PowerDNS, GUI, DNSSEC

  • Wenn Du interne Resolver betreiben willst, kannst Du die alle nur ans vLAN binden lassen und gut ist es. Das geht auch mit den bestehenden Servern, wenn der authorative DNS nur an die öffentlichen IPs bindet. Um Probleme mit der Namensauflösung der Clients zu verhindern, kannst Du mit keepalived auf dem vLAN den Resolver auf einer IP betreiben.

  • voja Wollen ist fraglich aber nur schon für den Lerneffekt sicher Interessant.

    Ich habe es bisher wie folgt angedacht:

    1 Server mit PowerDNS und PowerDNS-Admin als Master, welcher jedoch von aussen nicht erreichbar ist.

    2 bis 3 Slave Server mit PowerDNS

    Diese verwende ich als Nameserver. Dies funktioniert auch hervorragend.


    Wenn ich dich richtig verstehe, so würdest du den Internen Resolver mit den 2 bis 3 Slaves Server machen? Wie müsste ich da am besten vorgehen? Bitte entschuldige die eventuell blöde Frage. Ich bin mit PowerDNS jedoch noch am lernen und kenne bei weitem nicht alles. Das ist auch der Grund weshalb alles noch lange nicht Produktiv eingesetzt wird.


    Für das Failover müsste ich ja vermutlich einfach den TTL auf z.B: eine Sekunde setzen oder?

  • @OliverN Letztendlich musst Du entscheiden, was sinnvoll ist. Ich setze für recursive Resolver grundsätzlich auf unbound. Entweder bekommt jede VM den unbound installiert, mit Fallback auf die Default Nameserver, wenn unbound down geht, oder das Hostsystem hat den unbound installiert und alle VMs gehen darauf. Das ganze ist dann im Monitoring drin.


    Eine vorgefertigte Lösung für PowerDNS habe ich da nicht parat. Wenn du die Verfügbarkeit weiter erhöhen willst, wäre es auch gut sich vorher in dnsdist einzulesen, diese Software wird bevorzugt vor den eigentlichen recursive Resolver gesetzt. Ich habe diesen Plan aufgegeben, da ein Setup mit unbound für mich einfacher zu verwalten ist.


    Edit: wie der Failover aussieht, hängt vom endgültigen Setup ab. Darüber würde ich mir später Gedanken machen. Bei der Frage nach der TTL wirfst Du wieder authorative und recursive DNS durcheinander. Für das recursive Resolving werden IPs verwendet, es gibt daher keinen Hostnamen mit TTL.

  • Ich merke schon irgendwie komme ich um eine normale Failover IP kaum rum. Diese erleichtert es glaube ich sehr.

    Eine andere Alternative die ich jedoch noch nicht testen konnte wäre ein LUA Rekord welcher mit Power DNS 4.2 eingefügt wurde. Ggf wäre dies ja noch eine Lösung.

  • Zur Info falls es jemanden Interessieren könnte.


    Ich habe mir nun mal die Version 4.2 Alpha 1 installiertund folgenden DNS Eintrag erstellt.

    Code
    www    IN    LUA    A    "ifportup(443, {'192.0.2.1', '192.0.2.2'})"

    TTL ist auf 1. Das hat wunderbar funktioniert. Es gibt nur dann ein Problem, wenn beide IPs tot wären. Dann wechselt er die IPs immer durch.


    Für jemand der die Failover IP nur für das braucht ist das natürlich eine Hammer Möglichkeit.


    Ich denke dies geht auch mit dem MySQL Port. Das habe ich aber noch nicht versucht.


    So kann man eigentlich ein MariaDB Galera Cluster erstellen damit man nicht auf jedem einzelnen Server der eine DB braucht eine Installation braucht.