随着企业考虑外包其IT基础设施,就应该考虑到云提供商的管理DNS服务将他们的公共权威DNS服务,但他们首先应该了解的优点和缺点。
云DNS的优势
弹性
云DNS提供商具有完全冗余和不同地区的网络和提供可靠性和容错DNS服务器基础设施。企业普遍缺乏冗余,其DNS基础架构,因为他们使用的是不共享同步的分布式区域信息的DNS服务器。企业必须确保该服务是多余的,因为如果其非冗余的DNS服务器发生故障将有显著的业务影响。如果企业网络缺乏内部和网络冗余和网络出现故障,那么他们的DNS基础设施的可达性也遭到了破坏。如果您当前的DNS服务器没有高度冗余的,那么云DNS服务将提供更高的弹性要失败的。
Enterprises often maintain authoritative DNS servers on their Internet perimeter networks and allow them to be globally reachable over TCP port 53 and UDP port 53. If an organization’s authoritative DNS servers are in one location, and they are servicing a global environment, then there is added latency for resolvers around the world that are distant from that location to fulfill queries. Significantly better performance would be achieved using a cloud DNS provider with numerous geographically diverse DNS servers using anycast, which provides high availability and performance by routing traffic to the “nearest” of a group of destinations.
云DNS提供商利用Anycast来创建一个高度可扩展和冗余的DNS基础结构。会有一个企业打造出了使用任播和BGP对自己的路由冗余的这个水平了广泛的成本。
对DNSSEC支持
域名系统安全扩展(DNSSEC)提供的验证DNS记录的加密方法,并有助于防止许多常见的DNS安全问题的保护。大多数企业还没有采用,因为它们缺乏与它的配置和它的好处熟悉DNSSEC。企业可能缺乏的DNS服务器,可以很容易建立DNSSEC的配置,并定期自动处理密钥轮换和更新。如果DNS管理员忘记了每年执行的钥匙旋转步,错误是严重的。云DNS提供商可以自动启用DNSSEC或使其更容易实现DNSSEC和执行自动密钥轮换。
DNS DDoS防护
如果一个企业都部署了自己的DNS服务器,它不会有吸收任何显著规模的DDoS其DNS服务器攻击的能力。这将是成本太高,对于一个企业部署到吸收这种攻击所需的高度可扩展的基础设施。对弹性DNS DDoS攻击如果使用的云DNS提供商具有更强的能力来吸收攻击、随攻击升级或快速减轻攻击,那么性能将会得到改善。云DNS提供商具有更高的带宽链接、不同的资源以及根据事务量自动扩展资源的能力。
提高安全性
由于DNS是一个面向互联网的服务,企业必须不断地监控该服务器的安全性,保持它的补丁,并确保它不会成为一个开放的DNS解析器。云DNS提供商将保持其冗余的DNS服务器不断打补丁,扫描,保护和监控。