Connect :
Uptime :
Secondary
7 Days
12 Hour
13 Min.
DNSサーバと言えばBINDを思い浮かべる人が多いと思うが、
パケット1発で落ちるBINDコロリと呼ばれる様な脆弱性が出てきたりして、
昨今は脱BINDが囁かれる様になった。
そうは言っても、デファクトスタンダードとなっているBINDじゃないと出来ない事があったり、
権威DNS・キャッシュDNSを兼用させて、リソースをケチるにはBIND以外の選択肢が無かった。
筆者も例に漏れず業務含めメイン用途ではBINDを使い続けていたが、
ひょんな事からBIND以外の権威DNSサーバを運用する必要性が出てきたので情報収集を開始。
『コレは自鯖基盤の権威DNSにNSDを追加して運用チャンス (`・ω・´)』
という事で、dnsdistを使う事でBIND・NSD間のフォールバックも実装しつつ、
権威DNSにBIND・NSDを併用した環境を構築してみた。
自鯖の外向け権威DNSのコンテンツ制御にはBINDを使い、
広域負荷分散用途にGDNSDを使うハイブリッド構成を取っている。
訳あってNSDを本格的に使う必要が出てきそうな為、自鯖も構成変更をする事にした。
また、以前からテストしてみたかったDNSSECもテストしており、
コチラはBIND・KNOT・NSDの3アプリ併用でクエリを捌いている。
最終的にはメインで利用しているドメインもDNSSEC対応したいが、
レジストラがDSレコード登録に対応している必要がある上、
メイン利用している”org”のgTLDでDSレコード対応している所が皆無なので実現は難しそう。
そんな事もあり、NSDに慣れる為に構成変更をかけて併用型に組み替え中。
2週間程度で組み替えが終わる筈なので、終わった辺りで構成を紹介したいと思う。
構築していた自宅仮想サーバホストも全て完成し、ついにフル構成にする事が出来た。
という事で、新環境記事の締めと備忘録を兼ねて、構成概要とコンセプトを書こうと思う。
当初はメイン本番環境にKVM、バックアップ検証環境にHyper-Vの2種類のみを想定していたが、
都合によりVMwareも弄る必要が出てきた為、検証環境としてVMware ESXiも追加する事にした。
KVMとHyper-Vは各々の構築拠点内で2台のアクティブ・アクティブ構成で組んでおり、
片ホストをメンテナンスで停止する必要が出ても、縮退運転する事が出来る様にしてある。
本格的な冗長構成にするならクラスタリングやvSphere HAを組んでおくのがセオリーだが、
ホストサーバのハードウェアスペックが足りず実装出来ないのと、
ライセンス利用料を用意出来なかったので諦めた。
全体の構成は上の通り。詳細を書くとサーバ内のホスト・ゲストやOS階層が違うのだが、
表現をわかりやすくする為に敢えて揃えてみた。
