The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Выпуск PowerDNS Authoritative Server 4.3

09.04.2020 19:38

Состоялся релиз авторитетного (authoritative) DNS-сервера PowerDNS Authoritative Server 4.3, предназначенного для организации отдачи DNS-зон. По данным разработчиков проекта, PowerDNS Authoritative Server обслуживает примерно 30% из общего числа доменов в Европе (если рассматривать только домены с подписями DNSSEC, то 90%). Код проекта распространяется под лицензией GPLv2.

PowerDNS Authoritative Server предоставляет возможность хранения информации о доменах в различных базах данных, включая MySQL, PostgreSQL, SQLite3, Oracle, и Microsoft SQL Server, а также в LDAP и обычных текстовых файлах в формате BIND. Отдача ответа может быть дополнительно отфильтрована (например, для отсеивания спама) или перенаправлена при помощи подключения собственных обработчиков на языках Lua, Java, Perl, Python, Ruby, C и C++. Из особенностей также выделяются средства для удалённого сбора статистики, в том числе по SNMP или через Web API (для статистики и управления встроен http-сервер), мгновенный перезапуск, встроенный движок для подключения обработчиков на языке Lua, возможность балансировки нагрузки с учётом географического местоположения клиента.

Основные новшества:

  • Добавлена поддержка управления неопубликованными (скрытыми) ключами DNSSEC, т.е. ключами, которые могут использоваться для подписывания зон, но не отображаются в актуальной зоне.
  • Появилась возможность автоматической публикации записей CDS/CDNSKEY при помощи одной настройки "default-publish-{cds|cdnskey}" в pdns.conf.
  • В бэкенд gmysql добавлена опция для отправки флага о возможности использования SSL.
  • В утилите pdnsutil обеспечено увеличение порядкового номера после редактирования зоны.
  • Удалены бэкенды goracle, lua, mydns, opendbx и oracle.
  • В команду "pdns_control show-config" добавлена опция "full".


  1. Главная ссылка к новости (https://blog.powerdns.com/2020...)
  2. OpenNews: Релиз PowerDNS Recursor 4.3 и KnotDNS 2.9.3
  3. OpenNews: Выпуск DNS-сервера BIND 9.16.0
  4. OpenNews: Уязвимость в DNS-сервере Unbound, допускающее удалённое выполнение кода
  5. OpenNews: Крупнейшие DNS-сервисы и серверы прекратят поддержку проблемных реализаций DNS
  6. OpenNews: ICANN призывает к повсеместному внедрению DNSSEC. Обновление BIND с устранением уязвимостей
Лицензия: CC-BY
Тип: Программы
Короткая ссылка: https://opennet.ru/52705-powerdns
Ключевые слова: powerdns, dns
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (35) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 20:08, 09/04/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    почему тишина? никто не держит DNS?
     
     
  • 2.2, A.Stahl (ok), 20:22, 09/04/2020 [^] [^^] [^^^] [ответить]  
  • +6 +/
    А что, много кто держит? Да и эта штука, вроде, что-то специфическое и в хозяйстве бесполезное. Явно "промышленного" масштаба. Под кроватью или в офисе неприменимо.
     
     
  • 3.5, zurapa (ok), 20:44, 09/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Ну, по отзывам людей весьма удобно хранить записи в базе данных, и скорость у него неплохая. Плюшка состоит в том, что если у вас достаточно большое хозяйство ты вам удобней с базой данных работать и статистику из неё брать. По крайней мере люди так говорят. Но говорить, что эта штука бесполезна - это как-то опрометчиво очень.

    Я лично за nsd.

     
  • 3.10, Fyjy (?), 21:20, 09/04/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Что значит в «хозяйстве бесполезная»?
    Держу на PowerDNS свою внутреннюю зону для ZeroTier и обратку для IPшников в нем, очень удобно. Правка зон через веб-гуй с одним единственным html-файлом, не боишься, что забудешь какой-нибудь ; и все накернется, как при хранении зон у бинда в файлах.

    Так что даже для своей личной инфраструктуры зверь полезный, про что-то крупней уж молчу.

     
     
  • 4.22, Аноним (22), 11:09, 10/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Встроенный вебгуй или сторонние решение?
     
     
  • 5.23, Fyjy (?), 11:19, 10/04/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    https://github.com/james-stevens/powerdns-webui/

    Простой, как валенок и дает все нужное
    Держу у себя на ноуте, когда нужно поправить зону захожу
    На сервере требует api=yes и задания api-key

     
  • 2.3, бублички (?), 20:27, 09/04/2020 [^] [^^] [^^^] [ответить]  
  • –4 +/
    держим, но пользуемся другими решениями. кратко опишу один небольшой например: снаружи 4 Nginx в качестве TCP/UDP proxy на VIP (load-balanced), внутри полторя десятка BIND9 (master/slave) что раздают ряд зон и служат кэширующими резолверами для ряда внутренних и внешних сетей. довольно эффективно получается. почему не HAProxy? потому-что Nginx изначально в качестве веб-серверов использовался и продолжает выполнять эту роль
     
     
  • 3.4, zurapa (ok), 20:41, 09/04/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Бинды? На внешку? У вас явно ресурсов много лишних. Либо мало клиентов?
    Бинд же черепаха прожорливая.
    Ещё можно понять в локалке в связке с DHCP, чтобы разрешать имена получивших аренду устройств, но на внешку, под нагрузки...
     
     
  • 4.6, бублички (?), 20:48, 09/04/2020 [^] [^^] [^^^] [ответить]  
  • –2 +/
    в локалках динамические зоны. снаружи Nginx чудесно распределяет нагрузку между полутора-десятками BIND9 что бегут лишь в качестве дополнительных сервисов на не самом чахлом железе (двухпроцессорные E5-2640 v4 с 512 GB памяти). нагрузка крайне незначительная. северы эти ествественно задействованы и для других целей
     
     
  • 5.7, phprus (ok), 21:08, 09/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    А можно вопрос не совсем в тему?
    Скажите, пожалуйста, на какую интенсивность запросов к DNS рассчитана эта архитектура (с таким количеством инстансов) и сколько реально в пике на нее прилетало запросов в секунду?
     
     
  • 6.9, бублички (?), 21:15, 09/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    настраивал около 2 лет назад и это лишь небольшая часть сравнительно небольшого проекта. по цифрам не соврать бы, по-моему около 50 000 запросов в секунду. снаружи 2х1 Gbit, внутри 2x10 Gbit (LACP). остальное коммерческая тайна :)
     
     
  • 7.11, phprus (ok), 21:27, 09/04/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Спасибо за ответ!
     
  • 6.12, бублички (?), 21:28, 09/04/2020 [^] [^^] [^^^] [ответить]  
  • –2 +/
    и потом, я ведь не с нуля это делал, а доделывал за очередным "тяп-ляп" админом, потому что его master-slave связка из 2 серверов... надо объяснять? ну и добавил отказоустойчивости с избытком, раз уж были ресурсы. зато на годы, только обновлять не забывай
     
  • 5.20, Аноним (20), 07:46, 10/04/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Попробуйте dnsdist вместо nginx. Это днс прокси с возможностью кэширования.
     
     
  • 6.29, бублички (?), 15:42, 10/04/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    всё что под маркой PowerDNS для меня лично табу
     
  • 2.17, GentooBoy (ok), 03:19, 10/04/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    используем knot
     

  • 1.8, kernel (??), 21:11, 09/04/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Буквально пару недель назад перевёл днс, состоящий из нескольких тысяч зон с bind на powerdns. Потребление памяти со стороны днс сервера упало в 6 раз, нагрузка на CPU уменьшилась в 5 раз. Правда, я здесь не учитываю потребление памяти mysql, но он там так и так стоял и памяти больше он не стал кушать.
     
  • 1.13, Коровавирус (?), 22:00, 09/04/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    > авторитетного

    А authorities - это авторитеты, ага.

     
     
  • 2.14, Аноним (14), 22:09, 09/04/2020 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Смотрящий DNS же
     
  • 2.15, Аноний (?), 22:15, 09/04/2020 [^] [^^] [^^^] [ответить]  
  • +9 +/
    ты запрашиваешь трансфер зоны, но делаешь это без должного уважения.
     
  • 2.30, Alexander Belov (?), 16:18, 10/04/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    И так и так называют
     

  • 1.16, Аноним (16), 02:01, 10/04/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А существует ли бесплатная альтернатива днс, точнее той вакханалии с доменами за деньги ? Что-то доступное для людей .. если нет то уже пора бы придумать наверное
     
     
  • 2.18, бублички (?), 04:21, 10/04/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    посмотри handshake.org
     
     
  • 3.25, Аноним (16), 13:33, 10/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Спасибо
     
  • 2.19, бублички (?), 04:41, 10/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    есть ещё конечно /etc/hosts :D
     
  • 2.21, Fyjy (?), 08:53, 10/04/2020 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Если для тебя $10 в год неподъемные деньги, то тебе нужно что-то делать, например пойти работать
    А так есть альтернативные корневые сервера и бесплатные зоны, тот же OpenNIC, есть бесплатные зоны традиционные(tk, cf, ga) у регистратора freenom, да можешь хоть свои зоны второго уровня поднять и всем знакомым свои DNS'ы прописать, будет в вашей песочнице свое и доступное только вам.
    Альтернатив море
     
     
  • 3.26, Аноним (16), 13:38, 10/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Обовсем и ниочем. Ох уж эти политботы...
     
     
  • 4.27, Fyjy (?), 13:58, 10/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Ты о себе? Да, лучше уж бы ты молчал, мишанин аноним.
     
  • 2.35, Сейд (ok), 20:00, 29/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    https://freedns.afraid.org/domain/registry/
     

  • 1.24, PnD (??), 13:17, 10/04/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Из всего перечисленного, реально в pdns поддерживается mysql. Ну и файлы зон из rfc-1035 через отдельный бэкэнд (и по-моему тоже RO).
    IXFR по состоянию на 2018 год — не было.
    С чем-то кроме mysql рабочего nsupdate ожидать не следует.

    Мне пришлось лезть в потроха на предмет разобраться с ldap-бэкэндом. Качество кода такое, что хорошо бы его как-нибудь развидеть. Сравните с knot, кому интересно.
    По результатам экскурса осталось стойкое ощущение что проект как начинался с "давайте сделаем DNS на mysql" так там и остался. Интересное мне (апдейты, shared-состояния) оказалось гвоздями приколочено к mysql.

    В общем, кто только примеривается — берите сразу knot. Там динамическая конфигурация в lmdb (по желанию, "просто DNS" можно и в тексте) и ураганная скорострельность в сочетании с RRL "из коробки". Альтернативно можно смотреть nsd|yadifa.

    Связываться с pdns не то чтобы нельзя (после настройки сам по себе он достаточно стабилен), но надо помнить про ограничения. Внутри одного ДЦ (или нескольких компактно расположенных) — нормально. World-wide и десятки (и более) тысяч зон/записей — не  сто́ит.

     
  • 1.28, бублички (?), 15:37, 10/04/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    вот бы кто про yadifa отозвался, в плане опыта (позитивного и негативного)
     
     
  • 2.31, bOOster (ok), 19:17, 10/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Отличный DNS сервер. Его наружу, BIND внутрь.
     
  • 2.32, bOOster (ok), 19:19, 10/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Именно yadifa это основной сервер для зоны .eu. Че там придумывают PowerDNS ники - видимо влажные мечты.
     
     
  • 3.33, бублички (?), 21:54, 10/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    многократно убеждался что вся шумиха вокруг PowerDNS зиждется на его функции хранения зон в MySQL (для некоторых это просто круто) и наличии web-интефрейса. ни для кого не секрет, что уже многие годы основная масса в ИТ - народ ленивый и потому небразованный. таким обязательно нужен web-интерфейс и оправдывают они это обычно "чтоб быстро всё сделать", но скрывается за этим "я привык абсолютно всё делать тяп-ляп, потому мне постоянно всё приходится исправлять, а читать документацию мне просто неохота"
     
     
  • 4.34, bOOster (ok), 14:24, 12/04/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > многократно убеждался что вся шумиха вокруг PowerDNS зиждется на его функции хранения
    > зон в MySQL (для некоторых это просто круто) и наличии web-интефрейса.
    > ни для кого не секрет, что уже многие годы основная масса
    > в ИТ - народ ленивый и потому небразованный. таким обязательно нужен
    > web-интерфейс и оправдывают они это обычно "чтоб быстро всё сделать", но
    > скрывается за этим "я привык абсолютно всё делать тяп-ляп, потому мне
    > постоянно всё приходится исправлять, а читать документацию мне просто неохота"

    Из ПУШКИ по воробьям? SQL собери, на сервере разбери, индексы найди.
    openldap наше все

     
     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2020 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру