Upgrade to Pro — share decks privately, control downloads, hide ads and more …

うちの DNS 権威サーバ

alt
May 07, 2023
1
380

うちの DNS 権威サーバ

2023/05/07 JSNOG-LT-1

参考資料

[ccTLD 及び ccSLD 権威サーバの運用に関する報告 - WIDE 報告書 2021](https://www.wide.ad.jp/About/report/pdf2021/usb/22_wide-memo-two-lbdns-ops-2021.pdf)

alt

May 07, 2023
Tweet

More Decks by alt

See All by alt
標準化ってなんだ ~IETF を題材に~
jj1lfc
0
160

Featured

See All Featured
[RailsConf 2023] Rails as a piece of cake
palkan
29
4.1k
Build The Right Thing And Hit Your Dates
maggiecrowley
25
2k
JavaScript: Past, Present, and Future - NDC Porto 2020
reverentgeek
41
4.5k
What's in a price? How to price your products and services
michaelherold
238
11k
Making Projects Easy
brettharned
109
5.6k
How GitHub (no longer) Works
holman
305
140k
[RailsConf 2023 Opening Keynote] The Magic of Rails
eileencodes
14
8.4k
Building an army of robots
kneath
300
42k
Designing Experiences People Love
moore
136
23k
Fontdeck: Realign not Redesign
paulrobertlloyd
76
4.9k
Rails Girls Zürich Keynote
gr2m
91
13k
GraphQLとの向き合い方2022年版
quramy
33
13k

Transcript

  1. うちの DNS 権威サーバ 慶應義塾大学 大谷亘 a.k.a. alt 2023/05/07 JSNOG-LT-1 1

  2. ホスト中のゾーン zone: - domain: jj1lfc.dev - domain: oru.to - domain:

    kelo.jp - domain: sfckeioac.jp - domain: ohgai.dev - domain: sotsuron.fail 2

  3. 外から見ると ❯ dig NS jj1lfc.dev. @1.1.1.1 +rec ; <<>> DiG

    9.10.6 <<>> NS jj1lfc.dev. @1.1.1.1 +rec ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 7423 ;; flags: qr rd ra ad; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 1232 ; NSID: 32 32 6d 32 35 30 ("22m250") ;; QUESTION SECTION: ;jj1lfc.dev. IN NS ;; ANSWER SECTION: jj1lfc.dev. 3600 IN NS nsv.jj1lfc.dev. jj1lfc.dev. 3600 IN NS pseudo-nsv.jj1lfc.dev. ;; Query time: 57 msec ;; SERVER: 1.1.1.1#53(1.1.1.1) ;; WHEN: Sat May 06 09:36:46 JST 2023 ;; MSG SIZE rcvd: 92 3

  4. The Internet ns-controller xfr xfr xfr xfr Resolvers nsv1 nsv2

    ... signer controller 権威サーバ群の構成 (L7) hidden master による事故防止 signer 分離による DNSSEC 事故防 止 DNSSEC 秘密鍵を持つホストを隔 離 4

  5. Signer (knot) の config (抜粋) template: - id: default master:

    controller notify: [ nsv1, nsv2 ] acl: [ acl_controller, acl_nsv1, acl_nsv2 ] dnssec-signing: on dnssec-policy: nsec3 semantic-checks: true zonefile-load: difference serial-policy: unixtime - id: no_dnssec master: controller notify: [ nsv1, nsv2 ] acl: [ acl_controller, acl_nsv1, acl_nsv2 ] semantic-checks: true zonefile-load: difference serial-policy: unixtime 5

  6. nsv2 nsv1 traffic traffic BGP ECMP BGP ECMP BGP traffic

    traffic nsd frr nsd frr rtr rtr ASBR RR outside ロードバランシング (L3) Internet-facing な権威サーバにソ フトウェアルータを同居 同一の VIP を iBGP で広告 L3 でのロードバランサレスアーキ テクチャ 6

  7. frr の config (抜粋) dummy1 IF に VIP を割当 interface

    dummy1 ip address 207.148.88.188/32 ipv6 address 2001:19f0:7002:b07::53/128 exit 7

  8. frr の config (抜粋) RR と BGP peer を張り VIP

    を広告 router bgp xxxxx bgp router-id xxxxx ... address-family ipv4 unicast network 207.148.88.188/32 ... exit-address-family ! address-family ipv6 unicast network 2001:19f0:7002:b07::53/128 ... exit-address-family exit 8

  9. 感想 見た目以上に難しくない L3/L7 の合わせ技楽しい 本当は Anycast したい 個人ゾーンの NS にこんな

    LB はいらない 参考資料 ccTLD 及び ccSLD 権威サーバの運用に関する報告 - WIDE 報告書 2021 9