當(dāng)企業(yè)考慮外包他們的IT基礎(chǔ)設(shè)施時(shí),他們應(yīng)該考慮將其公共授權(quán)的DNS服務(wù)遷移到云計(jì)算提供商的托管DNS(域名系統(tǒng))服務(wù)中,但首先他們應(yīng)該了解云計(jì)算DNS的優(yōu)缺點(diǎn)。
云計(jì)算DNS的優(yōu)勢(shì)
(1)彈性
云計(jì)算DNS提供商具有完全冗余且地理上多樣化的網(wǎng)絡(luò)和DNS服務(wù)器基礎(chǔ)設(shè)施,可提供可靠性和容錯(cuò)性。由于企業(yè)使用不共享同步分布式區(qū)域信息的DNS服務(wù)器,因此企業(yè)通常在DNS基礎(chǔ)設(shè)施中缺乏冗余性。企業(yè)必須確保該服務(wù)是冗余的,因?yàn)槿绻麄兊姆侨哂郉NS服務(wù)器出現(xiàn)故障,將會(huì)產(chǎn)生重大的業(yè)務(wù)影響。如果企業(yè)網(wǎng)絡(luò)缺乏內(nèi)部部署和互聯(lián)網(wǎng)冗余,并且網(wǎng)絡(luò)發(fā)生故障,那么他們的DNS基礎(chǔ)設(shè)施的網(wǎng)絡(luò)可達(dá)性也會(huì)受到影響。如果企業(yè)當(dāng)前的DNS服務(wù)器不是高度冗余的,那么云計(jì)算DNS服務(wù)需要提供更高的故障恢復(fù)能力。
企業(yè)通常在全球互聯(lián)網(wǎng)周邊網(wǎng)絡(luò)上維護(hù)其權(quán)威DNS服務(wù)器,并允許它們?cè)赥CP端口53和UDP端口53上全局可達(dá)。如果組織的權(quán)威DNS服務(wù)器位于一個(gè)位置,并且它們正在服務(wù)于全局環(huán)境,那么在世界各地的解析器都有延遲,該解決方案遠(yuǎn)離該位置以完成查詢(xún)。使用云計(jì)算DNS提供商將獲得更好的性能,這些DNS服務(wù)器使用任播技術(shù),通過(guò)將流量路由到“最近的”一組目的地來(lái)提供高可用性和性能。
云計(jì)算DNS提供商利用任播來(lái)創(chuàng)建高度可擴(kuò)展和冗余的DNS基礎(chǔ)設(shè)施。企業(yè)使用任意廣播和BGP路由自己構(gòu)建這種冗余級(jí)別的成本會(huì)很高。
(2)支持域名系統(tǒng)安全擴(kuò)展(DNSSEC)
域名系統(tǒng)安全擴(kuò)展(DNSSEC)提供了一種驗(yàn)證DNS記錄的加密方法,有助于防范許多常見(jiàn)的DNS安全問(wèn)題。大多數(shù)企業(yè)還沒(méi)有采用DNSSEC,因?yàn)樗麄儾皇煜NSSEC的配置和優(yōu)勢(shì)。一些企業(yè)可能缺乏DNS服務(wù)器,這些服務(wù)器可以輕松地建立DNSSEC配置,并定期自動(dòng)處理密鑰輪換和更新。如果DNS管理員忘記每年執(zhí)行的按鍵旋轉(zhuǎn)步驟,則錯(cuò)誤可能是嚴(yán)重的。云計(jì)算DNS提供商可能會(huì)自動(dòng)啟用DNSSEC,或者更容易實(shí)現(xiàn)DNSSEC并執(zhí)行自動(dòng)密鑰旋轉(zhuǎn)。
(3)DNS的DDoS保護(hù)
如果企業(yè)部署自己的DNS服務(wù)器,它將無(wú)法應(yīng)對(duì)其DNS服務(wù)器上的任何大規(guī)模DDoS攻擊。企業(yè)部署高度可擴(kuò)展的基礎(chǔ)設(shè)施來(lái)應(yīng)對(duì)這種攻擊是成本高昂的。當(dāng)使用具有較強(qiáng)吸收攻擊能力,擴(kuò)大攻擊范圍或迅速減輕攻擊的云計(jì)算DNS提供商的服務(wù)時(shí),針對(duì)DNS DDoS攻擊的靈活性會(huì)提高。云計(jì)算DNS提供商擁有更高的帶寬鏈接、不同的資源,以及根據(jù)交易量自動(dòng)擴(kuò)展資源的能力。
(4)提高安全性
由于DNS是面向全球互聯(lián)網(wǎng)的服務(wù),因此企業(yè)必須不斷監(jiān)視此服務(wù)器的安全性,并對(duì)其進(jìn)行修補(bǔ),并確保它不會(huì)成為開(kāi)放的DNS解析程序。云計(jì)算DNS提供商將不斷修補(bǔ)、掃描、保護(hù)和監(jiān)控其冗余DNS服務(wù)器。
(5)先進(jìn)的流量路由
云計(jì)算DNS提供商還提供了先進(jìn)的流量路由功能,這是企業(yè)當(dāng)前的本地DNS服務(wù)器可能無(wú)法實(shí)現(xiàn)的功能。例如,AWS的Route 53云計(jì)算DNS服務(wù)提供了不同的高級(jí)流量路由策略,例如簡(jiǎn)單故障轉(zhuǎn)移、循環(huán)、基于延遲的路由、地理DNS、地理鄰近路由。對(duì)于要?jiǎng)?chuàng)建相同功能的企業(yè)來(lái)說(shuō),它需要投資各個(gè)地點(diǎn)不同的DNS服務(wù)器和各個(gè)站點(diǎn)的復(fù)雜負(fù)載均衡功能。
(6)潛在的成本節(jié)約
與購(gòu)買(mǎi)冗余物理服務(wù)器的企業(yè)相比,使用云托管的DNS服務(wù)可以節(jié)省資金,授權(quán)操作系統(tǒng)和人員配置以維護(hù)和配置DNS。如果DNS服務(wù)器需要硬件或軟件升級(jí),那么這可能是推遲新DNS服務(wù)器的資本支出,并切換到使用云管理的DNS服務(wù)的有力舉措。
(7)更好的配置/更改工具
企業(yè)可能缺乏使DNS快速改變其當(dāng)前系統(tǒng)的能力,并且他們可能無(wú)法輕松進(jìn)行基于某些觸發(fā)事件而進(jìn)行的軟件驅(qū)動(dòng)的自動(dòng)更改。企業(yè)通常具有內(nèi)部IT流程,只要添加或更改,就需要向DDI(DNS、DHCP、IP地址管理)團(tuán)隊(duì)提交支持憑單。云計(jì)算DNS提供商具有軟件可編程接口和腳本來(lái)處理DNS記錄的自動(dòng)創(chuàng)建和更新。企業(yè)可以使用它們的API來(lái)配置DNS資源記錄的動(dòng)態(tài)添加或更改。
(8)更好的監(jiān)測(cè),可視性和報(bào)告
許多企業(yè)可能會(huì)將他們的DNS服務(wù)器視為理所當(dāng)然,而不能完全理解其整個(gè)IT基礎(chǔ)設(shè)施對(duì)DNS的依賴(lài)性。企業(yè)可能缺乏現(xiàn)有本地DNS系統(tǒng)的監(jiān)控可見(jiàn)性、性能和運(yùn)營(yíng)指標(biāo)。典型的本地DNS服務(wù)器可能沒(méi)有有用的報(bào)告或?qū)NS解析有用的見(jiàn)解。云計(jì)算DNS提供商在執(zhí)行全天候監(jiān)控和維護(hù)其創(chuàng)收基礎(chǔ)設(shè)施方面做得更好。
云計(jì)算DNS的缺點(diǎn)
(1)DNS托管服務(wù)崩潰
DNS提供商的基礎(chǔ)設(shè)施中斷可能會(huì)對(duì)其客戶(hù)的業(yè)務(wù)造成災(zāi)難性后果。由于企業(yè)的所有IT應(yīng)用程序都依賴(lài)于網(wǎng)絡(luò)可用性和DNS解析,所以如果DNS失敗,則其所有業(yè)務(wù)應(yīng)用程序都無(wú)法工作。這可能會(huì)造成災(zāi)難性的財(cái)務(wù)影響。幾年前,DNS提供商ChangeIP公司發(fā)生了一次持續(xù)多日的中斷,導(dǎo)致客戶(hù)無(wú)法解析DNS。大多數(shù)云計(jì)算DNS提供商都有服務(wù)等級(jí)協(xié)議(SLA),但可能受到處罰或相應(yīng)的損失,這將為企業(yè)帶來(lái)財(cái)務(wù)風(fēng)險(xiǎn)。
(2)可能增加延遲
如果從網(wǎng)絡(luò)拓?fù)浣嵌葋?lái)看,DNS解析器與企業(yè)的距離“相去甚遠(yuǎn)”,那么這會(huì)給每個(gè)客戶(hù)端連接添加延遲,從而需要不在本地緩存的DNS解析。為了盡量減少延遲,并改善最終用戶(hù)應(yīng)用程序體驗(yàn)(UX),最好在DNS客戶(hù)端附近安裝DNS解析程序。具有內(nèi)部DNS客戶(hù)端可以快速訪問(wèn)的本地DNS服務(wù),可以提高內(nèi)部和外部應(yīng)用程序的應(yīng)用程序響應(yīng)時(shí)間。
(3)地理位置問(wèn)題
如果企業(yè)的DNS解析器不在公司附近,可能會(huì)導(dǎo)致地理定位問(wèn)題。然后,內(nèi)容分發(fā)網(wǎng)絡(luò)(CDN)可能會(huì)指示企業(yè)連接到距離其DNS解析程序更近的服務(wù)器(而不是企業(yè)的實(shí)際位置)。例如,如果一家國(guó)際企業(yè)正在使用基于美國(guó)的云DNS解析器服務(wù),則這可能會(huì)導(dǎo)致其他大洲網(wǎng)站的地理內(nèi)容出現(xiàn)問(wèn)題。當(dāng)連接到基于DNS解析器的IP地址和位置使用地理鄰近度的內(nèi)容系統(tǒng)時(shí),顯示其他大洲的用戶(hù)似乎來(lái)自美國(guó)。而其他大洲的所有用戶(hù)都可能被導(dǎo)向美國(guó)境內(nèi)的內(nèi)容,將會(huì)體驗(yàn)更高的延遲和糟糕的應(yīng)用程序響應(yīng)。
(4)破壞當(dāng)前的DNS投資
如果組織已經(jīng)投資了一個(gè)復(fù)雜的DDI(DNS、DHCP、IP地址管理)系統(tǒng),那么利用當(dāng)前的DDI基礎(chǔ)設(shè)施就有財(cái)務(wù)上的合理性。企業(yè)可能投入了冗余DNS基礎(chǔ)設(shè)施,該基礎(chǔ)設(shè)施使用由冗余網(wǎng)絡(luò)支持的同步分布式數(shù)據(jù)庫(kù)。企業(yè)可能投資DDI基礎(chǔ)設(shè)施,那么該基礎(chǔ)設(shè)施具有編程接口、軟件自動(dòng)化、安全DNS服務(wù)、DNSSEC自動(dòng)化功能,以及監(jiān)控可視性和報(bào)告功能。
(5)解耦DNS集成
將DDI管理完全集成到一個(gè)平臺(tái)中具有運(yùn)營(yíng)優(yōu)勢(shì)。路由和尋址是攜手并進(jìn)的。組織仔細(xì)規(guī)劃其網(wǎng)絡(luò)拓?fù)涞腎P地址和DHCP范圍,并授予DHCP租約。DDI系統(tǒng)執(zhí)行動(dòng)態(tài)DNS并為這些集成功能提供單一管理界面。DDI系統(tǒng)提供對(duì)IP地址使用的操作可視性,并提供有價(jià)值的尋址資源管理。將外部權(quán)威DNS分離為單獨(dú)的非集成式基于云的服務(wù)時(shí),組織就會(huì)放棄緊密集成的DDI功能的某些優(yōu)勢(shì)。
(6)完全DNS配置控制丟失
某些云管理的DNS服務(wù)器可能無(wú)法完全控制DNS配置。如果云管理的DNS服務(wù)只有一個(gè)基本的Web界面,只允許一部分資源記錄類(lèi)型,并且如果組織具有非常復(fù)雜的DNS要求,那么這可能不適合。不可能包打一切,因此組織需要確定是否具備云計(jì)算DNS提供商可以滿足的特定要求。
云計(jì)算DNS提供商實(shí)例
如今,有許多不同的云計(jì)算DNS提供商。有許多動(dòng)態(tài)DNS服務(wù)可免費(fèi)或收取少量費(fèi)用。有一些云計(jì)算DNS提供商允許用戶(hù)使用Web界面配置高度靈活和地理上多樣化的權(quán)威DNS解析器。云計(jì)算DNS提供商具有高帶寬雙協(xié)議互聯(lián)網(wǎng)的連接性,可連接各種數(shù)據(jù)中心,這些數(shù)據(jù)中心內(nèi)置冗余和可擴(kuò)展的DNS服務(wù)器基礎(chǔ)設(shè)施,云DNS提供商已將任播地址和動(dòng)態(tài)路由配置為其名稱(chēng)服務(wù)。
當(dāng)購(gòu)買(mǎi)DNS服務(wù)提供商的服務(wù)時(shí),企業(yè)應(yīng)該查詢(xún)這些可選功能,并優(yōu)先考慮它們所需的功能。有一些云計(jì)算DNS提供商提供了附加的安全功能,如DDoS保護(hù)、數(shù)據(jù)包清理和反欺騙。云計(jì)算DNS提供商可以輕松地為其域?qū)嵤┯蛎到y(tǒng)安全擴(kuò)展(DNSSEC),并配置用戶(hù)的域名系統(tǒng)安全擴(kuò)展(DNSSEC)資源記錄。云計(jì)算DNS提供商可能有RESTful API和可編程接口,有助于配置的自動(dòng)化。
以下是一些云計(jì)算管理的DNS服務(wù)提供商的名稱(chēng):Akamai、亞馬遜Route 53、Cloudflare DNS、ClouDNS、DNSMadeEasy、Google Cloud DNS、Infoblox NIOS in the cloud、Microsoft Azure DNS、Neustar(收購(gòu)UltraDNS)、NS1 Managed DNS、Oracle(收購(gòu)Dyn)、Rackspace DNS - Cloud Control Pane、Verisign Managed DNS。
比較性能
在組織選擇云管理的DNS提供商之前,可能有興趣比較這些公司的產(chǎn)品的性能,并對(duì)各種提供者進(jìn)行了研究和評(píng)估。這些調(diào)查通常是從進(jìn)行DNS性能測(cè)量的個(gè)人角度進(jìn)行的。這些測(cè)試來(lái)源的位置可能無(wú)法準(zhǔn)確地表示企業(yè)位置和全球互聯(lián)網(wǎng)的地理位置。
企業(yè)可以選擇從自己的位置執(zhí)行一些自己的測(cè)量,以便近似了解其在選擇云計(jì)算DNS提供商時(shí)的實(shí)際性能。有幾種有用的工具可以幫助企業(yè)進(jìn)行這些測(cè)量:
•DNSDiag是一款開(kāi)源的Python DNS診斷和性能測(cè)量工具集,可幫助企業(yè)執(zhí)行自己的測(cè)試。他們的dnsping.py實(shí)用程序可以幫助企業(yè)確定延遲,dnstraceroute.py可以幫助企業(yè)將互聯(lián)網(wǎng)流量路徑與DNS服務(wù)器進(jìn)行比較,并且dnseval.py可以執(zhí)行比較。
•DNSPerf是由Prospect One公司提供的監(jiān)控系統(tǒng),可以測(cè)量全球DNS服務(wù)性能。
•Namebench是一個(gè)比較老舊,但仍然有用的工具,用于評(píng)估哪個(gè)公共DNS解析器服務(wù)可能從企業(yè)的位置角度看具有最低的延遲。并提供了一個(gè)可用的Golang namebench 2.0開(kāi)源GitHub存儲(chǔ)庫(kù)。
•ThousandEyes提供商業(yè)DNS監(jiān)控服務(wù),去年他們推出了DNS服務(wù)提供商的性能測(cè)量結(jié)果。
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。
京公網(wǎng)安備 11010502049343號(hào)