智能DNS配置详解.docx
- 文档编号:30169120
- 上传时间:2023-08-05
- 格式:DOCX
- 页数:12
- 大小:20.65KB
智能DNS配置详解.docx
《智能DNS配置详解.docx》由会员分享,可在线阅读,更多相关《智能DNS配置详解.docx(12页珍藏版)》请在冰豆网上搜索。
智能DNS配置详解
智能DNS配置详解
XX网NS服务器为FreeBSD下的Bindmaster/slave,起初因为访问量不太大,这个架构完全可以胜任,但是随着域名的增加,维护zone文件变得越来越复杂,一旦书写有误,会造成Bind无法解析域名。
所以,特此部署了BindDLZMysql,经过一个月的上线测试,发现其负载很小,每秒5qps。
不存在mysqltimeout问题,因为mysql每时每刻都在查询.在这里感谢老曹的鼎力相助!
目录
一、相关术语简介
二、智能DNS系统服务规划
三、MYSQLReplication及添加GoogleTCMALLOC库降低系统负载
四、安装配置Bind-DLZ及相关脚本
五、测试Bind-DLZ相关总结
一相关术语简介:
1、智能DNS(Bind-view):
智能DNS的原理很简单:
在用户解析一个域名的时候,判断一下用户的IP,然后跟DNS服务器内部的IP表匹配一下,看看用户是电信还是网通用户,然后给用户返回对应的IP地址。
目前的域名服务运营商不提供智能DNS服务,所以必须自行架设DNS服务或者使用网上免费的智能DNS服务,如DNSPOD.
2.Bind-DLZ
Bind-DLZ主页:
http:
//bind-
DLZ(DynamicallyLoadableZones)与传统的BIND9不同,BIND的不足之处:
*BIND从文本文件中获取数据,这样容易因为编辑错误出现问题。
*BIND需要将数据加载到内存中,如果域或者记录较多,会消耗大量的内存。
*BIND启动时解析Zone文件,对于一个记录较多的DNS来说,会耽误更多的时间。
*如果近修改一条记录,那么要重新加载或者重启BIND才能生效,那么需要时间,可能会影响客户端查询。
而Bind-dlz即将帮你解决这些问题,对Zone文件操作也更方便了,直接对数据库操作,可以很方
便扩充及开发管理程序。
二、智能DNS系统服务规划
1、NameServer服务器注册(到新网或者万网后台添加)
192.19.13.15
192.19.11.3
NS1是master,NS2是slave。
两者数据通过mysql来同步。
2、测试NS记录是否生效
#digns
#+trace
3、Bind-View规划
网通(CNC) 124.133.11.78
电信(TELECOM)58.56.11.153
移动(ANY)120.192.11.13
三、MYSQLReplication在Ubuntu上的安装
Ubuntu上安装Mysql5.1.51
因新安装的Ubuntu没有zlib-dev库和ncurses,需要执行apt-get来安装他们
#apt-getinstallzlib1g-devncurses
首先下载mysql-5.1.51.tar.gz,并解压.
#cdmysql-*
#shmysql.sh
脚本执行完毕后,将f放到/etc下
#mvf/etc/
默认脚本会启动mysql,如果报错,会在数据库目录里有错误日志。
Mysqlreplication配置
1、Mysql安全设置
* 用mysqladmin命令来改root用户口令#mysqladmin-urootpasswordlinuxtone.org//设置MySQL管理操作用户root的密码为52netseek
* 用setpassword修改口令:
mysql>setpasswordforroot@localhost=password('linuxtone.org);
* 直接修改user表的root用户口令
mysql>usemysql;
mysql>updateusersetpassword=password('linuxtone.org')whereuser='root';
mysql>flushprivileges;
2.删除默认的数据库和用户我们的数据库是在本地,并且也只需要本地的php脚本对mysql进行读取,所以很多用户不需要。
m
ysql初始化后会自动生成空用户和test库,这会对数据库构成威胁,我们全部删除。
我们使用mysql客户端程序连接到本地的mysql服务器后出现如下提示:
mysql>dropdatabasetest;
mysql>usemysql;
mysql>deletefromdb;
mysql>deletefromuserwherenot(host="localhost"anduser="root");
mysql>flushprivileges;
Mysqlreplication设置
3、Master机器设置权限,赋予Slave机器FILE及ReplicationSlave权利,并打包要同步的数据库结构。
Master#./mysql–uroot–plinuxtone.org
Enterpassword:
WelcometotheMySQLmonitor.Commandsendwith;or\g.
YourMySQLconnectionidis2toserverversion:
5.1.51
Type'help;'or'\h'forhelp.Type'\c'toclearthebuffer.
mysql>GRANTFILEON*.*TOslaverep@172.19.1.3IDENTIFIEDBY‘slaverep’;
mysql>GRANTREPLICATIONSLAVEON*.*TOslaverep@172.19.1.3IDENTIFIEDBY‘linuxtone.org’;
mysql>Flushprivilege;
赋予192.19.11.3也就是Slave机器有File权限,这个5.1.51版对replication的权限好像做了调整,只赋予Slave机器有File权限还不行,还要给它REPLICATIONSLAVE的权限才可以。
Master导入CDN。
Sql文件建立CDN数据结构
#mysql–uroot–plinuxtone.org
Mysql>createdatabasecdn;
Mysql>\q
#mysql
cdn–uroot–plinuxtone.org 这样master就有了CDN库的数据结构。 Slave一样。 这样不再重复 2设置主服务器Master的f,启动Mysql服务 Master#vi/etc/f 在[mysqld]添加或修改以下的 [mysqld] log-bin=/home/data/mysql/data/binlog/binlog#打开logbin选项以能写到slave的I/O线程; server-id=1#表示是本机的序号为1,一般来讲就是master的意思. binlog-do-db=cdn#表示同步cdn数据库; PS: 提供的My。 Cnf比较详细。 然后把Master主服务器的Mysql重启。 Master#servicemysqldrestart 4、修改Slave服务器的f Slave#vi/etc/f 在[mysqld]添加或修改以下的 master-host=192.19.13.15 master-user=slaverep master-password=linuxtone.org master-port=3306 server-id=10 master-connect-retry=60 replicate-do-db=cdn[要更新的数据库] log-slave-updates 5、删除Slave端数据库目录中的master.info Slave#rm-fmaster.info 6、重启动Slave的slavestart。 Slave#servicemysqldrestart 7、测试先检测两个Mysql数据库中的cdn是否正常。 正常情况应该是Master和Slave中的Mysql都有相同的cdn数据库,并且里面的数据都一样。 然后测试replication功能是否起用。 在Master中的reptest数据库添加一笔数据: Master#mysql–uroot-p Enterpassword: WelcometotheMySQLmonitor.Commandsendwith;or\g. YourMySQLconnectionidis12toserverversion: 5.1.51 Type'help;'or'\h'forhelp.Type'\c'toclearthebuffer. mysql>usecdn; Databasechanged mysql>INSERTINTOrep_tableVALUES('test1','4321','T',24); QueryOK,1rowaffected(0.00sec) mysql> 然后查看Slave机器的reptest数据库: Slave#mysql–uroot–p Enterpassword: WelcometotheMySQLmonitor.Commandsendwith;or\g. YourMySQLconnectionidis12toserverversion: 5.1.49 Type'help;'or'\h'forhelp.Type'\c'toclearthebuffer. mysql>usecdn; Databasechanged mysql>select*fromreptable;; +------+------+------+------+ |id|name|sex|age| +------+------+------+------+ |test1|4321|T|24| +------+------+------+------+ 1rowinset(0.00sec) 为mysql添加TCMalloc库降低系统负载 TCMalloc(Thread-CachingMalloc)是google开发的开源工具──“google-perftools”中的成员。 与标准的glibc库的malloc相比,TCMalloc在内存的分配上效率和速度要高得多,可以在很大程度上提高MySQL服务器在高并发情况下的性能,降低系统负载。 1、64位操作系统请先安装libunwind库,32位操作系统不要安装。 libunwind库为基于64位CPU和操作系统的程序提供了基本的堆栈辗转开解功能,其中包括用于输出堆栈跟踪的API、用于以编程方式辗转开解堆栈的API以及支持C++异常处理机制的API。 wgethttp: //download.savannah.gnu.org/releases/libunwind/libunwind-0.99.tar.gz tarzxvflibunwind-0.99.tar.gz cdlibunwind-0.99/ CFLAGS=-fPIC./configure makeCFLAGS=-fPIC makeCFLAGS=-fPICinstall 2、安装google-perftools: wgethttp: //google- tarzxvfgoogle-perftools-1.6.tar.gz cdgoogle-perftools-1.6/ ./configure make&&makeinstall echo"/usr/local/lib">/etc/ld.so.conf.d/usr_local_lib.conf /sbin/ldconfig 3、修改MySQL启动脚本(根据你的MySQL安装位置而定): vi/usr/local/mysql/bin/mysqld_safe 在#executingmysqld_safe的下一行,加上: exportLD_PRELOAD=/usr/local/lib/libtcmalloc.so 保存后退出,然后重启MySQL服务器。 4、使用lsof命令查看tcmalloc是否起效: lsof-n|greptcmalloc 如果发现以下信息,说明tcmalloc已经起效: mysqld10847mysqlmemREG8,5120375620484960/usr/local/lib/libtcmalloc.so.0.0.0 四.安装配置Bind-DLZ及相关脚本 1.安装bind #mkdir/usr/local/src/bind-dlz #cd/usr/local/src/bind-dlz #wgethttp: //ftp.isc.org/isc/bind9/9.6.0-P1/bind-9.6.0-P1.tar.gz #tarzxvfbind-9.6.0-P1.tar.gz #cdbind-9.6.0-P1 #./configure--with-dlz-mysql--enable-largefile--enable-threads=no--prefix=/usr/local/bind #make–j4&&makeinstall 2.创建相关配置文件 cd/usr/local/bind/etc ../sbin/rndc-confgen>rndc.conf tail-n10rndc.conf|head-n9|sed-es/#\//g>named.conf #vilocalhost.zone ttl86400 @INSOAlocalhost.root.localhost.( 1997022700;Serial 28800;Refresh 14400;Retry 3600000;Expire 86400);Minimum INNSlocalhost. 1INPTRlocalhost. #dig>named.root #vinamed.conf在后面加入如下: include"/usr/local/bind/etc/cnc_acl.conf";//网通ACL include"/usr/local/bind/etc/telecom_acl.conf";//电信ACL include"/usr/local/bind/etc/edu_acl.conf";//教育网ACL include"/usr/local/bind/etc/view.conf";//DLZ相关的配 3、配置DNSTSIG 1、使用dnssec-keygenfunction产生加密密钥,一个为publickey,另一 个为privatekey,本文假设应用服务器存在CNC,TELECOM,EDU,ANY (1)产生加密金钥 #cd/usr/local/bind/sbin #./dnssec-keygen-ahmac-md5-b128-nHOSTcnc #./dnssec-keygen-ahmac-md5-b128-nHOSTtelecom #./dnssec-keygen-ahmac-md5-b128-nHOSTedu #./dnssec-keygen-ahmac-md5-b128-nHOSTany (2)查看生成的密钥文件 #catKcnc.+157+24406.private//以网通为例. Private-key-format: v1.2 Algorithm: 157(HMAC_MD5) Key: YTjTOw00PzeEaasA16/Rvw== Bits: AAA= 将: YTjTOw00PzeEaasA16/Rvw==加入到named.conf,其它同例。 详细请参照named.conf配置文件 2、配置named.conf #vi/usr/local/bind/etc/named.conf key"rndc-key"{ algorithmhmac-md5; secret"5PubnjGuAWeH9F2dIUYd6g=="; }; controls{ inet127.0.0.1port953 allow{127.0.0.1;}keys{"rndc-key";}; }; # options{ directory"/usr/local/bind/etc"; pid-file"named.pid"; }; #TSIG-key key"cnc"{ algorithmhmac-md5; secret"YTjTOw00PzeEaasA16/Rvw=="; }; key"telecom"{ algorithmhmac-md5; secret"pUcQGLpSH2tQgVZ9ZHU6Yg=="; }; key"edu"{ algorithmhmac-md5; secret"Bzo6MTzrzbRFQbONYTS1Cw=="; }; key"any"{ algorithmhmac-md5; secret"DHpPfGJdMLv91OygBf9H6w=="; }; #acl acl"dns-ip-list"{ 172.19.3.15;#masterDNSIP 172.19.1.3;#slaveDNSIP }; #aclinclude include"/usr/local/bind/etc/cnc_acl.conf";//网通ACL include"/usr/local/bind/etc/telecom_acl.conf";//电信ACL include"/usr/local/bind/etc/edu_acl.conf";//教育网ACL include"/usr/local/bind/etc/view.conf";//bind-view部分 3.Bind启动脚本 #! /bin/sh #powered case"$1"in start) if[-x/usr/local/bind/sbin/named];then /usr/local/bind/sbin/named-c/usr/local/bind/etc/named.conf-ubind echo"BIND9-namedserverstarted" fi ;; stop) kill`cat/usr/local/bind/etc/named.pid`&&echo.&&echo'BIND9serverstopped' ;; restart) echo. echo"RestartBIND9server" $0stop sleep10 $0start ;; reload) /usr/local/bind/sbin/rndcreload ;; status) /usr/local/bind/sbin/rndcstatus ;; *) echo"$0start|stop|restart|reload|status" ;; esac ./bind9start启动bind;./bind9stop停止bind; ./bind9reload#重载配置文件 剩余文档见打包的bind-dlz.tar.gz。 里面很详细。 部署的master时候用tarzvxfbind-dlz-tar.gz–C/usr/local/bind/etc覆盖即可,剩下的slave在部署bind还是将配置文件解压到/usr/local/bind/etc/即可,将rndc-key和dnssec重新配置一遍就可以用了! 部署DNS,防火墙和路由器要设置清楚,我部署的时候就是因为黑洞防火墙没有对master和slave服务器开放tcp和udp53端口,造成不能解析域名。 需要大家切记!
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 智能 DNS 配置 详解