У сервера было 2 адреса, которые принадлежат различным сегментам сети. Днс сервер один, что не очень правильно. Появился сервер 2, размещенный физически в другом ДЦ. Встал вопрос каким же образом передать view одинаково называющихся зон.
У меня работает dns сервер, настроенный по этойзаметке, который обслуживает несколько view. У сервера было 2 адреса, которые принадлежат различным сегментам сети. Днс сервер один, что не очень правильно. Появился сервер 2, размещенный физически в другом ДЦ. Встал вопрос каким же образом передать view одинаково называющихся зон.
Мне повезло, помимо "белых" адресов, у меня было общее пространство серых адресов. Поэтому я настроил PBR фаирвол и сделал следующую запись в одной из view:
zone "it-e.ru" in {
type slave;
masters { 10.10.4.5; };
file "slave/it-e.ru-int";
allow-query { any; };
};
Таким образом ведущий сервер увидит, что клиент принадлежит определнной view и отдаст нужную нам зону.
Но это мне повезло, что есть возможность делать запросы с разных ип к ведущему серверу. Что же делать, если такой возможности нет?
В этом случае необходимо подписывать свои запросы. И в соответствующих въюшках запрещать опрос, подписанный соответствующим ключом. Поэтому сделаем настройки на ведущем и ведомом серверах. Итак:
Ведущий севрер:
key "external" {
algorithm hmac-md5;
secret "";
};
view "internal" {
match-clients { !key external; int_clients; };
. . . ваш конфиг дальше . . .
};
view "external" {
match-clients { key external; any; };
server <адрес слейв севрера> { keys external; };
. . . ваш конфиг дальше . . .
};
Ведомый:
key "external" {
algorithm hmac-md5;
secret "";
};
view "internal" {
match-clients { !key external; any; };
. . . ваш конфиг дальше . . .
};
view "external" {
match-clients { key external; any; };
server <адрес мастер сервера> { keys external; };
. . . ваш конфиг дальше . . .
};
Ну вот и все. Теперь вы являетесь владельцем весьма хитро закрученного днс.
Комментарии (0)
Добавление комментариев закрыто.