Vlákno názorů k článku UVDT se zlobí na CZ.NIC od Petr Souček - Za současného stavu se mi zdá být skoro...

Dobry den,
zodpovednost za technicky provoz je nedelitelna. Jakekoliv jeji naredeni znamena skoro automaticky, ze dojde k problemum v provozu daneho systemu.

Existuje skupinka lidi, placena se spolecnych prostredku vsech clenu, ktera zajistuje technicky provoz. V podstate jen vyvoj a udrzbu systemu, pres ktery bude mozno pristupovat k zaznamum v DNS. Pres toto rozhrani se k databazi pripojuji jednotlivi clenove, kteri si take sami resi platby, support atd... Ona technicka skupinka muze byt placena pausalem, nebo nejakymi procenty z celkovych trzeb, apod. Me se zda, ze takovou aplikaci pro praci s dns by mohl napsat stredoskolak za tri tydny. Nevidim nutnost udrzovat nejakou obrovskou skupinu techniku.

Omlouvam se, ale myslim, ze jste mimo.

Uz jen "k databazi pripojuji jednotlivi clenove" rika cosi o neznalosti fungovani DNS.

No nevim jestli byste chtel aby 5 lidi naraz editovalo konfigurak DNS serveru. Predpokladam upravy v databazi ze ktere se pak ta konfigurace davkove generuje.

Me se zda, ze takovou aplikaci pro praci s dns by mohl napsat stredoskolak za tri tydny.

Jistě. Viděl už jsem mnoho aplikací, u nichž jsem měl neodbytný pocit, že je napsal středoškolák pro 10-100 záznamů. A chodily dobře, nic proti středoškolákům. Jenže když pak měly chodit pro 100000-1000000 záznamů, tak se jednoduše nakoupilo víc železa... A ono to kupodivu fungovat přestalo...

Mam to chapat tak, ze vlastnite dukaz, ktery dokazuje, ze toho stredoskolak neni schopen? Nebo se tu budeme ubijet argumenty, ze ja jsem zase videl velke programy velkych firem, ktere trpely stejnymi neduhy?

Postavte si malé letadélko, kluzáka, velkého třeba 20cm. Pak ho zkuste stokrát zvětšit. Myslíte, že bude létat? Já bych řekl, že vůbec nebude držet pohromadě. A s databázovými systémy je to podobné. Na malou databázi vám obvykle stačí zamykání na úrovni tabulek a jste-li trochu odvážný, můžete se na nějaké race conditions úplně vykašlat a máte-li trochu štěstí, nikdo to nepozná. U velké databáze potřebujete nejen kvalitní engine s kvalitní podporou transakčního zpracování, ale potřebujete vědět, jak funguje a jak to používat. Nemluvě o nutnosti high availability řešení, které samozřejmě celý systém dále komplikuje.

Sám spravuji několik domén druhé úrovně, s nějakými deseti záznamy. Považuji to za triviální a vím, že nakonfigurovat BIND, aby to dělal, je triviální i pro každého středoškoláka, který něco ví o příslušných protokolech a nastuduje si dokumentaci. Bohužel i pro takové, kteří si tu dokumentaci a RFC nenastudují, ale to je jiná kapitola. Nebyl by problém to doplnit vhodné rozhraní, přes které by si to spravovali sami. Ale kdyby mi někdo řekl, že najednou tam těch záznamů má být 100000 a lidé si je budou průběžně sami updatovat, určitě bych mu neřekl: "Žádný problém, jen kupte rychlejší procesor a silnější linku." Protože mám určitou zodpovědnost.

Samozřejmě netvrdím, že od velké firmy to bude automaticky fungovat. Coby živnostník jsem dalek tvrdit, že velká firma znamená automaticky lepší výsledek, často je to spíše naopak. Ale vím, že existují určité rozsahy problémů, na které jednotlivec nestačí. A je jedno, jestli je to středoškolák, vysokoškolák nebo odborník s desetiletou praxí. Pro mne mezi ně registrace záznamů národní domény jednoznačně patří. Jestliže někdo bez provedení aspoň rámcové analýzy napíše, že by to zvládl středoškolák za tři týdny, nemohu takový názor brát vážně.

Co se vlastního dns serveru a jeho konfigurace týče, tak bych v tom neviděl problém. Konfigurační soubor se napíše jednou provždy, jediné, co se musí generovat je zónový soubor - a to je jeden SOA záznam, nějakých 300000 ns záznamů, a glue A záznamy. Žádné další velké znalosti RFC ani nepotřebujete, ns pro TLD je nerekurzivní, neobsahuje žádné další typy záznamů ani neřeší zpětný překlad.
Vygenerovat ho z jakékoliv databáze není o moc víc než jeden příkaz. I ty nejhloupější databáze 15 let staré zvládnou milióny záznamů, navíc ty záznamy jsou velmi krátké, tam taky nemůže být problém.
Pokud použiji sql server, klidně nějaký zdarma, tak jde "jenom" o posílání update.
Jiná věc je rozhodováni o tom, kdo je oprávněn příslušné update provádět.
Z hlediska DNS nemusí být ani moc "high available", zónový soubor se generuje snad jen 2x denně.
Kolik změn denně je do databáze CZ.NIC zapsáno? Řekl bych, že z hlediska technických a programovým možností směšně málo.

Samozřejmě je otázka, jaké by bylo rozhraní s okolním světem a na jaké úrovni, to rozhraní by asi bylo složitější.

Pristup k nameserverum neni jen ciste technicka otazka - nekdo musi navrhnout pristupovy protokol, nekdo ho musi napsat, nekdo ho musi udrzovat, nekdo musi resit problemy. Takze - ta "skupinka" o ktere mluvite ma vuci clenum dost zasadni pravomoci (je to napriklad ona, kdo musi vynest konecne rozhodnuti ve stiznosti "poslal jsem registraci, ale nedostal jsem ji a pozdeji ji dostal nekdo jiny, kdo ji dostal"). Ta "jedna organizace jejiz clenove by meli pristup k DNS serverum" take existuje - jmenuje se CZ.NIC a dokonce pristup k nameserverum neomezuje pouze na sve clenu, ale umoznuje ho komukoliv - samozrejme, musi pouzit predepsany komunikacni protokol, ale to by platilo vzdy a za jakehokoliv usporadani, takze to vas urcite neprekvapi.

Mimochodem, ted jsem si vas dopis precetl jeste jednou - asi neco spatne chapu. Navrhujete aby:

• mezinarodne vystupovalo sdruzeni jako celek - to splneno je, CZ.NIC vystupuje mezinarodne jako jeden subjekt
• zajemci o bussiness (predpokladam, ze myslite "zprostredkovani registrace domeny pro koncoveho zadatele") by se stali cleny - to v soucasne dobe mohou, nemaji to ale za povinost a soucasne clenem muze byt i ten, kdo primo tento business neprovozuje - takze clenem muze byt vic subjektu nez navrhujete, coz, pokud sem spravne pochopil, neni na zavadu ve vasem modelu
• na narodni urovni by existovalo vice subjektu s ruznymi sluzbami a cenami - to existuje - uroven sluzeb, kterou vam pri registraci domeny poskytuje Globe a cena za registraci jeho prostrednictvim je jina, nez kdyz o registraci pozadate COL, navic si registraci muzete udelat sam (celkova cena registrace a uroven sluzeb bude zase jina) nebo o ni muzete pozadat, treba, me. DOkonce si muzete domenu nechat zridit jednim subjektem, a pozdeji muzete nechat zmeny delat nekoho jineho.

Tak se mi zda, ze jde o nejake nedorozumeni - oproti tomu, co navrhujete ja vidim jediny problem, ze se "registratorum" bezmezne neveri - takze musi byt (takrka) vzdy dolozeno, ze jste o provadeny ukon skutecne epozadal vy; naproti tomu, oproti tomu co navrhujete vam muze registraci zprostredkovat daleko vice subjektu a dokonce se muzete obejit zcela bez zprostredkovatele.

Takze se vam, zrejme, nepodarilo dokonale vyjadrit problem. Me pripada, ze navrhujete takrka identicky system se soucasnym, jen jste provedl prejmenovani nekterych komponent (napriklad CZ.NIC -> "skupina starajici se o provoz nameserveru"), zavedl zasadni restrikce na to, kdo smi byt zprostredkovatelem, za coz jste takovym zprostredkovatelum venoval vetsi duveru v tom, ze nemusi prokazovat, ze jednaji ve prospech toho, kdo domenu provozuje. Mozna, ale tim uz si nejsem zcela jist, navrhujete, aby ona centralni skupina stanovovala spolecna pravidla v mene pripadech, nez je tomu v soucasnosti. Muzete, prosim, zkusit jeste jednou vyjadrit, co jste chtel navrhnout, tak aby mi to bylo jasnejsi (tedy asi lepe oznacit jake zmeny navrhujete oproti stavajicimu stavu) ?

CZ NIC by mel pouze zajistovat technicky provoz domeny. Vse ostatni by se uz delo jmenem jeho clenu. V soucasne dobe cz nic resi i dalsi veci, ktere uz jsou mimo technicky provoz. Popisu vam to jako by takova organizace vznikala na zelene louce:

Postavim si DNS server. Napisu aplikaci, ktera umozni praci se zaznamy mnoha uzivatelum soubezne, s moznosti zpetne dohledat co kdo kdy delal, apod. Pristup k teto aplikaci budu prodavat za takovou cenu, aby se mi zaplatil provoz onoho serveru a moje prace spojena s udrzbou a rozvojem toho systemu. Do pravidel si dam nejakou klazuli, ze jsem povinen kazdy rok zverejnovat sve naklady a dokladat primerenost ceny. Mou osobu si klidne nahradte nejakym pravnim NEZISKOVYM subjektem.

DD

Az na tyto vyjimky:
1)pouze nakladove ceny
3) pravidelne zverejneni nakladu
4) pravne se nejedna o neziskovou organizaci

splnuje i CZ.NIC.

1) bod je diskutabilni. Cena domeny funguje taky jako brzda silene registracni manie. Uz dnes je problem najit smysluplne jmeno. Pokud date domenu za 200/rok, bude ji mit kazdej stredoskolak a nebude uz defakto mozn najit smysluplnou domenu druheho radu. coz uz bejva problem i ted.

2) V tomto svami souhlasim. Verejne pristupna vyrocni zprava vcetne ucetni uzaverky. Pouziti preplatku na verejne prospesne ucely, s tim souhlasim.

3) Tohle je IMHO problem. Ta organizace spravujci domenu musi byt otevrena, aby se tam nechalo vstoupit a ovlivnit chod a smerovani narodni domeny. A v tom vidim problem. Existuje neake forma neziskove pravnicke osoby, jenz by mohla provozovat DNS a jejimiz clenem by se mohla stat libovolna pravnicka osoba? Pripadne i fyzicka osoba?

mohl by jste mi hlavne najit takovou pravni formu spolecnosti pro spravu domeny, jenz by splnovala vasi predstavu neziskovosti a moji predstavu otevrenosti?

Dekuji

No dobre - takze, kdo napriklad rozhodl, ktera domenova jmena bude vase aplikace umoznovat davat do DNS a ktera ne ? To je podle vas technicky problem nebo netechnicky ? Kdo rozhodne, ze zrovna vy jste nejvhodnejsi osobou pro spravu a provoz takoveho nameserveru (navic se od vasi ceny odviji vysledna cena domeny) ? To uz rozhodne neni technicka otazka, pritom ji ale nemuze rozhodnout zadny clen samostatne. Kdo ponese pravni odpovednost za provoz tohoto DNS serveru a tedy bude hradit pripadne skody, ktere v souvislosti s jeho provozem vzniknout ? (Podotykam, ze neni vylouceno, aby takovou skodou bylo i to, ze jste do DNS dal nekomu zaznam, o kterem si nekdo jiny mysli, ze je jeho ochrannou znamkou - a zalovat bude i vas jako provozovatele nameserveru, protoze proste muze; dalsi priklad - koncovy uzivatel vas informuje, ze ten, kdo domenu registroval s ni nyni priti jeho vuli manipuluje,m takze vas zada, abyste zabranil vzniku skod - coz nepochybne muzete, ale neudelate to - pak se muze stat, ze vas uspesne zazaluje o nahradu skody - a kdyz to udelate, ale nebyla to pravda, tak vas mozna uspesne zazaluje ten registrator). To take neni technicka otazka, ale nemuze ji vyresit zadny z clenu. Kdo bude resit spory mezi cleny - spory jak uz jsem naznacil typu "prisel jsem o domenu kvuli chybne funkci software na nameserveru a nekdo jiny ji ziskal misto me) ? To take neni technicka otazka (tady ale muzete rict, ze ji bude resit soud). Jelikoz pristup k teto aplikaci a naklady na jeji udrzbu a rozvoj prakticky nesouvisi s poctem registrovanych domen, predpokladam, ze platba za pristup bude v zasade pausalni. Predstavme si, ze jeden z tech, co maji pristop k tomuto nameserveru zaregistruje na sebe nazvy vsech domen s delkou jmena 1-X znaku (ostatne, proc ne, v podstate nic ho to nestoji). Ostatni tak ostrouhaji a muzou se jit klouzat. Kdo bude resit tento problem ? To take neni technicky problem (muzete ale rict, ze ho resit nebude nikdo, ze to tak je v poradku).

Opravdu se stale domnivate, ze lze oddelit technicky provoz od ostatnich otazek ?

Dnes CZ.NIC pouze zajistuje technicky provoz domeny :-)

Jo? A proc jim teda platim? Platby nejsou technicka otazka. Stejne jako rozhodovani sporu, atd...