вашу точку зрения нельзя совершенно.

     
     
  • 7.24, Аноним (-), 03:30, 02/03/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Совершенство нельзя воспринять.
     
  • 6.19, rain87 (?), 22:29, 01/03/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Да, считается.

    эм. а кто сказал что увеличение памяти - это баг? вроде очевидное следствие увеличения пула. баг - это когда программа ведёт себя не так, как хотели разработчики. в данном случае бага никакого не вижу

     
  • 6.25, Andrey Mitrofanov (?), 10:22, 02/03/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Это не ты тот Ежик, который посчитал выдыхание углекислого, пара и пр.смрада _багом и "забыл, как дышать"ТМ ? Одно лицо! </гы>
     

  • 1.7, devane (?), 17:38, 01/03/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    they forgot

    whats new:
    * more remote bugs :-D

     
  • 1.10, stimpack (?), 18:22, 01/03/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    когда появится возможность автоматически забирать с мастера новые slave-зоны без костылей или я что-то проморгал в мануалах?
     
     
  • 2.11, Аноним (-), 19:42, 01/03/2012 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Нах оно надо? Типа, чтоб мой слейв каждый день забирал у ns.nic.ru ежедневно-создаваемые зоны для всяких Васей Пупкиных? Не, ну если тебе надо автоматически забирать с мастера чужие тебе непринадлежащие зоны, то пожалуйста. Расскажи-ка мне пожалуйста как твой слейв будет узнавать что ему забирать? Ну вот появилась новая зона на мастере, твой слейв даже название ее не знает, не то что уж что она вообще там появилась
     
     
  • 3.14, stimpack (?), 20:50, 01/03/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Если ты поддерживаешь slave-сервис для кого-нибудь, то у тебя есть эта задача. Если нет - то не стоит говорить, будто проблемы не существует.

    А узнать просто - если на мастере указать, что слейв-ты, то тебе будет присылаться уведомление об обновлении зоны. Осталось лишь добавить себе эту зону (имя есть в уведомлении) и просинхронизировать от сервера (его адрес должен быть предопределен во избежание злоупотреблений). Собственно, это уже мною сделано в виде вполне самостоятельного сервиса-костыля, но хотелось бы видеть этот функционал из коробки.

    Вот например, как синхронизируют упомянутые здесь slave-сервера на 500 тысяч зон? Ручками добавляют каждую зону на slave для последующей синхронизации внутренностей? Ни в жисть не поверю. Опять же - костыль.

    Собственно, эта проблема обсуждалась здесь уже ранее, но решение предлагают угребищное - через какой-то ftp/sftp синхронизировать.

     
     
  • 4.20, aaaaas (?), 22:42, 01/03/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Откройте для себя powerdns
     
     
  • 5.21, Аноним (-), 00:37, 02/03/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Откройте для себя powerdns

    К сожалению, powerdns сейчас - не более, чем наколеночное поделие.
    Для внешнего DNS он не пригоден из-за отсутствия поддержки AXFR-репликации, для внутреннего - из-за отсутствия поддержки DDNS (взаимодействия с dhcpd).

     
  • 2.26, ойноним (?), 10:47, 02/03/2012 [^] [^^] [^^^] [ответить]  
  • +/
    есть костыль под названием rndc addzone, но обертку для него придется нарисовать самостоятельно.
     

  • 1.13, XVilka (ok), 19:53, 01/03/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Интересно, когда они допилят до юзабельного состояния BIND 10 http://www.isc.org/bind10 ?
     
     
  • 2.15, Ананимусор (?), 22:11, 01/03/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Хотите поскорее DHCP+DNS в одном пакете?
     
     
  • 3.16, Аноним (-), 22:14, 01/03/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Хотите поскорее DHCP+DNS в одном пакете?

    Сейчас это делается на базе продуктов ISC в несколько простых движений.
    Гораздо интереснее узнать, поможет ли им такой глобальный рефакторинг. Хочется надеяться, что поможет. Сейчас продукты ISC по качеству, мягко говоря, гогно.

     
  • 3.22, fa (??), 00:53, 02/03/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Хотите поскорее DHCP+DNS в одном пакете?

    Ой. Расскажите, пожалуйста, подробней. Что за DHCP+DNS?

     
     
  • 4.23, Ананимусор (?), 03:01, 02/03/2012 [^] [^^] [^^^] [ответить]  
  • +/
    https://www.opennet.ru/opennews/art.shtml?num=30622
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2022 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру