daxxim tazko mi je sa vyjadrit, lebo je to virtualka a k tomu v nej bezi viacero sluzieb okrem Bindu. Ale je tam 4x vCPU z Xeon E5-2620 v3 2.40GHz a 4GB RAM. Pritom jadra idu v spicke pod 10 percent (vsetky sluzby). Bind odbavuje cez 700 req/s vratane validacie DNSSEC. Cache efektivita okolo 88 percent s vyuzitim 300MB RAMky. Debian 11. Funkciu serve-stale-cache som skusal, ale musel som ju vypnut, lebo ma bug (https://gitlab.isc.org/isc-projects/bind9/-/issues/2982), ale ja ju este zapnem 😃 lebo raz pride jej chvila, kedy sa vyuzije. Implementovany RFC7706.
Spominanych 500-1000 klientov je malina. V principe treba skusit niekedy v noci odklonit traffic a sledovat, kym bude narastat, ake su casy odpovedi a zatazenie HW.
A ano, treba oddelit rekurzivny od autoritativneho resolveru, na to nezabudat. Na zaciatok by som sa ale nebal to mat spolu, ale urcite vyalokovat samostatne IPcky pre jednu a druhu sluzbu, aby sa to raz dalo oddelit. Kludne ich hodit na loopback a.k.a dummy interface a propagovat vonku cez OSPF (idealne FRR lebo Mikrotik ma bug a nezakceptuje routy z Bird-a) alebo nieco podobne. Nadherne sa v takomto setupe riesi failover, aby zostali zakaznikom dostupne obe adresy (primarna aj sekundarna), aj ked sa budu odbavovat z jedneho servera. Zo skusenosti viem, ako velmi to je dolezite.
Ale to uz som od zeleza odbocil 😃