Bonjour, Je viens trouver des idées car je ne trouve pas mon bonheur.
Alors pour couper cours, on ne souhaite pas utiliser les dns mis à disposition par OVH / Gandi / Amazon et consorts plusieurs raisons : - tous leurs serveurs dns sont sur le même AS BGP quand leur réseau tousse les zones aussi alors que les MX et autres entrées sont en dehors de leurs réseaux - tous utilisent le même tld pour leurs fqdn de serveur dns, j'ai déjà connu une panne chez un TLD qui a mis à mal les domaines - les api c'est super mais je préfère que ces données soient en interne - j'ai déjà vu un hébergeur reseter une zone d'un client car ce dernier avait résilié un service qui n'était plus utilisé par les entrées dns de sa zone (déjà migré ailleurs) - certains clients n'ont pas envie d'être sur ces serveurs dns et ont déjà connue une panne réseau d'un de ces hébergeurs qui impactaient la messagerie chez eux alors que ça ne devrait pas se produire Actuellement on utilise une interface php/mysql un peu ancienne qu'on a forké en interne pour correspondre à certains besoins et maintenir la solution qui n'est plus maintenue. Cet outil de backoffice permet l'édition des zones et génère les fichiers de configuration format bind en local. Puis un processus va pousser ces fichiers vers nos serveurs dns (multi tld, ipv4 / v6, multi as bgp). Un reload des zones modifiés est alors fait. On utilise pas de master / slave, tous les serveurs bind sont masters avec les mêmes fichiers, load balancer en amont des grappes, ... s'il y a une interruption réseau dans un coin ça ne met pas en péril la réponse dns. Tout cela fonctionne bien mais on voudrait faire évoluer tout cela pour gagner en plus : - une traçabilité dans un git pour rapidement voir les changements sur une zone, actuellement par la sauvegarde des différentes versions des fichiers de zones on peut aussi le voir avec un diff mais c'est pas idéal. - garder la souplesse de la base de donnée en source pour le backoffice (permet les modifications en masse : TTL, remplacer cette IP par telle autre dans toutes les zones, ...) - que les configurations générées passent par le git, que le git soit la référence pour les fichiers de configuration - ajouter un hook de validation des zones sur les commit git - pouvoir faire du dnssec sur les zones donc savoir communiquer avec les registrars - avoir une API pour pouvoir faire du wildcard Letsencrypt par exemple - automatiser le tout avec Ansible pour le processus de livraison des zones D'après mes recherches un tel outil en l'état n'existe pas. Du coup on part sur l'assemblage de plusieurs briques et si pour toutes les briques dnssec, ansible, api avec les registrars ont sait faire j'aimerais ne pas réinventer la roue pour la partie interface web / api / base de donnée / renouvellement dnssec Qu'utilisez-vous sur vos réseaux? Qu'avez-vous croiser comme super projet sur ce sujet? Merci par avance.
signature.asc
Description: OpenPGP digital signature