DNS Alibaba Cloud menyediakan layanan resolusi DNS lengkap untuk skenario intranet perusahaan, terutama di dalam virtual private cloud (VPC) Alibaba Cloud.
Ikhtisar
Layanan Resolusi Nama Domain Pribadi (Private Hosted Zone) merupakan peningkatan komprehensif dari produk Alibaba Cloud DNS PrivateZone sebelumnya. Layanan ini menyediakan resolusi DNS lengkap untuk skenario intranet perusahaan, terutama di dalam VPC Alibaba Cloud, dan mencakup modul fungsional seperti Private Zone, cache, penerusan, dan rekursi. Dengan layanan ini, Anda dapat melakukan resolusi nama domain, mempercepat resolusi nama domain pribadi, menentukan nama domain otoritatif pribadi, meneruskan lalu lintas resolusi antara cloud dan pusat data lokal (IDC), serta menganalisis log lalu lintas resolusi pribadi untuk berbagai klien—seperti instance ECS dan kontainer—di lingkungan VPC.
Kemampuan Produk
DNS Alibaba Cloud menyediakan layanan resolusi DNS pribadi yang lengkap untuk lingkungan VPC dengan men-deploy perangkat lunak DNS proprietary-nya di pusat data Alibaba Cloud di seluruh dunia. Layanan ini mencakup modul fungsional berikut:
Private Zone
Modul ini didasarkan pada layanan Alibaba Cloud DNS PrivateZone sebelumnya dan berfungsi sebagai modul DNS otoritatif pribadi yang dibangun di lingkungan intranet perusahaan, seperti VPC Alibaba Cloud. Layanan ini memungkinkan Anda membuat nama domain otoritatif pribadi yang hanya dapat diakses di dalam VPC perusahaan Anda dan melakukan resolusi ke alamat IP. Anda dapat menggunakan catatan nama domain otoritatif pribadi untuk mengelola sumber daya Alibaba Cloud seperti hostname ECS, instance SLB, dan bucket OSS di dalam VPC. Nama domain otoritatif pribadi ini tidak dapat diakses dari luar VPC. Selain itu, Anda dapat menghubungkan VPC Anda ke pusat data lokal melalui metode seperti jalur sewa atau VPN, sehingga sumber daya di pusat data lokal dan VPC Alibaba Cloud dapat saling mengakses menggunakan nama domain otoritatif pribadi tersebut.
Berdasarkan lokasi penerapannya, layanan Private Zone dibagi menjadi wilayah akselerasi dan wilayah standar. Nama domain otoritatif pribadi yang dibuat dengan layanan Alibaba Cloud DNS PrivateZone sebelumnya disimpan di wilayah standar. Layanan otoritatif di wilayah akselerasi berada lebih dekat ke sumber permintaan resolusi, dan catatan DNS untuk nama domain otoritatif di wilayah akselerasi disimpan di memori berkecepatan tinggi server DNS. Desain ini memberikan latensi terendah untuk resolusi nama domain otoritatif pribadi di wilayah akselerasi, menjadikannya ideal untuk nama domain yang memerlukan latensi resolusi rendah dan stabilitas tinggi. Wilayah akselerasi mendukung split-zone DNS dan weighted resolution, sedangkan wilayah standar tidak mendukung kedua fitur tersebut.
Cache
Modul cache dari layanan resolusi DNS pribadi terutama digunakan untuk mempercepat resolusi nama domain di dalam VPC perusahaan. Hasil resolusi untuk semua permintaan resolusi nama domain di dalam VPC biasanya disimpan di memori cache berkecepatan tinggi server DNS, sehingga memungkinkan pengambilan hasil yang cepat untuk permintaan berikutnya terhadap nama domain yang sama. Nilai Time to Live (TTL) menentukan durasi penyimpanan hasil resolusi di cache, dan hasil yang di-cache secara otomatis dihapus ketika TTL habis. Anda dapat mengaktifkan fitur retensi cache untuk memaksa layanan cache menyimpan hasil resolusi nama domain kunci tertentu di memori server DNS. Jika permintaan resolusi tiba setelah TTL habis, hasil yang di-cache dikembalikan terlebih dahulu, lalu hasil resolusi diperbarui di latar belakang. Fitur retensi cache meningkatkan kecepatan resolusi nama domain kunci di lingkungan VPC dan dapat mencegah gangguan layanan akibat kegagalan resolusi di Internet, seperti gangguan pada layanan DNS otoritatif publik domain tersebut. Untuk informasi selengkapnya, lihat Manajemen cache.
Penerusan
Modul penerusan dari layanan resolusi DNS pribadi sesuai dengan layanan Resolver dari produk Alibaba Cloud DNS PrivateZone sebelumnya. Anda dapat membuat aturan penerusan domain dan titik akhir keluar DNS untuk meneruskan lalu lintas kueri DNS untuk nama domain tertentu dari VPC perusahaan Anda ke sistem DNS eksternal. Fitur ini berguna untuk skenario yang melibatkan panggilan layanan di cloud hibrida dan antara lingkungan cloud dan lokal. Untuk informasi selengkapnya, lihat Manajemen penerusan.
Rekursi
Modul rekursi dari layanan resolusi DNS pribadi menyediakan resolusi rekursif untuk nama domain di Internet bagi berbagai klien, seperti instance ECS, di lingkungan VPC perusahaan. Layanan ini disediakan secara gratis secara default untuk skenario resolusi internal VPC Alibaba Cloud tetapi tidak disertai Service-Level Agreement (SLA). Anda juga dapat mengubah alamat IP server DNS default (100.100.2.136/100.100.2.138) pada instance ECS Anda untuk menggunakan server DNS dari penyedia lain. Jika Anda melakukan hal ini, instance ECS tidak dapat menggunakan layanan resolusi pribadi yang disediakan oleh DNS Alibaba Cloud.
Titik Akhir Masuk
Titik akhir masuk adalah alamat nameserver dari layanan resolusi DNS pribadi. Titik akhir ini dapat dikonfigurasi sebagai alamat layanan DNS untuk klien di dalam cloud, seperti instance ECS atau kontainer, serta sebagai alamat IP tujuan bagi klien di luar cloud—seperti host lokal atau server DNS eksternal—untuk mengakses layanan resolusi DNS pribadi. Titik akhir masuk dibagi menjadi dua jenis: yang ditetapkan sistem dan kustom. Alamat layanan resolusi DNS pribadi default yang ditetapkan sistem adalah 100.100.2.136 dan 100.100.2.138. Alamat-alamat ini menyediakan layanan resolusi DNS untuk semua VPC di semua wilayah menggunakan anycast dan dapat digunakan secara gratis tanpa biaya tambahan.
Jika Anda ingin menggunakan alamat IP pribadi yang telah direncanakan sendiri di dalam VPC untuk menyediakan layanan resolusi DNS pribadi, Anda dapat membuat titik akhir masuk untuk menetapkan alamat layanan resolusi DNS pribadi kustom. Alamat-alamat ini dibuat sesuai permintaan dan ditagih berdasarkan skema bayar sesuai penggunaan. Untuk informasi selengkapnya, lihat Titik akhir masuk.
Analisis Trafik
Layanan resolusi DNS pribadi menyediakan layanan analisis lalu lintas jaringan end-to-end, lintasan penuh, dan visual untuk resolusi nama domain. Layanan ini merekonstruksi seluruh proses mulai dari menerima kueri DNS hingga akhirnya mengirimkan acknowledgement DNS, serta menyediakan analitik data dari berbagai dimensi—seperti latensi resolusi, jumlah permintaan resolusi, tingkat hit cache, nama domain populer, dan sumber permintaan populer—sebagai referensi untuk mengoptimalkan pengaturan resolusi Anda.
Aturan layanan resolusi DNS pribadi berlaku hanya untuk permintaan resolusi dari klien di dalam VPC perusahaan yang menggunakan 100.100.2.136/100.100.2.138 atau alamat IP kustom dari titik akhir masuk sebagai server DNS mereka. Jika Anda mengubah pengaturan DNS klien ECS ke alamat IP lain, aturan layanan resolusi pribadi dari DNS Alibaba Cloud tidak akan berlaku untuk instance ECS tersebut.
Prioritas aturan resolusi
Dalam skenario VPC perusahaan, ketika server DNS menerima kueri DNS, server tersebut melakukan resolusi nama domain sesuai dengan aturan prioritas berikut:
Manfaat
Fitur Produk yang Kaya
Split-zone DNS: Resolusi nama domain pribadi dapat mengembalikan alamat IP tertentu untuk kueri DNS yang berasal dari rentang alamat IP tertentu. Fitur ini mendukung jalur DNS Alibaba Cloud dan jalur DNS kustom.
Weighted resolution: Jika beberapa alamat IP atau nama domain dikonfigurasi untuk catatan nama host dan sumber permintaan yang sama, Anda dapat menetapkan bobot untuk setiap nilai catatan. Saat merespons kueri DNS, semua alamat dikembalikan berdasarkan rasio bobot yang telah ditentukan, sehingga mendistribusikan lalu lintas resolusi ke server yang berbeda untuk mencapai load balancing.
Retensi cache: Anda dapat mengaktifkan retensi cache untuk nama domain populer atau kunci. Catatan DNS untuk nama domain tersebut selalu disimpan di cache, sehingga meningkatkan kecepatan resolusi nama domain di DNS pribadi dan mencegah gangguan layanan akibat kegagalan penyedia DNS otoritatif domain tersebut.
Purge cache: Selama perubahan darurat pada layanan internal, Anda mungkin perlu segera memperbarui catatan DNS terbaru untuk nama domain pribadi. Jika nama domain memiliki retensi cache yang diaktifkan, Anda dapat menggunakan fitur purge cache untuk menghapus data yang di-cache untuk nama domain tersebut dari server cache yang berada dalam cakupan aturan cache.
Manajemen penerusan: Anda dapat meneruskan lalu lintas kueri DNS untuk nama domain tertentu di VPC perusahaan ke sistem DNS eksternal. Fitur ini berguna untuk skenario yang melibatkan panggilan layanan di cloud hibrida dan antara lingkungan cloud dan lokal.
Analisis lalu lintas: Fitur ini menyediakan layanan analisis lalu lintas jaringan end-to-end, lintasan penuh, dan visual. Fitur ini merekonstruksi seluruh proses mulai dari menerima kueri DNS hingga akhirnya mengirimkan acknowledgement DNS dan menyediakan laporan grafis untuk memudahkan pemantauan. Anda dapat segera menyesuaikan arsitektur layanan Anda berdasarkan perubahan data lalu lintas resolusi.
Isolasi keamanan
Resolusi DNS pribadi menyediakan isolasi data lengkap untuk VPC yang berbeda dan mencakup atribut keamanan berikut:
Nama domain (zona) tidak dapat dikueri dari Internet, sehingga mencegah pihak jahat melakukan probing terhadap informasi bisnis internal dan arsitektur sistem Anda.
Nama domain (zona) tidak dapat dikueri dari luar cakupan efektifnya, sehingga menentukan batas akses sistem internal Anda dan membatasi akses data inti ke cakupan sekecil mungkin.
Data nama domain (zona) diproses secara aman dengan menggabungkan fitur tunneling jaringan, sehingga mencegah informasi nama domain (zona) Anda dikompromikan secara jahat.
Kontrol Fleksibel
Anda dapat menambahkan atau menyesuaikan file nama domain pribadi (zona) tanpa batasan.
Anda dapat menambahkan nama domain (zona) apa pun di DNS pribadi, seperti
taobao.com. Setelah Anda menetapkan cakupan efektif untuk nama domain tersebut,taobao.comakan menimpa hasil resolusi DNS publik dari Internet.Anda dapat membuat nama domain kustom di VPC yang tidak dapat didaftarkan di Internet publik, seperti
example.testdanexample.abcd.Anda dapat menetapkan cakupan efektif yang berbeda untuk nama domain (zona) yang memiliki nama sama. Hal ini memungkinkan VPC di wilayah berbeda mengakses sumber daya cloud yang berbeda menggunakan nama domain yang sama, sehingga mencapai akses terdekat. Misalnya, ketika kueri untuk
test.example.comdiajukan dari VPC di Tiongkok (Huabei 2) dan Tiongkok (Hangdong 2), DNS mengembalikan alamat sumber daya cloud untuk Tiongkok (Huabei 2) dan Tiongkok (Hangdong 2) masing-masing.
Arsitektur sistem
Resolusi nama domain pribadi terdiri dari dua bagian: lapisan kontrol dan lapisan resolusi.
Lapisan kontrol: Lapisan kontrol menyediakan layanan eksternal melalui Konsol dan OpenAPI. Lapisan ini terutama mengimplementasikan fungsi create, retrieve, update, dan delete (CRUD) serta penyimpanan untuk data catatan DNS, data konfigurasi, dan data log. Lapisan kontrol berlokasi di wilayah Tiongkok (Zhangjiakou) dan Tiongkok (Hangzhou) di Daratan Tiongkok.
Lapisan resolusi: Lapisan resolusi menyediakan layanan eksternal melalui kluster server yang diterapkan di wilayah seluruh dunia. Lapisan resolusi menerima data catatan DNS yang didistribusikan dari lapisan kontrol dan terutama bertanggung jawab untuk merespons kueri terhadap data tersebut. Lapisan resolusi memiliki cakupan di semua wilayah dan zona tempat layanan Alibaba Cloud tersedia untuk umum.
Skenario
Manajemen Hostname
Anda dapat menstandarkan penamaan hostname ECS agar tujuan setiap mesin lebih mudah dipahami. Dengan menggunakan fitur catatan hostname dari layanan resolusi pribadi, Anda dapat secara otomatis menyinkronkan dan mengonfigurasi catatan resolusi hostname ECS, sehingga memungkinkan akses ke instance ECS melalui hostname-nya.
Misalnya, sebuah perusahaan (example.com) memiliki 50 instance ECS di VPC di Zona E wilayah Tiongkok (Huabei 2). Di antaranya, 20 instance ECS digunakan untuk homepage website resmi, 20 digunakan untuk aplikasi mobile, dan 10 digunakan untuk lingkungan pengujian internal. Anda dapat merencanakan hostname sebagai berikut:
Website: web01.huabei2-e.example.com hingga web20.huabei2-e.example.com
Aplikasi: m01.huabei2-e.example.com hingga m20.huabei2-e.example.com
Pengujian: test01.huabei2-e.example.com hingga test10.huabei2-e.example.com
Setelah konfigurasi ini, Anda dapat menentukan nama domain pribadi menggunakan layanan Private Zone dan mengaktifkan sinkronisasi otomatis catatan hostname ECS. Hal ini memungkinkan Anda mengakses instance ECS melalui hostname di jaringan VPC tertentu, yang meningkatkan kenyamanan manajemen host harian.
Split-zone DNS
Versi sebelumnya dari layanan PrivateZone tidak mendukung split-zone DNS, jalur kustom, atau jalur Alibaba Cloud. Resolusi Nama Domain Pribadi (PrivateZone) yang ditingkatkan mendukung split-zone DNS. Fitur ini menentukan sumber pengunjung dan secara cerdas mengembalikan alamat IP yang berbeda untuk pengunjung yang berbeda, sehingga memungkinkan pengunjung menerima alamat IP yang ditentukan pengguna saat mengakses website dan meningkatkan kecepatan akses website. Hanya nama domain pribadi di wilayah akselerasi Private Zone yang mendukung split-zone DNS, termasuk jalur Alibaba Cloud dan jalur DNS kustom.
Resolusi Berbobot
Jika sebuah nama domain (zona) memiliki beberapa catatan A, AAAA, atau CNAME dengan catatan nama host dan jalur DNS yang sama, Anda mungkin perlu mengalihkan lalu lintas layanan secara dinamis antara alamat IP yang berbeda selama migrasi layanan. Anda dapat menetapkan nilai bobot catatan DNS tersebut. Saat merespons kueri DNS, semua alamat dikembalikan berdasarkan bobot yang telah ditentukan, sehingga mendistribusikan lalu lintas resolusi ke server yang berbeda dan mencapai load balancing. Hanya nama domain pribadi di wilayah akselerasi Private Zone yang mendukung fitur weighted resolution.
Instansiasi Layanan Cloud
Layanan yang diterapkan di cloud sering kali perlu saling mengakses. Anda dapat menggunakan layanan resolusi pribadi untuk menghasilkan nama domain otoritatif pribadi di dalam VPC untuk setiap layanan cloud dan melakukan resolusi ke alamat IP layanan internal tertentu. Hal ini menginstansiasi layanan cloud dan sangat mengurangi perubahan pengembangan yang diperlukan ketika alamat IP layanan berubah.
Misalnya, dalam skenario Manajemen API, asumsikan sistem bisnis perusahaan (example.com) perlu mendapatkan informasi autentikasi akun menggunakan operasi API internal. Namun, sistem API ini melibatkan data pribadi dan tidak boleh diekspos ke Internet, sehingga API menggunakan alamat IP pribadi.
Anda dapat menetapkan nama domain account.inner.example.com untuk API ini dan melakukan resolusi ke 10.23.45.67. Jika alamat layanan API berubah menjadi 10.45.67.89, Anda hanya perlu mengubah resolusi account.inner.example.com ke alamat IP baru tersebut.
Akselerasi resolusi nama domain dan pemulihan bencana
Seiring perkembangan Internet, akses nama domain lintas perusahaan menjadi semakin umum, yang secara tidak langsung menciptakan ketergantungan layanan. Jika resolusi nama domain dependen di Internet tidak stabil—misalnya karena latensi resolusi tinggi akibat layanan DNS yang digunakan domain tersebut tidak memiliki node global, atau layanan DNS mengalami gangguan—layanan dependen juga terpengaruh.
Anda dapat menggunakan fitur Manajemen cache dari layanan resolusi pribadi untuk sangat meningkatkan kecepatan resolusi nama domain di lingkungan VPC dan memastikan bahwa resolusi nama domain tidak terpengaruh oleh stabilitas penyedia layanan DNS domain tersebut. Setelah retensi cache diaktifkan, cache resolusi untuk nama domain tersebut tidak dihapus secara otomatis. Hal ini memastikan bahwa resolusi nama domain di VPC pribadi mencapai tingkat hit cache 100%, yang sangat meningkatkan kecepatan resolusi. Setelah TTL cache habis, kueri DNS memicu sistem untuk memperbarui hasil resolusi domain tersebut. Jika layanan DNS otoritatif publik untuk domain tersebut mengalami gangguan pada saat itu, sistem tetap menggunakan hasil resolusi lama yang di-cache untuk merespons, sehingga memastikan respons resolusi tetap normal dan memberikan perlindungan pemulihan bencana saat layanan DNS domain mengalami gangguan.
Pertukaran data resolusi antara lingkungan cloud dan lokal
Selama proses adopsi cloud bertahap untuk grup perusahaan besar, migrasi lancar resolusi nama domain di intranet perusahaan—yang mencakup VPC cloud dan pusat data lokal—sering kali menjadi tantangan. Sebelum adopsi cloud, perusahaan mungkin memiliki layanan DNS lokal sendiri dan mungkin telah menentukan banyak nama domain pribadi untuk akses layanan internal. Setelah adopsi cloud, layanan yang dimigrasikan harus tetap dapat melakukan resolusi dan mengakses nama domain pribadi asli di pusat data lokal.
Anda dapat menggunakan fitur Manajemen penerusan (Resolver) dari layanan resolusi pribadi untuk meneruskan kueri DNS untuk nama domain tertentu di dalam VPC ke layanan DNS tertentu untuk resolusi. Ketika layanan di VPC cloud perusahaan mengakses nama domain pribadi asli, permintaan resolusi untuk nama domain pribadi tersebut diteruskan ke DNS lokal asli untuk resolusi. Hal ini memastikan logika resolusi untuk nama domain pribadi tersebut tetap tidak berubah, sehingga menjamin migrasi layanan ke cloud berjalan lancar.
Anda dapat menggunakan fitur Titik akhir masuk dari layanan Resolusi Nama Domain Pribadi untuk meneruskan kueri DNS dari pusat data lokal ke VPC yang sesuai untuk resolusi melalui titik akhir masuk. Anda juga dapat menyesuaikan alamat IP tujuan layanan resolusi DNS di cloud untuk menghindari konflik dengan rentang alamat di pusat data lokal. Dengan cara ini, Anda hanya perlu memelihara satu sistem resolusi DNS untuk lingkungan cloud dan lokal, sehingga mengurangi beban operasi dan pemeliharaan (O&M).
Analisis Trafik
Saat ini, banyak produk Alibaba Cloud yang terintegrasi dengan layanan resolusi DNS pribadi. Namun, layanan ini sebelumnya merupakan kotak hitam, dan pengguna memiliki informasi terbatas tentang status resolusi DNS pribadi. Pengguna tidak dapat segera menyesuaikan arsitektur layanan mereka berdasarkan kondisi resolusi nama domain. Layanan Resolusi Nama Domain Pribadi yang baru menyediakan layanan analisis lalu lintas jaringan end-to-end, lintasan penuh, dan visual untuk resolusi nama domain. Layanan ini merekonstruksi seluruh proses mulai dari menerima kueri DNS hingga akhirnya mengirimkan acknowledgement DNS, serta menyediakan analitik data dari berbagai dimensi—seperti latensi resolusi, jumlah permintaan resolusi, tingkat hit cache, nama domain populer, dan sumber permintaan populer—sebagai referensi untuk mengoptimalkan pengaturan resolusi Anda.