Bonjour à toustes !
Après avoir lu dans un poste que les chatons n’hébergeaient pas leur service DNS, j’ai fait quelques petites stats à l’arrache sur les NS des domaines principaux des chatons (depuis cette liste Tous les chatons | CHATONS )
Sur un total de 116 serveurs DNS déclarés (en principaux ou secondaires) j’ai trouvé ceci :
6 anycast
46 gandi
4 he
2 infomaniak
3 koumbit
23 ovh
1 rachetjay.fr
31 auto-hébergés
Je ne suis pas sûr d’avoir le compte des auto-hébergés juste car je ne connais pas toutes les synergies entre orga, mais l’ordre de grandeur n’est pas trop faux.
On a donc un tiers/quart des chatons qui hébergent leurs DNS et le reste est dans l’industrie plus ou moins lourde.
Il semblerait que l’on a assez de chatons qui ont des serveurs DNS pour héberger les DNS secondaires ou primaires des autres.
Serait-il intéressant d’ajouter « Serveur DNS » à la liste des services que l’on peut trouver chez les chatons ?
Comment envisageriez-vous une telle organisation ?
Chez Jean-Cloud on a des serveurs DNS qui tournent bien mais qui sont assez atypiques (l’IP change de temps en temps par exemple). Cela semble un bon terrain pour faire un prototype solide si quelqu’un·e est intéressé·e.
Chez ARN on peut le faire à la main (héberger votre zone), mais on a pas d’interface pour vous permettre d’éditer la zone (ceci dit on pourrait vous proposer de pouvoir le faire avec nsupdate donc en cli…).
Je dis ça parce que dans des situations type installation, migration, restauration de services etc, ont peut vouloir changer « régulièrement » ses DNS… Dans ce contexte dépendre d’un admin tiers qui va écrire la zone à la main c’est pas toujours top.
A noter qu’on a netlib.re qui est hébergé chez nous, peut-être que le nouveau code de netlib.re (dont je retrouve plus la version de démo) permet de donner accès à un nom de domaine entier…
Pour héberger une zone secondaire, ça ne semble pas tant compliquer l’affaire (il faut se mettre d’accord au début puis ça roule).
Pour une zone primaire j’avais pensé à pull un fichier zone de bind par exemple d’un git (ou peu importe où) pour avoir un outil un peu plus automatisable.
C’est pas une mauvaise idée (le git pour le primaire), par contre faut voir comment éviter que le service soit bloqué à cause d’une erreur de configuration. on peut vérifier les conf pour éviter d’éteindre mais si la machine redémarre, ça peut poser soucis.
Et le git ne doit pas être sur le même nom de domaine qui est géré…
pour ma part je propose déjà du DNS secondaire (c’est manuel de mon côté, mais c’est pas très grave, comme indiqué : ça ne se configure qu’une seule fois et après ça roule tout seul)
Pour le primaire c’est pas prévu pour l’instant (j’ai jamais trouvé d’interface « utilisable » et mes DNS primaires sont actuellement configurés « statiquement »)
@kepon Est-ce que tu accepte d’être notre serveur secondaire pour une zone histoire de tester ? (Moins de qualité de service pour plus de beauté, c’est dans notre philosophie !)
Je peux en faire de même.
J’aimerai juste activer le DNSSEC avant (parce qu’il serait temps et pour ne pas te laisser la responsabilité en cas d’un spoofing)
Donc plutôt côté retzien.fr . J’en cause au bureau (parce que je suis pas seul à décider) mais je n’imagine pas d’opposition là dessus… Contact moi en privé quand c’est le moment pour toi.
David
Question de novice sur le DNS. De ce que je comprend il n’y a pas d’obligations que les deux soient identiques mais il n’y a pas de risques qu’un résolveur dns mal configuré tape sur le mauvais et donc prétende qu’un enregistrement n’existe pas si ils sont différents ?
Les DNS primaires et secondaires d’un domaine doivent répondre la même chose (modulo le délai de synchronisation quand on modifie des entrées, mais c’est très rapide quand même).
Les résolveurs vont normalement régulièrement refaire la chaîne DNS complète, donc je ne vois pas trop de raisons pour qu’ils aillent voir ailleurs
Ou alors je n’ai pas compris la question ?
Je rajoute une pièce, même si ce n’est pas sur la fiche puisque pas listé, le DNS fait bien partie des services que nous autohébergeons (primaire et secondaires) et hébergeons pour des tiers (quelques dizaines de domaines déjà). C’est un service mis en avant et généralement assez apprécié.
En s’y mettant à quelques uns je suis sûr que nous pouvons effectivement ramener la majorité des chatons en entre-hébergé à défaut que chacun maintienne son infrastructure.
Pour les yeux curieux, nous déployons du powerdns avec pdnsadmin, le tout sur un primaire hors ligne, et des secondaires stateless répartis dans un cluster auto-hébergé. La glue est ici : TeDomum / PDNS Acolyte · GitLab
Coucou, ce fil m’a motivé à me re-pencher sur l’infrastructure DNS de @CLUB1 notamment Configurer DNSSEC sur ns1.club1.fr - Forum CLUB1 et Échanger des DNS secondaires entre serveurs amis/CHATONS - Forum CLUB1. Jusqu’à il y a peu on avait seulement le serveur autoritaire primaire qui était auto-hébergé (on a qu’une seule machine en même temps ) avec des serveurs secondaires répliqués chez un fournisseur tiers (les 4 he.net c’était nous haha, enfin, plus que 3 maintenant, car on en a remplacé un par le serveur d’un ami).
Tout ça pour dire que maintenant CLUB1 aussi est prêt à faire des échanges de zones secondaires entre serveurs amis/CHATONS.
Et si jamais vous avez besoin d’un petit coup de pouce pour configurer DNSSEC et/ou le transfert de zone sur BIND vous pouvez aller checker les deux fils de notre forum en début de post.