[GTER] Virtualização Servidores DNS

[Rubens Kuhl]

2014-07-14 11:35 GMT-03:00 Douglas Fischer <fischerdouglas at gmail.com>:

> Rubens,
> sobre o "não valer a pena" separar o recursivo do autoritativo em VMs
> diferentes, rodando ambos em instâncias diferentes de engine de DNS no
> mesmo servidor.
>
> Imagino que se refira ao aspecto do custo computacional adicional, por
> serem do OSs...
>
> Mas lembro do ponto de vista do gerenciamento isso pode ser muito
> interessante.
> Alguma coisa como:
> "Caro estagiário, ESSE é o DNS autoritativo dos domínios de nossos
> clientes...
>  Portanto NÃO FAÇA LAMBANÇAs..."
>


Se você vai precisar prevenir sua infra-estrutura contra esse tipo de
ameaça, vai precisar bem mais do que virtualização para conter esse
problema... eles também podem mandar VMs pro /dev/nul, deixá-las com 0% do
scheduler... antigo provérbio chinês (talvez seja do Lao Dantong...) dizia
que quando um idiota joga uma pedra n'água, nem dez sábios conseguem
encontrá-la.


>
> Sobre a banda de acesso a memória
> Salvo engano, em soluções como Jails e Container não existe overhead nos
> dados passantes nesse ponto, certo?
>
>

Jail só ajuda a rodar o mesmo daemon como autoritativo e recursivo, mas
ainda vai requer que um deles ouça no IP A e outro no IP B, o que é
basicamente a solução original. Como é mais usual ter daemons diferentes
(ex: BIND para autoritativo e Unbound para recursivo), não ajuda muito.

Sim, mecanismos de containers como LXC e OpenVZ não sofrem desse problema,
mas precisa ver como eles vão lidar com a parte de rede, da qual todo net
daemon é bem dependente.


Rubens