從零搭建企業(yè)級DNS服務(wù)器實戰(zhàn)指南
從零搭建企業(yè)級DNS:BIND+智能解析實戰(zhàn)指南
前言
搞運維這些年,DNS出問題的場景見過太多了。有一次凌晨三點被電話叫醒,整個公司業(yè)務(wù)癱瘓,查了兩個小時才發(fā)現(xiàn)是DNS服務(wù)器磁盤滿了,緩存寫不進去導(dǎo)致解析超時。還有一次更離譜,開發(fā)同事直接把測試環(huán)境的DNS配置推到了生產(chǎn),所有域名都解析到了測試服務(wù)器IP上,那個場面你可以想象。
DNS這東西看起來簡單,不就是域名解析到IP嘛,但真正在企業(yè)環(huán)境里搭建一套穩(wěn)定、高可用、支持智能解析的DNS系統(tǒng),里面的門道多著呢。今天這篇文章,我打算把這些年踩過的坑、積累的經(jīng)驗都整理出來,從零開始搭建一套企業(yè)級的DNS系統(tǒng)。
為什么選BIND?說實話市面上DNS軟件不少,PowerDNS、Unbound、CoreDNS都挺好用。但BIND畢竟是老牌選手,功能全面,文檔豐富,出了問題網(wǎng)上一搜一大堆解決方案。而且很多企業(yè)歷史遺留系統(tǒng)用的就是BIND,你不學(xué)也得學(xué)。當然后面我也會講講怎么和其他方案配合使用。
一、DNS基礎(chǔ)架構(gòu)設(shè)計
1.1 企業(yè)DNS架構(gòu)的幾種模式
在開始動手之前,先得想清楚架構(gòu)怎么設(shè)計。根據(jù)企業(yè)規(guī)模和需求不同,常見的有這么幾種模式:
單機模式
這個就不多說了,一臺服務(wù)器搞定所有事情。適合小公司或者測試環(huán)境,生產(chǎn)環(huán)境千萬別這么干,單點故障分分鐘教你做人。
主從模式
一個主DNS服務(wù)器負責維護zone文件,多個從服務(wù)器同步數(shù)據(jù)對外提供服務(wù)。這是最基礎(chǔ)的高可用方案,配置簡單,維護成本低。
主從+遞歸分離模式
把權(quán)威DNS和遞歸DNS分開部署。權(quán)威DNS只負責解析自己管理的域名,遞歸DNS負責幫客戶端查詢外部域名。這種模式安全性更好,也方便針對不同場景做優(yōu)化。
多活+智能解析模式
多個數(shù)據(jù)中心都部署DNS服務(wù)器,通過Anycast或者智能解析實現(xiàn)就近訪問。這是大廠標配,也是本文重點要講的內(nèi)容。
1.2 本次實戰(zhàn)的架構(gòu)設(shè)計
我們按照一個中等規(guī)模互聯(lián)網(wǎng)公司的需求來設(shè)計。假設(shè)公司有兩個數(shù)據(jù)中心:北京和上海,需要實現(xiàn)以下目標:
內(nèi)網(wǎng)DNS解析(辦公網(wǎng)絡(luò)、內(nèi)部系統(tǒng))
外網(wǎng)DNS解析(對外網(wǎng)站、API服務(wù))
智能解析(根據(jù)用戶地理位置返回最近的服務(wù)器IP)
高可用(任意一臺服務(wù)器掛掉不影響服務(wù))
安全加固(防止DNS放大攻擊、緩存投毒等)
架構(gòu)圖大概是這樣:
[用戶請求]
|
v
[智能DNS/GeoDNS層]
/
v v
[北京數(shù)據(jù)中心] [上海數(shù)據(jù)中心]
+--------------+ +--------------+
| DNS Master | | DNS Master |
| 10.1.1.10 |<------>| 10.2.1.10 |
+--------------+ +--------------+
| |
v v
+--------------+ +--------------+
| DNS Slave1 | | DNS Slave1 |
| 10.1.1.11 | | 10.2.1.11 |
+--------------+ +--------------+
| DNS Slave2 | | DNS Slave2 |
| 10.1.1.12 | | 10.2.1.12 |
+--------------+ +--------------+
二、BIND安裝與基礎(chǔ)配置
2.1 系統(tǒng)環(huán)境準備
本文基于Rocky Linux 9.3(RHEL系)和Ubuntu 24.04 LTS兩個主流發(fā)行版來演示。如果你用的是其他系統(tǒng),命令可能略有不同,但思路是一樣的。
先檢查下系統(tǒng)基本信息:
# 查看系統(tǒng)版本 cat /etc/os-release # 查看內(nèi)核版本 uname -r # 檢查防火墻狀態(tài) systemctl status firewalld # Rocky/RHEL systemctl status ufw # Ubuntu # 檢查SELinux狀態(tài)(如果有的話) getenforce
關(guān)于SELinux,很多人上來就關(guān)掉,我建議別這么干。SELinux確實會給BIND的配置帶來一些限制,但正確配置后它能提供額外的安全保護。后面會專門講怎么處理SELinux相關(guān)的問題。
2.2 安裝BIND
Rocky Linux / RHEL / CentOS:
# 安裝BIND和相關(guān)工具 dnf install -ybindbind-utilsbind-chroot # 檢查安裝版本 named -v # 輸出類似:BIND 9.18.24 (Extended Support Version)
Ubuntu / Debian:
# 更新包索引 apt update # 安裝BIND9 apt install -y bind9 bind9utils bind9-doc dnsutils # 檢查版本 named -v
2025年主流發(fā)行版默認安裝的是BIND 9.18或9.19版本,屬于長期支持版本,功能和安全性都有保障。
2.3 BIND目錄結(jié)構(gòu)
安裝完成后,先熟悉下BIND的目錄結(jié)構(gòu):
Rocky/RHEL系統(tǒng):
/etc/named.conf # 主配置文件 /etc/named/ # 配置文件目錄 /var/named/ # zone文件存放目錄 /var/named/data/ # 動態(tài)數(shù)據(jù)目錄 /var/named/dynamic/ # 動態(tài)DNS數(shù)據(jù) /var/named/slaves/ # 從服務(wù)器zone文件 /var/log/named/ # 日志目錄(需要手動創(chuàng)建)
Ubuntu/Debian系統(tǒng):
/etc/bind/named.conf # 主配置文件 /etc/bind/named.conf.options# 選項配置 /etc/bind/named.conf.local # 本地zone配置 /var/cache/bind/ # zone文件存放目錄 /var/log/named/ # 日志目錄
2.4 主配置文件詳解
先來看主配置文件。這里以Rocky Linux為例,配置文件是/etc/named.conf:
# 備份原配置 cp /etc/named.conf /etc/named.conf.bak # 編輯配置 vim /etc/named.conf
完整配置如下,每一行我都加了注釋:
// // named.conf - BIND主配置文件 // 企業(yè)級DNS配置示例 // 最后更新: 2025-01 // // ACL定義 - 定義可信任的網(wǎng)絡(luò)范圍 acl "trusted" { 10.0.0.0/8; // 內(nèi)網(wǎng)A類地址 172.16.0.0/12; // 內(nèi)網(wǎng)B類地址 192.168.0.0/16; // 內(nèi)網(wǎng)C類地址 localhost; // 本機 localnets; // 本地網(wǎng)絡(luò) }; acl "beijing-dc" { 10.1.0.0/16; // 北京數(shù)據(jù)中心 }; acl "shanghai-dc" { 10.2.0.0/16; // 上海數(shù)據(jù)中心 }; // 全局選項 options { // 監(jiān)聽地址和端口 listen-on port 53 { any; }; listen-on-v6 port 53 { any; }; // 數(shù)據(jù)目錄 directory "/var/named"; dump-file "/var/named/data/cache_dump.db"; statistics-file "/var/named/data/named_stats.txt"; memstatistics-file "/var/named/data/named_mem_stats.txt"; secroots-file "/var/named/data/named.secroots"; recursing-file "/var/named/data/named.recursing"; // 遞歸查詢控制 - 只允許信任的網(wǎng)絡(luò)遞歸查詢 recursion yes; allow-recursion { trusted; }; // 查詢控制 allow-query { any; }; allow-query-cache { trusted; }; // 區(qū)域傳輸控制 allow-transfer { none; }; // 默認禁止,在zone中單獨配置 // DNSSEC配置 dnssec-validation auto; // 隱藏BIND版本信息(安全加固) version "Not Available"; // 禁用ID信息查詢 server-id none; // 響應(yīng)速率限制(防止DNS放大攻擊) rate-limit { responses-per-second 10; window 5; }; // 轉(zhuǎn)發(fā)器配置(可選,用于遞歸查詢) // forwarders { // 8.8.8.8; // 114.114.114.114; // }; // forward only; // 或 forward first; // 其他優(yōu)化選項 max-cache-size 512M; // 緩存大小限制 max-cache-ttl 86400; // 最大緩存時間 max-ncache-ttl 3600; // 否定緩存時間 cleaning-interval 60; // 緩存清理間隔 // 性能調(diào)優(yōu) tcp-clients 1000; // TCP客戶端并發(fā)數(shù) recursive-clients 10000; // 遞歸客戶端并發(fā)數(shù) // IPv4優(yōu)先 prefer-ipv6 no; }; // 日志配置 logging { // 定義日志通道 channel default_log { file "/var/log/named/default.log" versions 5 size 50M; severity info; print-time yes; print-severity yes; print-category yes; }; channel query_log { file "/var/log/named/query.log" versions 10 size 100M; severity info; print-time yes; }; channel security_log { file "/var/log/named/security.log" versions 5 size 50M; severity warning; print-time yes; print-severity yes; }; channel xfer_log { file "/var/log/named/xfer.log" versions 5 size 20M; severity info; print-time yes; }; // 日志分類 category default { default_log; }; category queries { query_log; }; category security { security_log; }; category xfer-in { xfer_log; }; category xfer-out { xfer_log; }; }; // 統(tǒng)計通道(用于監(jiān)控) statistics-channels { inet 127.0.0.1 port 8053 allow { 127.0.0.1; }; }; // 根域配置 zone "." IN { type hint; file "named.ca"; }; // 本地區(qū)域 include "/etc/named.rfc1912.zones"; // 自定義區(qū)域配置 include "/etc/named/zones.conf";
2.5 創(chuàng)建日志目錄
BIND默認不會自動創(chuàng)建日志目錄,需要手動創(chuàng)建并設(shè)置權(quán)限:
# 創(chuàng)建日志目錄 mkdir -p /var/log/named # 設(shè)置權(quán)限 chown named:named /var/log/named chmod 750 /var/log/named # 如果啟用了SELinux,還需要設(shè)置上下文 semanage fcontext -a -t named_log_t"/var/log/named(/.*)?" restorecon -Rv /var/log/named
2.6 驗證配置
配置寫完之后,一定要先驗證語法再啟動服務(wù):
# 檢查主配置文件語法 named-checkconf /etc/named.conf # 如果沒有輸出就說明沒問題 # 有問題會顯示具體錯誤行號 # 啟動服務(wù) systemctl start named # 設(shè)置開機自啟 systemctlenablenamed # 查看狀態(tài) systemctl status named
三、Zone文件配置與管理
3.1 創(chuàng)建zones.conf
創(chuàng)建一個單獨的文件來管理自定義zone,方便維護:
vim /etc/named/zones.conf
內(nèi)容如下:
//
// zones.conf - 自定義區(qū)域配置
//
// 主域名區(qū)域 - example.com
zone "example.com" IN {
type master;
file "/var/named/zones/db.example.com";
allow-transfer { 10.1.1.11; 10.1.1.12; }; // 允許從服務(wù)器同步
also-notify { 10.1.1.11; 10.1.1.12; }; // 主動通知從服務(wù)器
allow-update { none; }; // 禁止動態(tài)更新
};
// 反向解析區(qū)域 - 10.1.x.x
zone "1.10.in-addr.arpa" IN {
type master;
file "/var/named/zones/db.10.1";
allow-transfer { 10.1.1.11; 10.1.1.12; };
also-notify { 10.1.1.11; 10.1.1.12; };
};
// 內(nèi)部域名區(qū)域 - internal.example.com
zone "internal.example.com" IN {
type master;
file "/var/named/zones/db.internal.example.com";
allow-transfer { 10.1.1.11; 10.1.1.12; };
allow-update { key "ddns-key"; }; // 允許DDNS更新
};
3.2 創(chuàng)建正向解析Zone文件
創(chuàng)建zone文件目錄和文件:
mkdir -p /var/named/zones vim /var/named/zones/db.example.com
Zone文件內(nèi)容:
$TTL 3600 ; 默認TTL為1小時
$ORIGIN example.com.
; SOA記錄 - 授權(quán)起始記錄
@ IN SOA ns1.example.com. admin.example.com. (
2025010701 ; Serial - 格式:YYYYMMDDNN
3600 ; Refresh - 從服務(wù)器刷新間隔
900 ; Retry - 刷新失敗后重試間隔
604800 ; Expire - 從服務(wù)器數(shù)據(jù)過期時間
86400 ; Minimum TTL - 否定緩存TTL
)
; NS記錄 - 域名服務(wù)器
IN NS ns1.example.com.
IN NS ns2.example.com.
; MX記錄 - 郵件服務(wù)器
IN MX 10 mail1.example.com.
IN MX 20 mail2.example.com.
; A記錄 - 域名服務(wù)器地址
ns1 IN A 10.1.1.10
ns2 IN A 10.1.1.11
; A記錄 - 網(wǎng)站服務(wù)器
@ IN A 10.1.100.10 ; example.com
www IN A 10.1.100.10 ; www.example.com
www IN A 10.1.100.11 ; 多A記錄實現(xiàn)負載均衡
; A記錄 - 應(yīng)用服務(wù)器
api IN A 10.1.100.20
app IN A 10.1.100.30
static IN A 10.1.100.40
; A記錄 - 郵件服務(wù)器
mail1 IN A 10.1.100.50
mail2 IN A 10.1.100.51
; A記錄 - 數(shù)據(jù)庫服務(wù)器(內(nèi)部使用)
db-master IN A 10.1.200.10
db-slave1 IN A 10.1.200.11
db-slave2 IN A 10.1.200.12
; A記錄 - 緩存服務(wù)器
redis1 IN A 10.1.200.20
redis2 IN A 10.1.200.21
; CNAME記錄 - 別名
cdn IN CNAME cdn.cloudprovider.com.
mysql IN CNAME db-master.example.com.
; TXT記錄 - SPF記錄(郵件安全)
@ IN TXT "v=spf1 mx ip4:10.1.100.0/24 -all"
; TXT記錄 - DKIM
dkim._domainkey IN TXT "v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3..."
; TXT記錄 - 域名驗證(用于SSL證書等)
_acme-challenge IN TXT "驗證碼會放在這里"
; SRV記錄 - 服務(wù)發(fā)現(xiàn)
_ldap._tcp IN SRV 0 100 389 ldap.example.com.
_kerberos._udp IN SRV 0 100 88 kdc.example.com.
; CAA記錄 - 證書授權(quán)
@ IN CAA 0 issue "letsencrypt.org"
@ IN CAA 0 issuewild "letsencrypt.org"
@ IN CAA 0 iodef "mailto:admin@example.com"
3.3 創(chuàng)建反向解析Zone文件
vim /var/named/zones/db.10.1
內(nèi)容:
$TTL 3600
$ORIGIN 1.10.in-addr.arpa.
@ IN SOA ns1.example.com. admin.example.com. (
2025010701
3600
900
604800
86400
)
IN NS ns1.example.com.
IN NS ns2.example.com.
; PTR記錄 - IP到域名的反向映射
10.1 IN PTR ns1.example.com.
11.1 IN PTR ns2.example.com.
10.100 IN PTR www.example.com.
11.100 IN PTR www.example.com.
20.100 IN PTR api.example.com.
30.100 IN PTR app.example.com.
50.100 IN PTR mail1.example.com.
51.100 IN PTR mail2.example.com.
10.200 IN PTR db-master.example.com.
3.4 設(shè)置文件權(quán)限
# 設(shè)置zone文件目錄權(quán)限 chown -R named:named /var/named/zones chmod 640 /var/named/zones/* # SELinux上下文 semanage fcontext -a -t named_zone_t"/var/named/zones(/.*)?" restorecon -Rv /var/named/zones
3.5 驗證Zone文件
# 檢查zone文件語法 named-checkzone example.com /var/named/zones/db.example.com # 輸出示例: # zone example.com/IN: loaded serial 2025010701 # OK # 檢查反向zone named-checkzone 1.10.in-addr.arpa /var/named/zones/db.10.1 # 重新加載配置 rndc reload # 或者只重新加載某個zone rndc reload example.com
3.6 測試DNS解析
# 測試A記錄 dig @localhost www.example.com # 測試反向解析 dig @localhost -x 10.1.100.10 # 測試MX記錄 dig @localhost example.com MX # 測試TXT記錄 dig @localhost example.com TXT # 簡潔輸出 dig @localhost www.example.com +short # 跟蹤解析過程 dig @localhost www.example.com +trace
四、主從復(fù)制配置
4.1 主服務(wù)器配置
主服務(wù)器的配置在前面已經(jīng)包含了,關(guān)鍵配置項是:
zone "example.com" IN {
type master;
file "/var/named/zones/db.example.com";
allow-transfer { 10.1.1.11; 10.1.1.12; }; // 允許這些IP拉取zone
also-notify { 10.1.1.11; 10.1.1.12; }; // zone更新時主動通知
};
4.2 從服務(wù)器配置
在從服務(wù)器上,修改/etc/named.conf中的zone配置:
zone "example.com" IN {
type slave;
file "/var/named/slaves/db.example.com";
masters { 10.1.1.10; }; // 主服務(wù)器地址
allow-notify { 10.1.1.10; }; // 允許主服務(wù)器發(fā)送通知
allow-transfer { none; }; // 從服務(wù)器不允許再傳輸
};
zone "1.10.in-addr.arpa" IN {
type slave;
file "/var/named/slaves/db.10.1";
masters { 10.1.1.10; };
};
4.3 創(chuàng)建從服務(wù)器目錄
# 從服務(wù)器上執(zhí)行 mkdir -p /var/named/slaves chown named:named /var/named/slaves chmod 770 /var/named/slaves # SELinux上下文 semanage fcontext -a -t named_cache_t"/var/named/slaves(/.*)?" restorecon -Rv /var/named/slaves
4.4 測試主從同步
# 主服務(wù)器上更新zone文件 # 記得增加Serial號! # 重新加載 rndc reload # 查看從服務(wù)器日志 tail -f /var/log/named/xfer.log # 應(yīng)該看到類似: # transfer of 'example.com/IN' from 10.1.1.10#53: Transfer completed # 在從服務(wù)器上測試解析 dig @localhost www.example.com
4.5 TSIG密鑰認證
為了安全,主從之間的zone傳輸最好使用TSIG密鑰認證:
# 生成TSIG密鑰 tsig-keygen -a hmac-sha256 xfer-key > /etc/named/xfer-key.conf # 查看生成的密鑰 cat /etc/named/xfer-key.conf
輸出類似:
key "xfer-key" {
algorithm hmac-sha256;
secret "生成的密鑰內(nèi)容";
};
在主服務(wù)器配置中添加:
// 引入密鑰
include "/etc/named/xfer-key.conf";
// 配置使用密鑰的服務(wù)器
server 10.1.1.11 {
keys { xfer-key; };
};
server 10.1.1.12 {
keys { xfer-key; };
};
// zone配置
zone "example.com" IN {
type master;
file "/var/named/zones/db.example.com";
allow-transfer { key xfer-key; }; // 只允許持有密鑰的服務(wù)器傳輸
also-notify { 10.1.1.11; 10.1.1.12; };
};
在從服務(wù)器配置中:
include "/etc/named/xfer-key.conf";
server 10.1.1.10 {
keys { xfer-key; };
};
zone "example.com" IN {
type slave;
file "/var/named/slaves/db.example.com";
masters { 10.1.1.10 key xfer-key; };
};
五、智能解析(GeoDNS)配置
5.1 智能解析原理
智能解析的核心思想是根據(jù)客戶端的來源IP,返回最近或最優(yōu)的服務(wù)器地址。實現(xiàn)方式有幾種:
BIND View:BIND內(nèi)置功能,根據(jù)源IP匹配不同的view,返回不同結(jié)果
GeoIP模塊:使用MaxMind GeoIP數(shù)據(jù)庫,根據(jù)地理位置解析
外部程序:通過DLZ(Dynamically Loadable Zones)調(diào)用外部程序或數(shù)據(jù)庫
這里主要講BIND View和GeoIP兩種方式。
5.2 使用BIND View實現(xiàn)智能解析
View是BIND的一個強大功能,可以根據(jù)客戶端IP返回不同的解析結(jié)果。
修改/etc/named.conf:
// ACL定義
acl "internal" {
10.0.0.0/8;
172.16.0.0/12;
192.168.0.0/16;
};
acl "telecom" {
// 電信IP段(示例,實際需要完整的IP庫)
202.96.0.0/12;
222.64.0.0/11;
// ... 更多電信IP段
};
acl "unicom" {
// 聯(lián)通IP段
60.0.0.0/11;
221.0.0.0/12;
// ... 更多聯(lián)通IP段
};
acl "mobile" {
// 移動IP段
211.136.0.0/13;
223.64.0.0/10;
// ... 更多移動IP段
};
// 內(nèi)網(wǎng)視圖
view "internal" {
match-clients { internal; };
// 遞歸查詢
recursion yes;
// 根域
zone "." IN {
type hint;
file "named.ca";
};
// 內(nèi)網(wǎng)區(qū)域
zone "example.com" IN {
type master;
file "/var/named/zones/internal/db.example.com";
};
// 其他內(nèi)部zone...
};
// 電信視圖
view "telecom" {
match-clients { telecom; };
recursion no; // 外網(wǎng)不允許遞歸
zone "example.com" IN {
type master;
file "/var/named/zones/telecom/db.example.com";
};
};
// 聯(lián)通視圖
view "unicom" {
match-clients { unicom; };
recursion no;
zone "example.com" IN {
type master;
file "/var/named/zones/unicom/db.example.com";
};
};
// 默認視圖(其他IP)
view "default" {
match-clients { any; };
recursion no;
zone "example.com" IN {
type master;
file "/var/named/zones/default/db.example.com";
};
};
創(chuàng)建不同運營商的zone文件:
mkdir -p /var/named/zones/{internal,telecom,unicom,mobile,default}
# 電信zone - 返回電信機房IP
cat > /var/named/zones/telecom/db.example.com < /var/named/zones/unicom/db.example.com <
5.3 使用GeoIP實現(xiàn)地理位置解析
BIND 9.18+支持GeoIP2數(shù)據(jù)庫,可以實現(xiàn)更精細的地理位置解析。
首先安裝GeoIP數(shù)據(jù)庫:
# 安裝GeoIP工具
dnf install -y libmaxminddb libmaxminddb-devel geoipupdate
# 配置GeoIP更新
vim /etc/GeoIP.conf
GeoIP配置文件:
AccountID 你的賬戶ID
LicenseKey 你的License密鑰
EditionIDs GeoLite2-City GeoLite2-Country GeoLite2-ASN
# 更新GeoIP數(shù)據(jù)庫
geoipupdate
# 數(shù)據(jù)庫默認位置
ls -la /usr/share/GeoIP/
在BIND配置中啟用GeoIP:
options {
// 其他配置...
geoip-directory "/usr/share/GeoIP";
};
// 定義地理位置ACL
acl "china-north" {
geoip country CN;
geoip region BJ; // 北京
geoip region HE; // 河北
geoip region TJ; // 天津
geoip region SD; // 山東
geoip region SX; // 山西
geoip region NM; // 內(nèi)蒙古
geoip region LN; // 遼寧
geoip region JL; // 吉林
geoip region HL; // 黑龍江
};
acl "china-south" {
geoip country CN;
geoip region GD; // 廣東
geoip region GX; // 廣西
geoip region HI; // 海南
geoip region FJ; // 福建
// ... 更多南方省份
};
acl "asia-pacific" {
geoip country JP;
geoip country KR;
geoip country SG;
geoip country HK;
geoip country TW;
};
// 使用地理位置視圖
view "china-north" {
match-clients { china-north; };
zone "example.com" IN {
type master;
file "/var/named/zones/china-north/db.example.com";
};
};
view "china-south" {
match-clients { china-south; };
zone "example.com" IN {
type master;
file "/var/named/zones/china-south/db.example.com";
};
};
5.4 智能解析的運營商IP庫
實際生產(chǎn)環(huán)境中,國內(nèi)運營商IP段是會變化的。可以使用以下幾種方式獲取和維護:
方式一:使用第三方IP庫
# 下載ipip.net提供的免費IP庫
wget https://raw.githubusercontent.com/17mon/china_ip_list/master/china_ip_list.txt
# 轉(zhuǎn)換成BIND ACL格式
awk'{print $1";"}'china_ip_list.txt > /etc/named/china-ip.acl
方式二:使用自動更新腳本
#!/bin/bash
# update-ip-acl.sh - 自動更新運營商IP ACL
ACL_DIR="/etc/named/acl"
mkdir -p$ACL_DIR
# 下載最新IP庫
curl -s"http://ip.bczs.net/country/CN"| grep -oE"([0-9]{1,3}.){3}[0-9]{1,3}/[0-9]+"> /tmp/china_ip.txt
# 生成電信ACL(需要運營商IP庫)
# 這里只是示例,實際需要對接準確的IP庫
echo'acl "telecom" {'>$ACL_DIR/telecom.acl
cat /path/to/telecom_ip.txt |whilereadip;do
echo" $ip;"
done>>$ACL_DIR/telecom.acl
echo'};'>>$ACL_DIR/telecom.acl
# 重新加載BIND
rndc reload
echo"IP ACL updated at$(date)"
配置定時任務(wù):
# 每天凌晨3點更新IP庫
0 3 * * * /opt/scripts/update-ip-acl.sh >> /var/log/ip-acl-update.log 2>&1
5.5 DNS Anycast部署
對于大規(guī)模部署,Anycast是比View更優(yōu)雅的解決方案。Anycast讓多個服務(wù)器使用同一個IP地址,通過BGP路由實現(xiàn)就近訪問。
Anycast部署需要:
自有AS號和IP段
與上游ISP建立BGP對等
多個數(shù)據(jù)中心部署DNS服務(wù)器
BGP配置示例(以Bird為例):
# /etc/bird/bird.conf
router id 10.1.1.10;
protocol kernel {
scan time 60;
import none;
export all;
}
protocol device {
scan time 60;
}
protocol static {
route 192.0.2.53/32 via "lo"; # Anycast VIP
}
protocol bgp upstream1 {
local as 65001;
neighbor 10.1.0.1 as 64512;
import none;
export where net = 192.0.2.53/32;
# 健康檢查
# 如果DNS服務(wù)掛了,撤回路由宣告
}
健康檢查腳本:
#!/bin/bash
# check-dns-health.sh
DNS_IP="192.0.2.53"
TEST_DOMAIN="health.example.com"
# 檢查DNS響應(yīng)
ifdig @$DNS_IP$TEST_DOMAIN+short +time=2 | grep -q"1.2.3.4";then
# DNS正常,確保路由宣告
birdcenableupstream1
else
# DNS異常,撤回路由
birdcdisableupstream1
fi
六、DNSSEC配置
6.1 DNSSEC概述
DNSSEC(DNS Security Extensions)通過數(shù)字簽名保護DNS數(shù)據(jù)的完整性和真實性,防止DNS緩存投毒和中間人攻擊。
雖然配置起來稍微麻煩一點,但對于企業(yè)級DNS來說,DNSSEC是必須考慮的安全措施。
6.2 生成DNSSEC密鑰
# 創(chuàng)建密鑰目錄
mkdir -p /var/named/keys
cd/var/named/keys
# 生成ZSK(Zone Signing Key)
# 用于簽署zone中的記錄,建議定期輪換
dnssec-keygen -a ECDSAP256SHA256 -n ZONE example.com
# 生成KSK(Key Signing Key)
# 用于簽署ZSK,這個密鑰對應(yīng)DS記錄
dnssec-keygen -a ECDSAP256SHA256 -n ZONE -f KSK example.com
# 查看生成的密鑰文件
ls -la
# Kexample.com.+013+12345.key # 公鑰
# Kexample.com.+013+12345.private # 私鑰
# Kexample.com.+013+54321.key # KSK公鑰
# Kexample.com.+013+54321.private # KSK私鑰
6.3 配置自動簽名
修改zone配置啟用自動簽名:
zone "example.com" IN {
type master;
file "/var/named/zones/db.example.com";
// 啟用自動DNSSEC簽名
dnssec-policy default;
inline-signing yes;
allow-transfer { key xfer-key; };
};
或者使用自定義策略:
dnssec-policy "enterprise" {
// KSK配置
keys {
ksk lifetime P1Y algorithm ecdsap256sha256;
zsk lifetime P30D algorithm ecdsap256sha256;
};
// 簽名有效期
signatures-validity P14D;
signatures-refresh P7D;
// 密鑰輪換參數(shù)
dnskey-ttl PT1H;
publish-safety PT1H;
retire-safety PT1H;
// 父區(qū)域DS記錄TTL
parent-ds-ttl P1D;
parent-propagation-delay PT1H;
parent-registration-delay P1D;
};
zone "example.com" IN {
type master;
file "/var/named/zones/db.example.com";
dnssec-policy "enterprise";
inline-signing yes;
};
6.4 獲取DS記錄
簽名完成后,需要將DS記錄提交給上級域名注冊商:
# 查看DNSKEY記錄
dig @localhost example.com DNSKEY
# 生成DS記錄
dnssec-dsfromkey -2 /var/named/keys/Kexample.com.+013+54321.key
# 輸出類似:
# example.com. IN DS 54321 13 2 AB1234...
# 將這條DS記錄添加到域名注冊商的DNS設(shè)置中
6.5 驗證DNSSEC
# 測試DNSSEC是否生效
dig @localhost example.com +dnssec
# 應(yīng)該看到 flags 中有 ad (Authenticated Data)
# 使用在線工具驗證
# https://dnsviz.net
# https://dnssec-analyzer.verisignlabs.com
七、動態(tài)DNS(DDNS)配置
7.1 DDNS應(yīng)用場景
動態(tài)DNS允許客戶端動態(tài)更新DNS記錄,常用于:
DHCP環(huán)境下的主機名自動注冊
Kubernetes集群的服務(wù)發(fā)現(xiàn)
動態(tài)IP環(huán)境下的域名綁定
7.2 生成DDNS密鑰
# 生成TSIG密鑰
tsig-keygen -a hmac-sha256 ddns-key > /etc/named/ddns-key.conf
chmod 640 /etc/named/ddns-key.conf
chown root:named /etc/named/ddns-key.conf
7.3 配置允許動態(tài)更新的zone
include "/etc/named/ddns-key.conf";
zone "dynamic.example.com" IN {
type master;
file "/var/named/dynamic/db.dynamic.example.com";
// 允許使用密鑰的客戶端更新
allow-update { key ddns-key; };
// 也可以限制更新的記錄類型
update-policy {
grant ddns-key name *.dynamic.example.com A TXT;
grant ddns-key name *.dynamic.example.com AAAA;
};
};
7.4 動態(tài)更新操作
使用nsupdate命令更新記錄:
# 交互式更新
nsupdate -k /etc/named/ddns-key.conf << EOF
server 10.1.1.10
zone dynamic.example.com
update delete test.dynamic.example.com A
update add test.dynamic.example.com 300 A 10.1.100.99
send
EOF
# 驗證更新
dig @localhost test.dynamic.example.com
7.5 與DHCP集成
如果使用ISC DHCP服務(wù)器,可以配置自動DNS注冊:
# /etc/dhcp/dhcpd.conf
# DDNS配置
ddns-updates on;
ddns-update-style interim;
update-static-leases on;
# 密鑰
include "/etc/named/ddns-key.conf";
# 正向zone
zone dynamic.example.com. {
primary 10.1.1.10;
key ddns-key;
}
# 反向zone
zone 1.10.in-addr.arpa. {
primary 10.1.1.10;
key ddns-key;
}
# 子網(wǎng)配置
subnet 10.1.100.0 netmask 255.255.255.0 {
range 10.1.100.100 10.1.100.200;
option routers 10.1.100.1;
option domain-name "dynamic.example.com";
option domain-name-servers 10.1.1.10, 10.1.1.11;
ddns-domainname "dynamic.example.com.";
ddns-rev-domainname "in-addr.arpa.";
}
八、性能優(yōu)化
8.1 系統(tǒng)層面優(yōu)化
文件描述符限制
# /etc/security/limits.conf
named soft nofile 65535
named hard nofile 65535
# 驗證
su - named -s /bin/bash -c'ulimit -n'
內(nèi)核參數(shù)優(yōu)化
# /etc/sysctl.d/99-dns.conf
# 增加本地端口范圍
net.ipv4.ip_local_port_range = 1024 65535
# UDP緩沖區(qū)
net.core.rmem_max = 16777216
net.core.wmem_max = 16777216
net.core.rmem_default = 262144
net.core.wmem_default = 262144
# TCP優(yōu)化
net.ipv4.tcp_max_syn_backlog = 65535
net.core.somaxconn = 65535
# 應(yīng)用配置
sysctl -p /etc/sysctl.d/99-dns.conf
8.2 BIND配置優(yōu)化
options {
// 性能相關(guān)
recursive-clients 50000; // 遞歸客戶端并發(fā)數(shù)
tcp-clients 2000; // TCP客戶端并發(fā)數(shù)
clients-per-query 100; // 每個查詢的客戶端數(shù)
max-clients-per-query 500; // 最大值
// 緩存優(yōu)化
max-cache-size 2G; // 緩存大小(根據(jù)內(nèi)存調(diào)整)
max-cache-ttl 86400; // 最大緩存TTL
max-ncache-ttl 600; // 否定緩存TTL
// 減少不必要的查詢
minimal-responses yes; // 最小響應(yīng)
minimal-any yes; // 最小ANY響應(yīng)
// EDNS優(yōu)化
edns-udp-size 4096;
max-udp-size 4096;
// 工作線程(根據(jù)CPU核心數(shù)調(diào)整)
// BIND 9.18+自動優(yōu)化,一般不需要手動設(shè)置
};
8.3 響應(yīng)速率限制(RRL)
防止DNS放大攻擊,但要注意不要影響正常業(yè)務(wù):
options {
rate-limit {
// 相同查詢的響應(yīng)限制
responses-per-second 20;
// 滑動窗口大小
window 5;
// 錯誤響應(yīng)限制
errors-per-second 5;
// NXDOMAIN響應(yīng)限制
nxdomains-per-second 5;
// 排除內(nèi)網(wǎng)
exempt-clients { 10.0.0.0/8; };
// 日志
log-only no;
};
};
8.4 緩存預(yù)熱
對于熱點域名,可以在啟動時預(yù)熱緩存:
#!/bin/bash
# cache-warmup.sh
DOMAINS="
www.example.com
api.example.com
static.example.com
cdn.example.com
"
fordomainin$DOMAINS;do
dig$domain+short > /dev/null 2>&1
dig$domainAAAA +short > /dev/null 2>&1
done
echo"Cache warmup completed at$(date)"
九、監(jiān)控與告警
9.1 BIND統(tǒng)計信息
BIND內(nèi)置了統(tǒng)計功能,前面已經(jīng)配置了統(tǒng)計通道:
statistics-channels {
inet 127.0.0.1 port 8053 allow { 127.0.0.1; };
};
獲取統(tǒng)計信息:
# XML格式
curl http://127.0.0.1:8053/xml/v3/server
# JSON格式(BIND 9.18+)
curl http://127.0.0.1:8053/json/v1/server
# 使用rndc
rndc stats
cat /var/named/data/named_stats.txt
9.2 Prometheus監(jiān)控
使用bind_exporter導(dǎo)出Prometheus指標:
# 安裝bind_exporter
wget https://github.com/prometheus-community/bind_exporter/releases/download/v0.7.0/bind_exporter-0.7.0.linux-amd64.tar.gz
tar xvf bind_exporter-0.7.0.linux-amd64.tar.gz
cp bind_exporter-0.7.0.linux-amd64/bind_exporter /usr/local/bin/
# 創(chuàng)建systemd服務(wù)
cat > /etc/systemd/system/bind_exporter.service <
Prometheus配置:
# prometheus.yml
scrape_configs:
-job_name:'bind'
static_configs:
-targets:
-'10.1.1.10:9119'
-'10.1.1.11:9119'
-'10.1.1.12:9119'
9.3 關(guān)鍵監(jiān)控指標
需要關(guān)注的核心指標:
# QPS(每秒查詢數(shù))
bind_resolver_queries_total
# 查詢響應(yīng)時間
bind_resolver_response_time_seconds
# 緩存命中率
bind_resolver_cache_hits / (bind_resolver_cache_hits + bind_resolver_cache_misses)
# 遞歸查詢
bind_resolver_recursion_clients
# 錯誤率
bind_resolver_query_errors_total
9.4 Grafana Dashboard
關(guān)鍵的監(jiān)控面板應(yīng)該包括:
總覽面板
集群QPS
平均響應(yīng)時間
錯誤率
服務(wù)狀態(tài)
性能面板
緩存命中率
遞歸查詢數(shù)
區(qū)域傳輸狀態(tài)
內(nèi)存使用
安全面板
RRL觸發(fā)次數(shù)
異常查詢模式
來源IP分布
9.5 告警規(guī)則
Prometheus告警規(guī)則示例:
# bind_alerts.yml
groups:
-name:bind
rules:
# DNS服務(wù)不可用
-alert:BindDown
expr:up{job="bind"}==0
for:1m
labels:
severity:critical
annotations:
summary:"BIND服務(wù)器{{ $labels.instance }}不可用"
# 高QPS
-alert:BindHighQPS
expr:rate(bind_resolver_queries_total[5m])>10000
for:5m
labels:
severity:warning
annotations:
summary:"BIND服務(wù)器{{ $labels.instance }}QPS過高"
# 低緩存命中率
-alert:BindLowCacheHitRate
expr:|
(bind_resolver_cache_hits /
(bind_resolver_cache_hits + bind_resolver_cache_misses)) < 0.8
? ? ? ??for:?10m
? ? ? ??labels:
? ? ? ? ??severity:?warning
? ? ? ??annotations:
? ? ? ? ??summary:?"BIND緩存命中率低于80%"
? ? ??# 高錯誤率
? ? ??-?alert:?BindHighErrorRate
? ? ? ??expr:?|
? ? ? ? ? rate(bind_resolver_query_errors_total[5m]) /
? ? ? ? ? rate(bind_resolver_queries_total[5m]) > 0.01
for:5m
labels:
severity:warning
annotations:
summary:"BIND查詢錯誤率超過1%"
十、故障排查指南
10.1 常見問題及解決方案
問題一:BIND啟動失敗
# 查看詳細錯誤
systemctl status named -l
journalctl -u named -n 100
# 常見原因:
# 1. 配置文件語法錯誤
named-checkconf /etc/named.conf
# 2. zone文件語法錯誤
named-checkzone example.com /var/named/zones/db.example.com
# 3. 權(quán)限問題
ls -la /var/named/
chown -R named:named /var/named/
# 4. SELinux問題
ausearch -m avc -ts recent
# 臨時關(guān)閉SELinux測試
setenforce 0
問題二:zone傳輸失敗
# 查看傳輸日志
tail -f /var/log/named/xfer.log
# 常見原因:
# 1. 防火墻阻止
firewall-cmd --list-all
firewall-cmd --add-service=dns --permanent
firewall-cmd --add-port=53/tcp --permanent
# 2. ACL配置問題
# 檢查allow-transfer配置
# 3. TSIG密鑰不匹配
# 確保主從服務(wù)器使用相同的密鑰
# 4. Serial號問題
# 主服務(wù)器Serial必須比從服務(wù)器大
問題三:解析超時或無響應(yīng)
# 測試本地解析
dig @127.0.0.1 www.example.com +time=5
# 檢查服務(wù)監(jiān)聽
ss -ulnp | grep :53
ss -tlnp | grep :53
# 檢查遞歸配置
# 確保allow-recursion包含客戶端IP
# 檢查上游DNS(如果配置了forwarders)
dig @8.8.8.8 google.com
# 檢查網(wǎng)絡(luò)連通性
traceroute 8.8.8.8
問題四:DNSSEC驗證失敗
# 檢查DNSSEC簽名
dig @localhost example.com +dnssec +multi
# 驗證鏈
delv example.com
# 檢查密鑰狀態(tài)
rndc signing -list example.com
# 檢查系統(tǒng)時間
# DNSSEC對時間敏感
timedatectl status
問題五:內(nèi)存占用過高
# 查看內(nèi)存使用
rndc status
# 查看緩存大小
rndc stats
grep"cache"/var/named/data/named_stats.txt
# 解決方案:
# 1. 限制緩存大小
# max-cache-size 512M;
# 2. 清理緩存
rndc flush
10.2 調(diào)試技巧
啟用調(diào)試日志
logging {
channel debug_log {
file "/var/log/named/debug.log" versions 3 size 100M;
severity debug 3; // 調(diào)試級別1-99
print-time yes;
print-severity yes;
print-category yes;
};
category default { debug_log; };
category resolver { debug_log; };
};
使用rndc命令
# 查看狀態(tài)
rndc status
# 重新加載配置
rndc reconfig
# 重新加載zone
rndc reload example.com
# 清理緩存
rndc flush
# 清理指定域名緩存
rndc flushname www.example.com
# 轉(zhuǎn)儲緩存到文件
rndc dumpdb -cache
cat /var/named/data/cache_dump.db | grep www.example.com
# 查看遞歸客戶端
rndc recursing
# 停止/啟動查詢?nèi)罩?rndc querylog on
rndc querylog off
抓包分析
# 抓取DNS流量
tcpdump -i any port 53 -nn -vv
# 保存到文件用wireshark分析
tcpdump -i any port 53 -w /tmp/dns.pcap
# 過濾特定域名
tcpdump -i any port 53 and host 10.1.1.10
10.3 性能問題排查
# 查看當前連接數(shù)
ss -s
ss -ulnp | grep named | wc -l
# 查看查詢統(tǒng)計
rndc stats
grep"queries"/var/named/data/named_stats.txt
# 查看熱點查詢
# 開啟查詢?nèi)罩竞蠓治?awk'{print $4}'/var/log/named/query.log | sort | uniq -c | sort -rn | head -20
# 檢查慢查詢
# 分析響應(yīng)時間
十一、安全加固
11.1 基礎(chǔ)安全配置
options {
// 隱藏版本信息
version "Not Available";
hostname "Not Available";
server-id none;
// 禁用不需要的功能
allow-update { none; };
allow-transfer { none; };
// 限制遞歸
recursion yes;
allow-recursion { trusted; };
// 禁用CHAOS查詢
// 防止信息泄露
};
// 禁用版本查詢
zone "bind" chaos {
type master;
file "/etc/named/bind.zone";
allow-query { none; };
};
zone "version.bind" chaos {
type master;
file "/etc/named/version.zone";
allow-query { none; };
};
11.2 防火墻配置
# firewalld
firewall-cmd --permanent --add-service=dns
firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="10.0.0.0/8" port port="53" protocol="tcp" accept'
firewall-cmd --reload
# iptables
iptables -A INPUT -p udp --dport 53 -j ACCEPT
iptables -A INPUT -p tcp --dport 53 -j ACCEPT
iptables -A INPUT -p udp --dport 53 -m hashlimit --hashlimit-above 100/sec --hashlimit-mode srcip --hashlimit-name dns -j DROP
11.3 Chroot環(huán)境
BIND可以運行在chroot環(huán)境中,增加安全性:
# Rocky/RHEL已安裝bind-chroot包
systemctl stop named
systemctldisablenamed
# 使用chroot版本
systemctl start named-chroot
systemctlenablenamed-chroot
# 配置文件位置變化
# /etc/named.conf -> /var/named/chroot/etc/named.conf
# /var/named -> /var/named/chroot/var/named
11.4 安全審計
定期檢查安全狀態(tài):
#!/bin/bash
# security-audit.sh
echo"=== BIND安全審計報告 ==="
echo"日期:$(date)"
echo
echo"1. 版本信息檢查"
dig @localhost version.bind chaos txt +short
echo
echo"2. 遞歸查詢檢查"
dig @localhost example.com +norecurse
echo
echo"3. 區(qū)域傳輸檢查"
dig @localhost example.com axfr
echo
echo"4. 開放端口檢查"
ss -ulnp | grep :53
ss -tlnp | grep :53
echo
echo"5. 進程權(quán)限檢查"
ps aux | grep named
echo
echo"6. 配置文件權(quán)限"
ls -la /etc/named.conf
ls -la /var/named/
十二、運維自動化
12.1 Ansible自動化部署
創(chuàng)建Ansible角色來自動化DNS部署:
# roles/bind/tasks/main.yml
---
-name:InstallBINDpackages
dnf:
name:
-bind
-bind-utils
-bind-chroot
state:present
-name:Createdirectories
file:
path:"{{ item }}"
state:directory
owner:named
group:named
mode:'0750'
loop:
-/var/log/named
-/var/named/zones
-/var/named/keys
-name:Deploynamed.conf
template:
src:named.conf.j2
dest:/etc/named.conf
owner:root
group:named
mode:'0640'
validate:named-checkconf%s
notify:restartnamed
-name:Deployzonefiles
template:
src:"db.{{ item }}.j2"
dest:"/var/named/zones/db.{{ item }}"
owner:named
group:named
mode:'0640'
loop:"{{ dns_zones }}"
notify:reloadnamed
-name:Configurefirewall
firewalld:
service:dns
permanent:yes
state:enabled
notify:reloadfirewall
-name:StartandenableBIND
systemd:
name:named
state:started
enabled:yes
# roles/bind/handlers/main.yml
---
-name:restartnamed
systemd:
name:named
state:restarted
-name:reloadnamed
command:rndcreload
-name:reloadfirewall
command:firewall-cmd--reload
12.2 Zone文件自動化管理
使用Git管理zone文件變更:
# 初始化Git倉庫
cd/var/named/zones
git init
git add .
git commit -m"Initial commit"
# 創(chuàng)建更新腳本
cat > /opt/scripts/update-dns-zone.sh <
12.3 CI/CD集成
GitLab CI示例:
# .gitlab-ci.yml
stages:
-validate
-deploy
validate:
stage:validate
script:
-named-checkconfnamed.conf
-forzoneinzones/*.zone;do
zone_name=$(basename$zone.zone|sed's/^db.//');
named-checkzone$zone_name$zone;
done
only:
-merge_requests
-master
deploy_staging:
stage:deploy
script:
-ansible-playbook-iinventory/stagingdeploy-dns.yml
environment:
name:staging
only:
-master
deploy_production:
stage:deploy
script:
-ansible-playbook-iinventory/productiondeploy-dns.yml
environment:
name:production
when:manual
only:
-master
十三、實戰(zhàn)案例
13.1 案例一:電商大促流量調(diào)度
背景:某電商公司在雙11大促期間,需要根據(jù)用戶來源和服務(wù)器負載動態(tài)調(diào)整DNS解析。
解決方案:
// 基于權(quán)重的負載均衡
// 使用多個A記錄實現(xiàn)簡單輪詢
zone "shop.example.com" IN {
type master;
file "/var/named/zones/db.shop.example.com";
// 啟用RRSET順序隨機化
rrset-order {
type A name "www.shop.example.com" order random;
};
};
// zone文件中配置多個A記錄
// www IN A 10.1.100.1
// www IN A 10.1.100.2
// www IN A 10.1.100.3
動態(tài)權(quán)重調(diào)整腳本:
#!/bin/bash
# dynamic-dns-weight.sh
# 根據(jù)服務(wù)器負載調(diào)整DNS權(quán)重
ZONE_FILE="/var/named/zones/db.shop.example.com"
SERVERS=("10.1.100.1""10.1.100.2""10.1.100.3")
forserverin"${SERVERS[@]}";do
# 獲取服務(wù)器負載
load=$(ssh$server'cat /proc/loadavg | cut -d" " -f1')
if(( $(echo"$load> 10"| bc -l) ));then
# 高負載,減少權(quán)重(刪除一個A記錄)
sed -i"/www.*IN.*A.*$server/d"$ZONE_FILE
elif(( $(echo"$load< 5"?| bc -l) ));?then
? ? ? ??# 低負載,增加權(quán)重(添加A記錄)
? ? ? ??if?! grep -q?"www.*IN.*A.*$server"?$ZONE_FILE;?then
? ? ? ? ? ??echo?"www ? ? IN ?A ? ? ??$server"?>>$ZONE_FILE
fi
fi
done
# 更新Serial并重載
/opt/scripts/update-serial.sh$ZONE_FILE
rndc reload shop.example.com
13.2 案例二:多數(shù)據(jù)中心災(zāi)備切換
背景:公司在北京和上海有兩個數(shù)據(jù)中心,平時北京為主、上海為備,故障時需要快速切換。
方案設(shè)計:
// 主配置 - 正常狀態(tài)返回北京IP
zone "api.example.com" IN {
type master;
file "/var/named/zones/primary/db.api.example.com";
};
// 備用配置文件
// /var/named/zones/failover/db.api.example.com
切換腳本:
#!/bin/bash
# failover-switch.sh
ACTION=$1# "failover" or "failback"
ZONE="api.example.com"
PRIMARY_ZONE="/var/named/zones/primary/db.$ZONE"
FAILOVER_ZONE="/var/named/zones/failover/db.$ZONE"
ACTIVE_ZONE="/var/named/zones/db.$ZONE"
case$ACTIONin
failover)
echo"Switching to DR site..."
cp$FAILOVER_ZONE$ACTIVE_ZONE
;;
failback)
echo"Switching back to primary site..."
cp$PRIMARY_ZONE$ACTIVE_ZONE
;;
*)
echo"Usage:$0{failover|failback}"
exit1
;;
esac
# 更新Serial
/opt/scripts/update-serial.sh$ACTIVE_ZONE
# 重載zone
rndc reload$ZONE
# 清理所有DNS服務(wù)器緩存
fordnsin10.1.1.10 10.1.1.11 10.2.1.10 10.2.1.11;do
ssh$dns"rndc flushname$ZONE"
done
# 發(fā)送通知
/opt/scripts/send-alert.sh"DNS Failover:$ACTIONcompleted for$ZONE"
echo"Done. TTL may take up to 300 seconds to expire."
自動故障檢測:
#!/bin/bash
# health-check.sh
PRIMARY_API="10.1.100.20"
CHECK_URL="http://$PRIMARY_API/health"
THRESHOLD=3
FAIL_COUNT=0
whiletrue;do
if! curl -sf --connect-timeout 5"$CHECK_URL"> /dev/null;then
((FAIL_COUNT++))
echo"Health check failed ($FAIL_COUNT/$THRESHOLD)"
if[$FAIL_COUNT-ge$THRESHOLD];then
echo"Triggering failover..."
/opt/scripts/failover-switch.sh failover
# 發(fā)送告警
/opt/scripts/send-alert.sh"CRITICAL: Auto failover triggered for API"
# 重置計數(shù)器
FAIL_COUNT=0
# 等待人工確認后再繼續(xù)檢測
sleep 300
fi
else
FAIL_COUNT=0
fi
sleep 10
done
13.3 案例三:Kubernetes集群DNS整合
背景:需要讓內(nèi)網(wǎng)DNS能夠解析Kubernetes集群中的服務(wù)。
方案:使用BIND的轉(zhuǎn)發(fā)功能,將特定域名的查詢轉(zhuǎn)發(fā)給CoreDNS。
// 轉(zhuǎn)發(fā)Kubernetes服務(wù)域名到CoreDNS
zone "svc.cluster.local" IN {
type forward;
forward only;
forwarders {
10.96.0.10; // Kubernetes CoreDNS ClusterIP
};
};
zone "pod.cluster.local" IN {
type forward;
forward only;
forwarders { 10.96.0.10; };
};
// 反向解析也要轉(zhuǎn)發(fā)
zone "10.96.in-addr.arpa" IN {
type forward;
forward only;
forwarders { 10.96.0.10; };
};
或者使用條件轉(zhuǎn)發(fā):
options {
// 其他配置...
forward only;
forwarders {
8.8.8.8;
114.114.114.114;
};
};
// 內(nèi)部域名不轉(zhuǎn)發(fā)
zone "example.com" IN {
type master;
file "/var/named/zones/db.example.com";
};
// K8s域名轉(zhuǎn)發(fā)到CoreDNS
zone "cluster.local" IN {
type forward;
forward only;
forwarders { 10.96.0.10; };
};
十四、最佳實踐總結(jié)
14.1 架構(gòu)設(shè)計原則
高可用優(yōu)先:至少部署2臺DNS服務(wù)器,使用主從模式
分離遞歸和權(quán)威:大規(guī)模部署時,遞歸DNS和權(quán)威DNS分開
就近解析:使用智能解析或Anycast減少延遲
安全縱深:防火墻+RRL+DNSSEC多層防護
14.2 配置管理規(guī)范
版本控制:所有配置文件使用Git管理
變更審批:生產(chǎn)環(huán)境變更必須經(jīng)過審批和測試
自動化部署:使用Ansible/Terraform自動化
配置備份:定期備份配置和zone文件
14.3 監(jiān)控告警規(guī)范
核心指標:QPS、響應(yīng)時間、錯誤率、緩存命中率
告警分級:P0(服務(wù)不可用)、P1(性能下降)、P2(異常但不影響服務(wù))
值班響應(yīng):制定On-Call輪值和escalation流程
14.4 安全加固清單
[ ] 隱藏版本信息
[ ] 限制遞歸查詢范圍
[ ] 禁止非授權(quán)zone傳輸
[ ] 啟用RRL防止放大攻擊
[ ] 啟用DNSSEC
[ ] 使用TSIG認證主從傳輸
[ ] 配置防火墻規(guī)則
[ ] 定期安全審計
14.5 運維操作規(guī)范
變更前驗證:使用named-checkconf和named-checkzone
變更后驗證:dig測試解析是否正常
回滾計劃:任何變更都要有回滾方案
文檔更新:變更后更新運維文檔
結(jié)語
寫到這里,這篇文章已經(jīng)覆蓋了企業(yè)級DNS從規(guī)劃設(shè)計到部署運維的大部分內(nèi)容。BIND雖然是個老牌軟件,但經(jīng)過這么多年的發(fā)展,功能還是非常強大和完善的。
當然,DNS這塊還有很多細節(jié)可以深挖,比如DoH/DoT加密DNS、DNS over QUIC、以及和服務(wù)網(wǎng)格的集成等。這些新技術(shù)也值得關(guān)注,以后有機會再單獨寫文章討論。
最后說一句,DNS是整個網(wǎng)絡(luò)基礎(chǔ)設(shè)施的基石,它掛了基本上什么服務(wù)都玩不轉(zhuǎn)。所以對待DNS的態(tài)度一定要謹慎,多測試、多監(jiān)控、多備份,別等出了問題才想起來它的重要性。
有問題歡迎交流討論,祝各位運維工作順利。
聲明:本文內(nèi)容及配圖由入駐作者撰寫或者入駐合作網(wǎng)站授權(quán)轉(zhuǎn)載。文章觀點僅代表作者本人,不代表電子發(fā)燒友網(wǎng)立場。文章及其配圖僅供工程師學(xué)習(xí)之用,如有內(nèi)容侵權(quán)或者其他違規(guī)問題,請聯(lián)系本站處理。
舉報投訴
-
服務(wù)器
+關(guān)注
關(guān)注
14文章
10251瀏覽量
91477 -
網(wǎng)絡(luò)
+關(guān)注
關(guān)注
14文章
8264瀏覽量
94695 -
DNS
+關(guān)注
關(guān)注
0文章
229瀏覽量
21147
原文標題:從零搭建企業(yè)級DNS:BIND+智能解析實戰(zhàn)指南
文章出處:【微信號:magedu-Linux,微信公眾號:馬哥Linux運維】歡迎添加關(guān)注!文章轉(zhuǎn)載請注明出處。
發(fā)布評論請先 登錄
相關(guān)推薦
熱點推薦
SAS走進企業(yè)級存儲應(yīng)用
SAS走進企業(yè)級存儲應(yīng)用串行SCSI(SAS)的出現(xiàn)已經(jīng)有幾年了。2005年,在主要的接口技術(shù)中,由于OEM服務(wù)器制造商和系統(tǒng)集成商開始提供串行SCSI解決方案,企業(yè)級存儲市場將會顯現(xiàn)革命性的進展
發(fā)表于 11-13 21:58
2017年企業(yè)級SaaS服務(wù)發(fā)展趨勢?
企業(yè)級SaaS服務(wù)經(jīng)過2014年的萌芽,2015年的發(fā)展,2016年的高速增長,越來越多的企業(yè)更加傾向于通過云計算降低成本并實現(xiàn)資源優(yōu)化配置。據(jù)不完全統(tǒng)計,截止到2017年,國內(nèi)企業(yè)級
發(fā)表于 07-17 10:22
DNS服務(wù)器及其配置
DNS服務(wù)器及其配置:DNS的作用將主機名字轉(zhuǎn)換成二進制IP地址。1.DNS被設(shè)計成為一個聯(lián)機分布數(shù)據(jù)庫系統(tǒng)。2.DNS采用客戶
發(fā)表于 12-07 14:39
?20次下載
企業(yè)級服務(wù)器
企業(yè)級服務(wù)器
企業(yè)級服務(wù)器屬于高檔服務(wù)器,普遍可支持4至8個PIII Xeon(至強)或P4 Xeon(至強)處理
發(fā)表于 12-17 09:21
?391次閱讀
如何配置Win 2003的DNS服務(wù)器
如何配置Win 2003的DNS服務(wù)器
概要
本文介紹了如何配置“域名系統(tǒng)”(DNS) 服務(wù)器,使其承載可從外
發(fā)表于 01-29 11:35
?745次閱讀
高通準備放棄開發(fā)面向數(shù)據(jù)中心的企業(yè)級服務(wù)器芯片
上周,彭博社援引知情人消息稱,高通準備放棄開發(fā)面向數(shù)據(jù)中心的企業(yè)級服務(wù)器芯片。
發(fā)表于 05-15 15:48
?1179次閱讀
DNS服務(wù)器和DNS服務(wù)器地址是什么
今日就來同大家分享什么是DNS服務(wù)器地址,DNS服務(wù)器地址怎么找,幫助大家更了解DNS服務(wù)器。首
全金屬更“抗造”,DH系列工業(yè)級連接器為企業(yè)級服務(wù)器提供可靠連接
企業(yè)級服務(wù)器主要用于金融、交通、通信等重要行業(yè),以實現(xiàn)巨量數(shù)據(jù)處理功能。由于這類服務(wù)器承擔任務(wù)的零容錯苛刻訴求,因而為企業(yè)級
深度解析企業(yè)級服務(wù)器選用何種工業(yè)級連接器!
企業(yè)級服務(wù)器主要用于金融、交通、通信等關(guān)鍵行業(yè),承擔著處理海量數(shù)據(jù)的重要任務(wù)。由于這些服務(wù)器對于零故障運行的要求非常嚴格,因此它們所使用的電源連接器
企業(yè)云服務(wù)器平臺設(shè)計與搭建
企業(yè)云服務(wù)器平臺的設(shè)計與搭建是一個復(fù)雜但系統(tǒng)的過程,涉及多個環(huán)節(jié)和因素。主機推薦小編為您整理發(fā)布企業(yè)云服務(wù)器平臺設(shè)計與
DeepSeek企業(yè)級部署實戰(zhàn)指南:以Raksmart企業(yè)服務(wù)器為例
隨著人工智能技術(shù)的快速發(fā)展,DeepSeek作為一款強大的AI工具,正在成為企業(yè)智能化轉(zhuǎn)型的重要驅(qū)動力。本文將結(jié)合Raksmart企業(yè)服務(wù)器的實際案例,詳細解析DeepSeek的企業(yè)級
DeepSeek企業(yè)級部署服務(wù)器資源計算 以raksmart裸機云服務(wù)器為例
以RakSmart裸機云服務(wù)器為例,針對DeepSeek企業(yè)級部署的服務(wù)器資源計算指南,涵蓋GPU/CPU/內(nèi)存/存儲/網(wǎng)絡(luò)等核心維度的詳細計算方法與配置推薦,主機推薦小編為您整理發(fā)布
存儲服務(wù)器怎么搭建?RAKsmart實戰(zhàn)指南
搭建存儲服務(wù)器需兼顧硬件性能、數(shù)據(jù)冗余與安全訪問。以RAKsmart服務(wù)器為例,整體流程可分為五步:需求評估→硬件選型→RAID配置→系統(tǒng)部署→網(wǎng)絡(luò)設(shè)置。以下是小編對RAKsmart存儲服務(wù)器
工商網(wǎng)監(jiān)
評論