ここでは、PowerDNSと、現在広く利用されているBINDの比較第一弾をご紹介します。
PowerDNSとBINDの特徴・機能・性能を比較しました。
BINDとは、ISC(Internet Systems Consortium)が開発・管理を行っているDNSサーバです。DNSサーバのソフトウェアとしては、非常に古い歴史のあるソフトウェアです。RedHat Enterprise LinuxやCentOS、SuSE Linux Enterprise Server、Ubuntuなど、様々なディストリビューションで採用されています。BINDは、非常に高機能で、権威DNSサーバとしても、DNSキャッシュサーバとしても利用することができます。
PowerDNSは、Open-Xchage社が主体となって開発を行っているオープンソースソフトウェアです。DNSの設定情報やゾーンの情報をMySQLやPostgreSQLなどのデータベースを使って管理するのが特徴です。Poweradminという管理インタフェースを使って、Web画面で管理を行うことができます。
PowerDNSは、権威DNSサーバの機能を提供するAuthoritative Severと、キャッシュDNSサーバの機能を提供するRecusorの二つのコンポーネントで構成されています。そのため、権威DNSサーバの機能とDNSキャッシュサーバの機能を完全に分離してシステムを構成することが可能です。
次は、DNSサーバで使われいている機能毎に、bind、PowerDNSを比較したものです。
| 機能 | BIND | PowerDNS Authoritative Server | Recursor | 説明 |
|---|---|---|---|---|
| Dynamic DNS | 〇 | ◯ | - | DHCPサーバなどと連携して、動的にDNSレコードを更新する機能です。 |
| アクセスコントロール | ◯ | × | ◯ | DNSサーバを参照可能なホストを制限する機能です。 |
| レコードの動的追加 | × | ◯ | - | |
| view | ◯ | ◯ *1 | × | DNS問い合わせの発信元ホストやネットワークによって、応答を変える機能です。 |
| TSIG | ◯ | ◯ | ◯ | マスターサーバとスレーブサーバの間で交換される情報を、共有鍵を使って保護するための機能です。リモート管理のためにも使われます。 |
| DNSSEC | ◯ | ◯ | ◯ | DNSの情報に署名を付加し、利用者が正当性を検証できるようにする機能です。キャッシュポイズニング攻撃を回避するために必要な機能です。 |
| IPv6 | ◯ | ◯ | ◯ | A6、DNAMEなどのレコードや、IPv6で通信する機能など、IPv6のネットワークで利用するために必要な機能です。 |
| IXFR(増分ゾーン転送) | ◯ | ◯ | - | Dynamic DNSを使って、DNSレコードを動的に更新する場合に、マスタサーバとスレーブサーバのゾーン転送で差分だけを転送する機能です。 |
| マスタサーバ | ◯ | ◯ | - | 権威DNSサーバのマスターとして構成する機能です。 |
| スレーブサーバ | ◯ | ◯ | - | 権威DNSサーバのスレーブとして構成する機能です。 |
| キャッシュサーバ | ◯ | - | ◯ | DNSキャッシュサーバとして構成する機能です。 |
| フォワードサーバ | ◯ | ◯ *1 | - | 問い合わせを別のDNSキャッシュサーバに転送する機能です。 |
| 冗長構成 | × | ◯ | - | マスタサーバ、スレーブサーバという構成を使わずに冗長性を担保することができる機能です。 |
| 動的設定変更 | × | ◯ | - | |
| スーパーマスター | × | ◯ | - | マスタサーバにゾーンを追加すると、自動的にスレーブサーバにもゾーンが追加される機能です。 |
*1 dnsdistと組み合わせてシステムを構成することで実現可能
PowerDNSは、Luaレコードの機能により、レコード単位でのview機能は存在しますが、bindのようなゾーンレベルでのviewをサポートしていません。一方で、データベースレベルで冗長性を担保することで、マルチマスター構成など、システムをより高度な冗長構成で構築することができます。また、PowerDNS Authoritative Serverは、DNSレコードの追加をデータベースに行うことで、再起動や再読み込みなどの処理なく、瞬時に設定を反映することができます。さらに、スーパーマスター機能では、ゾーンの追加時のオペレーションを最小に抑えることができます。
BINDは、権威DNSサーバとして構成した場合でも、DNSキャッシュサーバとしての機能を完全に停止することができません。そのため、DNSキャッシュポイズニング攻撃によって、権威DNSサーバの機能にも影響を受ける可能性があります。
最近では、DNSキャッシュサーバと権威DNSサーバを完全に分離する構成が主流となってきていますが、BINDでは、完全にこの構成を実現することができません。
次は、PowerDNSとBINDの性能を調査したベンチマーク結果です。
DNSの仕組みと重要性、オープンソースのPowerDNSとUnboundを組み合わせた構成についてまとめた資料です。PowerDNSについて情報を収集する際、サービスをご検討いただく際などにお役立てください。
もっと使い方が知りたい方へ
PowerDNSの操作方法や操作性をデモにてご確認いただけます。使い方のイメージを把握したい、使えるか判断したい場合にご活用下さい。PowerDNSのデモをご希望の方は、下記よりお申込みいただけます。
BINDとは、権威DNSサーバとキャッシュDNSサーバの両方の機能を持ったオープンソースソフトウェアです。DNSサーバのデファクトスタンダードとして古くから利用されてきました。BINDは、非常に汎用的に利用できる一方で、コードが複雑で脆弱性が潜みやすく、セキュリティ上の問題があるとされています。
BINDに替わる権威DNSサーバとして注目されているPowerDNSを使用して、DNSサーバのセキュリティとスピードの向上を図りました。また、PowerDNSの管理ツールであるPowerAdminと合わせて利用することで、管理性も向上することができました。
権威DNSサーバをBINDで構築し、DNSSEC対応をしているが管理が煩雑だということでご相談を頂きました。PowerDNSとPowerAdminを利用することで、DNSSECの運用が簡単に行えるようになりました。
PowerDNSとは、Open-Xchage社が主体となって開発を行っているDNSサーバです。コンポーネントとして権威DNSサーバとキャッシュDNSサーバが存在します。本書はPowerDNSについて調査した内容をまとめたものです。
BINDに代わって注目されているDNSサーバのPowerDNSと管理ソフトウェアの説明資料です。
デージーネットOSS研究室が、BINDに代わって使われるようになった、NSD、KnotDNS、PowerDNSなどの権威DNSサーバの性能評価を行った報告資料です。
2017年8月4日に OSC 2017 Kyotoで行ったセミナーの資料です。セミナーでは、セキュアで便利な権威DNSサーバ PowerDNSと、広く利用されているBINDの比較を行いました。
DNSは、インターネットの名前解決を行うためには、欠かせない機能です。インターネットの初期からある仕組みですが、キャッシュポイズニングやDOSなどの攻撃にさらされることが多くなり、近年も様々な改良が加えられています。