поставь мокросервисы для ФМ
зачем? днс важнее
Misak
Misak
но это решилось банально iptables на количество запросов в секунду и минуту с одного ip
у бинда ррл есть зато для этого
Roman
сколько тысяч биндовых рекурсоров надо было б поставить для такой задачи?))
Anonymous
у бинда ррл есть зато для этого
как-то так было.
-A INPUT -p udp -m udp —dport 53 -m hashlimit —hashlimit-above 60/sec —hashlimit-burst 100 —hashlimit-mode srcip —hashlimit-name DNS60INSEC —hashlimit-htable-max 1048576 —hashlimit-htable-gcinterval 10000 —hashlimit-htable-expire 180000 -m comment —comment "DNS NetFilter hashlimit 60 requests per second" -j DROP
-A INPUT -p udp -m udp —dport 53 -m hashlimit —hashlimit-above 1000/min —hashlimit-mode srcip —hashlimit-name DNS1000INMIN —hashlimit-htable-max 1048576 —hashlimit-htable-gcinterval 10000 —hashlimit-htable-expire 600000 -m comment —comment "DNS NetFilter hashlimit 1000 requests per minute" -j DROP
Misak
bind - первый и ориентир для всех. Плюс за ним ISC, это гарантия развития.
Anonymous
опять всё форматирование попортил елеграм.
Roman
isc - гарантия имплементаций rfc в чистом виде
Anonymous
да. каждый раз забываю.
Roman
но какой ценой - другой вопрос
Anonymous
да. уже обмазались.
Anonymous
лениво.
Misak
а кто-нить хоть попробовал?
Anonymous
мы даже хотели захантить чувака, но вовремя остановились :)
Anonymous
ему бы дискавери дописать бы ещё адекватный по сбору топологии и потом опросу каждой найденной железки хотя бы по snmp, не говоря уже про netconf.
Anonymous
и было бы офигенно. а вот эти плюшки с размещением на карте особо-то и не нужны, на самом деле.
Misak
все на этом как раз и спотыкаются
ststitov
на 30,35 и 40 самая стабильная реже @somovis
ststitov
на 30 и 35 stp отваливает всю коммутацию
Misak
в нок-е у девелоперов все началось как они решили дискавери запилить
Anonymous
может им просто визионеры нужны и архитекторы. а они там все инженеры и девелоперы?
Misak
теперь они радостно пилят фм и забыли про ипам с днс и другие важные вещи
Misak
наоборот, там только визионеры
Anonymous
ну тогда тоже всё не так хорошо
Anonymous
сколько слышу про нок - все ругают.
Misak
я не
Misak
а его 10 лет уже почти пользую
Roman
херасе
Misak
правда поругиваю за распиздяйство
Anonymous
почему никто не ругает netbox?
Evgeniy
У меня 3 анбаунда было по 3.5k rps
Evgeniy
Ресурсов почти не жрало
Evgeniy
Я биндом хуйня была. Он иногда затупал (раз в месяца два или три)
Evgeniy
Но да. Был один бинд и один поверднс для зон.
Misak
я не могу проапгрейдиться, пока днс не исправят
Anonymous
3 pnds холдера с mysql бэкендом, которые были слейвами для master базы, которая правилась через padmin.
Anonymous
👍
Misak
почему?
Misak
ну там главное не потерять историю конфигов
Misak
остальное можно даже експорт/импорт
Roman
bind - первый и ориентир для всех. Плюс за ним ISC, это гарантия развития.
Он ущербен как рекурсор
Anonymous
достаточно же просто по одному с каждой стороны. не?
Anonymous
например
Misak
раньше они были в меркуриале, теперь в монге, в микросервисах не знаю где
Anonymous
например
две строчки
Anonymous
ооок
Anonymous
я проверяю.
Anonymous
ну ок.
Anonymous
надо пойти про форматирование почитать в этих ваших новых чатиках.
Anonymous
а. это ж markdown, похоже.
Anonymous
да?
Anonymous
я уже нашёл, спасибо, да.
Eugene
да, но обычно нужен какой-то rps
а есть какое-то Х число запросов в мин/сек, когда бинд становится тормозом? у меня пара биндов держат пару служебных зон и используются как рекурсеры для небольшого количества обращающихся..
Eugene
ну и эт не хомяки конечно, во внешнем инторнете нынче какой-нибудь сайтик откроешь, так там действительно сотни резолвов полетял на всю шелуху обвязывающую сайт
Roman
а есть какое-то Х число запросов в мин/сек, когда бинд становится тормозом? у меня пара биндов держат пару служебных зон и используются как рекурсеры для небольшого количества обращающихся..
я просто пошлю сюда: http://ospf-ripe.livejournal.com/1601.html
Илья
@somovis, NOC
Validation error: bi_id: This field cannot be null.
Слышал о таком?
Anonymous
на maradns netpolice/cair своё решение с dns фильтрующими строит.
Roman
вообще, unbound можно еще более эффективным сделать
Roman
заставив использовать recvmmsg/sendmmsg
Anonymous
да они уже сделали его более эффективным где-то в 1.5 с so_reuseport
Misak
Eugene
В vi есть два режима: 1) все портить 2) бибикать
Eugene
чот наткнулся :))
Anonymous
2005 года шутка. да?
Roman
да они уже сделали его более эффективным где-то в 1.5 с so_reuseport
нууу... so_reuseport убирает lock contention в ядре, а *mmsg - это возможность послать/получить сразу пачку пакетов за 1 вызов.
Eugene
у нас при 30к клиентов уже было не очень
да не, у меня не паблик :) но саму идею я понял с резолверами да
Илья
вроде да
Anonymous
баш же. не?
Илья
как проверить что развернулось?
Илья
./scripts/about больше не работает
Anonymous
bash.im/quote/401
Misak
для малых и средних офисов париться не стоит вообще - дефолт будет норм в 99%