BINDの異常な高負荷状態について

久々の更新です。
少し前、というかかなり前からだったぽいですが、こんな感じの状態になっていることに気づきました↓



見てくださいこれ！
多忙で放置していたのがバレバレですｗ
6月ごろから以上にCPU使用率が高まり、muninのログ記録まで停止してしまっていた期間まであります。

で、まずはログファイルを見てみます。

managed-keys-zone ./IN: loading from master file managed-keys.bind failed:
 file not found
managed-keys.bind.jnl: create: permission denied
managed-keys-zone ./IN: sync_keyzone:dns_journal_open -> unexpected error

どうも、DNSSECの設定が正しくないようでキーファイルの保存に失敗していて、それを無限ループで繰り返しているようです。
ちなみにログレベルをデバッグにしたら毎秒数MBという恐ろしい速度で書き込まれていましたとさ＾＾；

調べた限り、BIND9.7.1からmanaged-keys-directoryという設定項目が追加されたらしく、既存の設定ファイルにはそれがありません。
/etc/named.confの抜粋↓

dnssec-enable yes;
dnssec-validation yes;
dnssec-lookaside . trust-anchor dlv.isc.org.;

おそらく前は自動設定してくれていたものを、yumで適当にアップデートしたからそのまんまになり・・・（ｒｙ
とりあえずは、以下のように変更します。

dnssec-enable yes;
managed-keys-directory "/var/named/dnssec";
dnssec-validation yes;
dnssec-lookaside . trust-anchor dlv.isc.org.;

そして、指定したディレクトリを作ってやります。
うちのnamedはchrootで動いてるためパスが若干長いですが読み替えてください。

# cd /var/named/chroot/var/named
# mkdir dnssec
# chown named:named dnssec
# chmod 700 dnssec

これで、無事DNSSECが有効になり高負荷状態が改善されました～