Domain-Name-System

NS 記錄的自託管與外包域名

  • December 8, 2021

my-manageable-zone.com

假設您有一個公共 IP 地址為的 DNS 伺服器,205.251.197.174並且您計劃將其作為my-manageable-zone.com. 基本上,在準備 DNS 伺服器成為名稱伺服器時,您有兩種選擇:

  • 自託管:可以在同一個zone下創建一個A-record子域;或者
  • 外包:您可以從其他區域創建 A 記錄子域

自託管

我的 DNS 伺服器中的記錄集

記錄記錄類型價值
ns-1.my-manageable-zone.com.一種205.251.197.174
my-manageable-zone.com.NSns-1.my-manageable-zone.com.

外包

其他 DNS 伺服器內的記錄集

記錄記錄類型價值
ns-1.some-other-zone.com.一種205.251.197.174

我的 DNS 伺服器中的記錄集

記錄記錄類型價值
my-manageable-zone.com.NSns-1.some-other-zone.com.

真實世界

我在網上查看了人們在域名伺服器方面的做法。基本上,在命令行中我嘗試了類似的東西:

dig +short NS google.com
dig +short NS nsa.gov
dig +short NS cloudflare.com
dig +short NS mit.edu

結果

google.comnsa.govcloudflare.commit.edu
ns2.google.com.a11-66.akam.net.ns3.cloudflare.com.use5.akam.net.
ns1.google.com.a24-65.akam.net.ns4.cloudflare.com.use2.akam.net.
ns3.google.com.a1-107.akam.net.ns5.cloudflare.com.asia2.akam.net.

在現實世界中,它實際上是自託管和外包的健康組合。實施自託管或外包時需要注意哪些事項?

更新

我對術語進行了糾正。我所說的“自託管”實際上是指In-bailiwick,每當我說“外包”時,它實際上是指Out-of-bailiwick

實施自託管或外包時需要注意哪些事項?

如果您認真對待您的域名,則不應依賴任何單一的 DNS 提供商,而應擁有其中的 2 個。您不能隨意選擇它們並希望它會起作用,它需要在兩者之間進行充分協調,但有可能,甚至有完整的 DNSSEC 支持。

無論您選擇哪個 DNS 提供商,總有一天您會遇到問題。如果您的域非常重要(及其上的服務),您應該使用多個 DNS 提供商。

您沒有使用正確的術語來描述您的描述。歡迎您閱讀關於 DNS 術語的 RFC 8499。您將看到您所描述的是 in-bailiwick 名稱伺服器(ns.example.com作為名稱伺服器example.com)或完全外部的名稱伺服器。

您似乎更關心命名,或者至少這是我閱讀您的問題的方式,而不是真正提供服務的地方,因為這幾乎是正交的:無論您的名稱伺服器是否在轄區,從技術上講,它們可以是否在您的控制和維護之下。

對於任何情況,您都找不到任何唯一的建議,兩者都有優勢。但是,我強烈建議不要使用“in-bailiwick”案例,直到您完全了解 DNS 及其工作原理,特別是當它與註冊平面相交時,因為對於 in-bailiwick 域名伺服器,您需要在系統資料庫,通過域的註冊商,不幸的是,這通常是一個痛點。

如果您使用外部名稱伺服器,關於命名(還有其他注意事項:它們不應該託管在同一個數據中心,也不應該都在同一個 AS 後面 - 除非任播正在發揮作用 - 或相同的 IP 塊等),你應確保名稱伺服器在多個註冊機構中使用名稱(因此,不僅是多個 TLD,如果您選擇com並且net兩個 TLD 都在同一個註冊機構中)。

所有重要的 DNS 提供商都會為他們的客戶提供該選項,並且最重要的是,名稱伺服器集可能因一個區域而異,或者一個客戶端與另一個區域不同,以實現更好的隔離和可能不同級別的服務。

此外,一旦你這樣做了,你就會創建一個傳遞依賴。您的域的安全級別與用於命名對您的域名具有權威性的名稱伺服器的域名的安全級別相關聯。

例如,如果您想做 DNSSEC,在您的區域中就可以了,但是如果您的區域的權威名稱伺服器本身在未啟用 DNSSEC 的區域中,它會降低您區域的真正安全性。

引用自:https://serverfault.com/questions/1085588