it-swarm.asia

Kendi ad sunucularımızı barındırmalı mıyız?

Bu, kendi alan adları için DNS çözümlemesinin dış kaynak kullanımı konusunda bir Kanonik Sor

Şu anda alan adım için DNS sağlayan İSS'im var, ancak kayıt ekleme konusunda sınırlamalar getiriyorlar. Bu nedenle, kendi DNS'imi çalıştırmayı düşünüyorum.

Kendi DNS'inizi barındırmayı mı tercih ediyorsunuz yoksa ISS'nizin bunu yapması daha mı iyi?

Bakabileceğim alternatifler var mı?

95
Saif Khan

Kendi DNS sunucumu çalıştırmazdım - benim durumumda, web sitemi barındıran barındırma şirketi ücretsiz DNS hizmeti sunuyor. Ayrıca, DNS barındırma ( DNS Made Easy akla geliyor, ancak başka birçok şey var) dışında hiçbir şey yapmayan alternatifler de var, muhtemelen bakmanız gereken bir şey.

Bunu kendim yapmamamın nedeni, DNS'in oldukça güvenilir olması gerektiğidir ve coğrafi olarak dağıtılmış bir sunucu ağınız yoksa, tüm yumurtalarınızı tek bir sepete koyarsınız. Ayrıca, yeni bir tane başlatmanız gerekmeyecek kadar çok sayıda özel DNS sunucusu var.

64
David Z

Her zaman kendi DNS'imizi barındırıyoruz (tercih edilen ters DNS de). Bu, üçüncü bir tarafa dayanmadan acil değişiklikler yapmamızı sağlar. Birden fazla konumunuz varsa, DNS sunucularınız için kabul edilemez bir yedeklilik düzeyi ayarlamak kolaydır.

Birden fazla siteniz yoksa, değişiklikler için bir web arayüzü ile özellikle DNS barındırma (ISS'niz değil) yapan birini düşünürüm. Ayrıca 7x24 destek ve iyi SLA'lar arayın.

27
Doug Luxem

Alan adlarınız için iyi ve güvenilir bir DNS kurulumu için, ...

  • Alan adınız için en az iki yetkili DNS sunucusu;
  • DNS sunucuları farklı fiziksel ağlara ve güç kaynaklarına bağlanmalıdır;
  • DNS sunucuları farklı coğrafi alanlarda olmalıdır.

Yukarıdaki ağ altyapısına erişiminizin olması olası olmadığından, yukarıdaki ağ altyapısına sahip saygın bir DNS barındırma sağlayıcısı (diğerlerinin önerdiği gibi) seçmekten daha iyidir.

19
Convict

Uzun yıllar boyunca kendi DNS sunucularımı büyük bir sorun yaşamadan BIND (sürüm 8 ve 9) kullanarak çalıştırdım. Konfigürasyonlarımı bölge dosyalarını doğrulayacak taahhüt sonrası kontrollerle sürüm kontrolünde sakladım ve daha sonra DNS sunucularımın düzenli aralıklarla bölge dosyalarını kontrol etmesini sağladım. Sorun her zaman SOA seri numarasının itilmiş olan her bir taahhütle güncellenmesini sağlamaktı, aksi takdirde önbellek sunucuları güncellenmeyecekti.

Yıllar sonra format bölgeleri yönetmek için otomatik komut dosyaları için ideal ve aynı SOA seri numarası sorunu BIND kullanarak uğraşmak zorunda değildi. kabul edilmesi için belirli kaynak kayıt kümelerini biçimlendirmeyle ilgili kendi sorunları var.

Trafiğimin çoğunun DNS olduğunu ve o zamandan beri EasyDNS DNS ihtiyaçlarım. Web arayüzlerini yönetmek kolaydır ve RR setlerimi yönetmek için ihtiyacım olan esnekliği verir. Ayrıca, girebileceğiniz mevcut RR setlerini sınırlayan 1 & 1 gibi bazı barındırma sağlayıcıları tarafından sağlananlardan daha kolay çalışmayı buldum veya Ağ Çözümleri gibi etki alanı kayıt siteleri bile yalnızca DNS'nizi yönetmek için Windows kullanıyorsanız çalışır.

13
Jeremy Bouse

Kişisel etki alanlarım (ve yardımcı olduğum bazı arkadaşların etki alanları) için kendi DNS'imizi barındırıyoruz ve kayıt şirketim (Gandi) ikincil DNS sağlıyor. Ya da başka bir ağdaki bir arkadaş ikincil sağlar. Gandi bölgeleri hemen güncellemiyor, 24 saatte bir kontrol ediyor gibi görünüyor, ancak değişiklikler çok seyrek; bizim için yeterince iyi çalışıyor ve sunucuları muhtemelen bizimkinden çok daha güvenilir.

Benim işimde, kendi DNS'imizi yapıyoruz ve yukarı yönlü ağ sağlayıcımız ikincil DNS sağlıyor. Ancak, biz bir üniversiteyiz ve kullanıcılarımızın% 99'u yerinde; yerel ağ kapalıysa, DNS kapalıysa önemli değildir. Ayrıca, bir web arayüzü üzerinden yönetmek biraz garip gibi görünen yaklaşık 25k DNS kayıtlarına (artı elbette 25k ters DNS kayıtları) sahip bir B sınıfı (/ 16) var. Yerel DNS sunucularımız yüksek oranda kullanılabilir ve hızlıdır.

9
freiheit

İkisini de yaptım. Kendinize ev sahipliği yapmanın faydaları olabilir: patronunuz size neden bu kadar uzun sürdüğünü sorduğunda DNS'nin nasıl çalıştığı hakkında kesinlikle çok şey öğrenirsiniz. Ayrıca, bölgelerinizi daha fazla kontrol altında tutuyorsunuz. Bu, büyük ölçüde DNS'nin hiyerarşik dağıtılmış doğası nedeniyle her zaman olması gerektiği kadar güçlü değildir - ancak her seferinde kullanışlı hale gelir. Şüphesiz, sağlayıcınızın IP bloğunuzun ters DNS'si için SOA) olarak ayırmasını sağlayabiliyorsanız, bir tane olduğunu varsayalım.

Bununla birlikte, yukarıda yerleşik olarak çok fazla arıza direncine nasıl sahip olmanız gerektiğine dair yukarıdaki tüm yorumlar patlama. Farklı coğrafi bölgelerdeki farklı veri merkezlerindeki sunucular önemlidir. 2003 yılında Kuzeydoğu'daki büyük elektrik kesintisinden geçtikten sonra - hepimiz aynı şehirde, hatta ilde veya eyalette iki farklı veri merkezinde bir kutuya sahip olmanın yeterli bir koruma olmadığını öğrendik. Pillerinizi ve daha sonra dizel jeneratörleri poponuzu kurtardığınızda devreye giren sevinç, hızla yedek lastik üzerinde sürdüğünüzden kaynaklanan korkunun yerini hızla alıyor.

Ancak her zaman LAN için dahili DNS sunucumuzu çalıştırıyorum. Ağınızın dahili olarak kullandığı DNS üzerinde tam denetime sahip olmak çok kullanışlı olabilir - ve ofisinizde güç kesilirse, sunucu rafında olması nedeniyle dahili DNS sunucunuz muhtemelen pil veya pil ve dizel üzerindedir, PC'niz olmayacak - böylece istemcileriniz sunucu olmadan çok önce çevrimdışı olacak.

5
Kyle Hodgson

Tüm bu çözümleri bir miktar eğlence ile okuyorum, çünkü birincil DNS'imizi statik bir DSL hattından barındırarak ve kayıt şirketinin (başka bir kıtadaki) ikincil bir DNS sağlamasını sağlayarak yanlışlıkla tüm bu "gereksinimlere" uymayı başardık çok daha ciddi ve güvenilir bağlantı. Bu şekilde, ikincil bu değişiklikleri yansıtmak üzere güncellenir ve bir menholün yangın yakalaması durumunda, bir olayı belirtmek için mevcut olacağından emin olurken, bağlama kullanma ve tüm kayıtları ayarlama esnekliğini elde ederiz.

Bu etkili bir şekilde gerçekleşir:
"Alan adınız için en az iki yetkili DNS sunucusu;"
"DNS sunucuları farklı fiziksel ağlara ve güç kaynaklarına bağlanmalıdır;"
"DNS sunucuları farklı coğrafi bölgelerde olmalıdır."

4
dlamblin

Bir göz atın Dyn.com ; DNS barındırma, dinamik DNS, MailHop vb. gibi DNS ile ilgili her türlü hizmete sahiptirler. Onları güvenilir buldum ve muhtemelen 5 yıldır kullanıyorum.

4
Knox

Değişir.

80'lerin sonlarından beri çeşitli işlerim için kendi DNS'imi çalıştırıyorum (BSD 4.3c). İş için her zaman kendi DNS'imi barındırdım, ancak her zaman birden fazla veri merkezi konumum vardı veya bir ortakla ikincil DNS alışverişi yapabildim. Örneğin, son işimde farklı bir .EDU için ikincil DNS yaptık (MN'deydiler, CA'dayız) ve bizim için aynısını yaptılar. Coğrafi ve ağ çeşitliliği.

Ya da şu anki işimde kendi doğu ve batı kıyısı (ABD) veri merkezlerimiz var. Kendi DNS'imizi barındırmak, bazı GUI DNS hizmetleri tarafından desteklenmeyebilecek olağan dışı herhangi bir DNS kaydını (SVR, TXT, vb.) Ve istediğimiz zaman TTL'leri değiştirebiliriz; kendimiz yapma pahasına neredeyse mükemmel bir esnekliğe sahibiz.

Ev eşyaları için, her iki şekilde de yaptım. Alışılmadık şeyler yaptığım veya çok fazla esnekliğe ihtiyaç duyduğum bazı alanlar için hala kendi "gizli" ana DNS sunucularımı çalıştırıyorum ve aynı şeyi yapan diğerleriyle ortak DNS hizmetleri alıyorum. Yapılandırma yönetimi için sürüm kontrol bölgesi dosyalarını RCS kullanıyorum, böylece bölge değişikliklerinin tüm geçmişini zamanın başına kadar görebiliyorum. Tek bir blog veya genel web sunucuları (bir A kaydı veya bir CNAME) içeren bir alan adı gibi basit şeyler için, kullanılabilir olduğunda bir alan adı kayıt sitesi DNS hizmetini kullanmak daha kolaydır ve şimdi CM için endişelenirsiniz.

Bu bir ödünleşim. Üstün kontrol ve esneklik, kendi başına çeşitliliği ele alma, birden fazla sunucu çalıştırma, donanım/yazılım arızaları, vb. İle uğraşma pahasına gelir. muhtemelen daha düşük bir toplam maliyetle sorununuzu çözün.

3
tep

Bu iş parçacığında daha önce de belirtildiği gibi, DNS ile birkaç özel durum var, en önemli fark yetkili ve önbellek adı sunucusu dağıtımları arasındadır.

  1. Sadece İnternet kaynaklarını çözmek için bir DNS sunucusuna ihtiyacınız varsa, bazı ücretsiz nakit ödeme DNS çözümleyicisi akıllıca bir seçimdir. Ben şahsen Linux'ta PowerDNS recursor (pdns-recursor) kullanıyorum.

  2. Web siteleri veya MX'ler gibi harici altyapınıza hizmet vermek için dahili NS'leri kullanmam (burada SOHO'dan bahsediyorsak). DNSmadeasy gibi iyi, güvenilir, kurşun geçirmez bir hizmet kullanın. Ben onların iş paketini kullanıyorum ve çok uygunken sallanıyor.

3
Taras Chuhay

Kendi ad sunucularımızı barındırmalı mıyız?

Evet, ve ayrıca büyük 3. taraf DNS sağlayıcılarından bir ya da daha fazlasını kullanmalısınız. Hibrit bir çözüm, muhtemelen SLA veya müşterinize sözleşme gereklilikleri olan bir işletme iseniz, b2b iseniz daha da fazla) birçok nedenden dolayı en güvenli uzun vadeli yaklaşımdır.

Ana DNS sunucularınız (gizli veya herkese açık) gerçek kaynağınızsa, kendinizi operasyonel olarak satıcıya özel yeteneklere kilitlenmekten korursunuz. Temel DNS'nin ötesinde şık özelliklerini kullanmaya başladıktan sonra, şimdi bu yetenekleri çoğaltmanız gerektiğinden, başka bir sağlayıcıya geçmenin veya kendi DNS'inizi barındırmanın sorunlu olduğunu görebilirsiniz. Örnekler, site sağlık denetimleri ve Dyn ve UltraDNS tarafından sağlanan DNS yük devretme olabilir. Bu özellikler harika, ancak bir defalık olarak değil, bir bağımlılık olarak düşünülmelidir. Bu özellikler aynı zamanda sağlayıcıdan sağlayıcıya da çoğaltılmaz.

Yalnızca 3. taraf satıcılarınız varsa, çalışma süreniz hedeflenen bir DDoS saldırısı altındayken etkilenebilir. Yalnızca kendi DNS sunucularınız varsa, DDoS saldırısının hedefi olduğunuzda çalışma süreniz etkilenebilir.

Kontrol ettiğiniz gizli ana DNS sunucularına bağımlı bir veya daha fazla DNS sağlayıcınız ve kendi dağıtılmış DNS sunucunuz varsa, belirli bir satıcıya kilitli olmadığınızdan ve bölgelerinizin denetimini her zaman koruduğunuzdan ve saldırılar hem sunucularınızı hem de sunucularınıza bağımlı bir veya daha fazla büyük sağlayıcıyı indirmelidir. Bunun dışında herhangi bir şey, hizmetin kritik bir kesintiye karşı bozulması olacaktır.

Kendi ana (ideal olarak gizli, yayınlanmamış) sunuculara sahip olmanın bir diğer avantajı, kendi API'nizi oluşturabilmeniz ve bunları iş ihtiyaçlarınıza uygun malikanede güncelleyebilmenizdir. 3. taraf DNS sağlayıcılarıyla API'larına uyum sağlamanız gerekir. Her satıcının kendine ait; veya bazı durumlarda yalnızca bir web kullanıcı arayüzüne sahiptir.

Ayrıca, master'ınız kontrolünüz altındaysa ve bir satıcı sorun yaşıyorsa, master'ınıza hala erişebilen slave sunucularınızdan herhangi biri güncellemeleri alacaktır. Bu, master'ınız olarak 3. bir tarafa sahip olmanın büyük bir DDoS olayı sırasında bir hata olduğunu ve saldırı altında olmayan sağlayıcılardaki sunucuları değiştiremeyeceğinizi fark ettikten sonra sahip olmak isteyeceğiniz bir şeydir.

Yasal bir bakış açısından, satıcının kilitlenmesini önlemek işletmeniz için de önemli olabilir. Örneğin, Dyn potansiyel olarak Oracle tarafından satın alınmaktadır. Bu, onları Dyn'in tüm müşterileri üzerinde DNS istatistikleri toplamak için benzersiz bir konuma getirir. Bunun yasal risk oluşturabilecek rekabetçi yönleri vardır. Bununla birlikte, ben bir avukat değilim, bu yüzden hukuk ve halkla ilişkiler ekiplerinize bu konuda danışmalısınız.

Yabancı otları araştırmak istiyorsak, bu konunun birçok başka yönü var.

[Düzenle] Bu yalnızca küçük bir kişisel/hobi alan adı içinse, birbiriyle aynı veri merkezinde olmayan 2 VM, küçük bir DNS arka plan programı çalıştırmak fazlasıyla yeterlidir. Bunu kendi kişisel alan adlarım için yapıyorum. Alan adınızın bir işletme mi yoksa sadece hobi için mi olduğu açıktı. Alabileceğiniz en küçük VM'ler ne olursa olsun fazlasıyla yeterli. Etki alanlarım için rbldnsd kullanıyorum; 900 KB koç alan ve insanların attığı herhangi bir kötüye kullanımı ele alabileceği için kayıtlarımda çok yüksek bir TTL kullanıyorum.

3
Aaron

Kısa süre önce, tüm hizmetlerimizi eve getirdiğimizde genel DNS'imizi eve getirdik. Bu, her şeyi ihtiyacımız olan en kısa sürede güncellememizi sağlar. Coğrafi olarak dağıtılmış DNS'ye sahip olmak, şu anda web sunucularının hepsi aynı sitede olduğu için bizim için bir gereklilik değildir.

2
mrdenny

Her iki dünyanın da en iyisine sahibim.

Genel DNS'imi web sitelerim ve MX kayıtlarım için "başka bir yerde" barındırıyorum. Güvenilir, güvenli, işe yarıyor, istediğim gibi değiştirebilirim. Hizmet için ödeme ve değeri ile mutluyum.

Ancak evde, ISS'mi kullanmak yerine kendi önbellekleme DNS sunucumu çalıştırıyorum. ISS'm DNS'yi kaybetme, yavaş DNS, geçersiz DNS ve bazen DNS'yi saptırmak için alışkanlıkları var, böylece başarısızlıklar ilgimi çekebileceğini düşündükleri yerlere gidiyor. ISS'imin DNS'sini kullanmak istemiyorum. Bu yüzden kendi önbellekleme DNS sunucularım var ve bunu kendim yapıyorum. Başlangıçta (belki 2 saat) kurmak biraz çaba gerektirdi, ancak temiz ve güvenilir DNS'im var. Ayda bir kez, bir cron işi kök sunucuları sorgular ve ipuçları tablosunu yeniler. Belki yılda bir kez, doubleclick.com'u 127.0.0.1 veya benzeri bir yere göndermek gibi onunla uğraşmak zorundayım. Bunun dışında hiçbir müdahale gerektirmez ve harika çalışır.

2
codebunny

Tanrı aşkına kendi DNS'inizi barındırmaya karar verirseniz, site başına İKİ dns sunucusu var. Biri harici DNS'niz için, doğrudan sizi bulmak için güvenlik duvarınıza bağlı. Ve dahili dns için ağınızın içinde ayrı bir tane.

2
XTZ

Linux sunucularında BIND kullanarak kendi DNS'imi çalıştırıyorum. Şu anda Londra İngiltere, Miami FL, San Jose CA ve Singapur'da dört tane var. Harika çalışıyor ve tam kontrolüm var. Veri merkezinin istikrarı çok önemlidir, bu nedenle sunucuları çalıştırmak için iyi DC'ler seçtim (ISS'ye veya başka bir 'bilinmeyen' altyapıya bağımlı değil). Sıkı ölçütlere göre seçtiğim birinci sınıf DC'leri kullanarak dünyanın her yerinde DNS sunucuları ve diğer hizmetleri ayarlayabiliyorum. Rock solid DNS, çalıştırdığım e-posta ve web hizmetleri için gereklidir.

2
Justin Jones

Henüz yorum yapamam, ama freiheit ile aynı şeyi yapıyorum. Birincil DNS'imizi burada DMZ'de çalıştırıyoruz ve İSS'mizin ülke genelinde, birincil DNS'de bir değişiklik yaptıktan hemen sonra güncellenen birkaç bağımlı DNS sunucusu var.

Her iki dünyanın en iyisini verir; anında kontrol artı redunancy.

2
pauska

Her yaklaşımın artıları ve eksileri vardır, ancak kesinlikle dahili DNS'inizi dahili olarak barındırmayı tercih ederim. Harici olarak barındırırsanız temel ağ hizmetleri için güveneceğiniz şeylerin listesi akıl karıştırıcıdır. CEO, harici olarak barındırarak DNS sunucularından tasarruf etmenin akıllıca olduğunu düşünebilir, ancak internet bağlantısı kesilirse e-postasını alamadığında ne düşünür?

2
Maximus Minimus

Deneyimden, bir hizmet reddi saldırısı çekmek istiyorsanız, kendi DNS'inizi barındırın. Ve kendi web siteniz.

Ben kendinize inanmamanız gereken bazı şeyler olduğuna inanıyorum. DNS barındırma bunlardan biridir. Birçok kişinin söylediği gibi, yedek sunuculara, bağlantılara ve fiziksel konumlara ihtiyacınız olacak ve daha küçük barındırma şirketlerinin bile esnekliğine yaklaşmayacaksınız.

Kendi DNS'inizi barındırmanın en büyük yararı, değişikliklerin hemen yapılabilmesidir. Yaklaşan bir taşıma için TTL'lerinizi kısaltmanız mı gerekiyor? Muhtemelen bunu kendi sunucularınızda yapan bir komut dosyası yazabilirsiniz; barındırılan DNS için, giriş yapmanız ve kayıtları manuel olarak değiştirmeniz veya daha da kötüsü, sağlayıcıyı aramanız, nihayet DNS'yi yazabilecek bir tanesine ulaşana kadar 3 destek seviyesinden geçmeniz gerekebilir; 2-3 gün içinde değişir.

2
David Oresky

Zonedit ya da yıllar kullandım. Onun ucuz (veya ücretsiz) ve ben CNAME, A, MX, TXT, SRV ve diğer kayıtları bir sürü ekledim.

2
Steve Jones

DNS barındırma hizmetini kamu hizmetlerinizin temeli olarak düşünün. Benim durumumda e-posta bizim işimiz için kritik önem taşıyor. DNS'inizi dahili olarak barındırıyorsanız ve İnternet bağlantınız kötüleşirse, DNS kayıtlarınız eski olabilir ve alan adınızı kullanılamaz duruma getirebilir.

Benim durumumda, alanımız için bir MX kaydı bulunamazsa, e-posta hemen reddedilir.

DNS'm dışarıda barındırılıyor.

MX kaydı mevcut, ancak internet bağlantımız kesilmişse, alanımıza e-posta göndermeye çalışan sunucularda posta sıraya girmeye devam edecektir.

1
Brian

O bağlıdır. ™

En azından 2002'den beri kendi sunucularımı çalıştırıyorum ve alan adlarını yönetiyorum.

Sağlayıcımın DNS sunucusunu sık sık kullandım.

IP adresimdeki sunucumun kullanılabilir olduğu, ancak DNS'imin kaç kez kullanılabilir olduğu çok azdı.

İşte benim savaş hikayelerim:

  • Moskova'daki bir yuge sağlayıcısı (ilk VZ tabanlı olanlardan biri) VPS'mi ucuz bir "değer" DC'de buldu, ancak DNS'leri premium bir teknoloji harikasıydı DC pahalı trafik ile, iki farklı/24 alt ağda, o zaman bazı TLD'lerin gerektirdiği gibi . Bir noktada, bir felaket vuruşu (muhtemelen 2005 elektrik kesintisi? ) ve pahalı DC çevrimdışı oldu ve siteme (hala Moskova'da, ancak "değer" DC'de) yalnızca IP adresinden erişilebilir.

    İlginçtir ki, herhangi bir olaydan önce bile traceroute ve aynı şeyi fark ederek DC her ikisi için ns1 ve ns2 ISS'mden bir tanesi, coğrafi yedeklilik için de bir tane "DC" ye gitmelerini istiyor; sunucular zaten en üst düzey DC mümkün oldu) çünkü coğrafi fazlalık fikrini reddetti.

  • Başka bir sağlayıcı (ilk ISPsystem tabanlı olanlar) vardı, burada bir ns ve yurt dışında başka bir sağlayıcı vardı. Uzun lafın kısası, tüm kurulum gülünç bir şekilde buggy oldu ve "yurtdışı" sunucusu genellikle bölgelerini koruyamadı, bu nedenle alan adımın etkili bir şekilde ekstra bir hata noktası vardı ve tüm sunucum hala sorunsuz bir şekilde çalışsa bile erişilemezdi.

  • Kendi ağını işleten bir kayıt şirketim vardı. Site dışı sunucularım açık olsa bile her seferinde azaldı. DNS'im çöktü.

  • Kısa bir süre önce, kendim için gizli bir yönetici çalıştıracağım ikincil için birden fazla büyük bulut sağlayıcısı kullandım. Her iki sağlayıcı da kurulumlarını en az bir kez değiştirdi; asla kamuya açıklanmış duyurular olmadan; alan adımlardan bazıları çözümlenmeyi durdurdu. Aynı sağlayıcılardan biriyle bir arkadaşım da oldu. Bu, üçüncü taraf hizmetlerde, insanların herkese açık olarak kabul etmeyi umduklarından daha sık görülür.

Kısacası http://cr.yp.to/djbdns/third-party.html konuyla ilgili kesinlikle doğrudur.

Üçüncü taraf DNS ile uğraşmak zorunda kalmanın maliyeti genellikle faydaya değmez.

Üçüncü taraf DNS'ye sahip olmanın olumsuzlukları genellikle haksız şekilde göz ardı edilir.

Alan adınız zaten üçüncü taraf hizmetleri (ör. Web, posta, ses veya metin için) kullanmadığı sürece, üçüncü taraf bir DNS eklemenin neredeyse her zaman verimsiz olacağını ve hiçbir şekilde en iyi uygulama olmadığını söyleyebilirim .

0
cnst