To jest kanoniczne pytanie, czy outsourcingować rozwiązanie DNS dla własnych domen

Obecnie mam swojego ISP zapewniającego DNS dla mojej domeny, ale nakładają ograniczenia na dodawanie rekordów. Dlatego myślę o uruchomieniu własnego DNS.

Czy wolisz hostować własny DNS, czy może lepiej jest, aby Twój dostawca usług internetowych to zrobił?

Czy są alternatywy, na które mogę spojrzeć?

Nie prowadziłbym własnego serwera DNS - w moim przypadku firma hostingowa, która hostuje moją witrynę, zapewnia bezpłatną usługę DNS. Istnieją również alternatywy, firmy, które nie robią nic poza hostingiem DNS ( przychodzi na myśl usługa DNS Made Easy , ale istnieje wiele innych), które prawdopodobnie należy rozważyć.

Powodem, dla którego sam bym tego nie zrobił, jest to, że DNS powinien być dość niezawodny, a jeśli nie masz rozproszonej geograficznie sieci własnych serwerów, to by tak rzec, wszystkie jajka byłyby umieszczone w jednym koszyku. Ponadto istnieje wiele dedykowanych serwerów DNS, co wystarczy, aby nie trzeba było uruchamiać nowego.

Zawsze hostujemy własny DNS (również preferowany zwrotny DNS). Dzięki temu możemy wprowadzać zmiany w sytuacjach awaryjnych bez polegania na osobach trzecich. Jeśli masz więcej niż jedną lokalizację, łatwo jest ustawić akceptowalny poziom nadmiarowości dla serwerów DNS.

Jeśli nie masz wielu witryn, rozważę osobę, która konkretnie hostuje DNS (NIE twój ISP) z interfejsem sieciowym do wprowadzania zmian. Poszukaj także wsparcia 24x7 i przyzwoitych umów SLA.

Aby uzyskać dobrą, niezawodną konfigurację DNS dla swojej domeny (domen), powinieneś mieć ...

• Co najmniej dwa autorytatywne serwery DNS dla Twojej domeny;
• Serwery DNS powinny być podłączone do różnych sieci fizycznych i zasilaczy;
• Serwery DNS powinny znajdować się w różnych obszarach geograficznych.

Ponieważ jest mało prawdopodobne, że masz dostęp do powyższej infrastruktury sieciowej, lepiej wybrać sprawdzonego dostawcę hostingu DNS (jak zalecają inni), który ma powyższą infrastrukturę sieciową.

Przez wiele lat prowadziłem własne serwery DNS przy użyciu BIND (wersje 8 i 9) bez większych problemów. Zapisałem moje konfiguracje w ramach kontroli wersji z kontrolami po zatwierdzeniu, które sprawdzałyby poprawność plików strefy, a następnie kazałem moim serwerom DNS pobierać pliki strefy w regularnych odstępach czasu. Problem zawsze polegał na tym, że numer seryjny SOA był aktualizowany przy każdym wypychaniu zatwierdzenia, w przeciwnym razie serwery buforujące nie aktualizowałyby się.

Wiele lat później pracowałem z djbdns, ponieważ format był idealny do automatycznych skryptów do zarządzania strefami i nie cierpiałem z powodu tego samego problemu z numerem seryjnym SOA, z którym miałem do czynienia przy użyciu BIND. Miał jednak swoje własne problemy z formatowaniem niektórych zestawów rekordów zasobów, aby je zaakceptować.

Ponieważ zauważyłem, że znaczną część mojego ruchu stanowi DNS i muszę utrzymywać zarówno główny, jak i dodatkowy serwer DNS, aby zadowolić rejestratorów, których od tamtej pory przeszedłem do używania EasyDNS do moich potrzeb DNS. Ich interfejs internetowy jest łatwy w zarządzaniu i daje mi elastyczność potrzebną do zarządzania moimi zestawami RR. Odkryłem również, że jest łatwa w obsłudze niż te oferowane przez niektórych dostawców hostingu, takich jak 1 i 1, które ograniczają dostępne zestawy RR, do których możesz wejść, a nawet rejestratorów domen, takich jak Rozwiązania sieciowe, które działają tylko wtedy, gdy używasz systemu Windows do zarządzania DNS.

W przypadku moich domen osobistych (i domen znajomych, z którymi pomagam) udostępniamy własny DNS, a mój rejestrator (Gandi) zapewnia drugi DNS. Lub znajomy w innej sieci zapewnia pomocnicze. Gandi nie aktualizuje stref natychmiast, wydają się sprawdzać mniej więcej raz na 24 godziny, ale zmiany są bardzo rzadkie; działa dla nas wystarczająco dobrze, a ich serwer jest prawdopodobnie znacznie bardziej niezawodny niż nasz.

W mojej pracy wykonujemy własny DNS, a nasz dostawca sieci upstream zapewnia wtórny DNS. Jednak jesteśmy uniwersytetem i 99% naszych użytkowników jest na miejscu; jeśli sieć lokalna nie działa, nie ma znaczenia, czy DNS nie działa. Ponadto mamy pełną klasę B (/ 16) z około 25 000 rekordów DNS (plus 25 000 zwrotnych rekordów DNS, oczywiście), co wydaje się nieco niewygodne w zarządzaniu przez interfejs sieciowy. Nasze lokalne serwery DNS są bardzo dostępne i bardzo szybkie.

Zrobiłem oba. Hosting może przynieść wiele korzyści: zdecydowanie dowiesz się dużo o tym, jak działa DNS, gdy szef pyta cię, dlaczego to tak długo trwa. Ponadto masz znacznie większą kontrolę nad swoimi strefami. Nie zawsze jest to tak potężne, jak powinno być, w dużej mierze z powodu hierarchicznej rozproszonej natury DNS - ale co jakiś czas przydaje się. Podwójnie, jeśli możesz poprosić swojego dostawcę o przydzielenie cię jako SOA dla odwrotnego DNS twojego bloku IP, zakładając, że go masz.

Jednak wszystkie powyższe komentarze na temat tego, jak naprawdę powinieneś mieć dużo odporności na awarie wbudowane powyżej, są uderzające. Ważne są serwery w różnych centrach danych na różnych obszarach geograficznych. Po poradzeniu sobie z ogromną awarią zasilania na północnym wschodzie w 2003 r. - wszyscy dowiedzieliśmy się, że posiadanie skrzynki w dwóch różnych centrach danych w tym samym mieście, a nawet prowincji lub stanu - niekoniecznie jest wystarczającą ochroną. Rozkosz, która zaczyna się, gdy zdajesz sobie sprawę z akumulatorów, a następnie generatory diesla uratowały ci tyłek, szybko zostaje zastąpiona strachem spowodowanym świadomością, że jedziesz teraz na swojej zapasowej oponie.

Jednak zawsze uruchamiam nasz wewnętrzny serwer DNS dla sieci LAN. Bardzo przydatna może być pełna kontrola nad systemem DNS, z którego korzysta twoja sieć wewnętrznie - a jeśli w twoim biurze zabraknie prądu, twój wewnętrzny serwer DNS z racji tego, że jest w szafie serwerowej, prawdopodobnie jest zasilany z baterii lub akumulatora i oleju napędowego, podczas gdy twój komputer nie będzie - więc Twoi klienci będą offline na długo przed wyłączeniem serwera.

Z pewnym rozbawieniem czytam wszystkie te rozwiązania, ponieważ udało nam się przypadkowo dopasować do tych wszystkich „wymagań”, hostując nasz główny DNS poza statyczną linią DSL i umożliwiając rejestratorowi (który był na innym kontynencie) udostępnienie drugiego DNS na znacznie poważniejsze i niezawodne połączenie. W ten sposób uzyskujemy pełną elastyczność korzystania z wiązania i ustawiania wszystkich rekordów, a jednocześnie mamy pewność, że wtórny zostanie zaktualizowany, aby odzwierciedlić te zmiany i będzie dostępny w przypadku włazu w kominku, aby przytoczyć jedno wystąpienie.

To skutecznie spełnia:
„Co najmniej dwa autorytatywne serwery DNS dla Twojej domeny;”
„Serwery DNS powinny być podłączone do różnych sieci fizycznych i zasilaczy;”
„Serwery DNS powinny znajdować się w różnych obszarach geograficznych”.

Spójrz na Dyn.com ; mają wszelkiego rodzaju usługi związane z DNS, takie jak hosting DNS, dynamiczny DNS, MailHop itp. itp. Uważam je za niezawodne i używam ich prawdopodobnie od 5 lat.

To zależy.

Od końca lat 80. prowadzę własny DNS dla różnych zadań (BSD 4.3c). W pracy zawsze hostowałem własny DNS, ale zawsze miałem wiele lokalizacji w centrach danych lub mogłem wymieniać dodatkowy DNS z partnerem. Na przykład, podczas mojej ostatniej pracy zrobiliśmy wtórny DNS dla innego .EDU (byli w MN, jesteśmy w CA), i zrobili to samo dla nas. Różnorodność geograficzna i sieci.

Lub, w mojej obecnej pracy, mamy własne centra danych na wschodnim i zachodnim wybrzeżu (USA). Hosting własnego DNS pozwala nam umieścić dowolne niezwykłe rekordy DNS, które mogą być nam potrzebne (SVR, TXT itp.), Które mogą nie być obsługiwane przez niektóre usługi DNS GUI. I możemy zmieniać TTL, kiedy tylko chcemy; mamy prawie najwyższą elastyczność, kosztem robienia tego sami.

W przypadku rzeczy domowych zrobiłem to na dwa sposoby. W przypadku niektórych domen, w których robię nietypowe rzeczy lub potrzebuję dużej elastyczności, nadal prowadzę własne „ukryte” główne serwery DNS i wymieniam publiczne usługi DNS z innymi, którzy robią to samo. Używam RCS do kontroli plików strefy w celu zarządzania konfiguracją, dzięki czemu mogę zobaczyć całą historię zmian stref od początku. W przypadku prostych rzeczy, takich jak domena z jednym blogiem lub ogólne serwery sieciowe (jeden rekord A lub jeden CNAME), po prostu łatwiej jest skorzystać z usługi DNS rejestratorów domen, jeśli jest dostępna i martwić się o CM.

To jest kompromis. Najwyższa kontrola i elastyczność wiąże się z kosztem samodzielnej obsługi różnorodności, uruchamiania wielu serwerów, radzenia sobie z awariami sprzętu / oprogramowania itp. Jeśli nie potrzebujesz elastyczności ani całkowitej kontroli, to jeden z najlepszych dostawców DNS będzie rozwiąż swój problem, prawdopodobnie przy niższym koszcie całkowitym.

Jak już wspomniano w tym wątku, istnieje kilka specjalnych przypadków z DNS, najistotniejsza różnica jest między autorytatywnymi a buforowaniem wdrożeń serwera nazw.

1. Jeśli potrzebujesz serwera DNS tylko do rozwiązywania problemów z zasobami internetowymi, dobrym wyborem jest jakiś darmowy przelicznik DNS. Osobiście korzystam z rekursora PowerDNS (pdns-recursor) w systemie Linux.

2. Do obsługi twojej infrastruktury zewnętrznej, takiej jak strony internetowe czy MX, nie użyłbym wewnętrznych NS (jeśli mówimy tutaj o SOHO). Skorzystaj z dobrej, niezawodnej, kuloodpornej usługi, takiej jak DNSmadeasy . Korzystam z ich pakietu biznesowego, a to działa, a jednocześnie jest bardzo przystępne cenowo.

Korzystałem z Zonedit lub lat. Jest tani (lub darmowy) i dodałem wiele rekordów CNAME, A, MX, TXT, SRV i innych.

Niedawno wprowadziliśmy nasz publiczny DNS, kiedy wprowadziliśmy wszystkie nasze usługi. To pozwala nam aktualizować wszystko tak szybko, jak to konieczne. Posiadanie geograficznie rozproszonego DNS nie jest dla nas obecnie wymagane, ponieważ wszystkie serwery WWW znajdują się w tej samej witrynie.

Mam to, co najlepsze z obu światów.

Hostuję mój publiczny DNS dla moich stron internetowych i moich rekordów MX „gdzie indziej”. Jest niezawodny, bezpieczny, działa, mogę go dowolnie modyfikować. Płacę za usługę i cieszę się z wartości.

Ale w domu prowadzę własny buforujący serwer DNS zamiast polegać na moim dostawcy usług internetowych. Mój dostawca usług internetowych ma zwyczaj gubić DNS, mieć wolny DNS, nieprawidłowy DNS, a czasem chcą zboczyć z DNS, aby awarie trafiały do ​​miejsc, które ich zdaniem mogą mnie zainteresować. Nie jestem zainteresowany używaniem DNS mojego dostawcy. Więc mam własne buforujące serwery DNS i robię to sam. Konfiguracja na początku była trochę trudna (może 2 godziny), ale jest czysta i mam niezawodny DNS. Raz w miesiącu zadanie cron przesłuchuje serwery root i odświeża tabelę wskazówek. Może raz w roku muszę się nim bawić, np. Wysyłając doubleclick.com na adres 127.0.0.1 lub podobny. Poza tym nie wymaga interwencji i działa świetnie.

Jeśli zdecydujesz się na hosting własnego DNS z miłości do boga, masz DWIE serwery dns na stronę. Jeden do zewnętrznego DNS, podłączony bezpośrednio do zapory, aby świat Cię znalazł. I oddzielny w twojej sieci dla wewnętrznych DNS.

Nie mogę jeszcze komentować, ale robię to samo co freiheit. Nasz główny DNS prowadzimy tutaj w naszej strefie DMZ, a nasz dostawca usług internetowych ma kilka podrzędnych serwerów DNS w całym kraju, które aktualizują się natychmiast po wprowadzeniu zmian w podstawowym DNS.

Daje to, co najlepsze z obu światów; natychmiastowa kontrola plus redundancja.

W każdym podejściu są zalety i wady, ale zdecydowanie wolę wewnętrznie hostować wewnętrzny DNS. Lista rzeczy, na których polegasz w przypadku podstawowych usług sieciowych, jeśli hostujesz je na zewnątrz, jest zadziwiająca. Dyrektor generalny może pomyśleć, że rozsądnie jest oszczędzać pieniądze na serwerach DNS, hostując je na zewnątrz, ale co pomyśli, gdy nie będzie mógł dostać swojej wiadomości e-mail, jeśli łącze internetowe przestanie działać?

Z doświadczenia, jeśli chcesz przyciągnąć atak typu „odmowa usługi”, hostuj własny DNS. I twoja własna strona internetowa.

Wierzę w pewne rzeczy, których sam nie powinieneś robić. Hosting DNS jest jednym z nich. Jak wiele osób powiedziało, potrzebujesz redundantnych serwerów, połączeń i fizycznych lokalizacji, a mimo to nie zbliżyłbyś się do odporności nawet mniejszych firm hostingowych.

Największą zaletą hostingu własnego DNS jest to, że zmiany można wprowadzić od razu. Potrzebujesz skrócić TTL na nadchodzącą migrację? Prawdopodobnie możesz napisać skrypt, który robi to na własnych serwerach; w przypadku hostowanego DNS może być konieczne zalogowanie się i ręczna zmiana rekordów, a nawet gorzej, zadzwoń do dostawcy, przejdź przez 3 poziomy wsparcia, aż w końcu dotrzesz do kogoś, kto może przeliterować DNS, tylko po to, aby poinformować cię, że prześlą zmiany w ciągu 2-3 dni.

Prowadzę własny DNS za pomocą BIND na serwerach Linux. Obecnie mam cztery w Londynie w Wielkiej Brytanii, Miami FL, San Jose w Kalifornii i Singapurze. Działa świetnie i mam pełną kontrolę. Stabilność centrum danych jest bardzo ważna, dlatego wybrałem dobre kontrolery DC do uruchamiania serwerów (nie zależne od dostawcy usług internetowych lub innej „nieznanej” infrastruktury). Jestem w stanie skonfigurować serwery DNS i inne usługi w dowolnym miejscu na świecie za pomocą światowej klasy kontrolerów domeny wybranych przeze mnie na podstawie ścisłych kryteriów. Solidny DNS jest niezbędny dla e-maili i usług sieciowych, które prowadzę.

Czy powinniśmy hostować własne serwery nazw?

Tak, i należy również wykorzystywać jeden lub więcej dużych dostawców 3rd Party DNS. Rozwiązanie hybrydowe jest prawdopodobnie najbezpieczniejszym długoterminowym podejściem z wielu powodów, szczególnie jeśli jesteś firmą, która ma jakąkolwiek umowę SLA lub wymagania umowne wobec swoich klientów. Tym bardziej, jeśli jesteś b2b.

Jeśli twoje główne serwery DNS (ukryte lub publiczne) są twoim źródłem prawdy, to zabezpieczysz się operacyjnie przed zablokowaniem się w możliwościach konkretnego dostawcy. Gdy zaczniesz używać ich ciekawych funkcji, które wykraczają poza podstawowy DNS, może się okazać, że przejście na innego dostawcę lub hosting własnego DNS jest problematyczne, ponieważ musisz teraz powielić te możliwości. Przykładami mogą być kontrole kondycji witryny i przełączanie awaryjne DNS zapewniane przez Dyn i UltraDNS. Te funkcje są świetne, ale należy je traktować jako jednorazowe, a nie zależność. Te funkcje również nie replikują się dobrze od dostawcy do dostawcy.

Jeśli masz tylko zewnętrznych dostawców, może to wpłynąć na twój czas pracy, gdy są pod ukierunkowanym atakiem DDoS. Jeśli masz tylko własne serwery DNS, może to wpłynąć na twój czas działania, gdy jesteś celem ataku DDoS.

Jeśli masz jednego lub więcej dostawców DNS i własne rozproszone serwery DNS, które podporządkowują ukryte główne kontrolowane serwery DNS, które kontrolujesz, to upewnisz się, że nie jesteś zablokowany w stosunku do konkretnego dostawcy i że zawsze kontrolujesz swoje strefy i że ataki muszą zniszczyć zarówno twoje serwery, jak i jednego lub więcej głównych dostawców, którzy podporządkują twoje serwery. Wszystko to będzie pogorszeniem jakości usług i krytycznym wyłączeniem.

Kolejną zaletą posiadania własnych serwerów nadrzędnych (idealnie ukrytych, niepublikowanych) jest to, że możesz zbudować własny interfejs API i aktualizować go w dowolnej rezydencji odpowiadającej Twoim potrzebom biznesowym. W przypadku zewnętrznych dostawców DNS musisz dostosować się do ich interfejsu API. Każdy sprzedawca ma swój własny; lub w niektórych przypadkach po prostu ma internetowy interfejs użytkownika.

Ponadto, jeśli twój master jest pod twoją kontrolą, a sprzedawca ma problem, to każdy z twoich serwerów slave, który nadal może dotrzeć do twojego master, otrzyma aktualizacje. Jest to coś, czego chciałbyś mieć po tym, gdy zdałeś sobie sprawę, że posiadanie strony trzeciej jako swojego mistrza było błędem podczas dużego incydentu DDoS i nie możesz zmienić żadnego z serwerów na dostawcach, którzy nie są atakowani.

Z prawnego punktu widzenia zapobieganie blokowaniu się dostawcy może być również ważne dla Twojej firmy. Na przykład Dyn jest potencjalnie kupowany przez Oracle. To daje im wyjątkową pozycję do gromadzenia statystyk DNS dla wszystkich klientów Dyn. Istnieją aspekty konkurencyjne, które mogą powodować ryzyko prawne. To powiedziawszy, nie jestem prawnikiem, więc powinieneś skonsultować się z zespołem prawnym i PR w tej sprawie.

Istnieje wiele innych aspektów tego tematu, jeśli chcielibyśmy zagłębić się w chwasty.

[Edytuj] Jeśli dotyczy to tylko małej domeny osobistej / hobby, wówczas 2 maszyny wirtualne, które nie znajdują się w tym samym centrum danych, wystarczy mały demon DNS. Robię to dla moich własnych domen. Nie było dla mnie jasne, czy Twoja domena oznacza firmę, czy tylko hobby. Cokolwiek najmniejszej maszyny wirtualnej można uzyskać, to więcej niż wystarcza. Używam rbldnsd dla moich domen; używając bardzo wysokich wartości TTL w moich rekordach, ponieważ zajmuje 900 KB pamięci RAM i może obsłużyć wszelkie nadużycia, jakie rzucają na nią ludzie.

Pomyśl o hostingu DNS jako podstawie twoich usług publicznych. W moim przypadku e-mail ma kluczowe znaczenie dla naszej firmy. Jeśli hostujesz swój DNS wewnętrznie, a twoje połączenie internetowe ulega awarii, Twoje rekordy DNS mogą stać się nieaktualne, co spowoduje, że domena będzie niedostępna.

W moim przypadku, jeśli nie można znaleźć rekordu MX dla naszej domeny, e-mail jest natychmiast odrzucany.

Więc mam nasz DNS hostowany zewnętrznie.

Jeśli rekord MX jest dostępny, ale nasze połączenie internetowe nie działa, poczta będzie nadal umieszczana w kolejce na serwerach próbujących wysłać wiadomość e-mail do naszej domeny.

To zależy. ™

Prowadzę własne serwery i zarządzam domenami od co najmniej 2002 roku.

Często korzystałem z serwera DNS mojego dostawcy.

Liczba razy, kiedy mój serwer pod moim adresem IP był dostępny, ale mój DNS nie był dostępny, było kilka za dużo.

Oto moje historie wojenne:

• Jeden wielki dostawca w Moskwie (jeden z pierwszych opartych na VZ) miał mój VPS w taniej „wartości” DC, ale ich DNS był w supernowoczesnym DC z drogim ruchem, w dwóch różne / 24 podsieci, zgodnie z wymaganiami ówczesnych TLD . W pewnym momencie nastąpiła katastrofa (być może przerwa w dostawie prądu w 2005 r.? ), A ich kosztowne DC przeszło w tryb offline, a do mojej witryny (wciąż w Moskwie, ale w „wartościowej” DC) można było uzyskać dostęp tylko poprzez adres IP.

  Co ciekawe, nawet przed jakimikolwiek incydentami wyraźnie pamiętam, że to zrobiłem traceroute, i zauważając to samo DC zarówno dla mojego, jak ns1i ns2mojego ISP, proszę ich o przeniesienie jednego z nich do „mojego” DC w celu uzyskania nadmiarowości geograficznej; odrzucili pomysł nadmiarowości geograficznej, ponieważ serwery były już w najwyższej możliwej wersji DC.

• Miałem innego dostawcę (jednego z pierwszych opartych na systemie ISP), w którym mieli jednego ns na miejscu, a drugiego za granicą. Krótko mówiąc, cała konfiguracja była absurdalnie błędna, a serwer „zagraniczny” często nie utrzymywał swoich stref, więc moja domena faktycznie miała dodatkowy punkt awarii i nie byłaby dostępna, nawet gdyby cały mój serwer działał sprawnie.

• Miałem rejestratora, który prowadził własną sieć. Od czasu do czasu ulegał awarii, mimo że moje serwery zewnętrzne działały poprawnie. Mój DNS nie działa.

• Niedawno korzystałem z usług wielu dużych dostawców chmury dla drugorzędnych, gdzie sam prowadziłbym ukrytego mistrza. Obaj dostawcy przynajmniej raz zmienili konfigurację; nigdy z żadnymi ogłoszeniami publicznymi; niektóre z moich domen przestały działać. Zdarzyło się też mojemu przyjacielowi z jednym z tych samych dostawców. Zdarza się to częściej w przypadku usług stron trzecich niż osób, które chcą przyznać się publicznie.

Krótko mówiąc, http://cr.yp.to/djbdns/third-party.html jest całkowicie poprawny w tym temacie.

Koszty związane z kłopotami z DNS stron trzecich często nie są warte korzyści.

Negatywne aspekty posiadania DNS firmy zewnętrznej są często niesprawiedliwie pomijane.

Powiedziałbym, że jeśli Twoja domena nie korzysta już z usług stron trzecich (np. Do sieci, poczty, głosu lub tekstu), wówczas dodanie DNS innej firmy prawie zawsze przyniosłoby efekt przeciwny do zamierzonego i nie jest w żadnym wypadku najlepszą praktyką w każdych okolicznościach .