Requisitos para resolvers on-premise

A Planisys será responsável por preparar servidores on-premise para fazer parte de sua infraestrutura vinculada a um Reseller ou Tenant do PDNS.

Nota

É necessário instalar um servidor Debian13.4 em inglês com locale UTF-8, NÃO instalar nenhum pacote e, desde que não contradiga as políticas da empresa, NÃO instalar Firewall.

Aviso

A Planisys será responsável pela instalação e securização do servidor após sua entrega à Planisys com acesso root.

Em caso de possuir firewall externo

Inicialmente deverá ser permitido acesso aos IPs 190.185.104.222, 209.127.217.3, 190.185.104.132, 190.185.107.248, 179.63.248.252, 179.63.248.250, 179.63.248.92 e 2803:bc00::81 nas portas 22022 e 53 (entrada), no mínimo.

Em seguida, o servidor resolver deverá manter sempre abertos para o mundo os seguintes portos de entrada e saída:

  • 53 TCP/UDP - DNS puro

  • 853 TCP - DoT (RFC 7858)

  • 443 TCP - DoH (RFC 8484)

  • 8443 TCP de saída iniciador da conexão

  • TCP 80 caso não existam certificados, para o desafio ACME HTTP-01 do Let’s Encrypt

  • TCP 22022 para SSH em vez da porta padrão 22

As restrições de acesso ao resolver em nível de aplicação nas portas 53/853/443 serão definidas conforme os acessos permitidos forem declarados na interface web. Se o cliente desejar adicionar essas mesmas restrições declaradas no portal PDNS em nível de firewall externo, pode fazê-lo, porém perderá as informações do SIEM, caso deseje utilizá-las.

Locale

  • O locale do Debian deve ser en_US.UTF-8, instalar em inglês americano (US)

Sources List

Após a instalação, o arquivo /etc/apt/sources.list deve ficar assim:

deb http://deb.debian.org/debian/ trixie main contrib non-free non-free-firmware
deb http://security.debian.org/debian-security trixie-security main contrib non-free non-free-firmware
deb http://deb.debian.org/debian/ trixie-updates main contrib non-free non-free-firmware

Seleção do hardware para um resolver

Como o resolver deve calcular hashes DNSSEC toda vez que resolve um domínio partindo dos root-nameservers, é importante selecionar um hardware adequado.

Para isso, no Linux recomendamos executar o comando:

grep -o -w 'aes|sha\_ni|pclmulqdq|rdseed|rdrand|avx|avx2|avx512' /proc/cpuinfo | sort | uniq

O resultado ideal em 2024 seria, levando em conta SIMD (Single Instruction Multiple Data, ou processamento paralelo de lotes de dados)

  • sha_ni (hashing DNSSEC: DS/NSEC/NSEC3 em SHA-256)

  • aes (para DoT/DoH)

  • avx (ideal para lotes de validações)

  • avx2 (ideal para lotes de validações)

  • pclmulqdq (útil em DoT/DoH)

  • rdrand (cookies DNS, randoms NSEC3)

  • rdseed (RNG, fonte de entropia)

  • avx512 (para SIMD em grande escala, resolvers de alta capacidade)

Escala de requisitos de hardware

  • Até 20.000 clientes 2 x VPS com 16GB RAM / 4 vCPU / 20GB SSD

  • Até 100.000 clientes 2 x VPS com 32GB RAM / 8 vCPU / 30GB SSD

  • Até 500.000 clientes 2 x VPS com 64GB RAM / 16 vCPU / 40GB SSD

Aviso

Caso a VM seja configurada em um ambiente PROXMOX, é necessário que o modelo de CPU seja HOST para poder utilizar a criptoaceleração própria da CPU em operações DNSSEC (modo “CPU passthrough”), como pode ser visto na imagem a seguir:

../../_images/proxmox1.png

Existem várias modalidades de instalação

  1. Caso seja fornecido acesso a um Dell iDrac com IP público, será necessário usuário e senha para que a Planisys realize a instalação do Sistema Operacional sobre o bare metal, podendo executar todos os passos do item 2 sem necessidade de envolver o cliente.

    O firewall neste caso deverá estar completamente aberto para o mundo:

    • TCP 443 # HTTPS Web UI and Redfish

    • TCP 5900 # Console Virtual (KVM)

    • TCP 5901 # (às vezes utilizado pelo visualizador KVM)

    • UDP 623 # IPMI over LAN

    • TCP 22 # Acesso SSH opcional

    • TCP 5120 # Virtual Media (se necessário)

    Uma vez concluída a operação de instalação, tudo isso pode voltar a ser fechado, recomendando-se posicionar o IP do iDrac em uma DMZ ou LAN interna.

  2. Caso já exista um ambiente bare-metal, KVM ou LXC instalado, os requisitos são:

    • O sistema operacional a ser instalado pelo cliente deverá ser Debian13.4 headless (sem interface gráfica) com acesso SSH na porta 22022 utilizando usuário e senha, embora posteriormente a Planisys acessará como root utilizando chave pública.

    • Caso seja fornecido um usuário diferente de root, este deverá conseguir tornar-se root via sudo (ou su - root caso seja fornecida a senha de root).

    • Dessa forma, a Planisys poderá acessar remotamente o sistema como root, executar determinadas operações manuais como ssh-keygen, adicionar IPs em /root/.ssh/authorized_keys, gerar um novo machine-id e executar um playbook ansible para a configuração do resolver.

    Além disso, é necessário que o endereço IP público possua reverso no DNS e que esse reverso resolva para o próprio endereço IP público. Isso se aplica tanto para IPv4 quanto para IPv6.

    Aviso

    A porta 22022 deverá estar aberta para os IPs listados anteriormente. Uma vez concluída a instalação, a porta 22, caso exista firewall externo, poderá ser fechada novamente.

    • O cliente pode seguir estes tutoriais para a criação da VM. Pode optar pela instalação utilizando uma imagem .iso ou usando cloud-init.

    Nota

    https://docs.planisys.net/pdns/deployment/instalacion.html <—Para imagens .iso

    Nota

    https://docs.planisys.net/pdns/deployment/instalacion-cloud.html <—Para instalações tipo cloud-init

  3. Caso tenha sido contratado um cluster VRRP com dois ou mais resolvers, as opções serão apenas bare-metal ou KVM (não LXC) e, adicionalmente, deverá ser fornecido um endereço IP virtual. O restante segue conforme o item anterior. O cluster atuará em modo hot/standby em nível de rede, porém utilizará dnsdist para realizar load-balancing em nível de aplicação entre ambos os servidores enquanto ambos estiverem ativos, aproveitando assim toda a capacidade computacional do cluster.

  4. Caso tenha sido contratado um SIEM, a Planisys deverá estimar o volume de dados para avaliar qual hardware é mais adequado, e o cliente também deverá especificar se deseja ou não clusterizar a base de dados do SIEM. Recomenda-se um SIEM local aos resolvers para permitir a transferência de lotes de DNSTAP (logs DNS comprimidos) para o consumidor que injeta os dados na base de dados, sem necessidade de utilizar largura de banda externa.

Capacidade de Processamento

Aviso

Cada servidor bare-metal, até um Dell R640, pode processar apenas até um máximo de 4 milhões de Queries por Segundo utilizando NVMes com 256GB de RAM.

Um servidor equivalente, também utilizando NVMes para os logs, pode processar até 2 milhões de Queries por segundo.

Nota

Servidores KVM virtualizados devem utilizar «passthru» como CPU para aproveitar todo o IS (Instruction Set) do servidor físico. São utilizados para instalações inferiores a 2 milhões de QPS (Queries Per Second).

Segurança da aplicação

Aviso

A Planisys não executa nenhum webserver que justifique proteção WAF, simplesmente abre-se a porta 80 por alguns segundos para a renovação do letsencrypt uma vez por semana, caso o provedor não possua certificados TLS, necessários para DoT e DoH.

Aviso

Quanto à porta SSH, ela está localizada na porta 22022 e protegida com fail2ban contra ataques de bruteforce, embora as contas não possuam senha (somente inicialmente para instalação) e o acesso seja realizado apenas via chaves públicas. Ataques de força bruta não têm qualquer chance de sucesso nem de esgotar recursos do servidor.

Aviso

Também não é necessário nenhum firewall nas portas 53, 853 (DoT) ou 443 (DoH), já que pela console PDNS são configuradas as redes permitidas, e o software reage com firewall backoff exponencial caso tentem utilizá-lo como resolver de forma insistente. É importante entender que o backoff exponencial é estendido para toda a /24 do IP que está tentando resolver sem permissão. Por isso é fundamental listar as redes permitidas cuidadosamente sem esquecer nenhuma.

Última atualização em 2026-05-21