构建健壮的DNS系统 李孟 2013年5月18日 北京蓝汛通信技术有限责任公司 目录 DNS架构特点 DNS系统的实现 蓝汛DNS实现 近期事件分析 目录 DNS架构特点 DNS系统的实现 蓝汛DNS实现 近期事件分析 无处不在的DNS • DNS是互联网最基础服务之一 • 域名的价值和含义 • 域名互联网服务的入口 – CDN域名例外 • 攻击重灾区 DNS系统的一些特点 • 基础服务 • 具有原生集群 – 高可用性 – 择优 • 缓冲和有效时间(TTL,生存时间) – – – – 配置生效需要一定时间 权威DNS不直接接收用户请求 权威DNS通常负载比较低 业务越大解析速度越快 • 业务负载与.
Download ReportTranscript 构建健壮的DNS系统 李孟 2013年5月18日 北京蓝汛通信技术有限责任公司 目录 DNS架构特点 DNS系统的实现 蓝汛DNS实现 近期事件分析 目录 DNS架构特点 DNS系统的实现 蓝汛DNS实现 近期事件分析 无处不在的DNS • DNS是互联网最基础服务之一 • 域名的价值和含义 • 域名互联网服务的入口 – CDN域名例外 • 攻击重灾区 DNS系统的一些特点 • 基础服务 • 具有原生集群 – 高可用性 – 择优 • 缓冲和有效时间(TTL,生存时间) – – – – 配置生效需要一定时间 权威DNS不直接接收用户请求 权威DNS通常负载比较低 业务越大解析速度越快 • 业务负载与.
构建健壮的DNS系统 李孟 2013年5月18日 北京蓝汛通信技术有限责任公司 目录 DNS架构特点 DNS系统的实现 蓝汛DNS实现 近期事件分析 目录 DNS架构特点 DNS系统的实现 蓝汛DNS实现 近期事件分析 无处不在的DNS • DNS是互联网最基础服务之一 • 域名的价值和含义 • 域名互联网服务的入口 – CDN域名例外 • 攻击重灾区 DNS系统的一些特点 • 基础服务 • 具有原生集群 – 高可用性 – 择优 • 缓冲和有效时间(TTL,生存时间) – – – – 配置生效需要一定时间 权威DNS不直接接收用户请求 权威DNS通常负载比较低 业务越大解析速度越快 • 业务负载与 DNS Flood 攻击规模差异巨大 构建DNS需要考虑的因素 性能 功能 安全 稳定性 …… 兼容性 …… 兼容性就是健壮性 DNS递归 软件实现 协议建议的实现 核心协议 软件A的实现 互动 权威DNS 软件B的实现 目录 DNS架构特点 DNS系统的实现 蓝汛DNS实现 近期事件分析 DNS系统实现方式 • 域名托管 • 自建DNS系统 – 开源DNS软件 – 购买DNS产品 – 定制开发 域名托管 • • • • 低成本,易维护 提供最常用DNS功能 小流量业务下表现比自建好 要解决的问题 – 降低托管平台稳定的影响 – 保有域名控制权 – 提高抗攻击能力 自建DNS系统 • • • • • • • 至少两个异地网络环境 DNS服务器与后台服务器部署不同节点 DNS服务独占设备,权威递归分离 异构软件部署或备份 对DNS系统的监控 备用DNS 安全防护体系 目录 DNS架构特点 DNS系统的实现 蓝汛DNS实现 近期事件分析 蓝汛的DNS系统 SSR 1.0 功能实现 SSR 2.0 健壮性提升 性能优化 安全防护 减灾策略 SSR 3.0 安全性提升 集群部署 分布式部署 Subnet EDNS0 …… 架构纵深 数据纵深 • 当前配置 历史备份配置 标准DNS配置 软件缺陷纵深 • 当前版本DNS 历史版本DNS 通用DNS 部署纵深 • DNS 单机清洗节点集群分布式解析集群合 作清洗镜像解析组 测试上线纵深 • 仿真测试抽样上线单设备整组上线镜像解 析组上线 目录 DNS架构特点 DNS系统的实现 蓝汛DNS实现 近期事件分析 CloudFlare宕机故障 • CloudFlare宕机经过 思考 • • • • • DNS流量放大攻击的流行 DNS与云,云与DNS 单一设备依赖,统一的配置 生僻操作的可靠性如何保证? 自动系统,如何快速进入稳定态 串联关系的域名降低稳定性 视频页面v. example.com/ v/news/435113 Js.example.com/Load.js Flv.example.com/43aa Js.example.com CNAME js.ex.cdn1.com flv.example.com CNAME flv.ex.cdn2.com 域名依赖思考 • DNS系统与相关模块 – 不用或少用域名,必要时准备hosts文件备用 • DNS运维与其他业务域名的不同 – 不依赖域名,必要时准备hosts文件备用 • 后台服务与前台业务 – 尽量使用不同域名和不同的域名服务器 – 域名服务器复用 友情提示 2013年11月16日于上海举办华东架构师大会 已确定的架构师大会主题及演讲嘉宾 去哪儿 唐娟 海量数据的搜集和实时分析架构设计与实践 江游科技 时继江 网络游戏一键开服的架构设计与实践 金山网络 毛剑 异构数据库的实时数据同步架构设计 联系方式 联 系 人(一):会议组织者 姓 名:金 官 丁 联系电话:136 6166 8096 邮箱地址:[email protected] 即时通信:172010148(QQ),@mysqlops(新浪微博) 联 系 人(二):会议秘书 姓 名:朱 颖 丹 联系电话:136 5197 9898 邮箱地址:[email protected] 2013华东数据库技术大会 2013华东数据库技术大会 2013华东数据库技术大会 2013华东数据库技术大会 2013华东数据库技术大会 感谢您的一路相随,我们一起携手走向未来!