У сервера было 2 адреса, которые принадлежат различным сегментам сети. Днс сервер один, что не очень правильно. Появился сервер 2, размещенный физически в другом ДЦ. Встал вопрос каким же образом передать view одинаково называющихся зон.
У меня работает dns сервер, настроенный по этойзаметке, который обслуживает несколько view. У сервера было 2 адреса, которые принадлежат различным сегментам сети. Днс сервер один, что не очень правильно. Появился сервер 2, размещенный физически в другом ДЦ. Встал вопрос каким же образом передать view одинаково называющихся зон.
Мне повезло, помимо "белых" адресов, у меня было общее пространство серых адресов. Поэтому я настроил PBR фаирвол и сделал следующую запись в одной из view:
zone "it-e.ru" in { type slave; masters { 10.10.4.5; }; file "slave/it-e.ru-int"; allow-query { any; }; };
Таким образом ведущий сервер увидит, что клиент принадлежит определнной view и отдаст нужную нам зону.
Но это мне повезло, что есть возможность делать запросы с разных ип к ведущему серверу. Что же делать, если такой возможности нет?
В этом случае необходимо подписывать свои запросы. И в соответствующих въюшках запрещать опрос, подписанный соответствующим ключом. Поэтому сделаем настройки на ведущем и ведомом серверах. Итак:
Ведущий севрер:
key "external" { algorithm hmac-md5; secret ""; }; view "internal" { match-clients { !key external; int_clients; }; . . . ваш конфиг дальше . . . }; view "external" { match-clients { key external; any; }; server <адрес слейв севрера> { keys external; }; . . . ваш конфиг дальше . . . };
Ведомый:
key "external" { algorithm hmac-md5; secret ""; }; view "internal" { match-clients { !key external; any; }; . . . ваш конфиг дальше . . . }; view "external" { match-clients { key external; any; }; server <адрес мастер сервера> { keys external; }; . . . ваш конфиг дальше . . . };
Ну вот и все. Теперь вы являетесь владельцем весьма хитро закрученного днс.
Комментарии (0)
Добавление комментариев закрыто.