DHCP-сервер Kea 3.0 вперше отримує статус LTS з трирічною підтримкою

Консорціум ISC опублікував реліз DHCP-сервера Kea 3.0, що замінює класичний ISC DHCP. Kea 3.0 позначено як перший випуск із тривалим циклом супроводу (LTS) – оновлення випускатимуться протягом трьох років. Нові значні стабільні випуски планують формувати раз на півроку, а не раз на рік. Вихідний код проєкту поширюється під ліцензією Mozilla Public License (MPL) 2.0, замість раніше застосовуваної для ISC DHCP ліцензії ISC License.

Архітектура та можливості DHCP-сервера Kea

DHCP-сервер Kea базується на технологіях BIND 10 і побудований з використанням модульної архітектури, що передбачає розбиття функціональності на різні процеси-обробники. Продукт включає повнофункціональну реалізацію сервера з підтримкою протоколів DHCPv4 і DHCPv6, здатну замінити собою ISC DHCP.

У Kea вбудовані засоби динамічного оновлення DNS-зон (Dynamic DNS), підтримуються механізми виявлення серверів, призначення адрес, оновлення та перепідключення, обслуговування інформаційних запитів, резервування адрес для хостів і PXE-завантаження. В реалізації DHCPv6 додатково передбачена можливість делегування префіксів.

Зберігання інформації та налаштування

Інформація про виділені адреси та параметри клієнтів може зберігатися в різних сховищах, наприклад, надаються бекенди для зберігання у файлах CSV, СУБД MySQL, Apache Cassandra та PostgreSQL. Параметри резервування хостів можуть бути задані у файлі конфігурації у форматі JSON або у вигляді таблиці в MySQL і PostgreSQL.

До складу входить інструмент perfdhcp для вимірювання продуктивності сервера DHCP та компоненти для збору статистики. Для взаємодії із зовнішніми програмами надається спеціальний API. Можливе оновлення конфігурації на льоту без перезапуску сервера.

Ключові покращення в Kea 3.0

У новій версії DHCP-сервера Kea відбулися значні зміни, що розширюють його функціональність та покращують безпеку:

Відкриття коду обробників

У категорію відкритих і вільно поширюваних переведена більшість бібліотек TWELVE Kea з підключеними обробниками (hook-ами), раніше доступними під комерційною ліцензією. Комерційними залишилися лише обробники RBAC і Configuration Backend, а решта 12 обробників відкриті під ліцензією MPL 2.0.

Змінено процес поширення підключених обробників – для встановлення більше не потрібен токен доступу. Відкриті бібліотеки включено до основного архіву з вихідним кодом Kea та доступні для встановлення з офіційних репозиторіїв ISC.

Серед можливостей, які надають відкриті обробники: маніпуляції з класами DHCP-клієнтів без перезапуску DHCP-сервера, оновлення DDNS у прив’язці до клієнтів, гнучке призначення ідентифікаторів клієнтам, ведення розширених логів та багато іншого.

Підвищення безпеки

Додані додаткові перевірки та заходи посилення захисту, реалізовані за мотивами нещодавно виявлених вразливостей. Після переходу на Kea 3.0 адміністраторам треба буде виставити нові паролі та налаштувати надійніший захист доступу до інтерфейсів віддаленого керування.

Вбудована підтримка HTTP/TLS

Додана вбудована підтримка HTTP/TLS. Для організації віддаленого доступу більше не потрібен Kea Control Agent і центр сертифікації (CA), що суттєво спрощує налаштування. У фонові процеси DHCPv4, DHCPv6 і DHCP-DDNS вбудована підтримка звернення до API через HTTP і TLS без використання Control Agent. У майбутніх випусках планують видалити Kea Control Agent.

Спрощена міграція з ISC DHCP

З метою спрощення міграції з ISC DHCP змінено класифікацію клієнтів. Надана можливість додавання опцій у прив’язці до клієнта або підмережі. Поведінка при успадкуванні опцій наближена до ISC DHCP.

У DHCPv6 реалізовано механізм реєстрації адрес (RFC 9686), що дозволяє замість призначення сервером адреси генерувати адресу на стороні пристрою.

Технічні покращення

Модернізована система збирання, яку переведено з Auto Tools на інструментарій Meson. Крім того, код для підтримки бекендів зберігання на базі MySQL і PostgreSQL винесено в окремі бібліотеки. Ці бекенди тепер не є обов’язковими для встановлення – якщо не потрібна підтримка MySQL і PostgreSQL, при встановленні Kea більше не потрібне встановлення залежностей, пов’язаних із СУБД.

Більше інформації можна знайти на офіційному сайті Kea та в офіційному анонсі випуску.