智能DNS(Bind dlz)在企業中的應用
去年因為二級域名大量增加、Bind下管理不便的關係,在公司部署了智能DNS(Bind dlz),當時寫過一篇部署文檔進行了記錄。不過在過去一年的使用當中,發現了其中不少的錯誤,所以本次發布該文檔的第二版,對這些錯誤進行修正。更新內容包括:
1、修正web界面中對新建域名ns 域名是自身的嚴重bug。
2、修正web界面中線路為 電信 網通 移動。
3、取消A、CNAME、MX、AAAA記錄最多只能添加10條的限制。
4、修正IP庫到最新。
5、使用CentOS 5.7版本。
智能dns工作示意圖
一、Bind-dlz簡介
全世界範圍內標準DNS伺服器是BIND。儘管被流傳了許多年,經過多次修改,BIND的基本功能保持不變。遺憾的是,有一些不好的缺陷。
BIND從文本文件中獲取數據,這樣容易因為編輯錯誤出現問題。
BIND需要將數據載入到內存中,如果域或者記錄較多,會消耗大量的內存。
BIND啟動時解析Zone文件,對於一個記錄較多的DNS來說,會耽誤更多的時間。
如果最近修改一條記錄,那麼要重新載入或者重啟BIND才能生效,可能會影響客戶端查詢。
bind-dlz主要解決上述缺陷而誕生,在mysql存儲zone的記錄,比在文本中好管理的多。
智能DNS的原理:
在用戶解析一個域名的時候,判斷一下用戶的IP,然後跟DNS伺服器內部的IP表匹配一下,看看用戶是電信還是網通用戶,然後給用戶返回對應的IP地址。
適用範圍:
網站要有三線路接入或者在電信、聯通、移動部署有伺服器,這樣智能dns才能派上用場。
二、智能DNS系統服務規劃
1、NameServer伺服器設置(到新網或者萬網後台添加)
ns1.zjyxh.com 192.19.13.15
ns2.zjyxh.com 192.19.11.3NS1是master ,NS2是slave。兩者數據通過mysql來同步。
2、測試NS記錄是否生效
#dig ns www.zjyxh.com
#dig www.zjyxh.com +trace3、Bind-View規劃
www.zjyxh.com 網通 (CNC) 124.133.11.78
www.zjyxh.com 電信(TELECOM) 58.56.11.153
www.zjyxh.com 移動(ANY) 120.192.11.13三、在CentOS 5.7上安裝MySQL Replication
因為Bind-dlz是使用MySQL作為存儲zone的載體,這樣就可以用php來操作MySQL。特別注意:智能dns最少部署兩台NameServer,主從關係。主從同步利用mysql的複製來實現主從同步。
首先下載mysql的最新版並解壓:
wget http://mirrors.sohu.com/mysql/MySQL-5.1/mysql-5.1.60.tar.gz
tar zxf mysql-5.1.60.tar.gz
cd mysql-5.1.60
./configure --prefix=/usr/local/mysql --enable-assembler --with-server-suffix=-DZWWW --enable-thread-safe-client --enable-local-infile --enable-thread-safe-client --with-big-tables --with-charset=utf8 --with-client-ldflags=-all-static -with-collation=utf8_general_ci --with-extra-charsets=all --with-mysqld-ldflags=-all-static --with-mysqld-ldflags=-ltcmalloc --with-mysqld-user=mysql -with-plugins=partition,myisammrg --with-pthread --with-unix-socket-path=/tmp/mysql.sock --without-ndb-debug
make && make install將my.cnf放到/etc下,並安裝系統資料庫。
wget http://autolemp.googlecode.com/files/my.cnf
cp support-*/mysql.server /etc/init.d/mysqld
cp my.cnf /etc/
chmod 744 /etc/init.d/mysqld
cd /usr/local/mysql
chown -R mysql:mysql .
rm -rf sql-bench mysql-test
mkdir -p /data0/mysql/relaylog/
mkdir -p /data0/mysql/binlog/
chown -R mysql.mysql /data0/mysql
/usr/local/mysql/bin/mysql_install_db --user=mysql --basedir=/usr/local/mysql --datadir=/data0/mysql/data默認腳本會啟動MySQL。如果報錯,會在資料庫目錄里有錯誤日誌。
MySQL replication配置
1、MySQL安全設置
* 用mysqladmin命令來改root用戶口令
# mysqladmin -uroot password 51cto.com//設置MySQL管理操作用戶root的密碼為51cto.com
* 用setpassword修改口令:
mysql> set password for root@localhost=password('51cto.com); * 直接修改user表的root用戶口令
mysql> use mysql;
mysql> update user set password=password('51cto.com') where user='root';
mysql> flush privileges; 2、刪除默認的資料庫和用戶。
我們的資料庫是在本地,並且也只需要本地的php腳本對mysql進行讀取,所以很多用戶都不需要。mysql初始化後會自動生成空用戶和test庫,這會對資料庫構成威脅,我們全部刪除。
mysql> drop database test;
mysql> use mysql;
mysql> delete from db; mysql> delete from user where not(host="localhost" anduser="root"); mysql> flush privileges;3、Master 機器設置許可權,賦予Slave機器FILE及Replication Slave權利,並打包要同步的資料庫結構。
Master# ./mysql -u root -p 51cto.com
Enter password:
Welcome to the MySQL monitor. Commands end with ; or \g.
Your MySQL connection id is 2 to server version: 5.1.60
Type 'help;'or '\h' for help. Type '\c' to clear the buffer.
mysql> GRANT FILE ON*.* TO slaverep@172.19.1.3 IDENTIFIEDBY 『slaverep』;
mysql> GRANT REPLICATION SLAVE ON *.* TO slaverep@172.19.1.3 IDENTIFIEDBY 『51cto.com』;
mysql> Flush privilege;賦予192.19.11.3也就是Slave 機器有File許可權, 這個5.1.60版對replication的許可權好像做了調整,只賦予Slave機器有File許可權還不行,還要給它REPLICATION SLAVE的許可權才可以。
Master 導入CDN。Sql文件建立CDN數據結構
# mysql -uroot -p 51cto.com
mysql> create database cdn;
mysql> \q
# mysql cdn -uroot -p 51cto.com < cdn.sql #cdn.sql文件所在的位置這樣master 就有了CDN庫的數據結構。
Slave一樣。這樣不再重複。
然後,設置主伺服器Master的my.cnf,啟動Mysql服務
Master# vi /etc/my.cnf 在添加或修改以下的內容:
log-bin=/home/data/mysql/data/binlog/binlog #打開logbin選項以能寫到slave的 I/O線程;
server-id=1 #表示是本機的序號為1,一般來講就是master的意思.
binlog-do-db=cdn #表示同步cdn資料庫; 然後把Master主伺服器的MySQL重啟。
Master# service mysqld restart4、修改Slave伺服器的my.cnf
Slave# vi /etc/my.cnf 在添加或修改以下的內容:
master-host=192.19.13.15
master-user=slaverep
master-password=51cto.com
master-port=3306
server-id=10
master-connect-retry=60
replicate-do-db=cdn [要更新的資料庫]
log-slave-updates 5、刪除Slave端資料庫目錄中的master.info
Slave# rm -f master.info 6、重啟動Slave的MySQL服務。
Slave# service mysqld restart7、測試
先檢測兩個MySQL資料庫中的cdn是否正常。正常情況應該是Master和Slave 中的MySQL都有相同的cdn資料庫,並且裡面的數據都一樣。然後測試replication功能是否起用。在Master中的reptest資料庫添加一筆數據:
Master# mysql -u root -p
Enter password:
Welcome to the MySQL monitor. Commands end with ; or \g.
Your MySQL connection id is 12 to server version: 5.1.60
Type 'help;'or '\h' for help. Type '\c' to clear the buffer.
mysql> use cdn;
Database changed
mysql> INSERT INTO rep_table VALUES ('test1', '4321', 'T',24);
Query OK, 1 row affected (0.00 sec)
mysql> 然後查看Slave機器的reptest資料庫:
Slave# mysql -u root -p
Enter password:
Welcome to the MySQL monitor. Commands end with ; or \g.
Your MySQL connection id is 12 to server version: 5.1.49
Type 'help;'or '\h' for help. Type '\c' to clear the buffer.
mysql> use cdn;
Database changed
mysql>select * from reptable;
+------+------+------+------+
| id | name| sex | age |
+------+------+------+------+
| test1|4321 | T | 24 |
+------+------+------+------+
1 row in set(0.00 sec)
mysql> source /root/etc/cdn.sql #導入壓縮包中的cdn.sql這樣就ok了。接下來是一些性能方面的調優。
為MySQL添加TCMalloc庫降低系統負載
TCMalloc(Thread-CachingMalloc)是google開發的開源工具──「google-perftools」中的成員。與標準的glibc庫的malloc相比,TCMalloc在內存的分配上效率和速度要高得多,可以在很大程度上提高MySQL伺服器在高併發情況下的性能,降低系統負載。
1、64位操作系統請先安裝libunwind庫,32位操作系統不要安裝。libunwind庫為基於64位CPU和操作系統的程序提供了基本的堆棧輾轉開解功能,其中包括用於輸出堆棧跟蹤的API、用於以編程方式輾轉開解堆棧的API以及支持C++異常處理機制的API。
wget http://download.savannah.gnu.org/releases/libunwind/libunwind-0.99.tar.gz
tar zxvf libunwind-0.99.tar.gz
cd libunwind-0.99/
CFLAGS=-fPIC ./configure
make CFLAGS=-fPIC
make CFLAGS=-fPIC install2、安裝google-perftools:
wget http://google-perftools.googlecode.com/files/google-perftools-1.6.tar.gz
tar zxvf google-perftools-1.6.tar.gz
cd google-perftools-1.6/
./configure
make && make install
echo "/usr/local/lib" >/etc/ld.so.conf.d/usr_local_lib.conf
/sbin/ldconfig3、修改MySQL啟動腳本(根據你的MySQL安裝位置而定):
vi /usr/local/mysql/bin/mysqld_safe在# executingmysqld_safe的下一行,加上:
export LD_PRELOAD=/usr/local/lib/libtcmalloc.so保存後退出,然後重啟MySQL服務。
4、使用lsof命令查看tcmalloc是否起效:
lsof -n | grep tcmalloc如果出現以下信息,說明tcmalloc已經起效:
mysqld 10847 mysql mem REG 8,5 1203756 20484960/usr/local/lib/libtcmalloc.so.0.0.0MySQL部分配置到此完畢,下面可以進入正題了:安裝配置Bind-dlz。
四、安裝配置Bind-DLZ 及相關腳本
1、安裝bind
#mkdir /usr/local/src/bind-dlz
#cd /usr/local/src/bind-dlz
#wget http://ftp.isc.org/isc/bind9/9.6.0-P1/bind-9.6.0-P1.tar.gz
#tar zxvf bind-9.6.0-P1.tar.gz
#cd bind-9.6.0-P1
#./configure --with-dlz-mysql --enable-largefile --enable-threads=no--prefix=/usr/local/bind
#make -j4 && make install2、創建相關配置文件
cd /usr/local/bind/etc
../sbin/rndc-confgen >rndc.conf
tail -n10 rndc.conf | head -n9 | sed -e s/#\//g >named.conf
# vilocalhost.zone
ttl 86400
@ IN SOA localhost. root.localhost. (
1997022700 ; Serial
28800 ; Refresh
14400 ; Retry
3600000 ; Expire
86400 ) ; Minimum
IN NS localhost.
1 IN PTR localhost.
# dig >named.root編輯named.conf:
#vi named.conf最下面加入:
include"/usr/local/bind/etc/cnc_acl.conf"; //網通ACL
include "/usr/local/bind/etc/telecom_acl.conf"; //電信ACL
include "/usr/local/bind/etc/view.conf"; //DLZ相關的配3、配置DNSTSIG
使用dnssec-keygenfunction 產生加密密鑰,一個為public key,另一個為private key,本文假設應用伺服器存在CNC,TELECOM,EDU,ANY
(1)產生加密金鑰
#cd /usr/local/bind/sbin
#./dnssec-keygen -a hmac-md5 -b 128 -n HOST cnc
#./dnssec-keygen -a hmac-md5 -b 128 -n HOST telecom
#./dnssec-keygen -a hmac-md5 -b 128 -n HOST edu
#./dnssec-keygen -a hmac-md5 -b 128 -n HOST any(2)查看生成的密鑰文件
# cat Kcnc.+157+24406.private //以網通為例.
Private-key-format: v1.2
Algorithm: 157 (HMAC_MD5)
Key: YTjTOw00PzeEaasA16/Rvw==
Bits: AAA= 將 YTjTOw00PzeEaasA16/Rvw== 加入到named.conf,其它同例。
詳細請參照named.conf配置文件
配置named.conf
#vi /usr/local/bind/etc/named.conf
key "rndc-key" {
algorithm hmac-md5;
secret "5PubnjGuAWeH9F2dIUYd6g==";
};
controls {
inet 127.0.0.1 port 953
allow { 127.0.0.1; } keys {"rndc-key"; };
};
options {
directory "/usr/local/bind/etc";
pid-file "named.pid";
};
#TSIG-key
key "cnc" {
algorithm hmac-md5;
secret "YTjTOw00PzeEaasA16/Rvw==";
};
key "telecom" {
algorithm hmac-md5;
secret"pUcQGLpSH2tQgVZ9ZHU6Yg==";
};
key "edu"{
algorithm hmac-md5;
secret"Bzo6MTzrzbRFQbONYTS1Cw==";
};
key "any"{
algorithm hmac-md5;
secret"DHpPfGJdMLv91OygBf9H6w==";
};
#acl
acl"dns-ip-list"{
172.19.3.15; #masterDNS IP
172.19.1.3; #slaveDNS IP
};
#acl include
include"/usr/local/bind/etc/cnc_acl.conf"; //網通ACL
include"/usr/local/bind/etc/telecom_acl.conf"; //電信 ACL
include"/usr/local/bind/etc/edu_acl.conf"; //教育網ACL
include"/usr/local/bind/etc/view.conf"; //bind-view部分3、Bind啟動腳本
#!/bin/bash
# chkconfig: 345 71 71
# description:bind daemondcase"$1" in
start)
if [ -x/usr/local/bind/sbin/named ]; then
/usr/local/bind/sbin/named -c /usr/local/bind/etc/named.conf -u bind
echo "BIND9-named server started"
fi
;;
stop)
kill `cat/usr/local/bind/etc/named.pid` && echo . && echo 'BIND9 serverstopped'
;;
restart)
echo .
echo "Restart BIND9 server"
$0 stop
sleep 10
$0 start
;;
reload)
/usr/local/bind/sbin/rndcreload
;;
status)
/usr/local/bind/sbin/rndcstatus
;;
*)
echo"$0 start | stop | restart |reload |status"
;;
esac
chkconfig --add bind9
service bind9 start#啟動bind
service bind9 reload# 重載bind
service bind9 restart# 重啟bind剩餘文檔見etc.tar.gz這個文件,裡面很詳細。部署master時候用tar zxf etc.tar.gz -C /usr/local/bind/etc覆蓋即可,剩下的slave在部署bind還是將配置文件解壓到/usr/local/bind/etc/即可,將rndc-key 和dnssec重新配置一遍就可以用了!
另外,web管理界面可以在這裡下載(下載之後解壓縮,然後上傳到你的NameServer下即可):
http://down.51cto.com/data/296744
注意事項
部署DNS,防火牆和路由器要設置清楚,我部署的時候就是因為硬防沒有對master和slave伺服器開放tcp和udp53埠,造成不能解析域名。需要大家切記!
本文出自 「曉輝」 博客,請務必保留此出處http://coralzd.blog.51cto.com/90341/729847
《解決方案》
沙發,自己頂一下,該案例在線上跑了快2年。
《解決方案》
DB做域名存儲有兩個要點,一是DB要足夠快,就是說要頂得住查詢壓力;二是DB的穩定性要過關(一般用集群模式來解決這個問題)。 相比較傳統的文本存放域名模式速度與穩定性要好很多,但是海量域名存儲是短板。
《解決方案》
回復 1# coralzd
沒看見壓縮包啊。。。。。。。。。。
《解決方案》
wyycomeon 發表於 2012-06-05 21:40 static/image/common/back.gif
回復 1# coralzd
看最後的鏈接
《解決方案》
bind 我覺得挺好的。本身就支持view智能dns了。reload和大量域名的性能問題對我不是問題,反正也沒幾個域名。至於大負荷下的查詢,又不是電信的dns伺服器,也就解析一下自己的幾個域名下的zone,能有多少壓力。
