资源白皮书

F5 智能 DNS 规模参考架构

介绍

域名系统 (DNS) 创建于 1983 年，旨在让人们能够通过名称轻松识别连接到互联网的所有计算机、服务和资源 - 而不是通过互联网协议 (IP) 地址（一串不可能记住的二进制信息）。

DNS 服务器将您在浏览器中输入的域名转换为 IP 地址，从而使您的设备能够在 Internet 上找到您正在寻找的服务或站点。

DNS 可以说是实现互联网的主要技术，也是网络基础设施中最重要的组件之一。除了提供内容和应用之外，DNS 还管理分布式和冗余架构，以确保高可用性和快速的用户响应时间 — — 因此拥有可用、智能、安全且可扩展的 DNS 基础设施至关重要。如果 DNS 出现故障，大多数 Web应用将停止正常工作，从而影响您的业务和品牌。

F5 的端到端智能 DNS 规模参考架构使组织能够构建强大的 DNS 基础，从而最大限度地利用资源并提高服务管理，同时保持足够的灵活性以支持现有和未来的网络架构、设备和应用。

DNS 服务对于可用性至关重要

当用户请求网页时，该请求会被传递到本地 DNS 服务器，然后本地 DNS 服务器会与主 DNS 服务器进行通信。一切运行正常，直到流量激增或攻击者用 DNS 查询请求淹没服务器。如果您的主 DNS 服务器过载，它将停止响应，从而导致您的网站不可用。

DNS 故障占 Web 基础设施停机时间的 41%，因此保持 DNS 可用至关重要。根据 Aberdeen Group 的调查，数据中心每小时宕机，企业平均损失 138,000 美元。停机会对客户产生负面影响，导致收入损失，甚至会影响尝试访问公司资源（例如电子邮件）的员工。

这就是为什么强大的 DNS 基础的重要性怎么强调也不为过。如果没有这些信息，您的客户可能无法在需要时访问您的内容和应用- 如果他们无法从您那里获得想要的内容，他们可能会去其他地方。

成长的烦恼

DNS 需求增长如此迅速的原因有很多。在过去五年中，互联网用户数量增长了 82%；网站数量从约 5.8 亿增长到 12.4 亿，DNS 查询数量增长了 100% 以上。

此外，移动连接数量增长了 22 亿，近 60% 的网络用户表示，他们希望网站能够在三秒或更短的时间内通过手机加载。

组织正在经历应用以及访问这些应用的流量的快速增长。此外，网络应用本身也在不断发展并且变得越来越复杂。网页上的每个图标、URL 和嵌入内容都需要 DNS 查找。加载复杂的网站可能需要数百个 DNS 查询，甚至简单的智能手机应用程序也可能需要大量 DNS 查询才能加载。

在过去五年中，.com 和 .net 地址的 DNS 查询量增加了一倍多，2016 年第一季度的平均每日查询负载增加到 1240 亿次。在同一时间段内，互联网上增加了超过 1000 万个域名。随着更多云计算实施的实施，预计未来增长速度将更快。

安全问题

如果 DNS 是互联网的骨干（回答所有查询并解析所有数字以便您可以找到自己喜欢的网站），那么它也是网络中最脆弱的点之一。由于其发挥的关键作用，DNS对攻击者来说是一个高价值目标。 DNS DDoS 攻击可以使您的 DNS 服务器陷入瘫痪，甚至导致服务器故障，或者劫持并将请求重定向到恶意服务器。为了防止这种情况，必须在网络中集成分布式高性能、安全 DNS 架构和 DNS 卸载功能。

通常，组织有一组 DNS 服务器，每个服务器每秒能够处理最多 150,000 个 DNS 查询。高性能 DNS 服务器每秒可以处理大约 200,000 个查询。坏人造成的损失可以轻易超过这些比率，例如影响 Dyn、纽约时报、LinkedIn、Network Solutions 和 Twitter 的 DNS 中断。

为了应对 DNS 激增和 DNS DDoS 攻击，公司添加了更多 DNS 服务器，但在正常业务运营期间这些服务器并不是真正需要的。这种昂贵的解决方案还经常需要人工干预来应对变化。此外，传统 DNS 服务器需要频繁维护和修补，主要针对新的漏洞。

传统解决方案

在寻找 DNS 解决方案时，许多组织选择 BIND（伯克利互联网命名守护进程），即互联网的原始 DNS 解析器。 BIND 安装在全球大约 80% 的 DNS 服务器上，是一个由互联网系统联盟 (ISC) 维护的开源项目。 ISC 是一个非营利组织，其营利性咨询部门名为 DNS-CO，提供 4 种不同级别的订阅和支持服务。

尽管 BIND 很受欢迎，但它每年需要多次大规模维护，主要原因是漏洞、补丁和升级。它可以免费下载，但需要服务器（额外费用，包括支持合同）和操作系统。此外，BIND 通常只能扩展到每秒 50,000 个响应 (RPS)，这使其容易受到合法和恶意 DNS 激增的攻击。

应对不断变化的环境的解决方案

F5 智能 DNS 规模参考架构提供了一种更智能的方式来响应和扩展 DNS 查询，并考虑各种网络条件和情况，根据业务策略、数据中心条件、网络条件和应用性能来分配用户应用请求和应用服务。

您无需担心 DNS 中断和购买额外的 DNS 基础设施来应对激增的流量，只需在网络的 DMZ 中安装 F5 BIG-IP 设备，让它代表您的主 DNS 服务器处理请求即可。

按需扩展

BIG-IP DNS 可超大规模扩展到 1 亿 RPS，这意味着即使 DNS 请求（包括恶意请求）激增，也不会破坏您的内容或影响关键应用的可用性。您的网络管理员可以放心，因为他们知道您的网站将响应所有 DNS 查询并且即使在受到攻击时也能保持可用。您的品牌受到了保护，并且您的公司可以避免成为令人尴尬的头条新闻。

使用 BIG-IP DNS 增强可用性

F5 智能 DNS Scale 参考架构有助于确保您的应用和内容持续可供用户使用。该架构中最重要的部分之一是 BIG-IP DNS 中专门设计的 DNS Express 查询响应功能，它通过将区域从主 DNS 服务器转移到其自己的 RAM 来管理权威 DNS 查询。

只要请求的地址位于传输到 DNS Express 的区域中，BIG-IP DNS 只需打开一次 DNS 查询包，从而简化了流程并显著提高了 DNS 架构的性能和响应时间。

借助 DNS Express，每个 BIG-IP 设备的单独核心每秒可以回答大约 125,000 到 200,000 个请求，可扩展到超过 5000 万个查询 RPS，是典型主 DNS 服务器容量的 12 倍以上。

BIG-IP 平台： DMZ 中的防火墙

每个 BIG-IP 设备都经过 ICSA Labs 认证，可作为网络防火墙。通过智能评估互联网主机的信誉，BIG-IP 设备可以防止攻击者通过 DNS DDoS 攻击使您的 DNS 离线、窃取数据、危害公司资源或以其他方式扰乱您的业务。

此外，DNSSEC 可以保护您的 DNS 基础设施（包括云部署）免受缓存中毒攻击和域劫持。通过 DNSSEC 支持，您可以对 DNS 查询进行数字签名并使用加密响应支持它，从而使解析器能够确定响应的真实性并防止 DNS 劫持和缓存中毒。 F5 IP 智能服务通过拒绝访问已知感染恶意软件、与恶意软件分发点联系以及信誉不佳的 IP 地址来增强您的整体安全性。

网络边缘的 DNS 服务

F5 智能 DNS 规模参考架构还可以通过从网络边缘而不是从关键基础设施深处响应 DNS 查询来帮助保持您的内容和应用的可用性。当您将 DNS 响应卸载到 BIG-IP 平台时，请求不会到达网络的后端，这极大地提高了您扩展和响应 DNS 激增的能力，同时保护了您的 DNS 基础设施。

通过提高 DNS 基础设施的速度、可用性、可扩展性和安全性，F5 Intelligent DNS Scale 参考架构可确保您的客户和员工能够在需要时访问您的关键 Web、应用和数据库服务。

分布式 DNS

这也适用于 DNS 分布式的云部署或基础设施。组织可以在几乎任何环境中复制其高性能 DNS 基础设施。他们可能有用于灾难恢复/业务连续性的云 DNS，甚至有具有签名 DNSSEC 区域的云 DNS 服务。 F5 DNS 服务增强的 AXFR 支持提供从 BIG-IP 设备到任何 DNS 服务的区域传输，使组织能够在物理、虚拟和云环境中复制 DNS。 DNS复制服务可以发送到其他BIG-IP设备或最靠近用户的数据中心或云端的其他通用DNS服务器。

此外，组织可以将用户发送到能够为他们提供最佳体验的网站。 BIG-IP DNS 服务针对每个特定的应用程序和用户使用一系列负载均衡方法和智能监控。流量根据您的业务政策以及当前网络和用户条件进行路由。 BIG-IP DNS 服务包括精确、细致的地理位置数据库，让您可以根据用户位置控制流量分布。

BIG-IP DNS 和 DNS 服务

BIG-IP DNS 是一种全球 DNS 解决方案，可在您的服务交付和访问网络的最边缘提供名称服务。通过使用地理位置服务，它可以根据用户的物理位置将用户引导到最佳服务交付数据中心。

BIG-IP DNS 提供以下名称服务：

位于网络边缘的 DNS 服务，为所有内部和外部服务提供服务。
地理定位服务可根据移动用户的位置精确定位应用或服务交付。
IP 智能服务通过检测和阻止与恶意活动相关的 IP 地址的访问来保护基础设施。
管理所有全局和本地名称服务的单一控制点。
其他 BIG-IP 智能服务解决方案，例如全球应用交付、策略实施、NAT64 和 DNS64 转换、健康监视器以及 F5 脚本语言 iRules。
支持全球DNS服务
与 DNS iRules 集成，以实现细粒度的 DNS 决策和名称服务交付。
支持服务提供商特定的协议，例如 SIP 交易的 ENUM 请求。

BIG-IP LTM 和 DNS 服务

在数据中心内，BIG-IP 本地流量管理器 (LTM) 可以通过创建从移动边缘到服务的容错架构来确保您的应用和内容保持高度可用性。除了提供高可用性之外，BIG-IP LTM 还支持服务提供商特定的应用，例如 SIP 事务的负载均衡 ENUM 请求。

用于命名服务的 BIG-IP LTM 解决方案包括：

与 BIG-IP DNS 集成，将丰富的命名服务扩展到本地数据中心和服务网络。
对本地 DNS 和递归 DNS 的负载平衡支持。
支持服务提供商特定的协议，例如 SIP 交易的 ENUM 请求。
透明的健康监测器在将用户发送到服务之前评估服务的健康状况。 BIG-IP LTM 可以将健康信息传回 BIG-IP DNS，从而将应用感知带到 SDN 的边缘。
与 iRules 集成，实现精细的 DNS 决策和名称服务交付。

部署完整的服务交付基础设施

F5 智能 DNS 规模参考架构可适应高可用性和大容量应用，同时支持每秒数百万个用户请求。它们与其他 BIG-IP 服务交付功能（例如 iRules 脚本语言、透明应用监控和其他 IP 相关服务）协同工作，以创建完整的服务交付基础设施：F5 服务交付网络。通过利用所有 BIG-IP 设备通用的智能服务交付平台，实现无缝的扩展和灵活性。

结论

通过使用 F5 Intelligent DNS Scale 参考架构，企业可以：

提高其 DNS 基础设施的速度、可用性、可扩展性和安全性。
通过消除不必要的额外 DNS 服务器来降低复杂性和成本。
当您知道自己的站点将响应所有 DNS 请求时，您便可高枕无忧。

F5 智能 DNS 规模参考架构是一种端到端 DNS 交付解决方案，可通过减少 DNS 延迟来提高 Web 性能，通过缓解 DNS DDoS 攻击来保护您的 Web 资产和品牌声誉，通过整合 DNS 基础设施来降低数据中心成本。最重要的是，它可以为您的客户提供性能最佳的组件，以实现最佳的应用和服务交付。

F5 智能 DNS 规模参考架构还可让您高枕无忧，因为您知道您的 Web应用将响应所有 DNS 查询 - 让您的用户随时随地都可以访问您的内容和应用。

2018 年 1 月 24 日发布