Организация Internet Systems Consortium анонсировала (https://www.isc.org/about/pr/2009042200) начало работы над версией DNS сервера BIND 10 (http://www.isc.org/bind10), разработку которой планируется завершить через 5 лет. О поддержке создания новой ветки уже объявили такие компании-регистраторы как AFNIC (Франция), CIRA (Канада), JPRS (Япония) и SIDN (Голландия). Ветка BIND 10, идущая на смену начавшего свое развитие в 1998 году релиза BIND 9, будет переведена на полностью модульную структуру, с выносом резолвера, подсистем для хранения данных и кода для обслуживания DNS зон в независимые модули.Некоторые идеи (http://www.isc.org/bind10/project), которые планируется реализовать в BIND 10:
- Увеличение надежности, повышение стойкости к DoS атакам и способность работать до последнего, игнорируя возникающие ошибки (например, некорректные записи в DNS зонах);
- Реализация возможности акселерации через схему бэкенд-фронтенд;
- Не привязанность к конкретной модели хранени...URL: https://www.isc.org/about/pr/2009042200
Новость: http://www.opennet.me/opennews/art.shtml?num=21421
Хрошая традиция раз в 10 лет переписывать бинд с нуля надеясь на то, что *в этом релизе* все проблемы предыдущего будут наконец решены...
>Хрошая традиция раз в 10 лет переписывать бинд с нуля надеясь на
>то, что *в этом релизе* все проблемы предыдущего будут наконец решены...Ну, если они сделают все как написано - некоторые проблемы и правда решатся.Правда, черт побери, какое ж это будет монстрило... :)
Значит первая версия вышла 90 лет назад? :)
>Не привязанность к конкретной модели хранения данных, подключение обработчиков хранилищ через модули.С этого надо было начинать версию 1, а не 10.
>>Не привязанность к конкретной модели хранения данных, подключение обработчиков хранилищ через модули.
>
>С этого надо было начинать версию 1, а не 10.лучшие игроки, как обычно, сидят на зрительских трибунах.
>>>Не привязанность к конкретной модели хранения данных, подключение обработчиков хранилищ через модули.
>>
>>С этого надо было начинать версию 1, а не 10.
>
>лучшие игроки, как обычно, сидят на зрительских трибунах.Если вам нравится bind, это означает, что вы не только в футбол играть не умеете, но и вообще болельщик никакой.
>>>>Не привязанность к конкретной модели хранения данных, подключение обработчиков хранилищ через модули.
>>>
>>>С этого надо было начинать версию 1, а не 10.
>>
>>лучшие игроки, как обычно, сидят на зрительских трибунах.
>
>Если вам нравится bind, это означает, что вы не только в футбол
>играть не умеете, но и вообще болельщик никакой.Вот блин, а мужики-то (корневые сервера) не в курсе.
>Вот блин, а мужики-то (корневые сервера) не в курсе.В курсе. Но заменить нечем.
>>Вот блин, а мужики-то (корневые сервера) не в курсе.
>
>В курсе. Но заменить нечем.Включив моск ты с удивлением осознаешь что это как раз и означает что bind - лучший! В независимости от твоей степени любви к нему :-)
У меня мозг включен всегда, а не время от времени, как у вас. То, что bind с грехом пополам решает проблему корневых серверов, не означает что он - лучший.
>>>>>Не привязанность к конкретной модели хранения данных, подключение обработчиков хранилищ через модули.
>>>>
>>>>С этого надо было начинать версию 1, а не 10.
>>>
>>>лучшие игроки, как обычно, сидят на зрительских трибунах.
>>
>>Если вам нравится bind, это означает, что вы не только в футбол
>>играть не умеете, но и вообще болельщик никакой.
>
>Вот блин, а мужики-то (корневые сервера) не в курсе.в курсе
k.root-servers.net h.root-servers.net и l.root-servers.net уже ушли от бинда
Так начните, пока не позно, а то без ну не как не могут зделать нормальный DNS сервер, который будет обслуживать миллионы транзакцией в секунду.
>Так начните, пока не позно, а то без ну не как не
>могут зделать нормальный DNS сервер, который будет обслуживать миллионы транзакцией в
>секунду.1) Учите русский
2) Сервер, обслуживающий миллионы транзакций в секунду есть вещь гораздо более экзотическая, чем сервер, которому нужна интеграция с удобным бэкендом.
>Так начните, пока не позно, а то без ну не как не могут зделать нормальный DNS сервер, который будет обслуживать миллионы транзакцией в секунду.3) Учите матчасть: DNS не делает транзакций. Ознкомьтесь с понятием "транзакция".
Почему бы и нет, что в этом плохого? Вон Mozilla уже 10 лет пилит своё чудо, тянет только груз ужасного кода от прошлых разрабов, вместо того, чтобы взять всё и переписать с нуля.
>Почему бы и нет, что в этом плохого? Вон Mozilla уже 10
>лет пилит своё чудо, тянет только груз ужасного кода от прошлых
>разрабов, вместо того, чтобы взять всё и переписать с нуля.угу, и получится как той присказке: bind - хорошая ось, но хреновый DNS.
>Почему бы и нет, что в этом плохого? Вон Mozilla уже 10
>лет пилит своё чудо, тянет только груз ужасного кода от прошлых
>разрабов, вместо того, чтобы взять всё и переписать с нуля.Нетшкаф уже переписал в свое время с нуля... где он теперь?
> планируется завершить через 5 летАхтунг то какой. Они что операционную систему на базе BIND хотят написать?
А нахрена с нуля то?????? Почему бы постепенно не внедрять функционал/переписывать какие-то неудачные решения/увеличивать модульность/стабильность итд по пунктам????
Я уверен что постепенно переписывать получится быстрее/дешевле/стабильнее
Может я отстал от жизни.. но всё таки...что это ?Может всё таки Авторитарный или хотя бы Портативный :)
>Может я отстал от жизни.. но всё таки...что это ?
>
>Может всё таки Авторитарный или хотя бы Портативный :)http://ru.wikipedia.org/wiki/DNS-сервер "авторитативный DNS-сервер — сервер, отвечающий за какую-либо зону"
Это правильно. А то код там ужасен - в свое время хакал его на предмет игнорирования TTL.
хакал)))как громко сказано)) править исходники в мире никсов по-моему обычное дело)
Все правильно. Хороший продукт тот - который 3 раза переписывали с нуля.Со временем меняются технологии, принципы, подходы. Остаются решаемые задачи. Полагаю очень не плохо инициировать разработку нового релиза и допиливать неспеша. Без шуму и пыли.
Нет ничего идеального. Есть то, что вам более всего подходит сейчас и в среднесрочной перспективе.
Окончательно убедился что дни BIND сочтены. Лидером будет другой.
>Окончательно убедился что дни BIND сочтены. Лидером будет другой.Антон Городецкий?
>Окончательно убедился что дни BIND сочтены.И сколько ему осталось?
>Лидером будет другой.
Кто?Покажите его?А всякие бизнесы еще и dnssec и прочая скоро видимо очень настойчиво захотят, особенно с учетом принципиальных дыр в DNS которые по сути дыры протокола и фиксами на 100% не лечатся а только снижается вероятность.Списочек кандидатов в лидеры будет ой какой куцый в результате...
В центральной Европе совсем другой, локальный, лидер. PowerDNS. Впрочем, и у него дохрена недостатков. Отсутствие вьюх, например. Но мне кажется, ребятам из команды разработки PowerDNS на реализацию этих фич нужно значительно меньше, чем 5 лет.
>В центральной Европе совсем другой, локальный, лидер.Просто уже сейчас есть некий спрос на dnssec и IPv6 и дальше будет только больше. Через несколько лет будет актуально. И если верить http://en.wikipedia.org/wiki/Comparison_of_DNS_server_softwa... - он умеет и то и другое только частично. А это зря.
PowerDNS до сих пор, вот уже как несколько лет, не может даже веб-морду переписать под PHP5 и структуру БД сделать нормальной.
>PowerDNS до сих пор, вот уже как несколько лет, не может даже
>веб-морду переписать под PHP5 и структуру БД сделать нормальной.1. powerdns не пишет веб-морду;
2. структура db можете исправить на "нормальную" сами.
>>Лидером будет другой.
>Кто?Покажите его?А всякие бизнесы еще и dnssec и прочая скоро видимо очень настойчиво захотят, особенно с учетом принципиальных дыр в DNS которые по сути дыры протокола и фиксами на 100% не лечатся а только снижается вероятность.Списочек кандидатов в лидеры будет ой какой куцый в результате...Ну, например пара серверов ubound и nsd. Причём, что характерно, nsd работает на нескольких корневых серверах. То, что bind и рекурсивный кэш и авторитативный сервер одновременно - его жирный минус.
на нескольких? посмотрите правде в глаза - на 3х. Кто на остальных вы сами догадываетесь.
Правда можно гадать на каких зеркалах корневых серверов какой днс пользуется, но думаю сравнение тоже будет не в пользу nsd.
Качество и надежность конкретного ДНС сервера определяется тем, используют ли его на корневых серверах или нет, а если кспользуют, то на каком количестве корневых серверов лн установлен? Значит (смотрим правде в глаза), по всему получается, что бинд - конфетка?
Нет. Бинд - далеко не конфетка! Он скорее 60-ти тонный паровой молот.
В корпоративке его использовать совсем не обязательно, но кагда сеть B-class'а тебе станет мала с удивлением поймешь что тебе хочется не конфеток .... а 60-ти тонного парового молота :) ISC как раз их и делает. Просто теперь будет не цельнолитой а собранный из модулей, декоративную решетку из 3-х сантиметрового чугуна заменят люминевой и.т.д.IMHO чистой воды, но вот такой у меня сложился взгляд на всё это ....
>на нескольких? посмотрите правде в глаза - на 3х. Кто на остальных
>вы сами догадываетесь.
>Правда можно гадать на каких зеркалах корневых серверов какой днс пользуется, но
>думаю сравнение тоже будет не в пользу nsd.Количество инсталляций мало что говорит о качестве продукта. Ваши аргументы настолько же убедительны, насколько убедительна фраза: "Миллионы мух не могут ошибаться - г..вне что-то есть."
>Количество инсталляций мало что говорит о качестве продукта.Именно большое число - когда как.Обычно софт с большим числом инсталляций как минимум в меру отлажен (путем массовых опытом на хомячках) и делает все в более-менее общепринятом виде так что геморроя будет немного.Наиболее оптимальным по ресурсам, безглючности или там чему еще - может и не быть.Приемлимым - будет (иначе хомя).
А вот малое количество пользователей может свидетельствовать о наличии каких-то потенциальных проблем у софтины.Может впрочем свидетельствовать и о куче иных факторов.
Где-то я это уже все видел... Ах, да! PowerDNS! BIND фпечь.
ПНХ. В корпоративке - да. На корневике умрёт в первые 30 секунд.
>ПНХ. В корпоративке - да. На корневике умрёт в первые 30 секунд.Вообще-то товарищ пошутить попытался, но сам того не ожидая, сказал правду. Многие провайдеры хорошо знают на собственной шкуре недостатки BIND 9 как кэширующего рекурсивного DNS.
При нехватке памяти BIND запускает процедуру поиска устаревших записей. В этот момент он практически перестаёт отвечать на запросы. Разработчики BIND пытались прикрутить патч а-ля "не искать для удаления более 1000 записей и не запускать процедуру очистки чаще 10 секунд", это слегка облегчило ситуацию, но не сильно.
>ПНХ. В корпоративке - да. На корневике умрёт в первые 30 секунд.
>Так вот. Продолжаю. Эти провайдеры пробовали PowerDNS и, о чудо, он с нагрузкой справлялся на ура!
И, не знаю у кого как, а из моей памяти ещё не успела испариться вот эта не очень давняя новость: http://www.opennet.me/opennews/art.shtml?num=17337
PowerDNS не был подвержен этой уязвимости, потому что на каждый запрос создаёт отдельный поток, ЕМНИП. Поправьте, если я ошибаюсь.
Ещё одна неприятная, хотя и не особо критичная, фигня BIND'а в том, что он является одновременно и кэширующим и авторитативным сервером. Из-за этого внешние пользователи могут получать не только авторитативные DNS-записи, но и записи из кэша BIND.
Ну есть ещё и всякие разные менее неприятные вещи вроде монолитной архитектуры, в которой все задачи по переносу зон, кэшированию, резолвингу рекурсивных запросов решаются в одном большом бинарнике. Ну и встроенный HTTP, отдающий XML-файл со статистикой тоже не очень вписывается в идеологию Unix и её модульный подход а-ля "разделяй и властвуй". Передачу зон можно осуществлять rsync'ом, cvs'ом, ftp, ssh по cron'у. Статистику можно складывать в каталог, а уж выдавать этот файл по HTTP - задача веб-сервера. Кеширование и обслуживание авторитативных зон - тоже разные задачи, которые можно разделить. И т.п. В общем, претензий к нему много напридумывать...
>PowerDNS не был подвержен этой уязвимости, потому что на каждый запрос создаёт
>отдельный поток, ЕМНИП. Поправьте, если я ошибаюсь.Ошибаюсь, PowerDNS тоже FSM.
>Так вот. Продолжаю. Эти провайдеры пробовали PowerDNS и, о чудо, он с нагрузкой справлялся на ура!На корнях? Да ты бредишь! В корпоратике PowerDNS юзать можно и там я против него мало что имею.
>PowerDNS не был подвержен этой уязвимости, потому что на каждый запрос создаёт
>отдельный поток, ЕМНИП. Поправьте, если я ошибаюсь.Дык вроде кто то из наших и его накрывал медным? ... или привиделось? Некто полякофф?
[... тут был перечень недостатков бинда ...]
Да кто ж спорит то? Всё так - всё правда. Но - посмотри в новости чего они собрались делать? Там весь Ваш список :)
>>Так вот. Продолжаю. Эти провайдеры пробовали PowerDNS и, о чудо, он с нагрузкой справлялся на ура!
>На корнях?Не на корнях, а на кэширующих рекурсорах.
По сути корни занимаются очень простой задачей. У них есть одна (не очень большая) зона, поэтому памяти на хранение информации зоны им много не надо. Основная память расходуется на запоминание ещё не обслуженных клиентов. После обслужывания вся информация о клиенте со свистом вылетает, фигурально выражаясь, в /dev/null. Процессор по сути занимается поиском информации в памяти и обслуживанием сетевой подсистемы - особо сложной нагрузки на него тоже не приходится.
Корневых DNS-серверов не 13, как говорят легенды. У корневых DNS-серверов 13 IP-адресов - это правда, самих же корневиков до пи..ды. В России расположены два узла двух разных unicast-кластеров: в Москве и Новосибирске. В результате нагрузка не хило распределяется по узлам.
Кэширующий рекурсор требует много памяти во-первых на хранение кэша, во-вторых на хранение информации о ещё необслуженных клиентах. Кэш содержит информацию не из одной небольшой зоны, а из тысяч разных зон, и не порядка сотни записей, а несколько десятков-сотен тысяч записей, поэтому кэш занимает больше памяти, нежели на корневиках. Поскольку выполнение рекурсивного запроса ограничено не скоростью поиска в памяти, а временем получения ответа от другого DNS-сервера, выполнение запроса может затянуться довольно надолго. Не мудрено, что вторая таблица тоже имеет довольно большой размер. Один сервер в провайдерской сети может обслуживать сеть размером x.x.x.x/16 - не хило...
А теперь подумайте, нагрузка на какой из типов серверов сложнее. В первом случае нагрузка очень простая и легко распараллеливается, всё, что требуется от DNS-сервера - это быстро найти в своей памяти нужный ответ. Фактически его производительность больше определяется пропускной способностью канала связи. Во втором случае, распараллелить нугрузку можно, но тогда теряется эффективность кэширования. Нагрузка на кэширующий рекурсивный DNS-сервер более сложная, она грузит разные подсистемы - сеть, память, процессор.
>Да ты бредишь!
Нет.
>В корпоратике PowerDNS юзать можно и там я против него мало что имею.
Почему он не годится для других областей применения (пусть для тех же корневых DNS-серверов) объективно никто не обосновал.
>[оверквотинг удален]
>>отдельный поток, ЕМНИП. Поправьте, если я ошибаюсь.
>
>Дык вроде кто то из наших и его накрывал медным? ... или
>привиделось? Некто полякофф?
>
>[... тут был перечень недостатков бинда ...]
>
>Да кто ж спорит то? Всё так - всё правда. Но -
>посмотри в новости чего они собрались делать? Там весь Ваш список
>:)Ждать надо, это главный недостаток :-/. А за пять лет уже остальные DNS-серверы разовьются. По крайней мере меня в перспективе могут заинтересовать ubound и nsd.
>ПНХ. В корпоративке - да. На корневике умрёт в первые 30 секунд.
>Вот и источник про BIND 9, MaraDNS и PowerDNS нашёл: http://linuxopen.ru/2008/05/26/kjeshirujushhie-rekursivnye-d...
> Просто уже сейчас есть некий спрос на dnssec и IPv6 и дальше будет только больше. Через
> несколько лет будет актуально.IPv6 уже давольно таки давно ну очень очень акутуально.
С роадмапом где написано "ну может быть лет через пять мы что то таки сделаем неизвестно что" дни BIND сочтены - imho. Это говорит о том что девелоперов у него мало, и они особо никуда не торопятся. Сидит один человек попивая кофе и никуда не торопится. За пять лет в it все может очень сильно поменяться.
> позволит создавать компактные версии bind, подходящие для использования во встраиваемых
> устройствах с ограниченными ресурсамиЭто ну пипец какая важная задача.
>Поддержка кластеризации: интеграция технологий, позволяющих организовать работу как >единого целого нескольких копий BIND, размещенных на разных серверах;
И этого ждать 5 лет? Я этим вопросом не интересовался но я более чем уверен есть подобные рабочие решения уже сегодня.
http://kb.linuxvirtualserver.org/wiki/Building_Scalable_DNS_...
>С роадмапом где написано "ну может быть лет через пять мы что
>то таки сделаем неизвестно что" дни BIND сочтены - imho. Этоа мне нравится подход "мы не спеша спустимся с холма и переимеем все стадо" :)
код bind9 воистину ужасен - если его перепишут, я буду только за
>Это ну пипец какая важная задача.Так, на поржать - в миллионах устройств нынче есть DNS-сервера.Как минимум - в роутерах, модемах и прочая есть DNS сервер-форвардер-прокси (нынче на основе Dnsmasq как правило).Так что если вы не знали что это важная задача - сюрприз!А ведь может так оказаться что небольшой DNS серверок уж давно у вас стоит на столе, etc а вы и не подозревали :)