基于DOCKER技術的DNS容器應用

張曉燕　肖明　周偉立

摘? ?要：在數(shù)據(jù)業(yè)務和移動互聯(lián)網(wǎng)業(yè)務應用中DNS系統(tǒng)的穩(wěn)定性尤為重要。在現(xiàn)網(wǎng)DNS系統(tǒng)中遞歸服務器是一個節(jié)點一臺服務器，采用單進程bind軟件，穩(wěn)定性堪憂。本文以輪循負載調(diào)度算法進行DNS的UDP請求分發(fā)，通過以容器為進程處理單元來應對并發(fā)請求，以提高DNS在面對高延時的遞歸解析服務成功率及物理資源的有效利用率，并在本文中以對比測試的方式展現(xiàn)了容器技術與傳統(tǒng)BIND技術的優(yōu)缺。

關鍵詞：DNS系統(tǒng)? bind? 遞歸服務器? 穩(wěn)定性? 容器技術

中圖分類號：TP393? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?文獻標識碼：A? ? ? ? ? ? ? ? ? ? ? ? 文章編號：1674-098X（2020）03（c）-0143-02

隨著移動通信的迅猛發(fā)展，運營商之間的競爭也越來激烈，用戶對業(yè)務質(zhì)量的要求越來越高。DNS系統(tǒng)作為互聯(lián)網(wǎng)的核心業(yè)務應用，在數(shù)據(jù)業(yè)務和移動互聯(lián)網(wǎng)業(yè)務應用的支撐方面起到越來越重要的作用，DNS的穩(wěn)定性直接影響全網(wǎng)用戶的上網(wǎng)感知。然而在DNS系統(tǒng)的所有資源中，遞歸服務器是一個節(jié)點一臺服務器，因此，遞歸服務器的穩(wěn)定性就顯得尤為重要。新疆移動現(xiàn)網(wǎng)DNS遞歸服務目前采用單進程bind軟件的開源解決方案。為保證服務的運行穩(wěn)定，進程中沒有采用較多的線程服務方式運行。線程數(shù)量與系統(tǒng)穩(wěn)定性成正比，一個線程異常將會使得整個bind進程錯誤，進程錯誤將導致業(yè)務受阻，因此bind軟件底層沒有運行較多的線程。如何提高設備運行效率呢？若單一追求多線程工作將直接影響系統(tǒng)的穩(wěn)定性，系統(tǒng)不穩(wěn)定直接反映在用戶的使用感知上，為避免對用戶體驗造成不良并提高遞歸請求的服務瓶頸，新疆移動為了降低成本和提高利潤，決定從現(xiàn)有網(wǎng)絡中來挖掘潛力，本文首次提出容器技術進行設備性能優(yōu)化。主要闡述如何運用容器技術進行進程組隔離（cgroup）的方式并行運行bind軟件。項目實施后我部將通過增加容器數(shù)量，提高服務進程數(shù)量，以提高系統(tǒng)穩(wěn)定性，降低進程異常導致的系統(tǒng)異常。單個容器進程的異常或掛死后不會影響到其他容器內(nèi)bind的正常服務，以降低對新疆移動用戶的影響面積。

1? 遞歸的能力

隨著4G-LTE、3G、WLAN以及有線寬帶業(yè)務的快速發(fā)展，內(nèi)容服務商的不斷新增，運營商在全國各省普遍出現(xiàn)DNS系統(tǒng)流量猛增的情況，遞歸性能更是成倍增長，導致服務器CPU占用率很高，導致系統(tǒng)效率不高，嚴重影響用戶的上網(wǎng)感知，DNS的遞歸服務器性能已經(jīng)不能滿足未來業(yè)務發(fā)展所需要求，對運營商業(yè)務的發(fā)展，有很大影響。新疆移動雖然在2015年DNS系統(tǒng)已新增一套手機DNS系統(tǒng)，但面對現(xiàn)階段和未來日益猛增的遞歸業(yè)務，DNS遞歸服務的并發(fā)能力是否能滿足業(yè)務的發(fā)展需要、達到集團規(guī)范要求，目前仍是未知數(shù)。

根據(jù)2017年7月30日統(tǒng)計數(shù)據(jù)表明，新疆移動手機DNS遞歸總訪問量達到6.91億次，峰值為3.1萬QPS。

DNS系統(tǒng)遞歸服務能力是業(yè)務發(fā)展的主要瓶頸。目前新疆移動存在的主要問題有：

（1）目前新疆移動的DNS遞歸解決方案采用的是bind的開源解決方案，為保證系統(tǒng)的穩(wěn)定運行，沒有開放多線程運行模式。因為多線程運行對系統(tǒng)服務的穩(wěn)定性沖擊較大，一個線程的異常會使所在進程內(nèi)的所有線程運行錯誤。

（2）遞歸服務的上限基本上在3～5萬QPS內(nèi)，達到該并發(fā)量時，仍有大量的CPU和內(nèi)存資源閑滯，其中被使用的物理資源中大部分消耗在高延時的請求服務和隊列等待中。

由此可見新疆移動亟需對DNS遞歸服務器在保證服務器穩(wěn)定性的前提下提升遞歸服務的并發(fā)處理能力。

2? 新疆移動DNS系統(tǒng)遞歸服務器容器化流程

新疆移動DNS系統(tǒng)遞歸服務器容器化是基于LVS負載均衡架構的DNS容器應用，如圖1所示。

LVS+Dcoker為主體架構設計，以輪循負載調(diào)度算法進行DNS的UDP請求分發(fā)，通過以docker容器為進程處理單元來應對高并發(fā)請求，以提高DNS在面對高延時的遞歸解析服務成功率及物理資源的有效利用率，此架構設計，可以應對不同的使用場景，具有開放性的選擇。以bind程序為基礎來解決udp請求的高并發(fā)場景，同樣，也可以以此架構來解決tcp請求的高并發(fā)方案，應用場景可擴展的目前主流的任何應用。

3? 新疆移動DNS系統(tǒng)遞歸服務器容器化目標

3.1 實現(xiàn)負載均衡

為了有效地實現(xiàn)負載均衡，在DNS系統(tǒng)遞歸服務器內(nèi)部中采用LVS技術。

3.2 實現(xiàn)容器互備份

容器間互為備份，當其中一個容器出現(xiàn)問題時，其他容器應可以為其用戶提供服務。

3.3 性能目標

由于域名服務系統(tǒng)是互聯(lián)網(wǎng)絡的重要基礎設施之一，因此域名解析系統(tǒng)的服務要盡最大可能做到不發(fā)生中斷，服務可用性需要達到99.99%。具體實施過程中，應利用多服務器冗余的部署實施方法，滿足服務系統(tǒng)的高可用性要求。

遞歸服務器域名解析能力應保證具備不低于服務域內(nèi)正常業(yè)務量情況下歷史請求量峰值3倍的處理能力，以應對可能針對域名系統(tǒng)的突發(fā)訪問或服務攻擊。

4? 新疆移動DNS系統(tǒng)遞歸服務器容器化實現(xiàn)

遞歸服務器容器化后，容器間互為災備，當其中一個容器出現(xiàn)問題時，其他容器應可以為其用戶提供服務。

4.1 遞歸服務器容器配置

新疆移動DNS系統(tǒng)架構目前為緩存、遞歸服務器和DNS相關軟件，每個節(jié)點一臺遞歸服務器，現(xiàn)通過容器的方式實現(xiàn)單節(jié)點多容器，實現(xiàn)在無硬件擴容的基礎上達到多服務。

遞歸服務器采用LVS的方式進行負載均衡。當一個容器出問題后，其將無法更新路由表，則上層網(wǎng)絡設備將會把DNS業(yè)務流量發(fā)送給其他正常服務器，可有效避免DNS服務中斷的風險。創(chuàng)建容器時，只需配置虛IP對緩存服務器發(fā)布即可，遞歸補對用戶提供服務，對前端安全防護設備無需任何操作，對DNS網(wǎng)管設備無需任何操作，對DNS日志設備無需任何操作，對DNS日志分析設備無需任何操作。整套方案簡單高效，便于施工，加快項目建設速度，快速完工。

考慮到DNS業(yè)務的重要性，因此DNS系統(tǒng)遞歸服務器的優(yōu)化仍然采用雙局址，即北京路和南湖路兩個物理節(jié)點的遞歸服務器均容器化。其整體配置如下：

（1）南湖節(jié)點遞歸服務器：開10個容器，每個容器跑一個DNS應用。設備內(nèi)使用LVS進行負載均衡，通過ospf發(fā)布服務IP，對南湖緩存服務器提供DNS服務。

（2）北京路節(jié)點遞歸服務器：開10個容器，每個容器跑一個DNS應用。設備內(nèi)使用LVS進行負載均衡，通過ospf發(fā)布服務IP，對北京路緩存服務器提供DNS服務。

4.2 DNS系統(tǒng)容器化后的安全問題

DNS系統(tǒng)在安全方面，內(nèi)部容器化不影響DNS系統(tǒng)本身的安全。面對遞歸攻擊的防護，我們的遞歸服務器的遞歸軟件在容器化后，單套軟件性能不變，容器數(shù)量的增加對服務器抗遞歸攻擊的能力增強。遞歸DNS的遞歸淘汰機制，可在遞歸資源飽和時通過遞歸淘汰算法計算出可能是黑客發(fā)出的攻擊遞歸請求，并釋放這些遞歸資源，這項策略的意義在于當服務器遭受遞歸攻擊時，能夠使遞歸個數(shù)滿足正常的用戶遞歸請求，而不是被垃圾流量占用。

DNS服務器在做遞歸請求時，需要占用服務器更多的資源，所以DNS服務軟件會對遞歸并發(fā)數(shù)進行限制，當并發(fā)數(shù)達到設定的數(shù)值后系統(tǒng)就不再處理新的遞歸請求，這樣黑客就會利用極少量的流量發(fā)送大量的遞歸請求來耗盡DNS服務器的遞歸資源，導致用戶的DNS遞歸解析失敗。

5? 結語

在對該課題研究的時候，閱讀了大量的國內(nèi)外文獻以及書籍，結合新疆移動的遞歸優(yōu)化項目課題，對新疆移動DNS系統(tǒng)的數(shù)據(jù)進行統(tǒng)計分析，并對遞歸數(shù)據(jù)的分析做了一定工作。結合當前互聯(lián)網(wǎng)的發(fā)展，使得DNS解析逐漸增多的現(xiàn)實，對DNS系統(tǒng)遞歸服務器做了深入地研究，解決了單點DNS在面對高延時域名遞歸請求時，大量的過期應答判斷占用了多數(shù)的線程，導致CPU中斷、上下文切換數(shù)、內(nèi)核隊列線程數(shù)倍增，過多的運算資源被閑置，影響其他的正常請求無法處理。容器的引入讓內(nèi)核依據(jù)容器負載分擔到各CPU核心上，保證其他高延時的域名請求負載在多個容器中，以容器為單位，高延時的域名請求占用較低的線程比例運行，在保證每個容器內(nèi)最少線程數(shù)的前提下，加大容器數(shù)量，提高了服務進程數(shù)量，將容器進程組充分作用于每顆CPU核心，提高系統(tǒng)資源有效利用率。采用LVS的NAT負載均衡方式，以輪循負載調(diào)度算法進行DNS的UDP請求分發(fā)，通過以容器為進程處理單元來應對并發(fā)請求，以提高DNS在面對高延時的遞歸解析服務成功率及物理資源的有效利用率。在服務運行期間容器可進行批量快速部署，并且面對服務異?？芍苯涌焖傩略鋈萜鹘庸埽瑢崿F(xiàn)秒級服務冗余切換。

參考文獻

[1] 王軍亮，謝曉堯，黎春，等.LVS集群中IP負載均衡技術的研究[J].貴州科學，2009，27（2）：76-79.

[2] 莘建浦.基于Docker容器的網(wǎng)絡安全實訓平臺的研究與實現(xiàn)[D]. 北京郵電大學，2018 .

[3] 李燦彬，甘宏.基于Docker容器的云平臺設計與實現(xiàn)[J].科技廣場，2017（6）：38-41.

[4] 劉輝揚.基于Docker的容器監(jiān)控和調(diào)度的研究與實現(xiàn)[D].華南理工大學，2016.