Bonjour,
Je viens trouver des idées car je ne trouve pas mon bonheur.
Alors pour couper cours, on ne souhaite pas utiliser les dns mis à
disposition par OVH / Gandi / Amazon et consorts plusieurs raisons :
- tous leurs serveurs dns sont sur le même AS BGP quand leur réseau
tousse les zones aussi alors que les MX et autres entrées sont en dehors
de leurs réseaux
- tous utilisent le même tld pour leurs fqdn de serveur dns, j'ai déjà
connu une panne chez un TLD qui a mis à mal les domaines
- les api c'est super mais je préfère que ces données soient en interne
- j'ai déjà vu un hébergeur reseter une zone d'un client car ce dernier
avait résilié un service qui n'était plus utilisé par les entrées dns de
sa zone (déjà migré ailleurs)
- certains clients n'ont pas envie d'être sur ces serveurs dns et ont
déjà connue une panne réseau d'un de ces hébergeurs qui impactaient la
messagerie chez eux alors que ça ne devrait pas se produire
Actuellement on utilise une interface php/mysql un peu ancienne qu'on a
forké en interne pour correspondre à certains besoins et maintenir la
solution qui n'est plus maintenue. Cet outil de backoffice permet
l'édition des zones et génère les fichiers de configuration format bind
en local. Puis un processus va pousser ces fichiers vers nos serveurs
dns (multi tld, ipv4 / v6, multi as bgp). Un reload des zones modifiés
est alors fait. On utilise pas de master / slave, tous les serveurs bind
sont masters avec les mêmes fichiers, load balancer en amont des
grappes, ... s'il y a une interruption réseau dans un coin ça ne met pas
en péril la réponse dns.
Tout cela fonctionne bien mais on voudrait faire évoluer tout cela pour
gagner en plus :
- une traçabilité dans un git pour rapidement voir les changements sur
une zone, actuellement par la sauvegarde des différentes versions des
fichiers de zones on peut aussi le voir avec un diff mais c'est pas idéal.
- garder la souplesse de la base de donnée en source pour le backoffice
(permet les modifications en masse : TTL, remplacer cette IP par telle
autre dans toutes les zones, ...)
- que les configurations générées passent par le git, que le git soit la
référence pour les fichiers de configuration
- ajouter un hook de validation des zones sur les commit git
- pouvoir faire du dnssec sur les zones donc savoir communiquer avec les
registrars
- avoir une API pour pouvoir faire du wildcard Letsencrypt par exemple
- automatiser le tout avec Ansible pour le processus de livraison des zones
D'après mes recherches un tel outil en l'état n'existe pas. Du coup on
part sur l'assemblage de plusieurs briques et si pour toutes les briques
dnssec, ansible, api avec les registrars ont sait faire j'aimerais ne
pas réinventer la roue pour la partie interface web / api / base de
donnée / renouvellement dnssec
Qu'utilisez-vous sur vos réseaux? Qu'avez-vous croiser comme super
projet sur ce sujet?
Merci par avance.
signature.asc
Description: OpenPGP digital signature
