Выпуск PowerDNS Authoritative Server 4.1

Представлен значительный релиз авторитетного (authoritative) DNS-сервера PowerDNS Authoritative Server 4.1, предназначенного для организации отдачи DNS-зон. По данным разработчиков проекта PowerDNS Authoritative Server обслуживает примерно 30% доменов в Европе и 90% доменов в Европе, поддерживающих DNSSEC. Код проекта распространяется под лицензией GPLv2.

PowerDNS Authoritative Server предоставляет возможность хранения информации о доменах в различных базах данных, включая MySQL, PostgreSQL, SQLite3, Oracle, и Microsoft SQL Server, а также в LDAP и обычных текстовых файлах в формате BIND. Отдача ответа может быть дополнительно отфильтрована (например, для отсеивания спама) или перенаправлена при помощи подключения собственных обработчиков на языках Lua, Java, Perl, Python, Ruby, C и C++. Из особенностей также выделяются средства для удалённого сбора статистики, в том числе по SNMP или через Web API (для статистики и управления встроен http-сервер), мгновенный перезапуск, встроенный движок для подключения обработчиков на языке Lua, возможность балансировки нагрузки с учётом географического местоположения клиента.

Основные новшества:

  • Проведена большая работа по увеличению производительности. Например, в результате переработки системы кэширования скорость выполнения некоторых видов запросов при работе в роли корневого сервера, обслуживающего сотни тысяч доменов, возросла до 4 раз. Кроме того более чем в два раза увеличена скорость генерации пакетов, оптимизирован процесс выделения памяти, расширено кэширование данных с бэкендов, добавлены дополнительные индексы для данных в бэкендах;
  • Обеспечен полный набор средств для управления ключами шифрования и настройками DNSSEC через RESTful API. Из достоинств нового API называется возможность управления зонами с DNSSEC без оглядки на особенности DNSSEC;
  • Добавлена поддержка механизма быстрого открытия TCP-соединений (TFO - TCP Fast Open, RFC 7413), который позволяет сократить число шагов установки соединения за счёт комбинирования в один запрос первого и второго шагов классического 3-этапного процесса согласования соединения и даёт возможность отправки данных на начальном этапе установки соединения;
  • Возможность привязки к нелокальным сетевым адресам (non-local-bind), например, можно привязать обработчик к пока отсутствующему на сетевом интерфейсе IP при настройке отказоустойчивых конфигураций;
  • Поддержка криптографической библиотеки Botan 2.x и прекращение поддержки Botan 1.10;
  • Включена поддержка спецификации PKCS #11 для доступа к криптографическим устройствам и смарткартам (ранее для поддержки PKCS #11 требовалась перекомпиляция);
  • Расширено число проблем, выявляемых командой "pdnsutil check-zone";
  • Улучшена интеграция с системой ведения логов systemd;
  • Изменена логика отслеживания обрывов соединения с СУБД, что позволило снизить задержки на установку повторного соединения. Структуры хранения данных в СУБД переведены на использование 64-разрядных идентификаторов;
  • Удалена поддержка проброса запросов для резолвинга через рекурсивный DNS-сервер PowerDNS Recursor (опция "recursor="). В качестве причин называется неверная трактовка данной возможности многими администраторами, что часто приводит к непредсказуемым результатам (например, когда запрос заканчивается ссылкой на CNAME). Для двух типовых применений проброса на рекурсивный сервер (использование авторитетного сервера как рекурсивного с несколькими приватными зонами или одновременное использования для резолвинга запросов клиентов и обслуживание общедоступных зон) подготовлена инструкция по решению данных задач другими способами.
  • Расширены возможности бэкенда для хранения зон в текстовых файлах в формате BIND (например, добавлена поддержка зон с типом "native"), а также скрипта для миграции зон из BIND в хранилища на базе СУБД;
  • Переработан бэкенд для хранения DNS-зон в LDAP;


12/01/2017 04:20:37
0

комментарии (0)