Re: [FRnOG] [TECH] dns court (était: Un CDN Down ?)
On 10/06/2021 18:20, Stephane Bortzmeyer wrote: > On Thu, Jun 10, 2021 at 04:12:32PM +0200, > Jean-Francois Maeyhieux wrote > a message of 30 lines which said: > >> Pourquoi pas utiliser plusieurs NS de fournisseurs différents pour >> servir la zone ? > > C'est en effet une bonne idée, et c'est ainsi que fonctionne .fr (ou, > beaucoup plus modestement, bortzmeyer.org). > > Malheureusement, beaucoup d'hébergeurs DNS « pour entreprise » ne > permettent pas de faire des transferts de zones avec la méthode > normalisée (AXFR), il faut passer par leur interface Web ou leur > API. Si on veut synchroniser le contenu de sa zone sur les différents > hébergeurs, il faut se faire un script appelant leurs API. Bientôt xfr-over-tls DNS Zone Transfer-over-TLS : https://datatracker.ietf.org/doc/draft-ietf-dprive-xfr-over-tls/ Discussion là : https://mailarchive.ietf.org/arch/browse/dns-privacy/ Côté déploiement, xfr-over-tls va être à axfr ce que IPv6 est à IPv4. JFB -- Pourquoi pas le transfert de zone par des kangourous ? |\\._ | 66__ \_.P ,`) ( )\ / __\__ / / / -._);_) | `\/ \ __|\ \ ;) / ) `\| /__/ /__ jgs `\__)___) --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [TECH] dns court (était: Un CDN Down ?)
On Thu, Jun 10, 2021 at 04:12:32PM +0200, Jean-Francois Maeyhieux wrote a message of 30 lines which said: > Pourquoi pas utiliser plusieurs NS de fournisseurs différents pour > servir la zone ? C'est en effet une bonne idée, et c'est ainsi que fonctionne .fr (ou, beaucoup plus modestement, bortzmeyer.org). Malheureusement, beaucoup d'hébergeurs DNS « pour entreprise » ne permettent pas de faire des transferts de zones avec la méthode normalisée (AXFR), il faut passer par leur interface Web ou leur API. Si on veut synchroniser le contenu de sa zone sur les différents hébergeurs, il faut se faire un script appelant leurs API. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] dns court (était: Un CDN Down ?)
Le 09/06/21 à 12:04, Stephane Bortzmeyer a écrit : > > Est ce que avoir une config de secours sur un autre CDN + un DNS > > configurable rapidement avec des TTL courrs ~1min a un sens ? > > Je rappele qu'un TTL DNS court est un excellent moyen d'aggraver les > conséquences d'une panne ou d'une attaque contre vos serveurs DNS > faisant autorité. TTL de 10 minutes : vous devez être sûr que vos > serveurs faisant autorité seront sauvés en moins de 10 minutes. On peut pas jouer avec ttl/refresh/expire pour régler ce type de pb ? (un ttl court pour le pb initial soulevé et un expire long au cas où les NS tomberaient) Je me suis jamais bcp penché sur la question car si mes NS sont tous HS c'est que j'ai plus de prod du tout… mais pour le cas des cdn j'avais compris que ça pouvait faire l'affaire. -- Daniel A force d’accepter l’inacceptable, on en vient à croire que c’est la norme. Jeune prof démissionnaire --- Liste de diffusion du FRnOG http://www.frnog.org/