Comments 20
А почему надо отключать firewalld и устанавливать iptables? Неужели те же правила нельзя в firewalld создать?
Делаю то же самое. Удобней использовать проверенное решение.
Ну почему же, можете не отключать. Я отключаю — потому что с iptables привык работать. Возможно вы правы, лучше firewalld использовать, в нем есть свои плюсы, например правила можно добавлять без рестарта процесса и добавлена концепция зон. Но мне больше нравятся привычные команды управления и файлик /etc/sysconfig/iptables =)
Это плохой тон для статей, особенно для обучающих с пошаговыми инструкциями.

Хороший тон — это привести настройки и для firewalld, и для iptables. В крайнем случае — указать вначале: "Далее я предполагаю, что в системе используется iptables. Информацию о настройке firewalld можно найти там-то."
А зачем вы ставите postgresql и pdns-backend-postgresql если в итоге используете mysql?

Я особо не знаком с pdns, но вот эта строчка
allow-recursion=0.0.0.0/0
разве не откроет возможность рекурсивных запросов для всех желающих?
А зачем вы ставите postgresql и pdns-backend-postgresql если в итоге используете mysql?

Согласен, эти пакеты не нужны. Погорячился.

Я особо не знаком с pdns, но вот эта строчка
allow-recursion=0.0.0.0/0
разве не откроет возможность рекурсивных запросов для всех желающих?

Именно. Но, как я писал в конце статьи, оптимальную конфигурацию выложу позже, а пока — просто рабочие настройки. В принципе, даже не особо разбираясь в PowerDNS, проделав то что я написал, можно его минут за 15 поднять.
UFO landed and left these words here
Чем PowerDNS лучше аналогичных программ, кроме того, что «его используют маил.ру»?
Аналогичных программ не так уж и много.
Для меня, самая главная его фича — то что он умеет работать с базой данных из коробки. Наиболее распространенный BIND так не умеет. Не знаю других решений, которые такое могли бы (имею в виду некоммерческие).
Еще PowerDNS имеет хорошую производительность, умеренно использует ресурсы сервера, гибкие настройки.
UFO landed and left these words here
— как обновляются slave зоны?
— как динамически обновлять адреса?
— стоит ли ставить свой линукс, полностью самостоятельно собранный из исходников?
— как обновляются slave зоны?

Для этого нужно один сервер сконфигурировать как supermaster а другой как slave. Тогда, если у slave сервера не будет такой зоны как у supermaster-а, то он автоматически ее себе добавит.
Есть еще мысль (не проверял), сделать mysql кластер и указать на обоих серверах адрес кластера.

— как динамически обновлять адреса?

Динамическое обновление адресов PowerDNS

— стоит ли ставить свой линукс, полностью самостоятельно собранный из исходников?

Не думаю что есть особый смысл..
стоит ли ставить свой линукс, полностью самостоятельно собранный из исходников?

Конечно стоит, так делают в маил.ру

З.Ы. Статья интересная, но интересует динамическое обновление адресов.
rpm -Uvh dl.fedoraproject.org/pub/epel/7/x86_64/e/epel-release-7-5.noarch.rpm

Уже давно можно сказать yum install epel-release

5) Устанавливаем MariaDB
Добавляем репозиторий.

https://www.linux.org.ru/news/redhat/9262805

Я устанавливаю из исходников, что и вам советую.

Так возьмите генту или арч, или соберите пакет, а ерунду советовать не нужно.

service/chkconfig

Вы уж если про centos7 рассказываете, то и пишите systemctl [start/stop/restart/enable/disable], а не устаревшие варианты.
Я устанавливаю из исходников, что и вам советую.

Выше в комментариях уже отметили, что это довольно странный совет. Добавлю и я свои пять копеек.
Начнем с того, что установка ПО на сервер — это только начало его жизненного цикла. ПО надо как-то обновлять, в особенности — если обнаружены проблемы с его безопасностью. И тут начинается самое интересное.

Если вы ставили пакет из исходников, то вам, во-первых, придется следить за всеми CVE самостоятельно, поскольку безопасность вашей сборки — только ваша проблема. При установке пакета из репозитория за безопасностью следит security team дистрибутива, а она у CentOS вроде ничё так.

Во-вторых, в случае обнаружения уязвимости, вам придется собирать сырую версию из git, в которую только что добавили патч, или же самому бэкпортировать патч в ветку с вашей версией. Из репозитория вы получите ту же версию, что у вас стоит, но с патчем. Всю работу по бэкпортировнанию, тестированию и т.п. возьмет на себя команда дистрибутива.

В третьих, установка через make install — "одноразовая" — никто не учитывает, какие файлы куда поставились, при обновлении непонятно, что будет с конфигами, при удалении может остаться мусор или наоборот можно стереть что-нибудь нужное. Пакетный менеджер позволяет не беспокоится о таких проблемах. Кроме того, в make install могут быть досадные ошибки.

В-четвертых, для сборки нужно иметь эталонную машину с зафиксированными версиями компилятора и библиотек, иначе можно отгрести проблем, начиная с того, что новый git не собирается старым компилятором и заканчивая странным поведением собранного бинарника из-за включенных оптимизаций компилятора.
Мне кажется что это такой троллинг-пост, начиная где-то вот с этого места:
Конфигурация моего оборудования: HDD: 15Gb RAM: 16Gb CPU: 8*2,4GHz

и заканчивая:
P.S. Эта статья — первая часть моего рассказа. В следующей части я расскажу про дальнейшие настройки, для ОПТИМИЗАЦИИ ПРОИЗВОДИТЕЛЬНОСТИ и пр.
Особенно актуальны вопросы производительности, когда HDD меньше, чем RAM )
а это только я заметил что пользователю imperituroard дали такие жирные права в базе, да еще с коннектом отовсюду )? заодно забыли прикрыть 3306 в файрволе… спасибо хоть на уровне апача в админку ограничили доступ по IP.
Конечно пользовался инфой из разных источников, но других. Чаще в них были ошибки или недостаточно информации. Все что здесь описано, проделал сам, и добился работоспособности, прежде чем написать.
Only those users with full accounts are able to leave comments. Log in, please.