Представлен (https://lists.nic.cz/pipermail/knot-dns-users/2015-June/0006... значительный релиз авторитативного DNS-сервера Knot DNS 2.0 (https://www.knot-dns.cz/), разработанного организацией CZ.NIC и используемого для обслуживания доменов первого уровня Чехии. Код сервера распространяется под лицензией GPLv3. Поддерживается работа на большинстве Unix-подобных систем. Из особенностей Knot DNS можно выделить поддержку добавления и удаления зон на лету, возможность полной или инкрементальной передачи зон между серверами, поддержку DDNS (динамические обновления), NSID (RFC 5001), расширений EDNS0 и DNSSEC (включая NSEC3), ограничения интенсивности ответов (RRL).
Сервер отличается ориентацией на высокую производительность обработки запросов, для чего применяется многопоточная, и по большей части неблокирующая реализация, хорошо масштабируемая на SMP-системах. Для обеспечения высокой производительности также применяются такие технологии, как Read-copy-update (RCU (http://en.wikipedia.org/wiki/Read-copy-update)), Copy-on-write (COW (http://en.wikipedia.org/wiki/Copy-on-write)) и Cuckoo-хэширования (http://en.wikipedia.org/wiki/Cuckoo_hashing). В условиях использования на корневом сервере Knot DNS демонстрирует (https://www.knot-dns.cz/pages/benchmark.html) заметно более высокую производительность, чем DNS-серверы NSD (http://www.opennet.ru/opennews/art.shtml?num=38304), YADIFA (http://www.opennet.ru/opennews/art.shtml?num=34217), BIND и PowerDNS.
Ключевые новшества Knot DNS 2.0:
- Новый формат конфигурации, основанный на YAML (https://ru.wikipedia.org/wiki/YAML). В новом формате реализована возможность использования шаблонов DNS-зон, расширены средства настройки удалённых хостов и ACL (возможность указания нескольких хостов и ключей), улучшена читаемость конфигурации.
Для преобразования в новый формат старых настроек подготовлена утилитаknot1to2. Конфигурация транслируется в эффективный бинарный формат, хранимый в базе LMDB.
- Новый бэкенд для поддержки DNSSEC, вынесенный в отдельную библиотеку и переведённый на использование GnuTLS вместо OpenSSL. Поддерживается КASP (Key And Signature Policy), в том числе генерация начальных ключей для проверки DNS-зон по цифровой подписи и пролонгация ZSK (Zone Signing Keys).
- Базовая поддержка использования масок для обращения к файлам зон из файлов конфигурации (%s вместо имени файла);
- Возможность запрета синхронизации файла зоны (zonefile_sync = -1);
- В утилите knsupdate реализовано приглашение интерактивного ввода, команда quit и указание параметров алгоритма TSIG.
URL: https://lists.nic.cz/pipermail/knot-dns-users/2015-June/0006...
Новость: http://www.opennet.ru/opennews/art.shtml?num=42543