Вопрос: Должны ли мы размещать собственные серверы имен?


Это Канонический вопрос о том, следует ли переназначать DNS-разрешение для собственных доменов

В настоящее время у меня есть мой провайдер, предоставляющий DNS для моего домена, но они налагают ограничения на добавление записей. Поэтому я думаю о запуске моего собственного DNS.

Вы предпочитаете размещать свой собственный DNS или лучше, если ваш интернет-провайдер сделает это?

Есть ли альтернативы, которые я могу изучить?


88
2018-06-10 22:46


Источник


Добавляя к ответам ниже, опыт также важен. Есть многочисленные ошибки, которые вы будем сделать в качестве неопытного администратора DNS, запрещающего хорошее наставничество или орлиный глаз для документации. (книги и RFC, не HOWTO) Ошибки, сделанные на авторитетном уровне DNS, приводят к сбоям даже если остальная часть вашей сети прекрасна, - Andrew B
Также прочитайте связанные вопросы и ответы Почему гео-избыточный DNS необходим даже для небольших сайтов? - HBruijn♦


Ответы:


Я бы не запускал свой собственный DNS-сервер - в моем случае хостинговая компания, на которой размещается мой сайт, предоставляет бесплатный DNS-сервис. Существуют также альтернативы, компании, которые ничего не делают, кроме DNS-хостинга (DNS Made Easy приходит на ум, но есть и многие другие), которые вы, вероятно, должны изучать.

Причина, по которой я не буду делать это сам, заключается в том, что DNS должен быть достаточно надежным, и если у вас нет собственной географически распределенной сети ваших серверов, вы бы разместили все свои яйца в одной корзине, если можно так выразиться. Кроме того, существует множество выделенных DNS-серверов, достаточно, чтобы вам не нужно было запускать новый.


62
2018-06-10 22:55



+1 для DNS Made Easy. У них есть проверенная, 100,0% -ная запись обновления за последние 7+ лет. - Portman
Просто подумал, что я брошу записку. Только сегодня мы, наконец, устали от дерьмового DNS от нашего текущего провайдера, переключились на DNS Made Easy, основываясь на рекомендации здесь, и это фан-кровавый-талис. Любить это. Хотел бы я это сделать много лет назад. - Mark Henderson♦
Разве это не значит, что для каждой записи есть первичный и вторичный сервер? У меня никогда не было глюка, являющегося первичным, и с вторичным я был моим регистратором; Я имею в виду, что у меня был сбой на первичном, но никто не заметил, потому что был надежный вторичный. - dlamblin
Конечно, ничего плохого в этом, если вы действительно хотите запустить свой собственный DNS-сервер по какой-то причине. Но в остальном, пока вы собираетесь платить третьему лицу за DNS-хостинг в любом случае (чтобы быть вторичным), вы могли бы также позволить им справиться со всем этим. Я думаю, что для большинства людей запуск DNS-сервера - это больше проблем, чем того стоит. - David Z
В DNS Made Easy фактически есть сеть серверов, охватывающих несколько континентов. И они используют маршрутизацию anycast. Таким образом, их избыточность смехотворна, что значительно превышает традиционную двухсерверную (начальную и вторичную) настройку. Но теоретически это также означает, что компьютеры по всему миру получат быстрое разрешение DNS. - Steve Wortham


Мы всегда принимаем наш собственный DNS (также предпочитаем обратный DNS). Это позволяет нам вносить чрезвычайные изменения, не полагаясь на третью сторону. Если у вас более одного места, легко настроить уровень допустимого уровня для ваших DNS-серверов.

Если у вас нет нескольких сайтов, то я бы подумал о том, кто конкретно делает DNS-хостинг (НЕ ваш интернет-провайдер) с веб-интерфейсом для изменений. Также посмотрите поддержку 24x7 и достойные SLA.


27
2018-06-10 22:54



Рассматривая аутсорсинг, также спросите, какая защита или смягчение DDoS у них есть. DNS-провайдеры постоянно атакуют, а некоторые могут продолжать работать, не разбивая пота, а другие рушится в кучу крошек при малейшем всплеске трафика, поэтому утомляйтесь аутсорсингом, если только это не авторитетный провайдер, у которого много серверов, развернутых с Маршрутизация anycast включена. - Justin Scott
Я собирался подняться (с большим энтузиазмом!) На основе вашего личного опыта в первом предложении, но затем вы предлагаете использовать стороннюю службу во втором, что в основном означает, что добавлена ​​лишняя ненужная точка отказа для мало пользы. :/ Грустный. - cnst


Для хорошей, надежной настройки DNS для вашего домена, вы должны иметь ...

  • Как минимум два авторизационных DNS-сервера для вашего домена;
  • DNS-серверы должны быть подключены к различным физическим сетям и источникам питания;
  • DNS-серверы должны находиться в разных географических зонах.

Поскольку маловероятно, что у вас есть доступ к вышеуказанной сетевой инфраструктуре, вам лучше выбрать авторитетного хостинг-провайдера DNS (как рекомендовали другие), который имеет вышеуказанную сетевую инфраструктуру.


18
2018-06-11 01:30



Трудно не убеждаться, когда вы так выразились. - Filip Dupanović
Это отличное резюме отраслевого консенсуса, нет ни одного. (Вы знаете, отрасль, которая зарабатывает свои деньги от дорогостоящих перепрограммированных решений, которые могут даже не соответствовать реальной истинной спецификации). - cnst


В течение многих лет я запускал свои собственные DNS-серверы, используя BIND (версии 8 и 9) без каких-либо серьезных проблем. Я сохранил свои конфигурации в контроле версий с проверками после фиксации, которые будут проверять файлы зон, а затем мои DNS-серверы проверяют файлы зон через равные промежутки времени. Проблема всегда заключалась в том, что серийный номер SOA был обновлен с каждой фиксацией, которая была вытолкнута, иначе кеширующие серверы не будут обновляться.

Годы спустя я работал с djbdns, поскольку формат был идеальным для создания автоматических сценариев для управления зонами и не страдал от того же самого серийного номера SOA, с которым мне приходилось иметь дело с использованием BIND. Однако у него возникли проблемы с форматированием определенных наборов записей ресурсов, чтобы их можно было принять.

Поскольку я обнаружил, что большая часть моего трафика была DNS и должна поддерживать как первичный, так и вторичный DNS-сервер, чтобы угодить регистраторам, с тех пор я перешел на использование EasyDNS для моих потребностей DNS. Их веб-интерфейс прост в управлении и дает мне гибкость, необходимую мне для управления наборами RR. Я также нашел, что с ним легко работать, чем с теми, которые предоставляются некоторыми хостинг-провайдерами, такими как 1 и 1 которые ограничивают доступные наборы RR, которые вы можете ввести, или даже регистраторы доменов, такие как Сетевые решения который работает только в том случае, если вы используете Windows для управления DNS.


13
2018-06-11 01:14



Это хороший честный ответ, но похоже, что вы можете обманывать себя в соответствии с вашим решением - используя EasyDNS, вы делаете это своей единственной точкой отказа; ваш сайт может быть запущен, но ваши имена могут не разрешаться, если ваш сторонний провайдер страдает от сбоев или DDoS, направленных на одного из своих клиентов. - cnst


Для моих личных доменов (и некоторых доменов друзей, с которыми я помогаю) мы размещаем собственный DNS, а мой регистратор (Gandi) предоставляет дополнительный DNS. Или друг в другой сети обеспечивает вторичный доступ. Gandi не обновляет зоны сразу, они, кажется, проверяют примерно раз в 24 часа или около того, но изменения очень редки; работает достаточно хорошо для нас, и их сервер, вероятно, гораздо более надежный, чем наш.

На моей работе мы делаем свой собственный DNS, и наш провайдер по восходящей линии связи предоставляет вторичный DNS. Тем не менее, мы являемся университетом, и 99% наших пользователей находятся на месте; если локальная сеть отключена, не имеет значения, отключен ли DNS. Кроме того, у нас есть полный класс-B (/ 16) с примерно 25k DNS-записями (плюс 25k обратных записей DNS, конечно), что кажется немного неудобным для управления через веб-интерфейс. Наши локальные DNS-серверы очень доступны и очень быстры.


8
2018-06-10 23:23



Мы делаем то же самое здесь. У нас есть два ящика Linux, на которых запущен BIND (один - другой), а наш «ISP» также работает с дополнительным DNS. - l0c0b0x
То же самое. Также с классом-B также работают наши собственные DNS-серверы BIND. И когда у нас проблемы с DNS, это обычно с нашим сайтом;) - sysadmin1138♦
Отличный ответ; это мой любимый ответ на этот вопрос до сих пор, потому что он основан на практических методах звуковой инженерии и реалистичной оценке доступных избыточности и доступности, а также на личном опыте; в то время как многие другие ответы просто перечисляют их любимый сторонний DNS-провайдер или слепо копируют краткие справки, написанные людьми с явным конфликтом интересов за счет дополнительных денег от перепрограммируемых решений, которые они предлагают. - cnst


Я сделал то и другое. Могут быть преимущества с размещением вашего собственного: вы определенно много узнаете о том, как работает DNS, когда ваш босс спрашивает вас, почему его так долго. Кроме того, вы гораздо более контролируете свои зоны. Это не всегда так сильно, как должно быть, во многом из-за иерархической распределенной природы DNS, но время от времени это пригодится. Вдруг так, если вы можете заставить своего провайдера выделить вас в качестве SOA для обратного DNS вашего IP-блока, если у вас его есть.

Тем не менее, все комментарии выше о том, как вы на самом деле должны иметь много сопротивлений отказов, построенных выше, забиты. Важным является использование серверов в разных дата-центрах в разных географических районах. Пройдя через массовые отключения электроэнергии на северо-востоке в 2003 году, мы все узнали, что наличие коробки в двух разных центрах обработки данных в одном городе или даже в провинции или штате - не обязательно достаточно для защиты. Эластичность, которая срабатывает, когда вы реализуете свои батареи, а затем дизель-генераторы, сохранила ваш прикладом, быстро заменяется ужасом, вызванным осознанием того, что вы теперь едете по запасной шине.

Однако я всегда запускаю наш внутренний DNS-сервер для локальной сети. Это может быть очень удобно, чтобы иметь полный контроль над DNS, который использует ваша сеть внутри страны, - и если питание отключается в вашем офисе, ваш внутренний DNS-сервер из-за того, что он находится в серверной стойке, вероятно, находится на батарее или батарее и дизельном топливе, в то время как ваш ПК не будет - так ваши клиенты будут в автономном режиме задолго до сервера.


5
2018-06-11 02:06





Я читаю все эти решения с некоторым развлечением, потому что нам удалось случайно вписаться во все эти «требования», разместив наш основной DNS с статической линии DSL, а регистратор (который находился на другом континенте) предоставил вторичный DNS на гораздо более серьезную и надежную связь. Таким образом, мы получаем всю гибкость использования bind и установки всех записей в то время, будучи разумно уверенным, что вторичная информация обновляется, чтобы отразить эти изменения и будет доступна в случае, если люк загорается, чтобы привести одно событие.

Это эффективно выполняет:
«Как минимум два авторитетных DNS-сервера для вашего домена»;
«DNS-серверы должны быть подключены к различным физическим сетям и источникам питания»;
«DNS-серверы должны быть в разных географических зонах».


4
2017-09-14 07:56



Это, безусловно, хороший подход; но если люк улавливает огонь, а вся инфраструктура идет вниз, без DNS, какая точка доступа DNS все еще доступна, когда ни один из серверов не может быть связан? :-) Я думаю, что вхождение в проблему вторичного вторичного DNS имеет смысл, если вы сами передаете другие услуги другим сторонним организациям. - cnst
@cmst. Дело в том, что, когда dns не работает, кто-то, кто вас по электронной почте, видит немедленную проблему (клиенты - партнеры - очень плохая реклама). Если dns работает и почтовый сервер не работает в течение нескольких часов, они в основном ничего не замечают. - kubanczyk
@cmst DNS не ограничивается указанием на серверы в моей личной сети. Я могу назвать IP-адреса в любом месте. Например, может быть, у меня есть имя для каждого из ячеек NAT моей сети моих сотрудников / друзей. Или я мог бы использовать другие типы записей и публично идентифицировать / проверить что-то. - dlamblin