> Voilà ma petite expérience : > - les dns ne devant pas tous se trouver sur le même AS, il faut > logiquement en mettre un peu partout sur la toile pour la résilience de > votre infra dns
Bonjour : remarque uniquement valable pour ceux qui disposent d'infrastructures elles même réparties sur plusieurs AS. Aucun intérêt pour les autres (si le réseau est HS, les dns ne répondront plus, pas plus que le reste de l'infrastructure). > - en cas d'attaque dns, pouvoir isoler un serveur dns c'est utile > - les backends mysql / psql sur bind on oublie, sur pdns c'est mieux > mais la dépendance d'une architecture sql pleinement fonctionnelle est > trop forte surtout en cas de réplication géographique Je ne vois de toute manière pas l'intérêt d'utiliser des services annexes comme du SQL pour faire tourner du DNS, qui est un protocole "primaire" qui fonctionne très bien sur la base de fichiers. > Juste pour ceux qui doutent encore de l'intérêt de mettre leurs dns en > dehors de leur AS et infra, quand votre infra est inaccessible, les > clients qui ont leurs zones chez vous ne peuvent plus bosser (pas de > mail, pas de connexion aux services autres que chez vous, ...) et en 10 > ans j'en ai vu des infras isolées par coupure réseau (plusieurs > transitaire d'un coup, migration réseau qui déconne, pb bgp, ...), ddos > rendant injoignable la plate-forme, piratage de serveur dns Remarque valable lorsque les clients ont des pointages externes. En plus, le dns est ce qu'il y a de quasiment le plus facile à sauvegarder / répliquer, réinstaller. Je ne sais pas combien ici ont déjà eu une infra down à cause des DNS, mais c'est vraiment bien le seul soucis dont je n'entends jamais parler en interne. Jusqu'à y a encore quelques années, le secondaire était d'ailleurs un vieux céleri avec 256 Mo de RAM et il gérait plus 40.000 domaines sans problèmes et sans charge. Pour les risques de compromission : utilisez 2 distribs et versions différentes sur les primaire et secondaire + backup externe unique vérouillé à chaque modification : ça marche très bien également. amicalement, -- Christophe Casalegno http://www.digital-network.net _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
