Medtem ko mnogi omrežni skrbniki upravljanje infrastrukture avtoritativnega sistema domenskih imen (DNS) oddajajo tretji osebi, kot je IBM® NS1 Connect®, obstaja precejšnja skupnost omrežnih operaterjev, ki se raje poglobijo in zgradijo sami.

Te avtoritativne arhitekture DNS naredi sam (DIY) je mogoče sestaviti iz različnih orodij. BIND se najpogosteje uporablja kot odprtokodno orodje za upravljanje notranjega DNS-ja, vendar ga nekateri ljudje razširijo tudi na zunanji avtoritativni DNS. Drugi nadgrajujejo Microsoftove infrastrukture DNS z domačimi skripti in drugimi orodji.

Nadzor je glavni razlog, da bi izbrali sistem DIY za avtoritativni DNS. Ali pa imate morda čudno, neobičajno nastavitev omrežja, ki bi seveda zahtevala več prilagoditev, tudi če bi tretja oseba zagotovila vaš avtoritativni DNS.

Izzivi DIY avtoritativnega DNS-ja

Medtem ko ima vsak svoje razloge za sprejetje sistema DIY za avtoritativni DNS, je treba upoštevati nekaj izrazitih pomanjkljivosti:

• Sistemi DIY so krhki: Če je vaša avtoritativna infrastruktura DNS zgrajena na BIND ali Microsoftu, ste verjetno sestavili stroj Rube Goldberg skriptov, da bo deloval. Sčasoma lahko kompleksnost teh skriptov postane težko vzdrževati, ko upoštevate nove funkcionalnosti in operativne zahteve. Ena napačna poteza – ena sama napaka pri kodiranju – bi zlahka podrla vašo celotno avtoritativno infrastrukturo DNS in onemogočila vaša spletna mesta, namenjena strankam.
• Z gradnjo in vzdrževanjem je veliko dela: Potreben je čas, da začnete uporabljati osnovna orodja, kot je BIND. Ustvariti in razmestiti morate sistem. Nato ti morajo vzdrževati, kar ni majhna naloga, zlasti ko imate opravka s tako kritičnim sistemom.
• Problem, ko ga je zadel avtobus: DIY arhitekture delujejo le, dokler je oseba, ki jih je zgradila, v podjetju. Če ta oseba zapusti podjetje, njeno institucionalno znanje o tem, kako so bile zgrajene DIY arhitekture, odide z njo. Nekatera podjetja pridejo do točke, ko se bojijo karkoli spremeniti, ker bi to zelo zlahka povzročilo izpad, ki ga je težko obnoviti.
• Brez podpore za avtomatizacijo: sistemi DIY običajno ne delujejo z nobeno obliko avtomatizacije. DIY arhitekture običajno niso zgrajen za podporo standardnih platform za avtomatizacijo kot Ansible ali Terraform. Skoraj nemogoče je orkestrirati DIY arhitekture z orodjem tretjih oseb. Če imate DIY avtoritativni DNS, ste verjetno obtičali z ročnimi spremembami.

Vsi ti dejavniki običajno povzročijo več časa, energije in virov, namenjenih avtoritativnemu upravljanju DNS, kot je večina omrežnih ekip pripravljena porabiti. Sistemi DIY so pogosto dojeti kot "brezplačni", vendar vas lahko na koncu precej stanejo. Če se te težave z vzdrževanjem in upravljanjem prelijejo v izpad, je vpliv na poslovanje še močnejši.

Varnostno kopiranje sistemov DIY

Uporaba sistemov DIY za avtoritativni DNS brez kakršnega koli prožnega, redundantnega varnostnega kopiranja zahteva težave. Iskanje vira napake, zlasti če imate labirint prekrivajočih se med seboj odvisnih skriptov, je lahko nočna mora. Lahko traja nekaj dni da poiščete vir težave in ponovno vzpostavite spletno mesto. Večina operativnih skupin preprosto nima takšnega manevrskega prostora, zlasti za spletna mesta za e-trgovino in SaaS, ki neposredno vplivajo na ustvarjanje prihodkov.

Nič od tega ne pomeni, da morate popolnoma opustiti svoje DIY sisteme. To samo pomeni, da bi morali imeti načrt B, če (ali res, ko) gre kaj narobe. V idealnem primeru bi imeli odvečna rešitev na mestu, ki lahko pobere ohlapnost brez kakršnega koli vpliva na delovanje spletnega mesta. Kaj naj ta redundantni sistem vsebuje? Mislili smo, da ne boste nikoli vprašali.

• Ločena infrastruktura: Vsak redundantni avtoritativni sistem DNS bi moral biti popolnoma ločen od vaše obstoječe infrastrukture, tako da si lahko privoščite vrtenje stvari v glavnem sistemu, medtem ko iščete vir tehničnih napak.
• Podatki o uspešnosti v realnem času: Meritve bi bile pomembne tudi za varnostno kopijo DIY, da bi zagotovili, da se vse pravilno prekine in da promet ni prekinjen. To bi bilo še posebej dragoceno v primeru napada DDoS, da se ugotovi vir težave in izključi kakršen koli arhitekturni vzrok.
• Zdravstveni pregledi: Kako veste, ali spletno mesto deluje tako, kot želite? Ali mora spletno mesto preklopiti na redundantno arhitekturo, ker je zmogljivost na nek način zastarela? Potrebni so zdravstveni pregledi in opozorila, da zagotovimo, da je mogoče izpade storitev opaziti in hitro obravnavati.

IBM NS1 Connect kot varnostna kopija za DIY

Nihče ne bi smel upravljati svojega avtoritativnega DNS brez varnostne mreže. To je preprosto preveč pomembno, zlasti če je vaše spletno mesto glavni generator prihodkov. Zato NS1 Connect ponuja fizično in logično ločen sistem za redundantni avtoritativni DNS. Začeli smo ponujati Namenski DNS kot dodatek k našemu Upravljani DNS storitev, zdaj pa jo ponujamo strankam, ki želijo samo dodati ločeno, odvečno plast svoji obstoječi arhitekturi.

• Ločena infrastruktura: Namenski DNS NS1 uporablja enako robustno arhitekturo kot naša vodilna upravljana storitev DNS, vendar je nastavljen na ločeni infrastrukturi, ki je edinstvena za posamezno podjetje. Je najboljša zaščita med izpadi.
• Združljiv s katerim koli primarnim: Naša namenska storitev DNS je na voljo kot rezervni ali sekundarni sistem za katero koli vrsto primarne arhitekture. Zaradi tega je popoln za avtoritativne imenske strežnike, združljive z BIND, in DIY arhitekture. Namensko storitev DNS lahko preprosto vstavite kot sekundarno za nastavitev DIY. V trenutku se bo zavrtel in pripravljen za uporabo, če pride do nesreče.
• Podatki o uspešnosti v realnem času: Naše inovativno Funkcija DNS Insights lahko zbira kritične podatke iz katere koli nastavitve namenskega DNS-ja. Ko pride do izpada v vašem primarnem sistemu, lahko ti podatki pomagajo hitro določiti vir zunanjih težav (kot so napadi DDoS), ki so morda povzročile okvaro vašega sistema. Lahko vam pomaga, da se čim prej vrnete v primarni sistem.
• Zdravstveni pregledi: DNS vam lahko pove veliko o tem, kako delujejo vaše aplikacije, storitve in spletna mesta. NS1 Connect samodejno pošilja opozorila, da vam pove, kdaj je delovanje spletnega mesta zastarelo ali sploh ne vrača rezultatov. NS1 prav tako uporablja podatke o pregledu zdravja za sprožitev in usmerjanje logike preklopa, da se lahko izognete izpadom. Ta vrsta avtomatizacije preprosto ni na voljo v sistemih DIY.
• Enostavne selitve: NS1 Connect omogoča enostavno uporabo namenskega DNS kot sekundarnega za kateri koli sistem. Uvažanje območij in zapisov v ta sekundarni sistem z datotekami iz BIND in drugih arhitektur je preprosto v uporabniškem vmesniku NS1 Connect.

Kritična infrastruktura potrebuje redundantno plast

Zunanji avtoritativni DNS je eden najbolj kritičnih delov infrastrukture v vašem omrežju. Je tako kritičen, da si zasluži najvišjo raven zaščite in zagotovila. DIY avtoritativni DNS ponuja skrbnikom veliko nadzora, dokler zapletenost teh prekrivajočih se skriptov in orodij ne postane prevelika za podporo.

Celo najbolj izpopolnjeni, zanesljivi avtoritativni sistemi DNS se občasno kolcajo. NS1 Dedicated DNS zagotavlja brezskrbnost, ki jo potrebujete, da lučke ostanejo prižgane, tudi ko vse vaše armaturne plošče utripajo rdeče.

Izvedite več o NS1 Dedicated DNS