Dit is de gearchiveerde site van het DNSSEC Kennisplatform (2012-2018).
Actuele informatie over DNSSEC vind je op https://sidn.nl/dnssec/.

Begin dit jaar is Atomia DNS als open source beschikbaar gemaakt. Sterke punten van deze DNS repository zijn de directe en geautomatiseerde ondersteuning van DNSSEC , de schaalbaarheid, en de API voor integratie met andere software-pakketten. Hoewel de makers zich vooral op grote hosting providers richten, kan de software door iedereen worden gedownload en gebruikt.

Atomia DNS is gemaakt door het Zweeds-Servische Atomia. Het is onderdeel van hun Atomia-platform, een raamwerk voor het automatiseren van hosting-diensten, bestaande uit een tiental software-componenten. Daarmee is het platform vergelijkbaar met commerciële producten als cPanel, Ensim en Plesk Panel, en open source pakketten als DirectAdmin, Domain Technologie Control (DTC), GNUPanel, ISPConfig, Kloxo, SysCP en Webmin.

Atomia platform

Geautomatiseerde hosting

Atomia DNS is ontworpen om gemakkelijk in de management software van hosting providers te worden geïntegreerd. Vandaar dat we extra aandacht aan de API hebben besteed. Dat vertelt Jimmy Bergman, de lead developer en system architect bij Atomia. Ik heb tien jaar bij Loopia gewerkt, veruit de grootste hosting provider van Zweden. Daar hield ik mij vooral bezig met DNS. Ik heb daar in 2008 ook de eerste versie voor een geautomatiseerd systeem voor de afhandeling van DNSSEC ontwikkeld. Dat was gebaseerd op ZKT (Zone Key Tool) en kon een paar duizend domeinen automatisch ondertekenen.

Toen de oprichter van Loopia met Atomia van start ging, ben ik met hem meegegaan. Doel was een software suite voor de automatisering van hosting te ontwikkelen. Daarin zit alle kennis verwerkt die we de afgelopen jaren bij Loopia hebben opgedaan. Atomia DNS is daar onderdeel van.

De klanten van Atomia wilden op eenvoudige wijze hun domeinen kunnen ondertekenen. Vandaar dat naast de API ook DNSSEC belangrijk onderdeel was van het ontwerp van Atomia DNS. Het idee was om DNSSEC out-of-the-box volledig geautomatiseerd te kunnen draaien. Hiermee richten we ons op grotere hosting providers die honderdduizenden zones hebben. De grootste test die we hebben draaien betreft 800 duizend zones. Maar in een productie-omgeving leer je toch altijd meer dan in een test.

Centrale repository

Bergman benadrukt dat Atomia DNS geen DNS-server is maar een management-systeem voor het beheren van grote hoeveelheden Domeinnaam -gegevens. Alle functionaliteit is zo veel mogelijk geautomatiseerd en programmeerbaar, zodat de software makkelijk in de workflow van de hosting providers geïntegreerd kan worden.

BIND, de meest gebruikte DNS-server is volgens hem niet geschikt voor grote aantallen domeinnamen. Als je 50 duizend zones beheert en je moet de configuratie herladen omdat er nieuwe domeinen zijn toegevoegd, dan staat je server een hele tijd te stampen. Dan kun je beter een andere DNS-server gebruiken. BIND kan wel worden uitgebreid met DLZ (Dynamically Loadable Zones), een optie waarbij zones dynamisch uit een database geladen worden, maar die ondersteunen we niet in combinatie met DNSSEC.

Tandem

Juist vanwege DNSSEC raden we Atomia DNS aan. Dan heb je alle zone-informatie op een centrale plek staan en goede gereedschappen voor het beheer ervan. Andere DNS-servers kunnen zich abonneren op de updates van alle of een deel van de zones. Daarvoor zijn agents beschikbaar die de zone-informatie, de DNSSEC-sleutels en andere operationele data synchroniseren. We ondersteunen op dit moment BIND in DLZ-modus en PowerDNS. Atomia DNS fungeert daarvoor dan als een centrale repository.

Voor DNSSEC moet je Atomia DNS dus in combinatie met PowerDNS gebruiken. Die laatste dient dan als daadwerkelijke DNS-server. Atomia DNS zorgt dat de sleutels op elke DNS-server beschikbaar zijn, dat de zone-informatie over alle servers heen wordt gesynchroniseerd, en dat DNSSEC voor elke zone juist is geconfigureerd. De software verwerkt veranderingen, toevoegingen en verwijderingen, en stuurt deze door naar de DNS-servers. Atomia DNS fungeert dus als repository voor de domeinnaam-informatie en als provider voor de DNSSEC-sleutels. De aansturing van de software kan via een API, via command line clients en via een eenvoudige GUI.

Open source

Begin dit jaar is Atomia DNS onder de ISC-licentie als open source beschikbaar gemaakt. Volgens Bergman is er vanuit de gebruikers behoorlijk wat belangstelling. Op dit moment onderzoeken meerdere partijen of ze onze software gaan gebruiken. We richten ons met name op grotere providers, maar Atomia DNS kan ook voor kleinere gebruikers handig zijn, vooral vanwege DNSSEC. Er zit een eenvoudige web-interface bij, zodat je je zone-informatie makkelijk kunt beheren, ook zonder dat je gebruik maakt van het hele Atomia-platform.

Atomia DNS