Linux/Source/gdnsd の履歴(No.4)

• 履歴一覧
• 差分 を表示
• 現在との差分 を表示
• ソース を表示
• Linux/Source/gdnsd へ行く。
  • 1 (2018-03-09 (金) 22:22:37)
  • 2 (2018-03-11 (日) 13:35:36)
  • 3 (2018-03-11 (日) 19:21:21)
  • 4 (2018-03-11 (日) 21:49:43)
  • 5 (2018-03-12 (月) 00:04:54)
  • 6 (2018-03-18 (日) 01:47:37)
  • 7 (2018-03-18 (日) 22:52:07)
  • 8 (2018-03-24 (土) 17:22:00)
  • 9 (2018-06-24 (日) 13:52:07)
  • 10 (2018-07-28 (土) 19:31:31)
  • 11 (2019-02-23 (土) 22:04:32)

gdnsd†

オープンソースのグローバルロードバランサー(GSLB)
ソースコード量が少なく、高速動作と脆弱性の発生しにくさが特長となっている。
ただし、ソースコードを減らす為にプログラムのロギング機能が省略されていたり、
細かいヘルスチェックはスクリプトを別途作成する必要がある為、
フル機能を使いこなすには知識・技術が必要なソフトウェアである。
　
gdnsdは通信事業者レベルでの採用実績がある。
また、ソースコードが少ない割には整理されている為、機能追加も比較的楽に出来る。

参考サイト†

• gdnsd
• GitHub gdnsd
• gdnsdでかんたんGSLB
  
  

構築環境†

• 配布サイト
• 公式ドキュメント
  　

  Parameter DNS-A DNS-B OS openSUSE Leap 42.3 openSUSE Leap 42.3 GIP 1.1.0.1 1.1.0.2 IP 10.0.0.1 10.0.0.2 A-RR ns1.gslb.test.org ns2.gslb.test.org USER gdnsd VERSION v2.4.0 PREFIX /usr/lcoal/gdnsd-2.4.0 CONFIG /usr/lcoal/gdnsd/etc/gdnsd/config ZONE /usr/lcoal/gdnsd/etc/gdnsd/zones/gslb.test.org 　 Parameter SERVER-A SERVER-B IP 192.168.0.1 192.168.0.2 A-RR sv1.gslb.test.org sv2.gslb.test.org

  
  

インストール†

• 1. インストール
  gdnsdの最新機能を利用する為、今回はソースからビルドする。
  ソースビルド時でもバージョン管理が行える様に、
  prefix指定を変更した上でシンボリックリンクを張る事でプログラムの参照先を切り替える。

  # zypper install libev4 libev-devel ragel
  # wget https://github.com/gdnsd/gdnsd/archive/v2.4.0.tar.gz
  # tar zxvf gdnsd-2.4.0.tar.gz
  # cd gdnsd-2.4.0
  # ./configure --prefix=/usr/local/gdnsd-2.4.0
  # make
  # make install

  　
• 2. 起動準備
  gdnsdを動かす為の実行ユーザを作成した上で起動スクリプトも準備する。
  gdnsdはsystemd起動に最適化されている為、
  従来のinitスクリプトでは無くサービスファイルから起動を行う。

  # cd /usr/local
  # ln -s /usr/local/gdnsd-2.4.0 gdnsd
  # cd /etc
  # ln -s /usr/local/gdnsd/etc/gdnsd gdnsd
  # vi /usr/lib/systemd/system/gdnsd.service
  ---
  [Unit]
  Description=gdnsd Authoritative GSLB type DNS Server
  After=local-fs.target network.target
  
  [Install]
  WantedBy=multi-user.target
  
  [Service]
  Type=notify
  NotifyAccess=all
  ExecStart=/usr/local/gdnsd/sbin/gdnsd -c /etc/gdnsd -f start
  ExecStop=/usr/local/gdnsd/sbin/gdnsd -c /etc/gdnsd stop
  
  ## Security Setting
  MountFlags=slave
  DevicePolicy=closed
  PrivateDevices=true
  PrivateTmp=true
  ProtectSystem=full
  ProtectHome=true

  　
• 3. コンフィグ
  gdnsdのコンフィグは、[${PREFIX}/etc/config]から固定参照で読み込んでいるので、
  上記設定に合わせてコンフィグを作成しないと、プログラムの起動に失敗する。
  今回はprefixをシンボリックリンクで[/usr/local/gdnsd]に変更している為、
  作成するコンフィグファイル名も[/usr/local/gdnsd/etc/config]になる。
  コンフィグファイルにはgdnsdのヘルスチェック条件も書く必要があるが、
  権威DNSサーバ機能のみ利用するならば、optionsのみ記載すればプログラムを起動出来る。
  なお、コンフィグのコメント接頭文字は『#(シャープ)』となる。

  # vi /usr/local/gdnsd/etc/config
  ---
  options => {
      username       => gdnsd,
      chaos_response => "GSLB",
      listen         => 0.0.0.0:53,
      http_listen    => 0.0.0.0:3506,
      log_stats      => 3600,
  #   tcp_threads    => 2,
  #   udp_threads    => 2,
  
      include_optional_ns    => true,
      disable_text_autosplit => false,
      zones_strict_data      => false,
      zones_rfc1035_auto     => false,
  
      state_dir              => /var/lib/gdnsd,
      run_dir                => /var/run/gdnsd,
      plugin_search_path     => /usr/local/gdnsd/lib64/gdnsd,
  }

  ＋

  設定の解説

  詳細はgdnsdの公式ドキュメントに書いてある。 細かい設定パラメータも存在するので、作り込む場合は内容を一読した方が良い。 username => #gdnsdの実行ユーザ chaos_response => #DNSのchaosクラス変更 listen => #gdnsdのLISTENアドレス、ポート番号 http_listen => #ヘルスチェック画面のLISTENアドレス、ポート番号 log_stats => #gdnsdのクエリ統計データ出力秒 tcp_threads => #TCPクエリの実行スレッド数 udp_threads => #UDPクエリの実行スレッド数 include_optional_ns => #AUTHORITY-SECTIONにオプションのNSレコード注入 disable_text_autosplit => #TXTレコードを255バイト毎に自動分割 zones_strict_data => #DNSゾーンデータのワーニングを無視 zones_rfc1035_auto => #DNSゾーンデータ変更時の自動リロード(RFC1035)の有効化 state_dir => #gdnsd一次フォルダ run_dir => #gdnsdのPIDファイル保存先 plugin_search_path => #ヘルスチェックモジュール保存先

  　
• 4. ゾーンファイル
  gdnsdのDNSゾーンはレコード登録したいORIGINと同じ実ファイル名で作成する必要がある。
  "gslb.test.org"のゾーンを作成する場合、
  DNSゾーンファイルは「/usr/local/gdnsd/etc/gdnsd/zones/gslb.test.org」となる。
  通常のDNSレコードの書式はBINDのゾーン記法と同じな為、今回は解説を割愛する。
  　
• 5. 起動
  事前に作成したサービスファイルを用いてgdnsdを起動させる。
  gdnsdのログはsyslogのdaemonファシリティに出力されるので、
  エラーで起動しない時は該当ログを確認する。

  # systemctl unmask gdnsd.service
  # systemctl enable gdnsd
  # systemctl start gdnsd

  
  

ヘルスチェック†

ヘルスチェックを元にした広域負荷分散処理が、GSLBの本質機能となる。
gdnsdにもヘルスチェック機能が搭載されている為、単体でGSLBとして十分に稼働させる事が可能である。
　
ヘルスチェックの挙動はコンフィグファイルに書いた後、
DNSゾーンファイルで特殊なレコード設定を行う事によりDNSレコードを動的に変更する事が出来る。
gdnsd用の特殊レコードのDYNA/DYNCレコードを設定する事で、ヘルスチェックに基づいた可変応答が可能となる。
Aレコードを応答させる場合はDYNAレコード、CNAMEの場合はDYNCレコードを使用する。
　

• ラウンドロビン

  ＋

  設定内容

  ヘルスチェックを行いつつ、バックグランドへラウンドロビンで振り分ける方法。 コンテンツサーバ側で「TCP:80」を待ち受けている環境を想定して設定。 gdnsdのヘルスチェック設定は既存のconfigに追記を行う。 # vi /usr/lcoal/gdnsd/etc/gdnsd/config --- service_types => { tcp_80_http => { plugin => http_status, port => 80, url_path => /check, ok_codes => [ 200, 301 ], up_thresh => 10, ok_thresh => 5, down_thresh => 5, interval => 5, timeout => 4, } } plugins => { multifo => { tcp_80 => { service_types => tcp_80_http, up_thresh => 0.001, SERVERA => 192.168.0.1 SERVERB => 192.168.0.2 } } } 　 DNSゾーンファイルにはDYNAレコードを登録する。 Parameterには["プラグイン"!"サービスタイプ"]の順番で登録を行う # vi /usr/lcoal/gdnsd/etc/gdnsd/zones/gslb.test.org --- IN NS ns1.gslb.test.org. IN NS ns2.gslb.test.org. ns1 IN A 192.168.0.1 ns2 IN A 192.168.0.2 test 10 DYNA multifo!tcp_80

  　
• 重み付け応答

  ＋

  設定内容

  重み付け応答を行う場合、上記のラウンドロビン設定を修正するだけで実装出来る。 変更箇所はpluginsフィールドのみで、service_typesは書き換えなくて良い。 下記では、SERVER-Aを1、SERVER-Bを3とした場合の重み付け応答となる。 # vi /usr/lcoal/gdnsd/etc/gdnsd/config --- plugins => { multifo => { tcp_80 => { service_types => tcp_80_http, up_thresh => 0.001, SERVERA => [ 192.168.0.1, 1 ] SERVERB => [ 192.168.0.2, 3 ] } } }

  　
• ping死活監視

  ＋

  設定内容

  gdnsdのモジュールにはping死活監視モジュールが存在しない。 その為、ping死活で振り分けを変更する場合、外部コマンドモジュールを利用する。 　 外部コマンドにIPアドレスを引き渡す場合、特殊変数の[ITEM]を指定する。 また、パラメータ内で利用するコマンド自体のタイムアウト秒数が、 gdnsdヘルスチェックのタイムアウト秒数以上にならない様に注意する。 # vi /usr/lcoal/gdnsd/etc/gdnsd/config --- service_types => { icmp_monitor => { plugin => extmon, cmd => ["/usr/sbin/fping", "-t 3", "%%ITEM%%"], interval => 10, timeout => 4, up_thresh => 6, ok_thresh => 3, down_thresh => 3, } } plugins => { multifo => { tcp_80 => { service_types => icmp_monitor, up_thresh => 0.001, SERVERA => 192.168.0.1 SERVERB => 192.168.0.2 } } } 　 ヘルスチェックの定義はgdnsdのconfigファイルで行っている為、 DNSゾーンファイルは既存設定から変更しない。 # vi /usr/lcoal/gdnsd/etc/gdnsd/zones/gslb.test.org --- IN NS ns1.gslb.test.org. IN NS ns2.gslb.test.org. ns1 IN A 192.168.0.1 ns2 IN A 192.168.0.2 test 10 DYNA multifo!tcp_80

  　
• NAT配下の監視

  ＋

  設定内容

  クラウド環境では、グローバルIPとインスタンス内のプライベートIPを、 NATで紐付けて動的制御している場合が多い。 この時、NAT装置がNATループバック(ヘアピンNAT)に対応していない場合、 gdnsd側でグローバルIP・プライベートIP両方で監視出来るように設定変更する必要がある。 　 プライベートIP・グローバルIP毎に応答レコードを変更する場合、 キャッシュDNSも併用した形で細工が必要となるが、 全てグローバルIPで応答する形で良いならば、外部コマンドを利用する事で制御出来る。 下記では、TCP:80番への死活監視とNAT配下の設定例を作成する。 # vi /usr/lcoal/gdnsd/etc/gdnsd/config --- service_types => { icmp_monitor => { plugin => extmon, cmd => ["/usr/local/bin/gdnsd_monitor.pl", "%%ITEM%%", "80"], interval => 10, timeout => 4, up_thresh => 6, ok_thresh => 3, down_thresh => 3, } } plugins => { multifo => { tcp_80 => { service_types => icmp_monitor, up_thresh => 0.001, SERVERA => 1.1.0.1 SERVERB => 1.1.0.2 } } } 　 参考までに、実環境で利用している外部コマンド例を開示。 筆者はperlが一番慣れているので、下記例はperlを使っているが、 該当ポートへの接続性確認等ができれば、どの言語・スクリプトを利用しても問題無い。 # vi /usr/local/bin/gdnsd_tcp_mon.pl --- #!/usr/bin/perl $GLOBAL = $ARGV[0]; $PORT = $ARGV[1]; %LOCAL; $LOCAL{'1.1.0.1'} = "10.0.0.1"; $LOCAL{'1.1.0.2'} = "10.0.0.2"; $STATUS = system("/usr/bin/nc -w 1 $LOCAL{$GLOBAL} -z ${PORT}"); $STATUS = $STATUS >> 8; exit $STATUS;