Keepalived test
Yüklə 13,79 Mb.
|
- Bu səhifədəki naviqasiya:
- Start of Authority ( SOA ) qatori
- Canonical Name ( CNAME
|
Yashash vaqti ( TTL ) yozuvning DNS serverida qancha vaqt keshlanishi mumkinligini aniqlaydi. Agar biz dig buyrug'i bilan mashq qilganimizni eslayotgan bo'lsangiz, ikkinchi marta dig bilan domenni so'raganingizda, so'rov vaqti birinchi marta buyruqni bajarganingizdan kamroq bo'lganini ko'rdingiz. Buning sababi shundaki, sizning DNS serveringiz natijani keshlab qo'ygan, lekin u abadiy saqlanmaydi. Bir nuqtada qidiruv muddati tugaydi. Keshlangan natija muddati tugagandan so'ng keyingi safar o'sha domenni qidirsangiz, serveringiz o'chadi va natijani yana DNS serveridan oladi. Mening misollarimda men Google DNS serverlaridan foydalanganman. Bu shuni anglatadiki, ma'lum bir nuqtada serveringiz rekord vaqt tugashi bilan o'sha serverlarni yana so'raydi.
Start of Authority ( SOA ) qatori bilan biz DNS serverimiz local.lan domenida vakolatli ekanligini aniqlaymiz: @ IN SOA local.lan. hostmaster.local.lan. ( Shuningdek, biz hostmaster@local.lan manzilini ushbu server uchun mas'ul tomonning elektron pochta manzili sifatida belgilab qo'ydik, lekin biz uni bog'lash uchun boshqa formatda kiritamiz ( hostmaster.local. lan ). Bu, shubhasiz, soxta manzil, lekin ichki DNS server maqsadlari uchun uning haqiqiyligi tashvishlanmaydi. Zona faylidagi barcha konfiguratsiya qatorlari ichida bizni eng ko'p xafa qiladigani serialdir: 202008161; serial Buning sababi shundaki, biz har qanday o'zgartirish kiritganimizda (IP manzilni o'zgartirish, xostni qo'shish yoki o'chirish va hokazo) zona faylini shunchaki yangilash etarli emas; seriya raqamini kamida bittaga oshirishni ham unutmasligimiz kerak. Agar buni qilmasak, bind faylning qolgan qismidan oldin seriya raqamiga qaraganligi sababli biz biron bir o'zgartirish kiritganimizdan xabardor bo'lmaydi. Muammo shundaki, siz ham, men ham odammiz va biz narsalarni unutishga moyilmiz. Men serialni ko'p marta yangilashni unutganman va DNS serveri yaqinda qo'shilgan yangi xostlarni hal qilishdan bosh tortganidan xafa bo'ldim. Men seriya raqamini oshirmaganimni eslaganimdan so'ng, muammo mendan keyin hal qilindi. Shuning uchun, har qanday zona fayliga o'zgartirish kiritganingizda, seriya raqamini ham oshirishingiz kerakligini yodda tutishingiz juda muhimdir. Format juda muhim emas; Men 202008161 dan foydalandim, ya'ni oddiygina yil, ikki xonali oy, ikki xonali kun va agar biz bir kunda bir nechta o'zgarishlar qilsak (ba'zida shunday bo'lishi mumkin) bizni qoplash uchun qo'shimcha raqam. Zona faylingizni har safar o'zgartirganingizda seriya raqamini bittaga oshirsangiz, qaysi formatni ishlatishingizdan qat'i nazar, yaxshi holatda bo'lasiz. Biroq, men bu erda bergan namunaviy format aslida bu sohada juda keng tarqalgan. Bu qiymatlar ikkilamchi DNS serverlariga yangilanishlarni qanchalik tez-tez tekshirilishini nazorat qiladi: 8H ; refresh 4H ; retry 4W ; expire 1D ) ; minimum Misol yangilash qiymati bilan biz har qanday ikkilamchi DNS serverlariga hudud yozuvlari yangilangan yoki yangilanmaganligini tekshirish uchun har sakkiz soatda tekshirishni buyuramiz. Qayta urinish maydoni, agar oxirgi marta xatolik yuz bergan bo'lsa, ikkinchi darajali ro'yxatdan o'tish uchun qancha kutishini belgilaydi. Ushbu bo'limdagi oxirgi ikkita variant, muddati tugaydi va minimal, mos ravishda zona faylining minimal va maksimal yoshini o'rnatadi. Yuqorida aytib o'tganimdek, DNS-ni bog'lash bilan to'liq muhokama qilish o'z-o'zidan butun kitobni tashkil qilishi mumkin. Hozircha, tajriba o'tkazish uchun sabab bo'lgunga qadar men ushbu qiymatlardan foydalanardim. Bu erda biz nom serverining o'zini aniqlaymiz: IN A 192.168.1.1 @ IN NS hermes.local.lan. Mening holimda server hermes deb ataladi va u 192.168.1.1 da joylashgan. Keyin, bizning faylimizda resurslarimizni nomi bo'yicha tarmog'imizda hal qilish uchun bir nechta xost yozuvlari bo'ladi: fileserv IN A 192.168.1.3 hermes IN A 192.168.1.1 mailserv IN A 192.168.1.5 pochta CNAME mailserver. web01 IN A 192.168.1.7 Bu misolda menda uchta xost bor: fileserv, mailserv va web01. Misolda, bularning barchasi manzil yozuvlari, ya'ni istalgan vaqtda bizning serverimiz ushbu nomlardan birini hal qilishni so'rasa, u tegishli IP-manzil bilan javob beradi. Agar bizning DNS serverimiz mashinaning asosiy DNS serveri sifatida o'rnatilgan bo'lsa, u fileserver so'ralganda 192.168.1.3 va web01 so'ralganda 192.168.1.7 bilan javob beradi. Pochta uchun yozuv maxsus hisoblanadi, chunki u manzil yozuvi emas, balki Canonical Name ( CNAME ) yozuvi. Bunday holda, u faqat mailserv ga ishora qiladi. Aslida, CNAME yozuvi shunday qiladi: u boshqa manbaga ko'rsatgich yaratadi. Bunday holda, agar kimdir pochta deb nomlangan serverga kirishga harakat qilsa, biz ularni haqiqiy server mailserveriga yo'naltiramiz. E'tibor bering, CNAME yozuvida biz IP-manzilni emas, balki u bog'langan resursning xost nomini kiritmayapmiz. Bundan tashqari, men DNS serverining o'zini ( hermes ) faylga qo'shganimni ham bilishingiz kerak. Siz buni yuqoridagi ikkinchi qatorda ko'rishingiz mumkin. Agar buni qilmasangiz, DNS server shikoyat qilishi va faylni yuklashni rad etishi mumkinligini aniqladim. Endi bizda zona fayli mavjud bo'lsa, biz undan foydalanishni boshlashimiz kerak. Birinchidan, biz bind9 xizmatini qayta ishga tushirishimiz kerak: sudo systemctl restart bind9 Buyruq tugagandan so'ng, xatolar mavjudligini tekshiring: systemctl status bind9 Siz xizmat holati faol (ishlayotgan) ekanligini ko'rishingiz kerak va qo'shimcha ravishda siz zona faylingiz uchun seriya raqami yuklanganligini bildiruvchi qatorni ko'rishingiz kerak. Agar siz xizmat ishlamayotganini va/yoki hudud faylingiz yuklanmaganligini ko'rsangiz, vaziyatni tekshirish paytida chiqishda aniq ma'lumotlarni ko'rishingiz kerak, bu sizni to'g'ri yo'nalishga ko'rsatishi kerak. Agar yo'q bo'lsa, siz tizim jurnalida ulanishga oid maslahatlar uchun ham tekshirishingiz mumkin: cat /var/log/syslog | grep bind9 Men ko'rgan eng ko'p uchraydigan xatolar odatda fayl ichida izchil bo'lmasligidan kelib chiqadi. Masalan, agar siz boshqa IP sxemasidan foydalanayotgan bo'lsangiz (masalan 10.10.10.0/24 ), siz mening namunaviy IP manzillarimning birortasini tegishli sxema bilan almashtirishni unutmaganligingizga ishonch hosil qilishni xohlaysiz. Har bir narsa muammosiz o'tdi deb faraz qilsangiz, ushbu yangi DNS serverdan foydalanish uchun tarmog'ingizdagi qurilmalarni ko'rsatishingiz kerak. Nafaqat tarmoqdagi mahalliy ping qurilmalarini, balki tashqi manbalarni, masalan, veb-saytlarni ham sinab ko'ring. Agar DNS-server to'g'ri ishlayotgan bo'lsa, u sizning mahalliy nomlaringizni hal qilishi va so'rovlaringizni tashqi DNS serverlaringizga (biz ekspeditor sifatida o'rnatgan ikkitasini) yuborishi kerak, agar u siz izlayotgan narsani mahalliy sifatida topa olmasa. Bundan tashqari, siz DNS ishlatadigan port bo'lgan tarmog'ingiz xavfsizlik devorida 53 -port ochiq ekanligiga ishonch hosil qilishni xohlaysiz. Bu muammo bo'lishi juda kam uchraydi, lekin men buni ko'rganman. DNS serverimizni qo'shimcha tekshirish uchun biz keshlash bilan tajriba o'tkazganimizda bo'lgani kabi dig buyrug'idan foydalanishimiz mumkin. LANdagi mahalliy serverga, shuningdek, LANda bo'lmagan DNS manziliga (birinchi domenni LANdagi haqiqiy domenga o'zgartiring) qarshi qazib ko'ring: dig webserv.local.lan dig www.packtpub.com Quyidagiga o'xshash javobni ko'rishingiz kerak: ;; Query time: 1 msec ;; SERVER: 127.0.0.53#53(127.0.0.53) ;; WHEN: Sat Feb 10 10:00:59 EST 2020 ;; MSG SIZE rcvd: 83 Bu yerda siz qidirayotgan narsa mahalliy manbalar va tashqi veb-saytlarni hozir hal qilishdir. Ehtimol, chiqishda foydalanilgan DNS-server biz o'rnatgan DNS server manzili emas, balki mening chiqishimda bo'lgani kabi, mahalliy xost manzili sifatida ko'rinishini sezasiz. Aslida, siz buni e'tiborsiz qoldirishingiz mumkin. Hozirgi vaqtda Linux-ning aksariyat distributorlari mahalliy kompyuteringizda DNS qidiruv natijalarini keshlaydigan mahalliy rezolyutsiyalardan foydalanadi. Sizning kompyuteringiz hali ham biz o'rnatgan DNS serveridan foydalanmoqda, lekin kompyuteringiz va DNS server o'rtasida qo'shimcha qatlam mavjud. Buni quyidagi buyruq bilan tekshirishingiz mumkin: systemd-resolve --status | grep "DNS Servers" Chiqish sizga DNS qidiruvlaringizga javob beradigan haqiqiy serverning IP manzilini ko'rsatadi. Keyinchalik, internet shlyuzini sozlash jarayonini ko'rib chiqamiz, bu sizning tarmog'ingizda internetga ulanishingiz va ichki tarmog'ingiz o'rtasida qurilma vazifasini bajaradigan yo'riqnoma yoki xavfsizlik devori mavjud bo'lmasa, e'tiborga olinadigan variant. Yüklə 13,79 Mb. Dostları ilə paylaş:
|