HL++2013 Leskin
Download as PPTX, PDF1 like1,463 views
Документ посвящен тестированию производительности DNS-серверов и обсуждает различные аспекты, такие как скорость, устойчивость и производительность. Описаны используемые тестовые инструменты и результаты, а также подводные камни, связанные с работой DNS. Выделены победители тестирования, включая серверы Knot и Yadifa.
HL++2013 Leskin
- 3. Что такое DNS? • Коротко: highloadlab.com 178.248.233.7
- 4. Что такое DNS? • Коротко: highloadlab.com 178.248.233.7 • Длинно: (список неполон)
- 5. DNS-серверы • minidns dns server https://code.google.com/p/minidns/source/browse/minidns “wc -l minidns” 107 (!!!)
- 6. DNS-серверы • minidns dns server https://code.google.com/p/minidns/source/browse/minidns “wc -l minidns” 107 (!!!)
- 7. DNS-серверы • minidns dns server https://code.google.com/p/minidns/source/browse/minidns “wc -l minidns” 107 (!!!) • Authoritative. There can be only one! • Caching. The cache is out there...
- 8. А что мы хотим? • Скорость • Устойчивость • Производительность
- 9. А что мы хотим? • Скорость • Устойчивость • Производительность SUPER Authoritative Server SLOW Authoritative Server SUPER Caching Server QUERIES QUERIES
- 10. А что мы хотим? • Скорость • Устойчивость • Производительность SUPER Authoritative Server SLOW Authoritative Server SUPER Caching Server QUERIES • Доменов: МАЛО • Запросов: МНОГО QUERIES
- 11. DNS test. А что уже было сломано до нас?
- 12. DNS test. А что уже было сломано до нас? • dnsperf & resperf?
- 13. DNS test. А что уже было сломано до нас? • dnsperf & resperf? NO • tcpreplay?
- 14. DNS test. А что уже было сломано до нас? • dnsperf & resperf? NO • tcpreplay? NO • Ideal/real world data? NOOO!!!
- 15. DNS test. How?
- 16. DNS test. How?
- 17. DNS test. Measurements • QPS, RPS = PPS • Traffic: Mbit/s • CPU load avg • Поведение при повышении нагрузки • А еще есть крутилки и включалки!
- 18. DNS test. А на что будем смотреть? • Knot (1.2.0 & 1.3.0-RC5) • Yadifa (1.0.2) • NSD3 (3.2.15) • NSD4 (4.0.0b4) • PowerDNS (3.3) • TinyDNS (1.05) • Unbound (1.4.16) • Pdnsd (1.2.8) • Server: Dual Xeon E5-2670 32Gb RAM DDR3 1333Mhz Intel X520-DA2 10Gbit • Generator: Single Xeon E5-2670 32Gb RAM DDR3 1333Mhz Intel X520-DA2 10Gbit • Gentoo Linux 3.7.9
- 19. DNS test. Setup • Максимально ванильно! • Authoritative: 300 сформированных зон • Caching: Прогреваем кэш на такой же объем данных
- 20. Results. Выбираем победителя крутилок. Knot-1.2.0, queries=1
- 21. Results. Выбираем победителя крутилок. Knot-1.2.0, queries=1
- 22. Results. Queries in flow: 01 Knot NSD Unbound Yadifa PowerDNS Pdnsd TinyDNS
- 23. Results. Queries in flow: 01 Knot NSD Unbound Yadifa PowerDNS Pdnsd TinyDNS
- 24. Results. Queries in flow: 02 Knot NSD Unbound PowerDNS Pdnsd Yadifa TinyDNS
- 25. Results. Queries in flow: 02 Knot NSD Unbound PowerDNS Pdnsd Yadifa TinyDNS
- 26. Results. Queries in flow: 02 Knot NSD Unbound PowerDNS Pdnsd Yadifa TinyDNS
- 27. Results. Queries in flow: 20 Knot NSD Unbound PowerDNS Pdnsd Yadifa TinyDNS
- 28. Подводные камни. IT HAPPENS. BE PREPARED
- 29. Подводные камни. Local. • Knot-1.2.0 Победитель может все... Или не все?
- 30. Подводные камни. Local. • Knot-1.2.0 Победитель может все... Или не все? • Yadifa-1.0.2 Нужно больше золота!
- 31. Подводные камни. Local. • Knot-1.2.0 Победитель может все... Или не все? • Yadifa-1.0.2 Нужно больше золота! • Pdnsd Приз за оригинальность.
- 32. Подводные камни. Global. Камень Контр-камень • UDP • BCP38 Мне кажется, пакет пришел оттуда... Но я не гарантирую это! Когда случится счастье – нам не ведомо!
- 33. Подводные камни. Global. Камень Контр-камень • UDP • BCP38 Мне кажется, пакет пришел оттуда... Но я не гарантирую это! • DNS cache poisoning (Kaminsky) Адрес поменялся! Иди сюда! Когда случится счастье – нам не ведомо! • DNSSec Это счастье есть, но мало кто пользуется
- 34. Подводные камни. Global. Камень Контр-камень • UDP • BCP38 Мне кажется, пакет пришел оттуда... Но я не гарантирую это! • DNS cache poisoning (Kaminsky) Когда случится счастье – нам не ведомо! • DNSSec Адрес поменялся! Иди сюда! Это счастье есть, но мало кто пользуется • Стать DNS Amplifier • Можно самостоятельно: - закрыть рекурсию извне - RRL (DROP, SLIP) - DROP пакетов с src_port 53 Чтобы не быть жертвой - надо не быть жертвой - dig isoc.org ANY (26 vs 2435) - открытая рекурсия
- 35. Подводные камни. Сам не выжил.
- 36. Подводные камни. Сам не выжил.
- 37. Подводные камни. Сам не выжил.