[FRnOG] Re: [TECH] Named/Bind question

[Stephane Bortzmeyer]

On Wed, Mar 16, 2016 at 05:32:09PM +0100,
 Nathan delhaye  wrote 
 a message of 128 lines which said:

> Au passage, quel serait la recommendation de l'AFNIC en ce qui
> concerne les soft de serveurs DNS?

Pas de recommandation officielle.

> Est-ce qu'il y as déjà eu sur les serveurs DNS les plus populaires
> une étude comparative du code, fréquences des failles/bugs,
> réactivité de l'éditeur/communauté, latence logicielle, ce genre de
> choses?

Il y a eu des études partielles, mais pas de truc complet,
scientifiquement fait, et tenu à jour (le paysage change régulièrement).

Disons que j'aime bien Unbound en résolveur (mais Knot est prometteur)
et NSD en faisant autorité (mais Knot est très bien). 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [TECH] Named/Bind question

[Nathan delhaye]

Hello,

Au passage, quel serait la recommendation de l'AFNIC en ce qui concerne les
soft de serveurs DNS?

Est-ce qu'il y as déjà eu sur les serveurs DNS les plus populaires une
étude comparative du code, fréquences des failles/bugs, réactivité de
l'éditeur/communauté, latence logicielle, ce genre de choses?

Mettons de côté deux minutes les features pour Jean Kevin. Comme tu le
fessais remarquer, avec une bonne industrialisation et des containers,
quasiment toutes les zolies features de n'importe quel soft peuvent être
reproduites dans n'importe quel autre. Et pour la scalabilité, le DNS est
un protocole simple qui se load balance très bien donc suffit de popper
plus de machines derrière un bon gros LB.

Le 15 mars 2016 à 21:31, Stephane Bortzmeyer  a écrit :

> On Tue, Mar 15, 2016 at 06:53:57PM +0100,
>  Artur  wrote
>  a message of 31 lines which said:
>
> > Au hasard, je dirais qu'il faudrait séparer ton fichier de zone en
> > deux et d'utiliser les views.
>
> Je déconseille fortement les vues. Elles compliquent sérieusement le
> déboguage, puisque la réponse du serveur va dépendre du client.
>
> En outre, elles sont inutiles. Elles datent de l'époque où on n'avait
> qu'une seule machine et qu'elle devait tout faire. Aujourd'hui, on a
> plein de machines, des Soekris partout, de la virtualisation, des
> containers Docker, bref plus aucune raison de mettre deux services sur
> la même machine.
>
> Bref, il faut plutôt deux jeux de serveurs différents. Au passage,
> autre chose que BIND. On est en 2016, quand même. Donc, sauf si on
> aime patcher en urgence toutes les semaines, plutôt choisir un autre
> logiciel.
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>



-- 
Nathan Delhaye
06 69 27 64 25
0805 696 494

---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [TECH] Named/Bind question

[Stephane Bortzmeyer]

On Thu, Mar 17, 2016 at 03:25:00PM +0100,
 Laurent-Charles Fabre  wrote 
 a message of 85 lines which said:

> Je me pose des questions avec l'arrivée du champs ALIAS dont l'objet
> semble de fournir un moyen 'propre' de faire un  CNAME dans un SOA.

Euh, je ne comprends pas bien à quoi vous faites allusion. L'arrivée
où ça ? Et c'est un champ de quoi ?

> DJB DNS et PowerDns sont très bien :-)

djbdns est une horreur, qui viole les règles du DNS de mille manières
(la pire étant de répondre NXDOMAIN pour les ENT). À fuir absolument.



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [TECH] Named/Bind question

[Laurent-Charles Fabre]

Bonjour,

je saisis la balle au bond.

Pour moi le BestPratice reste d'avoir un DNS autoritaire qui ne fasse que cela.
Soit parce que c'est un logiciel dédié, soit par configuration.

Je me pose des questions avec l'arrivée du champs ALIAS dont l'objet semble de 
fournir un moyen 'propre' de faire un  CNAME dans un SOA.

Cela ne casse t'il pas ce BestPractice en imposant à un DNS autoritaire de 
devoir faire une résolution, éventuellement récursive ?

Sinon, pour répondre au topic et parler un peut de religion : (avec 1J d'avance 
donc)

DJB DNS et PowerDns sont très bien :-)
Up and Running depuis des lustres sans incidents.
Après, utiliser un mainstream tel que Bind, c'est aussi une garantie d'un large 
support (dans tout les sens du terme.)

My 2 cents.


Le 17 mars 2016 à 11:26, Stephane Bortzmeyer a écrit :

> On Wed, Mar 16, 2016 at 05:32:09PM +0100,
> Nathan delhaye  wrote
> a message of 128 lines which said:
> 
>> Au passage, quel serait la recommendation de l'AFNIC en ce qui
>> concerne les soft de serveurs DNS?
> 
> Pas de recommandation officielle.
> 
>> Est-ce qu'il y as déjà eu sur les serveurs DNS les plus populaires
>> une étude comparative du code, fréquences des failles/bugs,
>> réactivité de l'éditeur/communauté, latence logicielle, ce genre de
>> choses?
> 
> Il y a eu des études partielles, mais pas de truc complet,
> scientifiquement fait, et tenu à jour (le paysage change régulièrement).
> 
> Disons que j'aime bien Unbound en résolveur (mais Knot est prometteur)
> et NSD en faisant autorité (mais Knot est très bien).
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/



signature.asc
Description: Message signed with OpenPGP using GPGMail

[FRnOG] Re: [TECH] Named/Bind question

[Stephane Bortzmeyer]

On Tue, Mar 15, 2016 at 06:53:57PM +0100,
 Artur  wrote 
 a message of 31 lines which said:

> Au hasard, je dirais qu'il faudrait séparer ton fichier de zone en
> deux et d'utiliser les views.

Je déconseille fortement les vues. Elles compliquent sérieusement le
déboguage, puisque la réponse du serveur va dépendre du client.

En outre, elles sont inutiles. Elles datent de l'époque où on n'avait
qu'une seule machine et qu'elle devait tout faire. Aujourd'hui, on a
plein de machines, des Soekris partout, de la virtualisation, des
containers Docker, bref plus aucune raison de mettre deux services sur
la même machine.

Bref, il faut plutôt deux jeux de serveurs différents. Au passage,
autre chose que BIND. On est en 2016, quand même. Donc, sauf si on
aime patcher en urgence toutes les semaines, plutôt choisir un autre
logiciel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/