Nesmrtelné síťové služby

Zařízení typu appliance krabička Infoblox-1000 DNSone poskytuje DNS a DHCP služby. Pokud přirovnáme počítačovou s...


Zařízení typu appliance krabička Infoblox-1000 DNSone poskytuje DNS a DHCP
služby.

Pokud přirovnáme počítačovou síť k autu, pak je DNS klíček k zapalování. Když
toto přirovnání dále rozvedeme, tak s trochou fantazie můžeme označit DHCP za
baterii. Obě služby patří v síti mezi nejjednodušší, ale žádná síť se bez nich
"nerozjede". Bez DHCP by se správa adres stala noční můrou a bez DNS se v síti
zase nikdo nikam nedostane.
V podnikové síti jsou tyto služby obvykle umístěny na stejném místním nebo na
centrálním serveru, který diktuje rozsah DHCP všem vzdáleným pobočkám a
obsluhuje DNS dotazy na všech WAN linkách. Ačkoliv jsou v takové architektuře
vzdálené sítě odkázány na služby centrální WAN, správci sítě jim obvykle dávají
přednost vyhnou se tak instalaci komplikovaně spravovatelných serverů na
vzdálených pracovištích. Dalším způsobem, jak zajistit nonstop DNS a DHCP
služby ve vzdálených nebo minimálně obsluhovaných lokalitách, je nasazení
snadno clusterovatelného zařízení Infoblox od stejnojmenné americké společnosti.
Infoblox-1000 DNSone se velmi snadno nastavuje. Jakmile jej zapnete, přiřadí si
IP adresu 192.168.1.2 a je okamžitě dostupný prostřednictvím webového rozhraní.
IP parametry můžete nastavovat rovněž s využitím čelního LCD panelu nebo přes
sériové rozhraní.

Vstup do DNS zóny
Jakmile je zařízení zapojeno do sítě, lze jej řídit prostřednictvím Java
rozhraní a SSL komunikace přes webový prohlížeč. Bez problémů jsme přitom
používali Firefox (na Linuxu, Macu i Windows) a Internet Explorer. Máme však
dvě připomínky: lépe pracuje klient Javy verze 1.4 než novější 1.5 a po
některých administrátorských úkonech týkajících se základních parametrů
nastavení byl vyžadován úplný restart prohlížeče. V některých případech bylo k
obnovení činnosti webového rozhraní dokonce nutné restartovat celé klientské PC.
Velmi dobře je koncipována administrátorská konzole. Snadno lze například
přidat či odstranit zóny, změnit jejich rozsah či zobrazit údaje o stávajícím
nastavení. Vzhledem k tomu, že Infoblox obsahuje sady aplikací Internet System
Consortium BIND (Berkeley Internet Name Daemon) a DHCPD (Dynamic Host Control
Protocol Daemon), najdeme zde skutečně všechny možné funkce a nastavení. Přímo
jsou podporovány adresářové služby Active Directory od Microsoftu, takže
Infoblox v tomto prostředí bez problémů pracuje jako DNS. Řešení rovněž plně
podporuje dynamickou registraci a s dynamickým uvolňováním DNS si poradí lépe
než Microsoft DNS server. Protože jsou informace ze serverů uloženy v centrální
databázi Infobloxu, dojde při vypršení platnosti DHCP automaticky k uvolnění
adresy i ukazatele záznamů, čímž se předchází problémům s tzv. "DNS duchy".
Možnost konfigurace dvou zařízení Infoblox-1000 DNSone do aktivního/pasivního
clusteru a kombinace se speciální synchronizací a protokolem VRRP (Virtual
Routing Redundancy Protocol) otevírá dveře k režimu vysoké dostupnosti (HA) a
dalšímu clusterování. Komunikace mezi zařízeními uvnitř clusteru probíhá velmi
elegantně prostřednictvím šifrovaného tunelu. Navíc uzly s vysokou dostupností
je možné clusterovat do jediného zařízení nebo do matice a celý systém
spravovat z jedné řídicí konzole. Možná je i automatická aktualizace operačního
systému jednotlivých uzlů clusteru, automatická synchronizace zón a jejich
společná správa to vše poskytuje Infoblox jednoduše a přehledně. Cena za jeden
uzel ve výši 4 995 dolarů je poměrně vysoká, nicméně možnost správy všech
zařízení v síti z jediné konzole administraci výrazně zjednodušuje.

Možnosti a rychlost
V naší laboratoři jsme ze zařízení Infoblox-1000 s pomocí L3 přepínače a
samostatných VLAN postavili dva HA clustery. Jako DHCP a DNS klienty jsme
použili několik notebooků a jako generátor zátěže server Dell PowerEdge 2600
(osazen dvěma procesory Xeon s OS Red Hat Advanced Server 4).
Nejprve jsme však na jiném linuxovém serveru vytvořili DNS zónu se 100 000
záznamy a stejnou zónu nakonfigurovali i na Infobloxu. V rámci dialogu tvorby
zóny můžete nastavit hlavní (master) zónu a následně ji z jiného serveru
prostřednictvím DNS AXFR (Asynchronous Full Transfer Zone) naimportovat, což se
ukázalo jako velmi praktické. Poté jsme zónu se 100 000 záznamy přenesli do
clusteru a vytvořili odpovídající zrcadlovou zónu. Zde se ale objevil problém.
Během importu velké zrcadlové zóny přestal cluster pracovat. Odezvu jsme
nezískali ani prostřednictvím sériového rozhraní. Ani vypnutí a zapnutí
jednotlivých zařízení problém nevyřešilo. Když jsme jim však poté dali delší
čas (pravděpodobně k provedení kontroly souborového systému po startu), tak se
cluster restartoval do předchozího stavu. Opakovaný import zóny již stejný
problém nevyvolal.
Jakmile byla velká zóna na místě, pustili jsme se do měření výkonu celého
clusteru. Systém dosáhl maxima vyřízení zhruba 22 700 dotazů za sekundu, což by
mělo dostačovat téměř pro všechny aplikace. Během importu další zóny
prostřednictvím grafického rozhraní jsme zaznamenali znatelný pokles množství
obsloužených dotazů. Infoblox-1000 si vedl dobře i ve srovnání se serverem Dell
PowerEdge 2800 se dvěma 3,4GHz procesory Xeon EM64T, OS Red Hat Enterprise
Linux 4 a BIND name serverem, který zodpověděl za sekundu zhruba 36 000 dotazů.
Testování probíhalo na zóně se 100 000 záznamy, přičemž v zájmu větší reálnosti
testu se testovací dotazy týkaly pouze 100 vybraných záznamů. Při použití
celého spektra 100 000 záznamů výkon Infobloxu vzhledem k přesycení vyrovnávací
paměti znatelně klesl. Server PowerEdge v takové situaci výkon udržel téměř na
stejné úrovni.
Následně jsme testovali rychlost převzetí činnosti od zhavarovaného zařízení.
Spustili jsme skript, který se každou sekundu dotazoval na virtuální IP adresu
(VIP) clusteru. Poté jsme nasimulovali selhání hlavního uzlu. Nejprve k
očekávané akci nedošlo, pasivní uzel z nějakých důvodů roli primárního
nepřevzal. Vyměnili jsme tedy podezřelé zařízení za jiný Infoblox a znova
sestavili HA clustr. Druhá konfigurace pracovala naprosto bez problémů.
Kompletní převzetí činnosti od zhavarované části systému proběhlo během pěti
sekund. Clusterování zařízení Infoblox--1000 DNSone je neuvěřitelně snadné. Ke
konfiguraci zařízení od vybalení z krabice až po zprovoznění funkčního uzlu
clusteru postačí zhruba pět minut vašeho času a během dalších pár minut je
hotová synchronizace zóny a veškerých dat.

Závěr
Infoblox odvádí pořádný kus práce. Pokud máte zájem o skutečně spolehlivé DNS a
DHCP služby ve větší síti, pak si toto zařízení zaslouží vaši bližší pozornost.
Ačkoliv administrace DNS a DHCP není příliš složitá, nabízená vysoká
dostupnost, možnosti clusterování a jednoduché nastavení v jediném zařízení
činí z produktu Infoblox-1000 DNSone atraktivní nabídku.

Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.