Nejčtenější články blogu CZ.NIC v roce 2021 aneb Co vás zajímalo nejvíce

Už několik let se na začátku ledna ohlížíme zpět, abychom si připomněli čtenářsky nejúspěšnější příspěvky našeho blogu za uplynulý rok. V roce 2021 vyšlo šedesát článků a mezi nejvyhledávanější patřily ty, které se věnovaly projektům mojeID a Turris, dále on-line bezpečnosti dětí na Internetu, programování nebo systému DNS. Přesněji se jednalo o následujících deset blogpostů:

Knot DNS – DNSSEC (1)

Internetový protokol DNS má počátky v roce 1983. Od svého vzniku prošel mnoha úpravami a je neustále rozvíjen. Mezi jeho nejvýznamnější rozšíření patří zabezpečení DNSSEC. O co jednodušší bylo v úvodním dílu zapnutí DNSSEC, o to složitější procesy probíhají pod kapotou. Dnes si přiblížíme jak DNSSEC funguje a jak ho lze efektivně provozovat se serverem Knot DNS.

Knot DNS – konfigurace

Abychom mohli server Knot DNS spustit, je třeba mu předložit nějakou konfiguraci. Konfigurace může být ve formě textového souboru nebo binární databáze. Pokud konfiguraci explicitně nezadáme, pokusí se démon použít konfiguraci z přednastaveného umístění, které je určeno při překladu programu. Nejprve se zkouší konfigurační databáze (většinou /var/lib/knot/confdb) a pokud neexistuje, zkouší se konfigurační soubor (většinou /etc/knot/knot.conf). Konfigurací může být prázdný soubor nebo prázdná databáze. Kromě démona knotd, využívá konfiguraci i nástroj knotc na ovládání démona, nástroj keymgr na správu DNSSEC a další.

Výsledky průzkumu: Nastavení DNS resolverů

DNS software je v současnosti velmi složitý. Výrobcům a vývojovým týmům chybí zpětná vazba o tom, jaké funkce se skutečně používají. Náš průzkum si kladl za cíl takové informace od uživatelů získat. Výsledky jsou popsány v tomto článku. K účasti na průzkumu byli pozváni uživatelé a správci DNS resolverů od jakéhokoliv dodavatele. Příspěvek navazuje na článek “Průzkum: Jak nastavujete DNS resolvery?”.

Migrace Hadoopu z Cloudera Express na Apache Bigtop

V CZ.NIC používáme Hadoop převážně k ukládání provozu z našich autoritativních DNS serverů pro doménu .CZ a provozu z našich veřejných resolverů ODVR. Ke sběru dat používáme náš vlastní nástroj DNS Probe, který nasbíraná data odesílá na Hadoop servery. K tomuto účelu provozujeme vlastních 7 až 8 serverů s instalací Hadoopu a několika podpůrných nástrojů (Hive, Spark, Impala,…). Proces sběru dat DNS provozu je ilustrován na obrázku níže.

Anymon

Dovolím si volně navázat na blogpost kolegy Zdeňka Brůny, který se před časem pokusil přiblížit problematiku generování a podepisování .CZ zóny pomocí lidsky pochopitelné metafory. I já bych rád poodkryl jednu z oblastí správy DNS, tentokrát zdokonalování monitoringu jednotlivých nodů našeho anycastu. Představme si, že provozujeme řetězec obchodů, poboček, a zajímá nás, jestli opravdu zaměstnanci pracují a pobočky mají otevřeno. Kontrolu můžeme dělat interně, tedy aby nám zaměstnanec nebo nějaký systém vždy po určitém intervalu odpovídal. To může zdatnější zaměstnanec nafixlovat, aby to vypadalo, že vše funguje, jak má. Ve skutečnosti ale zaměstnanci budou už doma s nohama na stole. Během toho budou naštvaní zákazníci zlověstně ťukat a lomcovat s dveřmi pobočky a pak psát nerudné komentáře, že je zavřeno, i když má být otevřeno. Ideální řešení by bylo, kdybychom měli někoho, kdo pravidelně půjde, vezme za kliku dveří a zkontroluje, že je otevřeno. Případně zburcuje manažera pobočky nebo nahlásí nefunkční pobočku firmě, která zmíněný řetězec provozuje.

Generování a podepisování zóny .CZ prošlo servisní prohlídkou, původní součástky nahradil systém Knot DNS

Základní stavební kameny správy registru naší národní domény se ve svém okolí snažím popisovat poměrně často. Přesto (nebo právě proto) je stále „tečka cézet“ vnímáno jako něco, co prostě funguje. Obdobně jako když ráno sednete do auta a odvezete děti do školy. Počítáte s tím, že vám cesta zabere obvyklých 10 minut (nebo 15 pokud potřebujete doplnit palivo) a nebudete muset řešit žádné trable. I když víte, že je třeba pravidelně měnit olej, kontrolovat a měnit opotřebovávané součástky nebo opravovat závady vzniklé provozem, většina z vás tahle „vykolejení ze stavu funguje“ nechává na odborníky v servisu nebo aspoň na šikovného souseda a vyvaruje se mytí rukou od kolomazi nebo potřeby znát jaký typ brzdových destiček potřebuje. Moderní vozy vás dokáží o nutnosti zásahu informovat a vy potřebujete jen znát správné telefonní číslo. Přesto, že člověku na druhé straně úplně nerozumíte, protože máte základní povědomí o fungování auta, dokážete ho pochopit.