DNS Summer Day 2022 キャッシュサーバー

本記事は、DNS Summer Day 2022で発表した内容を記事として書き起こし、加筆修正したものです。

世の中には様々なDNSサーバーが存在しますが、中には応答遅延・タイムアウトが頻発する「遅い権威DNSサーバー」も存在します。フルリゾルバーを運用されている方の中には、反復問い合わせ先としてこの遅い権威DNSサーバーに当たってしまい困った、という経験がある方もいらっしゃるのではないでしょうか。

下図は遅い権威DNSサーバーに当たってしまった場合の一例です。

一般的なDNSサーバーは同時処理可能なクエリー数(以下リソースと表記)が決まっています。(例えばBINDではmax-recursion-queryで設定しています。)遅い権威DNSサーバーに当たってしまうと、当然そのタイムアウトやリトライを待っている間はリソースを消費しています。遅い権威DNSサーバーの応答を待っている間にも問い合わせは次々と送られてきますし、クライアントもリトライを行います。それらの問い合わせもまた遅い権威DNSサーバーに当たってしまい…という負の連鎖により、ついにはリソースが枯渇し、新しいクエリーを処理できない状況に陥ってしまいます。

このような話はXACK DNSも例外ではなく、応答遅延やタイムアウトの影響軽減のご要望を頂いておりました。

そこで、XACK DNSでは以下の機能を追加しました。

• 段階的転送待ち時間短縮
• 段階的反復問い合わせ抑止機能
• 期限切れキャッシュ応答 (RFC 8767)
• 統計情報の拡充

今回はこれらの機能についてご紹介します。

段階的反復問い合わせ抑止機能

この機能は、同時処理中のクエリー数が閾値を超えた場合に以下の問い合わせ抑止策を段階的に実行します。

①タイムアウト時間を短縮して長期間リソースが枯渇してしまうことを防ぐ

②反復問い合わせ動作を全く行わないようにし、キャッシュが存在するレコードに対するクエリーに対して応答できるようにする

③　①,②の閾値は、環境に応じてそれぞれ個別に設定可能です。

下図は段階的反復問い合わせ抑止機能による対策前後の正常応答比率のグラフです。

　いずれのパターンでも正常応答比率が改善していることが分かるかと思います。

これらの対応により、キャリアグレードの過酷な環境でも、過酷な環境においても品質を損なうことなく安定稼働を実現しています。

段階的転送待ち時間短縮

　冒頭の例ではフルリゾルバーのリソース枯渇についてご説明しましたが、フォワーダー機能においても同様に、「遅い転送先」に転送した場合にリソース枯渇が発生する可能性があります。

　本機能は前述の「段階的反復問い合わせ抑止機能」のフォワーダー機能版であり、同様に応答待ち時間の短縮や転送休止を段階的に実行します。

閾値も同様に個別設定が可能です。

名前解決失敗時の期限切れキャッシュ応答

RFC8767で定義された、期限切れキャッシュを利用した応答を行う機能です。

名前解決に失敗した際、名前データベース上に期限切れキャッシュが残っている場合はその内容を用いて応答することができます。

前述の「段階的反復問い合わせ抑止機能」により問い合わせ抑止された場合にも威力を発揮します。

統計情報の拡充

　応答遅延・タイムアウトの影響軽減とは直接関係ありませんが、XACK DNSの統計情報にパケットサイズ別・RTT別に取得する機能を追加しました。これらの情報は下図の矢印で示したタイミングで個別に集計されます。

　また、パケットサイズ・RTTは下図に記載した5段階の区分けで集計され、区分けの境界値は設定により変更可能です。この機能により取得した情報を「段階的反復問い合わせ抑止機能」の閾値設定の目安とすることも可能です。

おわりに

　今回は、XACK DNSが具備する、フルリゾルバー/フォワーダーの応答遅延・タイムアウトの影響軽減機能についてご紹介致しました。XACK DNSにご興味を持ってくださった方には、評価版XACK DNSの貸出、弊社営業部による実機デモの実施を行っておりますので、お気軽にお問合せください。

　また、無料ハンズオンサイトにてXACK DNSをWebブラウザから管理できるXACK DNS Managerをお試しいただけますのでぜひご利用ください。