Alors que de nombreux administrateurs réseau sous-traitent la gestion de l'infrastructure du système de noms de domaine (DNS) faisant autorité à un tiers comme IBM® NS1 Connect®, il existe une communauté importante d'opérateurs réseau qui préfèrent creuser et créer quelque chose eux-mêmes.
Ces architectures DNS faisant autorité à faire soi-même (bricolage) peuvent être bricolées à partir de divers outils. BIND est le plus souvent utilisé comme outil open source pour gérer le DNS interne, mais certaines personnes l'étendent également au DNS externe faisant autorité. D'autres s'appuient sur les infrastructures Microsoft DNS avec des scripts et d'autres outils développés en interne.
Le contrôle est la principale raison pour laquelle vous opteriez pour un système DIY pour un DNS faisant autorité. Ou peut-être avez-vous une configuration réseau géniale et anormale qui nécessiterait naturellement plusieurs personnalisations même si un tiers devait fournir votre DNS faisant autorité.
Les défis du DNS faisant autorité DIY
Si chacun a ses raisons d'adopter un système DIY pour DNS faisant autorité, il y a quelques inconvénients distincts à prendre en compte :
- Les systèmes de bricolage sont fragiles: Si votre infrastructure DNS faisant autorité est construite sur BIND ou Microsoft, vous avez probablement reconstitué une machine de scripts Rube Goldberg pour la faire fonctionner. Au fil du temps, la complexité de ces scripts peut devenir difficile à maintenir à mesure que vous tenez compte de nouvelles fonctionnalités et exigences de fonctionnement. Un faux mouvement (une seule erreur de codage) pourrait facilement faire tomber l’ensemble de votre infrastructure DNS faisant autorité et mettre hors ligne vos sites destinés aux clients.
- C'est beaucoup de travail à construire et à entretenir: Il faut du temps pour se familiariser avec les outils sous-jacents comme BIND. Vous devez créer et déployer le système. Alors vous must le maintenir, ce qui n'est pas une mince tâche, en particulier lorsque vous avez affaire à un système aussi critique.
- Le problème des collisions avec un bus: Les architectures DIY ne fonctionnent que tant que la personne qui les a construites reste dans l'entreprise. Si cette personne quitte l’entreprise, ses connaissances institutionnelles sur la façon dont les architectures DIY ont été construites partent avec elle. Certaines entreprises en arrivent au point où elles ont peur de changer quoi que ce soit, car cela pourrait très facilement entraîner un incident de temps d'arrêt dont il serait difficile de se remettre.
- Pas de support d'automatisation: Les systèmes DIY ne fonctionnent généralement avec aucune forme d'automatisation. Les architectures DIY ne le sont généralement pas conçu pour prendre en charge les plates-formes d'automatisation standard comme Ansible ou Terraform. Il est presque impossible d'orchestrer des architectures DIY avec un outil tiers. Si vous disposez d'un DNS faisant autorité, vous êtes probablement confronté à des modifications manuelles.
Tous ces facteurs entraînent généralement plus de temps, d’énergie et de ressources consacrés à une gestion DNS faisant autorité que la plupart des équipes réseau ne sont prêtes à y consacrer. Les systèmes DIY sont souvent perçus comme « gratuits », mais ils peuvent finir par vous coûter très cher. Si ces problèmes de maintenance et de gestion se transforment en panne, l’impact sur l’entreprise est encore plus profond.
Sauvegarde des systèmes DIY
Utiliser des systèmes DIY pour un DNS faisant autorité sans aucune sorte de sauvegarde résiliente et redondante pose problème. Trouver la source d'une erreur, en particulier lorsque vous disposez d'un labyrinthe de scripts qui se chevauchent et interdépendants, peut être un cauchemar. Cela peut prendre plusieurs jours pour localiser la source d'un problème et remettre votre site en ligne. La plupart des équipes opérationnelles ne disposent tout simplement pas de ce type de marge de manœuvre, en particulier pour les sites de commerce électronique et SaaS qui ont un impact direct sur la génération de revenus.
Rien de tout cela ne signifie que vous devez abandonner complètement vos systèmes DIY. Cela signifie simplement que vous devriez avoir un plan B si (ou vraiment, quand) les choses tournent mal. Idéalement, vous auriez un solution redondante en place qui peut prendre le relais sans aucun impact sur les performances du site. Que devrait contenir ce système redondant ? Nous pensions que vous ne le demanderiez jamais.
- Infrastructure séparée: Tout système DNS faisant autorité redondant doit être complètement séparé de votre infrastructure existante afin que vous puissiez vous permettre de ralentir les choses sur le système principal pendant que vous recherchez la source des erreurs techniques.
- Données de performances en temps réel: Les métriques seraient également importantes pour une sauvegarde DIY, afin de garantir que tout bascule correctement et que le trafic n'est pas interrompu. Cela serait particulièrement utile dans le cas d’une attaque DDoS, pour identifier la source du problème et exclure toute cause architecturale.
- Bilans de santé: Comment savoir si un site fonctionne comme vous le souhaitez ? Le site doit-il basculer vers une architecture redondante car les performances sont dépréciées d’une manière ou d’une autre ? Des contrôles de santé et des alertes sont nécessaires pour garantir que les pannes de service peuvent être détectées et traitées rapidement.
IBM NS1 Connect comme sauvegarde DIY
Personne ne devrait exploiter son DNS faisant autorité sans filet de sécurité. C'est tout simplement trop important, surtout si votre site Web est le principal générateur de revenus. C'est pourquoi NS1 Connect propose un système physiquement et logiquement séparé pour un DNS redondant faisant autorité. Nous avons commencé à proposer DNS dédié en complément de notre DNS géré service, et nous le proposons désormais aux clients qui souhaitent simplement ajouter une couche séparée et redondante à leur architecture existante.
- Infrastructure séparée: Le DNS dédié de NS1 utilise la même architecture robuste que notre service DNS géré phare, mais il est configuré sur une infrastructure distincte, propre à une seule entreprise. C'est le nec plus ultra en matière de protection contre les temps d'arrêt.
- Compatible avec n'importe quel primaire: Notre service DNS dédié est disponible en tant que système de secours ou secondaire pour tout type d'architecture primaire. Cela le rend parfait pour les serveurs de noms faisant autorité et les architectures DIY faisant autorité et compatibles BIND. Vous pouvez facilement insérer un service DNS dédié en complément d’une configuration DIY. Il sera lancé et prêt à fonctionner à tout moment en cas de catastrophe.
- Données de performances en temps réel: Notre innovation Fonctionnalité d'informations DNS peut collecter des données critiques à partir de n’importe quelle configuration DNS dédiée. Lorsque vous rencontrez une panne sur votre système principal, ces données peuvent vous aider à identifier rapidement la source des problèmes externes (comme les attaques DDoS) qui pourraient avoir fait tomber votre système. Cela peut vous aider à revenir au système principal dès que possible.
- Bilans de santé: Le DNS peut vous en dire beaucoup sur les performances de vos applications, services et sites Web. NS1 Connect envoie automatiquement des alertes pour vous indiquer lorsque les performances du site sont obsolètes ou ne renvoient aucun résultat. NS1 utilise également les données de vérification de l'état pour déclencher et acheminer la logique de basculement afin que vous puissiez éviter les temps d'arrêt. Ce type d'automatisation n'est tout simplement pas disponible dans les systèmes DIY.
- Migrations faciles: NS1 Connect facilite l'ajout d'un DNS dédié en tant que secondaire à n'importe quel système. L'importation de zones et d'enregistrements dans ce système secondaire avec des fichiers de BIND et d'autres architectures est facile à réaliser dans l'interface utilisateur de NS1 Connect.
Les infrastructures critiques ont besoin d'une couche redondante
Le DNS externe faisant autorité est l’un des éléments d’infrastructure les plus critiques de votre réseau. C'est tellement crucial qu'il mérite le plus haut niveau de protection et d'assurance. Le DNS faisant autorité fait soi-même offre aux administrateurs beaucoup de contrôle, jusqu'à ce que la complexité de ces scripts et outils qui se chevauchent devienne trop difficile à prendre en charge.
Même les systèmes DNS faisant autorité les plus sophistiqués et les plus fiables rencontrent parfois des problèmes. NS1 Dedicated DNS offre la tranquillité d'esprit dont vous avez besoin pour garder les lumières allumées même lorsque tous vos tableaux de bord clignotent en rouge.
En savoir plus sur le DNS dédié NS1
Cet article a-t-il été utile?
OuiNon
Plus d'automatisation
Bulletins d'information IBM
Recevez nos newsletters et nos mises à jour thématiques qui fournissent les dernières idées en matière de leadership éclairé et d'informations sur les tendances émergentes.
S'abonner
Plus de newsletters
- Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
- PlatoData.Network Ai générative verticale. Autonomisez-vous. Accéder ici.
- PlatoAiStream. Intelligence Web3. Connaissance Amplifiée. Accéder ici.
- PlatonESG. Carbone, Technologie propre, Énergie, Environnement, Solaire, La gestion des déchets. Accéder ici.
- PlatoHealth. Veille biotechnologique et essais cliniques. Accéder ici.
- La source: https://www.ibm.com/blog/how-to-mitigate-the-risks-of-diy-authoritative-dns/
