máme vlastní na unbound. Nic od toho nechcem, jenom resolver a cca 9:1 dotazů jde z cache. Super. Ale upřímně řečeno, kdybych to dělal od znova tak bych se na to vykašlal a nastavoval klienty na google + cloudflare (8mičky a 1čky). Google resolver +5-6ms daleko od našeho resolveru. Nemá smysl něco řešit. Za mě ne. Cache browserů jsou kvalitní.
Ono to není o tom že spustím unbound a hotovo. Musí se nahodit šifrování což je docela pakárna aby to fungovalo s každým. Testovací nástroje nějaký jsou, ehm. Pak se zjistí, že DoH asi bude nějaký problém. Chce se mi s tím něco dělat? nechce. Někdo si vymyslí další věci a problém. Začneš si zjišťovat co ty nový zkratky znamenají a co to má přinést. U většiny z nich si řekneš že ten kdo to vymyslel musel bejt hodně sjetej a proč něco vymejšlel když to nešeří "celý problém" s DNS.
Furt hlídáš jestli resolver běží tak si vytvoříš sekundární. Zjistíš že ne každá věc použije sekundární když primární vypadne. Stejně udržuješ nějaký hw případně něco na čem běží resolver. Hlídáš bezpečnostní aktualizace, resp. by jsi měl. Pak zjistíš že v tvé oblíbené distribuci není zrovna včerejší verze resolveru a že ještě pár let nebude podporovat novinku kterou včera oznámil google nebo někdo. A kolečko se roztáčí znova a ty sedneš k linuxu na pár nocí a zkoušíš kompilovat poslední verzi unbound a pak zjišťuješ další a další věci který k tomu potřebuješ a že jiná volba v kompilaci z toho udělá raketu a jiná ne... super zážitky jsou typu xxxSSL vs. xxxSSL. V domhle distru je to openssl, v týhle jiný ssl. Pak si řekneš že sis z4sr4l distro než si zkompilovat jeden novej unbound tak si najdeš docker. Zjistíš že většinu věcí na docker hubu nespustíš tak jak se píše v popisech pokud tam popis vůbec je nebo že autor kontejneru byl vlznj mgr. Musíš zjistíš fůru věcí, stovky hodin na zadku než se ti to podaří rozject a trneš hrůzou jestli to najede po výpadku proudu nebo něčem podobným. Hotovo.
Stálo to za to?
Jo super, mám poslední Ubuntu LTS ze security aktualizacemi na pár let + nějaký docker + poslední unbound se všemi featuramy který ani nevím co dělají protože jsem je nezapnul a ani nevím jestli něco vylepšují. Nedávno jsem zjistil že pro obnovení kontejneru na poslední unbound se pár věcí změnilo a kompilace unbound selhala, takže další hodiny na zadku než se člověk dopátrá jaká knihovna tomu nechutná a jak to opravit. k čemu? za ty ztracený hodiny na zadku to fakt nestojí. Je to jenom další postradatelná věc kterou teď musím hlídat a nepřináší řekl bych vůbec nic. Nebude se muset náhodou do budoucna řešit i nějaká šifra mezi resolverem a klientem? nevim.
Jo pokud máš firmu a pod sebou spoustu lidí a někomu to zadáš ať se za prachy stará tak proč ne :-D
Mimochodem, divily by jste se jak velký ISPíci nemají vlastní resolver. Při každém výpadku sem okamžitě píšou tak si to zjistěte :-)
No ale co já vím. Máme nějaký resolver už od počátků a na kvalitu internetu si u nás lidi nestěžují. Je možné, že to přispívá k celkové kvalitě internetu.
