Вопрос: Что такое клей?


Это Канонический вопрос о записях клея DNS.

Что именно (но ненадолго) - это запись клей DNS? Почему они нужны и как они работают?


124
2017-09-09 03:54


Источник


Раздел RFC, описывающий значение «записи клея»,, - Vladimír Čunát


Ответы:


Запись клея - это термин для записи, которая обслуживается DNS-сервером, который не является авторитетным для этой зоны, чтобы избежать условия невозможных зависимостей для зоны DNS.

Скажем, у меня есть зона DNS для example.com, Я хочу иметь DNS-серверы, у которых есть авторитетная зона для этого домена, чтобы я мог ее использовать - добавление записей для корня домена, www, mailи т. д. Итак, я поместил серверы имен в регистрацию, чтобы делегировать им - это всегда имена, поэтому мы добавим ns1.example.com а также ns2.example.com,

Есть трюк. Серверы TLD будут делегировать DNS-серверы в записи whois, но они находятся в пределах example.com, Они пытаются найти ns1.example.com, Спроси .com серверов, и получить обратно обратно ... ns1.example.com,

Какие записи клея делают, чтобы серверы TLD могли отправлять дополнительную информацию в ответ на запрос для example.com zone - для отправки IP-адреса, настроенного для серверов имен. Это не авторитетный, но это указатель на авторитетные серверы, позволяющие разрешить цикл.


109
2017-09-09 04:39





Я попросил, чтобы этот ответ был объединен из дублированного вопроса, поскольку существующие ответы не объяснили роль ADDITIONAL раздел.

Чтобы узнать, как это работает, введите следующее: dig +trace +additional google.com SOA

Это будет отслеживать полномочия сервера имен, начиная с корневых серверов (+trace). Добавление +additional также покажет вам ADDITIONAL раздел каждого ответа DNS-сервера. Обычно большинство людей думают о DNS в терминах QUESTION и ANSWER разделов, но ADDITIONAL также играет важную роль: если сервер имен знает ответы на любые запросы, связанные с ответом, он может предварительно предоставить эти ответы в ADDITIONAL не требуя дополнительных запросов от вашего клиента.

Обратите внимание, что авторитетные серверы имен для google.com укоренены в домене, для которого они авторитетны. (ns1.google.com, ns2.google.com, и т.д.)

Когда вы попросите сервер имен предоставить список серверов имен для домена, они часто будут предоставлять список A-типы (IP-адреса) в ADDITIONAL не только NSОтветы типа: они называются записи клея, используемый для предотвращения круговых зависимостей. В этом случае эти A записи обслуживаются из серверов имен TLD (.com, .org и т. д.) на основе IP-адресов, которые кто-то предоставил регистратору DNS, ответственному за домен. Их обычно можно изменить, войдя в веб-интерфейс администратора, который они вам предоставляют.

(Отказ от ответственности: AAAA записи, содержащие адреса IPV6, также могут быть предоставлены как часть клея, но я оставил это для простоты).


48
2018-02-03 03:08



Благодарим вас за подробное объяснение. Я многому научился. - Egemenk
Очень хорошее объяснение. Хотел бы я наткнуться на эту деталь кругового разрешения зависимости до моего последнего собеседования. Я почти уверен, что моя невежественность по этому поводу обошлась мне дорого. - converter42
@ converter42 Справедливости ради, я не думаю, что большинство системных администраторов на самом деле ожидают, что вы правильно зададите этот вопрос. Я ведущий DNS, и я, конечно, этого не делаю. Это делает скажите мне, когда собеседник знает DNS лучше, чем 80% других админов. :) - Andrew B


Существует точное (и краткое) объяснение по википедии,
Цитировать:

 Круговые зависимости и записи клея

Серверы имен в делегациях   определяется по имени, а не по IP-адресу. Это означает, что   разрешающий сервер имен должен выдать другой запрос DNS, чтобы узнать   IP-адрес сервера, на который он был отправлен.
  Если имя   данный в делегации является субдоменом домена, для которого   предоставляется делегация, существует круговая зависимость. В этом   если сервер имен, предоставляющий делегацию, должен также предоставить один или   больше IP-адресов для авторитетного сервера имен, упомянутого в   делегация. Эта информация называется клеем.

, , ,

Например, если авторитетный сервер имен   на example.org - ns1.example.org, компьютер, пытающийся разрешить   www.example.org сначала разрешает ns1.example.org. Поскольку ns1 содержится   в example.org, для этого требуется сначала разрешить example.org,   представляет круговую зависимость.
  Чтобы разорвать зависимость,   сервер имен для домена верхнего уровня org включает в себя клей вместе с   делегирование на example.org. Записи клея - это записи адресов, которые   укажите IP-адреса для ns1.example.org. Преобразователь использует один или   больше этих IP-адресов для запроса одного из авторитетных доменов   серверов, что позволяет ему выполнять DNS-запрос.


28
2017-09-09 04:37





После долгого поиска и многого читал о клеях, и до сих пор не понимая, что они собой представляют, и как вы можете их создать, я наконец нашел ответ, и это очень просто.

Насколько я понимаю, никакой волшебной дополнительной информации, посланной откуда-то, это то, как она работает.

Допустим, ваш домен example.com и вы хотите использовать свои собственные серверы имен ns1.example.com и ns2.example.com, вам нужно как минимум два DNS-сервера.

  • ns1.example.com имеет IP 192.0.2.10
  • ns2.example.com имеет IP 192.0.2.20

Для того, чтобы это работало сейчас, вам нужно, чтобы владелец верхнего домена помещал следующие записи в свой DNS.

example.com NS ns1.example.com
example.com NS ns2.example.com

ns1.example.com A 192.0.2.10 
ns2.example.com A 192.0.2.20

Эти две записи A являются записями клея, и они должны находиться в верхнем домене, в этом случае .com, и не все регистраторы могут это сделать для вас.

Если это неправильно, исправьте меня. Я просто подумал, что попробую объяснить простой способ для других, которые не могут найти правильный ответ.


24
2017-08-07 06:22



Единственное предостережение в ответ заключается в том, что записи клея не ограничиваются появлением в доменах верхнего уровня. Вы также можете иметь sub.example.com который делегирован ns1.sub.example.com а также ns2.sub.example.com в example.com зона. Серверы имен для comделегированы example.com от себя и не может обеспечить клей для любого из своих детей. - Andrew B
Ключевым моментом является то, что без записи клея, если запрошенный субдомен и сервер имен находятся под одним и тем же доменом, вы застряли в бесконечном цикле: sub.example.com -> example.com -> ns1.example.com -> example.com -> ns1.example.com... и так далее - Daniel Waltrip