當企業考慮外包他們的IT基礎設施時,他們應該考慮將其公共授權的DNS服務遷移到云計算提供商的托管DNS(域名系統)服務中,但首先他們應該了解云計算DNS的優缺點。
云計算DNS的優勢
(1)彈性
云計算DNS提供商具有完全冗余且地理上多樣化的網絡和DNS服務器基礎設施,可提供可靠性和容錯性。由于企業使用不共享同步分布式區域信息的DNS服務器,因此企業通常在DNS基礎設施中缺乏冗余性。企業必須確保該服務是冗余的,因為如果他們的非冗余DNS服務器出現故障,將會產生重大的業務影響。如果企業網絡缺乏內部部署和互聯網冗余,并且網絡發生故障,那么他們的DNS基礎設施的網絡可達性也會受到影響。如果企業當前的DNS服務器不是高度冗余的,那么云計算DNS服務需要提供更高的故障恢復能力。
企業通常在全球互聯網周邊網絡上維護其權威DNS服務器,并允許它們在TCP端口53和UDP端口53上全局可達。如果組織的權威DNS服務器位于一個位置,并且它們正在服務于全局環境,那么在世界各地的解析器都有延遲,該解決方案遠離該位置以完成查詢。使用云計算DNS提供商將獲得更好的性能,這些DNS服務器使用任播技術,通過將流量路由到“最近的”一組目的地來提供高可用性和性能。
云計算DNS提供商利用任播來創建高度可擴展和冗余的DNS基礎設施。企業使用任意廣播和BGP路由自己構建這種冗余級別的成本會很高。
(2)支持域名系統安全擴展(DNSSEC)
域名系統安全擴展(DNSSEC)提供了一種驗證DNS記錄的加密方法,有助于防范許多常見的DNS安全問題。大多數企業還沒有采用DNSSEC,因為他們不熟悉DNSSEC的配置和優勢。一些企業可能缺乏DNS服務器,這些服務器可以輕松地建立DNSSEC配置,并定期自動處理密鑰輪換和更新。如果DNS管理員忘記每年執行的按鍵旋轉步驟,則錯誤可能是嚴重的。云計算DNS提供商可能會自動啟用DNSSEC,或者更容易實現DNSSEC并執行自動密鑰旋轉。
(3)DNS的DDoS保護
如果企業部署自己的DNS服務器,它將無法應對其DNS服務器上的任何大規模DDoS攻擊。企業部署高度可擴展的基礎設施來應對這種攻擊是成本高昂的。當使用具有較強吸收攻擊能力,擴大攻擊范圍或迅速減輕攻擊的云計算DNS提供商的服務時,針對DNS DDoS攻擊的靈活性會提高。云計算DNS提供商擁有更高的帶寬鏈接、不同的資源,以及根據交易量自動擴展資源的能力。
(4)提高安全性
由于DNS是面向全球互聯網的服務,因此企業必須不斷監視此服務器的安全性,并對其進行修補,并確保它不會成為開放的DNS解析程序。云計算DNS提供商將不斷修補、掃描、保護和監控其冗余DNS服務器。
(5)先進的流量路由
云計算DNS提供商還提供了先進的流量路由功能,這是企業當前的本地DNS服務器可能無法實現的功能。例如,AWS的Route 53云計算DNS服務提供了不同的高級流量路由策略,例如簡單故障轉移、循環、基于延遲的路由、地理DNS、地理鄰近路由。對于要創建相同功能的企業來說,它需要投資各個地點不同的DNS服務器和各個站點的復雜負載均衡功能。
(6)潛在的成本節約
與購買冗余物理服務器的企業相比,使用云托管的DNS服務可以節省資金,授權操作系統和人員配置以維護和配置DNS。如果DNS服務器需要硬件或軟件升級,那么這可能是推遲新DNS服務器的資本支出,并切換到使用云管理的DNS服務的有力舉措。
(7)更好的配置/更改工具
企業可能缺乏使DNS快速改變其當前系統的能力,并且他們可能無法輕松進行基于某些觸發事件而進行的軟件驅動的自動更改。企業通常具有內部IT流程,只要添加或更改,就需要向DDI(DNS、DHCP、IP地址管理)團隊提交支持憑單。云計算DNS提供商具有軟件可編程接口和腳本來處理DNS記錄的自動創建和更新。企業可以使用它們的API來配置DNS資源記錄的動態添加或更改。
(8)更好的監測,可視性和報告
許多企業可能會將他們的DNS服務器視為理所當然,而不能完全理解其整個IT基礎設施對DNS的依賴性。企業可能缺乏現有本地DNS系統的監控可見性、性能和運營指標。典型的本地DNS服務器可能沒有有用的報告或對DNS解析有用的見解。云計算DNS提供商在執行全天候監控和維護其創收基礎設施方面做得更好。
云計算DNS的缺點
(1)DNS托管服務崩潰
DNS提供商的基礎設施中斷可能會對其客戶的業務造成災難性后果。由于企業的所有IT應用程序都依賴于網絡可用性和DNS解析,所以如果DNS失敗,則其所有業務應用程序都無法工作。這可能會造成災難性的財務影響。幾年前,DNS提供商ChangeIP公司發生了一次持續多日的中斷,導致客戶無法解析DNS。大多數云計算DNS提供商都有服務等級協議(SLA),但可能受到處罰或相應的損失,這將為企業帶來財務風險。
(2)可能增加延遲
如果從網絡拓撲角度來看,DNS解析器與企業的距離“相去甚遠”,那么這會給每個客戶端連接添加延遲,從而需要不在本地緩存的DNS解析。為了盡量減少延遲,并改善最終用戶應用程序體驗(UX),最好在DNS客戶端附近安裝DNS解析程序。具有內部DNS客戶端可以快速訪問的本地DNS服務,可以提高內部和外部應用程序的應用程序響應時間。
(3)地理位置問題
如果企業的DNS解析器不在公司附近,可能會導致地理定位問題。然后,內容分發網絡(CDN)可能會指示企業連接到距離其DNS解析程序更近的服務器(而不是企業的實際位置)。例如,如果一家國際企業正在使用基于美國的云DNS解析器服務,則這可能會導致其他大洲網站的地理內容出現問題。當連接到基于DNS解析器的IP地址和位置使用地理鄰近度的內容系統時,顯示其他大洲的用戶似乎來自美國。而其他大洲的所有用戶都可能被導向美國境內的內容,將會體驗更高的延遲和糟糕的應用程序響應。
(4)破壞當前的DNS投資
如果組織已經投資了一個復雜的DDI(DNS、DHCP、IP地址管理)系統,那么利用當前的DDI基礎設施就有財務上的合理性。企業可能投入了冗余DNS基礎設施,該基礎設施使用由冗余網絡支持的同步分布式數據庫。企業可能投資DDI基礎設施,那么該基礎設施具有編程接口、軟件自動化、安全DNS服務、DNSSEC自動化功能,以及監控可視性和報告功能。
(5)解耦DNS集成
將DDI管理完全集成到一個平臺中具有運營優勢。路由和尋址是攜手并進的。組織仔細規劃其網絡拓撲的IP地址和DHCP范圍,并授予DHCP租約。DDI系統執行動態DNS并為這些集成功能提供單一管理界面。DDI系統提供對IP地址使用的操作可視性,并提供有價值的尋址資源管理。將外部權威DNS分離為單獨的非集成式基于云的服務時,組織就會放棄緊密集成的DDI功能的某些優勢。
(6)完全DNS配置控制丟失
某些云管理的DNS服務器可能無法完全控制DNS配置。如果云管理的DNS服務只有一個基本的Web界面,只允許一部分資源記錄類型,并且如果組織具有非常復雜的DNS要求,那么這可能不適合。不可能包打一切,因此組織需要確定是否具備云計算DNS提供商可以滿足的特定要求。
云計算DNS提供商實例
如今,有許多不同的云計算DNS提供商。有許多動態DNS服務可免費或收取少量費用。有一些云計算DNS提供商允許用戶使用Web界面配置高度靈活和地理上多樣化的權威DNS解析器。云計算DNS提供商具有高帶寬雙協議互聯網的連接性,可連接各種數據中心,這些數據中心內置冗余和可擴展的DNS服務器基礎設施,云DNS提供商已將任播地址和動態路由配置為其名稱服務。
當購買DNS服務提供商的服務時,企業應該查詢這些可選功能,并優先考慮它們所需的功能。有一些云計算DNS提供商提供了附加的安全功能,如DDoS保護、數據包清理和反欺騙。云計算DNS提供商可以輕松地為其域實施域名系統安全擴展(DNSSEC),并配置用戶的域名系統安全擴展(DNSSEC)資源記錄。云計算DNS提供商可能有RESTful API和可編程接口,有助于配置的自動化。
以下是一些云計算管理的DNS服務提供商的名稱:Akamai、亞馬遜Route 53、Cloudflare DNS、ClouDNS、DNSMadeEasy、Google Cloud DNS、Infoblox NIOS in the cloud、Microsoft Azure DNS、Neustar(收購UltraDNS)、NS1 Managed DNS、Oracle(收購Dyn)、Rackspace DNS - Cloud Control Pane、Verisign Managed DNS。
比較性能
在組織選擇云管理的DNS提供商之前,可能有興趣比較這些公司的產品的性能,并對各種提供者進行了研究和評估。這些調查通常是從進行DNS性能測量的個人角度進行的。這些測試來源的位置可能無法準確地表示企業位置和全球互聯網的地理位置。
企業可以選擇從自己的位置執行一些自己的測量,以便近似了解其在選擇云計算DNS提供商時的實際性能。有幾種有用的工具可以幫助企業進行這些測量:
•DNSDiag是一款開源的Python DNS診斷和性能測量工具集,可幫助企業執行自己的測試。他們的dnsping.py實用程序可以幫助企業確定延遲,dnstraceroute.py可以幫助企業將互聯網流量路徑與DNS服務器進行比較,并且dnseval.py可以執行比較。
•DNSPerf是由Prospect One公司提供的監控系統,可以測量全球DNS服務性能。
•Namebench是一個比較老舊,但仍然有用的工具,用于評估哪個公共DNS解析器服務可能從企業的位置角度看具有最低的延遲。并提供了一個可用的Golang namebench 2.0開源GitHub存儲庫。
•ThousandEyes提供商業DNS監控服務,去年他們推出了DNS服務提供商的性能測量結果。
版權聲明:本文為企業網D1Net編譯,轉載需注明出處為:企業網D1Net,如果不注明出處,企業網D1Net將保留追究其法律責任的權利。
京公網安備 11010502049343號