导读

DNS服务的作用就是就好比手机中的通讯录，可以通过域名找到对应IP。对于一家科技企业来说，搭建一套内网DNS是很有必要的。但是，当企业将网络整体搬迁到云上或者和云上网络相联通时，DNS服务常常面临无法覆盖新网络环境的问题。

本文将使用阿里云解析PrivateZone产品，搭建云上DNS解决方案，实现企业平滑上云。

一、内网DNS的不可或缺

对于一个科技企业来说，搭建一套公司内部的DNS服务是非常必要的。

• 一方面，公司内部有一些服务在内网需要解析成内网IP，对于公网的用户访问就需要访问公网的IP。这样场景就可以通过内网DNS配置轻松实现。当然还有其他很多实现方式，但是使用内网DNS实现起来很简单，管理方便；
• 另一方面，公司内部有些服务出于隐私保护的目的，不便将域名暴露在公网。尤其是主机名、财务系统、HR系统等较敏感的业务域名暴露在公网很容易引起安全信息泄露、不法分子进行网络渗透等安全风险；
• 另外、通过搭建公司内网DNS可以提高公司域名的解析效率，公司的域名可以直接以Zone文件的形式缓存在本地，内部查询时直接返回IP地址，不用每次通过公网的运营商DNS进行递归解析，响应速度快；

二、企业上云，内网DNS现状

随着阿里云业务的发展，各种云资源、云服务不断推陈出新，吸引了越来越多的企业将基础系统、业务、服务等部署到云端，利用阿里云的计算、存储、网络、数据等服务，降低信息化建设成本、提高资源配置效率。
“罗马不是一天建成的”，企业上云也是循序渐进、步步为营的过程。一般来说，企业上云主要有三种方式：

• 1、私有云：大型企业，从业务针对性、数据安全、服务质量等方面考虑，会从IT设备到业务层应用构建一体化的私有云服务。在私有云服务中，内网DNS一般作为独立的基础服务组件，市场上也有多家厂商提供DNS软硬件服务。
• 2、公有云：中小企业，从技术门槛、节约成本、交付效率等方面考虑，会直接选择公有云服务。在公有云服务中，内网DNS一般由云服务商直接提供，但是云服务商提供的内网DNS一般只具备基础的递归解析功能，很少有云服务商提供给客户自主管理的能力。如果客户想使用内网DNS，不得不购买ECS自行建设一套内网DNS系统。
• 3、混合云：一些企业，原先有自己的数据中心，从服务异构、资源成本、安全稳定等方面考虑，会在自建IDC的基础上选择公有云服务，并且相互融合构成混合云。在混合云服务中，内网DNS因为数据一致性、网络隔离、资源负担等多方面原因，一直是运维管理的痛点。

三、企业上云，内网DNS使用PrivateZone

为了解决中小企业上云过程中内网DNS的使用问题，方便客户在阿里云上快速实现内网域名管理，降低系统架构成本、提高运维管理效率，阿里云面向客户推出了云上内网DNS产品PrivateZone。PrivateZone可以帮助上云客户在自己的VPC内网中快速建立起内网DNS服务，一键跨Region全球同步，内网变更秒级生效。

公有云场景：

在公有云场景中，搭建内网DNS服务相对比较简单，只需要三步即可：

• 1、添加内网域名：
  在阿里云的云解析产品控制台，将内网域名添加进Zone列表：

• 2、配置内网DNS记录：
  将需要的内网DNS记录，添加进Zone：

• 3、一键关联VPC：
  将Zone一键关联上VPC后，内网DNS配置即可在对应的VPC内解析生效，跨Region、跨VPC均衡进行关联；

混合云场景：

混合云场景，客户同时拥有自建IDC和阿里云服务，客户的自建IDC一般会与阿里云VPC使用专线的方式进行网络打通，典型场景如下图所示。

这时，客户一般会将前端服务部署在阿里云环境，后端系统部署在自建的IDC。前端服务部署在阿里云可以享受阿里云弹性可伸缩的ECS、高可用的负载均衡、安全防御等云产品服务，后端系统部署在自建IDC，确保了企业数据安全的合规问题。
那么当前端服务需要访问后端服务获取数据时，或者后端系统需要回调前端服务时，就会涉及到内网服务之间的调用，内网服务调用，通常需要内网DNS来支撑完成。这种情况下，内网DNS如何在自建IDC和阿里云环境下能够同时提供解析服务？DNS数据配置的一致性如何保证？内网DNS数据隐私如何做到租户隔离？是混合云内网DNS的难点。
在阿里云推出PrivateZone服务后，这些问题得到了有效解决，PrivateZone支撑混合云内网DNS的解决方案如下图所示。

• 首先、客户内网域名在可以在多个VPC内同时解析，不需要额外的配置；
• 其次、客户内网域名不会暴露在公网或者其他网络环境，只能在客户的网络环境下生效；
• 最后、自建IDC因为是和阿里云VPC通过专线打通了网络，所以自建IDC的内网DNS可以完全复用阿里云上的PrivateZone进行DNS查询。

注意：为了实现自建IDC访问阿里云PrivateZone，这里需要做响应的路由和DNS配置；

• 1、配置自建IDC访问阿里云路由示例：

相应的回程路由也需要配置。使用IPSec配置本地网络和阿里云VPC互联互通的教程，可参考《配置站点到站点连接》。

• 2、需要将自建IDC上服务器的DNS配置/etc/resolv.conf
  修改为：

nameserver 100.100.2.136
nameserver 100.100.2.138
options timeout:2 attempts:3 rotate single-request-reopen

这样就可以实现整个混合云的内网DNS解析，随着公有云Region的扩展，只需要把相应的VPC关联上DNS配置就可以了。

总结

在混合云成为诸多企业上云的首选时，阿里云推出了内网DNS产品，帮助客户快速搭建满足公有云、混合云DNS解析需要的内网DNS服务。使用PrivateZone搭建DNS有以下几个优势：

• 1、公有云场景：使用简单、零运维成本，客户只需要在控制台上添加内网域名，配置DNS记录即可，不需要其他网络、服务器层面的配置改造；
• 2、混合云场景：借助专线打通的网络，客户只需要简单的路由配置和DNS服务器配置即可，一次配置永久使用；
• 3、扩展性好：公有云业务扩展至不同Region时，只需要一键关联上对应的VPC即可，不需要其他改造成本，数据秒级同步；
  企业上云，内网DNS请用PrivateZone，点击开通。