中小企业自建DNS服务器解决方案


目录:

1.背景分析

2.技术分解

  2.1 网络架构

  2.2 基础概念

  2.3 DNS架构

  2.4 DNS主从结构

3. 安全防护

  3.1 配置规范

  3.2 ***防护

  3.3 DDos防护

  3.4 劫持防护

4.实施方案

  4.1 一期项目

  4.2 二期项目

  4.3 三期项目

5.商业参考

  5.1 DNSPOD

  5.2 CLOUDXNS


一.背景分析

    随着企业业务量的日益增长,服务器数量逐渐庞大,分布在全国各地成千上万台的服务器管理已是IT运维人员不得不面对的问题,尤其是IPV6的普及,更是增加DNS服务的难度。自动化运维时代里execl表格统计众多服务器IP地址已无法满足运维需求,因此借助互联网发展过程中对IP的管理思路和比较著名的域名商(ALiDNS、DNSPOD、CLOUDXNS等)的服务架构及策略,在企业内部搭建私有DNS系统服务内部服务器,方便运维人员对业务服务器IP地址的记忆,提高运维管理效率。

二.技术分解

  2.1 网络架构

    企业在不同省市数据中心部署相应的服务器,各数据中心通过vxlan 技术将众多服务器逻辑意义上形成大型局域网,企业总部部署监控管理平台,子公司数据中心部署局部监控管理平台,子公司管理平台针对日常故障进行处理,总部监控管理平台可针对全国各个数据中心资源综合调度协调,各业务模块综合调试统一部署、统一管理,且更加轻松和方便的整体把控全国各个数据中心资源使用情况、业务访问情况、安全模型搭建情况等。

   企业内部服务器架构如下图2-1:

中小企业自建DNS服务器解决方案(待续)_第1张图片

                                  图2-1企业服务器架构图   

  2.2 基础概念

   2.2.1 常规概念

   soa记录:soa是授权服务器回复给查询者,表明自己管理此zone并告知:序列号、刷新时间、过期时间等

   A记录:指定主机名或域名对应的IP地址;

   AAAA记录:指定主机名或域名对应的IPV6地址;

   NS记录:是域名服务器记录,用来指定该域名由哪个DNS服务器来进行解析;               

   cname记录:是域名指向其他域名的记录,如某网一个站点可以有多个域名。

   日常工作中,如果在godaddy购买域名后,可以在goddaddy上做域名解析,也可以进行域名托管,如果是托管需要在goddaddy的DNS管理中,自定义添加域名服务器地址,相当于添加NS记录,如将域名托管给dnspod的域名服务器:f1g1ns1.dnspod.net、f1g1ns1.dnspod.net,然后在dnspod添加自己的域名,并指定NS记录f1g1ns1.dnspod.net、f1g1ns1.dnspod.net,让指定服务器进行解析,最后添加A记录完成托管。

   其中在DNS网站中经常会遇见域名服务器,其实域名服务器就是domain name server DNS服务器,另外在做域名解析时,优化域名解析经常采用泛域名解析,使用通配符将输出一定意义上错误主机名后回应正确的IP地址。

   2.2.2 全局转发和特定区域转发

    DNS服务器有子域时,子域服务器正确情况下找父域时通过根服务器进行查找,因此效率较为缓慢,此时配置全局转发或特定区域转发,将查找父域的域名直接转发给父域的域名服务器,避免向根迭代查询浪费带宽和时间。

   全局转主要作用:实现对非权威解析(已缓存的除外)都转发到特定DNS服务器,另外全局转发有两种模式first|only,first模式是收到用户请求时,若自己有对应的域名记录,则进行回应,若自己没有对应的域名记录则转交给特定的域名服务器进行解析而不是直接交给13个根服务器进行解析,only模式是若自己有请求的记录,则给于回应,若没有对应的记录,则回应解析失败,不交给13台根服务器进行解析,具体配置模式如下:

                                    Options {
                                          forward first|only;
                                          forwarders { ip;};
                                      };
   特定区域转发是仅转发特定区域的请求进行转发,域的范围比全局转发小,但是优先级比全局转发高,可以理解为全局转发中的特殊区域,但二者并无冲突,服务器可以配置为全局转发对所有域进行转发,也可以配置为特定区域仅对特定的域做转发。

   2.2.3 tcp/udp端口

   DNS的查询主要占用UDP协议53号端口,DNS的主从复制共同占用TCP协议的53端口和UDP协议的53端口,因此在建设DNS服务器时,如若仅提供查询,则需防火墙放对外防行UDP协议53号端口,如有主从复制则确保内网TCP和UDP协议的53号端口处于正常访问状态。

  2.3 DNS架构

   根据长期的业务规划,企业自建DNS服务器架构参考互联网DNS架构,建设根服务器、顶级域服务器和二级域服务器,其中根服务器和顶级域服务器分别采用两台服务器做主被模式,增加其容错性和负载均衡,二级域名服务器采用多台服务器组成,其中在每个数据中心放置一台二级域名服务器,企业总部二级master服务器,其他子数据中心为slave服务器,增加不同数据中心域名解析的快速高效性。具体DNS结构如图2-2

中小企业自建DNS服务器解决方案(待续)_第2张图片

                                     图2-2 企业DNS架构图 

    因成千上万台服务器的业务不同,在顶级域名设计时根据不同的业务类型进行规划,如根据业务类型、业务功能等划分不同的顶级域,

  2.4 DNS主从结构

     DNS主从结构设计主要防止其中一台服务器宕机后,域名解析失败,因此在大型企业内部建设主从结构,在中小型企业中可以单台主DNS服务器即可,

3. 安全防护

  3.1 配置规范

  3.2 ***防护

  3.3 DDos防护

  3.4 劫持防护

4.实施方案

  4.1 一期项目

    主要是单台服务器配置

   (提供配置清单)

  4.2 二期项目

    主要是组织结构配置

    (提供架构的配置)

  4.3 三期项目

     动态+数据库结构设计(带)

    (提供整体配置方案)

  ----参考https://www.zhihu.com/question/23246882

5.商业参考

  5.1 DNSPOD

  5.2 CLOUDXNS