2025年04月26日(土) - 20:57 | カテゴリ:
Linux
今までも検証用にDNSドメインを運用しており直近にもドメインを追加購入していた。
権威DNSの技術検証には本番系のDNSドメインと自前のサーバを用いるものの、
SaaSの挙動を見る場面もあり今回が該当した。
無料・有料に限らずDNSホスティングサービスを検討していたが、
今回はCloudflareに乗せる事にしたので委任してみた。
以前から利用しているDNSドメインでもCloudflareを使っているので、
今回の追加分含め2個のドメインを管理する事になった。
追加したドメインで登録しているDNSレコードは悪用防止用の自衛レコードだが、
一部のサービス用にワイルドカードレコードを使っているのと、
そもそもドメイン名が短くタイポ含めた相応のDNSクエリが来そうな事もあり、
権威DNSが耐えられる様にする意味でもCloudflareが最適と考えた。
………
レジストラには長年お世話になっているValue Domainを採用したので、
DNSSEC用のDSレコードも設定をしてみた。
上位DNSにDSレコードが登録されるのに時間がかかったが、
Cloudflareの値とも同期がとれて無事に応答が返って来る様になった。
自前でDNSSECを作るのも可能だが大変なので、SaaSだからこそ手軽に出来る物の一つと思う。
2025年02月22日(土) - 22:37 | カテゴリ:
Linux
来る2月22日、駒澤大学でオープンソースカンファレンス2025春が開催された。
OSS・Linux界隈での数少ないリアルイベントという事もあり、
春の東京開催は筆者も出来る限り参加する様にしている。
今年はハイプライオリティの用事が他にあり参加をどうしようか考えていたが、
時間を確保出来たので参加してきた。
今回は一般参加なので各ブースを自由気ままに見てきた。
勉強会の会場と受付フロアを除き、書籍ブースが1室・一般展示が3室の合計4室開催だった。
普段はもっと小さいイメージだったので展示部屋が増えて盛況と感じた。
特筆すべき事として、Proxmox VEの書籍展示やコンテナ管理ソリューションが多く展示されており、
VMwareやCentOS Streamからの移行ネタを引っ掛ける所が多い様に見えた。
2024年はRHEL7系のEOLがあったため、それ関係の需要を見越しての展示なのかもしれない。
とは言ってもコンテナ黎明期の様な多種多様ないろとりどりのセカイでは無く、
様々なナレッジが蓄積され、不要なツールが淘汰され残った先鋭が賑わっている感じだった。
そんな中、とあるブースではReactなどのコンテナ管理ツールを実情レベルで聞けたのも参考になった。
“ns-lab BB”のインフラも今後刷新する必要があるので試せる物はチャレンジしてみたい次第。
身バレするので詳細は割愛するが、IT屋なら良く耳にする企業との会話が出来たり、
Zabbixのブースで公式公認のZabbixクソダサタオルを貰えた時はテンションが上がった。
このダサさはIT屋だからこその芸術だと思う。
………
OSCは技術書典と雰囲気は違うが筆者はコッチの方が好きだったりする。
技術書典も技術屋の祭典ではあるもののハイレベルなプログラマーが多く、
インフラ等で飯を食べている筆者からするとハードルが結構高い。
対してOSCは初心者から上級者まで幅広く楽しめるのが良いと感じる。
また、出展ブースが少ないのが物足りないが簡単に回れるのはメリットと思うのと、
毎年会場が違うので新鮮な気持ちで参加出来るのも嬉しいところ。
本職での参加は難しいが、プライベートでは今後も好きな技術イベントに参加したいと思う。
« 続きを隠す
2025年02月14日(金) - 23:26 | カテゴリ:
Linux
権威DNSにはGSLB(広域負荷分散)と呼ばれる動的なDNSレコードを返す物があり、
“ns-lab BB”でもWebサーバの負荷分散とサーバ切替で用いており数年の運用実績がある。
そんな自鯖のGSLBも機能強化しつつ運用しているが、
フロントエンドがdnsdistを採用してバックエンドにgdnsdを用いた多段構成のため、
GeoIPを用いたロケーション判定と動的応答が出来ない課題があった。
………
そんな折に発生した権威DNSの脆弱性対応でサーバをアップグレードをする必要があり、
ついでにEDNS0の対応もする事となった。
(`・ω・´)「dnsdistがEDNS0に対応出来るなら、gdnsdも対応すればGeoIPを使えるのでは?」
そう思い立ち調査をしたところgdnsdもEDNS0に対応している事が判明。
ソースコードも読んだらEDNS Client Subnetで接続元のIPアドレスを引き渡せそうだったため、
筆者の運用するgdnsdでもEDNS0への対応とGeoIP動的応答への対応をしてみた。
今回はdnsdistとgdsndの両方をEDNS0に対応させる事で、
EDNS Client Subnetを使ったIPアドレス連携とGeoIPを使ってみた。
構築手順はwikiへ追記したので、ビルド方法やパラメータの詳細はwikiを読むべし。
- nowsky system-lab memo > gdnsd
今回の構成は以下の通り。
EDNS Client Subnetの付与はdnsdistで行い、
パラメータをgdnsdで読み取りGeoIPとの連携と動的なDNS応答をしている。
稼働させて2週間ほど経過するがGeoIPでの動的制御も正常に動いている。
懸念していたCPU負荷やメモリ使用率も正常稼働の範囲となっておりバーストも無かった。
GSLBは使い方によっては特定のネットワークからの接続を禁止する用途にも使えるため、
他のシステムと組み合わせれば攻撃検知と自動防御にも使えると思われる。
この場合、接続元キャッシュDNSサーバのグローバルIPを元に制御すれば行けそうなので、
自鯖で開発出来ないか考えてみようと思う。
………
本職でもDNSを弄っておりスキル習得が重要なため先進的な事は自鯖で実装する様にしてる。
権威DNSの自前運用は出来る限り避ける事が望まれる昨今なので時代に逆行しているものの、
自宅サーバなど自由な環境でないと出来ない事も大量にあるので、
敢えて自前で運用する事をポリシーにしていたりする。
安定が求められるシステムだからこそ深い所まで把握し自由に操作するのが重要なのと、
自由に弄れる環境だからこそ実現出来る事があるのも事実。
だからこそ、自前で運用する権威DNSを使って検証をしていく所存。
« 続きを隠す
