V roce 2021 jsme velice intenzivně pracovali na SW upgradech všech systémů registru FRED. Podrobněji jsem o tom informoval na naší tradiční konferenci IT 21.2. Na úplný konec jsme si, jako takovou třešničku na dortu, nechali PostgreSQL databáze.
25. října zkušebně vypneme IPv6 tunelovací technologie Teredo a 6to4
V roce 2018 jsem přinesl v článku Omezování IPv6 tunelovacích technologií informace o aktuálním vývoji a využití technologií Teredo a 6to4. Závěrem jsem pak informoval, že Teredo prefix 2001::/32 přestáváme propagovat do zahraničních upstreamů a propagujeme jej jen v rámci peeringových uzlů NIX.CZ a NIX.SK, kde však peerují také globální hráči, tudíž určitý provoz ze zahraničí i přesto odbavujeme Technologii 6to4 jsme v té době nijak neomezili. V tomto blogpostu uvedu důvody, proč chceme tyto dvě technologie vypnout.
Jsme ARM pozitivní…
…, tedy zatím jen v infrastruktuře našeho .CZ DNS anycastu. Ale začněme pěkně od začátku.
V letošním roce nás čeká pravidelná obměna DNS serverů po uplynutí supportu v neveřejné lokalitě. V této naší třetí české lokalitě neběží žádný DNS stack, ale takzvané standalone DNS servery. Abychom dodrželi požadovanou redundanci, pro každé písmenko DNS anycastu (A, B a D) jsou tu v provozu dva servery. Celkem tedy šest serverů. Pokud bychom nechtěli nic měnit, obměníme prostě stejný počet serverů, provedeme instalaci a konfiguraci a jsme hotovi. Byla by však škoda nevyužít příležitost a v této lokalitě „postavit“ DNS servery trochu jinak.
V .CZ DNS anycastu jsme nasadili XDP, výrazně rychleji tak odbavíme DNS provoz
Ve středu 9. 9. 2020 vydali kolegové z Laboratoří CZ.NIC novou verzi autoritativního DNS serveru Knot DNS (3.0), která přináší mimo jiné i podporu XDP. Pokusím se shrnout, jak jsme pro novou verzi připravili trochu specifické prostředí, v průběhu léta testovali a následně spustili do ostrého provozu v našeho .CZ DNS anycastu.
Upgrade síťové infrastruktury v našich datacentrech (část 1.) – 2x 100Gbps mezi pražskými datacentry
V tomto a také v jednom z příštích blogpostů bych se rád věnoval síťových upgradům ve všech třech našich datacentrech. Na letošní rok jsme si totiž naplánovali poměrně velké zásahy do infrastruktury. Koronakrize nám způsobila značné komplikace v realizacích. Původní plán navrhnout a pořídit potřebný materiál (ODF, transceivery, metalickou a optickou kabeláž apod.) během prvního kvartálu a začít s realizacemi hned na jaře vzal za své. Vzhledem ke značným výpadkům ve výrobě některých komponent byly dodací lhůty násobně delší a tak jsme museli jednotlivé realizace přeorganizovat. Fyzicky jsme mohli začít pracovat v datacentrech až v černu. Dnešní část se bude věnovat navýšení kapacity linek mezi našimi primárními datacentry v Praze.
Nový DNS anycast na Slovensku
Delší dobu jsme na našem blogu nepsali o upgrade nebo přípravě nových lokalit DNS anycastu pro ccTLD .cz. Je to tím, že máme nové lokality zatím pouze rozjednány, koronakrize nám samotnou realizaci dost komplikuje. Dalším důvodem je, že jsme se v posledních měsících soustředili na upgrade sítě v našich datacentrech, o čemž se ale rozepíšu někdy příště. Přesto máme menší, ale o to zajímavější, novinku ze světa DNS anycastu pro .CZ doménu. Tentokrát nepůjde o žádnou větší instalaci nebo exotickou lokalitu, ale o spuštění DNS serveru u našich nejbližších sousedů, bratrů Slováků.
ODVR – vypnutí ochrany Rebinding a úpravy DoH
DNS rebinding
Naše otevřené DNSSEC validující resolvery měly od začátku provozu (tedy i v době, kdy ještě běžely na DNS resolveru Unbound) nastavenu ochranu proti DNS Rebindingu. Toto nastavení jsme zachovali i při spuštění nového ODVR anycastu postaveného již na našem Knot Resolveru.
DNS hosting NIX.CZ a ccTLD .gt
V nedávné době se na nás shodou okolností obrátily hned dva subjekty, zda bychom jim nepomohli s hostováním jejich DNS zón; v obou případech jsme rádi vyhověli. Jednalo se totiž o český neutrální peeringový uzel NIX.CZ, se kterým často sdílíme technické know-how a vzájemně si vypomáháme tam, kde to dává smysl. Dále pak o doménový registr státu Guatemala provozující ccTLD .gt, kterému jsme vyšli vstříc v rámci naší dlouhodobé podpory rozvíjejícím se registrům, stejně jako tomu bylo dříve v případě registrů Angoly, Malawi, Tanzanie nebo Severní Makedonie.
Opouštíme původní klec v datacentru
A je tady poslední díl seriálu o stěhování našich technologií do privátního sálu v ČRa Tower. Dle plánu nás v prosinci a lednu čekalo přestěhovat několik testovacích prostředí, interní systémy, přeložit zbývající optické propoje a uklidit původní klec.