Документ описывает особенности DNS в контексте хостинга, включая авторитетные и кеширующие серверы, а также методы контроля и мониторинга. Упоминаются различные аспекты, такие как Anycast DNS, механизмы репликации и мониторинг BGP-сессий, а также потенциальные проблемы с DNS и их решение. Также рассматриваются современные тренды, включая IPv6 и DNSSEC.

1. DNS в условиях
хостинга
Константин
Новаковский
Selectel

2. Selectel
• 6 датацентров (6,5к м2)
• Аренда серверов / стоек
• Виртуальное приватное облако
• Облачное хранилище / CDN
• Мониторинг
• Tehnodom.com
• Vscale.io

3. Коротко о DNS
• Авторитетные серверы
• Кеширующие рекурсивные
• UDP

4. Коротко о DNS

5. Корневые серверы
• 13 корневых серверов;
• 12 разных организаций;
• 513 узлов;

6. Классический хостинг
• 2 IP-адреса
• 2 авторитетных сервера
• Один ДЦ
• Физически это может быть
даже один сервер

7. Anycast DNS
• Своя автономная система
• 2 подсети /24 (класса C)
• Серверы в разных ДЦ
• Готовность оператора
поднять BGP-сессию

8. Точка присутствия

9. Анонс префиксов
• В каждой точке
присутствия анонсируем
только одну сеть /24
• Маршруты в глобальной
сети регулярно меняются
• Регуляция prepend’ами

10. Репликация
• Родной механизм DNS
AXFR, IXFR
• На стороне базы данных

11. Мониторинг
• Zabbix/Nagios/Icinga/etc
• Не забываем мониторить
BGP-сессию
• Cообщения о потере
пакетов до узлов

12. VPN между узлами
• Поднимаем оверлейную
сеть
• Tinc VPN / OpenVPN / etc
• Служебный трафик через
VPN

13. Статистика
• Логи DNS-сервера
• dnstap
• Зеркалирование/pcap

14. Храним статистику
• OpenTSDB
• Graphite
• etc..
• InfluxDB

15. Проверка делегации
• Whois – не работает
• NS-записи – не работает
• Дерево делегации
(ежедневно)

16. Рекурсоры в ДЦ
Проблемы:
• Legacy-адрес прописан на
всех машинах клиентов
• Неудобство обновления
• «Неудобные» запросы
клиентов

17. Рекурсоры в ДЦ
• Переводим на anycast
внутри автономной
системы
• Маршрутизация – OSPF
• Делим запросы на пулы
dnsdist

18. Инфраструктура
• Ansible
• Тестовый пул в приватном
облаке
• Миграция базы
«восстановлением»
(Спасибо, barman!)

19. Тестирование
• Дамп трафика
• Прогоняем дамп на новой
конфигурации
• Утилиты из состава
PowerDNS Tools

20. DDoS Amplification
• ANY-запросы по TCP
• Последовательный опрос
всех доменов на основе
публичных источников
• Фильтр по особенностям
udp-пакетов

21. DDoS Amplification
• Random subdomains
(wxctkzubkb.liebiao.800fy.com)
• Нагружает рекурсивные
• Нагружает авторитетные

22. Тренды, веяния
• IPv6
• DNSSEC
• DANE
• Query minimisation
• edns-client-subnet
• Yeti project

23. Что читать?
• BCP
• RFC
• DNS Operations IETF
Datatracker

24. Вопросы?
• twitter: clickfreakbit
• novakovsky@selectel.ru
• blog.selectel.ru