Upgrade .cz DNS aneb Zákulisí příprav a realizace – část druhá

Na začátku roku 2017 jsme začali pracovat na projektu celkového posílení infrastruktury autoritativních DNS serverů zabezpečujících provoz .CZ domény. Hlavní motivací bylo zvýšit odolnost DNS infrastruktury proti DoS útokům, jejichž riziko se zvyšuje stále více. Základní stavební jednotkou nové DNS infrastruktury je tzv. „DNS Stack“.

ISP stacky a jejich nasazení

V minulém díle seriálu o posilování DNS infrastruktury jsem se zmínil o různých konfiguracích DNS stacků a jejich plánovaných použití. Speciální variantou je ISP DNS stack, uvažovaný jako doplněk k velkým uzlům v České republice, a představuje tak další možnosti rozšiřování DNS infrastruktury. Toto řešení již provozuje např. SIDN.NL, správce nizozemské domény .NL.

Jak se liší ISP DNS stack od ostatních variant? ISP DNS stack je umístěn přímo v interní síti poskytovatele internetového připojení (dále jen „ISP“) v České republice a do této sítě propaguje DNS anycast prefix/y. Vyhrazujeme si právo definovat, který anycast prefix bude využit a současně jej v průběhu času změnit za jiný. ISP však nemá povoleno tento prefix propagovat dále do svých upstreamů nebo svým peerům. ISP DNS stack je primárně určen těm subjektům, kteří poskytují internetové služby (nebo jsou správci obsahu) většímu množství zákazníků a jsou tedy z našeho pohledu významnými konzumenty DNS provozu.

Výhodou umístění tohoto DNS stacku v síti ISP je plná dostupnost .CZ zóny a to i v případě DDoS útoků proti veřejným autoritativním DNS serverům. Vzhledem k principu DNS anycastu umístění ISP DNS stacku v interní síti ISP zvyšuje propustnost dotazů a zrychluje jejich odezvy.

Navrhli jsme 2 varianty ISP DNS stacků

Schema zapojení obou variant

Pro některé ISP je dostatečným řešením varianta ISP mini, tedy jeden server, který je schopen obsloužit přibližně 100 milionů DNS požadavků za den. Pokud ISP provozuje svoji síť ve více datacentrech, doporučujeme umístit tuto DNS instanci do každého z nich. V případě vyššího objemu DNS požadavků pak nabízíme variantu s pěti servery, které dokáží odbavit právě trojnásobek DNS provozu. Tato varianta je v podstatě Malý DNS stack, pouze s jedním 10G portem.

Jak to funguje v praxi? O správu ISP DNS stacku se staráme výhradně my a to ve smyslu provozu operačního systému a všech na něm běžících služeb, včetně monitoringu. ISP zajišťuje nákup, provoz a umístění HW ve vlastní síti, konektivity do Internetu včetně potřebných IP rozsahů a nastavení BGP sessions. Společně s požadavky na provoz DNS uzlu doporučujeme konkrétní řadu serveru/ů a také kompletní HW konfiguraci. Je samozřejmostí, že šifrujeme pevné disky, aby nedošlo fyzickým přístupem a nebo v rámci výměny disku k úniku dat.

SLA domlouváme v rozsahu NBD a to ve smyslu řešení problémů s provozem operačního systému a poskytování DNS služeb. Tuto službu chápeme pro daného ISP jako doplňkovou a tedy výpadek uzlu neznamená v žádném případě nefunkčnost DNS služeb. DNS požadavky budou automaticky směrovány na naše DNS anycast servery. Z tohoto pohledu uvažujeme tento model podpory jako dostatečný.

První společnosti, které hostují ISP DNS Stack, jsou Seznam.cz a Vodafone. Objem DNS požadavků za sekundu v uplynulém měsíci ukazuje přiložený graf.

V následujících dílech se můžete těšit na praktické zkušenosti s realizací prvního Velkého DNS stacku v České republice.

3. díl: První Velký stack – výběrové řízení, nákupy hardware a logistika
4. díl: První Velký stack – příprava zázemí
5. díl: První Velký stack – instalace, testování a nasazení do provozu
6. díl: První Velký stack – závěr a zkušenosti z provozu

Autor:

Zanechte komentář

Všechny údaje jsou povinné. E-mail nebude zobrazen.