Консорциум ISC представил первый стабильный релиз новой ветки DNS-сервера BIND 9.9


Рубрика: Новости Linux
Метки: |
Просмотров: 8287

Консорциум ISC представил 2 I стабильный релиз новой ветки DNS-сервера BIND 9.9. В новой версии отмечается существенное повышение производительности и расширение средств настройки, в основном связанных с упрощением развёртывания конфигураций DNSSEC.

Ключевые нововведения BIND 9.9.0:

Технология "Inline Signing", дающая возможность значительно упростить перевод текущей инфраструктуры на применение DNSSEC без нарушения привычного цикла сопровождения DNS. Исполнение этих операций, как создание цифровых подписей для DNS-зон и управление ключами, сейчас значительно упрощено и не приводит к усложнению или потребности внесения изменений в текущее рабочее окружение. Переход на DNSSEC может оказаться выполнен c использованием целиком автоматического и прозрачного процесса образования цифровых подписей.

Для активации прозрачного образования подписей в настройки master-зоны довольно прибавить опцию 'inline-signing yes', без потребности внесения изменений именно в файл зоны. Применение данной опции на slave-сервере дает возможность задействовать DNSSEC даже для зон, master-сервер которых не поддерживает DNSSEC. Готовые примеры конфигурации "Inline Signing" возможно поглядеть на данной странице.

Существенно увеличена скорость запуска. При наличии крупного количества зон время запуска сократилось в среднем от 3 до 20 раз. Для конфигураций с большим числом зон перемены более ощутимы - время запуска сервера с 500 тысячами зон сократилось с 5 с половиной часов до 2-3 мин., при росте потребления памяти на 2 процента. Такого эффекта удалось дойти до благодаря устранению ошибки и более активному применению многопоточности. Сложность была вызвана неверным выбором размера пула одновременно выполняемых в BIND внутренних задач. При загрузке для обслуживания любой зоны создается своя внутренняя задача, в рамках которой за исключением разбора данных выполняются подобные требующие времени действия, как отправка SOA-запросов master-серверам и отправка NOTIFY-уведомлений slave-серверам, сброс на диск дампа динамических зон и генерация DNSSEC-сигнатур. Так как изначально количество одновременно выполняемых задач было ограничено 8, все эти действия по сути выполнялись последовательно.

К тому же, на 50 процентов увеличена скорость обработки slave-зон за счёт их кэширования в более эффективном бинарном формате, вместо текстового представления. Минимизировано время простоя сервера при выполнении операции 'rndc reconfig'.

Повышение производительности на многопроцессорных системах. При сборке с поддержкой многопоточности и при запуске сервера на многоядерных системах под управлением Unix или Линукс, named теперь одновременно использует несколько потоков для обработки входящего UDP-трафика. На некоторых системах подобный подход дает возможность добиться значительного увеличения производительности обработки запросов. Дополнительно, основательно обработан код системы управления и увеличена масштабируемость клиента для обслуживания рекурсивных запросов (раньше наблюдались провалы в производительности при запуске на системах с более чем 8 процессорными ядрами).

Реализация механизма перенаправления NXDOMAIN, позволяющего при обработке запроса клиента в ситуации выявления отсутствия домена, вместо вывода ответа NXDOMAIN ("no such domain") перенаправить клиента на заданный IP. К примеру, провайдеры могут направлять пользователей на хост с сайтом, анализирующим ошибки в написании имени и предлагающим перейти по корректному адресу.

Улучшение в работе команд RNDC. Добавлена новая команда 'rndc flushtree' для очистки кэша DNS для всех имён поддоменов, сравнительно заданного имени. Команды 'rndc freeze' и 'rndc thaw' более не удаляют файл с журналом зон, что дает возможность применять настройку 'ixfr-from-differences' с динамически создаваемыми зонами. Для синхронизации и удаления журнала зон нужно применять команду 'rndc sync -clean'.

Общие усовершенствования в работе DNSSEC. Новая команда 'rndc signing' дает возможность увеличить наглядность и управляемость за процессом автоматического образования подписей DNSSEC. Ч/з 'rndc signing' сейчас к тому же возможно изменять для зоны конфигурацию параметров NSEC3.

Опция 'also-notify' сейчас поддерживает тот же синтаксис, что и опция 'masters'. Такое изменение дает возможность, к примеру, указывать TSIG-ключи для нотификации.

Новая опция 'serial-update-method' даёт возможность выбрать как изменять номер SOA-записи для динамических зон (к примеру, увеличивать всегда на единицу или применять текущее время).


  • Комментариев: 0

  • Вконтакте

  • Facebook:

    Оставьте комментарий!

    grin LOL cheese smile wink smirk rolleyes confused surprised big surprise tongue laugh tongue rolleye tongue wink raspberry blank stare long face ohh grrr gulp oh oh downer red face sick shut eye hmmm mad angry zipper kiss shock cool smile cool smirk cool grin cool hmm cool mad cool cheese vampire snake excaim question

    Используйте нормальные имена. Ваш комментарий будет опубликован после проверки.

    Имя и сайт используются только при регистрации

    Если вы уже зарегистрированы как комментатор или хотите зарегистрироваться, укажите пароль и свой действующий email. При регистрации на указанный адрес придет письмо с кодом активации и ссылкой на ваш персональный аккаунт, где вы сможете изменить свои данные, включая адрес сайта, ник, описание, контакты и т.д., а также подписку на новые комментарии.

    Авторизация 

    MaxSiteAuth.

    (обязательно)