开发者社区> 网络服务专家> 正文

《DNS稳定保障系列4--阿里云DNS稳定性武功秘籍揭秘》

简介:
+关注继续查看

DNS自1983年诞生以来一直是互联网功能的重要组成部分,现在互联网上绝大部分软件、服务都对其有所依赖,其本身的稳定、安全、快速成为了最核心的指标。只有底层的基础打扎实了,在DNS上运行的服务质量才有保证。阿里云DNS的稳定性一直受到业界称赞和用户肯定,到底是用了什么武功秘籍,才敢给用户承诺可靠性SLA 100%呢?以下我们一一揭秘。
第一招:星斗大阵--全球节点部署
20年来阿里巴巴的网络设施经过不断持续投入建设,阿里网络已经发展成超大规模的完整网络架构体系,支撑了近百万规模系统资源的业务体量,网络延伸到达六大洲,70多个国家/地区,并与全球1000+的ISP和ICP建立直接互联,如此规模的星斗大阵成为了具有全球竞争力的网络基础设施。阿里云解析也正是构建在这个基础设施之上,随着阿里网络而扩张,目前已经在12个国家部署了40多个集群,并通过不断深耕优化,在稳定、安全、快速方面达到了业界一流的指标。

_

第二招:乾坤大挪移—BGP+ANYCAST技术
稳定即是要保证服务的高可用,阿里云解析敢承诺100% SLA的关键秘密就在这里。虽然阿里内部的网络链路都是至少双冗余的,但是物理网络本身受到内部、外部众多因素的影响,要想做到整个链路100%无单点故障是不现实的。所以阿里云解析利用阿里网络提供的BGP路由发放能力,全部NS的服务IP都通过BGP多ISP发布,依赖BGP协议本身具有的冗余备份、消除环路的特点,可以实现多条互联网线路路由的相互备份,在一条线路出现故障时路由会自动切换到其它线路。除此之外,还通过网络提供了多组ANYCAST的NS IP,也就是在多个不同地域的服务节点通过BGP向Internet宣告相同的IP,利用前面提到的BGP协议的特点,当一个地域的单个节点故障后,这个节点会停止对外发布服务IP,客户端的DNS请求流量会通过路由收敛,转发到新的就近的集群,实现集群间的无损容错。在同一个集群内部,多台DNS服务器间也是通过网络提供的ECMP功能进行负载均衡和容错摘除,单个DNS服务器故障后,这台服务器会停止对外发布服务IP,网络设备会从ECMP组中将其摘除,不再向其转发流量,从而保证集群内的高可用。

第三招:吸星大法--无限DDoS攻击防护
说到DNS的安全,必不可少的要提到怎么应对越演越烈的DDoS攻击。特别是像阿里云解析这样的拥有海量域名托管的服务提供商,每天正常的访问量都在千亿次以上,DDOS攻击更是随时都会发生。因为DNS协议主要是基于UDP的,所以攻击主要以流量型为主,这就对物理网络的带宽和转发能力提出了很大的挑战。阿里巴巴在网络上一直保持大量的投入,与各个运营商有着深度的合作,目前自建机房的网络入口带宽已经达到TB级别;内部网络经过多年软、硬技术的持续研发(如自研交换机等),已经实现了100G网络架构的规模部署。除此之外,还与运营商合作了很多高防机房,单个节点就能够承受2T以上网络流量冲击。在此基础之上,阿里云解析团队通过自研基于DPDK的高性能DNS权威解析软件,使DNS服务器单机能够轻松达到几千万QPS的解析能力,再加上主力集群多台部署的标准,单个集群就具备每秒上亿次攻击无损防护的能力。前面提到了阿里云解析已经在全球部署了40多个集群,这些集群都发布有相同的anycast的IP,能将不同地域的攻击流量吸引到本地的集群,这样可以轻松化解全球有史以来最大规模的DDOS攻击,这也是我们敢于提供无限量防护套餐的信心所在。无论黑客有多牛,攻击有多大,吸星大法都将攻击轻松化解。

_

天下武功唯快不破,除了保证服务稳定性的以上三招,阿里云DNS还在快速解析上下足了功夫。国内因为各运营商网络架构的差异性等原因,完全依靠AnycastIP优选的话,很难达到理想的调度效果,经常出现地域上舍近求远调度的情况。而阿里云解析除了Anycast IP外还在一些主要网络节点发布了普通BGP IP,这些地址全部配置到阿里云解析的每组NS域名上。这样依赖客户端使用的各地LocalDNS的优选,来选择延迟最低的IP进行访问,达到降低延时的方法。同时阿里DNS还提供了智能NS解析功能,也就是根据客户端的地域来返回不同的NS IP记录,比如国内的用户请求DNS解析,就只返回国内节点的IP记录,这样LocalDNS能够尽快访问到最近的节点,不会出现去海外节点解析的情况。

未来随着阿里巴巴在网络基础设施领域更大的突破,必将赋能阿里云解析,在稳定、安全、快速上更上一层楼。专业的人做专业的事,DNS解析服务交给我!

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
如何设置阿里云服务器安全组?阿里云安全组规则详细解说
阿里云安全组设置详细图文教程(收藏起来) 阿里云服务器安全组设置规则分享,阿里云服务器安全组如何放行端口设置教程。阿里云会要求客户设置安全组,如果不设置,阿里云会指定默认的安全组。那么,这个安全组是什么呢?顾名思义,就是为了服务器安全设置的。安全组其实就是一个虚拟的防火墙,可以让用户从端口、IP的维度来筛选对应服务器的访问者,从而形成一个云上的安全域。
19796 0
阿里云服务器如何登录?阿里云服务器的三种登录方法
购买阿里云ECS云服务器后如何登录?场景不同,阿里云优惠总结大概有三种登录方式: 登录到ECS云服务器控制台 在ECS云服务器控制台用户可以更改密码、更换系.
29130 0
阿里云服务器安全组设置内网互通的方法
虽然0.0.0.0/0使用非常方便,但是发现很多同学使用它来做内网互通,这是有安全风险的,实例有可能会在经典网络被内网IP访问到。下面介绍一下四种安全的内网互联设置方法。 购买前请先:领取阿里云幸运券,有很多优惠,可到下文中领取。
22536 0
阿里云服务器ECS登录用户名是什么?系统不同默认账号也不同
阿里云服务器Windows系统默认用户名administrator,Linux镜像服务器用户名root
16424 0
阿里云服务器端口号设置
阿里云服务器初级使用者可能面临的问题之一. 使用tomcat或者其他服务器软件设置端口号后,比如 一些不是默认的, mysql的 3306, mssql的1433,有时候打不开网页, 原因是没有在ecs安全组去设置这个端口号. 解决: 点击ecs下网络和安全下的安全组 在弹出的安全组中,如果没有就新建安全组,然后点击配置规则 最后如上图点击添加...或快速创建.   have fun!  将编程看作是一门艺术,而不单单是个技术。
20690 0
腾讯云服务器 设置ngxin + fastdfs +tomcat 开机自启动
在tomcat中新建一个可以启动的 .sh 脚本文件 /usr/local/tomcat7/bin/ export JAVA_HOME=/usr/local/java/jdk7 export PATH=$JAVA_HOME/bin/:$PATH export CLASSPATH=.
14897 0
阿里云服务器怎么设置密码?怎么停机?怎么重启服务器?
如果在创建实例时没有设置密码,或者密码丢失,您可以在控制台上重新设置实例的登录密码。本文仅描述如何在 ECS 管理控制台上修改实例登录密码。
23579 0
54
文章
4
问答
文章排行榜
最热
最新
相关电子书
更多
JS零基础入门教程(上册)
立即下载
性能优化方法论
立即下载
手把手学习日志服务SLS,云启实验室实战指南
立即下载