dns集群多台服务器同步一个主dns信息,缓解了主dns的压力

配置辅助dnf服务器(使它能同步主dns,分担主dns的压力:)
修改配置文件 /etc/named.rfc1912.zone
zone "dd.com" IN {
   type slave;
   masters {172.25.254.131 ;};  //同步谁的dns信息
   file "slaves /dd.com.zone";  //将主dns的信息同步到 /var/named/slaves目录下
   allow-update {none;};
}


wKioL1g8Q8qCqQuHAAE0GWzNR-w274.png-wh_50

wKiom1g8Q83h6WSvAABUgl7-bwI286.png-wh_50

wKiom1g8Q-GzP_JXAAGxO0QkwrU964.png-wh_50


在主dns服务器里面 修改配置文件/etc/named.rfc1912.zone

zone "dd.com" IN {
   type master;
   file "dd.com.zone";
   allow-update {none;};
   allow-transfer {172.25.254.231;}; //让谁同步自己的dns信息
}
wKioL1g8RAKzDWYgAAFTyscAfKE063.png-wh_50


自动同步主dns服务器修改过的信息
zone "dd.com" IN {
   type master;
   file "dd.com.zone";
   allow-update {none;};
   allow-transfer {172.25.254.231;}; //让谁同步自己的dns信息
   also-notify {172.25.254.231 ;}; // 通知谁“我”改变了数值
}

wKiom1g8RCOAQ9cnAAFdn2b2BwM386.png-wh_50

修改 serial 值 (两个文件只有发现两者有不同的时候才会做更改,但全文去检索会浪费时间,所以我们在主dns里做一次更改就更改一次serial数值 所以只需要比较两个文件里的serial数值就知道是否主dns做了改变)

wKioL1g8RGPjka4TAACqHoc4ZTQ802.png-wh_50

wKiom1g8RHPS2bO1AAG264I6Fws371.png-wh_50

wKiom1g8RHShs0XYAAC699DD5yc957.png-wh_50

wKioL1g8RHiDZflhAAGyQSsH5bM113.png-wh_50

 


远程更改主dns

主dns(修改/var/named权限 chmod 770 /var/named  关闭selinux)

wKioL1g8RJvRHNOiAAB3SUXxPew348.png-wh_50
zone "dd.com" IN {
   type master;
   file "dd.com.zone";
   allow-update {172.25.254.231;}; //
允许谁更改我的dns信息
wKiom1g8RKbyrWFgAAEyCGs4Dig872.png-wh_50
辅助dns
(86400s 代表只缓存一天 A:A记录文件)
nsupdate
>server 172.25.254.131
>update delete www.dd.com
>send

wKioL1g8RLqza65mAABjIMSYaE4823.png-wh_50

wKiom1g8RLzz-O93AAHuOy1xFmY837.png-wh_50




nsupdate
>server 172.25.254.131
>update add www.dd.com86400 A 172.25.254.199
>send


wKioL1g8RNKiOPrLAACghcOw1fI685.png-wh_50

wKiom1g8RNSRSfukAAG3DIwzYf4657.png-wh_50




恢复:因为重启服务后,更新文件/var/named/dd/com.zone.jnl会导入原来的/var/named/dd.com.zone,所以在做更改前先将原来的/var/named/dd.com.zone做备份(cp -p /var/named/dd.com.zone /mnt)
rm -f /var/named/dd/com.zone
rm -f /var/named/dd/com.zone.jnl
再将备份文件同步回来(cp -p)
wKioL1g8ROyyrzNmAAIO8_HFEFM723.png-wh_50
加密只允许有钥匙的主机来更改我的dns
dnssec-keygen -a HMAC-MD5 -b 128 -n HOST westos
为什么用HMAC-MD5加密方式:查看/etc/rndc.key看系统的默认加密方式是什么,用一样的就可以了

wKioL1g8RSfgHyAfAAB-FwbETqM866.png-wh_50

wKiom1g8RTCgUMAMAAE8mwUZZc0426.png-wh_50


cp -p /etc/rndc.key /etc/westos.key (
复制加密模板 修改加密文件 HMAC-MD5:对称加密:公钥,私钥一样 )
wKiom1g8RY7xaeblAABwOfNMkbI621.png-wh_50
vim /etc/named.conf
include "/etc/westos.key"
wKiom1g8Rf_Tnh-kAAGAAq4qw54426.png-wh_50
vim /etc/named.rfc1912.zone
zone "dd.com" IN {
   type master;
   file "dd.com.zone";
   allow-update {westos key;}; //
允许谁更改我的dns信息
wKioL1g8RhqwXJeNAAFjbFu0sLo710.png-wh_50
给辅助dns钥匙
wKiom1g8RjCR-SNVAAFbgi3XR0A659.png-wh_50

测试:
nsupdate -k Kwestos.+157+51429.private


wKioL1g8RluS7HUwAACKRNvIug8606.png-wh_50

wKiom1g8RmTyKMdrAAGlOunzj10466.png-wh_50

wKiom1g8RmWDTxNyAADHVZWM8lw391.png-wh_50

wKioL1g8RmeiCJdpAAF6ThcEf5E507.png-wh_50


dns的动态绑定

配置dhcp 服务器(客户端每改一次ip,dns服务器就会同步新的ip


wKiom1g8RqfRI9y3AAG_PvgXGEU283.png-wh_50

wKioL1g8RqmS2BVjAAExw3uexKI780.png-wh_50


ddns-update-style interim
primary 127.0.0.1 (
本应该dns所在的服务器的IP 但用本机的回环接口速度快)

测试:更改dhcp服务器动态ip范围
ifconfig

dig lucky.dd.com (本机动态获取的ip有时是不同的,测试看dns服务器有没有更新 )
wKiom1g8Rs7CYqCKAAG1j9luti4318.png-wh_50
改变动态ip范围

wKioL1g8RwGzLHMpAAKAuB8lEgI531.png-wh_50wKiom1g8Ry2Dh2qSAAHDRjqcL_s640.png-wh_50