Готовится статья о DNS сервере Unbound

[Dwolfix]

Определенно можно сказать только одно - на пустом месте вряд ли могло возникнуть. Сервера от разных провайдеров работают? Число запросов в сек. не великовато для такого кол-ва клиентов? Ограничения по ip-src не установлены?

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[helpdesk]

Провайдер один, по числу запросов, нормально, бывало и по 9 тыщ запросов, когда длинковские роутеры флудили, работали сервера без проблем.
Никаких ограничений нет, просто все упало в один день, проработав год. Может подскажите как необходимо было диагнастировать

[Dwolfix]

Анализ логов, причем не только unbound'овских. Такое ощущение, что на обоих серверах внезапно сетевая активность в разы возросла. Что кажут "netstat -m" и "netstat -s"?

[helpdesk]

netstat -m аномалий не показал, а netstat -s не смотрел.

netstat -an - udp4 0 0 ip.47132 *.* росло количество таких подключений, и, видимо, как достигало значения outgoing-range начинало тупить. То есть то что закешировал на это отвечал, а новые имена не резолвил

[Гость]

1. Вам стоит обновится до версии 1.4.10. Подробности в CVE-2011-1922 VU#531342;
2. Можете привести свою конфигурацию Unbound?
3. Если тюнили OS, то что именно и как?

[BlackPhantom]

Поставил Unbound на freebsd 8.1. Зоны не использую, chroot тоже не использую, хочу просто использовать как кэширующий сервер. Не могу понять, где прописывать днс сервера провайдера ?

[terminus]

Поставил Unbound на freebsd 8.1. Зоны не использую, chroot тоже не использую, хочу просто использовать как кэширующий сервер. Не могу понять, где прописывать днс сервера провайдера ?

Код: Выделить всё

forward-zone: 
    name: "."
    forward-addr 8.8.8.8

[BlackPhantom]

forward-addr:
только с двоеточие захотел стартовать. Пробовал прописывать и forward-addr и forward-host, рельтат одинаковый, имена не резолвятся.

Код: Выделить всё

 forward-zone:
name: "."
forward-addr: 195.5.61.70
forward-addr: 213.179.249.131
forward-addr: 213.179.249.132

[BlackPhantom]

Вот сейчас мой конфиг, остальное по умолчанию

Код: Выделить всё

server:
	verbosity: 3
	num-threads: 2
	do-ip6: no
	access-control: 0.0.0.0/0 allow
	chroot: ""
	logfile: "/var/log/unbound"
 forward-zone:
	name: "."
	forward-addr: 195.5.61.70
	forward-addr: 213.179.249.131
	forward-addr: 213.179.249.132
 forward-zone:
	name: "."
	forward-host: 195.5.61.70
	forward-host: 213.179.249.131
	forward-host: 213.179.249.132

[BlackPhantom]

все, решил проблему, надо было указать

Код: Выделить всё

interface: 127.0.0.1
interface: 172.24.1.1

[Yury]

Коллеги, что может быть не так:

# Unbound usage statistics ready for cacti.
#
# Version 0.7.1

./unbound_cacti
./unbound_cacti: syntax error at line 180: `histogram_000000_000000_to_000000_065536=$' unexpected


uname -a
SunOS host3 5.10 Generic_127127-11 sun4v sparc SUNW,SPARC-Enterprise-T5120 Solaris

[терминус_]

Очевидно, что в /bin/sh из SunOS нет встроенных математических функций - конструкция вида:

Код: Выделить всё

variable1=$(($variable2 + $variable3))

не отрабатывает.

вам надо заменить все $(( a + b )) на что-то такое, что дает возможность складывать значения переменных и возвращать результат.

может быть так, если саносовский bc такой же как в БСД:

Код: Выделить всё

variable1=`echo $variable2 + $variable3 | bc`

[Гость]

Да, спасибо, действительно заработало, а как вот такую конструкцию заменить:

mem_total_sbrk=$(($mem_total_sbrk \* 1024))

извините, я просто особо не программер, по этому и такие вопросы

и пришлось еще добить до 32 thread.num.queries

[Yury]

И еще стало вот так ругаться:



./unbound_cacti
syntax error on line 1, teletype
syntax error on line 1, teletype
...

[терминус_]

Да, спасибо, действительно заработало, а как вот такую конструкцию заменить:

mem_total_sbrk=$(($mem_total_sbrk \* 1024))

Код: Выделить всё

mem_total_sbrk=`echo $mem_total_sbrk * 1024 | bc`

[Гость]

Спасибо большое, вроде помогло с bc разобрался.
Тот что стоял по умолчанию походу не очень был, погуглил и поставил другой.

[терминус_]

И еще стало вот так ругаться:



./unbound_cacti
syntax error on line 1, teletype
syntax error on line 1, teletype
...

незнаю. вам надо адаптировать мой скрипт под shell SunOS. или добиться его работы на sh или переписать его на ksh

что именно вызывает ошибку "syntax error on line 1, teletype" я не знаю.
если математические операции через bc теперь работают, то может теперь ошибка где-то с синтаксисом if []

[терминус_]

и пришлось еще добить до 32 thread.num.queries

У вас будет 32 потока и для этого вам нужна статистика по thread0.num.queries ... thread31.num.queries ?

В этом случае вам понадобиться еще и поменять cacti шаблоны. Там жестко прописаны настройки для сбора статистики только для 4х потокоы и на графики вывод только для четырех. График не перестаевается динамически про изменении скрипта-парсера unbound_cacti. Надо будет по аналогии добавить новые data source и графики для них.

[Yury]

Хорошо , про шаблоны учту.

[Yury]

Все в принципе сделал, но графики не рисует, на машинке с cacti делаю:

Код: Выделить всё

snmpget -v2c -Ovqa -c <snmp_community> <host> .1.3.6.1.3.1983.1.1.4.1.2.10.99.97.99.104.101.95.104.105.116.115.1

Получаю:

Код: Выделить всё

SNMPv2-SMI::experimental.1983.1.1.4.1.2.10.99.97.99.104.101.95.104.105.116.115.1 = STRING: "thread0_num_queries:0 thread1_num_queries:0 thread2_num_queries:0 thread3_num_queries:0 thread4_num_queries:0 thread5_num_queries:0 thread6_num_queries:0 thread7_num_queries:0 thread8_num_queries:0 thread9_num_queries:0 thread10_num_queries:0 thread11_num_queries:0 thread12_num_queries:0 thread13_num_queries:0 thread14_num_queries:0 thread15_num_queries:0 thread16_num_queries:0 thread17_num_queries:0 thread18_num_queries:0 thread19_num_queries:0 thread20_num_queries:0 thread21_num_queries:0 thread22_num_queries:0 thread23_num_queries:0 thread24_num_queries:0 thread25_num_queries:0 thread26_num_queries:0 thread27_num_queries:0 thread28_num_queries:0 thread29_num_queries:0 thread30_num_queries:0 thread31_num_queries:0 total_num_queries:0 total_num_cachehits:0 num_query_tcp:0 num_query_ipv6:0 unwanted_queries:0 unwanted_replies:0 total_num_prefetch:0"

Это провильно?

[terminus]

Это значит, что или не работает unbound-control или не работает скрипт-парсер unbound_cacti.
Все значения переменный в дефолте. Так они объявлены в скрипте - цикл case in не поменял значения.

Что показывает команда:

Код: Выделить всё

unbound-control stats

там есть статистика?

[Yuri]

Да нет, просто трафик я до этого не пускал туда, сейчас картина следующая:

SNMPv2-SMI::experimental.1983.1.1.4.1.2.10.99.97.99.104.101.95.104.105.116.115.1 = STRING: "thread0_num_queries:311855 thread1_num_queries:88 thread2_num_queries:6331 thread3_num_queries:109 thread4_num_queries:715 thread5_num_queries:61378 thread6_num_queries:349 thread7_num_queries:105 thread8_num_queries:180 thread9_num_queries:17121 thread10_num_queries:77 thread11_num_queries:157 thread12_num_queries:224801 thread13_num_queries:2727 thread14_num_queries:832 thread15_num_queries:123221 thread16_num_queries:2101 thread17_num_queries:144727 thread18_num_queries:106 thread19_num_queries:1402 thread20_num_queries:106 thread21_num_queries:262 thread22_num_queries:293006 thread23_num_queries:199 thread24_num_queries:4543 thread25_num_queries:267919 thread26_num_queries:187790 thread27_num_queries:107 thread28_num_queries:45706 thread29_num_queries:522 thread30_num_queries:169 thread31_num_queries:128 total_num_queries:1698839 total_num_cachehits:1613346 num_query_tcp:86 num_query_ipv6:0 unwanted_queries:41723 unwanted_replies:17 total_num_prefetch:0"


т.е. я в прошлом письме хотел спросить, что так и должен выглядеть ответ, и какти его сама потом парсит исходя из этих данных?

[terminus]

Да, ответ так и должен выглядеть. Какти ждет данные в формате ключ:значение, между собой значения разделяются пробелом. Все ОК.
В настройках data source в Какти потом прописывается соответсвие имени ключа и имени RRD потока в RRD базе данных.

Я сейчас уже не помню все подробности, но вы в настройках шаблонов легко найдете где добавить новые data source и как построить для них дополнительные графики. Просто по аналогии - это не должно быть сложно.

это за сколько минут - за пять?

Код: Выделить всё

total_num_queries:1698839 

5662 запросов в секунду?

[Yury]

Ок, я по процессам графики еще не создал, обязательно сделаю.

Да, за 5 минут только вот что то тупит оно(unbound), я никак не могу подобрать параметры для такого количества запросов.
Причем, это второй из DNS серверов, который выдается абонентам первый Bind.

[Yury]

Конфиг примерно такой:

Код: Выделить всё

# See unbound.conf(5) man page, version 1.4.13.
server:
        # verbosity number, 0 is least verbose. 1 is default.
        verbosity: 0
        statistics-interval: 0
        statistics-cumulative: no
        extended-statistics: yes
        num-threads: 32
        interface: 10.0.20.2
        port: 53
        outgoing-interface: 10.0.20.2
        outgoing-range: 2048
        edns-buffer-size: 1024
        msg-cache-size: 128m
        msg-cache-slabs: 32
        num-queries-per-thread: 1024
        rrset-cache-size: 256m
        rrset-cache-slabs: 32
        cache-max-ttl: 86400
        infra-host-ttl: 60
        infra-lame-ttl: 120
        infra-cache-slabs: 32
        infra-cache-numhosts: 10000
        infra-cache-lame-size: 10k
        do-ip4: yes
        do-ip6: no
        do-udp: yes
        do-tcp: yes
        do-daemonize: yes
        access-control: 0.0.0.0/0 refuse
        access-control: 127.0.0.0/8 allow
        access-control: х.x.x.x/16 allow
        access-control: ::0/0 refuse
        access-control: ::1 allow
        access-control: ::ffff:127.0.0.1 allow
        chroot: "/etc/opt/csw/unbound"
        username: "unbound"
        directory: "/etc/opt/csw/unbound"
        use-syslog: yes
        log-time-ascii: yes
        log-queries: yes
        pidfile: "/var/run/unbound.pid"
        root-hints: "/etc/opt/csw/unbound/named.cache"
        hide-identity: yes
        hide-version: yes
        identity: "DNS"
        version: "0"
        harden-glue: yes
        do-not-query-address: 127.0.0.1/8
        do-not-query-address: ::1
        do-not-query-localhost: yes
        module-config: "iterator"
remote-control:
        control-enable: yes
        control-interface: 127.0.0.1
         control-port: 8953
        server-key-file: "/etc/opt/csw/unbound/unbound_server.key"
        server-cert-file: "/etc/opt/csw/unbound/unbound_server.pem"
        control-key-file: "/etc/opt/csw/unbound/unbound_control.key"
        control-cert-file: "/etc/opt/csw/unbound/unbound_control.pem"

Что улучшить чтоб не тормозило(долгий ответ) при такой нагрузке даже не знаю