Czy powinniśmy hostować własne serwery nazw?

93

To jest kanoniczne pytanie, czy outsourcingować rozwiązanie DNS dla własnych domen

Obecnie mam swojego ISP zapewniającego DNS dla mojej domeny, ale nakładają ograniczenia na dodawanie rekordów. Dlatego myślę o uruchomieniu własnego DNS.

Czy wolisz hostować własny DNS, czy może lepiej jest, aby Twój dostawca usług internetowych to zrobił?

Czy są alternatywy, na które mogę spojrzeć?

Saif Khan
źródło
Oprócz poniższych odpowiedzi ważne jest również doświadczenie. Istnieją liczne błędy, które zostaną wprowadzone jako raczkujący administratora DNS zakazu dobrą opiekę mentora lub orła oko do dokumentacji. (książki i RFC, a nie HOWTO) Błędy popełniane na autorytatywnej warstwie DNS powodują przerwy, nawet gdy reszta twojej sieci jest w porządku .
Andrew B
Przeczytaj także powiązane pytania i odpowiedzi Dlaczego DNS nadmiarowe geograficznie jest konieczne nawet w przypadku małych witryn?
HBruijn

Odpowiedzi:

64

Nie prowadziłbym własnego serwera DNS - w moim przypadku firma hostingowa, która hostuje moją witrynę, zapewnia bezpłatną usługę DNS. Istnieją również alternatywy, firmy, które nie robią nic poza hostingiem DNS ( przychodzi na myśl usługa DNS Made Easy , ale istnieje wiele innych), które prawdopodobnie należy rozważyć.

Powodem, dla którego sam bym tego nie zrobił, jest to, że DNS powinien być dość niezawodny, a jeśli nie masz rozproszonej geograficznie sieci własnych serwerów, to by tak rzec, wszystkie jajka byłyby umieszczone w jednym koszyku. Ponadto istnieje wiele dedykowanych serwerów DNS, co wystarczy, aby nie trzeba było uruchamiać nowego.

David Z
źródło
7
+1 do DNS to proste. Mają sprawdzony, 100,0% rekord aktualizacji w ciągu ostatnich 7+ lat.
Portman
Pomyślałem, że upuszczę notatkę. Właśnie dzisiaj w końcu mamy dość gównianego DNS od naszego obecnego dostawcy, przeszliśmy na DNS Made Easy zgodnie z zaleceniem tutaj i jest to cholernie smaczne. Kocham to. Chciałbym to zrobić lata temu.
Mark Henderson
1
Czy nie dlatego dla każdego wpisu jest serwer główny i pomocniczy? Nigdy nie miałem usterki jako głównej, a posiadanie tej drugorzędnej to mój rejestrator; Mam na myśli usterkę pierwotną, ale nikt nie zauważył, ponieważ istniała wiarygodna wtórna.
dlamblin
Oczywiście nie ma w tym nic złego, jeśli z jakiegoś powodu naprawdę chcesz uruchomić własny serwer DNS. Ale w przeciwnym razie, dopóki i tak będziesz płacić stronie trzeciej za hosting DNS (aby była ona drugorzędna), równie dobrze możesz pozwolić im to wszystko obsłużyć. Myślę, że dla większości ludzi prowadzenie serwera DNS jest większym problemem niż jest warte.
David Z
Usługa DNS Made Easy ma sieć serwerów obejmującą kilka kontynentów. I używają routingu anycast. Ich nadmiarowość jest więc absurdalna, znacznie wykraczająca poza konwencjonalną konfigurację z dwoma serwerami (podstawową i dodatkową). Ale teoretycznie oznacza to również, że komputery na całym świecie uzyskają szybką rozdzielczość DNS.
Steve Wortham
27

Zawsze hostujemy własny DNS (również preferowany zwrotny DNS). Dzięki temu możemy wprowadzać zmiany w sytuacjach awaryjnych bez polegania na osobach trzecich. Jeśli masz więcej niż jedną lokalizację, łatwo jest ustawić akceptowalny poziom nadmiarowości dla serwerów DNS.

Jeśli nie masz wielu witryn, rozważę osobę, która konkretnie hostuje DNS (NIE twój ISP) z interfejsem sieciowym do wprowadzania zmian. Poszukaj także wsparcia 24x7 i przyzwoitych umów SLA.

Doug Luxem
źródło
4
Rozważając outsourcing, zapytaj również, jaki rodzaj ochrony lub łagodzenia DDoS mają na swoim miejscu. Dostawcy DNS są cały czas atakowani, a niektórzy są w stanie biegać bez potu, a inni rozpadną się na kupę okruchów przy najmniejszym wzroście ruchu, więc bądź zmęczony outsourcingiem, chyba że jest to renomowany dostawca, który ma wiele serwerów wdrożonych z włączony routing anycast.
Justin Scott,
Już miałem głosować (z wielkim entuzjazmem!) W oparciu o twoje osobiste doświadczenia w pierwszym zdaniu, ale potem sugerujesz skorzystanie z usługi innej firmy w drugim, co w zasadzie oznacza, że ​​dodano dodatkowy niepotrzebny punkt awarii dla mało lub bez korzyści. : / Sad.
cnst
19

Aby uzyskać dobrą, niezawodną konfigurację DNS dla swojej domeny (domen), powinieneś mieć ...

  • Co najmniej dwa autorytatywne serwery DNS dla Twojej domeny;
  • Serwery DNS powinny być podłączone do różnych sieci fizycznych i zasilaczy;
  • Serwery DNS powinny znajdować się w różnych obszarach geograficznych.

Ponieważ jest mało prawdopodobne, że masz dostęp do powyższej infrastruktury sieciowej, lepiej wybrać sprawdzonego dostawcę hostingu DNS (jak zalecają inni), który ma powyższą infrastrukturę sieciową.

Skazać
źródło
Trudno nie dać się przekonać, kiedy tak to ujmujesz.
Filip Dupanović
To świetne podsumowanie konsensusu branżowego, bez żadnych ograniczeń. (Wiesz, branża, która zarabia na drogich, przepracowanych rozwiązaniach, które mogą nawet nie działać zgodnie z rzeczywistą specyfikacją)
cnst
Po co mieć wysoce redundantne serwery DNS, jeśli twój hosting nadal nie jest redundantny?
Chris Smith
13

Przez wiele lat prowadziłem własne serwery DNS przy użyciu BIND (wersje 8 i 9) bez większych problemów. Zapisałem moje konfiguracje w ramach kontroli wersji z kontrolami po zatwierdzeniu, które sprawdzałyby poprawność plików strefy, a następnie kazałem moim serwerom DNS pobierać pliki strefy w regularnych odstępach czasu. Problem zawsze polegał na tym, że numer seryjny SOA był aktualizowany przy każdym wypychaniu zatwierdzenia, w przeciwnym razie serwery buforujące nie aktualizowałyby się.

Wiele lat później pracowałem z djbdns, ponieważ format był idealny do automatycznych skryptów do zarządzania strefami i nie cierpiałem z powodu tego samego problemu z numerem seryjnym SOA, z którym miałem do czynienia przy użyciu BIND. Miał jednak swoje własne problemy z formatowaniem niektórych zestawów rekordów zasobów, aby je zaakceptować.

Ponieważ zauważyłem, że znaczną część mojego ruchu stanowi DNS i muszę utrzymywać zarówno główny, jak i dodatkowy serwer DNS, aby zadowolić rejestratorów, których od tamtej pory przeszedłem do używania EasyDNS do moich potrzeb DNS. Ich interfejs internetowy jest łatwy w zarządzaniu i daje mi elastyczność potrzebną do zarządzania moimi zestawami RR. Odkryłem również, że jest łatwa w obsłudze niż te oferowane przez niektórych dostawców hostingu, takich jak 1 i 1, które ograniczają dostępne zestawy RR, do których możesz wejść, a nawet rejestratorów domen, takich jak Rozwiązania sieciowe, które działają tylko wtedy, gdy używasz systemu Windows do zarządzania DNS.

Jeremy Bouse
źródło
To dobra, uczciwa odpowiedź, ale brzmi to tak, jakbyś mylił się w kwestii solidności swojego rozwiązania - używając EasyDNS, czynisz go swoim jedynym punktem awarii; Twoja witryna może być uruchomiona, ale twoje nazwy mogą nie zostać rozwiązane, jeśli twój zewnętrzny dostawca doświadczy awarii lub DDoS skierowany do jednego z ich klientów.
cnst
8

W przypadku moich domen osobistych (i domen znajomych, z którymi pomagam) udostępniamy własny DNS, a mój rejestrator (Gandi) zapewnia drugi DNS. Lub znajomy w innej sieci zapewnia pomocnicze. Gandi nie aktualizuje stref natychmiast, wydają się sprawdzać mniej więcej raz na 24 godziny, ale zmiany są bardzo rzadkie; działa dla nas wystarczająco dobrze, a ich serwer jest prawdopodobnie znacznie bardziej niezawodny niż nasz.

W mojej pracy wykonujemy własny DNS, a nasz dostawca sieci upstream zapewnia wtórny DNS. Jednak jesteśmy uniwersytetem i 99% naszych użytkowników jest na miejscu; jeśli sieć lokalna nie działa, nie ma znaczenia, czy DNS nie działa. Ponadto mamy pełną klasę B (/ 16) z około 25 000 rekordów DNS (plus 25 000 zwrotnych rekordów DNS, oczywiście), co wydaje się nieco niewygodne w zarządzaniu przez interfejs sieciowy. Nasze lokalne serwery DNS są bardzo dostępne i bardzo szybkie.

freiheit
źródło
3
Robimy to samo tutaj. Mamy dwa komputery z systemem Linux z systemem BIND (jedna za drugą sekundę), a nasz „ISP” również obsługuje dodatkowy serwer DNS.
l0c0b0x
1
Tak samo. Również z klasą B, także z naszymi własnymi serwerami DNS BIND. A kiedy mamy problemy z DNS-em, zwykle dzieje się tak w naszej zewnętrznej witrynie;)
sysadmin1138
Świetna odpowiedź; to jak dotąd moja ulubiona odpowiedź na to pytanie, ponieważ w rzeczywistości opiera się ona zarówno na rzetelnych praktykach inżynieryjnych, jak i realistycznym oszacowaniu dostępnej nadmiarowości i dostępności, a także osobistym doświadczeniu; podczas gdy tak wiele innych odpowiedzi po prostu wymienia ich ulubionych zewnętrznych dostawców DNS lub ślepo kopiuje wytyczne napisane przez ludzi z wyraźnym konfliktem interesów dotyczących zarabiania dodatkowych pieniędzy na proponowanych przez nich ulepszonych rozwiązaniach.
cnst
5

Zrobiłem oba. Hosting może przynieść wiele korzyści: zdecydowanie dowiesz się dużo o tym, jak działa DNS, gdy szef pyta cię, dlaczego to tak długo trwa. Ponadto masz znacznie większą kontrolę nad swoimi strefami. Nie zawsze jest to tak potężne, jak powinno być, w dużej mierze z powodu hierarchicznej rozproszonej natury DNS - ale co jakiś czas przydaje się. Podwójnie, jeśli możesz poprosić swojego dostawcę o przydzielenie cię jako SOA dla odwrotnego DNS twojego bloku IP, zakładając, że go masz.

Jednak wszystkie powyższe komentarze na temat tego, jak naprawdę powinieneś mieć dużo odporności na awarie wbudowane powyżej, są uderzające. Ważne są serwery w różnych centrach danych na różnych obszarach geograficznych. Po poradzeniu sobie z ogromną awarią zasilania na północnym wschodzie w 2003 r. - wszyscy dowiedzieliśmy się, że posiadanie skrzynki w dwóch różnych centrach danych w tym samym mieście, a nawet prowincji lub stanu - niekoniecznie jest wystarczającą ochroną. Rozkosz, która zaczyna się, gdy zdajesz sobie sprawę z akumulatorów, a następnie generatory diesla uratowały ci tyłek, szybko zostaje zastąpiona strachem spowodowanym świadomością, że jedziesz teraz na swojej zapasowej oponie.

Jednak zawsze uruchamiam nasz wewnętrzny serwer DNS dla sieci LAN. Bardzo przydatna może być pełna kontrola nad systemem DNS, z którego korzysta twoja sieć wewnętrznie - a jeśli w twoim biurze zabraknie prądu, twój wewnętrzny serwer DNS z racji tego, że jest w szafie serwerowej, prawdopodobnie jest zasilany z baterii lub akumulatora i oleju napędowego, podczas gdy twój komputer nie będzie - więc Twoi klienci będą offline na długo przed wyłączeniem serwera.

Kyle Hodgson
źródło
4

Z pewnym rozbawieniem czytam wszystkie te rozwiązania, ponieważ udało nam się przypadkowo dopasować do tych wszystkich „wymagań”, hostując nasz główny DNS poza statyczną linią DSL i umożliwiając rejestratorowi (który był na innym kontynencie) udostępnienie drugiego DNS na znacznie poważniejsze i niezawodne połączenie. W ten sposób uzyskujemy pełną elastyczność korzystania z wiązania i ustawiania wszystkich rekordów, a jednocześnie mamy pewność, że wtórny zostanie zaktualizowany, aby odzwierciedlić te zmiany i będzie dostępny w przypadku włazu w kominku, aby przytoczyć jedno wystąpienie.

To skutecznie spełnia:
„Co najmniej dwa autorytatywne serwery DNS dla Twojej domeny;”
„Serwery DNS powinny być podłączone do różnych sieci fizycznych i zasilaczy;”
„Serwery DNS powinny znajdować się w różnych obszarach geograficznych”.

dlamblin
źródło
Jest to z pewnością dobre samopoczucie; ale jeśli właz się zapali, a cała infrastruktura ulegnie awarii, bez DNS, jaki jest sens dostępności DNS, kiedy nie można się skontaktować z żadnym serwerem? :-) Myślę, że wpadanie w kłopoty z wtórnym DNS-em innych firm ma sens tylko wtedy, gdy sam zlecasz niektóre inne usługi również innym stronom trzecim.
cnst
@cmst Chodzi o to, że gdy dns jest wyłączony, każdy, kto do ciebie e-mailem, widzi natychmiastowy problem (klienci? partnerzy? bardzo zła reklama). Jeśli dns działa, a serwer pocztowy jest wyłączony przez kilka godzin, przeważnie nic nie zauważają.
kubańczyk
@cmst DNS nie ogranicza się do wskazywania serwerów w mojej sieci osobistej. Mogę nazywać adresy IP w dowolnym miejscu. Może mam nazwę dla każdego z pól NAT mojej domowej sieci pracowników / znajomych. Lub mógłbym użyć innych typów rekordów i publicznie zidentyfikować / zweryfikować coś.
dlamblin
4

Spójrz na Dyn.com ; mają wszelkiego rodzaju usługi związane z DNS, takie jak hosting DNS, dynamiczny DNS, MailHop itp. itp. Uważam je za niezawodne i używam ich prawdopodobnie od 5 lat.

Knox
źródło
2
+1, korzystam z DynDNS od około 2 lat i jestem całkowicie zadowolony z ich usług.
cdmckay
Dyn.com był dynDNS przed około 2013 r.
Knox
3

To zależy.

Od końca lat 80. prowadzę własny DNS dla różnych zadań (BSD 4.3c). W pracy zawsze hostowałem własny DNS, ale zawsze miałem wiele lokalizacji w centrach danych lub mogłem wymieniać dodatkowy DNS z partnerem. Na przykład, podczas mojej ostatniej pracy zrobiliśmy wtórny DNS dla innego .EDU (byli w MN, jesteśmy w CA), i zrobili to samo dla nas. Różnorodność geograficzna i sieci.

Lub, w mojej obecnej pracy, mamy własne centra danych na wschodnim i zachodnim wybrzeżu (USA). Hosting własnego DNS pozwala nam umieścić dowolne niezwykłe rekordy DNS, które mogą być nam potrzebne (SVR, TXT itp.), Które mogą nie być obsługiwane przez niektóre usługi DNS GUI. I możemy zmieniać TTL, kiedy tylko chcemy; mamy prawie najwyższą elastyczność, kosztem robienia tego sami.

W przypadku rzeczy domowych zrobiłem to na dwa sposoby. W przypadku niektórych domen, w których robię nietypowe rzeczy lub potrzebuję dużej elastyczności, nadal prowadzę własne „ukryte” główne serwery DNS i wymieniam publiczne usługi DNS z innymi, którzy robią to samo. Używam RCS do kontroli plików strefy w celu zarządzania konfiguracją, dzięki czemu mogę zobaczyć całą historię zmian stref od początku. W przypadku prostych rzeczy, takich jak domena z jednym blogiem lub ogólne serwery sieciowe (jeden rekord A lub jeden CNAME), po prostu łatwiej jest skorzystać z usługi DNS rejestratorów domen, jeśli jest dostępna i martwić się o CM.

To jest kompromis. Najwyższa kontrola i elastyczność wiąże się z kosztem samodzielnej obsługi różnorodności, uruchamiania wielu serwerów, radzenia sobie z awariami sprzętu / oprogramowania itp. Jeśli nie potrzebujesz elastyczności ani całkowitej kontroli, to jeden z najlepszych dostawców DNS będzie rozwiąż swój problem, prawdopodobnie przy niższym koszcie całkowitym.

tep
źródło
Chociaż prawdą jest, że łatwiej jest po prostu korzystać z DNS rejestratora, nierzadko zdarza się, że DNS rejestratora jest wyłączony, przez cały czas zarówno rejestr domeny, jak i własny host są uruchomione, ale witryna nie jest dostępna, ponieważ dla ułatwienia dodałeś dodatkowy punkt awarii do konfiguracji. Naprawdę nie jest tak trudno prowadzić własny DNS; szczególnie w dzisiejszych czasach z mnóstwem lekkich i łatwych w obsłudze serwerów.
cnst
3

Jak już wspomniano w tym wątku, istnieje kilka specjalnych przypadków z DNS, najistotniejsza różnica jest między autorytatywnymi a buforowaniem wdrożeń serwera nazw.

  1. Jeśli potrzebujesz serwera DNS tylko do rozwiązywania problemów z zasobami internetowymi, dobrym wyborem jest jakiś darmowy przelicznik DNS. Osobiście korzystam z rekursora PowerDNS (pdns-recursor) w systemie Linux.

  2. Do obsługi twojej infrastruktury zewnętrznej, takiej jak strony internetowe czy MX, nie użyłbym wewnętrznych NS (jeśli mówimy tutaj o SOHO). Skorzystaj z dobrej, niezawodnej, kuloodpornej usługi, takiej jak DNSmadeasy . Korzystam z ich pakietu biznesowego, a to działa, a jednocześnie jest bardzo przystępne cenowo.

Taras Chuhay
źródło
Wiele osób popiera również pogląd DJB o tym, aby nigdy nie uruchamiać pamięci podręcznej DNS (resolver rekurencyjny) w tym samym systemie, co serwery DNS (pamięć plików strefy). Jest to ze względów bezpieczeństwa, więc dziury w jednym nie wpływają na drugie i odwrotnie.
kubańczyk
2

Korzystałem z Zonedit lub lat. Jest tani (lub darmowy) i dodałem wiele rekordów CNAME, A, MX, TXT, SRV i innych.

Steve Jones
źródło
2

Niedawno wprowadziliśmy nasz publiczny DNS, kiedy wprowadziliśmy wszystkie nasze usługi. To pozwala nam aktualizować wszystko tak szybko, jak to konieczne. Posiadanie geograficznie rozproszonego DNS nie jest dla nas obecnie wymagane, ponieważ wszystkie serwery WWW znajdują się w tej samej witrynie.

mrdenny
źródło
2
Czy Twój adres e-mail jest również hostowany na tej stronie? Pamiętaj, że jeśli utracisz tam łączność, a poczta e-mail znajduje się poza tą siecią, Twoje rekordy MX znikną, a wiadomość e-mail przestanie działać, nawet jeśli znajduje się gdzie indziej. Jeśli znajduje się również na tej samej stronie, nie jest to wielka sprawa, ale widziałem ten argument rozpadający się z tego powodu kilka razy w przeszłości.
Justin Scott,
1
Tak, ci faceci chowają swój e-mail na tej samej stronie (już mnie nie ma w tej firmie).
mrdenny,
2

Mam to, co najlepsze z obu światów.

Hostuję mój publiczny DNS dla moich stron internetowych i moich rekordów MX „gdzie indziej”. Jest niezawodny, bezpieczny, działa, mogę go dowolnie modyfikować. Płacę za usługę i cieszę się z wartości.

Ale w domu prowadzę własny buforujący serwer DNS zamiast polegać na moim dostawcy usług internetowych. Mój dostawca usług internetowych ma zwyczaj gubić DNS, mieć wolny DNS, nieprawidłowy DNS, a czasem chcą zboczyć z DNS, aby awarie trafiały do ​​miejsc, które ich zdaniem mogą mnie zainteresować. Nie jestem zainteresowany używaniem DNS mojego dostawcy. Więc mam własne buforujące serwery DNS i robię to sam. Konfiguracja na początku była trochę trudna (może 2 godziny), ale jest czysta i mam niezawodny DNS. Raz w miesiącu zadanie cron przesłuchuje serwery root i odświeża tabelę wskazówek. Może raz w roku muszę się nim bawić, np. Wysyłając doubleclick.com na adres 127.0.0.1 lub podobny. Poza tym nie wymaga interwencji i działa świetnie.

codebunny
źródło
Problem z DNS innych firm polega na tym, że jeśli jest wyłączony, nawet jeśli twoja witryna jest uruchomiona, ludzie nie mogą uzyskać dostępu do Twojej domeny. (Tyle o redundancji!)
cnst
2

Jeśli zdecydujesz się na hosting własnego DNS z miłości do boga, masz DWIE serwery dns na stronę. Jeden do zewnętrznego DNS, podłączony bezpośrednio do zapory, aby świat Cię znalazł. I oddzielny w twojej sieci dla wewnętrznych DNS.

XTZ
źródło
Ta praktyka nazywa się podzielonym horyzontem. Szczerze mówiąc, prawdopodobnie nie ma zastosowania do większości konfiguracji i jest dość przestarzały, poza dużym przedsiębiorstwem, już od dłuższego czasu.
cnst
@cnst Split-horizon (lub split-view) obsługuje inną strefę pod tą samą nazwą domeny, a XTZ nie powiedział, że go poleca. Serwer wewnętrzny zwykle obsługuje inną nazwę domeny (może subdomenę).
kubańczyk
2

Nie mogę jeszcze komentować, ale robię to samo co freiheit. Nasz główny DNS prowadzimy tutaj w naszej strefie DMZ, a nasz dostawca usług internetowych ma kilka podrzędnych serwerów DNS w całym kraju, które aktualizują się natychmiast po wprowadzeniu zmian w podstawowym DNS.

Daje to, co najlepsze z obu światów; natychmiastowa kontrola plus redundancja.

Pauska
źródło
2

W każdym podejściu są zalety i wady, ale zdecydowanie wolę wewnętrznie hostować wewnętrzny DNS. Lista rzeczy, na których polegasz w przypadku podstawowych usług sieciowych, jeśli hostujesz je na zewnątrz, jest zadziwiająca. Dyrektor generalny może pomyśleć, że rozsądnie jest oszczędzać pieniądze na serwerach DNS, hostując je na zewnątrz, ale co pomyśli, gdy nie będzie mógł dostać swojej wiadomości e-mail, jeśli łącze internetowe przestanie działać?

Maximus Minimus
źródło
Świetna odpowiedź, +1! Wracając do 2017 roku, czy nadal uważasz, że właściwym rozwiązaniem jest wewnętrzny DNS? :-)
cnst
1
@ cnst ffwd do 2017 r. Nie mam już wystarczającego doświadczenia, aby wydać zalecenie.
Maximus Minimus
2

Z doświadczenia, jeśli chcesz przyciągnąć atak typu „odmowa usługi”, hostuj własny DNS. I twoja własna strona internetowa.

Wierzę w pewne rzeczy, których sam nie powinieneś robić. Hosting DNS jest jednym z nich. Jak wiele osób powiedziało, potrzebujesz redundantnych serwerów, połączeń i fizycznych lokalizacji, a mimo to nie zbliżyłbyś się do odporności nawet mniejszych firm hostingowych.

Największą zaletą hostingu własnego DNS jest to, że zmiany można wprowadzić od razu. Potrzebujesz skrócić TTL na nadchodzącą migrację? Prawdopodobnie możesz napisać skrypt, który robi to na własnych serwerach; w przypadku hostowanego DNS może być konieczne zalogowanie się i ręczna zmiana rekordów, a nawet gorzej, zadzwoń do dostawcy, przejdź przez 3 poziomy wsparcia, aż w końcu dotrzesz do kogoś, kto może przeliterować DNS, tylko po to, aby poinformować cię, że prześlą zmiany w ciągu 2-3 dni.

David Oresky
źródło
2

Prowadzę własny DNS za pomocą BIND na serwerach Linux. Obecnie mam cztery w Londynie w Wielkiej Brytanii, Miami FL, San Jose w Kalifornii i Singapurze. Działa świetnie i mam pełną kontrolę. Stabilność centrum danych jest bardzo ważna, dlatego wybrałem dobre kontrolery DC do uruchamiania serwerów (nie zależne od dostawcy usług internetowych lub innej „nieznanej” infrastruktury). Jestem w stanie skonfigurować serwery DNS i inne usługi w dowolnym miejscu na świecie za pomocą światowej klasy kontrolerów domeny wybranych przeze mnie na podstawie ścisłych kryteriów. Solidny DNS jest niezbędny dla e-maili i usług sieciowych, które prowadzę.

Justin Jones
źródło
LOL, świetna reklama, czy mogę uzyskać numer twojego działu marketingu i ich redaktora? Zaznaczam jako oczywistego kandydata na spam, ale jednocześnie nie będę zaskoczony, jeśli ta flaga również zostanie odrzucona!
cnst
2

Czy powinniśmy hostować własne serwery nazw?

Tak, i należy również wykorzystywać jeden lub więcej dużych dostawców 3rd Party DNS. Rozwiązanie hybrydowe jest prawdopodobnie najbezpieczniejszym długoterminowym podejściem z wielu powodów, szczególnie jeśli jesteś firmą, która ma jakąkolwiek umowę SLA lub wymagania umowne wobec swoich klientów. Tym bardziej, jeśli jesteś b2b.

Jeśli twoje główne serwery DNS (ukryte lub publiczne) są twoim źródłem prawdy, to zabezpieczysz się operacyjnie przed zablokowaniem się w możliwościach konkretnego dostawcy. Gdy zaczniesz używać ich ciekawych funkcji, które wykraczają poza podstawowy DNS, może się okazać, że przejście na innego dostawcę lub hosting własnego DNS jest problematyczne, ponieważ musisz teraz powielić te możliwości. Przykładami mogą być kontrole kondycji witryny i przełączanie awaryjne DNS zapewniane przez Dyn i UltraDNS. Te funkcje są świetne, ale należy je traktować jako jednorazowe, a nie zależność. Te funkcje również nie replikują się dobrze od dostawcy do dostawcy.

Jeśli masz tylko zewnętrznych dostawców, może to wpłynąć na twój czas pracy, gdy są pod ukierunkowanym atakiem DDoS. Jeśli masz tylko własne serwery DNS, może to wpłynąć na twój czas działania, gdy jesteś celem ataku DDoS.

Jeśli masz jednego lub więcej dostawców DNS i własne rozproszone serwery DNS, które podporządkowują ukryte główne kontrolowane serwery DNS, które kontrolujesz, to upewnisz się, że nie jesteś zablokowany w stosunku do konkretnego dostawcy i że zawsze kontrolujesz swoje strefy i że ataki muszą zniszczyć zarówno twoje serwery, jak i jednego lub więcej głównych dostawców, którzy podporządkują twoje serwery. Wszystko to będzie pogorszeniem jakości usług i krytycznym wyłączeniem.

Kolejną zaletą posiadania własnych serwerów nadrzędnych (idealnie ukrytych, niepublikowanych) jest to, że możesz zbudować własny interfejs API i aktualizować go w dowolnej rezydencji odpowiadającej Twoim potrzebom biznesowym. W przypadku zewnętrznych dostawców DNS musisz dostosować się do ich interfejsu API. Każdy sprzedawca ma swój własny; lub w niektórych przypadkach po prostu ma internetowy interfejs użytkownika.

Ponadto, jeśli twój master jest pod twoją kontrolą, a sprzedawca ma problem, to każdy z twoich serwerów slave, który nadal może dotrzeć do twojego master, otrzyma aktualizacje. Jest to coś, czego chciałbyś mieć po tym, gdy zdałeś sobie sprawę, że posiadanie strony trzeciej jako swojego mistrza było błędem podczas dużego incydentu DDoS i nie możesz zmienić żadnego z serwerów na dostawcach, którzy nie są atakowani.

Z prawnego punktu widzenia zapobieganie blokowaniu się dostawcy może być również ważne dla Twojej firmy. Na przykład Dyn jest potencjalnie kupowany przez Oracle. To daje im wyjątkową pozycję do gromadzenia statystyk DNS dla wszystkich klientów Dyn. Istnieją aspekty konkurencyjne, które mogą powodować ryzyko prawne. To powiedziawszy, nie jestem prawnikiem, więc powinieneś skonsultować się z zespołem prawnym i PR w tej sprawie.

Istnieje wiele innych aspektów tego tematu, jeśli chcielibyśmy zagłębić się w chwasty.

[Edytuj] Jeśli dotyczy to tylko małej domeny osobistej / hobby, wówczas 2 maszyny wirtualne, które nie znajdują się w tym samym centrum danych, wystarczy mały demon DNS. Robię to dla moich własnych domen. Nie było dla mnie jasne, czy Twoja domena oznacza firmę, czy tylko hobby. Cokolwiek najmniejszej maszyny wirtualnej można uzyskać, to więcej niż wystarcza. Używam rbldnsd dla moich domen; używając bardzo wysokich wartości TTL w moich rekordach, ponieważ zajmuje 900 KB pamięci RAM i może obsłużyć wszelkie nadużycia, jakie rzucają na nią ludzie.

Aaron
źródło
Chociaż jest zbyt skoncentrowana na przedsiębiorczości, jest to rozsądna dobra odpowiedź, czy ktokolwiek, kto dał -1, mógłby wyjaśnić siebie?
cnst
Dwa dobre nowe punkty dotyczące interfejsu API i fuzji dostawców. Dwa DC są w porządku, ale należy pamiętać, że dla każdego z nich jest osobny ISP, a nie ten sam ISP.
kubańczyk
Dobra uwaga @kubanczyk muiltiple ingres links dla pewności i zautomatyzowanego przełączania awaryjnego i kontroli stanu na nich.
Aaron
1

Pomyśl o hostingu DNS jako podstawie twoich usług publicznych. W moim przypadku e-mail ma kluczowe znaczenie dla naszej firmy. Jeśli hostujesz swój DNS wewnętrznie, a twoje połączenie internetowe ulega awarii, Twoje rekordy DNS mogą stać się nieaktualne, co spowoduje, że domena będzie niedostępna.

W moim przypadku, jeśli nie można znaleźć rekordu MX dla naszej domeny, e-mail jest natychmiast odrzucany.

Więc mam nasz DNS hostowany zewnętrznie.

Jeśli rekord MX jest dostępny, ale nasze połączenie internetowe nie działa, poczta będzie nadal umieszczana w kolejce na serwerach próbujących wysłać wiadomość e-mail do naszej domeny.

Brian
źródło
Nie sądzę, że jest to prawdą w odniesieniu do MXzapisów; w rzeczywistości jest to jedno z nieporozumień udokumentowanych na cr.yp.to/djbdns/third-party.html .
cnst
0

To zależy. ™

Prowadzę własne serwery i zarządzam domenami od co najmniej 2002 roku.

Często korzystałem z serwera DNS mojego dostawcy.

Liczba razy, kiedy mój serwer pod moim adresem IP był dostępny, ale mój DNS nie był dostępny, było kilka za dużo.

Oto moje historie wojenne:

  • Jeden wielki dostawca w Moskwie (jeden z pierwszych opartych na VZ) miał mój VPS w taniej „wartości” DC, ale ich DNS był w supernowoczesnym DC z drogim ruchem, w dwóch różne / 24 podsieci, zgodnie z wymaganiami ówczesnych TLD . W pewnym momencie nastąpiła katastrofa (być może przerwa w dostawie prądu w 2005 r.? ), A ich kosztowne DC przeszło w tryb offline, a do mojej witryny (wciąż w Moskwie, ale w „wartościowej” DC) można było uzyskać dostęp tylko poprzez adres IP.

    Co ciekawe, nawet przed jakimikolwiek incydentami wyraźnie pamiętam, że to zrobiłem traceroute, i zauważając to samo DC zarówno dla mojego, jak ns1i ns2mojego ISP, proszę ich o przeniesienie jednego z nich do „mojego” DC w celu uzyskania nadmiarowości geograficznej; odrzucili pomysł nadmiarowości geograficznej, ponieważ serwery były już w najwyższej możliwej wersji DC.

  • Miałem innego dostawcę (jednego z pierwszych opartych na systemie ISP), w którym mieli jednego ns na miejscu, a drugiego za granicą. Krótko mówiąc, cała konfiguracja była absurdalnie błędna, a serwer „zagraniczny” często nie utrzymywał swoich stref, więc moja domena faktycznie miała dodatkowy punkt awarii i nie byłaby dostępna, nawet gdyby cały mój serwer działał sprawnie.

  • Miałem rejestratora, który prowadził własną sieć. Od czasu do czasu ulegał awarii, mimo że moje serwery zewnętrzne działały poprawnie. Mój DNS nie działa.

  • Niedawno korzystałem z usług wielu dużych dostawców chmury dla drugorzędnych, gdzie sam prowadziłbym ukrytego mistrza. Obaj dostawcy przynajmniej raz zmienili konfigurację; nigdy z żadnymi ogłoszeniami publicznymi; niektóre z moich domen przestały działać. Zdarzyło się też mojemu przyjacielowi z jednym z tych samych dostawców. Zdarza się to częściej w przypadku usług stron trzecich niż osób, które chcą przyznać się publicznie.

Krótko mówiąc, http://cr.yp.to/djbdns/third-party.html jest całkowicie poprawny w tym temacie.

Koszty związane z kłopotami z DNS stron trzecich często nie są warte korzyści.

Negatywne aspekty posiadania DNS firmy zewnętrznej są często niesprawiedliwie pomijane.

Powiedziałbym, że jeśli Twoja domena nie korzysta już z usług stron trzecich (np. Do sieci, poczty, głosu lub tekstu), wówczas dodanie DNS innej firmy prawie zawsze przyniosłoby efekt przeciwny do zamierzonego i nie jest w żadnym wypadku najlepszą praktyką w każdych okolicznościach .

cnst
źródło