自建权威DNS-如何让用户就近接入

引子：
外网DNS是用户访问网站的第一道门，如果外网DNS调度不准确，会出现跨网，跨地域等问题，调度问题是外网DNS关注的首要问题。如何让用户就近接入？有没有好的设置方法可供参考？

一、问题说明

调度问题直观的表现是VIEW设置多少个，ACL是否匹配正确。ACL设置一般企业会采购IPIP库的结果，国内基本可以得到正确的结果，海外的IPIP归属地也不会有很大的波动。如果请求能正常到达要访问的权威服务器，看似就万事大吉了。但是在观察业务数据的时候，发现问题并没有那么简单。

1、按照地域分NS

这是一个演变的过程，按照改进的过程叙述。
第一步：国内一般的方法是华北，华东，华南，三个地域建ns。海外选择离业务近的点建ns。中国和海外的ns设置不同的地址。自建权威服务器注册到DNS服务商。按照地域顺序往后排序。每个view配置相同的ns。认为DNS解析会按照最近的NS来请求。
问题：
前两台NS会收到很多访问的请求，用户的来源IP和之前给这个NS设定的覆盖范围也不一致，其他的NS请求量相对低。和用户分布的趋势不符合。
如果这样的话，即使分了ACL，也没有达到多个NS覆盖多个的问题。用户域名请求的时间仍旧很高。那么local DNS不是应该像很多NS同时发请求，然后选择一个就近的接入，以后就按照这个NS来请求吗？
当然不会，这样用户还需要在不同的NS上随机挑选，这样更加增加了local DNS的请求时间。

2、glue 记录

local DNS第一次解析域名的时候，ns的地址是由.com权威提供的，本地递归DNS最终是缓存权威DNS上的ns记录。.com权威提供的方式是通过glue记录。在注册域名的时候，需要额外填写。
glue记录是非常容易忽略的一个问题，应该搭建常规的DNSserver并不是必须的选项，因此常常会忽略，我也是在注意到问题之后，才发现对glue记录并不了解。
加入没有glue记录，local DNS拿到了请求之后，还要在询问NS地址是什么，
查看 www.baidu.com的glue记录：
请求命令：
dig www.baidu.com

glue.png

位于返回请求的ADDITIONAL SECTION中。

3、实验过程

实验验证一下第一次请求的过程：
先来看一下请求的TTL值

image.png

第二次递减：

image.png

第三次递减：

image.png

第四次递减：

image.png

变为0:

image.png

重新开始请求：

image.png

看下对应的抓包过程：
第一次请求的过程：

image.png

192.58.128.30
J.root-servers.net192.58.128.30美国

A.root-servers.net198.41.0.4美国
E.root-servers.net192.203.230.10美国
分别像这几个根存问结果：
首先像 J.root-servers.net192.58.128.30美国 询问，
给服务器回复了 *.gtld-servers.net的地址 .com顶级域

image.png

image.png

image.png

com回复之后，继续往下看：

com回复了baidu的ns

image.png

选择了第一个百度权威NS发起请求。
百度权威NS回复了请求，中带有NS信息

image.png

继续像百度权威NS发起请求，得到答复。
已经缓存住了baidu 的NS地址：
这时直接向NS询问 www.a.shifen.com的地址

image.png

本地递归DNS最终是缓存权威DNS上的NS记录。

4、结论

如果想实现按照NS调度，不同的View应该配置不同的NS地址，用户请求从com得到请求之后，再去查询NS ，就会按照NS配置的地址到想让他去的NS解析了。不足之处，第一次因为从glue拿地址，所以第一次没有办法实现智能解析

5、bind配置minimal-responses 选项

minimal-responses
如果是yes，当产生响应的时候，服务器将只会按照需要将记录添加到authority和additional的数据部分。（例如，delegations，negative responses）。这样会改善服务器的性能。默认值为no。