Tên miền / hậu tố cấp cao nhất cho mạng riêng?

Tại văn phòng của chúng tôi, chúng tôi có một mạng cục bộ với thiết lập DNS hoàn toàn nội bộ, trên đó tất cả các máy khách được đặt tên là whatever.lan. Tôi cũng có một môi trường VMware và trên mạng chỉ dành cho máy ảo, tôi đặt tên cho các máy ảo whatever.vm.

Hiện nay, mạng này cho các máy ảo là không thể truy cập từ mạng cục bộ của chúng tôi, nhưng chúng tôi đang thiết lập một mạng lưới sản xuất để di chuyển các máy ảo để, mà sẽ được truy cập từ mạng LAN. Do vậy, chúng tôi đang cố gắng để giải quyết trên một quy ước cho các hậu tố tên miền / TLD chúng tôi áp dụng cho khách trên mạng mới này, chúng tôi đang thiết lập, nhưng chúng tôi không thể đưa ra một trong những tốt, cho rằng .vm, .localvà .lantất cả đều có ý nghĩa hiện có trong môi trường của chúng ta.

Vì vậy, những gì thực hành tốt nhất trong tình huống này? Có một danh sách các TLD hoặc tên miền nào đó an toàn để sử dụng cho một mạng nội bộ hoàn toàn không?

Không sử dụng một TLD được phát minh. Nếu ICANN ủy thác nó, bạn sẽ gặp rắc rối lớn. Điều tương tự nếu bạn hợp nhất với một tổ chức khác sẽ sử dụng cùng một TLD giả. Đó là lý do tại sao tên miền duy nhất trên toàn cầu được ưa thích.

Tiêu chuẩn, RFC 2606 bảo lưu tên cho các ví dụ, tài liệu, thử nghiệm, nhưng không có gì cho sử dụng chung và vì lý do chính đáng: ngày nay, thật dễ dàng và rẻ tiền để có được một tên miền thực và duy nhất mà không có lý do chính đáng để sử dụng giả một cái.

Vì vậy, mua iamthebest.orgvà sử dụng nó để đặt tên cho thiết bị của bạn.

Sử dụng tên miền phụ của tên miền đã đăng ký của công ty bạn cho các máy nội bộ có tên mà bạn không muốn có sẵn trên Internet. (Tất nhiên, sau đó, chỉ lưu trữ các tên đó trên các máy chủ DNS nội bộ của bạn.) Dưới đây là một số ví dụ cho Tập đoàn Ví dụ giả tưởng.

Máy chủ truy cập Internet:
www.example.com
mail.example.com
dns1.example.com

Máy nội bộ:
dc1.corp.example.com
dns1.corp.example.com
client1.corp.example.com

Tôi đã sử dụng "corp" để biểu thị rằng tên miền phụ này đã mô tả các máy trên mạng công ty nội bộ, nhưng bạn có thể sử dụng bất cứ thứ gì bạn muốn ở đây, chẳng hạn như "nội bộ": client1.i INTERNal.example.com.

Cũng cần nhớ rằng, các vùng DNS và tên miền phụ không phải phù hợp với sơ đồ đánh số mạng của bạn. Công ty của tôi, ví dụ, có 37 vị trí, mỗi vị trí có mạng con riêng, nhưng tất cả các vị trí đều sử dụng cùng một tên miền (nội bộ). Ngược lại, bạn chỉ có thể có một hoặc một vài mạng con, nhưng nhiều tên miền nội bộ ngang hàng hoặc cấp độ của tên miền phụ để giúp bạn tổ chức các máy của mình.

Có một lợi thế khác của việc sử dụng tên miền phụ nội bộ: sử dụng khéo léo các hậu tố tìm kiếm và chỉ tên máy chủ thay vì FQDN, bạn có thể xây dựng các tệp cấu hình hoạt động cả trong phát triển, QA và sản xuất.

Ví dụ: bạn luôn sử dụng "cơ sở dữ liệu = dbserv1" trong tệp cấu hình của mình.

Trên máy chủ phát triển, bạn đặt hậu tố tìm kiếm thành "dev.example.com" => máy chủ cơ sở dữ liệu được sử dụng: dbserv1.dev.example.com

Trên máy chủ QA, bạn đặt hậu tố tìm kiếm thành "qa.example.com" => máy chủ cơ sở dữ liệu được sử dụng: dbserv1.qa.example.com

Và trên máy chủ sản xuất, bạn đặt hậu tố tìm kiếm thành "example.com" => máy chủ cơ sở dữ liệu được sử dụng: dbserv1.example.com

Bằng cách đó, bạn có thể sử dụng các cài đặt giống nhau trong mọi môi trường.

Vì các câu trả lời trước cho câu hỏi này đã được viết, đã có một vài RFC thay đổi hướng dẫn. RFC 6761 thảo luận về các tên miền sử dụng đặc biệt mà không cung cấp hướng dẫn cụ thể cho các mạng riêng. RFC 6762 vẫn khuyên bạn không sử dụng tên miền cấp cao không đăng ký, nhưng cũng thừa nhận rằng có những trường hợp nơi mà nó sẽ được thực hiện anyway. Do xung đột .local thường được sử dụng với Multicast DNS (chủ đề chính của RFC), Phụ lục G. Các không gian DNS riêng khuyến nghị các TLD sau:

• mạng nội bộ
• nội bộ
• riêng tư
• thân
• Trang Chủ
• lan

IANA dường như nhận ra cả RFC nhưng hiện tại (không) kết hợp các tên được liệt kê trong Phụ lục G.

Nói cách khác: bạn không nên làm điều đó. Nhưng khi bạn quyết định làm điều đó, hãy sử dụng một trong những tên trên.

Như đã nói, bạn không nên sử dụng TLD chưa đăng ký cho mạng riêng của mình. Đặc biệt là bây giờ ICANN cho phép hầu hết mọi người đăng ký TLD mới. Sau đó, bạn nên sử dụng một tên miền thực

Mặt khác, RFC 1918 rõ ràng:

Tài liệu tham khảo gián tiếp đến các địa chỉ như vậy nên được chứa trong doanh nghiệp. Các ví dụ nổi bật của các tham chiếu như vậy là Bản ghi tài nguyên DNS và các thông tin khác đề cập đến các địa chỉ riêng tư nội bộ. Vì vậy, máy chủ tên của bạn cũng nên sử dụng chế độ xem để ngăn các bản ghi riêng tư được truyền trên Internet.

Chúng tôi có xu hướng xem xét không có sự khác biệt trong việc đặt tên ảo của máy chủ từ vật lý - thực tế, chúng tôi đã thực hiện để trừu tượng hóa cấu hình máy chủ (phần mềm) từ lớp vật lý.

Vì vậy, chúng tôi mua Vật phẩm Phần cứng và tạo Vật phẩm Máy chủ trên đầu chúng (và sử dụng mối quan hệ đơn giản để thể hiện điều đó trong tài liệu của chúng tôi).

Mục đích là khi máy chủ tồn tại, DNS không phải là yếu tố quyết định - vì chúng ta có máy di chuyển từ không gian này sang không gian khác - ví dụ, một ứng dụng web hiệu suất thấp không cần phải sử dụng chu kỳ CPU đắt tiền - ảo hóa nó và nó vẫn giữ nguyên sơ đồ đặt tên, mọi thứ vẫn tiếp tục hoạt động.

Tôi không chắc điều này sẽ giúp bạn, nhưng đối với DNS nội bộ trong tài khoản AWS của tôi, tôi sử dụng .awsnhư tld và nó dường như hoạt động hoàn toàn tốt.

Tôi biết có một số TLD bạn không nên sử dụng, nhưng ngoài những TLD đó, tôi không nghĩ nó quá nghiêm ngặt.

Tôi đã làm việc tại một vài công ty lớn hơn, nơi họ sẽ sử dụng nguồn xác thực là TLD, nghĩa là nếu đó là máy chủ MS / Windows, sử dụng Active Directory làm nguồn xác thực .ad, và một số người khác sẽ là .ldap(Tại sao họ lại là Tôi chỉ sử dụng cùng một nguồn? hoặc các máy chủ sao chép từ cùng một dịch vụ thư mục? Tôi không biết, nó giống như vậy khi tôi đến đó)

Chúc may mắn