Chúng ta có nên lưu trữ máy chủ tên riêng của chúng tôi?


93

Đây là Câu hỏi Canonical về việc có thuê ngoài độ phân giải DNS cho các tên miền riêng không

Tôi hiện có ISP cung cấp DNS cho tên miền của mình, nhưng họ áp đặt các giới hạn trong việc thêm hồ sơ. Do đó, tôi đang nghĩ về việc chạy DNS của riêng tôi.

Bạn có thích lưu trữ DNS của riêng bạn hay tốt hơn là để ISP của bạn làm điều này?

Có những lựa chọn thay thế mà tôi có thể xem xét?


Thêm vào các câu trả lời dưới đây, kinh nghiệm cũng rất quan trọng. Có rất nhiều sai lầm mà bạn sẽ mắc phải khi trở thành một quản trị viên DNS non nớt, ngăn chặn sự hướng dẫn tốt hoặc một con mắt đại bàng cho tài liệu. (sách và RFC, không phải HOWTO) Lỗi ở lớp DNS có thẩm quyền gây ra sự cố ngừng hoạt động ngay cả khi phần còn lại của mạng của bạn vẫn ổn .
Andrew B

Câu trả lời:


64

Tôi sẽ không chạy máy chủ DNS của riêng mình - trong trường hợp của tôi, công ty lưu trữ lưu trữ trang web của tôi cung cấp dịch vụ DNS miễn phí. Ngoài ra còn có các lựa chọn thay thế, các công ty không làm gì khác ngoài việc lưu trữ DNS ( DNS Made Easy xuất hiện trong đầu, nhưng có nhiều công ty khác) là những thứ mà bạn có lẽ nên xem xét.

Lý do tôi sẽ không tự làm điều đó là DNS được cho là khá đáng tin cậy và trừ khi bạn có một mạng lưới máy chủ phân phối theo địa lý của riêng bạn, bạn sẽ đặt tất cả trứng vào một giỏ. Ngoài ra, có rất nhiều máy chủ DNS chuyên dụng ngoài kia, đủ để bạn không cần phải khởi động một máy chủ mới.


7
+1 vào DNS Thực hiện dễ dàng. Họ đã có một bản ghi cập nhật 100,0% đã được kiểm toán trong hơn 7 năm qua.
Portman

Chỉ cần nghĩ rằng tôi sẽ bỏ một ghi chú. Mới hôm nay, cuối cùng chúng tôi đã chán ngấy với DNS nhảm nhí từ nhà cung cấp hiện tại của chúng tôi, chuyển sang DNS Made Easy dựa trên đề xuất ở đây, và đó là sự hâm mộ cuồng nhiệt. Yêu nó. Ước gì tôi đã làm nó từ nhiều năm trước.
Mark Henderson

1
Đây không phải là lý do tại sao có một máy chủ chính và phụ cho mỗi mục nhập? Tôi chưa bao giờ có một trục trặc là chính, và có thứ cấp là người đăng ký của tôi; Tôi có nghĩa là tôi đã có một trục trặc trên tiểu học, nhưng không ai nhận thấy bởi vì có một thứ cấp đáng tin cậy.
dlamblin

Chắc chắn, không có gì sai với điều đó nếu bạn thực sự muốn chạy máy chủ DNS của riêng bạn vì một số lý do. Nhưng nếu không, miễn là bạn sẽ trả tiền cho bên thứ ba để lưu trữ DNS (trở thành thứ yếu), bạn cũng có thể để họ xử lý tất cả. Tôi nghĩ rằng đối với hầu hết mọi người, chạy một máy chủ DNS có nhiều rắc rối hơn giá trị của nó.
David Z

DNS Made Easy thực sự có một mạng lưới các máy chủ trải dài ở nhiều châu lục. Và họ sử dụng định tuyến anycast. Vì vậy, sự dư thừa của chúng là vô lý, vượt xa thiết lập hai máy chủ (chính và phụ) thông thường. Nhưng trên lý thuyết cũng có nghĩa là các máy tính trên toàn cầu sẽ có độ phân giải DNS nhanh.
Steve Wortham

27

Chúng tôi luôn lưu trữ DNS của riêng mình (DNS ngược cũng thích hợp hơn). Điều này cho phép chúng tôi thực hiện các thay đổi khẩn cấp mà không cần dựa vào bên thứ ba. Nếu bạn có nhiều hơn một vị trí, có thể dễ dàng thiết lập mức độ dư thừa có thể xác định cho các máy chủ DNS của bạn.

Nếu bạn không có nhiều trang web, thì tôi sẽ xem xét ai đó đặc biệt lưu trữ DNS (KHÔNG phải ISP của bạn) với giao diện web để thay đổi. Cũng tìm kiếm hỗ trợ 24x7 và SLA phong nha.


4
Khi xem xét việc thuê ngoài, cũng nên hỏi họ có loại bảo vệ hoặc giảm thiểu DDoS nào. Các nhà cung cấp DNS luôn bị tấn công và một số người có thể tiếp tục chạy mà không bị đổ mồ hôi và những người khác sẽ vỡ vụn với một đống vụn vặt trong lưu lượng truy cập nhỏ nhất, vì vậy hãy thuê ngoài trừ khi đó là nhà cung cấp có uy tín có nhiều máy chủ được triển khai định tuyến anycast được kích hoạt.
Justin Scott

Tôi chuẩn bị nâng cấp (với rất nhiều sự nhiệt tình!) Dựa trên kinh nghiệm cá nhân của bạn trong câu đầu tiên, nhưng sau đó bạn đề nghị sử dụng dịch vụ của bên thứ ba trong câu thứ hai, điều đó có nghĩa là thêm một điểm thất bại không cần thiết được thêm vào ít để không có lợi :/ Buồn.
cnst

19

Để thiết lập DNS tốt, đáng tin cậy cho (các) tên miền của bạn, bạn nên có ...

  • Tối thiểu hai máy chủ DNS có thẩm quyền cho miền của bạn;
  • Các máy chủ DNS nên được kết nối với các mạng vật lý và nguồn điện khác nhau;
  • Các máy chủ DNS phải ở các khu vực địa lý khác nhau.

Vì không có khả năng bạn có quyền truy cập vào cơ sở hạ tầng mạng ở trên, tốt hơn hết bạn nên chọn nhà cung cấp dịch vụ lưu trữ DNS có uy tín (như những người khác đã khuyến nghị) có cơ sở hạ tầng mạng ở trên.


Khó để không bị thuyết phục khi bạn đặt nó theo cách đó.
Filip Dupanović

Đây là một bản tóm tắt tuyệt vời của sự đồng thuận trong ngành, không có gì. (Bạn có biết, ngành công nghiệp mà làm cho tiền của mình từ các giải pháp overengineered đắt tiền mà thậm chí có thể không thực hiện để thực đặc tả sự thật.)
cnst

Điều gì tốt là có máy chủ DNS dự phòng cao nếu lưu trữ của bạn vẫn không dư thừa?
Chris Smith

13

Trong nhiều năm, tôi đã chạy các máy chủ DNS của riêng mình bằng BIND (phiên bản 8 & 9) mà không gặp rắc rối lớn nào. Tôi đã lưu trữ các cấu hình của mình trong kiểm soát phiên bản với các kiểm tra sau cam kết sẽ xác thực các tệp vùng và sau đó các máy chủ DNS của tôi sẽ kiểm tra các tệp vùng theo định kỳ. Vấn đề là luôn đảm bảo số sê-ri SOA được cập nhật với mỗi cam kết bị đẩy ra nếu không các máy chủ bộ đệm sẽ không cập nhật.

Nhiều năm sau tôi đã làm việc với djbdns vì định dạng này rất lý tưởng để có các tập lệnh tự động để quản lý các vùng và không gặp phải vấn đề về số sê-ri tương tự mà tôi phải xử lý khi sử dụng BIND. Tuy nhiên, nó có vấn đề riêng với việc phải định dạng các bộ hồ sơ tài nguyên nhất định để chúng được chấp nhận.

Vì tôi thấy phần lớn lưu lượng của mình là DNS và phải duy trì cả máy chủ DNS chính và phụ để làm hài lòng các nhà đăng ký mà tôi đã chuyển sang sử dụng EasyDNS cho nhu cầu DNS của mình. Giao diện web của họ rất dễ quản lý và mang lại cho tôi sự linh hoạt mà tôi cần để quản lý các bộ RR của mình. Tôi cũng thấy nó dễ làm việc hơn những nhà cung cấp dịch vụ lưu trữ như 1 & 1 cung cấp , giới hạn các bộ RR có sẵn mà bạn có thể nhập hoặc thậm chí các công ty đăng ký tên miền như Network Solutions chỉ hoạt động nếu bạn sử dụng Windows để quản lý DNS của mình.


Đây là một câu trả lời trung thực tốt, nhưng có vẻ như bạn có thể đang tự lừa dối bản thân về giải pháp của mình - bằng cách sử dụng EasyDNS, bạn đang biến nó thành điểm thất bại duy nhất của mình; trang web của bạn có thể hoạt động bình thường, nhưng tên của bạn có thể không được giải quyết nếu nhà cung cấp bên thứ ba của bạn bị ngừng hoạt động hoặc DDoS hướng đến một trong những khách hàng của họ.
cnst

8

Đối với các tên miền cá nhân của tôi (và một số tên miền của bạn bè tôi giúp đỡ), chúng tôi lưu trữ DNS của riêng chúng tôi và nhà đăng ký của tôi (Gandi) cung cấp DNS thứ cấp. Hoặc một người bạn trên mạng khác cung cấp thứ cấp. Gandi không cập nhật các khu vực ngay lập tức, họ dường như kiểm tra khoảng 24 giờ một lần, nhưng những thay đổi rất không thường xuyên; hoạt động đủ tốt cho chúng tôi và máy chủ của họ có thể đáng tin cậy hơn nhiều so với chúng tôi.

Trong công việc của tôi, chúng tôi làm DNS riêng và nhà cung cấp mạng ngược dòng của chúng tôi cung cấp DNS thứ cấp. Tuy nhiên, chúng tôi là một trường đại học và 99% người dùng của chúng tôi đang ở tại chỗ; nếu mạng cục bộ bị hỏng thì không vấn đề gì nếu DNS bị sập. Ngoài ra, chúng tôi có đầy đủ loại B (/ 16) với khoảng 25 nghìn bản ghi DNS (tất nhiên cộng với bản ghi DNS ngược 25k), điều này có vẻ hơi khó xử khi quản lý qua giao diện web. Các máy chủ DNS cục bộ của chúng tôi rất khả dụng và nhanh chóng.


3
Chúng tôi làm điều tương tự ở đây. Chúng tôi có hai hộp Linux chạy BIND (một giây khác) và 'ISP' của chúng tôi cũng đang chạy DNS thứ cấp.
l0c0b0x

1
Như trên. Ngoài ra với lớp B, cũng chạy các máy chủ DNS BIND của riêng chúng tôi. Và khi chúng tôi gặp sự cố DNS, thường là với trang web bên ngoài của chúng tôi;)
sysadmin1138

Câu trả lời chính xác; cho đến nay, đây là câu trả lời yêu thích của tôi cho câu hỏi này, bởi vì nó thực sự dựa trên cả thực tiễn kỹ thuật âm thanh và ước tính thực tế về sự dư thừa và tính sẵn có, cũng như kinh nghiệm cá nhân; trong khi rất nhiều câu trả lời khác chỉ đơn giản là liệt kê nhà cung cấp DNS bên thứ ba yêu thích của họ hoặc sao chép một cách mù quáng các bản tóm tắt được viết bởi những người có mâu thuẫn rõ ràng về việc kiếm thêm tiền từ các giải pháp áp đảo mà họ đề xuất.
cnst

5

Tôi đã làm cả hai. Có thể có những lợi ích với việc lưu trữ của riêng bạn: bạn chắc chắn học được rất nhiều về cách DNS hoạt động khi sếp của bạn hỏi bạn tại sao lại mất nhiều thời gian như vậy. Ngoài ra, bạn có nhiều quyền kiểm soát các khu vực của bạn. Điều này không phải lúc nào cũng mạnh mẽ như nó phải có, phần lớn là do tính chất phân tán của DNS - nhưng mọi lúc mọi nơi đều có ích. Chắc chắn là như vậy nếu bạn có thể yêu cầu nhà cung cấp phân bổ bạn làm SOA cho DNS ngược của khối IP, giả sử bạn có một.

Tuy nhiên, tất cả các ý kiến ​​ở trên về cách bạn thực sự phải có rất nhiều khả năng chống thất bại được xây dựng ở trên là đập vào. Máy chủ trong các trung tâm dữ liệu khác nhau trong các khu vực địa lý khác nhau là rất quan trọng. Đã xử lý được sự cố mất điện lớn ở vùng Đông Bắc năm 2003 - tất cả chúng ta đều biết rằng có một hộp ở hai trung tâm dữ liệu khác nhau trong cùng một thành phố, hoặc thậm chí tỉnh hoặc bang - không nhất thiết phải đủ bảo vệ. Sự phấn khích bắt đầu khi bạn nhận ra pin của mình và sau đó máy phát điện diesel tiết kiệm mông của bạn nhanh chóng được thay thế bằng sự sợ hãi gây ra bởi nhận ra rằng bạn đang lái xe trên lốp dự phòng.

Tuy nhiên, tôi luôn chạy máy chủ DNS nội bộ của chúng tôi cho mạng LAN. Có thể rất hữu ích khi có toàn quyền kiểm soát DNS mà mạng của bạn sử dụng bên trong - và nếu mất điện trong văn phòng của bạn, máy chủ DNS nội bộ của bạn nhờ vào giá đỡ máy chủ có thể là trên pin hoặc pin và diesel, trong khi PC của bạn sẽ không - vì vậy khách hàng của bạn sẽ ngoại tuyến rất lâu trước khi máy chủ hoạt động.


4

Tôi đang đọc tất cả các giải pháp này với một chút thích thú vì chúng tôi đã vô tình phù hợp với tất cả các "yêu cầu" này bằng cách lưu trữ DNS chính của chúng tôi khỏi một đường DSL tĩnh và có nhà đăng ký (ở lục địa khác) cung cấp DNS phụ trên kết nối nghiêm trọng và đáng tin cậy hơn nhiều. Bằng cách này, chúng tôi có được sự linh hoạt của việc sử dụng liên kết và thiết lập tất cả các bản ghi trong khi được đảm bảo hợp lý rằng phần thứ cấp được cập nhật để phản ánh những thay đổi này và sẽ có sẵn trong trường hợp hố ga bắt lửa, để trích dẫn một sự cố.

Điều này đáp ứng một cách hiệu quả:
"Tối thiểu hai máy chủ DNS có thẩm quyền cho miền của bạn;"
"Các máy chủ DNS nên được kết nối với các mạng vật lý và nguồn điện khác nhau;"
"Các máy chủ DNS nên ở các khu vực địa lý khác nhau."


Đây chắc chắn là một cách tiếp cận tốt; nhưng nếu một hố ga bắt lửa và toàn bộ cơ sở hạ tầng của bạn bị hỏng, thì DNS, điểm DNS vẫn khả dụng, khi không có máy chủ nào có thể liên lạc được? :-) Tôi nghĩ rằng việc gặp rắc rối với DNS thứ cấp của bên thứ ba chỉ có ý nghĩa nếu bạn tự thuê ngoài một số dịch vụ khác cho các bên thứ ba khác.
cnst

@cmst Vấn đề là, khi dns ngừng hoạt động, bất cứ ai gửi email cho bạn, họ đều thấy một vấn đề ngay lập tức (khách hàng? đối tác? công khai rất tệ). Nếu dns hoạt động và máy chủ thư bị hỏng trong một vài giờ, họ hầu như không nhận thấy điều gì.
kubanchot

@cmst DNS không giới hạn chỉ đến các máy chủ trên mạng cá nhân của tôi. Tôi có thể đặt tên IP ở bất cứ đâu. Giống như, có lẽ tôi có một tên cho mỗi hộp NAT của nhân viên / bạn bè của tôi. Hoặc tôi có thể sử dụng các loại bản ghi khác và xác định / xác minh công khai một cái gì đó.
dlamblin

4

Hãy xem Dyn.com ; họ có tất cả các loại dịch vụ liên quan đến DNS như lưu trữ DNS, DNS động, MailHop, v.v. Tôi đã thấy chúng đáng tin cậy và đã sử dụng chúng trong khoảng 5 năm.


2
+1, tôi đã sử dụng DynDNS khoảng 2 năm nay và hoàn toàn hài lòng với dịch vụ của họ.
cdmckay

Dyn.com đã từng là dynDNS trước khoảng năm 2013.
Knox

3

Nó phụ thuộc.

Tôi đã chạy DNS của riêng mình cho các công việc khác nhau từ cuối những năm 80 (BSD 4.3c). Đối với công việc, tôi đã luôn lưu trữ DNS của riêng mình, nhưng tôi luôn có nhiều vị trí trung tâm dữ liệu hoặc có thể trao đổi DNS thứ cấp với đối tác. Ví dụ: ở công việc cuối cùng của tôi, chúng tôi đã tạo DNS thứ cấp cho một .EDU khác (họ ở MN, chúng tôi ở CA) và họ cũng làm như vậy với chúng tôi. Đa dạng về địa lý và mạng.

Hoặc, trong công việc hiện tại của chúng tôi, chúng tôi có các trung tâm dữ liệu phía đông và phía tây (Hoa Kỳ) của riêng mình. Lưu trữ DNS riêng của chúng tôi cho phép chúng tôi đặt bất kỳ bản ghi DNS bất thường nào chúng tôi có thể cần (SVR, TXT, v.v.) có thể không được hỗ trợ bởi một số dịch vụ DNS GUI. Và, chúng ta có thể thay đổi TTL bất cứ khi nào chúng ta muốn; chúng tôi có khá nhiều tính linh hoạt cuối cùng, với chi phí tự làm.

Đối với đồ gia dụng, tôi đã làm cả hai cách. Đối với một số tên miền mà tôi đang làm những thứ khác thường hoặc cần rất linh hoạt, tôi vẫn chạy các máy chủ DNS chính "ẩn" của riêng mình và trao đổi các dịch vụ DNS công cộng với những người khác đang làm điều tương tự. Tôi sử dụng RCS để tập tin vùng kiểm soát phiên bản để quản lý cấu hình, vì vậy tôi có thể thấy toàn bộ lịch sử thay đổi vùng trở lại thời điểm bắt đầu. Đối với những thứ đơn giản như tên miền có một blog hoặc máy chủ web chung (một bản ghi A hoặc một CNAME), việc sử dụng dịch vụ DNS đăng ký tên miền có sẵn và hiện đang lo lắng về CM là dễ dàng hơn.

Đó là một sự đánh đổi. Kiểm soát tối ưu và linh hoạt có chi phí xử lý sự đa dạng của chính bạn, chạy nhiều máy chủ, xử lý các lỗi phần cứng / phần mềm, v.v. Nếu bạn không cần sự linh hoạt hoặc toàn quyền kiểm soát, thì bất kỳ nhà cung cấp DNS hàng đầu nào cũng sẽ giải quyết vấn đề của bạn, có thể với tổng chi phí thấp hơn.


Mặc dù việc sử dụng DNS của công ty đăng ký dễ dàng hơn, nhưng không có gì lạ khi DNS của nhà đăng ký bị ngừng hoạt động, trong khi cả đăng ký tên miền và máy chủ lưu trữ của bạn đều hoạt động, nhưng trang web của bạn vẫn chưa khả dụng, bởi vì bạn đã thêm một điểm không thành công vào thiết lập của mình để dễ dàng. Thật sự không khó để chạy DNS của riêng bạn; đặc biệt là ngày nay với rất nhiều máy chủ nhẹ và dễ sử dụng.
cnst

3

Như đã đề cập trong chủ đề này, có một số trường hợp đặc biệt với DNS, sự khác biệt đáng kể nhất là giữa việc triển khai máy chủ tên có thẩm quyền và bộ đệm.

  1. Nếu bạn cần một máy chủ DNS chỉ để giải quyết các tài nguyên Internet, một số trình phân giải DNS rút tiền miễn phí là một lựa chọn khôn ngoan. Cá nhân tôi sử dụng công cụ mã hóa PowerDNS (pdns-recoder) trên Linux.

  2. Để phục vụ cơ sở hạ tầng bên ngoài của bạn, như các trang web hoặc MX, tôi sẽ không sử dụng NS nội bộ (nếu chúng ta đang nói về SOHO ở đây). Sử dụng một số dịch vụ chống đạn tốt, đáng tin cậy như DNSmadeasy . Tôi sử dụng gói kinh doanh của họ, và nó đá trong khi rất phải chăng.


Nhiều người cũng tán thành quan điểm của DJB về việc không bao giờ chạy bộ đệm DNS (trình phân giải đệ quy) trên cùng hệ thống với DNS phục vụ (lưu trữ tệp vùng). Điều này là vì lý do bảo mật, vì vậy các lỗ hổng trong cái này không ảnh hưởng đến cái kia và ngược lại.
kubanchot

2

Tôi đã sử dụng Zonedit hoặc nhiều năm. Nó rẻ (hoặc miễn phí) và tôi đã thêm rất nhiều CNAME, A, MX, TXT, SRV và các bản ghi khác.


2

Gần đây chúng tôi đã mang DNS công cộng của chúng tôi vào nhà khi chúng tôi mang tất cả các dịch vụ của chúng tôi về nhà. Điều này cho phép chúng tôi cập nhật mọi thứ nhanh nhất có thể. Có DNS phân phối theo địa lý không phải là một yêu cầu đối với chúng tôi tại thời điểm này vì các máy chủ web đều nằm trong cùng một trang.


2
Có phải e-mail của bạn được lưu trữ tại trang web đó không? Hãy nhớ rằng nếu bạn mất kết nối ở đó và e-mail nằm ngoài mạng đó, các bản ghi MX của bạn sẽ biến mất và e-mail sẽ ngừng hoạt động ngay cả khi nó được lưu trữ ở nơi khác. Nếu nó ở cùng một trang web, không phải là một vấn đề lớn, nhưng tôi đã thấy cuộc tranh luận này sụp đổ vì lý do này nhiều lần trong quá khứ.
Justin Scott

1
Vâng, những kẻ đó đang hos email của họ trên cùng một trang web (Tôi không còn ở công ty đó nữa).
mrdenny

2

Tôi có tốt nhất của cả hai thế giới.

Tôi lưu trữ DNS công cộng của mình cho các trang web và bản ghi MX của tôi "ở một nơi khác". Nó đáng tin cậy, an toàn, nó hoạt động, tôi có thể sửa đổi nó theo ý muốn. Tôi trả tiền cho dịch vụ và tôi hài lòng với giá trị.

Nhưng ở nhà, tôi chạy máy chủ DNS bộ nhớ cache của riêng tôi thay vì dựa vào ISP của tôi. ISP của tôi có thói quen mất DNS, DNS chậm, DNS không hợp lệ và đôi khi họ muốn làm hỏng DNS để thất bại đến những nơi mà họ nghĩ rằng tôi có thể quan tâm. Tôi không quan tâm đến việc sử dụng DNS của ISP. Vì vậy, tôi có máy chủ DNS lưu trữ bộ nhớ cache của riêng tôi và tự làm điều đó. Đó là một chút nỗ lực để thiết lập ngay từ đầu (có thể là 2 giờ), nhưng nó sạch sẽ và tôi có DNS đáng tin cậy. Mỗi tháng một lần, một công việc định kỳ sẽ thẩm vấn các máy chủ gốc và làm mới bảng gợi ý. Có lẽ mỗi năm một lần tôi phải mân mê nó, như gửi doubleclick.com đến 127.0.0.1 hoặc tương tự. Ngoài ra, nó không cần sự can thiệp và nó hoạt động rất tốt.


Vấn đề với DNS của bên thứ ba là nếu nó ngừng hoạt động, ngay cả khi trang web của bạn bị hỏng, mọi người không thể truy cập tên miền của bạn. (Quá nhiều cho sự dư thừa!)
cnst

2

Nếu bạn quyết định lưu trữ DNS của riêng mình vì tình yêu của thượng đế, thì có HAI máy chủ dns trên mỗi trang. Một cho DNS bên ngoài của bạn, được gắn trực tiếp vào tường lửa của bạn để cả thế giới tìm thấy bạn. Và một cái riêng biệt trong mạng của bạn cho dns đường phố của bạn.


Thực hành này được gọi là chia chân trời. Nó có thể không áp dụng cho hầu hết các thiết lập, thẳng thắn, và đã khá lỗi thời, bên ngoài doanh nghiệp lớn, trong một thời gian khá lâu.
cnst

@cnst Split-horiz (hoặc split-view) đang phục vụ các vùng khác nhau trong cùng một tên miền và XTZ không nói rằng anh ấy đề xuất điều đó. Một máy chủ nội bộ thường phục vụ một tên miền khác (có thể là tên miền phụ).
kubanchot

2

Tôi chưa thể bình luận, nhưng tôi đang làm giống như freiheit. Chúng tôi chạy DNS chính của chúng tôi ở đây trong DMZ của chúng tôi và ISP của chúng tôi có một số máy chủ DNS nô lệ trên toàn quốc sẽ cập nhật ngay sau khi chúng tôi thực hiện thay đổi tại DNS chính.

Nó cho tốt nhất của cả hai thế giới; kiểm soát ngay lập tức cộng với sự điều chỉnh lại.


2

Có những ưu và nhược điểm đối với từng cách tiếp cận, nhưng tôi chắc chắn ủng hộ việc lưu trữ DNS nội bộ của bạn trong nội bộ. Danh sách những thứ bạn phụ thuộc vào các dịch vụ mạng cơ bản nếu bạn lưu trữ bên ngoài sẽ gây chú ý. Giám đốc điều hành có thể nghĩ rằng thật thông minh khi tiết kiệm tiền trên các máy chủ DNS bằng cách lưu trữ bên ngoài, nhưng anh ta sẽ nghĩ gì khi không thể nhận được email của mình nếu liên kết internet bị sập?


Câu trả lời tuyệt vời, +1! Chuyển nhanh sang năm 2017, bạn có còn nghĩ DNS nội bộ là con đường để đi? :-)
cnst

1
@cnst ffwd đến 2017 Tôi không còn đủ kinh nghiệm để đưa ra đề xuất.
Maximus Minimus

2

Từ kinh nghiệm, nếu bạn muốn thu hút một cuộc tấn công từ chối dịch vụ, hãy lưu trữ DNS của riêng bạn. Và trang web của riêng bạn.

Tôi là một người tin vào có một số điều bạn không nên tự làm. DNS hosting là một trong số đó. Giống như nhiều người đã nói, bạn sẽ cần các máy chủ, kết nối và vị trí thực tế dư thừa và bạn vẫn sẽ không tiếp cận được khả năng phục hồi của ngay cả các công ty lưu trữ nhỏ hơn.

Lợi ích lớn nhất để lưu trữ DNS của riêng bạn là những thay đổi có thể được thực hiện ngay lập tức. Cần rút ngắn TTL của bạn cho một cuộc di cư sắp tới? Bạn có thể có thể viết một tập lệnh thực hiện điều đó trên các máy chủ của riêng bạn; đối với DNS được lưu trữ, bạn có thể cần phải đăng nhập và thay đổi hồ sơ theo cách thủ công hoặc thậm chí tệ hơn, gọi cho nhà cung cấp, trải qua 3 cấp độ hỗ trợ cho đến khi cuối cùng bạn đạt được một số có thể đánh vần DNS, chỉ cần họ nói với bạn rằng họ sẽ gửi thay đổi trong 2-3 ngày.


2

Tôi chạy DNS của riêng mình bằng BIND trên các máy chủ Linux. Tôi hiện có bốn cơ sở tại London UK, Miami FL, San Jose CA và Singapore. Hoạt động tuyệt vời và tôi có toàn quyền kiểm soát. Tính ổn định của trung tâm dữ liệu là rất quan trọng, do đó tôi đã chọn các DC tốt để chạy các máy chủ (không phụ thuộc vào ISP hoặc một số cơ sở hạ tầng 'không xác định' khác). Tôi có thể thiết lập máy chủ DNS và các dịch vụ khác ở bất kỳ đâu trên thế giới bằng cách sử dụng DC thế giới mà tôi chọn dựa trên các tiêu chí nghiêm ngặt. Rock solid DNS rất cần thiết cho email và dịch vụ web mà tôi chạy.


LOL, mảnh quảng cáo tuyệt vời, tôi có thể lấy số của bộ phận tiếp thị của bạn và người sao chép của họ không? Tôi đang đánh dấu là một ứng cử viên spam rõ ràng, nhưng đồng thời tôi sẽ không ngạc nhiên nếu lá cờ này cũng bị từ chối!
cnst

2

Chúng ta có nên lưu trữ máy chủ tên riêng của chúng tôi?

Có, bạn cũng nên sử dụng thêm một quặng của các nhà cung cấp DNS bên thứ 3 lớn. Một giải pháp lai có thể là cách tiếp cận dài hạn an toàn nhất vì nhiều lý do, đặc biệt nếu bạn là một doanh nghiệp có bất kỳ yêu cầu nào về SLA hoặc các yêu cầu hợp đồng cho khách hàng của bạn. Thậm chí nhiều hơn nếu bạn là b2b.

Nếu các máy chủ DNS chính của bạn (ẩn hoặc công khai) là nguồn sự thật của bạn, thì bạn sẽ tự bảo vệ mình khỏi bị khóa vào các khả năng cụ thể của nhà cung cấp. Khi bạn bắt đầu sử dụng các tính năng tiện lợi của chúng vượt xa DNS cơ bản, bạn có thể thấy rằng việc chuyển sang nhà cung cấp khác hoặc lưu trữ DNS của riêng bạn là có vấn đề, vì bây giờ bạn phải sao chép các khả năng đó. Ví dụ sẽ là kiểm tra sức khỏe trang web và chuyển đổi dự phòng DNS mà Dyn và UltraDNS cung cấp. Những tính năng này rất tuyệt, nhưng nên được xem là một lần và không phụ thuộc. Các tính năng này cũng không sao chép tốt từ nhà cung cấp đến nhà cung cấp.

Nếu bạn chỉ có nhà cung cấp bên thứ 3, thì thời gian hoạt động của bạn có thể bị ảnh hưởng khi họ bị tấn công DDoS. Nếu bạn chỉ có máy chủ DNS của riêng mình thì thời gian hoạt động của bạn có thể bị ảnh hưởng khi bạn là mục tiêu của một cuộc tấn công DDoS.

Nếu bạn có một hoặc nhiều nhà cung cấp DNS và máy chủ DNS phân tán của riêng bạn làm nô lệ cho các máy chủ DNS chính bị ẩn mà bạn kiểm soát, thì bạn sẽ đảm bảo rằng bạn không bị khóa trong một nhà cung cấp cụ thể và bạn luôn duy trì quyền kiểm soát các khu vực của mình và điều đó các cuộc tấn công phải đánh sập cả máy chủ của bạn và một hoặc nhiều nhà cung cấp chính làm nô lệ cho máy chủ của bạn. Bất cứ điều gì thiếu đó sẽ là sự xuống cấp của dịch vụ so với sự cố ngừng hoạt động nghiêm trọng.

Một lợi thế khác của việc có các máy chủ của riêng bạn (ẩn lý tưởng, chưa được công bố) là bạn có thể xây dựng API của riêng mình và cập nhật chúng trong bất kỳ trang viên nào phù hợp với nhu cầu kinh doanh của bạn. Với các nhà cung cấp DNS bên thứ 3, bạn sẽ cần thích nghi với API của họ. Mỗi nhà cung cấp có cái riêng của họ; hoặc trong một số trường hợp, chỉ cần có giao diện người dùng web.

Hơn nữa, nếu chủ của bạn nằm dưới sự kiểm soát của bạn và nhà cung cấp đang gặp sự cố, thì bất kỳ máy chủ nô lệ nào vẫn có thể tiếp cận với chủ của bạn sẽ nhận được các bản cập nhật. Đây là điều bạn sẽ mong muốn sau khi bạn nhận ra rằng có một bên thứ 3 là chủ nhân của bạn là một lỗi trong sự cố DDoS lớn và bạn không thể thay đổi bất kỳ máy chủ nào trên các nhà cung cấp không bị tấn công.

Từ góc độ pháp lý, ngăn chặn khóa nhà cung cấp cũng có thể quan trọng đối với doanh nghiệp của bạn. Ví dụ, Dyn có khả năng được Oracle mua. Điều này đặt họ vào một vị trí duy nhất để thu thập số liệu thống kê DNS trên tất cả các khách hàng của Dyn. Có những khía cạnh cạnh tranh của điều này có thể gây ra rủi ro pháp lý. Điều đó nói rằng, tôi không phải là một luật sư, vì vậy bạn nên tham khảo ý kiến ​​đội ngũ pháp lý và PR của bạn về vấn đề đó.

Có nhiều khía cạnh khác cho chủ đề này nếu chúng ta muốn đào sâu vào cỏ dại.

[Chỉnh sửa] Nếu đây chỉ là một miền cá nhân / sở thích nhỏ, thì 2 VM không nằm trong cùng một trung tâm dữ liệu với nhau, chạy một daemon DNS nhỏ là quá đủ. Tôi làm điều đó cho các lĩnh vực cá nhân của riêng tôi. Tôi không rõ liệu tên miền của bạn có nghĩa là một doanh nghiệp hay chỉ vì sở thích. Dù VM nhỏ nhất bạn có thể nhận là quá đủ. Tôi sử dụng rbldnsd cho tên miền của mình; sử dụng chỉ số TTL rất cao trong hồ sơ của tôi, vì nó chiếm tới 900 KB ram và có thể xử lý mọi hành vi lạm dụng mà mọi người ném vào nó.


Trong khi quá tập trung vào doanh nghiệp, đây là một câu trả lời hợp lý, ai có thể đưa ra -1 xin vui lòng giải thích?
cnst

Hai điểm mới về API và sự hợp nhất của nhà cung cấp. Hai DC đều ổn, nhưng cũng lưu ý rằng phải có ISP riêng cho từng loại, không phải cùng một ISP.
kubanchot

Điểm tốt @kubanchot muiltipl ingres liên kết chắc chắn và tự động kiểm tra dự phòng và kiểm tra sức khỏe trên chúng.
Aaron

1

Hãy nghĩ về lưu trữ DNS làm cơ sở cho các dịch vụ công cộng của bạn. Trong trường hợp của tôi email là rất quan trọng cho doanh nghiệp của chúng tôi. Nếu bạn lưu trữ DNS bên trong và kết nối internet của bạn chùn bước, các bản ghi DNS của bạn có thể trở nên cũ kỹ, buộc tên miền của bạn không khả dụng.

Vì vậy, trong trường hợp của tôi, nếu không thể tìm thấy bản ghi MX cho tên miền của chúng tôi, email sẽ bị từ chối ngay lập tức.

Vì vậy, tôi có DNS của chúng tôi được lưu trữ bên ngoài.

Nếu bản ghi MX khả dụng, nhưng kết nối internet của chúng tôi bị hỏng, thư sẽ tiếp tục xếp hàng trên các máy chủ đang cố gắng gửi email đến miền của chúng tôi.


Tôi không nghĩ rằng điều này là đúng đối với MXhồ sơ; thực tế, đó là một trong những quan niệm sai lầm được ghi nhận tại cr.yp.to/djbdns/third-party.html .
cnst

0

Nó phụ thuộc. ™

Tôi đã chạy các máy chủ của riêng mình và quản lý tên miền từ ít nhất 2002.

Tôi thường sử dụng máy chủ DNS của nhà cung cấp của mình.

Số lần máy chủ của tôi tại IP của tôi có sẵn, nhưng DNS của tôi thì không, là quá nhiều.

Dưới đây là những câu chuyện chiến tranh của tôi:

  • Một nhà cung cấp dịch vụ yuge ở Moscow (một trong những nhà cung cấp VZ đầu tiên) đã có VPS của tôi ở một DC "giá trị" giá rẻ, nhưng DNS của họ ở một DC hiện đại cao cấp với lưu lượng truy cập đắt đỏ, trong hai khác nhau / 24 mạng con, theo yêu cầu của một số TLD tại thời điểm đó . Tại một thời điểm, một thảm họa đã xảy ra (có thể là mất điện năm 2005? ) Và DC đắt tiền của họ đã ngoại tuyến và trang web của tôi (vẫn ở Moscow, nhưng trong một "giá trị" DC) chỉ có thể được truy cập bằng địa chỉ IP của nó.

    Điều thú vị là, ngay cả trước khi bất kỳ sự cố, tôi nhớ lại rõ ràng làm traceroute, và nhận thấy cùng DC cho cả ns1ns2các ISP của tôi, yêu cầu họ di chuyển từ một đến "tôi" DC, quá, cho geo-dư thừa; họ đã bác bỏ ý tưởng về sự dư thừa địa lý, bởi vì các máy chủ đã ở trong DC cao cấp nhất có thể.

  • Tôi đã có một nhà cung cấp khác (một trong những nhà cung cấp dựa trên ISPsystem đầu tiên), nơi họ có một ns tại chỗ và một nhà cung cấp khác ở nước ngoài. Tóm lại, toàn bộ thiết lập đã bị lỗi một cách lố bịch và máy chủ "ở nước ngoài" thường không duy trì được các vùng của nó, vì vậy, tên miền của tôi thực sự có thêm một điểm lỗi và sẽ không thể truy cập được ngay cả khi toàn bộ máy chủ của tôi vẫn chạy trơn tru.

  • Tôi đã có một công ty đăng ký chạy mạng riêng của mình. Nó đã đi xuống mọi lúc, mặc dù các máy chủ bên ngoài của tôi đã hoạt động. DNS của tôi đã bị hỏng.

  • Gần đây tôi đã sử dụng nhiều nhà cung cấp đám mây lớn cho thứ cấp, nơi tôi tự mình điều hành một bậc thầy ẩn. Cả hai nhà cung cấp đã thay đổi thiết lập của họ ít nhất một lần; không bao giờ với bất kỳ thông báo công khai nào; một số tên miền của tôi đã ngừng giải quyết. Đã xảy ra với một người bạn của tôi, với một trong những nhà cung cấp tương tự. Điều này xảy ra thường xuyên hơn với các dịch vụ của bên thứ ba hơn là những người quan tâm thừa nhận ở nơi công cộng.

Nói tóm lại, http://cr.yp.to/djbdns/third-party.html hoàn toàn chính xác về chủ đề này.

Các chi phí phải bận tâm với DNS của bên thứ ba thường không có giá trị lợi ích.

Những tiêu cực của việc có DNS của bên thứ ba thường bị bỏ qua một cách không công bằng.

Tôi sẽ nói rằng trừ khi tên miền của bạn đã sử dụng dịch vụ của bên thứ ba (ví dụ: cho web, thư, giọng nói hoặc văn bản), thì việc thêm DNS của bên thứ ba hầu như sẽ luôn phản tác dụng và không có nghĩa là cách tốt nhất trong mọi trường hợp .

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.