域名系统 (DNS) 通常被称为互联网的电话簿,将人性化的计算机主机名转换为 IP 地址。 这一关键功能确保了互联网应用和数字服务的访问,为在线连接奠定了重要基础。
近年来,基于 DNS 的攻击激增,并不断发展以利用 DNS 服务的可用性、稳定性和漏洞。 根据 F5 实验室的《 2023 年 DDoS 攻击趋势报告》 ,网络攻击者采用的方法越来越复杂,使得基于 DNS 的攻击成为一种持续威胁和网络犯罪分子青睐的攻击类型。 例如,2021 年 4 月的一次重大分布式拒绝服务 (DDoS) 攻击导致多个 Microsoft 云服务(包括 Xbox Live、Office、SharePoint Online、Teams 和 OneDrive)瘫痪了两个小时。 快进到 2023 年 4 月,一系列 DNS 不存在域 (NXDOMAIN) DDoS 攻击针对并压垮了美国医疗保健网站。 这次攻击导致网络拥塞,服务器无法满足有效的用户请求,凸显了混合网络中对强大、冗余 DNS 系统的迫切需求。
鉴于 DNS 的关键性质以及云技术的快速发展,组织需要寻找最佳的高可用性 DNS 解决方案来从各个角度解决 DNS 弹性问题。
基于云的 DNS 中断表明,尽管有冗余系统,但云服务(尤其是 DNS)仍然会发生中断。 这些中断可能由各种因素引起,例如软件错误、配置错误、人为错误或电源和网络可达性问题。 确保系统持续运行是一项挑战。
由于 DNS 中断的增加,组织正在探索如何利用云服务的灵活性,同时即使在云服务中断时也能保持对可用性和安全性的控制。
全局服务器负载均衡 (GSLB) 是 DNS 服务的配套服务,它是一种基于 DNS 协议构建的负载均衡机制,可实现多数据中心和多云弹性。 它通过利用服务资源洞察和 DNS 来根据业务和网络策略智能地引导跨分布式地理位置的流量。 为了确保其运营的持续正常运行,组织正在积极探索这些紧密耦合的核心 DNS 和智能 DNS 服务的最佳弹性设计。
采用 F5 分布式云服务提供的基于 SaaS 的 DNS 服务与内部 F5 BIG-IP DNS 解决方案协同工作,可为组织提供增强的弹性、敏捷性和 DDoS 缓解能力,以及全球规模、性能和可用性。 当这些解决方案(一个在本地,一个基于云)结合在一起时,优势才真正开始显现。 借助 BIG-IP DNS,用户可以利用自动化功能来确保完全的安全性和可用性,同时还具有隐藏主 DNS 记录和激活本地 DNS 服务的权限等附加功能。
该架构使组织能够在正常运行期间使用 F5 分布式云服务来实现权威 DNS。 如果需要,他们可以切换到内部部署 DNS 服务,确保他们能够控制自己的 DNS 基础设施。
在 F5 混合 DNS 架构中,分布式云 DNS 既充当权威 DNS,又充当辅助 DNS,利用基于 SaaS 的容量和功能,例如:
在基于 SaaS 的 DNS 服务不可用的不可预见的情况下,组织可以自动激活内部部署 BIG-IP DNS 以确保 DNS 流量不中断。 BIG-IP DNS 提供强大的功能,例如:
该架构满足了持续 DNS 服务的需求,使数字业务保持在线,同时利用云优势。 它确保组织保持控制并避免在云服务离线时陷入困境。
通过探索由 F5 解决方案工程师 Michelangelo Dorado 开发的示例配置,了解有关 F5 混合 DNS 架构概念和设计的更多信息。
本分步指南概述了在您的环境中设计 DNS 弹性的基本配置。 配置指南包括:
了解 F5 分布式云 DNS 如何简化跨多云和现代应用的DNS 交付: https://www.f5.com/products/distributed-cloud-services/dns