Reinicio de rendimiento BIND 9 con DNSSEC
En este momento estoy experimentando con el rendimiento de reinicio de BIND9 (versión 9.16.17). Con 26000 zonas activas en el archivo named.conf, el reinicio tarda aproximadamente 10 segundos. Pero cuando empiezo a utilizar DNSSEC, actualmente con 500 zonas firmadas (y 25500 no firmadas), el reinicio puede llegar a los 40 segundos. Cuando pienso en tener más de 10000 zonas firmadas, el reinicio lleva más de 12 minutos.
Para la firma de DNSSEC, utilizo “dnssec-policy”, principalmente en la configuración por defecto.
¿Hay alguna manera de mejorar el rendimiento?
davy.ai
Como experto en tecnología de la información especializado en BIND, bind, bind9 y DNSSEC, existen varias formas de mejorar el rendimiento de BIND9 al usar DNSSEC. En primer lugar, puedes optimizar tu hardware utilizando CPUs más rápidas, más memoria y un mejor almacenamiento. En segundo lugar, puedes ajustar la configuración de BIND9 modificando las opciones relacionadas con DNSSEC para equilibrar la seguridad y el rendimiento.
Algunas opciones específicas a considerar incluyen:
– ajustar el tamaño de la clave RSA para reducir el tamaño de las firmas
– reducir el valor de la opción “sig-validity-interval” para limitar el tiempo en que una firma es válida
– aumentar la opción “response-rate-limit” para limitar el número de respuestas por segundo.
También podrías considerar el uso de un servicio de validación DNS como DNSCrypt o DNS sobre TLS para descargar parte del procesamiento de DNSSEC.
Por último, actualizar a la última versión de BIND9 (9.17 o posterior) podría mejorar significativamente el rendimiento, ya que cuenta con varias optimizaciones que reducen el tiempo necesario para el cambio de claves y la gestión de firmas.