-
サーバ構築のデージーネットTOP
-
OSS情報
-
一押しOSS
-
BINDに替わるDNSサーバ〜PowerDNS〜
-
サーバ構築のデージーネットTOP
-
OSS情報
-
DNSサーバ
-
BINDに替わるDNSサーバ〜PowerDNS〜
BINDに替わるDNSサーバ〜PowerDNS〜
PowerDNSは、オープンソースソフトウェアのDNSシステムです。Poweradminと呼ばれる便利な管理用ウェブインタフェースも用意されています。ここでは、PowerDNSの特徴やパフォーマンス、BINDからの移行についてご紹介します。なお、デージーネットでは、PowerDNSのDNSサーバ構築やコンサルティング、PowerDNSの商用サポートを行っています。
- +
目次
PowerDNSとは?
PowerDNSは、Open-Xchage社が主体となって開発を行っているDNSサーバです。1999年に開発プロジェクトが発足しました。開発当初はクローズドソースでしたが、2002年にオープンソースソフトウェアとしてリリースされ、2005年からは利用者が増加しました。現在は、オランダ、デンマーク、スウェーデン、ノルウェーなどDNSSECの導入が進んでいるヨーロッパ諸国を中心に多くの利用者がいます。
PowerDNSは、ゾーンファイルの他、LDAP、MySQL、PostgreSQL、Sqlite3など、様々なバックエンドを使用してゾーンやレコード情報を保存することができます。また、PoweradminやPowerDNS-Adminなどの管理用GUIを使って、ウェブインタフェースからデータを管理することができます。
PowerDNSに関する資料請求はこちら
BINDの代替DNSサーバとしておすすめ
BINDとは、ISC(Internet Systems Consortium)が現在開発・管理を行っているオープンソースのDNSサーバです。古くからDNSサーバのデファクトスタンダードとして、広く使われてきたDNSサーバです。しかし、近年は多くの脆弱性が報告されている点や、権威DNSサーバとキャッシュDNSサーバを同居しているシステム構成にセキュリティ上の問題がある点などから、他のDNSサーバへ移行する流れが主流となっています。PowerDNSは、こうしたBINDの最大の問題点を解決することができるソフトウェアとして、注目されています。
「BINDとPowerDNSの比較」へ
PowerDNSの特徴
PowerDNSには、次のような特徴があります。
Webインターフェースで統計情報を参照できる
PowerDNSには、統計情報を閲覧するためのWEB画面が用意されています。
PowerDNS 統計情報画面
また、PowerDNSはバックエンドにDBが利用できることや、HTTP経由のREST APIが整備されていることから、PoweradminやPowerDNS-Adminといった管理用Webインタフェースを利用することができます。これらの管理用GUIを使うことで、WEB画面上からユーザ管理やDNSSEC機能などを操作したり、大量のレコードを管理したりすることができます。
「PowerDNSの管理WEBインタフェース」へ
Poweradmin ゾーン一覧画面
PowerDNS-Admin 管理画面
キャッシュポイズニング攻撃に強い
PowerDNSは、権威DNSサーバとキャッシュDNSサーバの両方をサポートしていますが、それぞれ別々のプロセスとして動作するようなコンポーネントになっています。権威DNSサーバのコンポーネントにはキャッシュサーバ機能は実装されていないため、キャッシュポイズニング攻撃を受けることはありません。また、権威DNSサーバの管理性と性能を向上するため、様々なバックエンドに対応しています。なお、DNSサーバの構成については以下で詳しく解説しています。
「DNSサーバ構築」へ
PowerDNSは、権威DNSサーバとしてAuthoritative Server、キャッシュDNSサーバとしてRecursorと呼ばれるコンポーネントで構成されています。
Authoritative Server
Authoritative Serverは、PowerDNSの権威DNSサーバのコンポーネントです。バックエンドに、PostgreSQLやMySQLのような様々なデータベースを利用することができます。次のようなバックエンドに対応しています。
対応しているバックエンド
- MySQL
- SQLite3
- Sybase
- LDAP
- PostgreSQL
- Oracle
- Microsoft SQL Server
- BIND形式ゾーンファイル
Recursor
Recursorは、PowerDNSのキャッシュDNSサーバのコンポーネントです。しかし、デージーネットでは、コンポーネントの利用としてOS標準パッケージに採用されているUnboundを推奨しています。
「unbound〜攻撃に強いDNSキャッシュサーバ〜」へ
脆弱性が少ない
PowerDNSは、脆弱性が少なく安全なDNSサーバです。脆弱性の数はBINDと比較してみると一目瞭然で、非常に安全性が高いことが分かります。
高速に動作する
PowerDNSは、非常に高速に動作するDNSサーバです。BINDよりも高速に動作します。次の図は、デージーネットでベンチマークを行った結果です。
測定の条件
- queryperf(bindに付属しているツール)を使用
- ゾーンを10個作成し、各ゾーンに1000レコードを作成、合計1万件のレコードを設定
- 1万件のレコードについてクエリを10分間連続して実行
- 同時接続数40
- PowerDNSのバックエンドはMySQLを使用
- DELL PowerEdge R220/081N4V
- CPU Intel(R) Xeon(R) CPU E3-1220 v3 @ 3.10GHz
- メモリ 16GB
DNSSECに対応し、簡単に管理できる
PowerDNSは、DNSSECをフルサポートしています。pdnssecコマンドでは、DNSSECの管理を行うことができます。鍵の生成も簡単に行うことができます。
# pdnssec secure-zone example.com
Securing zone with default key size
Adding KSK with algorithm rsasha256
Adding ZSK with algorithm rsasha256
Zone example.com secured
Adding NSEC ordering information
BINDからの移行
PowerDNSには、BINDからの移行を行うためのツールが付属しています。例えば、zone2sqlコマンドを使うことで、BINDで利用していたゾーンファイルをMySQLに登録することができます。
$ zone2sql --gmysql --zone-name=example.com --zone=example.com.zone | \
mysql -u pdns -p pdns
1 domains were fully parsed, containing 10 records
また、BINDで使っていたDNSSECの情報も引き継ぐことができます。
# pdnssec import-zone-key ZONE <FILENAME> zsk ← ZSKのインポート
# pdnssec import-zone-key ZONE <FILENAME> ksk ← KSKのインポート
# pdnssec show-zone ZONE ← 新しいkeyIDの確認
(snip)
ID = 5 (ZSK), tag = 33753, algo = 8, bits = 1024 Active: 1 ( RSASHA256 )
# pdnssec activate-zone-key ZONE 5 ← 新しいKeyIDの確認
デージーネットでは、BINDからPowerDNSへの移行に関するコンサルティングも行っています。詳しくはお問い合わせください。
お問い合わせはこちら
デージーネットのサービスとサポート
デージーネットでは、PowerDNSを活用したDNSサーバ構築サービスを行っています。PowerDNSを利用したDNSサーバをデージーネットで構築した場合には、導入後支援サービス(Open Smart Assistance)でのサポートを受けられます。デージーネット以外で構築したシステムの場合であっても、保守移管サービスを利用することでサポートを受けることが可能になります。
Open Smart Assistanceはこちら
また、デージーネット社内のDNSサーバもPowerDNSを利用して構築しています。デージーネットでは、こうしたPowerDNSの構築やシステム保守サポート、コンサルティングの実績を活用して、PowerDNSの商用サポートを提供しています。商用サポートでは、バイナリパッケージの提供、インストレーションサポート、インシデントサポート等のサービスを行っています。
PowerDNS商用サポートへ
PowerDNS導入の検討資料を無料でダウンロード
DNSの仕組みと重要性、オープンソースのPowerDNSとUnboundを組み合わせた構成についてまとめた資料です。PowerDNSについて情報を収集する際、サービスをご検討いただく際などにお役立てください。
様々な事例を集めたモデルプラン(費用例付き)をお送りしています。
代表的な事例を集めた「モデルプラン」をお送りしています。費用の例も記載しておりますので、価格感も知って頂ける資料となっております。
ご希望の方は、下記よりお申し込みください。
デモのお申込み
もっと使い方が知りたい方へ
PowerDNSの操作方法や操作性をデモにてご確認いただけます。使い方のイメージを把握したい、使えるか判断したい場合にご活用下さい。PowerDNSのデモをご希望の方は、下記よりお申込みいただけます。
一押しOSS情報「PowerDNS」
PowerDNS構築事例・関連情報
PowerDNSとは、Open-Xchage社が主体となって開発を行っているDNSサーバです。コンポーネントとして権威DNSサーバとキャッシュDNSサーバが存在します。本書はPowerDNSについて調査した内容をまとめたものです。
BINDに代わって注目されているDNSサーバのPowerDNSと管理ソフトウェアの説明資料です。
デージーネットOSS研究室が、BINDに代わって使われるようになった、NSD、KnotDNS、PowerDNSなどの権威DNSサーバの性能評価を行った報告資料です。
PowerDNSは、BINDに比べて管理が簡単かつ高速で、セキュリティに強いという特徴を持っています。しかし、比較的新しいソフトウェアであるため、使い方、障害時の対応に関する情報はまだ多くありません。 ここでは、デージーネットが行うPowerDNS商用サポートについて紹介します。
今回は、情報・通信業のお客様へDNS権威サーバを構築した事例です。お客様は、以前よりDNS権威サーバとして、BINDを利用していましたが、セキュリティ面や耐障害性に不安がありました。
権威DNSサーバをBINDで構築し、DNSSEC対応をしているが管理が煩雑だということでご相談を頂きました。PowerDNSとPowerAdminを利用することで、DNSSECの運用が簡単に行えるようになりました。
BINDに替わる権威DNSサーバとして注目されているPowerDNSを使用して、DNSサーバのセキュリティとスピードの向上を図りました。また、PowerDNSの管理ツールであるPowerAdminと合わせて利用することで、管理性も向上することができました。
BINDとは、権威DNSサーバとキャッシュDNSサーバの両方の機能を持ったオープンソースソフトウェアです。DNSサーバのデファクトスタンダードとして古くから利用されてきました。BINDは、非常に汎用的に利用できる一方で、コードが複雑で脆弱性が潜みやすく、セキュリティ上の問題があるとされています。
DNSサーバとは、インターネットの名前解決を行うサーバーのことを言います。ここでは、おすすめの各DNSサーバのOSSの特徴を比較し、DNSサーバソフトウェアを選定する際に重視すべきポイントをまとめました。