テレコムのベストDNSプラクティス

現在、多くのロシアのプロバイダーはDNSサーバーにほとんど注意を払っていません。 それにもかかわらず、これはインターネットアクセスサービスの非常に重要なコンポーネントです。

テレマティクスおよびインフラストラクチャサービスエンジニアとその上司専用です。



次のガイドラインに従うことで、ユーザーのDNS苦情を最小限に抑えることができます。

• DNSサーバーでステートフルセッションファイアウォールを使用しないでください。
  
  Iptablesおよびその他のファイアウォールは、ビジーなDNSサーバーのパフォーマンスを大幅に低下させます。
  
  組織上の理由でトラフィックをフィルタリングする必要がある場合は、ネットワーク機器の通常の非ステートフルファイアウォールでこれを行うことをお勧めします。 たとえば、ASICおよびFPGA上に構築された7600（6500）シリーズ以降のCiscoハードウェアルーターで通常のACLを使用します。
• キャッシュサイズは512MB以下である必要があります。 値を大きくしてもキャッシュの効率が大幅に向上することはありませんが、RAM帯域幅の要件とCPUキャッシュの有効性が増加します。 512 MBのサイズのキャッシュを使用する場合、少なくとも2048 MBの合計RAM容量が必要です。
• DNSサーバーの中央処理装置の平均負荷は30％を超えてはなりません。 この規則を順守することで、DDOSおよびウイルス攻撃からの生存が容易になります。
• DNSサーバーのキャッシュへのアクセスをクライアントのみに制限する設定を常に使用してください。 すべてのインターネットユーザーによる使用を許可しないでください。 これにより、DNS増幅攻撃にDNSサーバーが使用され、負荷が制御されなくなり、攻撃者がキャッシュを汚染する可能性が高くなります。
• 権限のあるDNSサーバーとキャッシュDNSサーバーを常に分離します。 これは、あらゆる規模の組織に当てはまります。
• DNSサーバーは専用の機器で運用することが望ましいです。 DNSサーバーをキャッシュする場合、最も重要なパラメーターはCPUパワーです。 権限のあるDNSサーバーの場合、RAMの帯域幅はいくぶん重要です。 DNSサーバーの負荷が小さい場合、仮想化システムでの使用は許可されます。 同時に、プロセッサ、メモリ、ネットワーク上のリソースを保証する必要があります。
• DNSサーバーの場合、最大周波数のプロセッサーを使用することをお勧めします。 1つの強力なデュアルコアまたはクアッドコアプロセッサは、低周波数の2つのプロセッサよりも優れています。 事実、最新のソフトウェアは多くのプロセッサコアでうまく拡張できないことがあります。 さらに、DNSソフトウェアの「シングルスレッド」実装（またはアセンブリ）を使用することをお勧めします。
• 最新のハードウェアで64ビットオペレーティングシステムを使用します。 新しいシステムでは、x86-64で構築されたサーバーを使用する必要があります。 SPARCプロセッサー上に構築されたシステムは、DNSサーバーのタスクにはあまり適していません。
• DNSサーバーでは、ネットワークがボトルネックにならないように、ギガビットネットワークインターフェイスを使用することが望ましいです。
• 複数のDNSサーバーに負荷を分散する必要がある場合は、IP ANYCASTを使用するか、ロードバランサーを使用してセッションの状態をオフにすることをお勧めします。
• 実績のあるソリューションを使用します。 本稼働環境で使用する前に、新しいバージョンをテストします。 一度に1つだけ変更を加えてください。 たとえば、ソフトウェアバージョンを更新する場合は、最初に1つのサーバーでのみ更新します。
• オペレーティングシステムのネットワークスタックを調整しすぎて夢中にならないでください。 原則として、すべての最新のUNIXおよびUNIXライクシステムには最適な設定があります。 運用上の問題がある場合は、オペレーティングシステムを巨大なバッファなどで悪夢にする前に、可能な限り詳細な診断を行う必要があります。
• DNSSECを使用する前に、ソフトウェアとハ​​ードウェアの両方の負荷を徹底的にテストする必要があります。 これに加えて、DNSECに関連する手順を慎重に検討する必要があります。DNSSECキャッシングDNSサーバーがゾーンのレコードを誤って署名されたものとして拒否する場合、エラーは目に見えないと同時に致命的です。
• DNSサーバーの監視を構成するのを怠らないでください。 これにより、ユーザーが気付く前に問題を回避できます。 結局、DNSの問題はネットワークの問題としてユーザーに認識されます。 DNSサーバーが十分に機能していないためにインターネットページをゆっくり開いたとしても、障害から保護された最新の高速低遅延ネットワークを使用している場合、彼らは気にしません。
• DNSソリューションの全体的な設計を可能な限りシンプルにします。 これは、問題の診断に役立ちます。