wikinotes

Outils pour utilisateurs

Outils du site

Piste : executer_processus_avec_groupe_specifique
netadmin:dns:systemd-resolved

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentesRévision précédente
Prochaine révision		Révision précédente
netadmin:dns:systemd-resolved [2021/02/01 21:51] – modification externe 127.0.0.1netadmin:dns:systemd-resolved [2025/03/12 19:21] (Version actuelle) yoann
Ligne 1: Ligne 1:
 {{tag>netadmin sysadmin linux dns debian ubuntu todo}} {{tag>netadmin sysadmin linux dns debian ubuntu todo}}
  
-===== systemd-resolved ======+====== systemd-resolved ======
  
-Les versions récentes de nombreuses distributions GNU/Linux utilisent à présent le daemon systemd-resolved comme résolveur.+Les versions récentes de nombreuses distributions GNU/Linux utilisent à présent le daemon **systemd-resolved** comme résolveur. Tous les programmes s'exécutant sur le système local ayant besoin de convertir un nom en adresse IP passent par lui. Cette centralisation des recherches DNS est avantageuse pour l'ensemble du système: 
 +  * Le service propose un cache qui accélère les réponse pour les demandes les plus fréquentes; 
 +  * Le daemon identifie les serveur non réactifs et évite à chaque programme d'en faire la découverte après timeout; 
 +  * Les programmes s'adressent au service via un transport local et son aisi plus isolés du réseau. 
 +  * Le daemon peut être paramétré précisément pour définir quel serveur de noms doit être utilisé en fonction du domaine recherché (routage ou split DNS)
  
  
  
 +===== Notions de routage et split DNS =====
 +
 +Dans de nombreux cas, les machines se connectent à différents réseaux physiques ou virtuels. Un ordinateur portable peut par exemple être connecté en parallèle aux réseaux Ethernet et wifi et avoir en plus une connexion VPN vers un réseau d'entreprise. Chacune de ces trois connexions à une interface dédiée dans le noyau à laquelle peuvent être associés plusieurs serveurs de noms.
 +
 +**Le //routing// ou routage est le processus décidant quel serveur de noms interroger pour un nom de domaine donné**.
 +
 +<note warning>
 +Le routage du point de vue du DNS ne doit pas être confondu avec le routage des paquets du protocole IP.
 +</note>
 +
 +Dans systemd-resolved, l'interface prévaut. systemd-resolved sélectionne une ou plusieurs interfaces appropriées pour un nom de domaine donné et interroge un des serveurs de noms associés. Ce fonctionnement est désigné par le terme **split DNS**.
 +
 +Pour toute interface, on distingue deux types de domaines:
 +  * **routing domains**: domaines de routage;
 +  * **search domains**: domaines de recherche.
 +
 +Utilisés conjointement, ils permettent à systemd-resolved de déterminer sur quelles interfaces s'appuyer pour résoudre un nom de domaine donné. 
 +
 +<note>
 +Le **search domain** a également pour fonction de servir de suffixe pour les recherches concernant des noms de domaines n'ayant qu'un seul composant (ou label). Par exemple une recherche pour le nom de domaine "test" sera considérée comme une recherche pour le nom de domaine "test.exemple.com" si le search domain vaut "exemple.com" 
 +</note>
 +
 +Dans la configuration de systemd-resolved un **routing domain** est préfixé par le caractère ''~''
 +
 +
 +===== Exemple commun de routage =====
 +
 +Considérons une connexion VPN via une interface ''tun0'' avec un domaine de recherche ''network.company.com'' et un domaine de routage ''~company.com''.
 +
 +Si l'on recherche ''mail.network.company.com'', il y a correspondance à la fois sur le domaine de recherche et le domaine de routage, l'interface tun0 sera utilisée pour la résolution de nom.
 +
 +Si l'on demande ''www.company.com'' il y a correspondance sur le domaine de routage ''~compagny.com'', l'interface tun0 est encore utilisée.
 +
 +Si à présent on demande ''www'' (ici la recherche comporte un unique label ou composant) la différence entre **search domain** et **routing domain** commence à se manifester puisque le domaine de recherche est utilisé comme suffixe, la requête devient donc ''www.network.company.com'' sur l'interface tun0. En outre, si plusieurs interfaces possèdent des domaines de recherche, le label unique est suffixé par tous les domaines de recherche déclarés et des recherches sont émises en parallèle. C'est la correspondance la plus longue qui sera retournée.
 + 
 +
 +===== Configuration du daemon =====
 +
 +Pour altérer la configuration du service, modifier le fichier **/etc/systemd/resolved.conf**. Par défaut systemd-resolved agit comme **stub DNS** (résolveur minimal). Il transmet les requêtes aux résolveurs complets associés aux différentes interfaces du système et conserve un cache.
 +
 +Cela est déclaré dans le fichier de configuration via la directive
 +<file>
 +. . .
 +
 +[Resolve]
 +# Par défaut le service stub dns est actif
 +# Décommenter et changer la valeur pour modifier le comportement par défaut
 +#DNSStubListener=yes
 +</file>
 +
 +Si le fichier a été modifié, relancer le service:
 +<code bash>
 +systemctl restart systemd-resolved.service
 +</code>
 +
 +<note>
 +On peut être amené à désactiver ce service, par exemple si on souhaite utiliser un autre résolveur.
 +</note>
 +
 +Pour que l'ensemble des applications s'exécutant localement puisse s'appuyer sur la résolution proposée par systemd-resolv.conf, le fichier **''/etc/resolv.conf''** doit être un lien symbolique pointant sur le fichier de configuration généré par le service: **''/etc/resolv.conf -> /run/systemd/resolve/stub-resolv.conf''**
 +
 +<code bash>
 +# Affiche les détail du fichier /etc/resolv.conf
 +ls -l /etc/resolv.conf
 +lrwxrwxrwx 1 root root 37 janv. 18 19:31 /etc/resolv.conf -> /run/systemd/resolve/stub-resolv.conf
 +</code>
 +
 +Ici la configuration est celle attendue. Si ce n'est pas le cas, on peut toujours recréer le lien via la commande:
 +<code bash>
 +sudo rm /etc/resolv.conf && sudo ln -s /run/systemd/resolve/stub-resolv.conf /etc/resolv.conf
 +</code>
 Pour consulter l'état du service: Pour consulter l'état du service:
    
Ligne 28: Ligne 103:
 </code> </code>
  
-===== redéfinir des DNS =====+===== Redéfinir les serveurs DNS =====
  
-Pour redéfinir dynamiquement les serveurs DNS associés à une interface:+Il est possible de redéfinir dynamiquement les serveurs DNS associés à une interface:
 <code bash> <code bash>
 sudo resolvectl dns tun0 208.67.220.220 208.67.222.222 sudo resolvectl dns tun0 208.67.220.220 208.67.222.222
 </code> </code>
 +
 +Dans l'exemple ci-dessus on associe deux résolveurs DNS à l'interface tun0, les précédents s'ils existent seront remplacés.
  
 Pour définir dynamiquement le routage de domaines via une interface  Pour définir dynamiquement le routage de domaines via une interface 
 <code bash> <code bash>
-sudo resolvectl domain tun0 ~entreprise.local entreprise.com+sudo resolvectl domain tun0 ~entreprise.local private.entreprise.com
 </code>  </code> 
  
Ligne 58: Ligne 135:
  
 <code bash> <code bash>
-sudo systemd-resolve --statistics+resolvectl statistics
 </code> </code>
  
Ligne 65: Ligne 142:
   * https://fedoramagazine.org/systemd-resolved-introduction-to-split-dns/   * https://fedoramagazine.org/systemd-resolved-introduction-to-split-dns/
   * https://www.linuxuprising.com/2019/07/how-to-flush-dns-cache-on-linux-for.html   * https://www.linuxuprising.com/2019/07/how-to-flush-dns-cache-on-linux-for.html
 +  * https://www.bortzmeyer.org/7719.html
 +  * https://www.linuxquestions.org/questions/linux-networking-3/dns-server-priority-in-systemd-resolve-4175680247/
netadmin/dns/systemd-resolved.1612216289.txt.gz · Dernière modification : 2021/02/01 21:51 de 127.0.0.1

Outils de la page

Sauf mention contraire, le contenu de ce wiki est placé sous les termes de la licence suivante : GNU Free Documentation License 1.3
GNU Free Documentation License 1.3 Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki