[GTER] Balanceamento de carga - BIND 9

Gerson Abdon Caldeira gersonagc at gmail.com
Thu Mar 31 10:22:27 -03 2005


On Mar 31, 2005 2:53 AM, Rubens Kuhl Jr. <rubensk at gmail.com> wrote:
> >    De fato eu acreditei também que não teria problemas. O que entendi
> > no código (humildemente) é que todas as conexões são colocadas em hash
> > numa tabela (tipo nat) para que então elas possam ser direcionadas
> > para outro IP de destino (Estação -> Diretora -> Real Server (#1, #2,
> > #3...). Eles puseram então estado nas conexões UDP. Eu imaginei o uso
> 
> Ah, agora entendi. Veja a referência que eu passei, ela não usa uma
> diretora, mas os próprios real servers decidindo quem deve responder.
> E eles fazem isso por critérios simples e estáticos de divisão de
> carga, que também são stateless. No caso, apesar da consulta UDP ser
> stateless, o balanceamento não é.
> 

Vou dar uma olhada naquele documento. A solução parece ser bem interessante.

> >    Aproveitando, há como forçar o uso de um IP apenas para uso de
> > consultas recursivas no BIND 9?
> 
> query-source address <ip> port <*> ;

Desculpe, perguntei por impulso... poderia ter visto no manual (RTFM...).

> 
> > > Me parece que vc tinha um DNS autoritativo com número de zonas
> > > suficientemente grande para justificar sincronismo automático da
> > > configuração e não apenas das zonas em si.
> >
> > Não, foi o tal "legado" que fez com que o DNS fosse autoritário (pra
> > zonas) e recursivo para usuários. É a situação não recomendada e, de
> 
> Então pq não deixar os mecanismo padrão do BIND de master/slave resolverem ?
> 

Não entendi. Fazer o sincronismo das zonas dos real servers usando
atualizações de zona? Teríamos que mudar o "type" de alguns deles...
não acha que isso seria muito trabalhoso?

> > certo modo, perigosa. Adiante, acredito que isso terá que ser
> > modificado pois, na iminência de algum furo de segurança, as zonas
> > poderia ser comprometidas, visto que é um DNS muito "público", já que
> > é utilizado por estações diretamente (além dos outros DNSses). Você
> > saberia me dizer o que exatamente eu deveria ter medo nesse cenário?
> > Só ouço dizer que "não é bom". Ainda assim, as consultas recursivas
> > ficam pesadas para uma máquina só.
> 
> Contaminação dos dados autoritativos por dados obtidos através de
> pesquisas recursivas é uma possibilidade. Ela depende de falhas no
> software, mas nenhum software é perfeito, e o BIND já teve vários
> desses problemas antes (apesar de que não me recordo de uma falha
> desses no BIND 9).
> 
> Outro problema é disponibilidade: pode se imaginar muito mais maneiras
> de consumir recursos de um servidor recursivo, o que afetaria o
> serviço autoritativo.
> 

Sim... obrigado pela luz! :)


Gerson.



More information about the gter mailing list