 |
 |
記事検索 |
イベントレポート |
|
||||||||||||||||
|
||||||||||||||||
|
||||||||||||||||
|
||||||||||||||||
|
||||||||||||||||
|
インターネットを支えるDNSの最新状況~「DNSホットトピックス」レポート |
||||||||||||||||
|
||||||||||||||||
|
|
||||||||||||||||
|
||||||||||||||||
|
||||||||||||||||
|
||||||||||||||||
|
||||||||||||||||
|
||||||||||||||||
|
||||||||||||||||
|
開催中のNetworld+Interop Tokyo 2004(N+I)では1日に、「DNSホットトピックス」と題したDNSに関する最新の話題を取り扱うカンファレンスが行なわれた。DNSはインターネットの世界では非常に地味ながら重要な存在であり、先日Akamaiのサービスの一部がDNS障害のため一時ストップした時のように一度問題が起きると広範に影響が及ぶことがある。本セッションではルートDNSサーバや.jpドメインのDNSに関する最新状況や、BINDの開発を行なっていた米Nominumによる新たなDNSサーバソフトなどが紹介された。 ● m.root-servers.net以外のルートDNSが間もなく日本上陸 東京大学情報基盤センターの加藤朗氏は、WIDEが運営を委託されている“m.root-servers.net”サーバー(以下Mサーバー)について、「DNSはプロトコルとしてはrobust(堅牢)だといえるが、果たして実装がrobustかといわれればそうでもないし、実装がrobustでもハードが壊れることもある」と述べた。一方で「Mサーバーは以前は障害時に手動で切り替える形態を取っていたが、DNSはキャッシュも効くし、1分ほどでバックアップに切り替えられるようになっていたせいか、復旧前に苦情の電話がかかってきたことはない」と語り、少なくともMサーバーは今までのところ安定運用できているとの認識を示した。現在、Mサーバーには毎秒7,000~8,000程度のDNS query(問い合わせ)があるとのことで、.jpのルートDNSが毎秒1,000query程度なのに比べるとかなり多い。同氏は「今はそこそこのPCを使えば(DNSサーバーとして)大丈夫だが、このレベルになるとそうはいかない」と述べ、ハードウェアはもちろんシステム全体の構築に気を使う様子を見せた。 それに加えて、Mサーバーのトラフィックは米国向けが約4割を占め、以下中国・日本・韓国と続くという状態になっていることから、MサーバーをAnycastを利用して増設する準備を進めているとのことで、既に韓国KINX、仏SFINX・PARIXに機器の設置が終わりBGPのピアリング待ちになっているほか、サンフランシスコのPAIXにも「ラックマウントレールがついていない状態だが、とりあえず機器は置いた」(同氏)という。一方で、他のルートDNSサーバーの運用元が日本にAnycastサーバーを置くケースも出てきていて、同氏によれば「i.root-servers.netが既にサーバーを設置済みで間もなく運用を開始するほか、それ以外のところからも話は来ているようだ」とのことで、AnycastがDNSに本格的に導入され、ルートDNSサーバーの設置場所が広がってきている様子が伺えた。 Anycastを導入すると負荷が分散されるだけでなく、物理的なパケットの伝送距離が減ってRTT(Round-Trip Time)が短くなると言われているが、同氏が先日上海に出張したときにルートの逆引きDNSを提供する“AS112”がどこから提供されているか調べたところ、AS112のDNSサーバーは大阪にも設置されているのになぜかブラジルのサーバーを見に行なっていたという。実際調べてみると「ブラジルのサーバーの方が確かにAS Pathは短くなっていた」(同氏)とのことで一応納得したというが、上海から地球の裏側のブラジルまでパケットが流れるわけだからどうしてもRTTは長くなるということで、Anycastを使ったからといってRTTが必ず短くなるというわけではないことに注意が必要だろう。 ● DNSは順調に拡大しているがDNSSECなど問題も残る 続いて日本レジストリサービス(JPRS)の森下泰宏氏は、.jpドメインのDNSサーバーの現状を説明したほか、本セッションに出席予定ながら急遽来日できなくなったISC(Internet Software Consortium)のPaul Vixie氏のプレゼンテーションを代読した。.jpのDNSについては、昨年DNSサーバーのドメイン名が「dns.jp」に統一され、WIDEが担当する“e.dns.jp”が東京から大阪に移設されたのに続き、今年に入ってからはJPRSが担当する“a.dns.jp”が大阪にサーバーを増設、IIJ担当の“d.dns.jp”は国内で1カ所、米国で2カ所(東海岸と西海岸)にそれぞれ増設されたという。a.dns.jp、d.dns.jpともにサーバーの増設にはAnycastを利用しており、特にd.dns.jpが米国に増設されたことで、米国から.jpドメインへのアクセスのレスポンスが改善したなどの効果が見られているとのこと。 続いてVixie氏のプレゼンテーションでは、ここ数年のDNSにおいて重要な課題となっていた「I-N-D問題」が取り上げられた。I-N-D問題とは、「ゾーン情報の差分転送」「リアルタイムなゾーン情報変更の通知」「DHCPなどによる動的なゾーン情報のアップデート」に関する問題で、これらについてはRFCで提案された対応技術が安定し、BINDやMS-DNSなど多くのDNSサーバーソフトがそれらをサポートするようになったことで解決され、DNSが新たなグローバルアプリケーションで利用できる下地が作られたという。 またAnycastについては、ISCが“f.root-servers.net”を世界21都市でAnycastにより運用していることなどを明らかにした上で、Anycastが世界的なDNS需要に応えるための唯一の解決策であるとした(Anycastを使わないとプロトコル上の都合でルートDNSは13サーバーしか設置できない)。しかし、一方でRFCでは「全部をAnycastにするのは障害時に新たなトラブルを生む可能性があるため、最低1つはAnycastではないサーバーを残しておくこと」と書かれていることも合わせて指摘し、Anycastに頼りすぎるのも考えものであると述べた。 さらに、現在IETFで議論が進んでいるDNSSECについては、「ゾーン転送を許可していないDNSサーバーでもDNSSECによる認証が通るとゾーン情報の転送が可能になってしまう」という点がプロトコル上の問題として指摘されており、「以前はきちんと認証ができればゾーン情報が芋づる式に取られてもいいのではないか、という意見が多かったが、最近はプライバシー意識の高まりなどを背景に、やはりこれはまずいという意見が増えてきている」(森下氏)という。このため、こうした問題を解決するまでは、DNSSECのRFC化は難しいだろうとの認識が示された。 ● BINDよりも大きくパフォーマンスを改善した新たなDNS 最後に登場した米NominumのDavid Conrad氏は、同社がISCから委託を受けてBIND 9.x、ISC-DHCP 3.xの実質的な開発を行なっていたという立場から「BINDはマーケットシェアを見てもわかるように通常の使用には十分な機能を持っており、DNSプロトコルの実装におけるリファレンスとなっている」と述べながら、一方で「BIND 8.xにはセキュリティや信頼性の問題がある。それらの多くはBIND 9.xで解決したものの、その代わりに速度の低下を招いている」として、BINDはキャリアクラスのシステムでの利用には耐えられないと述べた。そこで同氏が紹介したのが、Nominumが新たに開発した「CNS」(Caching Name Server)と「ANS」(Authorirative Name Server)という2つのサーバーソフトウェア。CNSは、BIND 8.xと比べて同スペックのPCで約2倍のquery処理性能を持ち、遅延もBINDに比べ大きく改善されており、BINDでは難しかった「キャッシュサイズの明示的な制限」が可能になるなどの機能改善も行なわれているという。そのほか、BINDではサーバー負荷が上がるとある時点から遅延が爆発的に増えるという問題があるのに対し、CNSでは「サーバー負荷に対し遅延は線形で増加する」(同氏)と述べた。 一方ANSは、仮想メモリ技術により収容可能なゾーン情報の数がメモリの制約を受けない(ディスク容量にのみ制限される)上にパフォーマンスも改善されており、同氏は「ANSのパフォーマンスはNSDに次ぎ今のところ第2位だ」と語った。またゾーン情報やサーバー設定を変更してもBINDとは異なり再スタート不要で、ゾーン情報の変更にテンプレートを使うことで、複数のレコードに対する変更作業を一度に行なうことも可能。このほかWindowsのActive Directoryで使われるGSS-TSIGプロトコルもANSではサポートしているということで、非常に高機能なソフトになっているという。 CNS/ANSはBINDとは異なり有償ソフトだが、既にCNSは英British Telecomや英Telewestなど複数の大手ISPで採用されており、大きなパフォーマンスの改善効果を挙げているとのことで、同氏は「BINDに比べるとCNS/ANSはコード量も少なくなっており、BINDに対する別の選択肢として非常に有効だ」「今後ENUMやRFIDなど、DNSをベースとするサービスがさらに増加することを考えると、そのような負荷の高い用途での利用に適している」と述べ、CNS/ANSが大規模システムを運営するISPや企業などにとって大きなメリットをもたらすと訴えた。
関連情報 ■URL NetWorld+Interop 2004 Tokyo http://www.interop.jp/ ■関連記事 ・ 6月23日でDNSが21歳に(2004/06/22) ・ Yahoo!やGoogleが一時アクセス困難に~AkamaiのDNSにDDoS攻撃(2004/06/16)
( 松林庵洋風 )
- ページの先頭へ-
|
