Apps

全般

プロフィール

【対応機能リリース済み・完了】Cache DNS serverの指定方法について

komoriya9年以上前に追加

現在のmomentum DNS viewerでは、Cache DNS serverの範囲を、1つのCIDRをもって指定する方式としています。
これまではこの方式で困る状況について気が付いていなかったのですが、変更したほうがよいと思うようになりました。
現在の方式ではうまくいかないケースは次のような場合です。

  1. 複数のnetworkでCache DNS serverを運用しており、それを1つのCIDRでは表現したくない構成となっている
    複数の外部接続があり、そのそれぞれのnetworkで使用できるIPとしてCache DNS serverが運用されている
    無理に1つのCIDRにできないことはないが、この場合、非常に大きなmaskとなってしまい、意図した解析が困難になると考えられる

困るケースについて、気が付いている場合は、現在は上記の1つの場合です。

このtopicでは、次の点について、検討したいと思っています。

検討点1:どのような状況の際に、1つのCIDR設定では、うまくいかないか(妥当ではないか)
検討点2:いくつのCIDRが設定できるべきか

検討点1では、どのような理由でこの設定の自由度を変化させるべきかを正しく検討するための材料を収集したいいと思っています。
検討点2では、いくつのCIDRが設定できると妥当かを検討したいを思っています。

性能を考えなければ無制限にたくさんのCIDRを設定できるようにしてもよいのですが、実際には定期的にmomentum probeから
統計情報を収集する仕組みとしていることなどもあり、便利さを損なわない範囲で、設定は小さく・軽く・まとめておきたい、という思いもあるためです。

よろしくお願いします。


返答 (4)

RE: Cache DNS serverの指定方法について - komoriya9年以上前に追加

「検討点1」が前述の1.のみだとすると、「検討点2」は、「標準的に想定される外部network接続の数」が、CIDR設定で指定できるべき数となると思えています。

なにが普通なのか難しいですが、ふつう、いくつのnetworkに外部接続しているものでしょうか。
2つ、とかでしょうか・・・

RE: Cache DNS serverの指定方法について - kanaiduka9年以上前に追加

Cache Server S の指定をCIDR表記にした背景について補足しておきます。

  • 大規模のCache DNS はフロントにロードバランサを配置して、サーバを多重化している。
    これによって、サーバ単位のスケールアウトが可能。
  • Cache ServeからAuth Server間の統計情報は、キャッシュの効率性を測る上で重要な指標。
  • Cache ServeからAuth Serverへのクエリの増加はランダイマイズ攻撃を示唆する情報として有効。
トレンドレポートを作成する上の課題
  • Cache ServerからAuth Serverへのクエリの場合、サーバが複数あるためトレンドレポート作成用の検索条件(送信元IPアドレス)を一意に固定出来ない。
  • 代替案
    Cache Serverのアドレス表記にCIDRを利用することで、複数のサーバを論理的に一つにまとめる。
    個々のCache Serverの分析には向かないが、キャッシュDNSサービス全体のトレンドを把握する目的としてはこちらの方が適している。
    momentumのパケット検索システムは条件指定としてCIDRを利用することができる。

個人的な意見としては、ロードバランサ配下のネットワークが一意であれば現状の仕様で良いように思えます。

RE: Cache DNS serverの指定方法について - komoriya9年以上前に追加

コメントありがとうございます。

はい、そうでした。
実際には複数あるcache DNS server群を論理的に一つとみなすことにより、意味のある解析を実現しようと狙ったものでした。

最初から図を描いていればよかったのですが、こういうイメージで考えていたりします。
論理的に違いはあまりないですが、2枚描いてみました。

なんか、こういう構成、実際にはもっといろいろあるのだとは思うのですが、ありそうに思えています。
複数の上流ISPへの接続がある、というイメージです。

このとき、1setのcacheなら、cacheのCIDRは、「10.1.1.0/24」や、「10.2.1.0/24」と表現できるのですが、
この環境で両方を1つの論理的塊にしようとすると残念なCIDRになってしまいます。
(「10.0.0.0/8」までは必要ないとしても、「10.0.0.0/14」でしょうか・・・)

幸い、pscliというか、PSSの機能では、同一のカラムに対してのor条件は利用できますので、使い勝手としては
そんなに変わることなく、できるように感じています。

従来の検索イメージ:(cache server群からのrequestの例)(1setのCIDRへのtrafficを見る場合)

ruby pscli.rb -c F -t 20150603090000 -d 60 -s 1 -n '14=0  2=10.1.1.0/24'

利用方式変更後の検索イメージ:(cache server群からのrequestの例)(2setのCIDRへのtrafficを見る場合)

ruby pscli.rb -c F -t 20150603090000 -d 60 -s 1 -n '14=0  2=10.1.1.0/24 10.2.1.1.0/24'

これ、そのまま解析したいことが実現できていい感じじゃないかと思っています。

あまりたくさん並べてもPSSの負荷が増えるだけですし、でも、より意味のある解析は実現したいし。
悩ましいと思っています。

こんなことを考えながら、もう一方では、
「別のnetworkなんだから、別々に解析する、でいいんじゃない?」、
のようにも思えます。

どのくらいの構成の設定自由度であることがDNSサーバ群の管理・把握のためのシステムとしてそれっぽいか、について悩んでいます。

RE: Cache DNS serverの指定方法について - komoriya9年以上前に追加

これまでは、cache DNS serverの指定は1つのCIDRまでが実施できる機能として実装していました。

このTopicではそれをどこまで拡張できるか、もとの表現でいうと、
「定期的にmomentum probeから統計情報を収集する仕組みとしていることなどもあり、便利さを損なわない範囲で、設定は小さく・軽く・まとめておきたい」
ということを考えてきました。

なかなか答えが一つになると思えない部分もありましたが、複数の設定はできるようにしたいと思いましたので、
まずはそこを実装しました。
ver1.4.0以降において、2つまでのCIDRを指定することができるようにしています。

はたして、いくつ指定できるべきなのか、答えはわかりませんが、これでいこうと思います。

ちなみに、同じタイミングで、TOP画面の一部で利用できる、ランキング除外のためのCIDR設定の指定については、これも、
従来は1つのCIDRまでだったのですが、これを拡張しています。
こちらはPSSへの通信の部分で条件を使用しているのではなく、App側で処理を実現できる内容でしたので、設定数に制限はつけていません。
必要なだけ設定して使うことができるようにしました。

cache DNSのCIDR指定を増やしたかった環境でお使いの場合には、どうぞver1.4.0以降をご利用ください。
(2015/7/23時点では、最新はver1.4.1です。)

    (1-4/4)