DNS運用、その時どうする?
- 概要
DNSの運用に携わっていると色々なことがあります。
- ある日突然、権威サーバが停止?!
- ある日突然、DNSキャッシュサーバトラブル?!
- ある日突然、ドメイン名が停止?!
- ある日突然、IPv6対応?!
- ある日突然、DNSSEC対応?!
- ある日突然、DNS犯人疑惑?!
- etc...
今回はその中の一つのIPv6対応の苦労話をご紹介し、失敗談や苦労話について共有、議論していけたらと思います。
- 発表者
- 永井 祐弥 (GMOインターネット株式会社)
- 資料
- 資料: DNS運用、その時どうする? (永井)
- 議論ログ
- Q: 会場からの質問A: 発表者からの回答/コメントC: 会場からのコメント
Q:リゾルバはOSによる差はあるのか?
A: 検証した環境はCentOS。BINDから見た場合はどのI/FでlistenするかBINDでチェックしていて、v6のI/Fをもっていればv6が有効になる、そんな挙動と考えられる。
Q: FreeBSDだと挙動が変わってくると考えられます。ISCのバグレポートになるのですが、情報を全て送るととても良い。VMイメージを送っていくと、なお良いのではないでしょうか。
A: 参考にさせていただきます。今後の予定としては、今回の発表資料を英訳してISCに送付していこうと考えています。
C: 対応方法の中で、もう一点。IPv4だけ名前を増やすという話がありましたが、IPアドレスを増やすのではなく、v4,v6のIPアドレスのうち、v4だけ別の名前でつけてあげる、といった対応も有効だと思います。
C: ISCへバグレポートしても無視されるのはそれなりにある、と思った。DNSオペレータの各MLに色々流してくる方々は、そういう背景があるのかなと思いました。バグレポートを送る際、過去にやったことのある人と一緒にやったほうが早い、反応がよいかもしれません。
C: ISCはお金がないので、そもそもリソースが割けない、という事情もあるのではないのかな、と思います。昨今、有料サービスも増えているので、そういう背景もあるのではないでしょうか。
Q: BINDのコードのどこを直せばよいのか指摘しているか?
A: この部分の変更はadd_bad()関数内の1行だけなので、そこをコメントアウトすると(元に戻す)普通に動くようになる。が、それ以外の問題が発生するため、根本的に修正するにはより大きな改造が必要になるような気がしている。
C: そのコードをつけて送ると、すぐ対応してもらえるんじゃないかと思います。
C: コードを書いてくれる方、熱烈募集します(永井)
Q: 解決方法として、v6専用のDNSサーバを立てればよいのでは? 解決策としてv4専用のDNSサーバを立てると仰っていたけれども、v6専用のDNSサーバを立てる、でも良い気がするのですが。
A: 別の問題が発生する。推奨されていない。
C: この話で大事なことは、BINDのバグを修正しても、古いVerが世の中で使い続けてしまう。まずはこのはまりがあるってことを広く共有して、健全に運用していくことが大事だと思います。
Q: 今回の事象で、TTLが短くなっていると発生するといっているが、その条件は?
A: キャッシュには2種類(子から貰うAnswerセクションのキャッシュと、親から貰うAuthority/Additionalセクションのキャッシュ)があるが、それらが切れるタイミングで発生する。しかし、この切れるタイミングは分からない。あくまで、TTLが短いと発生しやすくなるし、名前が引けなくなる可能性が高くなる。グラフで考えると、反比例グラフみたいなイメージになり、ある所から急激に確率が上昇すると想定している。
Q: 発生確率みたいなものはあるのか?
A: 今のところデータはない。
Q: 英訳されるという風に言っていたが、ほかの場で発表あるか?
A: 考えてみます。
C: DNSOPSなメンバーがたくさん居るので、ちょっと告知を。春あたりにイベントありますので是非参加してくださいね。
