本章节节选自《企业 DNS 建设白皮书》。
DNS 系统的作为 IT 系统的基础设施之一,在建设完成后,就会转入运营阶段。DNS 的运营包括多个方面:DNS 系统设备管理、域名注册和管理、DNS 安全管理、DNS 性能管理、DNS 数据管理和备份。
在 DNS 运营中,可观测性就成为最重要的方面,DNS 运营的各个阶段都需要以监控数据为基础,根据数据的不同制定运营方案和优化方案。
需要对 DNS 服务器进行管理。DNS 服务器是进行域名解析的关键设备,DNS 运营需要确保部署足够的 DNS 服务器,以便处理来自全球各地的域名查询请求,并确保服务器的稳定性和安全性。DNS 服务器的具体数量就需要根据 DNS 具体的请求和响应数据以及 DNS 服务器的 CPU、内存等设备监控数据进行评估和部署。
DNS 运营需要对域名进行注册和管理,包括验证域名所有者的身份,设置域名服务器,更新域名信息等。在这个过程中,需要确保完成注册和配置过程中各个阶段都是正常的,这就需要通过可观测性,对域名配置的过程进行监控,并根据可观测性的结果数据进行验证,如果出现问题或不合理的地方,则需要进行相应的调整。
DNS 运营需要确保 DNS 系统的安全性,包括防止 DNS 缓存污染、DNS 欺骗等攻击,确保 DNS 服务器和 DNS 客户端的安全,以及确保数据的完整性和保密性。如何发现这些 DNS 安全问题,不能仅仅靠用户投诉或个人简单测试,而是需要通过 DNS 可观测性来实时监控和反馈。
DNS 运营需要不断优化 DNS 系统的性能,包括优化域名解析速度,增加 DNS 缓存,减少网络延迟等。在这个过程中,DNS 可观测性是最重要的数据来源,根据可观测性的数据才能发现性能问题,并对优化后结果进行评估。
DNS 运营需要对 DNS 数据进行管理和备份,确保数据的完整性和可用性,并提供备份和灾难恢复计划。在这个过程中,需要监控数据备份系统的正常运行,以及备份数据的可用性,通过可观测性确保备份灾难恢复计划的正常运行。
在该架构中,通过 DNS 服务器或 DNS 请求和响应的关键节点(比如 DNS 服务器前部署的负载均衡设备)向数据分析系统发送 DNS 流量的关键指标信息。数据分析系统获取到数据后,需要从以下几个方面进行数据分析,并形成图形化报告:
1. 域名解析时间:DNS 客户端向 DNS 服务器发送请求,然后从服务器接收到响应所需的时间。这个指标是衡量 DNS 性能的重要指标,必须被监测和记录。
2. DNS 解析错误率:由于各种原因(如 DNS 服务器故障、网络故障等)而导致的 DNS 解析错误的比率。DNS 解析错误率的监测可以帮助识别网络和 DNS 服务器故障的根本原因,以便快速发现问题并进行修复和改进。
3. DNS 流量:DNS 服务器处理的请求和响应的数量。监测 DNS 流量可以帮助评估 DNS 服务器的容量和性能,并预测未来的需求。
4. 域名解析的来源: DNS 请求的来源,例如,是来自哪个地区或哪个网络。了解解析的来源可以帮助识别网络瓶颈或安全问题,并为改进 DNS 性能提供有用的信息。
5. DNS 响应代码:DNS 服务器响应的状态代码。不同的响应代码表示不同的状态,如成功、服务器错误、域名不存在等。了解响应代码可以帮助诊断 DNS 问题,例如,识别是否由于域名拼写错误导致解析失败。
6. DNS 安全指标:DNS 服务器的安全性能指标,如 DNS 缓存污染、DNS 欺骗攻击等。DNS 安全指标的监测可以帮助识别 DNS 安全问题,并实施相应的防御措施。
定期对观测得到的数据进行分析,在下面几个方面进行运营:
1. DNS 服务器维护:根据 DNS 服务器运行状态,定期进行巡检,及时处理故障。
2. 域名规划:需要根据域名数量的变化,及时对域名层级和子域进行规划和设置,保证业务需要新域名时能够及时申请到,各个子域域名数量控制在合理范围内。
3. 性能及协议优化:根据观测到的数据及时对 DNS 服务器进行扩容、升级,保证满足业务系统对 DNS 解析性能的要求。
4. DNS 安全:利用可观测的数据,合理设置报警参数,及时发现并应对安全问题,确保 DNS 服务器安全性以及解析数据准确性。
5. 数据备份:DNS 运营需要对 DNS 数据进行管理和备份,确保数据的完整性和可用性,并提供备份和灾难恢复计划。
1. 建议数据收集要简洁,只收集必要的准确数据,而不是将所有数据包都保存下来。最好采用日志的方式,便于传输、存储和分析。
2. 在系统关键节点进行全量 DNS 数据收集,建议在负载均衡设备收集数据,保证数据收集的全面性。
3. 分析系统的可视化能力,需要在图形化界面灵活显示各种数据及关联分析。
4. 运营系统的自动化建议,结合观测数据自动生产运营建议,比如达到一定性能要求就需要进行扩容,某子域域名达到一定数量,则需要规划新的子域等。
5. 数据备份的自动化,定期自动备份所有设备的配置数据,并定期对备份数据进行检验,确保灾难时能够及时恢复数据。
DNS 在企业的基础架构中,整体上经历了四个阶段:
第一阶段,单中心多链路阶段,在该阶段企业主要关注应用在多条运营商链路下的解析优化。
第二阶段,多中心多活业务阶段,在该阶段企业主要关注在数地多中心模式下 DNS 的能力。
第三阶段,面向移动 App,边缘应用阶段,这也是当前大部分企业所处的阶段,在该阶段中,企业更加重视 DNS 架构的安全性、永续服务能力,以及面向移动与边缘应用的 DNS 技术应用,例如 DoH,k8s externalDNS,混合云 DNS 等。内网 DNS 也从早期的简单解析服务进入了多区、多层、全栈、动态的部署发展模式。
第四阶段,在部分 IT 科技发展较快的企业,DNS 系统也逐步进入了一个更新的发展方向,在该阶段中企业主要关注 DNS 在服务化改造、微服务架构以及 k8s 多集群等方面的能力集成。因此企业的 DNS 架构开始变得更加复杂,并开始呈现新的解耦化特征,例如子域拆分来降低故障域,分层与弹性的架构设计等。
而在 DNS 安全方面,解决 DNS 固有的安全问题也正被企业高度重视,DoH,DoT,DNSSEC 等技术被广泛接受和应用,企业更加重视基于数据洞察 DNS 运行效能和安全预警能力,建设灵活、智能、高安全、可自愈的 DNS 系统已成企业共识。
原创文章,作者:速盾高防cdn,如若转载,请注明出处:https://www.sudun.com/ask/93418.html
