博客

通过混合架构增强 DNS 弹性和性能

Kok-Yong CHEONG 缩略图
张国荣
2024 年 6 月 21 日发布

域名系统 (DNS) 通常被称为互联网的电话簿,将人性化的计算机主机名转换为 IP 地址。 这一关键功能确保了互联网应用和数字服务的访问,为在线连接奠定了重要基础。

近年来,基于 DNS 的攻击激增,并不断发展以利用 DNS 服务的可用性、稳定性和漏洞。 根据 F5 实验室的《 2023 年 DDoS 攻击趋势报告》 ,网络攻击者采用的方法越来越复杂,使得基于 DNS 的攻击成为一种持续威胁和网络犯罪分子青睐的攻击类型。 例如,2021 年 4 月的一次重大分布式拒绝服务 (DDoS) 攻击导致多个 Microsoft 云服务(包括 Xbox Live、Office、SharePoint Online、Teams 和 OneDrive)瘫痪了两个小时。 快进到 2023 年 4 月,一系列 DNS 不存在域 (NXDOMAIN) DDoS 攻击针对并压垮了美国医疗保健网站。 这次攻击导致网络拥塞,服务器无法满足有效的用户请求,凸显了混合网络中对强大、冗余 DNS 系统的迫切需求。

鉴于 DNS 的关键性质以及云技术的快速发展,组织需要寻找最佳的高可用性 DNS 解决方案来从各个角度解决 DNS 弹性问题。

云很棒;与本地配套解决方案配对则更好

基于云的 DNS 中断表明,尽管有冗余系统,但云服务(尤其是 DNS)仍然会发生中断。 这些中断可能由各种因素引起,例如软件错误、配置错误、人为错误或电源和网络可达性问题。 确保系统持续运行是一项挑战。 
 
由于 DNS 中断的增加,组织正在探索如何利用云服务的灵活性,同时即使在云服务中断时也能保持对可用性和安全性的控制。

全局服务器负载均衡 (GSLB) 是 DNS 服务的配套服务,它是一种基于 DNS 协议构建的负载均衡机制,可实现多数据中心和多云弹性。 它通过利用服务资源洞察和 DNS 来根据业务和网络策略智能地引导跨分布式地理位置的流量。 为了确保其运营的持续正常运行,组织正在积极探索这些紧密耦合的核心 DNS 和智能 DNS 服务的最佳弹性设计。

使用基于 F5 的混合架构增强 DNS 弹性和性能

采用 F5 分布式云服务提供的基于 SaaS 的 DNS 服务与内部 F5 BIG-IP DNS 解决方案协同工作,可为组织提供增强的弹性、敏捷性和 DDoS 缓解能力,以及全球规模、性能和可用性。 当这些解决方案(一个在本地,一个基于云)结合在一起时,优势才真正开始显现。 借助 BIG-IP DNS,用户可以利用自动化功能来确保完全的安全性和可用性,同时还具有隐藏主 DNS 记录和激活本地 DNS 服务的权限等附加功能。 

该架构使组织能够在正常运行期间使用 F5 分布式云服务来实现权威 DNS。 如果需要,他们可以切换到内部部署 DNS 服务,确保他们能够控制自己的 DNS 基础设施。

在 F5 混合 DNS 架构中,分布式云 DNS 既充当权威 DNS,又充当辅助 DNS,利用基于 SaaS 的容量和功能,例如:   

  • 安全层: 通过自动故障转移获得动态安全性,通过内置保护防止 DDoS 攻击或操纵域响应。   
  • 自动容量扩展: 在任何地方部署和支持应用。 该 DNS 解决方案建立在全球数据平面上,可简化部署和管理,并可自动扩展以满足大容量需求。  
  • 保持高可用性: 它建立在全球任播网络之上,通过遍布全球市场的接入点提供高度可用且响应迅速的 DNS。  
  • 快速部署和交付: 使用一组 API 在几分钟内完成配置和配置。 

在基于 SaaS 的 DNS 服务不可用的不可预见的情况下,组织可以自动激活内部部署 BIG-IP DNS 以确保 DNS 流量不中断。 BIG-IP DNS 提供强大的功能,例如:  

  • 1亿RPS性能: BIG-IP DNS 使用 DNS Express 服务和快速响应模式将权威 DNS 超大规模扩展到每秒高达 1 亿次查询响应 (RPS),确保用户连接到最佳站点。 F5 DNS Express 服务通过卸载 DNS 响应并从数十万扩展到超过 5000 万 RPS 来改进标准 DNS 功能。  
  • DNS 防火墙/DDoS: 可与 BIG-IP 高级防火墙管理器 (AFM) 结合使用,提供广泛的安全性,包括保护 DNS 免受 UDP 洪水或放大 DDoS 攻击等容量密集型 DDoS 攻击。  
  • DNSSEC: 使用实时域名系统安全扩展 (DNSSEC) 保护本地域名服务器免受缓存中毒和中间人攻击。  
  • 缓存整合: 将延迟和响应时间减少多达 80%。  
  • 确保可用性的故障转移: 对整个数据中心或单个应用和服务器进行故障转移,以确保用户能够不间断地访问所需的应用程序。

该架构满足了持续 DNS 服务的需求,使数字业务保持在线,同时利用云优势。 它确保组织保持控制并避免在云服务离线时陷入困境。

踏上 DNS 之旅的下一步

通过探索由 F5 解决方案工程师 Michelangelo Dorado 开发的示例配置,了解有关 F5 混合 DNS 架构概念和设计的更多信息。

本分步指南概述了在您的环境中设计 DNS 弹性的基本配置。 配置指南包括:

  • 主要隐藏 DNS 和权威辅助 DNS 设置
  • DNSSEC 配置
  • 通过主动健康监测实现 DNS 弹性设置
  • 通过 API 优先自动化,轻松配置和集成分布式云 DNS 和 BIG-IP DNS

了解 F5 分布式云 DNS 如何简化跨多云和现代应用的DNS 交付: https://www.f5.com/products/distributed-cloud-services/dns