企业上云,内网DNS请用PrivateZone-阿里云开发者社区

开发者社区> 安全> 正文
登录阅读全文

企业上云,内网DNS请用PrivateZone

简介: DNS服务的作用就是就好比手机中的通讯录,可以通过域名找到对应IP。对于一家科技企业来说,搭建一套内网DNS是很有必要的。但是,当企业将网络整体搬迁到云上或者和云上网络相联通时,DNS服务常常面临无法覆盖新网络环境的问题。

导读

DNS服务的作用就是就好比手机中的通讯录,可以通过域名找到对应IP。对于一家科技企业来说,搭建一套内网DNS是很有必要的。但是,当企业将网络整体搬迁到云上或者和云上网络相联通时,DNS服务常常面临无法覆盖新网络环境的问题。

本文将使用阿里云解析PrivateZone产品,搭建云上DNS解决方案,实现企业平滑上云。

_

一、内网DNS的不可或缺

对于一个科技企业来说,搭建一套公司内部的DNS服务是非常必要的。

  • 一方面,公司内部有一些服务在内网需要解析成内网IP,对于公网的用户访问就需要访问公网的IP。这样场景就可以通过内网DNS配置轻松实现。当然还有其他很多实现方式,但是使用内网DNS实现起来很简单,管理方便;
  • 另一方面,公司内部有些服务出于隐私保护的目的,不便将域名暴露在公网。尤其是主机名、财务系统、HR系统等较敏感的业务域名暴露在公网很容易引起安全信息泄露、不法分子进行网络渗透等安全风险;
  • 另外、通过搭建公司内网DNS可以提高公司域名的解析效率,公司的域名可以直接以Zone文件的形式缓存在本地,内部查询时直接返回IP地址,不用每次通过公网的运营商DNS进行递归解析,响应速度快;

二、企业上云,内网DNS现状

随着阿里云业务的发展,各种云资源、云服务不断推陈出新,吸引了越来越多的企业将基础系统、业务、服务等部署到云端,利用阿里云的计算、存储、网络、数据等服务,降低信息化建设成本、提高资源配置效率。
“罗马不是一天建成的”,企业上云也是循序渐进、步步为营的过程。一般来说,企业上云主要有三种方式:

  • 1、私有云:大型企业,从业务针对性、数据安全、服务质量等方面考虑,会从IT设备到业务层应用构建一体化的私有云服务。在私有云服务中,内网DNS一般作为独立的基础服务组件,市场上也有多家厂商提供DNS软硬件服务。
  • 2、公有云:中小企业,从技术门槛、节约成本、交付效率等方面考虑,会直接选择公有云服务。在公有云服务中,内网DNS一般由云服务商直接提供,但是云服务商提供的内网DNS一般只具备基础的递归解析功能,很少有云服务商提供给客户自主管理的能力。如果客户想使用内网DNS,不得不购买ECS自行建设一套内网DNS系统。
  • 3、混合云:一些企业,原先有自己的数据中心,从服务异构、资源成本、安全稳定等方面考虑,会在自建IDC的基础上选择公有云服务,并且相互融合构成混合云。在混合云服务中,内网DNS因为数据一致性、网络隔离、资源负担等多方面原因,一直是运维管理的痛点。

三、企业上云,内网DNS使用PrivateZone

为了解决中小企业上云过程中内网DNS的使用问题,方便客户在阿里云上快速实现内网域名管理,降低系统架构成本、提高运维管理效率,阿里云面向客户推出了云上内网DNS产品PrivateZone。PrivateZone可以帮助上云客户在自己的VPC内网中快速建立起内网DNS服务,一键跨Region全球同步,内网变更秒级生效。

公有云场景:

在公有云场景中,搭建内网DNS服务相对比较简单,只需要三步即可:

  • 1、添加内网域名:
    在阿里云的云解析产品控制台,将内网域名添加进Zone列表:

image

  • 2、配置内网DNS记录:
    将需要的内网DNS记录,添加进Zone:

image

  • 3、一键关联VPC:
    将Zone一键关联上VPC后,内网DNS配置即可在对应的VPC内解析生效,跨Region、跨VPC均衡进行关联;

image

混合云场景:

混合云场景,客户同时拥有自建IDC和阿里云服务,客户的自建IDC一般会与阿里云VPC使用专线的方式进行网络打通,典型场景如下图所示。
image

这时,客户一般会将前端服务部署在阿里云环境,后端系统部署在自建的IDC。前端服务部署在阿里云可以享受阿里云弹性可伸缩的ECS、高可用的负载均衡、安全防御等云产品服务,后端系统部署在自建IDC,确保了企业数据安全的合规问题。
那么当前端服务需要访问后端服务获取数据时,或者后端系统需要回调前端服务时,就会涉及到内网服务之间的调用,内网服务调用,通常需要内网DNS来支撑完成。这种情况下,内网DNS如何在自建IDC和阿里云环境下能够同时提供解析服务?DNS数据配置的一致性如何保证?内网DNS数据隐私如何做到租户隔离?是混合云内网DNS的难点。
在阿里云推出PrivateZone服务后,这些问题得到了有效解决,PrivateZone支撑混合云内网DNS的解决方案如下图所示。
image

  • 首先、客户内网域名在可以在多个VPC内同时解析,不需要额外的配置;
  • 其次、客户内网域名不会暴露在公网或者其他网络环境,只能在客户的网络环境下生效;
  • 最后、自建IDC因为是和阿里云VPC通过专线打通了网络,所以自建IDC的内网DNS可以完全复用阿里云上的PrivateZone进行DNS查询。

注意:为了实现自建IDC访问阿里云PrivateZone,这里需要做响应的路由和DNS配置;

  • 1、配置自建IDC访问阿里云路由示例:
目的网段 示例网关
100.64.0.0/10 10.10.10.1
100.64.0.0/10 10.10.20.1

相应的回程路由也需要配置。使用IPSec配置本地网络和阿里云VPC互联互通的教程,可参考《配置站点到站点连接》

  • 2、需要将自建IDC上服务器的DNS配置/etc/resolv.conf
    修改为:
nameserver 100.100.2.136
nameserver 100.100.2.138
options timeout:2 attempts:3 rotate single-request-reopen

这样就可以实现整个混合云的内网DNS解析,随着公有云Region的扩展,只需要把相应的VPC关联上DNS配置就可以了。

总结

在混合云成为诸多企业上云的首选时,阿里云推出了内网DNS产品,帮助客户快速搭建满足公有云、混合云DNS解析需要的内网DNS服务。使用PrivateZone搭建DNS有以下几个优势:

  • 1、公有云场景:使用简单、零运维成本,客户只需要在控制台上添加内网域名,配置DNS记录即可,不需要其他网络、服务器层面的配置改造;
  • 2、混合云场景:借助专线打通的网络,客户只需要简单的路由配置和DNS服务器配置即可,一次配置永久使用;
  • 3、扩展性好:公有云业务扩展至不同Region时,只需要一键关联上对应的VPC即可,不需要其他改造成本,数据秒级同步;
    企业上云,内网DNS请用PrivateZone,点击开通

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

分享:
+ 订阅

云安全开发者的大本营

其他文章