当企业考虑外包他们的IT基础设施,他们应该考虑把公共权威的DNS服务云提供商的DNS服务管理,但首先他们应该了解优点和缺点。
云DNS的优点
弹性
云DNS提供商完全冗余和地理上不同的网络和DNS服务器基础设施提供可靠性和容错。企业普遍缺乏冗余的DNS基础设施,因为它们使用DNS服务器不同步分布式区域信息分享。企业必须确保该服务是多余的,因为如果一个他们刚好DNS服务器失败会有重要业务的影响。如果企业网络缺乏内部网络和网络冗余和失败,那么他们的DNS基础设施的可达性也大打折扣。如果你目前的DNS服务器不是高度冗余,然后云DNS服务将提供更高的弹性失败。
企业经常在互联网周边网络维护权威的DNS服务器,允许他们在全球范围内可到达的TCP端口53和UDP端口53。如果一个组织的权威的DNS服务器在一个位置,和他们服务的全球环境,还有世界各地的增加了对解析器的延迟,远离这个位置来满足查询。明显更好的性能可以通过使用云DNS提供商使用anycast许多地理上不同的DNS服务器,它提供了高可用性和性能的流量路由到“最近”的目的地。
云DNS提供商利用anycast创建一个高度可扩展和冗余DNS基础设施。会有大量的成本为企业建立这种程度的冗余自己使用anycast和边界网关协议的路由。
法案同样支持域名系统安全扩展
域名系统安全扩展法案同样(域名系统安全扩展)提供了一个加密的方法验证DNS记录,帮助防止许多常见的DNS安全问题。大多数企业还没有法案同样采用域名系统安全扩展,因为他们缺乏熟悉它的配置和它的好处。企业可能缺乏使法案同样很容易建立域名系统安全扩展配置DNS服务器,定期自动处理关键旋转和更新。如果一个DNS管理员忘记annually-performed key-rotation步骤,可以严重的错误。法案同样云DNS提供商可能会自动启用域名系统安全扩展法案同样或使它更容易实现域名系统安全扩展并执行自动旋转的关键。
DNS DDoS保护
如果一个企业部署自己的DNS服务器,它不会有能力吸收任何大规模DDoS攻击它的DNS服务器。它会浪费企业部署高度可伸缩的基础设施需要吸收这样的攻击。弹性对DNS DDoS攻击将改善使用云DNS提供商时,有更大的能力来吸收攻击,规模迅速的攻击或减轻攻击。云DNS提供商有更高的带宽链接,扩大资源多样化的资源和能力自动基于交易量。
改进的安全性
因为DNS是一个面向internet服务,企业必须不断监视这个服务器的安全,保持它的修补,并确保它不会成为一个开放的DNS解析器。云DNS提供商将保持冗余DNS服务器不断地修补,扫描,获得和监控。
先进的交通路由
云DNS提供商也提供先进的交通路由功能,不可能与企业当前的本地DNS服务器。例如,AWS云DNS服务的路线53提供不同的先进流量路由策略,如简单的故障转移,循环,latency-based路由、地理DNS和geo-proximity路由。为企业创建这个相同的功能,将需要投资地理位置不同的DNS服务器和复杂的负载平衡功能在每个站点上。
潜在的成本节约
云托管DNS服务可能省钱而使用一个企业购买多余的物理服务器,许可一个操作系统和人员维护和配置DNS。如果DNS服务器需要一个硬件或软件升级,那么这可能是引人注目的事件推迟资本支出新的DNS服务器和切换到使用云托管DNS服务。
更好的配置/变更工具
企业可能缺乏快速更改DNS的能力与他们当前的系统,他们可能没有能力轻易其中自动基于一些触发事件所做的更改。企业通常有内部流程需要提交支持门票DDI团队随时添加或改变是必要的。云DNS提供商具有软件可编程接口和脚本处理DNS记录的自动创建和更新。您可以使用自己的api来配置动态添加或更改您的DNS资源记录。
更好的监测、可见性、报道
很多企业可能会想当然地认为他们的DNS服务器,而不是完全理解依赖他们的整个IT基础设施对DNS。企业可能缺乏监控可见性和性能从他们现有的本地DNS系统和操作指标。典型的本地DNS服务器可能没有有用的报告或有用的见解DNS的决议。云DNS提供商做得更好执行24 x7x365监控和维护他们的盈利基础设施。
云DNS的缺点
DNS托管的服务崩溃
停机的DNS提供商的基础设施对其客户的企业可能会导致灾难性的后果。因为所有企业的IT应用程序依赖于网络的可用性和DNS解析,如果DNS失败,他们的业务应用程序的工作。这可能造成金融灾难。几年前,DNS提供商ChangeIP持续多日的中断导致客户无法解决的DNS。大多数云DNS提供商sla,但可能没有足够的处罚或间接的损害赔偿,可以覆盖企业的财务风险。
可能增加延迟
如果一个DNS解析程序是“远”从一个公司从网络拓扑的角度来看,那么这将延迟添加到每个客户端连接要求一个DNS解析,不是在本地缓存。尽量减少延迟和改善最终用户应用程序的经验(用户体验),最好是DNS客户附近的DNS解析器。拥有一个本地DNS服务,内部DNS客户能迅速达到可以改善内部和外部应用程序的应用程序响应时间。
地理位置问题
地理位置可能有问题,如果你的DNS解析器不接近你。然后内容分发网络(cdn)可以直接连接到服务器,更接近您的DNS解析器(而不是您的实际位置)。例如,如果一个国际企业使用的是美国基于云的DNS解析器服务,这可能会导致问题在其他大洲地理内容的网站。用户在其他大洲将似乎来自美国当连接到内容系统,使用基于IP地址和地理邻近位置的DNS解析器。所有用户在其他大洲可能被迫穿越世界各地针对美国位于内容和经验更高的延迟和糟糕的应用程序响应。
破坏当前的域名投资
如果一个组织已经投资了一个复杂的DNS、DHCP和IP-address-management (DDI)系统,然后是金融的理由利用当前DDI基础设施。企业可以投资于冗余DNS基础设施,使用一个分布式数据库支持冗余网络同步。DDI企业可以投资于基础设施,已经编程接口,软件自动化、法案同样安全的DNS服务,域名系统安全扩展自动化监测可见性和报告。
放松的DNS集成
有DDI管理完全集成到一个平台运营优势。路由和寻址携手并进。组织仔细计划他们的IP寻址和DHCP作用域的网络拓扑,和DHCP租期是理所当然。DDI系统执行动态域名并提供一个管理界面集成功能。DDI系统提供操作可见ip地址使用和提供有价值的解决资源的管理。当你把外部权威DNS到一个单独的集成基于云的服务,那么你放弃的一些好处DDI紧密集成的功能。
完整的dns配置控制的损失
一些云托管DNS服务器可能不给你完全控制了DNS配置。如果云托管DNS服务只有一个基本的web接口只允许资源记录类型的一个子集,和您的组织有高度复杂的DNS需求,那么这也许并不适用。一刀切的可能不适合所有人,所以你需要确定如果你有特殊要求,可以会见了云DNS提供商。
云DNS提供商的例子
今天,有许多不同的云DNS提供商。有许多动态DNS服务免费或象征性的费用。有云DNS提供商允许您使用一个web界面来配置高弹性和地域不同权威DNS解析器。云DNS提供商有高带宽dual-protocol互联网连接到不同的数据中心,房子冗余和可伸缩的DNS服务器基础设施。雷竞技电脑网站云DNS提供商已经anycast寻址和动态路由配置他们的名字服务。
买一个DNS服务提供者时,企业应询问这些可选特性和优先考虑他们需要的功能。有云DNS提供商,提供额外的安全特性,比如DDoS保护,包擦洗和欺骗。云DNS提供商法案同样可以非常容易实现域名系统安全扩展您的域和配置DNSSEC资源记录。云DNS提供商可能基于rest的api和编程接口,帮助自动化的配置。
这里有一些的名字云托管DNS服务提供商:Akamai,亚马逊路线53,Cloudflare DNS,ClouDNS,DNSMadeEasy,谷歌云DNS,Infobloxnio的云,微软Azure DNS,Neustar(获得UltraDNS), NS1DNS管理甲骨文(收购直流发电机),Rackspace DNS——Verisign云控制面板DNS管理。
比较性能
在你做出选择之前的云管理DNS提供商,你可能感兴趣的比较这些公司的产品的性能。已经有研究执行和评估不同的提供者。这些调查往往是由个人的角度使DNS性能度量。这些测试的源代码的位置不能准确代表企业和互联网地理位置。
你可以选择执行一些你自己的测量从自己的位置来得到一个近似的性能可能是当你选择一个云DNS提供商。有几个有用的工具你可以用它来帮助你把这些测量:
- DNSDiag是一个开源的Python DNS诊断和性能测量工具集可以帮助你执行你自己的测试。dnsping。py工具可以帮助您确定延迟,dnstraceroute。py可以帮助您比较互联网流量路径DNS服务器,和dnseval。py可以执行比较。
- DNSPerf是一组超过200监控系统,提供的吗一个前景,可以衡量全球DNS服务性能。
- Namebench是一个老,但仍然有用的工具来评估公共DNS解析器服务可能最低的延迟从你的角度位置。有一个新的Golang域名解析速度测试2.0 namebench来鉴定开源GitHub库可用。
- ThousandEyes提供了一个商业DNS监控服务,去年他们发表他们的性能测量结果的流行DNS服务提供商。
(斯科特·豪格的创始人之一HexaBuild.ioIPv6咨询和培训公司,拥有超过25年的云、网络和安全的经验。)