Релиз DNS-сервера BIND 9.9.0
1 марта 2012 года
Консорциум ISC представил (Архивная копия от 10 мая 2013 на Wayback Machine) первый стабильный релиз новой ветки DNS-сервера BIND 9.9. В новой версии отмечается (Архивная копия от 21 января 2013 на Wayback Machine) значительное увеличение производительности и расширение средств настройки, в основном связанных с упрощением развёртывания конфигураций DNSSEC.
Ключевые новшества BIND 9.9.0:
- Технология "Inline Signing", позволяющая существенно упростить перевод текущей инфраструктуры на использование DNSSEC без нарушения привычного цикла сопровождения DNS. Выполнение таких операций, как формирование цифровых подписей для DNS-зон и управление ключами, теперь существенно упрощено и не приводит к усложнению или необходимости внесения изменений в текущее рабочее окружение. Переход на DNSSEC может быть выполнен c использованием полностью автоматического и прозрачного процесса формирования цифровых подписей.
Для активации прозрачного формирования подписей в настройки master-зоны достаточно добавить опцию 'inline-signing yes', без необходимости внесения изменений непосредственно в файл зоны. Использование данной опции на slave-сервере позволяет задействовать DNSSEC даже для зон, master-сервер которых не поддерживает DNSSEC. Готовые примеры конфигурации "Inline Signing" можно посмотреть на данной странице (Архивная копия от 21 октября 2017 на Wayback Machine).
- Значительно увеличена скорость запуска. При наличии большого числа зон время запуска сократилось в среднем от 3 до 20 раз. Для конфигураций с огромным числом зон изменения более ощутимы - время запуска сервера с 500 тысячами зон сократилось с пяти с половиной часов до 2-3 минут, при росте потребления памяти на 2%. Подобного эффекта удалось достигнуть благодаря устранению ошибки и более активному использованию многопоточности. Проблема была вызвана неверным выбором размера пула одновременно выполняемых в BIND внутренних задач. При загрузке для обслуживания каждой зоны создается своя внутренняя задача, в рамках которой кроме разбора данных выполняются такие требующие времени действия, как отправка SOA-запросов master-серверам и отправка NOTIFY-уведомлений slave-серверам, сброс на диск дампа динамических зон и генерация DNSSEC-сигнатур. Так как по умолчанию число одновременно выполняемых задач было ограничено 8, все эти действия по сути выполнялись последовательно.
Кроме того, на 50% увеличена скорость обработки slave-зон за счёт их кэширования в более эффективном бинарном формате, вместо текстового представления. Минимизировано время простоя сервера при выполнении операции 'rndc reconfig'.
- Увеличение производительности на многопроцессорных системах. При сборке с поддержкой многопоточности и при запуске сервера на многоядерных системах под управлением Unix или Linux, named отныне одновременно использует (Архивная копия от 18 октября 2015 на Wayback Machine) несколько потоков для обработки входящего UDP-трафика. На некоторых системах подобный подход позволяет добиться значительного увеличения производительности обработки запросов. Дополнительно, основательно переработан код системы управления и увеличена масштабируемость клиента для обслуживания рекурсивных запросов (ранее наблюдались провалы в производительности при запуске на системах с более чем 8 процессорными ядрами).
- Реализация механизма перенаправления NXDOMAIN, позволяющего при обработке запроса клиента в ситуации выявления отсутствия домена, вместо вывода ответа NXDOMAIN ("no such domain") перенаправить клиента на заданный IP. Например, провайдеры могут направлять пользователей на хост с сайтом, анализирующим ошибки в написании имени и предлагающим перейти по корректному адресу.
- Улучшение в работе команд RNDC. Добавлена новая команда 'rndc flushtree' для очистки кэша DNS для всех имён поддоменов, относительно заданного имени. Команды 'rndc freeze' и 'rndc thaw' более не удаляют файл с журналом зон, что позволяет использовать настройку 'ixfr-from-differences' с динамически создаваемыми зонами. Для синхронизации и удаления журнала зон следует использовать команду 'rndc sync -clean'.
- Общие улучшения в работе DNSSEC. Новая команда 'rndc signing' позволяет повысить наглядность и управляемость за процессом автоматического формирования подписей DNSSEC. Через 'rndc signing' теперь также можно изменять для зоны конфигурацию параметров NSEC3.
- Опция 'also-notify' теперь поддерживает тот же синтаксис, что и опция 'masters'. Подобное изменение позволяет, например, указывать TSIG-ключи для нотификации.
- Новая опция 'serial-update-method' даёт возможность выбрать каким образом изменять номер SOA-записи для динамических зон (например, увеличивать каждый раз на единицу или использовать текущее время).
Источники править
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
Комментарии
Если вы хотите сообщить о проблеме в статье (например, фактическая ошибка и т. д.), пожалуйста, используйте обычную страницу обсуждения.
Комментарии на этой странице могут не соответствовать политике нейтральной точки зрения, однако, пожалуйста, придерживайтесь темы и попытайтесь избежать брани, оскорбительных или подстрекательных комментариев. Попробуйте написать такие комментарии, которые заставят задуматься, будут проницательными или спорными. Цивилизованная дискуссия и вежливый спор делают страницу комментариев дружелюбным местом. Пожалуйста, подумайте об этом.
Несколько советов по оформлению реплик:
- Новые темы начинайте, пожалуйста, снизу.
- Используйте символ звёздочки «*» в начале строки для начала новой темы. Далее пишите свой текст.
- Для ответа в начале строки укажите на одну звёздочку больше, чем в предыдущей реплике.
- Пожалуйста, подписывайте все свои сообщения, используя четыре тильды (~~~~). При предварительном просмотре и сохранении они будут автоматически заменены на ваше имя и дату.
Обращаем ваше внимание, что комментарии не предназначены для размещения ссылок на внешние ресурсы не по теме статьи, которые могут быть удалены или скрыты любым участником. Тем не менее, на странице комментариев вы можете сообщить о статьях в СМИ, которые ссылаются на эту заметку, а также о её обсуждении на сторонних ресурсах.