发布日期:2024 年 3 月 1 日
撰稿人:Chrystal R. China、Michael Goodwin
主 DNS 服务器是 域名系统 (DNS) 的权威域名服务器。它是查询解析中的第一个联系点,并作为域信息的权威来源,存储所有域 DNS 记录的原始副本。
如果主 DNS 服务器不可用,则发起查询的浏览器、应用程序或设备会联系从 DNS 服务器,该服务器中包含相同 DNS 记录的副本。
在 DNS 基础设施中,域名将流量导向拥有正确资源的 IP 地址,以满足用户请求。当用户输入域名时,主 DNS 服务器是查询解析路径上的第一站。然而,人类友好的主机名和计算机友好的 IP 地址需要一个中介来进行通信。这就是主 DNS 服务器发挥作用的地方。
主服务器将域名转换为相应的 IP 地址,然后将查询的信息发送回用户。因此,主 DNS 在路由互联网流量方面发挥着重要作用。
“AI 和 IT 自动化企业指南”深入介绍了 AI 驱动的 IT 自动化,包括使用原因和方式、阻碍工作的问题以及如何开始。
订阅 IBM 时事通讯
从广义上讲,DNS 类似于互联网的电话簿。它将域名(例如 www.example.com)转换为计算机用于在网络上相互识别的 IP 地址(例如 192.0.2.1)。如果没有 DNS,用户将需要记住复杂的数字 IP 地址才能访问网站,这是不切实际的,即使不考虑用户在一天内发出的唯一搜索和数据请求的量。
DNS 框架具有树状结构,根域位于顶部,然后是顶级域 (TLD),例如 .com、.org、.net、.uk 等等。TLD 下方是二级域名,通常是域名的可识别部分(例如“ibm.com”)以及任何可用的次要区域。每个 TLD 都有自己的一组名称服务器,但主名称服务器在第二级发挥作用。
注册域时会创建其名称服务器 (NS) 记录,并将其存储在主 DNS 服务器上,该服务器通常由托管公司或 DNS 服务提供商提供。主 DNS 服务器保存各种类型的 NS 记录,包括 A 记录、MX 记录和 CNAME 记录(以及其他类型),用于将适当的数据和信息路由回用户。
值得注意的是,服务器管理员可以将 DNS 服务器指定为主服务器或从服务器。事实上,服务器可以在一个区域中指定为主服务器,在另一个区域中指定为从服务器。但是,每个 DNS 区域只能有一个主服务器。
域修改也发生在主 DNS 中。当管理员想要调整 DNS 记录时,他们必须在主 DNS 服务器中执行此操作;然后,更改将向下传播到层次结构中的其余服务器。
DNS 服务器根据其在 DNS 层次结构中的角色分为“主服务器”和“从服务器”。主 DNS 服务器保存区域文件的原始读/写版本,而从 DNS 服务器保存区域文件的只读副本,以便进行负载均衡和冗余管理。
从 DNS 服务是非必需的;当只有主服务器可用时,DNS 系统可以正常工作。但是,维护至少一台从服务器是标准做法,并且域名注册商经常要求如此操作,以促进轮转 DNS(在每台服务器之间均匀分配流量)并防止拒绝服务。
传统的主/从 DNS 架构在现代托管 DNS 提供商中已经过时。如今大多数提供商都提供名称服务器 IP 供使用,而每个 IP 背后都有一个 DNS 服务器池,这些服务器使用任播(一对多传输协议)路由请求。与经典模型相比,这种方法往往提供更好的冗余和更高的可用性。
不过,即使在高级 DNS 部署中,从 DNS 也能为企业提供帮助:
- 迁移到新的 DNS 基础架构,依赖项位于旧 DNS 服务器。从 DNS 允许团队访问指向其组织中托管的旧 DNS 服务器的工具、代码和旧系统。在架构迁移期间,从服务器允许管理员在不中断依赖项的情况下定义从 DNS 提供商。这样可以使所有现有进程保持同步,但使新的 DNS 服务器能够在内部服务器变慢或出现故障时做出响应。
- 避免单点故障。高流量网站和任务关键型网络应用程序不能容忍中断。如果主 DNS 服务器遇到延迟问题,使用从名称服务器可帮助管理员避免任何单点故障。
- 使用一个托管服务设置冗余 DNS。智能托管 DNS 可以启用专用 DNS 部署,该部署在独立的网络和服务器上运行,与常规托管 DNS 服务不同。这有助于促进两个独立 DNS 服务器之间的冗余,同时允许组织仅与一个提供商合作。此外,专用部署不会与其他组织共享,因此它不会受到针对服务上其他客户的攻击。
主服务器和从服务器都保持 DNS 系统的效率和功能,但存在一些关键差异,决定了它们在计算环境中的行为和交互方式。
除了存储主区域文件外,主 DNS 服务器还响应域管理员的更新请求,并处理动态更新。辅助区域服务器是备份服务器,在主服务器宕机或主服务器过载时处理请求。
主 DNS 中的主区域文件包含所有 A 记录(IPv4 地址记录);AAAA 记录(IPv6 地址记录);MX 记录(定向到邮件服务器);CNAME 记录(将别名映射到其真实或“规范”域名);SOA 记录(包含域的所有管理信息);以及给定域的 TXT 记录(指示电子邮件身份验证的发件人策略框架记录)。管理员直接管理此文件,对 DNS 记录的任何更新或更改都首先在此处进行。
从 DNS 服务器是从主服务器传输过来的区域文件的精确副本。它们不能直接修改或编辑区域文件。相反,它们会定期与主服务器联系,检查称为区域传输过程中的更新。
配置主 DNS 涉及设置区域文件、资源记录和访问控制,并且可能包括安排到指定从服务器的权威 (AXFR) 和增量 (IXFR) 区域传输。但是,从 DNS 配置要求管理员在主服务器和从服务器之间设置用于区域数据传输的通信协议,并指定与主服务器的签入更新频率。
尽管主 DNS 服务器是必不可少的,但它也代表单点故障。如果它崩溃,并且管理员没有指定从服务器来接管工作负载,则整个 DNS 解析过程都会受到影响。没有主 DNS 服务器,从服务器就无法存在,但如果服务器出现故障,它们可以在主服务器恢复之前保持 DNS 运行。
要更好地理解主 DNS,就必须了解用户查询如何通过系统进行解析。
用户在浏览器或应用程序中输入域名,请求将发送到递归 DNS 解析器。通常,用户的设备具有由互联网服务提供商 (ISP) 提供的预定义 DNS 设置,用于确定部署哪个递归解析器。
递归解析器检查其缓存(即 Web 浏览器或操作系统中的临时存储)以查找域的相应 IP 地址。如果 DNS 查询数据没有缓存,解析器就会启动从权威 DNS 服务器(从根服务器开始)检索数据的过程。递归解析器查询不同的 DNS 服务器,直到找到最终的 IP 地址。
递归解析器查询根名称服务器,该服务器通过引用相关域的相应 TLD 服务器(例如负责所有“.com”域的服务器)进行响应。
解析器查询 TLD 名称服务器,TLD 名称服务器回复域的主 DNS 服务器地址。
解析器查询主服务器,主服务器查找 DNS 区域文件,并使用提供的 URL 的正确记录进行响应。
递归解析器会在记录的生存时间 (TTL) 指定的时间内缓存 DNS 记录,并将 IP 地址返回到用户的设备。然后,浏览器或应用程序可以使用该 IP 地址发起向主机服务器的连接,以访问所请求的网站或服务。
主 DNS 是查询路由的核心,因此维护和优化主 DNS 服务器可以加速整个 DNS 系统。企业可以通过采用以下最佳实践来充分利用其 DNS。
选择具有高正常运行时间、全面冗余协议和可访问客户支持的 DNS 提供商。例如,IBM NS1 可以帮助确保 DNS 查询得到快速可靠的答复。
主要 DNS 提供商的产品种类繁多,从公有 DNS 服务到高级托管 DNS 服务器。为您的企业确定最佳 DNS 服务器时要考虑组织需求1、预算和复杂性。例如,虽然使用公共 DNS 可为客户提供开放、免费的 DNS 访问,但迁移到高级 DNS 可以提供更细粒度的控制。
确保团队了解最新的 DNS 漏洞和威胁(如恶意软件、分布式 DDoS 攻击和缓存欺骗),并使用防火墙、域名系统安全扩展 (DNSSEC) 和其他安全措施来保护 DNS 服务器2和降低风险。
尽可能快和频繁地更新 DNS 记录,以反映 IP 地址、基础架构和服务的更改。这样做可以实现一致、准确的域解析。
IBM® NS1 Connect Managed DNS 服务提供弹性、快速的权威 DNS 连接,能够防止网络中断,保持业务始终在线。
利用全球网络和先进的 DNS 流量引导功能,提高应用程序的弹性和正常运行时间。
IBM® Cloud DNS Services 提供了公共和私有权威 DNS 服务,它们具有响应快捷、冗余度无可比拟和高级安全性等特点,可通过 IBM Cloud Web 界面或 API 进行管理。
DNS 使用户可以使用 URL 而不是用数字表示的互联网协议地址来连接网站。
DNS 服务器将用户在 Web 浏览器中搜索的网站域名转换为相应的数字 IP 地址。此过程称为 DNS 解析。
域名系统 (DNS) 记录是一组用于连接域名和 DNS 服务器内互联网协议 (IP) 地址的指令。
DNS 传播是指 DNS 服务器通过互联网传播 DNS 记录更改所需的时间。
CNAME 记录或规范名称记录在域名系统 (DNS) 中充当别名,将一个域名重定向到另一个域名。
了解计算机网络的运行方式、用于设计网络的架构以及如何确保网络安全。
脚注
1“大型企业是否应该自托管其权威 DNS?”,IBM.com,2024 年 2 月 1 日
2“为什么 DNS 保护应该是混合云安全的第一步”(ibm.com 外部链接)TechRadar,2024 年 2 月 1 日