導讀
DNS服務的作用就是就好比手機中的通訊錄,可以通過域名找到對應IP。對于一家科技企業來說,搭建一套内網DNS是很有必要的。但是,當企業将網絡整體搬遷到雲上或者和雲上網絡相聯通時,DNS服務常常面臨無法覆寫新網絡環境的問題。
本文将使用阿裡雲解析
PrivateZone産品,搭建雲上DNS解決方案,實作企業平滑上雲。
一、内網DNS的不可或缺
對于一個科技企業來說,搭建一套公司内部的DNS服務是非常必要的。
- 一方面,公司内部有一些服務在内網需要解析成内網IP,對于公網的使用者通路就需要通路公網的IP。這樣場景就可以通過内網DNS配置輕松實作。當然還有其他很多實作方式,但是使用内網DNS實作起來很簡單,管理友善;
- 另一方面,公司内部有些服務出于隐私保護的目的,不便将域名暴露在公網。尤其是主機名、财務系統、HR系統等較敏感的業務域名暴露在公網很容易引起安全資訊洩露、不法分子進行網絡滲透等安全風險;
- 另外、通過搭建公司内網DNS可以提高公司域名的解析效率,公司的域名可以直接以Zone檔案的形式緩存在本地,内部查詢時直接傳回IP位址,不用每次通過公網的營運商DNS進行遞歸解析,響應速度快;
二、企業上雲,内網DNS現狀
随着阿裡雲業務的發展,各種雲資源、雲服務不斷推陳出新,吸引了越來越多的企業将基礎系統、業務、服務等部署到雲端,利用阿裡雲的計算、存儲、網絡、資料等服務,降低資訊化建設成本、提高資源配置效率。
“羅馬不是一天建成的”,企業上雲也是循序漸進、步步為營的過程。一般來說,企業上雲主要有三種方式:
- 1、私有雲:大型企業,從業務針對性、資料安全、服務品質等方面考慮,會從IT裝置到業務層應用建構一體化的私有雲服務。在私有雲服務中,内網DNS一般作為獨立的基礎服務元件,市場上也有多家廠商提供DNS軟硬體服務。
- 2、公有雲:中小企業,從技術門檻、節約成本、傳遞效率等方面考慮,會直接選擇公有雲服務。在公有雲服務中,内網DNS一般由雲服務商直接提供,但是雲服務商提供的内網DNS一般隻具備基礎的遞歸解析功能,很少有雲服務商提供給客戶自主管理的能力。如果客戶想使用内網DNS,不得不購買ECS自行建設一套内網DNS系統。
- 3、混合雲:一些企業,原先有自己的資料中心,從服務異構、資源成本、安全穩定等方面考慮,會在自建IDC的基礎上選擇公有雲服務,并且互相融合構成混合雲。在混合雲服務中,内網DNS因為資料一緻性、網絡隔離、資源負擔等多方面原因,一直是運維管理的痛點。
三、企業上雲,内網DNS使用PrivateZone
為了解決中小企業上雲過程中内網DNS的使用問題,友善客戶在阿裡雲上快速實作内網域名管理,降低系統架構成本、提高運維管理效率,阿裡雲面向客戶推出了雲上内網DNS産品PrivateZone。PrivateZone可以幫助上雲客戶在自己的VPC内網中快速建立起内網DNS服務,一鍵跨Region全球同步,内網變更秒級生效。
公有雲場景:
在公有雲場景中,搭建内網DNS服務相對比較簡單,隻需要三步即可:
-
1、添加内網域名:
在阿裡雲的雲解析産品控制台,将内網域名添加進Zone清單:
-
2、配置内網DNS記錄:
将需要的内網DNS記錄,添加進Zone:
-
3、一鍵關聯VPC:
将Zone一鍵關聯上VPC後,内網DNS配置即可在對應的VPC内解析生效,跨Region、跨VPC均衡進行關聯;
混合雲場景:
混合雲場景,客戶同時擁有自建IDC和阿裡雲服務,客戶的自建IDC一般會與阿裡雲VPC使用專線的方式進行網絡打通,典型場景如下圖所示。
這時,客戶一般會将前端服務部署在阿裡雲環境,後端系統部署在自建的IDC。前端服務部署在阿裡雲可以享受阿裡雲彈性可伸縮的ECS、高可用的負載均衡、安全防禦等雲産品服務,後端系統部署在自建IDC,確定了企業資料安全的合規問題。
那麼目前端服務需要通路後端服務擷取資料時,或者後端系統需要回調前端服務時,就會涉及到内網服務之間的調用,内網服務調用,通常需要内網DNS來支撐完成。這種情況下,内網DNS如何在自建IDC和阿裡雲環境下能夠同時提供解析服務?DNS資料配置的一緻性如何保證?内網DNS資料隐私如何做到租戶隔離?是混合雲内網DNS的難點。
在阿裡雲推出PrivateZone服務後,這些問題得到了有效解決,PrivateZone支撐混合雲内網DNS的解決方案如下圖所示。
- 首先、客戶内網域名在可以在多個VPC内同時解析,不需要額外的配置;
- 其次、客戶内網域名不會暴露在公網或者其他網絡環境,隻能在客戶的網絡環境下生效;
- 最後、自建IDC因為是和阿裡雲VPC通過專線打通了網絡,是以自建IDC的内網DNS可以完全複用阿裡雲上的PrivateZone進行DNS查詢。
注意:為了實作自建IDC通路阿裡雲PrivateZone,這裡需要做響應的路由和DNS配置;
- 1、配置自建IDC通路阿裡雲路由示例:
| 目的網段 | 示例網關 |
|---|---|
| 100.64.0.0/10 | 10.10.10.1 |
| 10.10.20.1 |
相應的回程路由也需要配置。使用IPSec配置本地網絡和阿裡雲VPC互聯互通的教程,可參考
《配置站點到站點連接配接》。
- 2、需要将自建IDC上伺服器的DNS配置
/etc/resolv.conf
nameserver 100.100.2.136
nameserver 100.100.2.138
options timeout:2 attempts:3 rotate single-request-reopen 這樣就可以實作整個混合雲的内網DNS解析,随着公有雲Region的擴充,隻需要把相應的VPC關聯上DNS配置就可以了。
總結
在混合雲成為諸多企業上雲的首選時,阿裡雲推出了内網DNS産品,幫助客戶快速搭建滿足公有雲、混合雲DNS解析需要的内網DNS服務。使用PrivateZone搭建DNS有以下幾個優勢:
- 1、公有雲場景:使用簡單、零運維成本,客戶隻需要在控制台上添加内網域名,配置DNS記錄即可,不需要其他網絡、伺服器層面的配置改造;
- 2、混合雲場景:借助專線打通的網絡,客戶隻需要簡單的路由配置和DNS伺服器配置即可,一次配置永久使用;
-
3、擴充性好:公有雲業務擴充至不同Region時,隻需要一鍵關聯上對應的VPC即可,不需要其他改造成本,資料秒級同步;
企業上雲,内網DNS請用PrivateZone,
點選開通