跨region的智能DNS解决方案(一)-部署

本文涉及的产品
云解析 DNS,旗舰版 1个月
全局流量管理 GTM,标准版 1个月
公共DNS(含HTTPDNS解析),每月1000万次HTTP解析
简介: 项目背景:考虑到高可靠等诸多问题,在公有云或私有云上可能有两地三中心等多种架构模式。需求在不同地区的实例节点如何通过相同域名解析到本地的A记录或者云产品的CNAME,并实现高可靠。本文通过named服务实现上述功能。

设计原则

在张家口地区的ECS优先读本地缓存(利用Dnsmasq)然后读张家口的dns最后读杭州的dns,同理在杭州的ECS相反,并且非张家口和杭州的如果需要读取到自建DNS服务的话。可以提供给张家口或者杭州的DNS 使得他们可以解析到default的view以提供访问。
所以后续在添加A记录的逻辑上是如果在张家口region添加一条A记录则对应只在张家口的dns的default的region上添加一条一样的A记录,同理,在杭州则相反。这样的话2边的default的区域是不同的A记录,更有利于其他第三方的客户端来解析域名。

实验环境

  1. 创建私网VPC
    从最初设计开始在阿里云控制台选择:

专有网络 -》 创建专有网络 -》推荐网段选择 "10.0.0.0/8"
规划如下:
张家口可用区A 10.1.0.0/16
张家口可用区B 10.2.0.0/16
杭州可用区H 10.3.0.0/16
杭州可用区F 10.4.0.0/16

  1. 添加路由条目并创建高速通道
    添加路由条目 10.3.0.0/16 10.4.0.0/16 为目标网段

专有网络 -》路由表 -》添加路由条目 -》下一跳类型 -》路由器接口(专有网络接方向)-》专有网络 -》创建VPC互联
选择本端地域(杭州),对端地域(张家口)选择带宽值,点击购买

  1. DNS服务器规划
    DNS服务器地址:

10.1.0.100
10.2.0.100
10.3.0.100
10.4.0.100

通过IP(网段)来判断区域来最终实现解析到对应的记录值。

安装

本文通过编译安装,主要原因如下:

  1. CentOS7的repo里面的bind服务版本较低,有个别安全隐患。
  2. 后续需要通过bind_exporter进行监控的话需要libxml2。
  3. 目录结构优化
#!/usr/bin/env bash
yum install libxml2-devel python-ply -y
wget -c ftp://ftp.isc.org/isc/bind9/9.11.9/bind-9.11.9.tar.gz -O bind.tar.gz; tar xf bind.tar.gz
cd bind-9.11.9
./configure --prefix=/opt/soft/named --sbindir=/opt/soft/named/sbin/ --bindir=/opt/soft/named/bin/ CFLAGS="-g -fPIC" --enable-threads --with-openssl=yes --with-libjson=no --with-libxml2=yes
make && make install

# 文件目录自定义
## 配置文件目录包括区域配置文件,访问控制文件,加密通讯文件
mkdir -p /etc/named/{acls,conf,data,keys,managed_keys,logs}
## 数据目录
mkdir -p /var/named/{acls,data}
## 基础配置文件目录
mkdir -p /opt/soft/named/conf
## 启动命令
/usr/sbin/named -c /etc/named/named.conf -u named
## 请大家自行修改文件以适应现在的目录结构,本实验为了方便把所有文件都放在/etc/named/
/usr/lib/systemd/system/named.service
groupadd named -g 1000
useradd named -g named -u 1000
chown named.named /etc/named -R
chown named.named /var/named -R
chown named.named /opt/soft/named -R

编辑所有配置文件

编辑主配置文件 vim /etc/named/named.conf

// For dns.sre.so
// 整个受控ip地址段
include "/var/named/acls/acl_sre_idc.conf";
// all keyssre
include "/etc/named/keys/transfer.key";
include "/opt/soft/named/etc/rndc.key";
controls {
       inet 10.1.0.100 port 953
               allow { 10.0.0.0/8; } keys { "rndc-key"; };
};
// 参数配置文件
include "/opt/soft/named/conf/options.conf";
// 引用所有的acl文件
include "/etc/named/conf/all_acls.conf";
// 日志配置文件
include "/opt/soft/named/etc/dns_logs.conf";
view "view_hangzhou-cloud"{
    match-clients {
    key key_sreso_hangzhou-cloud;
    acl_hangzhou-cloud;
  };
include "/etc/named/conf/hangzhou-cloud.conf";
};
view "view_zhangjiakou-cloud"{
    match-clients {
    key key_sreso_zhangjiakou-cloud;
    acl_zhangjiakou-cloud;
  };
include "/etc/named/conf/zhangjiakou-cloud.conf";
};
view "view_default"{
    match-clients {
    key key_sreso_default;
    acl_default;
    any;
  };
include "/etc/named/conf/default.conf";
};

编辑named服务参数文件

cat >> /opt/soft/named/conf/options.conf << EOF
options {
        directory "/etc/named";
        minimal-responses yes;
        allow-recursion { idcnet; };
        allow-query { idcnet; };
        allow-transfer { 10.0.0.0/8;};
        dnssec-enable yes;
        dnssec-validation yes;
        empty-zones-enable no;
        notify yes;
        managed-keys-directory "/etc/named/managed_keys";
};

区域控制文件-张家口

cat >> /etc/named/acls/acl_zhangjiakou-cloud << EOF
acl acl_zhangjiakou-cloud {
    10.1.0.0/16;
    10.2.0.0/16;
    !10.3.0.0/16;
    !10.4.0.0/16;
    !10.1.0.100/32;
    !10.2.0.100/32;
    !10.3.0.100/32;
    !10.4.0.100/32;
};
EOF

区域控制文件-杭州

cat >> /etc/named/acls/acl_hangzhou-cloud << EOF
acl acl_hangzhou-cloud {
    10.3.0.0/16;
    10.4.0.0/16;
    !10.1.0.0/16;
    !10.2.0.0/16;
    !10.1.0.100/32;
    !10.2.0.100/32;
    !10.3.0.100/32;
    !10.4.0.100/32;
};
EOF

默认区域控制文件-default,该区域给其他第三方节点如果有请求需要的话,默认连到该DNS-view上面。通过控制第三方的dns下游服务器来选择是解析给张家口还是杭州。

cat >> /etc/named/acls/acl_default << EOF
acl acl_default {
    !10.1.0.100/32;
    !10.2.0.100/32;
    !10.3.0.100/32;
    !10.4.0.100/32;
};
EOF

引用所有ACL配置文件

cat >> /etc/named/conf/all_acls.conf << EOF
include "/etc/named/acls/acl_hangzhou-cloud";
include "/etc/named/acls/acl_zhangjiakou-cloud";
include "/etc/named/acls/acl_default";
EOF

编辑各区域配置文件

  • 张家口区域
cat >> /etc/named/conf/zhangjiakou-cloud.conf << EOF
zone "."  in {
    type hint;
    file "/etc/named/data/named.root";
};
zone "sre.so."  in {
    type master ;
    allow-update { key key_sreso_zhangjiakou-cloud; };
    file "/var/named/data/zone_sre.so_zhangjiakou-cloud";
};
EOF
  • 第三方区域
cat >> /etc/named/conf/default.conf << EOF
zone "."  in {
    type hint;
    file "/etc/named/data/named.root";
};
zone "sre.so."  in {
    type master ;
    allow-update { key key_sreso_default; };
    file "/var/named/data/zone_sre.so_default";
};
EOF
  • 杭州区域
cat >> /etc/named/conf/hangzhou-cloud.conf <<EOF
zone "."  in {
    type hint;
    file "/etc/named/data/named.root";
};
zone "sre.so."  in {
    type master ;
    allow-update { key key_sreso_hangzhou-cloud; };
    file "/var/named/data/zone_sre.so_hangzhou-cloud";
};
EOF
  • 配置基础数据 基础域名sre.so
cat >> /var/named/data/zone_sre.so << EOF
sre.so.                          600      IN SOA   sre.so. root.sre.so. 2019012805 28800 14400 3600000 86400
sre.so.                          600      IN NS    ns1.sre.so.
ns1.sre.so.                  600      IN A     10.1.0.100
EOF
cat >> /var/named/data/zone_sre.so_default << EOF
\$INCLUDE /var/named/data/zone_sre.so
EOF
cat >> /var/named/data/zone_sre.so_zhangjiekou-cloud << EOF
\$INCLUDE /var/named/data/zone_sre.so
EOF
cat >> /var/named/data/zone_sre.so_hangzhou-cloud << EOF
\$INCLUDE /var/named/data/zone_sre.so
EOF

定义允许通过named解析的ip范围

cat >> /var/named/acls/acl_sre_idc.conf << EOF
acl idcnet {
    127.0.0.1/32;
    10.0.0.0/8;
    100.64.0.0/10;
};
EOF

关于named.root

配置根服务器地址以及自定义区域数据文件
named.root为namd服务定义了一个根域,它是一个非常重要的文件,包含了Internet根服务器的名字和IP地址。当Bind接到客户端的查询请求时,如果本地不能解析,也不能在Cache中找到相应的数据,就会通过根服务器进行逐级查询。由于Internet根服务器的地址经常会发生变化,因此named.root也应该要随之更新。
根服务器列表可以从named.root下载,文件名也是named.root,它包含了国际互联网络信息中心(InterNIC)提供的数据。

wget ftp://ftp.rs.internic.net/domain/named.root -O /etc/named/data/named.root

配置加密文件

mkdir -p /etc/named/keys/keys
cd /etc/named/keys/keys
/opt/soft/named/sbin/dnssec-keygen -a hmac-md5 -b 512 -n HOST key_sreso_hangzhou-cloud
/opt/soft/named/sbin/dnssec-keygen -a hmac-md5 -b 512 -n HOST key_sreso_zhangjiakou-cloud
/opt/soft/named/sbin/dnssec-keygen -a hmac-md5 -b 512 -n HOST key_sreso_default


-rw------- 1 named named 126 Sep 16 12:06 Kkey_sreso_default.+157+19049.key
-rw------- 1 named named 229 Sep 16 12:06 Kkey_sreso_default.+157+19049.private
-rw------- 1 named named 133 Sep 16 12:05 Kkey_sreso_hangzhou-cloud.+157+57601.key
-rw------- 1 named named 229 Sep 16 12:05 Kkey_sreso_hangzhou-cloud.+157+57601.private
-rw------- 1 named named 136 Sep 16 12:12 Kkey_sreso_zhangjiakou-cloud.+157+34623.key
-rw------- 1 named named 229 Sep 16 12:12 Kkey_sreso_zhangjiakou-cloud.+157+34623.private


编辑key配置文件 transfer.key
将生成的 .key文件里的加密串 添加到transfer.key的secret字段内。
cat *.key|awk '{print $1,$7$8}'
sreso_default. pmQxnGDDZofmZvL99m98XW15XEmo4BXpMxmJ+ofHwR+4tZYTSCki9lSBtocG4WAxSMHdA4+sZQJ9OJK2gZl4lw==
sreso_hangzhou-cloud. bhfhzRSQ7/zm7QfEUCWL/Dz0seOikzO9hEPfkAFExvof3y3NrHgYp3tA9aSBHeubo/6DmrN7JYbCviJLaKzGQQ==
sreso_zhangjiakou-cloud. Hptbq3F+4/QJtXhgh781Wdjw/piAiQco+x6gogkKCRPQCTcizhcEwdJqnU+2J2MzMhNYaGszx1sYxA5WI55/8w==

cat >> /etc/named/keys/transfer.key << EOF
key "key_sreso_zhangjiakou-cloud" {
 algorithm         hmac-md5;
secret "mspmOPCmYFQuDWJYoauzIT8rPXCP+RTUHW0sDwM++IzLt/syidjSrQ5SjsOqeO+LJNGKhR3g+hO7FDzN04b2gQ==";
};

key "key_sreso_hangzhou-cloud" {
 algorithm         hmac-md5;
secret "mu+qLSESeR4AHbFdEiUs73xx1ODWeb9WzhfcNPSO0r/8OqTTNrnahHpe/4peySKMbhnJCnqsZxAzPjiVOPNHlg==";
};

key "key_sreso_default" {
 algorithm         hmac-md5;
secret "rkUWa/RQB+Rnil5kWvP/vBMEmEETx3NPmuuxSWbWLHsCp+fI93HqMdpqIm/zSKcvNsts1NYsnzulNW7nqyIVtg==";
};
EOF

编辑rndc配置文件

rndc的作用只在服务器本地,并且服务器系统防火墙必须开放953端口。rndc主要用来重新加载named.conf文件,一般更改主配置文件或者正逆向文件后需要重启named服务,现在可以使用rndc reload命令来重新加载配置文件,而无需再重启named服务。

/opt/soft/named/sbin/rndc-confgen > /opt/soft/named/etc/rndc.key
 #删除里面
 options {
    default-key "rndc-key";
    default-server 127.0.0.1;
    default-port 953;
};
内容
由named.conf里面如下配置进行控制
controls {
       inet 10.1.0.100 port 953
               allow { 10.0.0.0/8; } keys { "rndc-key"; };
};

特别注意该文件必须是640且被进程owner只读

日志配置文件详解可参照 (https://kb.isc.org/docs/aa-01526)

#相关的日志配置文件
cat >> /opt/soft/named/etc/dns_logs.conf << EOF
logging {
        channel "named_log" {
                file "/etc/named/logs/named.log"
                versions 3 size 30M;
                print-category yes;
                print-time yes;
                severity info;
        };
        channel "client_log" {
                file "/etc/named/logs/client.log"
                versions 3 size 20M;
                print-category yes;
                print-time yes;
                severity info;
        };
        channel "update_log" {
                file "/etc/named/logs/update.log"
                versions 5 size 1G;
                print-category yes;
                print-time yes;
                severity info;
        };
        category default {named_log;};
        category queries {client_log;};
        category client  {client_log;};
        category update  {update_log;};
};
EOF

编辑启动文件

vim /etc/rc.d/init.d/named
#!/bin/sh
#
# Startup script for the DNS naming server
#
# chkconfig: - 49 50
# description: This script starts your DNS naming server
# processname: named

# Source function library.
. /etc/rc.d/init.d/functions

# Check that networking is up.
[ ${NETWORKING} = "no" ] && exit 0

named=/opt/soft/named/sbin/named
[ -f $named ] || exit 0

OPTIONS="-c /etc/named/named.conf -u named"

RETVAL=0

# See how we were called.
case "$1" in
  start)
        if [ $UID -ne 0 ] ; then
            echo "User has insufficient privilege."
            exit 4
        fi
        echo -n "Starting named: "
        daemon $named $OPTIONS
    RETVAL=$?
        echo
        [ $RETVAL -eq 0 ]
        ;;
  stop)
        if test "x`pgrep named`" != x; then
            echo -n "Shutting down named: "
            killproc named
        fi
    RETVAL=$?
        echo
        [ $RETVAL -eq 0 ]
        ;;
  status)
        /opt/soft/named/sbin/rndc -k /opt/soft/named/etc/rndc.key status
    RETVAL=$?
    ;;
  reload)
    if test "x`pgrep named`" != x; then
        echo -n "Reloading named: "
            killproc named -HUP
    fi
    RETVAL=$?
    echo
    ;;
  restart)
    $0 stop
    $0 start
    RETVAL=$?
    ;;
  *)
        echo "Usage: $0 {start|stop|restart|reload|status}"
        exit 2
esac
exit $RETVAL
EOF

Q&A

如何调试named

/opt/soft/named/sbin/named -c /etc/named/named.conf -g -d 3

如何添加自启动

chkconfig --add named
chkconfig named on
service named start
systemctl status named

验证

dig ns1.sre.so @10.1.0.100

; <<>> DiG 9.9.4-RedHat-9.9.4-61.el7 <<>> ns1.sre.so @10.1.0.100
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 44432
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;ns1.sre.so.            IN    A

;; Query time: 0 msec
;; SERVER: 10.1.0.100#53(10.1.0.100)
;; WHEN: Thu Sep 12 15:15:12 CST 2019
;; MSG SIZE  rcvd: 39
相关文章
|
1月前
|
机器学习/深度学习 安全 大数据
揭秘!企业级大模型如何安全高效私有化部署?全面解析最佳实践,助你打造智能业务新引擎!
【10月更文挑战第24天】本文详细探讨了企业级大模型私有化部署的最佳实践,涵盖数据隐私与安全、定制化配置、部署流程、性能优化及安全措施。通过私有化部署,企业能够完全控制数据,确保敏感信息的安全,同时根据自身需求进行优化,提升计算性能和处理效率。示例代码展示了如何利用Python和TensorFlow进行文本分类任务的模型训练。
99 6
|
2月前
|
人工智能
歌词结构的巧妙安排:写歌词的方法与技巧解析,妙笔生词AI智能写歌词软件
歌词创作是一门艺术,关键在于巧妙的结构安排。开头需迅速吸引听众,主体部分要坚实且富有逻辑,结尾则应留下深刻印象。《妙笔生词智能写歌词软件》提供多种 AI 功能,帮助创作者找到灵感,优化歌词结构,写出打动人心的作品。
|
2月前
|
人工智能
写歌词的技巧和方法全解析:开启你的音乐创作之旅,妙笔生词智能写歌词软件
怀揣音乐梦想,渴望用歌词抒发情感?掌握关键技巧,你也能踏上创作之旅。灵感来自生活点滴,主题明确,语言简洁,韵律和谐。借助“妙笔生词智能写歌词软件”,AI辅助创作,轻松写出动人歌词,实现音乐梦想。
|
1月前
|
监控 关系型数据库 MySQL
MySQL自增ID耗尽应对策略:技术解决方案全解析
在数据库管理中,MySQL的自增ID(AUTO_INCREMENT)属性为表中的每一行提供了一个唯一的标识符。然而,当自增ID达到其最大值时,如何处理这一情况成为了数据库管理员和开发者必须面对的问题。本文将探讨MySQL自增ID耗尽的原因、影响以及有效的应对策略。
104 3
|
1月前
|
存储 人工智能 自然语言处理
高效档案管理案例介绍:文档内容批量结构化解决方案解析
档案文件内容丰富多样,传统人工管理耗时低效。思通数科AI平台通过自动布局分析、段落与标题检测、表格结构识别、嵌套内容还原及元数据生成等功能,实现档案的高精度分块处理和结构化存储,大幅提升管理和检索效率。某历史档案馆通过该平台完成了500万页档案的数字化,信息检索效率提升60%。
|
1月前
|
存储
文件太大不能拷贝到U盘怎么办?实用解决方案全解析
当我们试图将一个大文件拷贝到U盘时,却突然跳出提示“对于目标文件系统目标文件过大”。这种情况让人感到迷茫,尤其是在急需备份或传输数据的时候。那么,文件太大为什么会无法拷贝到U盘?又该如何解决?本文将详细分析这背后的原因,并提供几个实用的方法,帮助你顺利将文件传输到U盘。
|
1月前
|
消息中间件 缓存 安全
Future与FutureTask源码解析,接口阻塞问题及解决方案
【11月更文挑战第5天】在Java开发中,多线程编程是提高系统并发性能和资源利用率的重要手段。然而,多线程编程也带来了诸如线程安全、死锁、接口阻塞等一系列复杂问题。本文将深度剖析多线程优化技巧、Future与FutureTask的源码、接口阻塞问题及解决方案,并通过具体业务场景和Java代码示例进行实战演示。
47 3
|
1月前
|
监控 Cloud Native 持续交付
云原生技术深度解析:重塑现代应用开发与部署范式####
本文深入探讨了云原生技术的核心概念、关键技术组件及其在现代软件开发中的重要性。通过剖析容器化、微服务架构、持续集成/持续部署(CI/CD)等关键技术,本文旨在揭示云原生技术如何促进应用的敏捷性、可扩展性和高可用性,进而推动企业数字化转型进程。不同于传统摘要仅概述内容要点,本部分将融入具体案例分析,直观展示云原生技术在实际应用中的显著成效与挑战应对策略,为读者提供更加丰富、立体的理解视角。 ####
|
22天前
|
机器学习/深度学习 存储 人工智能
政务部门人工智能OCR智能化升级:3大技术架构与4项核心功能解析
本项目针对政务服务数字化需求,建设智能文档处理平台,利用OCR、信息抽取和深度学习技术,实现文件自动解析、分类、比对与审核,提升效率与准确性。平台强调本地部署,确保数据安全,解决低质量扫描件、复杂表格等痛点,降低人工成本与错误率,助力智慧政务发展。
|
2月前
|
机器学习/深度学习 算法 Python
深度解析机器学习中过拟合与欠拟合现象:理解模型偏差背后的原因及其解决方案,附带Python示例代码助你轻松掌握平衡技巧
【10月更文挑战第10天】机器学习模型旨在从数据中学习规律并预测新数据。训练过程中常遇过拟合和欠拟合问题。过拟合指模型在训练集上表现优异但泛化能力差,欠拟合则指模型未能充分学习数据规律,两者均影响模型效果。解决方法包括正则化、增加训练数据和特征选择等。示例代码展示了如何使用Python和Scikit-learn进行线性回归建模,并观察不同情况下的表现。
430 3

相关产品

  • 云解析DNS
  • 推荐镜像

    更多