云计算DNS的优缺点

如果DNS服务提供商遭受灾难性中断,则可能会带来糟糕的业务影响,因此企业需要更好的性能和灵活性。

当企业考虑外包他们的IT基础设施时,他们应该考虑将其公共授权的DNS服务迁移到云计算提供商的托管DNS(域名系统)服务中,但首先他们应该了解云计算DNS的优缺点。

云计算DNS的优势

(1)弹性

云计算DNS提供商具有完全冗余且地理上多样化的网络和DNS服务器基础设施,可提供可靠性和容错性。由于企业使用不共享同步分布式区域信息的DNS服务器,因此企业通常在DNS基础设施中缺乏冗余性。企业必须确保该服务是冗余的,因为如果他们的非冗余DNS服务器出现故障,将会产生重大的业务影响。如果企业网络缺乏内部部署和互联网冗余,并且网络发生故障,那么他们的DNS基础设施的网络可达性也会受到影响。如果企业当前的DNS服务器不是高度冗余的,那么云计算DNS服务需要提供更高的故障恢复能力。

企业通常在全球互联网周边网络上维护其权威DNS服务器,并允许它们在TCP端口53和UDP端口53上全局可达。如果组织的权威DNS服务器位于一个位置,并且它们正在服务于全局环境,那么在世界各地的解析器都有延迟,该解决方案远离该位置以完成查询。使用云计算DNS提供商将获得更好的性能,这些DNS服务器使用任播技术,通过将流量路由到“最近的”一组目的地来提供高可用性和性能。

云计算DNS提供商利用任播来创建高度可扩展和冗余的DNS基础设施。企业使用任意广播和BGP路由自己构建这种冗余级别的成本会很高。

(2)支持域名系统安全扩展(DNSSEC)

域名系统安全扩展(DNSSEC)提供了一种验证DNS记录的加密方法,有助于防范许多常见的DNS安全问题。大多数企业还没有采用DNSSEC,因为他们不熟悉DNSSEC的配置和优势。一些企业可能缺乏DNS服务器,这些服务器可以轻松地建立DNSSEC配置,并定期自动处理密钥轮换和更新。如果DNS管理员忘记每年执行的按键旋转步骤,则错误可能是严重的。云计算DNS提供商可能会自动启用DNSSEC,或者更容易实现DNSSEC并执行自动密钥旋转。

(3)DNS的DDoS保护

如果企业部署自己的DNS服务器,它将无法应对其DNS服务器上的任何大规模DDoS攻击。企业部署高度可扩展的基础设施来应对这种攻击是成本高昂的。当使用具有较强吸收攻击能力,扩大攻击范围或迅速减轻攻击的云计算DNS提供商的服务时,针对DNS DDoS攻击的灵活性会提高。云计算DNS提供商拥有更高的带宽链接、不同的资源,以及根据交易量自动扩展资源的能力。

(4)提高安全性

由于DNS是面向全球互联网的服务,因此企业必须不断监视此服务器的安全性,并对其进行修补,并确保它不会成为开放的DNS解析程序。云计算DNS提供商将不断修补、扫描、保护和监控其冗余DNS服务器。

(5)先进的流量路由

云计算DNS提供商还提供了先进的流量路由功能,这是企业当前的本地DNS服务器可能无法实现的功能。例如,AWS的Route 53云计算DNS服务提供了不同的高级流量路由策略,例如简单故障转移、循环、基于延迟的路由、地理DNS、地理邻近路由。对于要创建相同功能的企业来说,它需要投资各个地点不同的DNS服务器和各个站点的复杂负载均衡功能。

(6)潜在的成本节约

与购买冗余物理服务器的企业相比,使用云托管的DNS服务可以节省资金,授权操作系统和人员配置以维护和配置DNS。如果DNS服务器需要硬件或软件升级,那么这可能是推迟新DNS服务器的资本支出,并切换到使用云管理的DNS服务的有力举措。

(7)更好的配置/更改工具

企业可能缺乏使DNS快速改变其当前系统的能力,并且他们可能无法轻松进行基于某些触发事件而进行的软件驱动的自动更改。企业通常具有内部IT流程,只要添加或更改,就需要向DDI(DNS、DHCP、IP地址管理)团队提交支持凭单。云计算DNS提供商具有软件可编程接口和脚本来处理DNS记录的自动创建和更新。企业可以使用它们的API来配置DNS资源记录的动态添加或更改。

(8)更好的监测,可视性和报告

许多企业可能会将他们的DNS服务器视为理所当然,而不能完全理解其整个IT基础设施对DNS的依赖性。企业可能缺乏现有本地DNS系统的监控可见性、性能和运营指标。典型的本地DNS服务器可能没有有用的报告或对DNS解析有用的见解。云计算DNS提供商在执行全天候监控和维护其创收基础设施方面做得更好。

云计算DNS的缺点

(1)DNS托管服务崩溃

DNS提供商的基础设施中断可能会对其客户的业务造成灾难性后果。由于企业的所有IT应用程序都依赖于网络可用性和DNS解析,所以如果DNS失败,则其所有业务应用程序都无法工作。这可能会造成灾难性的财务影响。几年前,DNS提供商ChangeIP公司发生了一次持续多日的中断,导致客户无法解析DNS。大多数云计算DNS提供商都有服务等级协议(SLA),但可能受到处罚或相应的损失,这将为企业带来财务风险。

(2)可能增加延迟

如果从网络拓扑角度来看,DNS解析器与企业的距离“相去甚远”,那么这会给每个客户端连接添加延迟,从而需要不在本地缓存的DNS解析。为了尽量减少延迟,并改善最终用户应用程序体验(UX),最好在DNS客户端附近安装DNS解析程序。具有内部DNS客户端可以快速访问的本地DNS服务,可以提高内部和外部应用程序的应用程序响应时间。

(3)地理位置问题

如果企业的DNS解析器不在公司附近,可能会导致地理定位问题。然后,内容分发网络(CDN)可能会指示企业连接到距离其DNS解析程序更近的服务器(而不是企业的实际位置)。例如,如果一家国际企业正在使用基于美国的云DNS解析器服务,则这可能会导致其他大洲网站的地理内容出现问题。当连接到基于DNS解析器的IP地址和位置使用地理邻近度的内容系统时,显示其他大洲的用户似乎来自美国。而其他大洲的所有用户都可能被导向美国境内的内容,将会体验更高的延迟和糟糕的应用程序响应。

(4)破坏当前的DNS投资

如果组织已经投资了一个复杂的DDI(DNS、DHCP、IP地址管理)系统,那么利用当前的DDI基础设施就有财务上的合理性。企业可能投入了冗余DNS基础设施,该基础设施使用由冗余网络支持的同步分布式数据库。企业可能投资DDI基础设施,那么该基础设施具有编程接口、软件自动化、安全DNS服务、DNSSEC自动化功能,以及监控可视性和报告功能。

(5)解耦DNS集成

将DDI管理完全集成到一个平台中具有运营优势。路由和寻址是携手并进的。组织仔细规划其网络拓扑的IP地址和DHCP范围,并授予DHCP租约。DDI系统执行动态DNS并为这些集成功能提供单一管理界面。DDI系统提供对IP地址使用的操作可视性,并提供有价值的寻址资源管理。将外部权威DNS分离为单独的非集成式基于云的服务时,组织就会放弃紧密集成的DDI功能的某些优势。

(6)完全DNS配置控制丢失

某些云管理的DNS服务器可能无法完全控制DNS配置。如果云管理的DNS服务只有一个基本的Web界面,只允许一部分资源记录类型,并且如果组织具有非常复杂的DNS要求,那么这可能不适合。不可能包打一切,因此组织需要确定是否具备云计算DNS提供商可以满足的特定要求。

云计算DNS提供商实例

如今,有许多不同的云计算DNS提供商。有许多动态DNS服务可免费或收取少量费用。有一些云计算DNS提供商允许用户使用Web界面配置高度灵活和地理上多样化的权威DNS解析器。云计算DNS提供商具有高带宽双协议互联网的连接性,可连接各种数据中心,这些数据中心内置冗余和可扩展的DNS服务器基础设施,云DNS提供商已将任播地址和动态路由配置为其名称服务。

当购买DNS服务提供商的服务时,企业应该查询这些可选功能,并优先考虑它们所需的功能。有一些云计算DNS提供商提供了附加的安全功能,如DDoS保护、数据包清理和反欺骗。云计算DNS提供商可以轻松地为其域实施域名系统安全扩展(DNSSEC),并配置用户的域名系统安全扩展(DNSSEC)资源记录。云计算DNS提供商可能有RESTful API和可编程接口,有助于配置的自动化。

以下是一些云计算管理的DNS服务提供商的名称:Akamai、亚马逊Route 53、Cloudflare DNS、ClouDNS、DNSMadeEasy、Google Cloud DNS、Infoblox NIOS in the cloud、Microsoft Azure DNS、Neustar(收购UltraDNS)、NS1 Managed DNS、Oracle(收购Dyn)、Rackspace DNS - Cloud Control Pane、Verisign Managed DNS。

比较性能

在组织选择云管理的DNS提供商之前,可能有兴趣比较这些公司的产品的性能,并对各种提供者进行了研究和评估。这些调查通常是从进行DNS性能测量的个人角度进行的。这些测试来源的位置可能无法准确地表示企业位置和全球互联网的地理位置。

企业可以选择从自己的位置执行一些自己的测量,以便近似了解其在选择云计算DNS提供商时的实际性能。有几种有用的工具可以帮助企业进行这些测量:

•DNSDiag是一款开源的Python DNS诊断和性能测量工具集,可帮助企业执行自己的测试。他们的dnsping.py实用程序可以帮助企业确定延迟,dnstraceroute.py可以帮助企业将互联网流量路径与DNS服务器进行比较,并且dnseval.py可以执行比较。

•DNSPerf是由Prospect One公司提供的监控系统,可以测量全球DNS服务性能。

•Namebench是一个比较老旧,但仍然有用的工具,用于评估哪个公共DNS解析器服务可能从企业的位置角度看具有最低的延迟。并提供了一个可用的Golang namebench 2.0开源GitHub存储库。

•ThousandEyes提供商业DNS监控服务,去年他们推出了DNS服务提供商的性能测量结果。


原文发布时间为:2018-05-25

本文作者:Scott Hogg

本文来自云栖社区合作伙伴“企业网D1Net”,了解相关信息可以关注“企业网D1Net”。

上一篇:node js npm 和 cnpm的使用


下一篇:又是一年419,云上云下话等保