а ещё есть роут53
Много чего есть. причем тут это
🏳️ Phil
Oleksandr
при том что держать свой НС - не есть гут
Oleksandr
если ты не большой
🏳️ Phil
Это хороший вопрос. И да, и нет
Oleksandr
я ж написал - дискуссионный
Oleksandr
вот о чем надо на докладах говорить. вбрасывать
🏳️ Phil
Посмотрел 30 секунд. "Я практикующий тренер". Надо дальше смотреть?
Oleksandr
а как сделать стелс сервер в 2017 году не интересно. или репликацию бд
Oleksandr
Посмотрел 30 секунд. "Я практикующий тренер". Надо дальше смотреть?
меня прибило от "резолЬаер"
🏳️ Phil
Это была 31-ая секунда. Это на каком языке?
Oleksandr
резольвер какой-то
Oleksandr
приплел фрибсд
Oleksandr
зачем...
Oleksandr
кароче я с уважением отношусь к докладчиком. но тема скучная и не интересная
🏳️ Phil
АААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААаааааааааааааааа22222222222222222222211111111111111111111111111111111111!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1 Много доменов. 500-600. База данных. PowerDNS. Аааааааааааааааааааааааааааааааааааа1111111111111111111111111111111!!!!!!!!!!!!!!!!!!!!!
Alexey
Ну кстати 600 доменов действительно не ахти как много
Alexey
И скорее всего поместится в памяти
Alexey
И базу тащить не нужно было б
🏳️ Phil
Я бы сказал это примерно столько же, сколько и 1
CMy3u🐈
Чёта на выебщика похож
🏳️ Phil
В память моместится и 1 лям доменов
Oleksandr
когда-то давно читал книжку с примером бинда в сто тыщ доменов
Oleksandr
текстовые файлы
Oleksandr
все ок
🏳️ Phil
Ну у бинда со 100000 там начинаются на самом деле вопросы
Oleksandr
кароче грустно
🏳️ Phil
Я правда забыл какие, но были
CMy3u🐈
Как говориться в видео, пример это не продакшн
Oleksandr
и там рассматривались сложные вопросы масштабирования
Alexey
Единственное что управлять таким хозяйством все равно через базу
Oleksandr
и серверы были слабее смартфона
🏳️ Phil
700 доменов? Можно и без базы. А можно и с. Не важно
Oleksandr
Единственное что управлять таким хозяйством все равно через базу
если надо кастомеру отдать
պլհկ
мы в б. делали так: домены в базе, при изменении - генерация файликов
🏳️ Phil
Забавно. Resolver это немного не то, о чем он говорит в начале.
🏳️ Phil
Ну точнее то. Но в том смысле это так не применяют
🏳️ Phil
А. Я понял почему "резолЬвер" - это жлектрический термин так принято произносить
🏳️ Phil
bind и unbound для кэширующего DNS. А он точно пробовал их использовать? Ну и другие какие-нибудь?
🏳️ Phil
мастер-класс по убунте. всё смешалось кони люди
🏳️ Phil
ok, тренер ваолнуется и ходит по сцене как я
🏳️ Phil
Так. Я потерял мысль. Он говорит о том что плохо, не дав вводную.
Sergei
@spuzirev Мне интересно что ты скажешь по докладу
это типичный доклад.
всем привет.
у нас была задача, но мы были не очень опытные, и вдобавок не очень умные.
поэтому сначала мы сделали как сделали. кстати вот системд-юнит.
потом мы поняли, что что-то пошло не так и накрутили костылей, теперь оно как-то работает. кстати вот системд-юнит.
вам оно может быть не нужно, но у нас очень много доменов (700 доменов. по числу записей информации не было - прим. spuzirev), поэтому нам оно очень нужно.
мы решили делать дамп мускуля (текстовый) и складывать его в гит (да, это не шутка).
репликация реляционных баз работает плохо, поэтому мы решили сделать это на ручном приводе. да, мы снимаем дамп, передаем его рсинком и заливаем. по крону. да. потому что репликация не работает. это занимает несколько десятков секунд (поэтому можно предположить объем базы - прим. spuzirev). кстати в убунтусервергайд пишут что работает, но они неправы.
мы не очень понимаем, что такое транзакции и как они работают, поэтому решили сделать их через RENAME TABLE.
кстати альтернативные решения говно, а то что пишут на убунтусервергайд - говно. кстати, вот системд-юнит.
мы тут еще заббикс используем, вот графики запросов. кстати, вот системд-юнит.
справедливости ради чувак рассказывает и относительно норм вещи.
например про префетч и про iptables-лимиты. не всегда очевидно, что эти лимиты нужны. он не упоминает ещё про то что анбаунду неплохо для скорости давать очень много памяти (или я пропустил).
CMy3u🐈
Он не смог просто настроить репликацию ахахаха
Nklya
резольвер, my ass
🏳️ Phil
Он не смог просто настроить репликацию ахахаха
Нет. Репликация плохо работает на расстоянии. Но rsync можно и файлики
🏳️ Phil
Ухо режет пипец. Это как кОмпас в море говорить
aborche
Это что это вы такое обсуждаете?
Nklya
"Я практикующий тренер"
🏳️ Phil
Я конечно сеццесионист. Но на Российской конференции "я про Россию говорить не буду" - это какой-то зашквар вроде
Sergei
он и в тексте пишет резольвер!
Nklya
Он еще и бегает по сцене, как его там операторы не закопали после выступления
Vitaly
резольвер оцелот
🏳️ Phil
Так. А зачем мониторить-то? Ну ок. Знаю я. И?
🏳️ Phil
Заббикс. Ок
🏳️ Phil
Ой. Т.е. он про грабли bind вообще не рассказал. На что обратить внимание в unbound тоже. То что у unbound можно rtt настроить (ну кроме iptables, который я так понимаю там немного сожрет контрака, что тоже бы упомянуть). Или вот у unbound есть минималистичный ответ. Или например то, что ты можешь вляпываться в rtt того кого опрашиваешь. Блядь!!!!
🏳️ Phil
Я кстати вляпывался во внешний rtt
🏳️ Phil
Кто это пропустил?
🏳️ Phil
Понабрали дэвопсов по объявлению
niko
Лучше расскажи что это значит)
🏳️ Phil
что? RTT? Ой. RTL конечно
niko
)
🏳️ Phil
Тьфу. RRL. Всё, нельзя пятью делами заниматься.
🏳️ Phil
Короче. Есть такая штука как "амплификейшн". Запрос DNS меньше чем ответ практически всегда, И этим можно DDOSить. И у авторитативных серверов всегла стоит response rate limit. Дефолт - 200. И запросами с одного IP (а ваш кеширующий сервер это очевидно оно) можно вляпаться. Соответственно надо вешать несколько IP. Сколько - статистика. И настройки мощности сервера делать учитывая это. Unbound умеет рандомно IP выбирать.
Sergei
словами "не форвардьте на больших, они вас залимитят" и описанием ддоса средствами днс из клиентской сети
🏳️ Phil
Это немного не то
🏳️ Phil
Это лимиты тоже кэширующих. А я про лимиты авторитативных
🏳️ Phil
Это не очевидно
🏳️ Phil
Лимит для своих он кстати как собрался регулировать? А клиент за NAT?
Sergei
это 2*2=4 после того что он рассказал.
согласен, это не самая очевидная особенность, но не неизвестный рокет-сайнс. и наезд на чувака здесь, имхо, не оправдан.
помню как мы сотнями из разных сетей адреса вешали на анбаунды, чтобы нас никто не замечал :D
🏳️ Phil
это нам известный. но не 2*2=4. из этого доклада следует, что если форварда нет, то всё ок
🏳️ Phil
Человек в начале 2000-ых. От ЦОД и провайдера уже никто не ждет DNS. DNS как и почта всецело переехал к хостерам или в отдельные сервисы. Везде. И в России