雲計算DNS的優缺點

如果DNS服務提供商遭受災難性中斷，則可能會帶來糟糕的業務影響，是以企業需要更好的性能和靈活性。

當企業考慮外包他們的IT基礎設施時，他們應該考慮将其公共授權的DNS服務遷移到雲計算提供商的托管DNS(域名系統)服務中，但首先他們應該了解雲計算DNS的優缺點。

雲計算DNS的優勢

(1)彈性

雲計算DNS提供商具有完全備援且地理上多樣化的網絡和DNS伺服器基礎設施，可提供可靠性和容錯性。由于企業使用不共享同步分布式區域資訊的DNS伺服器，是以企業通常在DNS基礎設施中缺乏備援性。企業必須確定該服務是備援的，因為如果他們的非備援DNS伺服器出現故障，将會産生重大的業務影響。如果企業網絡缺乏内部部署和網際網路備援，并且網絡發生故障，那麼他們的DNS基礎設施的網絡可達性也會受到影響。如果企業目前的DNS伺服器不是高度備援的，那麼雲計算DNS服務需要提供更高的故障恢複能力。

企業通常在全球網際網路周邊網絡上維護其權威DNS伺服器，并允許它們在TCP端口53和UDP端口53上全局可達。如果組織的權威DNS伺服器位于一個位置，并且它們正在服務于全局環境，那麼在世界各地的解析器都有延遲，該解決方案遠離該位置以完成查詢。使用雲計算DNS提供商将獲得更好的性能，這些DNS伺服器使用任播技術，通過将流量路由到“最近的”一組目的地來提供高可用性和性能。

雲計算DNS提供商利用任播來建立高度可擴充和備援的DNS基礎設施。企業使用任意廣播和BGP路由自己建構這種備援級别的成本會很高。

(2)支援域名系統安全擴充(DNSSEC)

域名系統安全擴充(DNSSEC)提供了一種驗證DNS記錄的加密方法，有助于防範許多常見的DNS安全問題。大多數企業還沒有采用DNSSEC，因為他們不熟悉DNSSEC的配置和優勢。一些企業可能缺乏DNS伺服器，這些伺服器可以輕松地建立DNSSEC配置，并定期自動處理密鑰輪換和更新。如果DNS管理者忘記每年執行的按鍵旋轉步驟，則錯誤可能是嚴重的。雲計算DNS提供商可能會自動啟用DNSSEC，或者更容易實作DNSSEC并執行自動密鑰旋轉。

(3)DNS的DDoS保護

如果企業部署自己的DNS伺服器，它将無法應對其DNS伺服器上的任何大規模DDoS攻擊。企業部署高度可擴充的基礎設施來應對這種攻擊是成本高昂的。當使用具有較強吸收攻擊能力，擴大攻擊範圍或迅速減輕攻擊的雲計算DNS提供商的服務時，針對DNS DDoS攻擊的靈活性會提高。雲計算DNS提供商擁有更高的帶寬連結、不同的資源，以及根據交易量自動擴充資源的能力。

(4)提高安全性

由于DNS是面向全球網際網路的服務，是以企業必須不斷監視此伺服器的安全性，并對其進行修補，并確定它不會成為開放的DNS解析程式。雲計算DNS提供商将不斷修補、掃描、保護和監控其備援DNS伺服器。

(5)先進的流量路由

雲計算DNS提供商還提供了先進的流量路由功能，這是企業目前的本地DNS伺服器可能無法實作的功能。例如，AWS的Route 53雲計算DNS服務提供了不同的進階流量路由政策，例如簡單故障轉移、循環、基于延遲的路由、地理DNS、地理鄰近路由。對于要建立相同功能的企業來說，它需要投資各個地點不同的DNS伺服器和各個站點的複雜負載均衡功能。

(6)潛在的成本節約

與購買備援實體伺服器的企業相比，使用雲托管的DNS服務可以節省資金，授權作業系統和人員配置以維護和配置DNS。如果DNS伺服器需要硬體或軟體更新，那麼這可能是推遲新DNS伺服器的資本支出，并切換到使用雲管理的DNS服務的有力舉措。

(7)更好的配置/更改工具

企業可能缺乏使DNS快速改變其目前系統的能力，并且他們可能無法輕松進行基于某些觸發事件而進行的軟體驅動的自動更改。企業通常具有内部IT流程，隻要添加或更改，就需要向DDI(DNS、DHCP、IP位址管理)團隊送出支援憑單。雲計算DNS提供商具有軟體可程式設計接口和腳本來處理DNS記錄的自動建立和更新。企業可以使用它們的API來配置DNS資源記錄的動态添加或更改。

(8)更好的監測，可視性和報告

許多企業可能會将他們的DNS伺服器視為理所當然，而不能完全了解其整個IT基礎設施對DNS的依賴性。企業可能缺乏現有本地DNS系統的監控可見性、性能和營運名額。典型的本地DNS伺服器可能沒有有用的報告或對DNS解析有用的見解。雲計算DNS提供商在執行全天候監控和維護其創收基礎設施方面做得更好。

雲計算DNS的缺點

(1)DNS托管服務崩潰

DNS提供商的基礎設施中斷可能會對其客戶的業務造成災難性後果。由于企業的所有IT應用程式都依賴于網絡可用性和DNS解析，是以如果DNS失敗，則其所有業務應用程式都無法工作。這可能會造成災難性的财務影響。幾年前，DNS提供商ChangeIP公司發生了一次持續多日的中斷，導緻客戶無法解析DNS。大多數雲計算DNS提供商都有服務等級協定(SLA)，但可能受到處罰或相應的損失，這将為企業帶來财務風險。

(2)可能增加延遲

如果從網絡拓撲角度來看，DNS解析器與企業的距離“相去甚遠”，那麼這會給每個用戶端連接配接添加延遲，進而需要不在本地緩存的DNS解析。為了盡量減少延遲，并改善最終使用者應用程式體驗(UX)，最好在DNS用戶端附近安裝DNS解析程式。具有内部DNS用戶端可以快速通路的本地DNS服務，可以提高内部和外部應用程式的應用程式響應時間。

(3)地理位置問題

如果企業的DNS解析器不在公司附近，可能會導緻地理定位問題。然後，内容分發網絡(CDN)可能會訓示企業連接配接到距離其DNS解析程式更近的伺服器(而不是企業的實際位置)。例如，如果一家國際企業正在使用基于美國的雲DNS解析器服務，則這可能會導緻其他大洲網站的地理内容出現問題。當連接配接到基于DNS解析器的IP位址和位置使用地理鄰近度的内容系統時，顯示其他大洲的使用者似乎來自美國。而其他大洲的所有使用者都可能被導向美國境内的内容，将會體驗更高的延遲和糟糕的應用程式響應。

(4)破壞目前的DNS投資

如果組織已經投資了一個複雜的DDI(DNS、DHCP、IP位址管理)系統，那麼利用目前的DDI基礎設施就有财務上的合理性。企業可能投入了備援DNS基礎設施，該基礎設施使用由備援網絡支援的同步分布式資料庫。企業可能投資DDI基礎設施，那麼該基礎設施具有程式設計接口、軟體自動化、安全DNS服務、DNSSEC自動化功能，以及監控可視性和報告功能。

(5)解耦DNS內建

将DDI管理完全內建到一個平台中具有營運優勢。路由和尋址是攜手并進的。組織仔細規劃其網絡拓撲的IP位址和DHCP範圍，并授予DHCP租約。DDI系統執行動态DNS并為這些內建功能提供單一管理界面。DDI系統提供對IP位址使用的操作可視性，并提供有價值的尋址資源管理。将外部權威DNS分離為單獨的非內建式基于雲的服務時，組織就會放棄緊密內建的DDI功能的某些優勢。

(6)完全DNS配置控制丢失

某些雲管理的DNS伺服器可能無法完全控制DNS配置。如果雲管理的DNS服務隻有一個基本的Web界面，隻允許一部分資源記錄類型，并且如果組織具有非常複雜的DNS要求，那麼這可能不适合。不可能包打一切，是以組織需要确定是否具備雲計算DNS提供商可以滿足的特定要求。

雲計算DNS提供商執行個體

如今，有許多不同的雲計算DNS提供商。有許多動态DNS服務可免費或收取少量費用。有一些雲計算DNS提供商允許使用者使用Web界面配置高度靈活和地理上多樣化的權威DNS解析器。雲計算DNS提供商具有高帶寬雙協定網際網路的連接配接性，可連接配接各種資料中心，這些資料中心内置備援和可擴充的DNS伺服器基礎設施，雲DNS提供商已将任播位址和動态路由配置為其名稱服務。

當購買DNS服務提供商的服務時，企業應該查詢這些可選功能，并優先考慮它們所需的功能。有一些雲計算DNS提供商提供了附加的安全功能，如DDoS保護、資料包清理和反欺騙。雲計算DNS提供商可以輕松地為其域實施域名系統安全擴充(DNSSEC)，并配置使用者的域名系統安全擴充(DNSSEC)資源記錄。雲計算DNS提供商可能有RESTful API和可程式設計接口，有助于配置的自動化。

以下是一些雲計算管理的DNS服務提供商的名稱：Akamai、亞馬遜Route 53、Cloudflare DNS、ClouDNS、DNSMadeEasy、Google Cloud DNS、Infoblox NIOS in the cloud、Microsoft Azure DNS、Neustar(收購UltraDNS)、NS1 Managed DNS、Oracle(收購Dyn)、Rackspace DNS - Cloud Control Pane、Verisign Managed DNS。

比較性能

在組織選擇雲管理的DNS提供商之前，可能有興趣比較這些公司的産品的性能，并對各種提供者進行了研究和評估。這些調查通常是從進行DNS性能測量的個人角度進行的。這些測試來源的位置可能無法準确地表示企業位置和全球網際網路的地理位置。

企業可以選擇從自己的位置執行一些自己的測量，以便近似了解其在選擇雲計算DNS提供商時的實際性能。有幾種有用的工具可以幫助企業進行這些測量：

•DNSDiag是一款開源的Python DNS診斷和性能測量工具集，可幫助企業執行自己的測試。他們的dnsping.py實用程式可以幫助企業确定延遲，dnstraceroute.py可以幫助企業将網際網路流量路徑與DNS伺服器進行比較，并且dnseval.py可以執行比較。

•DNSPerf是由Prospect One公司提供的監控系統，可以測量全球DNS服務性能。

•Namebench是一個比較老舊，但仍然有用的工具，用于評估哪個公共DNS解析器服務可能從企業的位置角度看具有最低的延遲。并提供了一個可用的Golang namebench 2.0開源GitHub存儲庫。

•ThousandEyes提供商業DNS監控服務，去年他們推出了DNS服務提供商的性能測量結果。

原文釋出時間為：2018-05-25

本文作者：Scott Hogg

本文來自雲栖社群合作夥伴“

企業網D1Net

”，了解相關資訊可以關注“

”。