Dovolte mi další krátký díl našeho „nekonečného“ seriálu o zvyšování bezpečnosti provozu DNS pro .CZ doménu. Zřejmě proto, že jeho poslední zveřejněný díl znamenal upgrade v řádu 100 GE, a také proto, že naši administrátoři mají plné ruce práce se stěhováním do privátního sálu, tento vychází poněkud zpožděný a navíc z mé klávesnice.
Faktem ale je, že na naší mapě nodů DNS anycastu pro .CZ doménu přibyl 4. července další, tentokrát italský – umístěný konkrétně v milánském peeringovém centru – MIX. MIX patří mezi dvacítku nejvýznamnějších peeringových uzlů Evropy, navíc se nám zde podařilo domluvit dobré ekonomické podmínky hostování a připojení našich technologií. Po zkušenostech z předchozích vzdálenějších (hůře dostupných automobilem) instalací jsme volili postup, kdy jsme předkonfigurované servery poslali v předstihu přepravní službou a na jejich zapojení a zprovoznění jsme poté vyslali administrátora letecky. Předchozí varianta, kdy jsme tu druhou část domlouvali s pracovníky v peeringovém centru, se vší úctou ke snaze na obou stranách, selhávala a nevedla k rychlému dosažení cíle. Umístění serverů do připraveného racku a zapojení všech portů podle naší dokumentace je práce pro našeho technika na jedno odpoledne a výsledek si pak můžeme i zadokumentovat.
V MIXu jsme zprovoznili malý DNS stack sestávající z pětice serverů: jeden v roli management serveru, jeden v roli síťové brány a zbývající tři slouží k odbavování DNS provozu, přesně, jak je zobrazeno na tomto schématu.
Management server v pravidelných intervalech stahuje z master DNS serverů .CZ zónu a pak ji dále servíruje na jednotlivé DNS servery. Dále tu běží monitoring serverů a jejich služeb. Do tohoto serveru jsou zapojené out of band management porty zbývajících částí stacku. Na DNS servery jsme v rámci snahy o co největší diverzitu DNS anycastu zvolili NSD do role DNS daemona. Síťovou branou je samostatný server, který má oproti zbytku stacku síťová rozhraní navíc a běží na něm BGP daemon, který do zbytku světa oznamuje naše anycastové adresy. Jako routovacího daemona jsme použili FRRouring, což je živější fork známějšího projektu Quagga. Osvědčený BIRD tentokrát ustoupil požadavku na různorodost prostředí. Z pohledu operačního systému jsme zvolili osvědčenou klasiku – distribuci Debian Stretch s backportovaným jádrem a se zkompilovanými nejnovějšími ovladači pro síťové karty. Nejnovější ovladače používáme proto, že občas bývají problémy s kompatibilitou mezi verzemi firmware síťových karet a jejich podporou v distribučních ovladačích.
Po navázání peeringu s route servery v MIXu se nám s nimi zpočátku v pravidelných intervalech spojení rozpadala a přestávala fungovat IPv6 konektivita, což se nám poměrně rychle podařilo vyřešit pomocí zvětšení route cache. Samotné zprovoznění peeringu vyžaduje často změny v konfiguraci na některé z peeringových stran nebo nutnost kontaktování peeringových partnerů z důvodu jejich absence na peeringových uzlech, případně proto, že tam neoznamují všechny prefixy. Nebylo tomu jinak ani tentokrát a tato část tedy zabrala nějaký ten den navíc.
Po několika nezbytných testech jsme mohli začít oznamovat naše anycastové adresy do MIXu, přepnout celý stack do ostrého provozu a přidat tak další opěrný bod pro DNS provoz .CZ domény ve světě.
Zdravim, ake CPU pouzivate na Linux routery? Nastavenia sietovych kariet nechavate v defaulte? Dakujem za odpoved.
Dobrý den,
pokud se budeme bavit o Linuxových routerech v malých DNS stackách (u těch velkých používáme HW routery), pak konkrétně v tomto jsou dvě CPU Intel(R) Xeon(R) CPU E5-2680 v4 @ 2.40GHz.
U síťových karet pak nastavujeme nejčastěji via ethotool parametry:
– RX
– TX
– Ntuple
– TCP segmatiation offload
– Segmentation and checksum offloading
– Generic receive offlod
Odpověděl jsem Vám správně na Váš dotaz nebo jste nastavením síťových karet měl na mysli něco jiného?
VS.
Dakujem za odpoved. Presne toto som myslel. Ste ochotny zdielat svoje hodnoty, ktore ste nastavili?
Vopred dakujem.
Dobrý den, v tomto konkrétním případě
– rx 4096 tx 4096
– ntuple off tso off gro off gso off
VS.
Vaclav, dakujem za odpoved.