Linux/Source/dnsdist の履歴(No.3)

• 履歴一覧
• 差分 を表示
• 現在との差分 を表示
• ソース を表示
• Linux/Source/dnsdist へ行く。
  • 1 (2019-04-28 (日) 10:04:42)
  • 2 (2019-04-28 (日) 10:22:09)
  • 3 (2019-04-28 (日) 23:30:36)

dnsdist†

DNSに特化したリバース・フォワード兼用ロードバランサー。
バックエンド死活監視、ポリシールーティング、QoS制御などのLSLBが備える機能を実装している。
設定ファイルはLua言語で記述するので、環境に合わせてスクリプト主体の細かい制御も出来る。
DNSクエリ処理に限定すると、dnsdistはクエリ・フォワード動作に特化している為、
バックエンドに権威DNS・キャッシュDNSなどを構築する必要がある。
　
アプリケーションは単一バイナリ動作なので、機能を盛り過ぎるとバイナリが70MB程まで大きくなる。
必要な機能を抜粋して自前でソースビルドを行うと、バイナリ容量と使用メモリ容量の削減が出来る。

参考サイト†

• powerdns+dnsdistの構築
• 自宅環境にdnsdist 1.1.0を導入してみた。
  
  

インストール†

• 1. ソースビルド
  ソースビルドだと様々なディストリビューションで動作して汎用性が高いのでソースビルドする。
  今回はopenSUSEでビルドを行っているが、CentOS/Debianでも同様の手順でビルド出来る。
  下記のビルドオプションはフル機能を有効化している為、不必要な機能を削除するとバイナリが更に軽くなる。

  # zypper install libedit-devel libsodium-devel systemd-devel fstrm-devel protobuf-devel boost-devel re2-devel
  # wget "https://downloads.powerdns.com/releases/dnsdist-1.3.3.tar.bz2"
  # tar jxvf dnsdist-1.3.3.tar.bz2
  # cd dnsdist-1.3.3
  # ./configure --prefix=/usr/local/dnsdist-1.3.3 \
                --enable-dns-over-tls             \
                --enable-dnscrypt                 \
                --enable-fstrm                    \
                --enable-re2                      \
                --enable-systemd                  \
                --with-ebpf                       \
                --with-lua                        \
                --with-net-snmp                   \
                --with-protobuf                   \
                --with-systemd                    \
                --with-systemd-modules-load
  # make
  # make install
  # ln -s /usr/local/dnsdist-1.3.3 /usr/local/dnsdist

  　
• 2. 起動準備
  dnsdist専用ユーザで動作させる為、実行ユーザの作成とサービスファイルの準備を行う。
  さらに、今回はDNSクエリログのローカル出力を有効化する為、ログディレクトリ作成、ログローテート設定も実施する。

  ＋

  ディレクトリ作成

  # mkdir /var/log/dnsdist # mkdir /usr/local/dnsdist/etc # ln -s /usr/local/dnsdist/etc /etc/dnsdist # groupadd dnsdist # useradd -d /var/log/dnsdist -s /sbin/nologin dnsdist # chown dnsdist.dnsdist /var/log/dnsdist # cp ${SOURCE}/dnsdistconf.lua /etc/dnsdist/dnsdist.conf.sample

  ＋

  サービスファイル

  # vi /usr/lib/systemd/system/dnsdist.service --- [Unit] Description=dnsdist DNS loadbalancer Documentation=https://dnsdist.org/ After=local-fs.target remote-fs.target network.target [Install] WantedBy=multi-user.target [Service] Type=notify Restart=on-failure EnvironmentFile=/etc/sysconfig/dnsdist ExecStartPre=/usr/local/dnsdist/bin/dnsdist --disable-syslog --check-config $OPTIONS ExecStart=/usr/local/dnsdist/bin/dnsdist --disable-syslog --supervised -u $USER -g $GROUP $OPTIONS ExecStop=/bin/kill -s QUIT $MAINPID ExecReload=/bin/kill -s HUP $MAINPID ## TUNING TasksMax=8192 LimitNOFILE=65536

  ＋

  起動オプション

  # vi /etc/sysconfig/dnsdist --- USER="dnsdist" GROUP="dnsdist" OPTIONS="-C /etc/dnsdist/dnsdist.conf"

  ＋

  ログローテート

  # vi /etc/logrotate.d/dnsdist --- /var/log/dnsdist/dnsdist.log { weekly compress rotate 4 missingok ifempty postrotate systemctl reload dnsdist > /dev/null endscript }

  
  

コンフィグ†

構築例ではdnsdistのコンフィグを "/etc/dnsdist/dnsdist.conf" としている為、
下記コンフィグ例も同じファイルに設定を行う。
dnsdistの設定は単純な為、単にDNSロードバランサーとして稼働させるならば、
「DNSクエリ・クエリタイプ・接続元IPアドレス・パケット制御」の4項目を抑えれば設定出来る。
　
複数のポリシーを組み合わせる時は、MatchingPackets(Selectors)の "AndRule/NotRule/OrRule" 条件、
バックエンドのサーバ設定は、Servers/Poolsの "newServer/getServer" を利用する。
その他、細かい設定内容は公式ドキュメントの下記3項目を読めば大体判る。

• Configuration Reference
• Loadbalancing and Server Policies
• Packet Policies
  　

  ＋

  単純ロードバランサー

  ※ 実際の設定では頭の行番号("01: "など)を消す ============================================================================================ 01: -- BACKEND 02: check01 = "ns1.example.com." 03: check02 = "ns2.example.com." 04: newServer({address="10.0.10.1:53", pool="example", checkName=check01, mustResolve=true}) 05: newServer({address="10.0.10.2:53", pool="example", checkName=check02, mustResolve=true}) 06: 07: -- LISTEN 08: addLocal("10.0.0.1:53", {doTCP=true}) 09: 10: -- ACL 11: setACL("0.0.0.0/0") 12: 13: -- RULE 14: internet = newSuffixMatchNode() 15: internet:add(newDNSName("example.com.")) 16: 17: -- LOG 18: addAction(AllRule(), LogAction("/var/log/dnsdist/dnsdist.log", false, true, false)) 19: 20: -- POLICY 21: addAction(SuffixMatchNodeRule(internet), PoolAction("example")) 22: addAction(QTypeRule(dnsdist.TXT), PoolAction("example")) 23: addAction(AllRule(), RCodeAction(dnsdist.REFUSED)) LINE PARAMETER DESCRIPTION 02行目 check01 newServerで設定する監視先DNSサーバのFQDN設定。IPアドレス記述も可能 03行目 check02 newServerで設定する監視先DNSサーバのFQDN設定。IPアドレス記述も可能 04行目 newServer プール名(example)にバックエンド(10.0.10.1:53)を、監視先FQDN(check01)で追加 監視先から"NOERROR RCODE"以外が返ってきたらエラー(監視失敗)とする 05行目 newServer プール名(example)にバックエンド(10.0.10.2:53)を、監視先FQDN(check02)で追加 監視先から"NOERROR RCODE"以外が返ってきたらエラー(監視失敗)とする 08行目 addLocal dnsdistが待受けるUDP用IPアドレス doTCPを設定すると、同IPアドレスでTCP待受けも有効化出来る 11行目 setACL 接続を許可するセグメント setACLで複数記述、addACLで既存のACLに追加設定も出来る 14行目 newSuffixMatchNode サフィックス名とインスタンスの定義 15行目 newDNSName サフィックス名(internet)に、DNSドメイン名(example.com)を追加定義する 18行目 addAction/LogAction dnsdistが処理したDNSクエリログ保存先。addActionの中で必ず最初に設定する パラメータを "false/true/false" にすると見やすい形で保存される 21行目 addAction/SuffixMatchNodeRule DNSクエリに "example.com(internetサフィックスで定義)" を含む時、 バックエンドの "example" プール(2～5行目で定義)に転送 22行目 addAction/QTypeRule DNSクエリタイプが "TXT(dnsdist.TXTで定義)" の時、 バックエンドの "example" プール(2～5行目で定義)に転送 23行目 addAction/AllRule 上段の設定(addAction)で処理されなかったDNSクエリに対して、 REFUSED(リクエスト拒否)を返答する。設定の最後に記述する事を強く推奨