2016年6月24日、秋葉原UDX Conferenceにて開催されたDNS Summer Day 2016に参加しました。
3人掛けの席に3人+両サイドに補助席の大盛況でした。最前列前に地べた、とか治安悪くはならなかったのはWeb系との文化の違い?
Web系よりはるかに、運用系よりも少々、JANOGと同じくらい、高めの年齢層という感じでした。
DNSOpsのサイトにて各公演資料も公開されているので、
質疑応答や感想を中心にまとめておきます。
3人掛けの席に3人+両サイドに補助席の大盛況でした。最前列前に地べた、とか治安悪くはならなかったのはWeb系との文化の違い?
Web系よりはるかに、運用系よりも少々、JANOGと同じくらい、高めの年齢層という感じでした。
DNSOpsのサイトにて各公演資料も公開されているので、
質疑応答や感想を中心にまとめておきます。
本イベントでは海外のテック系イベントやJANOGで見られるような、
「言いたいことある人はスタンドマイクのとこに並べ」形式を取っていたので
感想コメントも多く聞かれる特徴があります。
◎午前の部「BINDからの卒業」
今年はこれが聞きたくて参加しました。
ひと月前に行われた、JANOG US Regional Meeting #2の神明さんのBIND9に関する発表も見て万全での参加です。
内容もさることながら、みなさんはどのくらい卒業済みでどこに進級したのかなぁ、と。
個人的に応援しているYADIFAは議題に上がりませんでしたが、うん、まあ、まだそうかもね。
ひと月前に行われた、JANOG US Regional Meeting #2の神明さんのBIND9に関する発表も見て万全での参加です。
内容もさることながら、みなさんはどのくらい卒業済みでどこに進級したのかなぁ、と。
個人的に応援しているYADIFAは議題に上がりませんでしたが、うん、まあ、まだそうかもね。
Q&A
Q. PowerDNSの比較ベンチマークで使った環境のOSは?
A. CentOS 7
A. CentOS 7
Q. Unboundとdig +traceが相性悪いallow_snoop問題はdigを直せばいいのでは?
A. じゃあ藤原さんお願いします
A. じゃあ藤原さんお願いします
Q. BINDのコードを見てるとあれをメインで使うのは良くない気が
A. じゃあ卒業しましょう
私の感想: OpenSSL..
A. じゃあ卒業しましょう
私の感想: OpenSSL..
Q. 卒業ではなく兼用併用に進むべきでは?
A. おっしゃる通り
補足: DNS Diversityってやつですね
A. おっしゃる通り
補足: DNS Diversityってやつですね
Q. BINDから卒業しちゃうとBINDで訊かれた時に答えられなくなるじゃないか
A. 「ウチはBINDじゃないので対象外ですキリッ」で
私の感想: すごく日本っぽいけど弊社も言いそう
A. 「ウチはBINDじゃないので対象外ですキリッ」で
私の感想: すごく日本っぽいけど弊社も言いそう
コメント. DoSられるとツライよね。特にキャプチャ..
コメント. DNS-WGとか行くと面白いよ!
Q. 権威サーバーで、TLDのような大きなゾーンを管理する場合とセカンダリーのように小さいゾーンをたくさん管理する場合とで向き不向きはあるか?
A. NSD -- ベンチマーク的にはそれほど差はなく、どちらにも使えそう。
ただしゾーンのコンパイルにはそれなりの時間を要する
PowerDNS -- その観点でベンチマークしたことは無いがSQLなのでそれほど差は無さそう
A. NSD -- ベンチマーク的にはそれほど差はなく、どちらにも使えそう。
ただしゾーンのコンパイルにはそれなりの時間を要する
PowerDNS -- その観点でベンチマークしたことは無いがSQLなのでそれほど差は無さそう
Q. なぜBINDの脆弱性は致命的なものが多いのか?
A. サービスが落ちるだけであって「リモートから任意のコードを実行される」ではないのでマシかも
A. サービスが落ちるだけであって「リモートから任意のコードを実行される」ではないのでマシかも
Q. NSDの動的ゾーン追加で内容が不正な場合の挙動は?
A. 読み込み失敗の場合はエラーになって終わり
A. 読み込み失敗の場合はエラーになって終わり
Q. PowerAdmin GUIの使用感は楽になるor面倒?
A. プロは面倒に感じるところもあるかも
私の補足: プロ向けや自動化用のCLIと、作業の委譲用GUIと両方欲しいですよね。
Webmin?あの子ゾーン内容をソートしますし..
A. プロは面倒に感じるところもあるかも
私の補足: プロ向けや自動化用のCLIと、作業の委譲用GUIと両方欲しいですよね。
Webmin?あの子ゾーン内容をソートしますし..
Q. ベンチマークNSDのチューニングが甘いのでは?
A. そうかもしれません
A. そうかもしれません
コメント. DNSSECとかの機能にmoduleでの対応を意図している感じがする
コメント. Diversityな環境にすると運用負荷増えるような
Q. BINDから乗り換えるモチベーションは何?
A. 脆弱性が一番ですね。対応のためにrestartしてる時も一瞬落ちるわけですし
A. 脆弱性が一番ですね。対応のためにrestartしてる時も一瞬落ちるわけですし
Q. ログ出力によるパフォーマンスの劣化は?
A. syslog経由ですがちょっとはありそう
私の感想: わかる。HDD性能が良くない環境で、クエリ毎秒が50分の1くらいに落ちた経験があります
A. syslog経由ですがちょっとはありそう
私の感想: わかる。HDD性能が良くない環境で、クエリ毎秒が50分の1くらいに落ちた経験があります
コメント. MS DNSが挙がっていないが、開発版はそれなりに出来が良さそう
コメント. US vs EUとか英語圏 vs 非英語圏のような実装の対立を感じる
私の感想: NLnetLabとかもあって「なぜオランダはDNS開発してしまうのか問題」とかあった記憶が。
YADIFAはEURidによる開発なのでEURid本部のベルギーという位置付けのようです
私の感想: NLnetLabとかもあって「なぜオランダはDNS開発してしまうのか問題」とかあった記憶が。
YADIFAはEURidによる開発なのでEURid本部のベルギーという位置付けのようです
コメント. 権威/再帰相乗り問題の対応は難しい。RDbitを見るんしても権威はフルオープンにせざるを得ない
コメント. アップデート提供ベンダーに過度に期待しない方が良い?脆弱性情報などはtwitterを追ってる方が得られる時代
私も2つ質問しました。
Q1. PowerDNSのGUIと言えばAtomiaDNSだった記憶があるが勢力図が変わったのか?
元ネタ: DNSSEC2012スプリングフォーラム
A1. 今回は日本語が使えるのを重視してPowerAdminを選定
私の補足: 公式サイトの関連ツールにAtomia載ってないんですね..
元ネタ: DNSSEC2012スプリングフォーラム
A1. 今回は日本語が使えるのを重視してPowerAdminを選定
私の補足: 公式サイトの関連ツールにAtomia載ってないんですね..
Q2. 「BINDからの移行ツール」って意外とうまくいかなかったりしません?
補足: 某商用製品での苦戦を念頭に置いています
A2. PowerDNSの移行ツールも100%対応、というわけではありません
補足: 某商用製品での苦戦を念頭に置いています
A2. PowerDNSの移行ツールも100%対応、というわけではありません
午前の感想: どの実装でもクエリログの扱い触れていましたが、出力ログ+解析環境のセットが整っていないのがツライですよね。
dnstapがその解になるのか、キャプチャ+dscで頑張れ、が続くのか。
あと「BINDベースの商用製品」を使ってるのはBINDを卒業したのか、お金を払って沼に入ってるのか。
あと「BINDベースの商用製品」を使ってるのはBINDを卒業したのか、お金を払って沼に入ってるのか。
◎午後の部「トレンド」
逆引きDNSとその他の話題
Q. 3月のAPNIC障害は誤ったDSを載せちゃったと思われるが、IANA側での確認チェックは?
A. 詳しい人が懇親会に出るのでそちらで..
A. 詳しい人が懇親会に出るのでそちらで..
平成28年熊本地震と権威DNSサーバー
Q. キャッシュはどうなっていたか。ローカルキャッシュを見ていたとか
A. TTL 300だったので多分正しく切れていたはず
A. TTL 300だったので多分正しく切れていたはず
コメント. 非常時にNS切り替えはアリなのか?
コメント. 非常時には裏技でexpireを長~くしてしのいだこともあります by 大手プロバイダ
Q. ウェブサイトのIPアドレスはNSのレンジとは別だった?
A. そのようでした。ウェブサイトはDCのレンジにあるようです
A. そのようでした。ウェブサイトはDCのレンジにあるようです
私のコメント. zonemasterではDNSはASも分けて配置しようとアドバイスされます。それ割と難しいぞ
DNS水責め(Water Torture)攻撃対策と動向について 2016
Q. サーバー寄りの対策が多いがバランサーでは何かやっているか?
A. バランサーでは水責めに特化した対策はしていない
高rateなもののみ制限している
A. バランサーでは水責めに特化した対策はしていない
高rateなもののみ制限している
Q. 「高ヒット率」とはフィルタを通過したものが多いということか?
A. オープンリゾルバのリストにハズレが多かったのが、精度の高いリストに更新されたのではないか
A. オープンリゾルバのリストにハズレが多かったのが、精度の高いリストに更新されたのではないか
IP53Bはじめました
対応お疲れさまでした....
◎全体雑感
「BINDをやめられない理由アンケート」のコーナーはかなりぶった切り感があって、
困ってる人向けというよりは分かってる人が情報をアップデートしたりあるある感を楽しむ感じもしました。
そんな中「(今時のバージョンとスペックならば || よっぽどな大規模でカリカリにチューニングしてるのでなければ) パフォーマンスはBINDからの乗り換え理由にはならない」というのは一つ情報のアップデートになりました。 NSDやKnot(やYADIFA)のようにTLDでの使用をベースにした実装が多いのでベンチマーク情報が示されることが多いですからね。
その意味ではPowerDNSはちょっと立ち位置違って面白いのかなと思います。 ただPowerDNS、というか買収したOpenXchangeが数年前から妙にやる気というか商売意欲を出してる感が気になったり。
(ちなみにDebian系使ってるとpdnsというパッケージ名の方が略称としてもなじみがあるのですが、文中はPowerDNSの表記に統一しています)
そんな中「(今時のバージョンとスペックならば || よっぽどな大規模でカリカリにチューニングしてるのでなければ) パフォーマンスはBINDからの乗り換え理由にはならない」というのは一つ情報のアップデートになりました。 NSDやKnot(やYADIFA)のようにTLDでの使用をベースにした実装が多いのでベンチマーク情報が示されることが多いですからね。
その意味ではPowerDNSはちょっと立ち位置違って面白いのかなと思います。 ただPowerDNS、というか買収したOpenXchangeが数年前から妙にやる気というか商売意欲を出してる感が気になったり。
(ちなみにDebian系使ってるとpdnsというパッケージ名の方が略称としてもなじみがあるのですが、文中はPowerDNSの表記に統一しています)
BINDは脆弱性の数も課題ですが、これまでニュースになりすぎたためにユーザーやカスタマーも敏感になって
過度の騒ぎや対応になってしまっているのも問題だと感じています。
看板の付け替えだけでは本質的な解決にはならないですが、PowerDNSも4.0がリリースされましたし
今回ちょい役だったKnot DNSがResolver実装も出してきたりLTのXACKさんだったり、現実的な選択肢は増えていると思うので
ユースケースや全体の構成例といった情報が増えてそれぞれに最適なDNS環境が作られていくといいなと感じました。
0 件のコメント:
コメントを投稿