2015年12月04日

NSDをSlaveにするとき問題になること

この記事はDNS Advent Calendar 2015 - Qiitaの4日目の記事です。

NSDというのはNLnet Labsというところが開発しているDNSサーバ(権威サーバ専用)です。
ちなみに全く触れてませんでしたがUnboundもNLnet Labsが開発しています。
http://www.nlnetlabs.nl/projects/nsd/
http://www.nlnetlabs.nl/projects/unbound/

NSDというのはBIND9よりもシンプルな実装で脆弱性も少なく高速!
というのがよく言われるアピールポイントなわけですが、
これをスレーブサーバにしようとするとちょっと問題がありまして。

NSDのゾーン転送って、シリアルをチェックしてないんですよ。
BIND9とかだと、ゾーンのシリアルをチェックして
・新しくなっていれば転送
・変更がなければ転送しない
という動きになるんですが

NSDの場合
・シリアル見ないから毎回マスターサーバのゾーンを全部とってくる
という挙動になるのです。

ゾーン数がそれほど多くなければまぁいいかなとも思うんですが
NSD使うかどうか検討してたとき、僕が管理してたDNSサーバ、
ゾーンが約7000あったんですね。
「うーんこりゃきついなー」ということになりました。
※ちなみにこの7000ゾーンのDNSサーバの話は後日何回かに分けてやる予定

このスライドの31〜33を見ていただけるとわかりやすいです。
http://www.slideshare.net/hdais/nsd-unboundintro
posted by maroon at 10:43| Comment(0) | IT_設定関連メモ | このブログの読者になる | 更新情報をチェックする
×

この広告は1年以上新しい記事の投稿がないブログに表示されております。