[GTER] Balanceamento de carga - BIND 9
Rubens Kuhl Jr.
rubensk at gmail.com
Thu Mar 31 02:53:46 -03 2005
> De fato eu acreditei também que não teria problemas. O que entendi
> no código (humildemente) é que todas as conexões são colocadas em hash
> numa tabela (tipo nat) para que então elas possam ser direcionadas
> para outro IP de destino (Estação -> Diretora -> Real Server (#1, #2,
> #3...). Eles puseram então estado nas conexões UDP. Eu imaginei o uso
Ah, agora entendi. Veja a referência que eu passei, ela não usa uma
diretora, mas os próprios real servers decidindo quem deve responder.
E eles fazem isso por critérios simples e estáticos de divisão de
carga, que também são stateless. No caso, apesar da consulta UDP ser
stateless, o balanceamento não é.
> Aproveitando, há como forçar o uso de um IP apenas para uso de
> consultas recursivas no BIND 9?
query-source address <ip> port <*> ;
> > Me parece que vc tinha um DNS autoritativo com número de zonas
> > suficientemente grande para justificar sincronismo automático da
> > configuração e não apenas das zonas em si.
>
> Não, foi o tal "legado" que fez com que o DNS fosse autoritário (pra
> zonas) e recursivo para usuários. É a situação não recomendada e, de
Então pq não deixar os mecanismo padrão do BIND de master/slave resolverem ?
> certo modo, perigosa. Adiante, acredito que isso terá que ser
> modificado pois, na iminência de algum furo de segurança, as zonas
> poderia ser comprometidas, visto que é um DNS muito "público", já que
> é utilizado por estações diretamente (além dos outros DNSses). Você
> saberia me dizer o que exatamente eu deveria ter medo nesse cenário?
> Só ouço dizer que "não é bom". Ainda assim, as consultas recursivas
> ficam pesadas para uma máquina só.
Contaminação dos dados autoritativos por dados obtidos através de
pesquisas recursivas é uma possibilidade. Ela depende de falhas no
software, mas nenhum software é perfeito, e o BIND já teve vários
desses problemas antes (apesar de que não me recordo de uma falha
desses no BIND 9).
Outro problema é disponibilidade: pode se imaginar muito mais maneiras
de consumir recursos de um servidor recursivo, o que afetaria o
serviço autoritativo.
Rubens
More information about the gter
mailing list